ISO 27001-2013 Bilgi Güvenliği Yönetim Sistemi

ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ BELGESİ

ISO 27001 belgesi standardı, her geçen gün büyümekte olan ISO / IEC 27000 standart serilerinin bir parçası olup, Uluslararası Standardizasyon Örgütü ve Uluslararası Elektroteknik Komisyonu tarafından Ekim 2005’te yayınlanmış bir Bilgi Güvenliği Yönetim Sistemi standardıdır. Standardın tam adı; ‘ISO/IEC 27001:2005 – Bilgi Teknolojileri – Güvenlik Teknikleri – Bilgi Güvenliği Yönetimi Sistemleri – Şartlar’ olarak geçmektedir ama genel olarak ISO 27001 belgesi standardı olarak bilinmektedir.

ISO 27001 belgesi standardı, güvenlik kontrol amaçlarını listeleyen ve güvenlik kontrolünün sınırları konusunda öneri sunan ISO/IEC 27002 Bilgi Güvenliği Yönetimi için Uygulama Kuralları ile birlikte uygulanmalıdır. ISO/IEC/27002 uygulama çözümü önerilerine göre kurulmuş Bilgi Güvenliği Yönetim Sistemi uygulayan firmalar aynı zamanda ISO / IEC 27001 standardının şartlarını da yerine getirmiş olurlar. Ama sistemin belgelendirmesi firmanın tercihine kalmıştır.

Bilgi Güvenliği Yönetimi Sisteminizi oluşturmak, uygulamak, işletmek, izlemek, incelemek, sürdürmek ve geliştirmek için süreç yaklaşımını benimser. Kimi İlgilendirir?
ISO 27001, dünyanın hangi bölgesinden veya hangi sektörden olursa olsun büyük küçük tüm kuruluşlara uygundur. Bu standart, finans, sağlık, kamu ve BT sektörleri gibi bilginin korunmasının büyük öneme sahip olduğu alanlarda özellikle gereklidir.

Kuruluşlar faaliyetlerini sürdürürken pek çok bilgi kullanırlar ve faaliyetlerinin sonunda da pek çok yeni bilgi üretirler. Kuruluşlarda kendilerine ait, müşterilerine ait veya iş yaptıkları diğer taraflara ait çoğu zaman gizlilik özelliği de olan pek çok bilgi mevcuttur.

Bu bilgilerden özellikle bazılarının işletme içerisinde sadece kullanıcılarının bilebilecekleri şekilde kalması ve korunması çoğu zaman hayati önem arz edecektir.

Elektronik, bilişim ve iletişim teknolojilerindeki baş döndürücü iyileşmeler de bilginin elde edilmesi ve transferini son derece kolaylaştırmış, işletmelerin gizlilik arz eden bilgilerini tehdit etmeye başlamıştır.

Bilgi güvenliğinin sağlanabilmesi için bilgi kaynakları, bilgi türleri, ulaşım yolları ve tehditlerin hepsine sistematik bir yaklaşım gerekmektedir. ISO 27001 standardı bu sistematik yaklaşımı ve bilgi güvenliğinin yönetilmesini işletmelerin gündemine getirmektedir.

ISO 27001 standardını kullanarak, işletmeniz, müşterileriniz ve diğer ortaklarınıza ait bilgilerin güvenliğini sağlayacak ve her hangi bir kaza veya olayın oluşmadan önlenmesini sağlayacaksınız. Bu durum kuruluşunuzun iş sürekliliğinin sağlanmasında önemli bir gösterge olacaktır.

 

Bir bilgi güvenliği yönetim sisteminin geliştirilmesi ve uygulamaya alınması aşağıdaki aşamaları

içerecektir.

  • Mevcut durumun tespiti
  • Bilgi kaynakları, türleri ve mevcut tedbirlerin tespiti
  • Tehditler ve risklerin belirlenmesi ve analiz edilmesi
  • Uygulama planının hazırlanması
  • Dokümantasyon eksiklerinin tamamlanması
  • İnsanların eğitimlerinin planlanması ve tamamlanması
  • Acil durumların yönetilmesi
  • İzleme ve analiz sisteminin kurulması
  • İç denetimler, düzletici ve önleyici faaliyetlerin uygulanması
  • Sistemin ve etkinliğinin yönetim tarafından izlenmesi

 

FAYDALARI NELERDİR?
Bilgi Güvenliği Yönetimi Sisteminizin ISO 27001 ile belgelenmesinin yararları

  1. İç denetimlerinizin bağımsız bir şekilde sağlandığını gösterir ve kurumsal yönetişim ve iş devamlılığı gereksinimlerini karşılar
  2. Geçerli yasa ve düzenlemelere uygun davranıldığını bağımsız bir şekilde gösterir
  3. Sözleşmeden doğan gereklilikleri karşılayarak ve müşterilerinize bilgilerinin güvenliğine gösterdiğiniz özeni göstererek bir rekabet avantajı sağlar
  4. Bilgi güvenliği işlemleriniz, prosedürleriniz ve belgeleriniz biçimlendirilirken kurumsal risklerinizin gerektiği gibi tanımlandığını, değerlendirildiğini ve yönetildiğini bağımsız bir şekilde doğrular
  5. Üst yönetiminizin bilgilerinin güvenliğine olan taahhüdünü kanıtlar
  6. Düzenli değerlendirme işlemi performansınızı sürekli izlemenize ve geliştirmenize yardımcı olur

 

ISO/IEC 27002 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ STANDARDI

ISO / IEC 27002, büyümekte olan ISO / IEC ISMS standart serisinin bir parçasıdır. ISO / IEC 27000 serisi, ISO ve IEC tarafından yayınlanmış Bilgi Güvenliği Standartlarıdır. 2007 temmuzunda, diğer  ISO/IEC 27000 serisi standartlarla aynı çatı altında toplamak için ISO/IEC 17799:2005  standardı ISO/IEC 27002:2005 olarak yeniden numaralandırılmıştır ve Bilgi Teknolojisi – Güvenlik Teknikleri – Bilgi Güvenliği Yönetimi İçin Uygulama Kuralları  olarak isimlendirilmiştir. Şu anda uygulanmakta olan standart, 2000 yılında BS (İngiliz Standardı) 77991:1999’dan kelime kelime kopyalanarak oluşturulan ISO/IEC’nin ilk basımının revize edilmiş halidir.

ISO 27002 Bilgi Güvenliği Yönetim Sistemini uygulamak, yerleştirmek ve sürekliliğini sağlamak ile sorumlu olan kişilere bilgi güvenliği yönetimi için en iyi uygulama çözümleri ile ilgili   öneriler getirir. Bilgi Güvenliği kavramının temel ilkelerini kısaca G-B-U (C-I-A) kısaltması ile gösterebiliriz:

Gizliliğin korunması (Bilgiye ulaşımın, sadece yetki sahibi kişilerce olabildiğinin garanti altına alınması),

Bütünlük (Bilginin ve bilgi işleme yöntemlerinin, doğruluğunun ve eksiksizliğinin korunması)

Ulaşılabilirlik (Gereken durumlarda yetkili personelin, bilgiye ve ilgili varlıklara ulaşımının garanti edilmesi)

 

TS ISO 27002 STANDARDIN BAŞLIKLARI

Giriş bölümlerinin ardından, standart aşağıda belirtilen on iki bölümü kapsar:

  1. Risk değerlendirmesi
  2. Güvenlik Politikası – Yönetimin taahhüdü
  3. Bilgi güvenliği organizasyonu – Bilgi güvenliği yönetimi
  4. Varlık yönetimi – Bilgi ile ilgili varlıkların sınıflandırılması ve envantere işlenmesi
  5. İnsan kaynakları güvenliği – Çalışanların organizasyona katılması, organizasyon içinde yer değiştirmesi ya da organizasyondan ayrılmaları sonucunda ortaya çıkabilecek güvenlik durumları.
  6. Fiziki ve çevresel güvenlik – Bilgisayar tesislerinin güvenliği
  7. İletişim ve operasyon yönetimi – Sistem ve ağ üzerinde kullanılan teknik güvenlik kontrollerinin yönetimi.
  8. Erişim Kontrolü – Sistemlere, ağa, uygulamalara, fonksiyonlara ve verilere erişim haklarının sınırlandırılması.
  9. Bilgi sistemlerinin oluşturulması, geliştirilmesi ve bakımlarının gerçekleştirilmesi – Uygulamalarının içine güvenlik sisteminin inşa edilmesi.
  10. Bilgi güvenliği olay yönetimi – Bilgi güvenliği ihlallerinin öngörülmesi ve en uygun şekilde karşılık verilmesi.
  11. İş Sürekliliği Yönetimi – Hassas iş süreçlerinin ve sistemlerinin korunması, bakımlarının gerçekleştirilmesi ve kurtarılması.
  12. Uygunluk – Bilgi güvenliği politikalarına, standartlarına, kanunlara ve düzenlemelere uygunluğun sağlanması.

Her bölümde bilgi güvenliği kontrolleri ve hedefleri belirlenmiş ve başlıklar halinde yazılmıştır. Bu hedeflere ulaşmada kullanılan en iyi uygulama çözümleri genellikle bilgi güvenliği kontrolleri olarak da kabul edilmektedir. Her kontrol için uygulama rehberliği sağlanır.

Aşağıda belirtilen durumlarda bazı kontroller zorunlu tutulmayabilir:

  1. Her organizasyondan, kendi yapısına özel durumlara uygun kontrolleri seçmeden önce kendine özgü şartları tanımlaması için yapılandırılmış bir bilgi güvenliği risk değerlendirme prosesi kurmayı taahhüt etmesi beklenir. Bu konuyu kapsayan ISO 27005 gibi standartlar olduğu gibi, standardın giriş bölümü de risk değerlendirme prosesinin ana hatlarını vermektedir.
  2. Genel amaçlı bir standartta muhtemel kontrollerin tümünü sıralamak pratik olarak mümkün değildir. ISO 27001 27002 standartları için hazırlanmış olan sektör bazlı uygulama kılavuzlarının telekom, finans, sağlık ve diğer sektörlerdeki uyarlamalar için de tavsiye verebilir olması beklenir.

 

ISO 27000 ISO 27001 BELGESİ NEDİR NASIL ALINIR

ISO 27000 belgesi her geçen gün büyüyen ISO/IEC ISMS standart ailesinin bir parçasıdır. ISO 27001 belgesi serisi, “Bilgi teknolojisi- Güvenlik teknikleri- Bilgi güvenliği yönetimi sistemleri-genel bakış ve tanımlar” başlıklarını kapsayan uluslararası standart için tanımlanmış numaralardır. Genel olarak “ISO 27000 belgesi veya ISO 27001 belgesi” olarak bilinmektedir. 

ISO 27000 belgesi standardı, Uluslararası Standardizasyon Örgütü’nün ve Uluslararası Elektroteknik Komisyonu’nun ortaklığında kurulan Birleşik Teknik Komite’ye bağlı bir alt komite tarafından geliştirilmektedir.

ISO 27000 belgesi standardı, ISO/IEC 27001 Bilgi Güvenliği Yönetimi Sistemleri (Information Security Management Systems (ISMS)) standart ailesine genel bir bakış ve ISMS kapsamında kullanılan temel terimlere ve tanımlara benzerlik ve uygunluk sağlar.

ISO 27001 Bilgi güvenliği Yönetim sistemi, diğer pek çok teknik konuda olduğu gibi karmaşık bir terminoloji ağı geliştirmektedir. Nispeten az sayıda yazar bu terimlerin tam olarak ne anlama geldiğini belirleme zahmetine katlanmakta ve bu da standartlar konusunda kabul edilemez, karışıklığa yol açabilecek ve  değerlendirme ve belgelendirme sürecinin değerini azaltıcı bir yaklaşım olmaktadır. ISO 9000, ISO 14000 de olduğu gibi, ‘000’ temelli standartlar bu durumun önemini ortaya koymayı amaçlamaktadırlar.

 

Öncelikle şunu belirtmek gerekir TS ISO 27001 belgesini almak için profosyonel bir ISO 27001 danışmanlık eğitim firmasından danışmanlık hizmeti almanız gerekir. ISO 27001 danışmanlık firması sırası ile aşağıdaki aşamalarda firmaya danışmanlık hizmeti verir.

 

ISO 27001 DANIŞMANLIK VE EĞİTİM AŞAMALARI

Bilgi Güvenliği Yönetim Sistemi’nin kurulması sırası ile;
• Üst yönetimin karar alması
TS ISO 27001 Bilgi Güvenliği Yönetim Sistemi Temel Eğitiminin verilmesi
• Kurum içinde bir “Bilgi Güvenliği Koordinasyon Grubu (BGKG)- Forumu”nun oluşturulması
TS ISO 27001 Bilgi Güvenliği Yönetim Sistemi Dokümantasyon Eğitiminin verilmesi
Bilgi Güvenliği Yönetim Sisteminin kapsamı ve sınırları belirlenmesi
Bilgi Güvenliği Yönetim Sisteminin politikalarının oluşturulması
TS ISO 27001 Bilgi Güvenliği Yönetim Sistemi Risk Değerlendirme Eğitiminin verilmesi
• Bilgi güvenliği politikalarını temel alan sistematik bir risk değerlendirme yaklaşımının belirlenmesi
ISO 27000 Bilgi Güvenliği Yönetim Sistemi Risk belirleme çalışmalarının yapılması
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Tespit edilen risklerin analizi ve derecelendirilmesinin yapılması ve raporlanması
• Risk değerlendirme sonuç raporundan yola çıkılarak uygun risk işleme (risk treatment) yöntemlerinin belirlenmesi
• Risk işleme süreci sonuçlarına uygun TS ISO IEC 27001 ekinde yer alan Ek-A kontrol Kriterleri’nin seçilmesi ve kontrol hedeflerinin belirlenmesi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Risk yönetimi adımlarını geçtikten sonra BGYS işletimi ve uygulamasını yapmak için yönetim onayının alınması
• Uygulanabilirlik Bildirgesinin hazırlanması

Aşamaları ile tamamlanır ve ISO 27001 belgelendirme şirketine başvuru yapılır.

ISO 27001 belgelendirme süreci, diğer ISO yönetim sistemi belgelendirmelerinde olduğu gibi üç aşamalı bir denetleme sürecini içermektedir:

  • Aşama 1 (Stage -1 ) firmanın güvenlik politikasının, Uygulanabilirlik Beyanının (SoA) ve risk değerlendirme planı zorunlu dokümanlarının olup olmadığının ve içeriklerinin kontol edildiği, bir “masa üstü” gözden geçirmesidir.
  • Aşama 2 (Stage -2 ) Uygulanabilirlik Beyanı’nda ve Risk Değerlendirme Planı’nda yer alan bilgi güvenliği kontrollerinin varlığının ve etkinliğinin detaylı ve derinlemesine denetlendiği aşamadır.
  • Aşama 3 (Stage -3 ) Daha önceden belgelendirilmiş olan organizasyonunun, standardın şartlarını hala yerine getirip getirmediğini görmek için yapılan takip denetimidir. Belgelendirme, sistemin kuruluş amacına uygunluğunun sürdürülmesi amacını taşıyan periyodik gözden geçirmeleri de kapsamaktadır.

Belgelendirme kuruluşu ile sözleşme imzalandıktan sonra;

Stage -1 (Aşama -1) ISO 27000 Bilgi Güvenliği Yönetim Sistemi denetimi gerçekleştirilir.

STAGE -1  denetiminde yani dokümantasyonda bir uygunsuzluk yok ise,

ISO 27001 STAGE -2 denetiminin tarihi belirlenir.

STAGE -2  ISO 27000 Bilgi Güvenliği Yönetim Sistemi Belgesi Denetimi, Bağımsız ISO 27001 Bilgi Güvenliği Yönetim Sistemi denetim / belgelendirme kuruluşu, hazırlanan dokümantasyonun gizlilik içeren dokümanları hariç,
• Risk yaklaşım metodu dokümantasyonu (risk değerlendirme ve derecelendirme kısımları, hafifletme planları, penetrasyon testleri vb. bölümleri hariç)
TS ISO IEC 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi BGYS Politikaları
ISO 27001 Prosedür ve prosesler
• Seçilen kontrol kriterleri ve kapsam dışı bırakılan kriterlerin neden bırakıldığına ilişkin kararları
ISO 27001 Uygulanabilirlik bildirgesi
Üzerinden gerekli değerlendirmeleri yapar. Standarda göre eksiklikler tespit edilmişse veya öneriler varsa bunların yapılandırmasını talep edebilir.
ISO 27001 Stage -2 denetimi sonuçlandıktan sonra sistemin uygulanmasına geçilir.

 

ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ BELGESİ STAGE -3 BELGELENDİRME DENETİMİ
Stage -2 aşamasından itibaren en erken 15 gün en çok 3 ay içinde ISO 27001 3. Aşama denetim gerçekleştirilir. Bu denetimde kurulan sistemin uygulamaları gözden geçirilir ve uygulamaya yönelik olarak şartlar ve şartların yerine getirildiğine dair objektif deliller toplanarak denetim sonuçlandırılır.
ISO 27001 belgelendirme Denetim sonrası denetçiler raporlarını oluşturarak sistemin yeterlilikleri, eksiklikleri ve önerilerini içeren bir raporla belge verilmesi taleplerini belgelendirmeci kuruma iletirler.

 

ISO 27001 SERTİFİKASI BELGELENDİRME İŞLEMİ
Organizasyonların ISO/IEC 27001 belgesi standardına göre belgelendirilmeleri, dünya çapında belli sayıda ki akredite olmuş kuruluş tarafından yapılmaktadır. ISO/IEC 27001 belgesi standardının farklı ülkelerde ki versiyonlarına göre (mesela JIS Q 27001 Japonya versiyonudur) belgelendirilmeleri, ISO / IEC 27001  belgesini vermede akredite olmuş kuruluşlar tarafından yapılabilir. Belgelendirme denetimleri, genellikle ISO 27001 baş denetçileri tarafından yürütülmektedir. ISO 27000 Belgelendirme kurumu uygun görmesi halinde kurumun TS ISO 27001 Belgesini düzenlerler.

Yönetim sistemlerinin belirli standartlara uygunluğunu onaylayan kuruluşlar “belgelendirme kuruluşu”, “tescil kuruluşu, ”, “değerlendirme ve tescillendirme firmaları”, “belgelendirme tescil firmaları  şirketleri” gibi isimlerle bilinmektedir.

 

NOT: Şu anda ülkemizde ISO 27001 belgesi verme hususunda 3 tane TÜRKAK dan akrediteli belgelendirme kuruluşu bulunmaktadır.

 

ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİCİSİ
Dikkat edileceği gibi TS ISO IEC 27001 sürecinde yoğun bir danışmanlık ve eğitim faaliyeti gerekmektedir. ISO 27001 Bilgi Güvenliği Belgesi Sistem kurulumunun ayrıntılı ve teknik gerekliliklerinin üst düzeyde olması nedeni ile özellikle teknik alanda yetişmiş çalışanların “ Bilgi Güvenliği Yöneticisi (Information Security Manager)” olmaları sağlanmalıdır.
ISO 27000 Bilgi Güvenliği Yöneticiliği eğitimleri Denetçi eğitimleri gibi bir akreditasyon sürecine tabi olmamakla beraber, sistem kurulumunun en önemli sorumluluklarını üstlenmektedir.

 

ISO 27001 BELGESİ DANIŞMANLIK HİZMETİ KAPSAMINDA YAPACAĞIMIZ ÇALIŞMALAR

 

BİLGİ GÜVENLİK YÖNETİM SİSTEMİ FORUMUNUN KURULMASI
Danışman ve kurum içinde bir ” Bilgi Güvenliği Koordinasyon Grubu (BGKG) – Forumu”nun oluşturacaktır. Bu forum kendi içinde yaptığı görüşmeler sonucu takvimi ve görev paylaşımını yapacaktır. Eğitimler bu çalışmalar içinde kararlaştırılarak takvime bağlanacaktır. (Etken Kalite tarafından ISO 27001 danışmanlık raporunun hazırlanması)

 

KURUMUN MEVCUT SİSTEM VE DOKÜMANTASYON ANALİZİ
Kurumda ISO 9001 KYS kurulu değil ise öncelikle temel ISO 9001 ve ISO 27001 standardının zorunlu tuttuğu ve ancak ISO 9001 tarafından sağlanması gereken prosedür ve süreçler yapılandırılacaktır. Bu süreç ISO 27001 bilgi güvenliği için temel yönetim omurgasını yapılandırmış olacaktır.
Eğer kurumda ISO 9001 kalite yönetim sistemi kurulu ise ISO 27001 bilgi güvenliği standardının istediği kimi prosedürler, proses ve talimatlar bu standart dokümantasyonun etkinliği kontrol edilecek ve eksiklikler belirlenecektir. (Etken Kalite tarafından ISO 27001 danışmanlık raporunun hazırlanması)

 

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ KAPSAM VE SINIRLARININ BELİRLENMESİ
Temel ISO 9001 Kalite Yönetim sistemi yapılanmasının ardından kuruma dair ISO 27001 Bilgi Güvenliği Yönetim Sistemi kapsamı ve sınırları belirlenmesi aşaması gelmektedir. Özellikle belgelendirme aşamasında kapsam ve sınırlar denetimin en önemli unsurları olarak karşımıza çıkmaktadır. (Etken Kalite tarafından ISO 27001 danışmanlık raporunun hazırlanması)

 

BGYS TEMEL POLİTİKASI VE DİĞER POLİTİKALARIN OLUŞTURULMASI
Yine ilk oturum içinde belirlenen kapsama bağlı olarak kurumun temel Bilgi Güvenliği Yönetim Sistemi Politikası hazırlanacaktır. ISO 27001 Temel Bilgi Güvenliği Yönetim Sistemi Politikası Forumun bir oturumunda karar bağlanacaktır ve Üst yönetim bu politikayı onaylayarak tüm kuruma duyuracaktır. Diğer politikalar sistem kurulumu aşamasında yapılandırılacaktır. (Etken Kalite tarafından ISO 27001 danışmanlık raporunun hazırlanması)

 

VARLIKLARIN BELİRLENMESİ VE SINIFLANDIRILMASI
Kurumdaki tüm varlık envanterinin çıkartılması gerekmektedir. Varlık envanteri çıkartılırken etkileme yapılarak varlıların sınıflandırılması sağlanacaktır. Varlıklar sınıflandırıldıktan sonra puanlama yapılarak kritik varlıkların belirlenmesi sağlanacaktır. (Etken Kalite tarafından ISO 27001 danışmanlık raporunun hazırlanması)

 

RİSK ANALİZİ VE DEĞERLENDİRMESİ ÇALIŞMASININ YAPILMASI
Bilgi güvenliği politikalarını temel alan sistematik bir risk değerlendirme yaklaşımının belirlenerek risk belirleme çalışmaları başlatılacaktır. Tespit edilen risklerin analizi ve derecelendirilmesinin yapılması ve raporlanması yapılacaktır. Risk değerlendirme sonuç raporundan yola çıkılarak uygun risk işleme (risk treatment) yöntemlerinin belirlenecektir. Risk analizine esas olacak bir penetrasyon test raporu ya kurum içinde ya da bağımsız kuruluşlarca hazırlatılmalıdır. Dahili ve harici saldırı senaryoları, felaket yönetimi senaryoları çalışılmalıdır. Buna bağlı olarak oluşturulan rapor risk analizi için temel teşkil etmelidir. (Etken Kalite tarafından ISO 27001 danışmanlık raporunun hazırlanması)

 

HAZIRLANAN RİSK RAPORU ÜST YÖNETİME SUNULMASI
Risk analiz raporu üst yönetime sunularak risklerle ilgili kararı verilecektir. Üst yönetimin risk üstlenme dokümanından sonra ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurulum çalışmalarına geçilecektir. (Etken Kalite  tarafından ISO 27001 danışmanlık raporunun hazırlanması)

 

RİSK İŞLEME SÜRECİ SONUÇLARINA UYGUN TS ISO IEC 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ STANDARDININ EKİNDE YER ALAN EK-A KONTROL KRİTERLERİ’NİN SEÇİLMESİ VE KONTROL HEDEFLERİNİN BELİRLENMESİ
Bu aşamada sistemin kurulması çalışmaları başlamaktadır. Kapsam, sınırlar, politikalar ve risk analizine bağlı olarak seçilen kontrol kriterleri yapılandırılacaktır. (Etken Kalite tarafından ISO 27001 danışmanlık raporunun hazırlanması)

 

UYGULANABİLİRLİK BİLDİRGESİNİN HAZIRLANMASI
Ek – A kontrol kriterlerinin seçilmesi ve kontrol hedeflerinin belirlenmesinden sonra standardın istediği Uygulanabilirlik bildirgesi hazırlanacaktır. (Etken Kalite tarafından ISO 27001 danışmanlık raporunun hazırlanması)

 

SİSTEM İÇ TETKİKİ VE YÖNETİMİN GÖZDEN GEÇİRİLMESİ YAPILMASI
Bu aşamada uygulamaya alınır, en az 30 günlük bir uygulama süresinden sonra sistemin iç tetkiki gerçekleştirilir. İç tetkik raporları Yönetimin Gözden Geçirilmesi Toplantısında karar bağlanır. (Etken Kalite tarafından ISO 27001 danışmanlık raporunun hazırlanması)

 

BELGELENDİRME KURULUŞUNA MÜRACAATIN YAPILMASI
Sistemin istenilen düzeyde çalışıyorsa Belgelendirme amaçlı Aşama-1 (Stage-1) sürecine gelinmiş olur ve bu aşamada kurumunuzu akredite olmuş belgelendirme kuruluşlarına müracaat etmesi fiyat teklifi alması gerekir. (Etken Kalite tarafından ISO 27001 danışmanlık raporunun hazırlanması)

 

BİRİNCİ AŞAMA BELGELENDİRME DENETİMİNİN YAPILMASI
Birinci Aşama Belgelendirme denetimi Belgelendirme kuruluşu tarafından yapılır ve var ise eksiklikler ve uygunsuzluklar tespit edilir. Yapılan başvuru sonucu belgelendirmeci kuruluşun saptadığı eksikliklerinin ve uygunsuzlukların tamamlanması için verilecek hizmet danışmanlık hizmeti kapsamındadır. Eksiklikler ve uygunsuzlukların tamamlanması veya hiç eksiklik ve uygunsuzluk bulunmaması durumunda 2. Aşama Belgelendirme Denetimine geçilir. (Etken Kalite tarafından ISO 27001 danışmanlık raporunun hazırlanması) Şirket talep ve beklentilerinin karşılanma düzeyine ait çıktıların ölçülmesi

 

İKİNCİ AŞAMA BELGELENDİRME DENETİMİNİN YAPILMASI
İkinci aşama belgelendirme denetimi asıl denetimdir ve sistem bütün yönleri ile ve uygulamaları ile incelenir. Belgelendirme kuruluşu denetçileri tarafından ISO 27001 standardına göre mevcut durum, Gözlem, Tavsiye, uygunsuzluklar tespit edilir. Danışmanlık firması 1. Aşama denetimde olduğu gibi eksiklikleri ve uygunsuzlukları giderir ve Belgelendirme kuruluşuna yapılan düzeltici faaliyetler gönderilir. (Etken Kalite tarafından ISO 27001 danışmanlık raporunun hazırlanması) Şirket talep ve beklentilerinin karşılanma düzeyine ait çıktıların ölçülmesi

 

ISO 27001 DANIŞMANLIK FİRMASI TEKNİK DESTEK DANIŞMANLIK HİZMETİ
Aslında bu durum ilk başta tekliflerin alınması sözleşmenin yapılması aşamasında karara bağlanmalıdır. ISO 27001 Bilgi Güvenliği Yönetim Sisteminin sürekliliğinin sağlanması ve iyileştirilmesi sistemin tam olarak anlaşılması için danışman firmanın bir sonraki gözetim denetimine kadar teknik destek danışmanlık hizmeti vermesi gerekir. Bu hizmeti almak tamamen kuruluşunuza bağlıdır.

 

Yukarıda belirtilen maddeleri özetlersek ISO 27001 Danışmanlık firmasından aşağıdaki hizmetler alınır.
• Bilgi varlıkların sınıflandırılması, kategorileştirilmesi, sistem açısından kritikliklerinin belirlenmesi.
• Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi
• Risk yaklaşımı için bir çerçevenin sunulması
• Risk analizi raporunun hazırlanması
• Risklerin derecelendirilmesi
• Risklerin üst yönetime sunulması için çerçeveyi oluşturma
• Üst yönetimin risk analiz raporu değerlendirmelerine göre risk işleme planının hazırlanması
• Risk işleme planına uygulanacak kontrolleri belirleme
• Dokümantasyon oluşturma
• Kontrolleri yapılandırma
• İç tetkik
• Kayıtları tutma
• Yönetimin gözden geçirmesi