ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi

Bilgi Güvenliği konusunda, hangi bilgi varlıklarımızın olduğunu, bu varlıkların değerinin farkına vararak onları bir sistem sayesinde koruyabilme ve kuracağımız kontroller ile koruma metotlarını belirlenmesine yardımcı olur. ISO 27001 Bilgi Güvenliği Yönetim Sistemi Bilgi, kuruluşunuzun faaliyetleri ve belki devamı için büyük bir önem taşır. ISO/IEC 27001 Belgesi değerli bilgi varlıklarınızı yönetmenize ve korumanıza yardımcı olur. ISO/IEC 27001, Bilgi Güvenliği Yönetimi Sistemi (ISMS) gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır. Yeterli ve orantılı güvenlik denetimleri seçilmesini sağlamak için tasarlanmıştır.

1. ISO 27001 Bilgi Güvenlik Yönetim Sistemi Ekibinin kurulması:

ISO 27001 Danışmanlık Hizmetlerinin başlangıcında ISO 27001 Belgesi alacak firma ISO 27001 Sistem kurulum çalışmalarının içerisinde bulunacak kendi çalışanlarından ve farklı birimlerden oluşan mutlaka bilgi işlem faaliyetleri ile ilgili personellerinde yer alacağı en az 3 en fazla 7 kişilik bir Bilgi Güvenliği Yönetim Sistemi Ekibi oluşturmalıdır.  BGYS Ekibi ISO 27001 Danışmanları kendi içinde yaptığı görüşmeler sonucu takvimi ve görev paylaşımını yapacaktır. Eğitimler bu çalışmalar içinde kararlaştırılarak takvime bağlanacaktır.

2. Kurumun ISO 27001 Açısından Mevcut Durum Analizi ve Dokümantasyon Analizinin yapılması:

ISO 27001 Danışmanlarımız Firmada ISO 27001 Bilgi Güvenliği yönetim Sistemi açısından alt yapı mevcut durum ve dokümantasyon uygulamalarını gözden geçirir ve eksiklikleri tespit ederek ISO 27001 Mevcut durum Analiz Raporu hazırlayarak kurumun üst yönetimine sunar.

3. ISO 27001 Bilgi Güvenliği Yönetim Sistemi kapsam sınırlarının ve Süreçlerinin Belirlenmesi:

ISO 27001 Danışmanlarımız ile BGYS Ekibi ISO 27001 2013 Bilgi Güvenliği Yönetim Sistemi kapsamı ve sınırları belirler. Belirlenen Kapsam ve sınırlara göre süreçlerin belirlenir. Özellikle ISO 27001 belgelendirme aşamasında kapsam ve sınırlar süreçler denetimin en önemli unsurları olarak karşımıza çıkmaktadır.

4. ISO 27001 Bilgi Güvenliği Yönetim Sistemi Eğitimlerini Verilmesi

ISO 27001 Eğitmenlerimiz tarafından BGYS Ekibine aşağıdaki eğitimler verilir.

ISO 27001 2013 Bilgi Güvenliği Yönetim Sistemi Temel Eğitimi (Standart ve Ek-A Kontrol kriterleri)

ISO 27001 2013 Bilgi Güvenliği Yönetim Sistemi Dokümantasyon Eğitimi

ISO 27001 2013 Risk değerlendirme ve Risk Yaklaşımı Eğitimi

ISO 27001 2013 İç Tetkik Eğitimi

5. BGYS Politikası ve diğer Bilgi Güvenliği politikaların oluşturulması:

Belirlenen kapsam ve sınırlara bağlı olarak kurumun temel Bilgi Güvenliği Yönetim Sistemi Politikası hazırlanır. ISO 27001 Bilgi Güvenliği Yönetim Sistemi Politikası BGYS Ekibi ile karar bağlanır ve Üst yönetim bu politikayı onaylayarak tüm kuruma duyurur. Diğer Bilgi Güvenliği Yönetim Sistemi politikaları sistem kurulumu aşamasında yapılandırılmaktadır.

6. Süreç Varlıklarının Belirlenmesi ve Sınıflandırılması:

Daha önceki belirlenen süreçlerin bilgi güvenliği varlıkları belirlenir ve  tüm varlık envanteri çıkartılır.. Varlık envanteri çıkartılırken etkileme yapılarak varlıların sınıflandırılması sağlanır. Varlıklar sınıflandırıldıktan sonra puanlama yapılarak kritik varlıkların belirlenmesi sağlanır.

7. Varlıkların Risk Analizi ve Değerlendirmesi Çalışmasının Yapılması Risk Değerlendirme Raporunun ve Bilgi Güvenliği Yönetim Sistemi Politika ve Prosedürlerinin Hazırlanması:

Bilgi güvenliği politikalarını temel alan varlıklar üzerinden sistematik bir risk değerlendirme yaklaşımının belirlenerek risk belirleme çalışmaları başlatılır. Tespit edilen risklerin analizi ve derecelendirilmesinin yapılması ve raporlanması yapılır. Risk değerlendirme sonuç raporundan yola çıkılarak uygun risk işleme (RISK TREATMENT) yöntemlerinin belirlenir. Risk analizine esas olacak bir penetrasyon test raporu ya kurum içinde ya da bağımsız kuruluşlarca hazırlatılır. Dâhili ve harici saldırı senaryoları, felaket yönetimi senaryoları çalışılır. Buna bağlı olarak oluşturulan rapor risk analizi için temel teşkil eder.

Risk analiz raporu üst yönetime sunularak risklerle ilgili kararların verilmesi sağlanır. Üst yönetimin risk üstlenme dokümanından sonra ISO 27001 Bilgi Güvenliği Yönetim Sistemi politika ve prosedürlerinin hazırlanması işlemine geçilir.

8. Risk işleme süreci sonuçlarına uygun iso 27001 Bilgi Güvenliği Yönetim Sistemi standardının ekinde yer alan Ek-A kontrol Kriterleri’nin seçilmesi ve kontrol hedeflerinin belirlenmesi:

Kapsam, sınırlar, politikalar prosedürler ve risk analizine bağlı olarak seçilen EK-A kontrol kriterleri yapılandırılır.

9. ISO 27001 Uygulanabilirlik Bildirgesinin hazırlanması:

Ek – A kontrol kriterlerinin seçilmesi ve kontrol hedeflerinin belirlenmesinden sonra standardın istediği Uygulanabilirlik bildirgesi hazırlanır.

10. ISO 27001 iç tetkiki ve Yönetimin Gözden Geçirilmesi ve Değerlendirilmesinin yapılması:

En az 45 günlük bir ISO 27001 Bilgi Güvenliği Yönetim Sistemi uygulama süresinden sonra sistemin iç tetkiki gerçekleştirilir. İç tetkik raporları ve diğer konular Yönetimin Gözden Geçirilmesi Toplantısında karar bağlanır.

11. ISO 27001 Belgelendirme Kuruluşuna Müracaatın Yapılması:

ISO 27001 Danışmanlarımız ve BGYS Ekibinin ortak kararı ile seçilen  akredite ISO 27001 Belgelendirme kurumlarından fiyat teklifi alınır ve kararlaştırılan firma ile iso 27001 Belgelendirme sözleşmesi imzalatılır.

12. iso 27001 Birinci Aşama Belgelendirme Denetiminin Yapılması:

İso 27001 Birinci Aşama Belgelendirme denetimi Belgelendirme kuruluşu tarafından yapılır ve var ise eksiklikler ve uygunsuzluklar tespit edilir. Yapılan başvuru sonucu iso 27001 belgelendirme firmasının saptadığı eksikliklerinin ve uygunsuzlukların tamamlanması için verilecek hizmet iso 27001 danışmanlık hizmeti kapsamındadır. Eksiklikler ve uygunsuzlukların tamamlanması veya hiç eksiklik ve uygunsuzluk bulunmaması durumunda 2. Aşama Belgelendirme Denetimine geçilir.

13.iso 27001 İkinci Aşama Belgelendirme Denetiminin Yapılması:

İso 27001 İkinci aşama belgelendirme denetimi asıl denetimdir ve sistem bütün yönleri ile ve uygulamaları ile incelenir. Belgelendirme kuruluşu denetçileri tarafından ISO 27001 standardına göre mevcut durum, Gözlem, Tavsiye, uygunsuzluklar tespit edilir. iso 27001 Danışmanlık firması 1. Aşama denetimde olduğu gibi eksiklikleri ve uygunsuzlukları giderir ve Belgelendirme kuruluşuna yapılan düzeltici faaliyetler gönderilir.

14. ISO 27001 Belgesinin Sertifikasının Basılması:

iso 27001 Denetimlerinden başarı ile geçmesi durumunda Belgelendirme kuruluşu ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesini firmanıza gönderir.

15. ISO 27001 Danışmanlık Firması Teknik Destek Danışmanlık Hizmeti:

Aslında bu durum ilk başta tekliflerin alınması sözleşmenin yapılması aşamasında karara bağlanmalıdır. ISO 27001 Bilgi Güvenliği Yönetim Sisteminin sürekliliğinin sağlanması ve iyileştirilmesi sistemin tam olarak anlaşılması için iso 27001 danışman firmanın bir sonraki gözetim denetimine kadar teknik destek danışmanlık hizmeti vermesi gerekir. Bu hizmeti almak tamamen kuruluşunuza bağlıdır.

YYS DANIŞMANLIK olarak ISO 27001 Belgesi almak isteyen firmalara kurumlara ISO 27001 Bilgi Güvenliği Yönetim Sistemin kurulumu için eğitimdanışmanlık hizmetleri vermekteyiz ve 27001 Bilgi Güvenliği alacak firmanın ISO 27001 Belgelendirme denetimlerinden başarılı şekilde geçmesini sağlayarakISO 27001 Sertifikasının firmaya kazandırılmasını sağlıyoruz.

Leave a reply
You are not allowed to leave a reply!