TLDR:
ISO/IEC 27001, bir Bilgi Güvenliği Yönetim Sistemi (ISMS) için gereksinimleri belirten uluslararası standarttır. Hassas bilgileri sistematik olarak yönetmek için kapsamlı bir çerçeve sağlar—risk değerlendirmesi, kontrol uygulaması, izleme ve sürekli iyileştirme dahil. Şirketler ISO 27001’e sertifikalanabilir, bilgi güvenlik programlarının üçüncü taraf doğrulaması sağlar.
Standardın Yapısı
Mevcut sürüm (ISO/IEC 27001:2022) kuruluşların şunları içeren bir ISMS kurmasını gerektirir: kapsam tanımı, liderlik taahhüdü ve politika, risk değerlendirme ve tedavi metodolojisi, bilgi güvenliği hedefleri, destek kaynakları ve yetkinlikler, operasyonel kontroller, performans izleme, iç denetimler, yönetim incelemeleri ve iyileştirme süreçleri. Ek A, kuruluşların Uygulanabilirlik Beyanlarında dikkate alması gereken dört tema (organizasyonel, insan, fiziksel, teknolojik) altında düzenlenmiş 93 referans kontrolü belirtir.
ISO 27001 vs. SOC 2
Her iki çerçeve de B2B güvenlik güvencesi için yaygın olarak kullanılır ancak yaklaşımda farklılık gösterir: ISO 27001 yönetim sisteminin kendisini (sürekli risk değerlendirme ve iyileştirme döngüsü) vurgular; SOC 2 denetçiler tarafından değerlendirilen belirli kontrol hedeflerine odaklanır. ISO 27001 daha uluslararası olarak tanınır (özellikle Avrupa, Asya ve Orta Doğu’da); SOC 2, ABD merkezli müşterilerle daha yaygındır.
Sertifikasyon Süreci
ISO 27001 sertifikası elde etmek şunları gerektirir: ISMS’yi kapsamlama (hangi varlıklar, süreçler, lokasyonlar), risk değerlendirme yapma, Uygulanabilirlik Beyanını tanımlama, gerekli kontrolleri uygulama, iç denetim yapma, yönetim incelemesi ve dış denetim için akredite bir sertifikasyon kuruluşu görevlendirme. İlk sertifikasyon tipik olarak 6-12 ay sürer. Yıllık gözetim denetimleri sertifikayı korur; her 3 yılda bir yeniden sertifikasyon. Türk startup’ları için ISO 27001 genellikle Avrupalı müşterilere hizmet ederken zor bir gereksinimdir.