Məlumat bir çox formada ola bilər. Məlumat, kağız üzərində yazılı ola bilər, elektron olaraq saxlana bilər, poçt və ya elektron poçt vasitəsilə bir yerdən bir yerə çatdırıla bilər, ya da insanlar arasında şifahi olaraq ifadə edilə bilər. Məlumat hansı formada olursa olsun, mütləq uyğun bir şəkildə qorunmalıdır. 

İnformasiya təhlükəsizliyinin təmin olunması informasiyanın məxfiliyinin, bütövlüyünün və yararlığın lazımi səviyyələrdə təmin olunması ilə mümkündür. Məlumat təhlükəsizliyi aşağıdakı üç ünsürü hədəf seçir:

    •   Məxfilik (Confidentiality)
    •    Bütövlük (Integrity) 
    •    Yararlıq (Availability)

Məxfilik : Məlumatın səlahiyyətsiz şəxslərin çıxışı üçün bağlanması və ya məlumatın səlahiyyətsiz şəxslərlə aşkara çıxarılmasının qarşısının alınmasıdır. 

Bütövlük : Məlumatın və işləmə üsullarının doğruluğunu və bütövlüyünü təmin etmək.

Yararlıq : Məlumatın hər bir ehtiyac duyulduğu anda , problem çıxması vəziyyətində belə məlumata əlçatması, istifadəyə hazır vəziyyətdə olması deməkdir. Yararlıq prinsipi əsasında, hər bir istifadəçi daxil olma hüququnun olduğu məlumat mənbəyinə səlahiyyətli olduğu zamanda mütləq çatmalıdır.

Məlumat Təhlükəsizliyi İdarəetmə Sistemi qısaldılmış adı BGYS, təşkilatın həssas məlumatlarını idarə etmək məqsədilə qəbul olunan sistematik bir konsepsiyadır. BGYS-nin əsas məqsədi həssas məlumatın qorunmasıdır. "ISO/IEC 27001:2013 İnformasiya Təhlükəsizliyi İdarəetmə Sistemləri - Tələblər" standartı istifadə edilir. Bu standart BGYS-ni təşkilatın bütün biznes riskləri kontekstində qurmaq, həyata keçirmək, izləmək, gözdən keçirmək, davam etdirmək və təkmilləşdirmək üçün tələbləri əhatə edir.

Məlumat Təhlükəsizliyi İdarəetmə Sistemi ilə Bağlı Yanlış Anlamalar
Məlumat Təhlükəsizliyi İdarəetmə barəsində qanuni bir tənzimləmə və zərurət olmaması ölkəmizdə fəaliyyət göstərən dövlət qurumları və özəl sektorda məlumat təhlükəsizliyi idarəetmənin çox az sayda qurumda həyata keçirilməsinə yol açır. Hüquqi nöqsan məlumat təhlükəsizliyi idarəetməsinin uyğun şəkildə qurulmasına da mane olur. Bu halda, Məlumat Təhlükəsizliyi İdarəetmə Sistemi qurmaq istəyən təşkilatlarda xidmət edən rəhbər və personalda yanlış anlamalar yaranır.


ISO/IEC 27001 Məlumat Təhlükəsizliyi İdarəetmə Sistemi; sektoru və həcmi nə olursa olsun, hər cür təşkilatda tətbiqi sahəsi olan və təşkilatların, müştərilərinin məlumatlarının düzgün saxlanması, ehtiyat saxlanması, etibarlı və icazəli çıxış imkanının təmin olunması, 3-cu tərəflərin bu məlumatlara icazəsiz çatmasının qarşısının alınması, bir sözlə təşkilata və müştərilərinə aid bütün məlumat və proqramların təhlükəsizliyini təmin edən Beynəlxalq bir İdarəetmə Sistemi Standartıdır.

ISO 27001 Standartı Kimlər Üçün Lazımdır?
ISO/IEC 27001 hansı sektordan olursa olsun, böyük- kiçik bütün təşkilatlara uyğundur. Bu standart maliyyə, səhiyyə, kommunal və proqram təminatı sektorları kimi məlumatın qorunmasının böyük əhəmiyyətə malik olduğu sahələrdə xüsusilə lazımdır. 

ISO 27001 BGYS 2-nin Əsas prinsipləri
Təşkilat sənədləşdirilmiş bir BGYS-ni təşkilatın bütün kommersiya fəaliyyətləri və üzləşdiyi risklər kontekstində qurmalı, həyata keçirməli, işləməli, izləməli, gözdən keçirməli, davam etdirməli və təkmilləşdirməlidir. Bu standartın bir gərəyi olaraq, Planla-Tətbiq et - Nəzarət Et - Ölç (PUKÖ) modeli Məlumat Təhlükəsizliyi İdarəetmə Sisteminin 4 əsas prinsipini təşkil edir:

  • BGYS-nin yaradılması və idarə edilməsi

  • BGYS-nin həyata keçirilməsi və istismarı

  • BGYS-nin izlənməsi və nəzərdən keçirilməsi

  • BGYS-nin davamlılığının təmin edilməsi və yaxşılaşdırılması


ISO 27001 Məlumat Təhlükəsizliyi İdarəetmə Sistemi Tətbiq Etməyin Faydaları

  • Məlumat varlıqlarının fərqinə varma : Hansı məlumat varlıqlarının olduğunu anlayır, dəyərinin fərqinə varır.

  • Sahib olduğu varlıqları qoruya bilmə: Yaradacağı nəzarətlər ilə saxlanma metodlarını müəyyən edir və həyata keçirərək qoruyur.

  • İş davamlılığı: Uzun illər ərzində işini zəmanət altına alır . Həmçinin bir fəlakət halında, işə davam etmə qabiliyyətinə malik olur.

  • Əlaqədar tərəflər ilə sülh halında olma: Başda tədarükçüləri olmaq üzrə, məlumatların qorunacağına dair tərəflərin etimadını qazanar.

  • Məlumatı bir sistem sayəsində qoruyur, təsadüfə buraxmaz.

  • Müştəriləri qiymətləndirsə , rəqiblərinə görə daha yaxşı qiymətləndirilər.

  • Çalışanların motivasiyasını artırır.

  • Qanuni təqiblərin qarşısını alır.

  • Yüksək etibar təmin edir.

 

 

ISO 27001 BGYS Yaranma Mərhələləri

  • Varlıqların təsnifatı,

  • Məxfilik, bütövlük və əlverişlilik göstəricilərinə görə varlıqların qiymətləndirilməsi,

  • Risk analizinin aparılması,

  • Risk analizinin nəticələrinə görə tətbiq olunacaq nəzarətin müəyyən edilməsi,

  • Sənədləşmə yaradılması,

  • Nəzarətin həyata keçirilməsi,

  • Daxili audit,

  • Qeydlərin saxlanılması,

  • İdarənin gözdən keçirilməsi,

  • Sertifikatlaşdırma şəklindədir.

 

ISO 27001 BGYS Sənədi Necə Alınır?

ISO 27001 standartının bütün tələblərinin yerinə yetirilməsindən sonra xarici audit tələb olunur. Nəzarəti həyata keçirəcək təşkilat əvvəl sənədləri nəzərdən keçirir.


Bu sənədlər təhlükəsizlik siyasətini, risk qiymətləndirməsi proqramlarını, risk fəaliyyət planını, uyğunluq bəyanı və təhlükəsizlik prosedurlarını əhatə etməlidir. Bu monitorinqdən sonra gələcək bir tarixdə auditorlar tərəfindən yerində audit həyata keçirilir. Bu audit ərzində, təşkilatınızın böyüklüyünə və işinizin tipinə uyğun nəzarətlərin, digər tərəfdə hazırlanmış olan prosedurlarla müəyyən etdiyiniz şəkildə keçirilib -keçirilmədiyi nəzərdən keçirilir.


Uğurlu nəzarət aparıldıqda İSO 27001 sertifikatı alınır. Alınan sertifikatdan sonra ildə bir və ya iki dəfə sizin müəyyən edəcəyiniz perioda görə yenilənməyə yönəlmiş gözdən keçirmə tədqiqləri həyata keçirilir. Alınan sənəd 3 il etibarlıdır və 3-cü ilin sonunda yenidən sertifikatlaşdırma tədqiqi aparılaraq proses içərisindəki inkişafınız nəzərdən keçirilir.

Müraciət formu

Müraciət formasını kompüterinizə endirmək üçün tıklayınız.