Bilgi, organizasyonlara değer katan ve bu nedenle uygun şekilde korunması gereken kaynaklar olarak tanımlanabilir. Günümüzde bilgi başta basılı, sözlü, elektronik ortamlar olmak üzere birçok yerde bulunmakta, saklanmakta, posta ve e-mail gibi birçok yolla transfer edilebilmektedir.
Bilgi güvenliği, iş devamlılığını sağlamak, meydana gelebilecek zararı en aza indirebilmek, kazancın ve iş fırsatlarının artırılması amacıyla bilgiyi birçok tehlikeye karşı korumayı hedefler.
ISO 27001 standartına göre kurulmuş bir Bilgi Güvenliği Yönetim Sistemi:
- Gizlilik (Confidentiality)
- Bilginin sadece yetkili kişiler tarafından erişilebilir olması
- Bütünlük (Integrity)
- Bilginin ve işlem metotlarının doğruluğunun ve bütünlüğünün korunması, içeriğinin değişmemesi
- Ulaşılabilirlik (Availability)
Yetkili kişilerin bilgi ve kaynaklara ihtiyaç duyulduğu an ulaşabilmeleri olarak tanımlayabileceğimiz üç ana karakteristiğin korunması ve güvence altına alınması için gerekli kontrollerin belirlenmesi ve uygulamaya alınmasını öngörmektedir. Birçok bilgi sistemi güvenli olacak şekilde tasarlanmamıştır. Teknik anlamda elde edilebilecek güvenlik ise sınırlıdır ve uygun yönetim prensipleri ve prosedürler ile desteklenmelidir. Bilginin korunması için hangi kontrollerin gerekli olduğunun tanımlanması detaylı ve dikkatli bir çalışmayı gerektirir. Başarılı bir uygulama için sistemin kapsamı tedarikçilere/taşeronlara, müşterilere ve hissedarlara kadar genişletilmelidir. İyi bir uygulama için organizasyon dışından uzman bir danışmanlık gerekebilir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi organizasyonların gereksinimleri doğrultusunda uygulanacak güvenlik kontrollerini on temel prensip ile ortaya koyar.
Bunlar;
- Şirket Güvenlik Politikası
- Organizasyonel Güvenlik
- Varlıkların Sınıflandırılması ve Kontrolü
- Personel Güvenliği
- Fiziki ve Çevresel Güvenlik
- İletişim ve Operasyon Yönetimi
- Erişim Kontrolü
- Sistem Geliştirme ve Bakım
- İş Devamlılığı Yönetimi
- Uyumluluk
olarak karşımıza çıkmaktadırlar.