Dünyada kabul gören yaklaşıma göre, artık bilgi güvenliğini sağlamak ve iş sürekliliğini korumak, sadece alınacak teknik önlemlerle mümkün değildir. Bunun yanında Bilgi Güvenliği Yönetim Sistemi gibi sistemlerin kurulması ve bu sistemlere göre denetim yapılması ve önlem alınması gerekmektedir. Bu şekilde tespit edilecek güvenlik politikalarına, üst yönetim dahil bütün çalışanların destek vermeleri ve kurulacak sistemi uygulamaları gerekmektedir.
Bilgi Güvenliği Yönetim Sistemi kurulması ile bilgi varlıklarının bütünlüğü ve doğruluğu sağlanmakta, bilginin gizliliği korunmaktadır. Bilgi kaynaklarına erişim belli kriterlere ve yetkilere bağlanmış olmakta ve erişim sürekli kontrol altında tutulmaktadır. Önemli bilgiler, belirlenecek esaslar dahilinde üçüncü kişilere ve denetçilere açık olmaktadır. Müşteri bilgilerinin güvenliğine gösterilen özen, kuruluşa itibar kazandıracak ve önemli bir rekabet avantajı sağlayacaktır.
ISO 27001 standardının tam ismi şu şekildedir: ISO/IEC 27001:2005 Bilişim Teknolojisi - Güvenlik Teknikleri - Bilgi Güvenliği Yönetim Sistemleri - Gereksinimler standardı. Bu standart, kuruluşlarda Bilgi Güvenlik Yönetim Sistemi’ni kurmak, geliştirmek, yönetmek, sürdürmek, gözlemek, gözden geçirmek ve iyileştirmek için bir model niteliğindedir. ISO 27001 standardı, bilgi güvenlik yönetimine yönelik çok sayıda gereksinim içermektedir. Örneğin, güvenlik gereksinimleri, yönetim gereksinimleri, sözleşmelere bağlı gereksinimler ya da yasal gereksinimler.
Bu nedenle de kuruluşun ne tür faaliyet gösterdiğine veya ne büyüklükte olduğuna bakılmaksızın bu standart her türlü kuruluşa uygulanabilir. Amaç, kuruluşun bilgi güvenlik yönetim gereksinimlerini karşılamaktır.
Ülkemizde Türk Standartları Enstitüsü tarafından 2006 yılında kabul edilerek, TS ISO/IEC 27001:2005 Bilgi Teknolojisi - Güvenlik Teknikleri - Bilgi Güvenliği Yönetim Sistemleri - Gereksinimleri ismiyle yayınlanmıştır.
Aynı seride yayınlanan ISO/IEC 27002:2005 - Bilişim Teknolojisi - Güvenlik Teknikleri - Bilgi Güvenlik Yönetimi için Uygulama Kılavuzu’dur. Bu standart, bilgi güvenliği yönetimi sistemi ile ilgili yüzden fazla güvenlik kontrolünün tanımlandığı bir uygulama kılavuzudur.
Bir kuruluş bilgi güvenliğine verdiği önem ile bu sitemi işletmesinde kurduktan sonra, bir belgelendirme kuruluşuna başvurarak belge talep edebilir. Belgelendirme işlemleri yapan çok sayıda belgelendirme kuruluşu bulunmaktadır. Bunlar arasında doğru tercih yapabilmek için dikkatli olmak gerekiyor. En uygun belgelendirme kuruluşu seçiminde en önemli kriter fiyat olarak görünse de tek belirleyici kriter fiyat olmamalıdır. Neticede belgelendirme kuruluşları da, kendi aralarında bir rekabet içindedirler. Doğal olarak en uygun ücrete bu çalışmayı yapmak isteyeceklerdir.
Ancak seçim yaparken fiyat yanında, belgelendirme kuruluşunun hangi akreditasyon kuruluşundan yetki aldığı mutlaka araştırılmalıdır. Aksi halde harcanacak emek, zaman ve paranın boşa gitme riski bulunmaktadır.
TÜRCERT belgelendirme kuruluşu da uygunluk değerlendirme çalışmaları yapan bir kuruluştur ve bu konuda ilgili akreditasyon kuruluşlarından aldığı yetkiye dayanarak bu faaliyetlerini sürdürmektedir. ISO 27001 Belgesi’nin ne olduğu ve en uygun şekilde bu belgenin nasıl alınacağı konularında daha geniş bilgi almak istenirse ya da ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alınacaksa, en doğru adres TÜRCERT belgelendirme kuruluşudur. TÜRCERT, deneyimli yönetici ve çalışanları ile her türlü desteği vermeye hazırdır.