Hemen Bize Ulaşın ! +90216 305 4666

Uluslararası Standartlar Organizasyonu tarafından çıkarılan ISO/IEC 27001:2013 Bilgi Güvenliği Yönetimi Sistemi, değerli bilgi varlıkları korumaya ve yönetmeye yardımcı olan standartlar bütünüdür. Bu standard yönetim sistemi, yeterli ve orantılı güvenlik kontrollerinin seçilmesini sağlamak için tasarlanmıştır.

Teknolojinin ve iletişimin çok hızlı geliştiği çağımızda, iş ortamında sahip olunan bilginin korunması çok daha önemli bir hal almıştır. Bilgi, bir kuruluşun faaliyetlerini sürdürebilmesi için büyük önem taşır. Bilginin korunmasında oraya çıkacak güvenlik riskleri ve bilgi varlıklarına yönelik tehditleri belirlemek ve sistemdeki açık noktaları denetlemek ciddi bir uğraş gerektirmektedir. Bilgi Güvenliğini kurmak ve yapılacak kontrollerin sürekliliğini sağlamak, bununla ilgili güvenlik esaslarını doğru kurmaya, yönetim süreçlerini doğru belirlemeye ve bilgi güvenliği standardlarının belirlenmesine bağlıdır.

ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi kurmuş olan firmalar, bilgi alt yapılarını tespit edip, bu varlıklara yapılacak olası saldırıları ve tehlikeleri analiz ederek, bu tehlikelerin meydana gelmesi durumunda ne yapılacağına karar verirler.

ISO 27001 Belgesi, bilginin korunmasına yönelik risklerin neler olduğunu ortaya çıkarmak ve bu riskleri ortadan kaldırmaya veya minimize etmeye yarayacak önlemleri tespit edebilmek için kuruluşa büyük avantajlar sağlayacaktır. Bu Standard özellikle banka ve finans kuruluşlarında, sağlık kuruluşlarında, resmi dairelerde, ithalatta, ihracatta ve bilgi teknolojileri sektöründe bilginin korunması çok daha fazla önem taşımaktadır.

Bu standardın temel hedefleri, Kuruluşların olası bilgi güvenlik açıklarını tespit etmek, bilgi varlıklarının karşısında olan tehditleri ortaya koymak ve bu tehditleri sistematik olarak denetlemek. Risk altında olan bilgi varlıklarının güvenliğini sağlamak üzere yapılacak kontrolleri belirlemek, bu kontrollerin yapılmasını sağlamak ve olası riskleri kabul edilebilir seviyelerde tutmak. Bu şekilde yapılacak bilgi güvenliği kontrollerinde sürekliliği sağlamak ve bu amaçla yönetim süreçlerini belirlemek ve uygulamaktır.

ISO 27001 Standardı uygulaması, verilerin gizliliğini, doğruluğunu ve erişilebilirliğini savunmak için veri güvenliğinizi yöneticiler çerçevesinden kontrol eder. Sistemin tutarlılığının kontrol edilmesi, veri güvenliği faktörlerinin mekanik, kullanılabilir, prosedürel, insani ve ekolojik gibi alanlarda kontrol altına alındığını garanti etmeye çalışır.

ISO 27001 Sertifikası, hem kuruluş varlıklarını herhangi bir zayıflıktan ve dış saldırılardan korumak için hem de ister oluşturulmuş, ister elektronik veya ister başka ortamda olsun, verilerin tüm yaşam modeliyle başa çıkmak için her boyut ve türdeki kuruluşlara uygulanabilir. Standart sistem yapısı, müşterilerle veya kuruluşun kendisiyle karşılaştırmalı olarak kurum içi veya dışı, yeniden dağıtılmış bir halde oluşturulmalıdır.



ISO 27001 Nedir ?

iso 27001 nedir

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, ilişkilerin tüm verilerin güvenliğiyle başa çıkmak için tehlike temelli bir yol almasını bekler. ISO 27001 kesinlikle kuralları koyan bir sistem standardı olarak kendini tanımlamaz ve kural koymaz. Kural koymak yerine, bir Uygulanabilirlik Beyanında bildirilen veri güvenliği tehlikelerinin değerlendirilmesi ve işlenmesi yoluyla veri güvenliğini garanti etmek için kurumların yetki oluşturmasını ve bilgi güvenliğini sağlamasını amaçlar.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi onayınızı tamamlayarak, sisteminizin dünya çapındaki en iyi uygulamaları karşıladığını gösterebilir ve müşterilere, sağlayıcılara ve kuruluşunuzun oluşturduğu ve/veya elde ettiği verilerle güvenle başa çıkabileceğini ortaya koyabilirsiniz.


ISO 27001 Standardı

ISO 27001 Standardı”, Bilgi Güvenliği Yönetim Sistemi için gereksinimleri belirleyen uluslararası kabul görmüş bir standarttır. Gereksinimler, yönetim sisteminizi nasıl oluşturacağınız, yöneteceğiniz ve geliştireceğiniz hakkında talimatlar sağlar. 2013 yılında güncellenen ve günümüzde “ISO 27001:2013” olarak adlandırılan standart, müşteri ve paydaş gizliliğinin korunması için bir ölçüt olarak kabul edilmektedir.

ISO Analizlerinden elde edilen sonuçlara göre; 2018 yılı sonu itibarı ile dünya genelinde yaklaşık 32.000 adet ISO 27001 Sertifikası bulunmakta ve 2017 yılına nazaran %19,2 azalma tespit edilmiş durumdadır. Önemli bir oranda azalma görülse de yine de belge sayılarının, bilgi teknolojileri ve güvenliği noktasında ilerleyen yıllarda çok fazla sayıda artması beklenmektedir.


ISO 27001 Belgesi Denetimi Nasıldır ?

ISO belgesi veren firma nedir? ne yapar?

Belgelendirme kuruluşu, Aşama 1 ve Aşama 2 denetimlerini gerçekleştirerek uygunluk durumuna göre ISO 27001 Belgesi Veren Firma’ dır. Bu faaliyeti gerçekleştiren firmalara, “3. Taraf Sertifikasyon Kuruluşu” denir.

Üçüncü Taraf Sertifikasyonu, Yönetim Sisteminizin bağımsız bir üçüncü taraf kuruluş tarafından denetlenmesidir. Bu denetim türü tipik olarak, TÜRKAK gibi AKREDİTASYON KURUMU bir devlet kuruluşu tarafından yetkilendirilen Uygunluk Değerlendirme Kuruluşları için kullanılır. Belge Veren Firmalar/Kuruluşlar, ISO 9001 , ISO 22000, ISO 45001, ISO 10002, ISO 39001, ISO 3834-2, ISO 17100, ISO 15838, ISO 37000 ve ISO 14001 gibi çeşitli standartlara uygun kayıtlı sertifikaları da verebilirler. ISQ, bu standartların tamamı için yetkili ve uzman bir ortağınızdır.

Aşama 1 ve Aşama 2 Denetimleri Nedir?

ISO 27001 Belgelendirme Süreci 2 aşamadan oluşur. Aşama 1’de, ISQ veya anlaştığınız başka bir denetim kuruluşu, teklif ettiğiniz kapsamın gerekliliklerini ve kendiniz için belirlediğiniz hedefleri karşılayıp karşılamadığınızı doğrular.

Denetim kuruluşu, bu noktada normal olan herhangi bir endişe konusu (uygunsuzluk) bulursa, daha iyi bir Bilgi Güvenliği Yönetim Sistemi’ ne sahip olmak için ekstra çaba sarf edeceksiniz demektir.

Denetim heyeti, denetimin 2. aşamasına başlamadan önce, endişe duyduğunuz alanları ele almak için size biraz zaman verecektir. Aşama 2'de, tüm endişe alanlarının (uygunsuzlukların) düzeltildiğinden emin olmak ve bilgi güvenliği yönetim süreçlerinin uygulanmasında ortaya çıkacak uygunluk durumu ve uygunsuzlukları tespit etmek için sisteminiz tekrar değerlendirilecektir. Bu aşamada, büyük uygunsuzluklar yoksa, sertifikanız verilebilir; aksi takdirde, denetimin bir sonraki ziyaretinden önce mevcut uygunsuzlukları düzeltmeniz için zaman verilecektir. Uygunsuzlukları giderdikten sonra ISO 27001 sertifikası almaya hak kazanacaksınız.

Gözetim Denetimi(leri) Nedir?

Tipik olarak, ISQ gibi bir belgelendirme kuruluşu, sertifikanız yayınlandıktan sonraki ilk üç yıl boyunca yönetim sisteminizin yıllık gözetimini yapar. Bu şekilde, her şeyin standarda uygun şekilde çalıştığından ve uygulamaların ISO standart gereksinimlerini karşıladığından emin olacaksınız.


ISO 27001 Sertifikası Nedir ?

Veriler ve bilgiler her kuruluştaki değerli varlıklardır ve potansiyel risklerden veya tehditlerden korunmayı hak eder. Fikri mülkiyetinizi, finansal verilerinizi ve üçüncü taraf veya çalışan bilgilerini korumak için bir Bilgi Güvenliği Yönetim Sistemi uygulamanız gerekir.

ISO 27001 Sertifikası , hassas kurumsal verileri ve bilgileri çeşitli risklere karşı tanımlamanıza, yönetmenize ve korumanıza yardımcı olan süreçlerin ve politikaların birleşimine denir.”

ISO 27001 Sertifikası'nın temel amacı, korunan veri ve bilgilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamaktır.”


ISO 27001 Sertifikası Nasıl Alınır ?

  • ISO 27001 ve ISO 27006 Standartlarının temin edilmesi (TSE’ den temin edilebilir),
  • ISO 27001 Standardı içeriği gereksinimlerinden olan aşağıda belirtilen Dokümante Bilgi’ nin oluşturulması gerekir.
    • Bilgi Güvenliği El Kitabı (BGEK),
    • Bilgi Güvenliği Politikaları (Genel, Erişim, şifre güvenliği, kabul edilebilir kullanım, anti-virüs, erişim, yedekleme, temiz cihaz, personel güvenlik, Sunucu güvenliği, data imha, ekipman imha, bilgi-yazılım alış-veriş, fiziksel güvenlik, varlık yönetimi ve sorumluluğu, değişim yönetimi ve ziyaretçi kabul gibi),
    • Bilgi Güvenliği Yönetim Sistemi Uygulanabilirlik Bildirgesi (SOA),
    • Bilgi Güvenliği Prosedürleri (Risk yönetim, olay ihlal, iş sürekliliği, disiplin prosedürleri gibi),
    • Bilgi Güvenliği Yönetimi Görev Tanımları (Her bir personel için yetki, sorumluluk ve uygulama detayları ile verilmesi uygun olur),
    • Bilgi Güvenliği Uygulama ve İş Talimatları (Kullanıcı Hesabı Yönetimi, Sistem-Sunucu Odası Kullanımı ve Bakımı, Varlık Belirleme Sınıflandırma ve Etiketleme, VPN Güvenliği, Anti-virüs gibi),
    • Bilgi Güvenliği Yönetim Sistemi Kayıt, Uygulama ve İzleme Form Dokümanları.

    NOT: ISO 27001 Belgesi almak isteyen kuruluş bu dokümante bilgiyi oluşturacak kaynaklara sahip değil ise Uzman bir Danışman Kuruluştan destek almalıdır.

  • Oluşturulan Dokümante Bilgi’ nin en az 3 ay uygulanması gereklidir. Bu Uygulamalar;
    • Bilgi Güvenliği Yönlerinin belirtildiği kayıtlar,
    • Envanter Kayıtları,
    • Log Kayıtları,
    • Risk Değerlendirmeleri,
    • Sızma Testleri ve Açık Durumunu gösterir kayıtlar,
    • Bilgi Güvenliği Yönetim Sistemi Program kayıtları,
    • Kapasite Yönetim kayıtları,
    • İş Sürekliliği kayıtları,
    • Bilgi Güvenliği Yönetim Sistemi Varlık-Envanter, Uygulama vb. Genel Kontrol kayıtlar,
    • Sistem-Sunucu ve diğer varlık bakım-onarım gibi kayıtları,
    • Olay İhlal Kayıtları,
    • Bilgi Güvenliği Yönetim Sistemi ve Yasal Mevzuatlara Uygunluğun gösterildiği kayıtlar,
    • 3. Taraf Gizlilik Sözleşme Kayıtları,
    • Dokümante Bilginin Kontrolü kayıtları,
    • Kayıt muhafaza ve saklama yapısının izlendiği kayıtlar muhafazasına ait kayıtlar,
    • İnsan kaynakları, idari yönetim ve ziyaretçi kayıtları,
    • Eğitim kayıtları,
    • Düzeltici Önleyici Faaliyetlere dair uygulama ve kayıtlar,
    • İç Tetkik Süreç kayıtları,
    • Yönetimin Gözden Geçirmesi (YGG) kayıtları,
    • Liderlerin yönetime sunduğu bilimum rapor kayıtları.
  • Doküman ve Uygulama sonrası ISQ Belgelendirme gibi bir belgelendirme firmasına Denetim ve Belgelendirme Başvurusunun yapılması.
  • İlk aşaması dokümante bilgi, varlıklar ve politikaların genel olarak incelendiği denetim ve İkinci aşamasında tüm sistem ve uygulamaların incelendiği genel saha kontrol ve tescil durumunun ortaya konduğu 2 aşamalı denetim.
  • Düzeltici faaliyetler sonrası (uygunluk tescili) sertifikanın basımı ve alımı.

ISO 27001 Sertifikası Fiyat

ISO 27001 Belgesi Fiyatı: 2 aşamalı denetim ve sertifika ücreti toplamı alınarak ortaya çıkan para değeridir.

Fiyatlandırma;

  • İlk Aşama Doküman İnceleme Denetimi (Sahada) yaklaşık 2 adam/gün - 4 adam/gün = 3.000,00 TL - 9.000,00 TL
  • İkinci Aşama Saha İncelemesi yaklaşık 4 adam/gün - 30 adam/gün= 20.000,00 TL - 150.000,00 TL
  • Sertifika Ücreti= 3.500, 00 TL ile 5.000,00 TL.

Yani, ISO 27001 Sertifikası Fiyatı (Ücreti) 2024 yılında; 26.500,00 TL ile 164.000,00 TL civarlarındadır.

Not: Yukarıda ortalama fiyat belirtilmekte olup, nihai fiyatlandırma firmanın büyüklüğü ve çalışan sayısına bağlı olarak değişmektedir.

En uygun ISO 27001 Belgesi Fiyatı için ISQ Belgelendirme’ yi tercih ederek kazananlardan olabilirsiniz!


ISO 27001 Belgesi Kapsamı Nedir ?

ISO 27001 Sertifikası standart kriterlere uyumluluğunun bir parçası, Bilgi Güvenliği Yönetim Sistemi' nin kapsadığı kapsamı oluşturmaktır.

ISO 27001 Standart gereksinimlerin bu kısmı, Bilgi Güvenliği Yönetim Sistemi kapsamına giren ve bunun dışındaki alanların tam olarak iletişimini sağlar.

ISQ Belgelendirme denetçileri bir kuruluşun yürürlükte olan politikalara uyup uymadığını görmek için kapsam bilgi ve belgelerine başvururlar.

Bilgi Güvenliği Yönetim Sistemi gereksinimler

Kuruluşlar, bilgi güvenliği yönetim sistemleri için kapsamlarını oluşturmaları, kapsam dışında kalan alanlarını da belirlemeleri gerekir. Çoğu durumda, işletmelerin güvenli bilgilerle çalışma şeklini ve ilgili paydaşları ilgilendiren her şey belirlenen bu kapsam çerçevesinde geçerli olacaktır.

ISO 27001 Kapsamı 4 Aşamada Nasıl Belirlenir?

ISO 27001 Yönetim sisteminin zorunlu ve zor bir süreci olan Bilgi Güvenliği Yönetim Sistemi Kapsamı’ nın belirlenmesini kolaylaştıran 4 aşamayı aşağıda paylaşalım;

  • 1.Aşama; sisteme dahil olabilecek tüm olasılıkları içeren ön kapsamın geliştirilmesi,
  • 2.Aşama; her bir parametrenin kapsamda olmasının gerekip gerekmediğini görmek için değerlendirmeler yaparak kapsamın uygun şekilde daraltılması,
  • 3.Aşama; Bilgi Güvenliği Yönetim Sistemi için uygun şekilde daraltılmış nihai kapsamı oluşturarak belgeleyin,
  • 4.Aşama; Kapsamı üst yönetime onaylatın.

Belirlenmiş ISO 27001 Kapsamın Faydaları Nelerdir?

Bilgi Güvenliği Yönetim Sistemi Kapsam Faydaları

Kapsamı belirledik ne olacak?

Belirlenmiş bir kapsam, işin Bilgi Güvenliği Yönetim Sistemi tarafından kapsanan kısımları hakkında soru işareti bırakmaz. Müşteriler, dış taraflar ve çalışanlar, mevcut bilgi güvenliği yönetimini anlamak için belirlenmiş ve onaylanmış Bilgi Güvenliği Yönetim Sistemi kapsamına başvurabilirler.

Tüm taraflar, kapsamı inceleyebilir ve bilgilerin potansiyel riskler için yürürlükte olan sistemler, politikalar, prosedürler, uygulamalar ve iyileştirmeler için korunup korunmadığını açık şekilde anlayacaklar.

Kapsam Gereksinimleri Nedir?

ISO 27001 Sertifikası için Bilgi Güvenliği Yönetim Sistemi, organizasyonel, fiziksel ve teknolojik kapsamını kapsamalıdır. Örgütün ve dış bağlamın ara yüzleri ve bağımlılıkları da kapsam dahilinde olmalıdır.

ISO 27001 kapsamında olan ilgili dış taraflar arasında müşteriler, düzenleyiciler, yatırımcılar, endüstri birlikleri ve hissedarlar bulunmalıdır. İlgili taraflar üst yönetim, bilgi güvenliği analistleri, varlık sahipleri ve son kullanıcılar olmalıdır.

İş faaliyetleri, Bilgi Güvenliği Yönetim Sistemi’ nin genel kapsamını etkileyebilir ve bu faaliyetleri değiştiren işlevleri destekleyebilir. Bir örnekle açıklayacak olursak; IT yazılım uygulamaları bu prosedürler için gereklidir. Dış kaynaklı fonksiyonlar hem iç tarafları hem de üçüncü taraf tedarikçileri kapsar ve bu şartlarda göz önünde bulundurulmalıdır.

ISO 27001 Kapsamı, kuruluşlara Bilgi Güvenliği Yönetim Sistemi’ nin kapsamını ve bu kapsamın dışında kalan alanları gösterir. Kuruluşlar, güvenli verileri korumak için olması gereken güvenlik önlemlerini değerlendirirken üst yönetim ve bilgi güvenliği ekiplerinin kararlarını yönlendirebilirler.


Bilgi Güvenliği Yönetim Sistemi Gereksinimleri

ISO 27001 Sertifikası, kuruluşlara bilgi güvenliği yönetim sistemi gereksinimleri olarak hizmet veren 10 madde ve kuruluş tarafından dikkate alınması gereken 114 denetimi özetleyen Ek A bölümünü de verir. Kuruluşlar bir şekilde herhangi bir boyuttaki ve türdeki bilgiyi çeşitli şekillerde toplar, işler ve iletirler. Bu faaliyetlerin yönetilmesi için ISO 27001 ile uyumlu bir Bilgi Güvenliği Yönetim Sistemi' nin uygulanmasından yararlanabilirler.

Standardın başlangıcında yer alan 3 maddesi, terimler, tanımlar ve ISO 27001'in normatif referansı hakkında giriş bilgilerini içermektedir. Yönetim sistemi kriterlerinin verildiği ana içerikler 4. maddeden başlar.

Standart Madde 4- Kuruluşun bağlamı;

Bağlam organizasyonun Bilgi Güvenliği Yönetim Sistemi' ni inşa ettiği temeli oluşturan bir kavramdır. O işinizi ve ortamınızı tanımlamak ve analiz etmekle ilgilidir. Bunu yapmak için, Bilgi Güvenliği Yönetim Sistemi'nizin başarısını ve hedeflerine ulaşmasını etkileyebilecek tüm faktörleri belirlemelisiniz.

Örnek olarak:

  • Bilgi güvenliği sistemi ile ilgili tüm iç ve dış konular,
  • Tüm iç ve dış ilgili taraflar ve beklentileri,
  • Yönetim sisteminin kapsamı.

Kuruluşun bağlamını tanımlamanın önemi, risk yönetimi ve sürekli iyileştirme gibi daha sonra oluşturacağınız bazı önemli süreçlerin temelini oluşturmasıdır.

Bu noktada elde etmeniz gereken şey, bir Bilgi Güvenliği Yönetim Sistemi ile korumak istediğiniz varlıkların neler olduğunu ve nedenini tanımlamaktır.

Bağlamınız ve Bilgi Güvenliği Yönetim Sistemi' nizin kapsamı ne kadar açık ve net olursa diğer kuruluşlarla ilişkilerinizi görmeniz konusunda fırsatlar ve avantajlar sağlayabilir.

Standart Madde 5- Liderlik;

Üst yönetici bir organizasyon sürecine dahil olduğunda, istenen sonuçları elde etme şansı pasif olduğu ve dahil olmadığı zamandan çok daha yüksektir. Bilgi Güvenliği Yönetim Sistemi başarısı üst yönetim taahhüdüne dayanmaktadır ve standart, bu maddeyi liderlik rolü ve sorumluluğuna atayarak bu gerçeğe vurgu yapmaktadır. Üst yönetimin destek ve katılımı göstermek için yapması gerekenler şunlardır:

  • Bilgi Güvenliği Yönetim Sistemi politikasının ve hedeflerinin veya nesnel bir çerçevenin oluşturulması,
  • Bilgi Güvenliği Yönetim Sistemi politikasını ve hedeflerini genel iş stratejisiyle uyumlu hale getirmek,
  • Gerekli tüm kaynakları tahsis etmek,
  • Yönetim sisteminde yer alan insanlarla iletişim kurmak ve onları desteklemek, Bilgi Güvenliği Yönetim Sistemi uygulamak.

Standart Madde 6- Planlama;

Bilgi Güvenliği Yönetim Sistemi için planlama yaparken, ISO 27001 riskleri ve fırsatları tanımlamak ve tedavi etmekle yakından ilgilidir.

Kuruluşların, riskleri tanımlayan, belirleyen ve ele alan bir risk yönetimi sürecine sahip olmasını gerektirir; standart aynı zamanda bunun şirkette sürekli iyileştirmeyi sağlamak için devam eden bir süreç olması gerektiğini vurgulamaktadır. İç ve dış konular ve ilgili tarafların gerekliliği açısından bulduklarınız, standardın 4. maddesinde risk yönetimi temelinde verilmektedir.

Planlamanın diğer kısmı bilgi güvenliği hedeflerinin belirlenmesi ve bu hedeflere ulaşılmasının planlanması ile ilgilidir. Bu hedefler Bilgi Güvenliği Yönetim Sistemi politikası ve risk yönetimi sonuçları ile uyumlu olmalıdır. Aynı zamanda, hedefler ölçülebilir olmalı ve kuruluş aracılığıyla iletilmelidir.

Standart Madde 7- Destek;

Yeterli seviyede destek, bir kuruluşta Bilgi Güvenliği Yönetim Sistemi' yi başarıyla uygulamak ve sürdürmek için gereklidir. Bu madde, Bilgi Güvenliği Yönetim Sistemi ile ilgili yeterli kaynak, yetkinlik, iletişim ve belgelenmiş bilgi olduğunda destek sağlamanızı istemektedir.

Kaynaklar arasında ISO 27001' e uyum sürecinde ihtiyaç duyulacak insan, zaman, bütçe, bilgi ve altyapı yer almaktadır.

İnsanlar ve yetenekleri sistemin gerekli bir parçası. Diğer yandan, bilgiye ihtiyaç duyan insanlar için bilgiye erişimi kolaylaştırmak için bir iletişim süreci mevcut olmalıdır. İletişim yelpazesi, gerekli olduğu ölçüde tüm iç ve dış ilgili tarafları içermelidir. Sorunsuz ve yeterli iletişim Bilgi Güvenliği Yönetim Sistemi' nin anahtarıdır.

Standart Madde 8- İşletme;

Bu noktada, halihazırda mevcut organizasyonun bağlamını, risklerini ve fırsatlarını tanımladı ve gerekli süreçleri planladı başarmak Bilgi Güvenliği Yönetim Sistemi hedefleri ve riskleri ele alır. Şimdi planları uygulama zamanı.

Süreçler ve kontroller için ne zaman uygulama yaparsanız, Bilgi Güvenliği Yönetim Sistemi gereksinimlerinin planlandığı gibi karşılandığından emin olmanız ve kapsamınızda bir değişiklik olduğunda uygun işlemleri yapabilmeniz gerekir.

Süreç çıktısı, bir ayarlama gerektiğinde izlenmeli ve gözden geçirilmelidir; örneğin, ilgili tarafların yeni beklentileri veya Bilgi Güvenliği Yönetim Sistemi' de beklenmedik bir değişiklik olduğunda.

Standart Madde 9- Performans değerlendirme;

Gerekli süreçler uygulandığında, şirketin önceden belirlenmiş sonuçlara ulaşıp ulaşmadığını değerlendirme ve değerlendirme zamanı gelmiştir. Değerlendirme için;

Bilgi güvenliği performansı nasıl? Bilgi Güvenliği Yönetim Sistemi ne kadar etkili?

Sorularını cevaplamak için, Bilgi Güvenliği Yönetim Sistemi süreçlerinin tam olarak nasıl ölçüleceğini belirlemeniz gerekir. ISO 27001, kuruluşların tüm Bilgi Güvenliği Yönetim Sistemi gerekliliklerinin karşılanıp karşılanmadığını görmekle sorumlu bir iç denetim programına sahip olunmasını bekler.

Üst yönetim bir kez daha tüm süreci gözden geçirmesi ve her şeyin kriterlere uygunluğunu, örgütün genel hedefleri ve stratejik yönü ile uyumlu olduğunu ortaya koymalıdır.

Standart Madde 10- Geliştirme;

Her zaman iyileştirme için gereklilik bulunmaktadır. Bu, küçük veya büyük uygunsuzlukları ortadan kaldırarak veya Bilgi Güvenliği Yönetim Sistemi sürecinin farklı aşamalarında gerekli çalışmalar yapılarak sağlanabilir.

Herhangi bir kuruluşun genel bağlamı ve kapsamı, sürekli değişikliklere tabi olduğundan, Gelişme devam eden bir süreç ve etkili bir yönetim sisteminin kritik bir parçası olmalıdır.

Standart Ek A;

Ek A, bir kuruluşun göz önünde bulundurması gereken 114 güvenlik kontrolünün ana hatlarını çizer, bu kontroller 14 güvenlik alanına bölünmüştür:

Güvenlik Alanı 1:

A.5 Bilgi güvenliği politikaları

A.5.1 Bilgi güvenliği için yönetim yönü

Amaç: İşletme gereklilikleri ve ilgili yasa ve yönetmeliklere uygun olarak bilgi güvenliği için yönetim yönü ve desteği sağlamak.

Güvenlik Alanı 2:

A.6 Bilgi güvenliğinin organizasyonu

A.6.1 İç organizasyon

Amaç: Uygulamanın başlatılması ve kontrol edilmesi için bir yönetim çerçevesi oluşturmak operasyon kurum içinde bilgi güvenliği.

A.6.2 Mobil cihazlar ve uzaktan çalışma

Amaç: güvenlik tele-çalışma ve kullanım mobil cihazların.

Güvenlik Alanı 3:

A.7 İnsan kaynakları güvenliği

A.7.1 İşe başlamadan önce

Amaç: Çalışanların ve yüklenicilerin sorumluluklarını anlamalarını ve dikkate alındıkları roller için uygun olmalarını sağlamak.

A.7.2 İstihdam sırasında

Amaç: Çalışanların ve yüklenicilerin farkında olmalarını sağlamak yerine getirmek bilgi güvenliği sorumlulukları.

A.7.3 İş akdinin feshi ve değişimi

Amaç: organizasyonlar istihdamı değiştirme veya sona erdirme sürecinin bir parçası olarak çıkarlar.

Güvenlik Alanı 4:

A.8 Varlık yönetimi

A.8.1 Varlıkların sorumluluğu

Amaç: Kurumsal varlıkları ve uygun koruma sorumluluklarını tanımlamak.

A.8.2 Bilgi sınıflandırması

Amaç: Bilginin kuruluşa verdiği önem doğrultusunda uygun düzeyde koruma almasını sağlamak.

A.8.3 Ortam kullanımı

Amaç: Medyada depolanan bilgilerin izinsiz ifşasını, değiştirilmesini, kaldırılmasını veya imha edilmesini önlemek.

Güvenlik Alanı 5:

A.9 Erişim kontrolü

A.9.1 Erişim kontrolünün ticari gereksinimleri

Amaç: Bilgi ve bilgi işleme tesislerine erişimi sınırlamak.

A.9.2 Kullanıcı erişim yönetimi

Amaç: Yetkili kullanıcı erişimini sağlamak ve sistemlere ve hizmetlere yetkisiz erişimi önlemek.

A.9.3 Kullanıcı sorumlulukları

Amaç: Kullanıcıları, kimlik doğrulama bilgilerini korumaktan sorumlu hale getirmek.

A.9.4 Sistem ve uygulama erişim kontrolü

Amaç: Sistemlere ve uygulamalara yetkisiz erişimi önlemek.

Güvenlik Alanı 6:

A.10 Şifreleme

A.10.1 Şifreleme denetimleri

Amaç: Bilgilerin gizliliğini, gerçekliğini ve / veya bütünlüğünü korumak için kriptografinin uygun ve etkili kullanımını sağlamak.

Güvenlik Alanı 7:

A.11 Fiziksel ve çevre güvenliği

A.11.1 Güvenli alanlar

Amaç: Kuruluşun bilgi ve bilgi işleme tesislerine yetkisiz fiziksel erişimi, hasarı ve paraziti önlemek.

A.11.2 Ekipman

Amaç: Varlıkların kaybolmasını, hasar görmesini, çalınmasını veya uzlaşmasını ve kuruluşun faaliyetlerinde kesintiyi önlemek.

Güvenlik Alanı 8:

A.12 İşletme Güvenliği

A.12.1 Operasyonel prosedürler ve sorumluluklar

Amaç: Bilgi işlem tesislerinin doğru ve güvenli çalışmasını sağlamak

A.12.2 Kötü amaçlı yazılımlardan koruma

Amaç: Bilgi ve bilgi işleme olanaklarının kötü amaçlı yazılımlara karşı korunmasını sağlamak.

A.12.3 Yedekleme

Amaç: Veri kaybına karşı korumak

A.12.4 Günlüğe kaydetme ve izleme

Amaç: Olayları kaydetmek ve kanıt oluşturmak

A.12.5 İşletimsel yazılımın kontrolü

Amaç: İşletim sistemlerinin bütünlüğünü sağlamak.

A.12.6 Teknik güvenlik açığı yönetimi

Amaç: Önlemek istismar güvenlik açıkları

A.12.7 Bilgi sistemleri denetim hususları

Amaç: Denetim faaliyetlerinin operasyonel sistemler üzerindeki etkisini en aza indirmek.

Güvenlik Alanı 9:

A.13 İletişim güvenliği

A.13.1 Ağ güvenliği yönetimi

Amaç: Ağlardaki ve destekleyici bilgi işleme tesislerindeki bilgilerin korunmasını sağlamak.

A.13.2 Bilgi aktarımı

Amaç: Bir kuruluş içinde ve herhangi bir dış kuruluş ile aktarılan bilgilerin güvenliğini sağlamak.

Güvenlik Alanı 10:

A.14 Sistem alımı, geliştirilmesi ve bakımı

A.14.1 Bilgi sistemlerinin güvenlik gereksinimleri

Amaç: Bilgi güvenliğinin tüm yaşam döngüsü boyunca bilgi sistemlerinin ayrılmaz bir parçası olmasını sağlamak. Bu, ortak ağlar üzerinden hizmet sağlayan bilgi sistemleri için gereksinimleri de içerir.

A.14.2 Geliştirme ve destek süreçlerinde güvenlik

Amaç: Bilgi güvenliğinin, bilgi sistemlerinin gelişim yaşam döngüsü içerisinde tasarlanmasını ve uygulanmasını sağlamak.

A.14.3 Test verileri

Amaç: Test için kullanılan verilerin korunmasını sağlamak.

Güvenlik Alanı 11:

A.15 Tedarikçi ilişkileri

A.15.1 Tedarikçi ilişkilerinde bilgi güvenliği

Amaç: koruma ... organizasyonlar tedarikçiler tarafından erişilebilen varlıklar.

A.15.2 Tedarikçi hizmet sunum yönetimi

Amaç: Tedarikçi sözleşmeleri doğrultusunda kabul edilmiş düzeyde bilgi güvenliği ve hizmet sunumu sağlamak.

Güvenlik Alanı 12:

A.16 Bilgi güvenliği olay yönetimi

A.16.1 Bilgi güvenliği olaylarının ve iyileştirmelerinin yönetimi

Amaçlar: Güvenlik olayları ve zayıflıkları hakkında iletişim de dahil olmak üzere bilgi güvenliği olaylarının yönetimine tutarlı ve etkili bir yaklaşım sağlamak.

Güvenlik Alanı 13:

A.17 İş sürekliliği yönetiminin bilgi güvenliği yönleri

A.17.1 Bilgi güvenliği sürekliliği

Amaç: Bilgi güvenliği sürekliliği kuruluşların iş sürekliliği yönetim sistemlerine yerleştirilecektir.

A.17.2 Fazlalıklar

Amaç: Bilgi işlem tesislerinin kullanılabilirliğini sağlamak

Güvenlik Alanı 14:

A.18 Uygunluk

A.18.1 Yasal ve sözleşme şartlarına uyum

Amaç: Bilgi güvenliği ve güvenlik gereklilikleriyle ilgili yasal, yasal, düzenleyici veya sözleşmeye bağlı yükümlülüklerin ihlalini önlemek.

A.18.2 Bilgi güvenliği incelemeleri

Amaç: Bilgi güvenliğinin kurumsal politika ve prosedürlere uygun olarak uygulanmasını ve işletilmesini sağlamak.

Bilgi Güvenliği Yönetim Sistemleri kısaca aşağıda tanımlanan gereksinimlerin yerine getirmesini bekler

  • Bilgi güvenliği riskleri tespit etme, tehlikeleri değerlendirme,
  • Risklerin, dış ve iç sorunların tanımlanarak ortaya konması ve bilgi güvenliğinde ilgili tarafları anlama,
  • Bilgi güvenliği taahhütlerini içeren bir Bilgi Güvenliği Politikası oluşturun,
  • Standardın oluşturulmasını istediği tüm politikaları oluşturun,
  • ISO 27001:2013 Standardı Ek A' da kaydedilen referans kontroller ışığında ayırt edici veri güvenliği şanslarının değerlendirmesini arşivleyerek ve kontrolleri (tehlike muamelesi) oluşturan bir Uygulanabilirlik Beyanı oluşturma,
  • Bir Yönetim Sistemi veya Yönetim Sistemi El Kitabı oluşturun; Standardın koşullarına hızlı bir şekilde uyum sağlayabilecek kadar çok veya yetersiz arşivleme; Sıklıkla diğer yönetim çerçeveleri için Kılavuz ile birleştirilir
  • Proses haritaları oluşturun; veri güvenliğini ele almak için gereken prosedürleri, talimatları ve yönergeleri içeren,
  • Yöneticilerin verilere yeniden el koymasını kontrol etmek
  • Bilgi güvenliği amaç ve hedefleri oluşturun ve takip edin,
  • Tüm işletme boyunca bilgi güvenliği tehlikelerini ve sistem açıklıklarını kavrayın,
  • Personelin yetkinliğini sağlayın ve bilgi güvenliği yükümlülüklerini anladığını garanti edin,
  • Bilgi Güvenliği Yönetim Sistemi Performansını izleyin,
  • Bilgi güvenliği uygunsuzluklarını kontrol edin; büyük ve küçük uygunsuzluklar için düzeltici faaliyetler yürütün, adımlar atın,
  • Tüm proses için İç Denetimler gerçekleştirin,
  • Yönetimin, bilgi güvenliğinin çerçevesini değerlendirmek ve garanti etmek için Yönetim Gözden Geçirme Toplantıları düzenleyin,
  • Amaç ve Hedefler için İyileştirme Planı oluşturun,
  • Kayıtlar tutun.

Bilgi Güvenliği Yönetim Sistemi Kurma Aşamaları

  • Varlıkların sınıflandırılması,
  • Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi,
  • Risk analizi,
  • Risk analizi çıktılarına göre uygulanacak kontrolleri belirleme,
  • Dokümantasyon oluşturma,
  • Kontrolleri uygulama,
  • İç tetkik,
  • Kayıtları tutma,
  • Yönetimin gözden geçirmesi,
  • Belgelendirme.

Bilgi Güvenliği Yönetim Sistemi Faydaları

ISO 27001 Sistemi uygulamayı düşünen bir kuruluşta veya Bilgi Güvenliği Yönetim Sistemi ile çalışan bir kuruluşta Üst Yönetimde ya da proseste bir yöneticiyseniz, ISO 27001 standardı yönetim sisteminin size de ne kadar değer katabileceği hakkında daha fazla bilgi sahibi olmanız gerekir.

Elde edebileceğiniz bazı önemli faydalara bakalım;

A.Güvenli bilgi alışverişi izni sağlar;

Bu standart, bilgi güvenliğinize yönelik tehditleri belirlemenize ve bunlara yönelik planlar oluşturmanıza yardımcı olur. Herhangi bir özel risk için, bir şeylerin yanlış gitmesi durumunda durumu kontrol edebilecek kadar sorumlu birisine sahip olursunuz. Bu tür bir süreç risk maruziyetini yönetebilir ve en aza indirebilir ve otomatik olarak daha güvenli bir bilgi alışverişine yol açabilir.

B.Bilgi güvenliğini herkesin sorumluluğuna yayar;

Şirketinizde ISO 27001'i uyguladığınızda, çalışanlar arasında farkındalık yaratır ve kuruluştaki rollerine bakılmaksızın bilgi güvenliğinden sorumlu olmalarını sağlamak için bilgi güvenliği eğitimi sağlarsınız.

Sonunda, veri koruma kuruluşun kültürüne doğru yol alır ve bir şekilde bilgi güvenliği sürecini herkesin anlayacağı ve başarmak için çalıştığı bir şekle sokar.

C.Rekabet avantajı ve itibar sağlar;

Değerli verilerini sizinle paylaşan tüm müşterilerinizin veya ortaklarınızın bilgi güvenliğinin öneminin bilincinde olduğunu ve bunu vermenizi beklediğini söylemek güvenlidir. ISO 27001 gibi bir bilgi güvenliği standardı sertifikasına sahip olmak, ortaklarınızın ve müşterilerinizin varlıklarına da önem verdiğinizi göstermenin güçlü bir yoludur. Bu, güven oluşturur, sizin için olumlu bir itibar yaratır ve sizi rakiplerinizden farklı kılar. ISO 27001 Sertifikası'na sahiptir.

D.Yasal veya üçüncü taraf yükümlülüklerini yerine getirir;

Muhtemelen bazen bir müşteri, üçüncü taraf veya yasalar tarafından kuruluşunuzun bilgi güvenliğini göstermesi istenir.

Böyle durumlarda ISO 27001 mükemmel bir seçim olabilir. Bu standart, dünya çapında birçok kuruluş tarafından tanınmakta ve kullanılmaktadır ve açık ve pratik talimatlarını uygulayarak, bilgi ve veri güvenliği ile ilgili güvenilirliğinizi kanıtlayabilirsiniz.

E.Yatırım getirisi sağlar;

Bu standardı uygulayarak, yatırım getirisini en az iki şekilde elde edebilirsiniz. Bunun bir yolu, sertifikanın potansiyel müşterileri çekebileceği ve potansiyel müşterileriniz tarafından yürütülen satış öncesi durum tespiti konusunda yardımcı olabileceğinden, kuruluşunuza kattığı pazarlama değeri yoluyladır.

İkincisi, bu standart, kuruluşunuzun finansal cezalara ve ilgili yasal sorunlara yol açan itibarını ciddi şekilde etkileyebilecek risklerin istenmeyen etkilerinden kaçınmanıza, ortadan kaldırmanıza veya azaltmanıza yardımcı olur.

ISO 27001 Faydalarını kısaca özetlersek;

  • Yeni veri tehlikelerine, güvenlik açıklarınıza ve zayıflıklarınıza hassasiyetinizi güncel tutarsınız,
  • Bir karşı eylem ve süreklilik arz eden iyileştirme ortamınızda olumsuz durumları denetleyebilirsiniz,
  • Siber Saldırılara karşı dirençli olursunuz,
  • Veri sızıntısı ve güvenlik ihlal tespitlerini erken yaparsınız, tedbir alırsınız,
  • Yöneticilerin ve güvenlik stratejilerinin ve metodolojisinin tehlike kullanımını izlersiniz,
  • Bilgi Güvenliği Yönetim Sistemi’ de yapılan yatırımlarınızın değerini artırırsınız,
  • Verilerinin güvenliği ile ilgili hassasiyetinizi ortaya koyarak müşterilerinizin güvenini kazanır, rekabet avantajı sağlarsınız,
  • Paydaşlarınızın kuruma olan güveninin ve kurumunuzun prestijini artırırsınız,
  • Diğer Yönetim Sisteminize entegre edebilirsiniz,
  • Kurumsal Kültürünüzü geliştirirsiniz,
  • Uluslararası tanınan bir güvenlik sistemi sahibi olursunuz.

Hızlı Başvuru

Sıkça Sorulan Sorular

ISO 27001 Standardı Hakkında Bilinmesi Gerekenler Nelerdir?

Genel olarak güvenlik standartları veya özellikle ISO 27001 hakkında bilinmesi gerekenleri düşündüğünüzde aklınıza ne geliyor? Gördüğümüz ve duyduğumuzdan, çok yararlı olmayan bazı genel varsayımlar ve inançlar var. Bu bölgeye biraz ışık tutalım ve konu hakkında bazı ilginç gerçekleri açıklayalım;

1)Bu standart dokümantasyon ile ilgili değildir;

ISO 27001:2013 Standart, yakın zamanda güncellenen diğer standartlar gibi, dokümante edilmiş bilgi terimini kullanır, yani herhangi bir kuruluş, gerekli bilgileri ona en uygun şekilde ve gerektiği ölçüde saklayabilir. Başka bir deyişle, kayıtlarınız için saklanan dokümante edilmiş bilgilerin formatından ve miktarından siz sorumlusunuz. Sonuçta, bu belgelenmiş bilginin ne yaptığınızı ve gelecekte ne yapılması gerektiğini takip etmenize yardımcı olacağı varsayılmaktadır.

2)Karmaşık değildir;

Bilgi güvenliğinin adı bazılarımız için ağır gelebilir ve aklımızda bununla ilgili her şeyin teknik olmayan bir kişi için çok karmaşık olduğu fikrini yaratabilir. ISO 27001, Bilgi Güvenliği Yönetim Sistemi uygulama sürecini herkesin bir parçası olabileceği kadar pürüzsüz ve basit hale getirmek için bilgilerinizle gideceğiniz yolda ihtiyacınız olan tüm rehberlik ve ana hatları sağlar.

3)BT departmanlarının sorumluluğu değildir;

Gerçek şu ki, sadece bilgi güvenliği ile ilgili olduğu için, diğer departmanları endişelendirmemesi gerektiği anlamına gelmez. Aslında, bilgi sadece bilgi teknolojisi ekibinin endişesi olmadığından organizasyondaki her bir kişi Bilgi Güvenliği Yönetim Sistemi için sorumluluklara sahip olacaktır.

ISO 27001, sürece dahil olan kişilerin Bilgi Güvenliği Yönetim Sistemi hakkında yeterli yetkinliğe ve farkındalığa sahip olmalarını bekler, böylece katılımları ve yapmaları gerekenden sorumlu olabilirler.

4)Kuralcı değildir;

ISO 27001, elde edilmesi beklenen sonuçları belirleyen bir standarttır, ancak bunu nasıl yaptığınız kuruluşa bağlıdır.

Örneğin, bilgi güvenliği bilinci, eğitim ve öğretim şunları belirtir:

Kuruluşun tüm çalışanları ve ilgili olduğu durumlarda yükleniciler, iş işlevleriyle ilgili olarak kuruluş politikaları ve prosedürlerinde uygun farkındalık, eğitim ve öğretim ve düzenli güncellemeler alacaktır.

Bu gereklilikler, gerçekleri, farkındalık, eğitim ve öğretim yoluyla ne sıklıkta ne tür bir faaliyetin veya hangi konuların ele alınması gerektiğini belirtmezler. Bir denetçinin bakış açısından, deneyimlerine dayanarak neyin uygun ya da neyin uygun olmadığı konusunda belirli düşünceleri olabilir ama sonuçlara bağlamla uyumlu şekilde ulaştığınızı gösterebilirseniz, belirli bir yaklaşım izlemenizi zorunlu kılamazlar. Kuruluşunuzun Bağlamı, yürürlükteki mevzuat, sözleşme gereklilikleri, Kuruldan beklentiler, bilgi güvenliği riskleri veya kuruluşunuza özgü diğer herhangi bir maddeyi içerebilir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurmanın Yararları

  • Bilgi varlıklarının farkına varma: Kuruluş hangi bilgi varlıklarının olduğunu, değerinin farkına varır.
  • Sahip olduğu varlıkları koruyabilme: Kuracağı kontroller ile koruma metodlarını belirler ve uygulayarak korur.
  • İş sürekliliği: Uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olur.
  • İlgili taraflar ile barış halinde olma: Başta tedarikçileri olmak üzere, bilgileri korunacağından ilgili tarafların güvenini kazanır.
  • Bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz.
  • Müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir.
  • Çalışanların motivasyonunu arttırır.
  • Yasal takipleri önler.
  • Yüksek prestij sağlar.

ISO 27001 için Genel Olarak Yapılması Gerekenler Nelerdir ?

Şimdi, bu bilgi güvenliği standardının farklı yönlerini ele aldığımıza göre, özetlemek gerekirse, her şeyi bir araya getirebilir ve ISO 27001 yolculuğunuzdan nasıl geçmeniz gerektiğini görebiliriz, genellikle şunları yapmanız gerekir:

  • Standart gereksinimleri okuyun ve işletmeniz için nasıl uygulanabileceğini anlayın,
  • Bilgi Güvenliği Yönetim Sistemi' nizin kapsamını belirleyin,
  • Bilgi güvenliğiniz konusunda nerede durduğunuzu ve standardın nerede olmanızı gerektirdiğini görmek için bir boşluk analizi yapın,
  • Yönetim sistemini uygulamak için ihtiyacınız olan tüm bilgileri ve desteği toplayın,
  • Üçüncü taraf sertifika denetimi talebinde bulunun,
  • Sonunda, yatırımınızın getirisini artırarak ve çalışanların katılımını sağlayarak genel iş durumunuzu iyileştiren bir Bilgi Güvenliği Yönetim Sistemi oluşturun, bunun için; ISO 27001 standart’ ı ve yönetim sistemini mükemmel bir şekilde uygulamanız gerekir.

Risk Yönetimi Nedir ? ve Güvenlik Kontrolleri Nelerdir ?

ISO 27001, bilgi güvenliği risk yönetiminin, sistemin temeli olduğunun anlaşılmasını ister ve bu istek için; kuruluşlardan risk tanımlama ve risk giderme süreci talep eder. Oluşturulan bu süreç sayesinde işletmeler Bilgi Güvenliği Yönetim Sistemi avantajlarından tam olarak yararlanabilirler.

Basit bir anlatımla riskleri, hasarlı bir sunucu veya saldırıya uğramış bir banka hesabı gibi Bilgi Güvenliği Yönetim Sistemi' niz kapsamında yanlış gidebilecek her şey olarak düşünebilirsiniz. ISO 27001 yönetim sistemi ile ilk başladığınızda risk yönetimi sürecinin nasıl oluşturulacağı açık olmasa da bu bölüm, sadece ne yapılması gerektiğine dair genel bir fikir vermeyi kolaylaştırılan 5 aşamalı risk yönetimi sürecini daha iyi anlamanıza yardımcı olabilir.

Şimdi, 5 Aşamalı Risk Yönetim Süreci’ ni inceleyelim;

  • 1. Aşama: Risk Tanımlama: Bu adım, Bilgi Güvenliği Yönetim Sistemi'nizin kapsamındaki bilgilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini tehlikeye atabilecek tüm riskleri bulmayı içerir. Riski kabul etmek için bazı özel kriterler geliştirmelisiniz ve bu kriterler iç ve dış sorundan ve ilgili taraftan geliyor (standardın 4. maddesi).
  • 2. Aşama: Risk Sahibinin Tanımlanması: Her bir riskten tam olarak kimin sorumlu olduğunu belirlemeniz gerekir. Bu kişi, gerektiğinde, örneğin istemci bilgilerini içeren bir USB flaş kaybolduğunda kimin sorumlu olabileceği konusunda harekete geçmek için yeterli yetkiye sahip olmalıdır.
  • 3. Aşama: Risk Önceliklendirme/Sıralama: Gerçekten gerçekleşirse her bir riskin sonuçlarını ve bu riskin bir gün gerçekleşme olasılığını düşünün. Böylece, ortaya çıkma olasılıklarına ve sonuçların ciddiyetine bağlı olarak tüm riskleri önceliklendirerek sıralayabilirsiniz.
  • 4. Aşama: Kontroller ve Uygulanabilirlik Beyanı (SoA): 1. aşamadaki tüm yönetim sistemi risklerini belirledikten sonra, şimdi her bir riski ISO 27001 standart, Ek A'daki bir veya daha fazla uygun kontrolle ilişkilendirmeniz gerekir.
  • Ek A'da, Bilgi Güvenliği Yönetim Sistemi'niz için riskleri ele almak üzere uygulayabileceğiniz politikalar, süreçler, prosedürler, organizasyon yapıları ve donanım ve yazılım işlevlerini içeren 114 kontrol parametresi bulunmaktadır.
  • Ardından, bazı açıklamalarla birlikte seçilen tüm denetimleri içeren uygulanabilirlik beyanınızı oluşturabilirsiniz.
  • Açıklamalarda, belirli bir kontrolü ve durumunun dahil edilmesinin nedenini belirtmelisiniz, yani uygulanıp uygulanmadığı, ayrıca kullanmadığınız kontrolleri de detaylandırmanız gerekir.
  • 5. Aşama: Risk Giderme Planı: Risk yönetiminizin son adımında, önceki adımlarda ne yaptığınıza bağlı olarak risk tedavi planı oluşturmanız gerekir. Kullanmanız gereken belirli bir çerçeve yoktur, ancak plan uygulanması gereken kontrolleri, durumlarını ve kontrolleri uygulamaktan ve gelecekteki iyileştirmeler için sonuçları ölçmekten sorumlu risk sahiplerini içerebilir. Bu adımın sonucu dokümante edilmiş bilgi olarak saklanmalıdır.

ISO 27001 Belgesi Bilgi Güvenliği Yönetim Sistemi Zorunlu Olan ve Olmayan Dokümanlar Nelerdir ?

2013 yılında yayınlanan ve tam bir bilgi güvenliği alt yapısı oluşturan ISO 27001 Standardı revizyonu ile kuruluşlar bu yeni 2013 revizyonunda hangi doküman ve kayıtların zorunlu olduğunu bilmeleri gerekmektedir. Bu gereklilikler az mı olacak, çok mu olacak? standarda göre kuruluşların karar vermesi ve gereklilikleri yerine getirmesi de gerekliliklerdendir.

ISO 27001 zorunlu belgelerinin neler olduğu ve zorunlu olmayıp ta kararı kuruluşa bırakılan dokümantasyon bilgileri aşağıda verilmiştir.

ISO 27001 Belgesi Standardı Bilgi Güvenliği Yönetim Sistemi için Zorunlu Doküman ve Kayıtlar Nelerdir?

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Dokümanlar ve Kayıtlar

ISO 27001 Belgesi, Bilgi Güvenliği Yönetim Sistemi’ ne uygun dokümantasyona/dokümante bilgiye sahip olmak için aşağıdaki maddelere göre doküman ve kayıt yapısını oluşturmalısınız.

ISO 27001 Zorunlu Dokümanlar;

  • Madde 4.3 için; Bilgi Güvenliği Yönetim Sistemi Kapsam Dokümanı,
  • Madde 5.2 ve 6.2 için; Bilgi güvenliği politikası ve hedefleri,
  • Madde 6.1.2 için; Risk değerlendirmesi ve risk bertaraf metodolojisi,
  • Madde 6.1.3 d için; Uygulanabilirlik Beyanı,
  • Madde 6.1.3’ e ve 6.2 için; Risk Bertaraf Planı,
  • Madde 8.2 için; Risk değerlendirme raporu,
  • Madde A.7.1.2 ve A.13.2.4 için; Güvenlik rollerinin ve sorumluluklarının tanımı,
  • Madde A.8.1.1 için; Varlıkların envanteri,
  • Madde A.8.1.3 için; Varlıkların kabul edilebilir kullanımı,
  • Madde A.9.1.1 için Erişim kontrol politikası,
  • Madde A.12.1.1BT yönetimi için işletim prosedürleri,
  • Madde A.14.2.5 için; Güvenli sistem mühendisliği ilkeleri,
  • Madde A.15.1.1 için; Tedarikçi güvenlik politikası,
  • Madde A.16.1.5 için; Olay yönetimi prosedürü,
  • Madde A.17.1.2 için; İş sürekliliği prosedürleri,
  • Madde A.18.1.1Yasal, düzenleyici ve sözleşme gereklilikleri.

ISO 27001 Zorunlu Kayıtlar

  • Madde 7.2 için; Eğitim, beceri, deneyim ve niteliklerin kayıtları,
  • Madde 9.1 için; İzleme ve ölçüm sonuçları,
  • Madde 9.2 için; İç denetim programı,
  • Madde 9.2 için; İç denetimlerin sonuçları,
  • Madde 9.3 için; Yönetim incelemesinin (YGG) sonuçları,
  • Madde 10.1 için; Düzeltici faaliyetlerin sonuçları,
  • Madde A.12.4.1 ve A.12.4.3 için; Kullanıcı etkinliklerinin, istisnalarının ve güvenlik olaylarının günlükleri.

ISO 27001 Zorunlu Olmayan Doküman ve Kayıtlar

ISO 27001 Bilgi Güvenliği Yönetim Sistemi (Bilgi Güvenliği Yönetim Sistemi) uygulaması için, özellikle Ek A'daki güvenlik kontrollerinde kullanılabilecek çok sayıda ISO 27001 zorunlu olmayan doküman ve kayıt bulunur. Ancak, zorunlu olmayan bu belgeler isteğe bağlı kullanılmalı ve sisteme yük getirmeyecek halde olmalıdır.

Bu dokümanlar;

  • Madde 7.5 için; Doküman kontrolü prosedürü ve Kayıtların kontrolü prosedürü,
  • Madde 9.2 için; İç denetim prosedürü,
  • Madde 10.1 için; Düzeltici faaliyet prosedürü,
  • Madde A.6.2.1 için; Kendi cihaz politikanız,
  • Madde A.6.2.1 için; Mobil cihaz ve uzaktan çalışma politikası,
  • Madde A.8.2.1, A.8.2.2 ve A.8.2.3 için; Bilgi sınıflandırma politikası,
  • Madde A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1 ve A.9.4.3 için; Şifre politikası,
  • Madde A.8.3.2 ve A.11.2.7 için; Bertaraf ve imha politikası,
  • Madde A.11.1.5 için; Güvenli alanlarda çalışma prosedürleri,
  • Madde A.11.2.9 için; Açık masa ve net ekran politikası,
  • Madde A.12.1.2 ve A.14.2.4 için: Değişim yönetimi politikası,
  • Madde A.12.3.1 için; Yedekleme politikası,
  • Madde A.13.2.1, A.13.2.2 ve A.13.2.3 için; Bilgi aktarım politikası,
  • Madde A.17.1.1 için; Ticari etki analizi,
  • Madde A.17.1.3 için; Alıştırma ve test planı,
  • Madde A.17.1.3 için; Bakım ve inceleme planı,
  • Madde A.17.2.1 için; İş sürekliliği stratejisi.

ISQ Belgelendirme olarak, zorunlu olan ya da olmayan ISO 27001 Belgesi yönetim sistemi uygunluğu ön denetimi ya da ISO 27001 Belgesi talepleriniz için uygun şartlarda teklifler sunuyoruz.