ISO 27001 Nedir ve Neden İhtiyacımız Vardır?
ISO 27001 Danışmanlığı ile elde edilecek kazanımları anlatmadan önce “ISO 27001 nedir?” sorusunu cevaplayalım:
- ISO/IEC 27001:2022 Bilgi Güvenliği Yönetim Sistemi (BGYS) uluslararası kabul görmüş en iyi uygulama standardıdır.
- ISO 27001 sertifikasına sahip olduğunuzda; şirketinizin ve verilerinizin uygun şekilde korunup korunmadığına dair bağımsız bir kuruluş tarafından değerlendirildiğiniz, bilgi güvenliğinin en iyi uygulamalarını takip ettiğiniz ve uyguladığınız anlaşılır.
- ISO 27001, işinizin saygınlığını ve şirketinizin itibarını korur. Müşterilerinize ve tüm paydaşlarınıza güven vererek işinize değer katar.
ISO ve IEC Hakkında
- ISO ve IEC harflerinin ne anlama geldiğini açıklayarak başlayalım. ISO, “International Organization for Standardization” yani “Uluslararası Standardizasyon Teşkilatı” anlamına gelir.
- IEC, herhangi bir hükümetten bağımsız olarak çalışan ve kar amacı gütmeyen bir kuruluş olan “Uluslararası Elektroteknik Komisyonu“ anlamına gelir.
- ISO ve IEC birlikte, Bilgi Teknolojileri ve İletişim Teknolojileri (BİT) ile ilgili teknolojilerin yanı sıra Bilişim Teknolojileri alanında standartları geliştiren ve koruyan ortak bir teknik komite oluşturur.
ISO 27001 Tarihsel Gelişimi
- Bilgi Güvenliği Yönetim Sistemi konusunda ilk standart British Standard Institute (BSI) tarafından geliştirilen BS 7799’dur. BS 7799 “Pratik Kurallar” ve “BGYS Gerekleri” başlıklı iki kısımdan oluşmaktaydı. BS 7799 birinci kısmı daha sonra ISO tarafından 2000 yılında “ISO 17799” olarak kabul edilmiştir. 2002’de BSI; BS 7799-2’yi çıkartmıştır. ISO, kuruluşların bilgi güvenliği süreçlerine yardımcı olmak için ISO 27000 serisini uluslararası kabul görmüş, en iyi uygulama standardına dönüştürmüştür.
- 25 Ekim 2022’de yayınlanan ISO/IEC 27001:2022 – Bilgi Güvenliği, Siber Güvenlik ve Gizlilik Koruması – Bilgi Güvenliği Yönetim Sistemleri – standardın en güncel versiyonudur.
ISO 27001 Faydaları
ISO 27001 Danışmanlığı Süreci Nasıl İşliyor?
1. Adım - GAP Analizi
Kurumun belirlediği hedef doğrultusunda inceleme yapılarak hedeflenen şartlar ile mevcut durum arasındaki farklar raporlanır ve eksikliklerin giderilmesi için yöntemler ortaya konur. Proje kapsamında hızlı, verimli, hedefe yönelik çalışmayı planlamak ve sonraki adımların maliyetini belirgin şekilde düşürmek amaçlanır.
2. Adım - Kapsam Belirlenmesi
Kuruluş bünyesinde iç ve dış hususların belirlenmesi, Bilgi Güvenliği Yönetim Sistemi (BGYS) ile ilgili tarafların belirlenmesi ve bu ilgili tarafların etkileşiminin belirlenmesi ile birlikte BGYS’nin kapsamının tam olarak belirlenmesi sağlanır (BGYS’nin kapsamını, kuruluşun tamamını veya kuruluşun bir bölümünü kapsayacak şekilde tanımlamak mümkündür).
3. Adım - Bilgi Güvenliği Yönetim Sistemi Ekibinin Belirlenmesi
Kuruluş bünyesinde Bilgi Güvenliği Yönetim Sistemi (BGYS) Ekibi ve sorumlulukları belirlenir (Bu aşamada, yönetiminizi temsil edecek ve Bilgi Güvenliği sistemini koordine edecek kişilerin ataması yapılarak çalışanlara duyurulacaktır).
4. Adım - Proje Planının Oluşturulması
Bilgi Güvenliği Yönetim Sistemi Ekibi ile bir Gantt proje planı hazırlanır (Bir projenin başarılı bir şekilde sonuçlanabilmesi için planlı bir yönetim gereklidir. Projede görev alanlar arasındaki bağların kurulması, iş paketlerinin detaylı bir şekilde tanımlanması ve süreç takibinin yapılması gerekmektedir).
5. Adım - Eğitimlerin Planlanması
Bilgi Güvenliği Yönetim Sistemi (BGYS) için temel eğitimlerin verilmesinden oluşur (Eğitimlerin içeriği hedef kitleleri ile uyumlu olacaktır. Temel eğitimlerin amacı, Bilgi Güvenliği Yönetim Takımı’nın “Ne ?” ve “Nasıl ?” sorularına cevap kapasitesinin geliştirilmesi olacaktır). Kuruluş içerisinde tüm çalışanlar ve gerektiği durumda üçüncü taraflara da Bilgi Güvenliği ile ilgili farkındalık eğitiminin verilmesi sağlanır.
6. Adım - Varlık Envanteri ve Risk Değerlendirme
Kapsam dahilindeki birimlerle varlık envanterinin oluşturulması ve bilgi varlıklarının sınıflandırılması ile gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi yapılır. Risk değerlendirme metodolojisinin oluşturulması ve risk değerlendirme işlemlerinin gerçekleştirilmesi sağlanır.
7. Adım - Dokümantasyon ve Uygulama
ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi içerisinde standardın gerektirdiği yazılı bilgilerin oluşturulmasında destek rolü oynayacak dokümantasyonun hazırlanmasında danışman önderliğinde birebir çalışma yapılır ve hazırlanan dokümanların kurum içinde yayımlanmasıyla uygulama aşamasına geçilir.
8. Adım - İç Denetim ve Yönetimin Gözden Geçirmesi
Proje planında belirtilen tarihlerde Baş Denetçi Sertifikasına sahip personelimiz ile planlı iç tetkikler (denetimler) gerçekleştirilecek uygulamada karşılaşılan bulgular raporlanacaktır. İç denetim akabinde ISO 27001 Danışmanlık sürecinin son adımı olan standardın 9.3 “Yönetim Gözden Geçirme (YGG)” maddesinde bulunan gereksinimler danışmanlığın başından sonuna gerçekleştirilen tüm aksiyonlar ve çalışmalar bir sunum haline getirilerek Üst Yönetim ile birlikte toplantı yapılarak gözden geçirilmesi sağlanır.
9. Adım - Belgelendirme Denetimi
ISO 27001:2022 Bilgi Güvenliği Yönetim Sisteminin belgelendirilmesi için belgelendirme firmasının seçilmesi konusunda önerilerimizi firmaya sunuyoruz. Denetim sırasında sizlere eşlik ediyoruz ve iki aşamada gerçekleştirilen denetimler (1. Aşama ve 2. Aşama) sonucunda bulunan bulguların kapatılması için gerekli aksiyonların alınmasını sağlayarak proje teslimini sağlıyoruz.