Kullanıcı Oyu: 0 / 5

Star InactiveStar InactiveStar InactiveStar InactiveStar Inactive
 

ISO 27001 Danışmanlık Ücretleri

ISO 27001 kalite yönetim sistemi danışmanlık hizmetleri, ISO 27001 belgesi almak isteyen işletmelerde standard uygulama çalışmalarını kapsamaktadır. Danışmanlık kapsamında kalite yönetim sorumlusunun eğitimi, genel kalite eğitimleri, dokümantasyon alt yapısının oluşturulması, kalite yönetim sisteminin işlerlik kazanması, iç denetim yapılarının oluşturulması çalışmaları yapılmaktadır.

ISO 27001 danışmanlık ücretleri çalışan sayısı ve süre ile orantılı olarak belirlenir ve teklif olarak sunulur.

 

ISO 27001 Kalite Yönetim Sistemi Kurulum Danışmanlığı Aşamaları

ISO 27001 standardının işletmede uygulanabilmesi amacıyla aşağıdaki adımlar izlenmektedir:

1- Genel ISO 27001 kalite eğitimleri (Bu eğitim çoğu zaman kalite yönetim sorumlularına/temsilcilerine verilmektedir.)

2- ISO 27001 sisteminin doğru anlaşılması

3- Kalite yönetim sistemleri standard yapısı

4- Kalite yönetim sistem kurulum eğitim çalışmaları

 

ISO 27001 Belgesi almak isteyen ve ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurulu olan bir firmada yürürlükte ve uygulanan dokümanlar aşağıdakiler olmalıdır.

1. Bilgi Güvenlik Yönetim Sistemi Forumunun kurulması:

Danışman ve kurum içinde bir " Bilgi Güvenliği Koordinasyon Grubu (BGKG)-  Bilgi Güvenliği ekibi "ni  oluşturacaktır. Bu forum kendi içinde yaptığı görüşmeler sonucu takvimi ve görev paylaşımını yapacaktır. Eğitimler bu çalışmalar içinde kararlaştırılarak takvime bağlanacaktır.

2. Kurumun Mevcut Sistem ve Dokümantasyon Analizi:

Öncelikle temel ISO 9001 ve ISO 27001 standardının zorunlu tuttuğu ve ancak ISO 9001 tarafından sağlanması gereken prosedür ve süreçler yapılandırılacaktır. Bu süreç ISO 27001 bilgi güvenliği için temel yönetim omurgasını yapılandırmış olacaktır.

ISO 27001 bilgi güvenliği standardının istediği kimi prosedürler, proses ve talimatlar bu standart dokümantasyonun etkinliği kontrol edilecek ve eksiklikler belirlenecektir.

3. Bilgi Güvenliği Yönetim Sistemi kapsam ve sınırlarının belirlenmesi :

Temel ISO 9001 Belgesi yapılanmasının ardından kuruma dair  ISO 27001 Bilgi Güvenliği Yönetim Sistemi kapsamı ve sınırları belirlenmesi aşaması gelmektedir. Özellikle Belgelendirme aşamasında kapsam ve sınırlar denetimin en önemli unsurları olarak karşımıza çıkmaktadır.

4. BGYS Temel politikası ve diğer politikaların oluşturulması:

Yine ilk oturum içinde belirlenen kapsama bağlı olarak kurumun temel Bilgi Güvenliği Yönetim Sistemi Politikası hazırlanacaktır. ISO 27001 Temel Bilgi Güvenliği Yönetim Sistemi Politikası Forumun bir oturumunda karar bağlanacaktır ve Üst yönetim bu politikayı onaylayarak tüm kuruma duyuracaktır. Diğer politikalar sistem kurulumu aşamasında yapılandırılacaktır.

5. Varlıkların Belirlenmesi ve Sınıflandırılması :

Kurumdaki tüm varlık envanterinin çıkartılması gerekmektedir. Varlık envanteri çıkartılırken etkileme yapılarak varlıların sınıflandırılması sağlanacaktır. Varlıklar sınıflandırıldıktan sonra puanlama yapılarak kritik varlıkların belirlenmesi sağlanacaktır.

6. Risk Analizi ve Değerlendirmesi Çalışmasının Yapılması:

Bilgi güvenliği politikalarını temel alan sistematik bir risk değerlendirme yaklaşımının belirlenerek risk belirleme çalışmaları başlatılacaktır. Tespit edilen risklerin analizi ve derecelendirilmesinin yapılması ve raporlanması yapılacaktır. Risk değerlendirme sonuç raporundan yola çıkılarak uygun risk işleme (risk treatment) yöntemlerinin belirlenecektir. Risk analizine esas olacak bir penetrasyon test raporu ya kurum içinde ya da bağımsız kuruluşlarca hazırlatılmalıdır. Dahili ve harici saldırı senaryoları, felaket yönetimi senaryoları çalışılmalıdır. Buna bağlı olarak oluşturulan rapor risk analizi için temel teşkil etmelidir.

7. Hazırlanan risk raporu üst yönetime sunulması:

Risk analiz raporu üst yönetime sunularak risklerle ilgili kararı verilecektir. Üst yönetimin risk üstlenme dokümanından sonra ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurulum çalışmalarına geçilecektir.

8. Risk işleme süreci sonuçlarına uygun ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardının ekinde yer alan Ek-A kontrol Kriterleri’nin seçilmesi ve kontrol hedeflerinin belirlenmesi:

Bu aşamada sistemin kurulması çalışmaları başlamaktadır. Kapsam, sınırlar, politikalar ve risk analizine bağlı olarak seçilen kontrol kriterleri yapılandırılacaktır.

9. Uygulanabilirlik Bildirgesinin (SOA) hazırlanması:

Ek – A kontrol kriterlerinin seçilmesi ve kontrol hedeflerinin belirlenmesinden sonra standardın istediği  Uygulanabilirlik bildirgesi  (SOA)   hazırlanacaktır.

10. Sistem iç tetkiki ve Yönetimin gözden geçirilmesi yapılması:

Bu aşamada uygulamaya alınır. en az 30 günlük bir uygulama süresinden sonra sistemin iç tetkiki gerçekleştirilir. İç tetkik raporları Yönetimin Gözden Geçirilmesi Toplantısında karar bağlanır.

11. Belgelendirme Kuruluşuna Müracaatın Yapılması :

Sistemin istenilen düzeyde çalışıyorsa Belgelendirme amaçlı Aşama-1 (Stage-1) sürecine gelinmiş olur ve bu aşamada kurumunuzu akredite olmuş belgelendirme kuruluşlarına müracaat etmek. (Firmamız TÜRKAK akredite bir kuruluştur).

12. Birinci Aşama Belgelendirme Denetiminin Yapılması :

Birinci Aşama Belgelendirme denetimi Belgelendirme kuruluşu tarafından yapılır ve var ise eksiklikler ve uygunsuzluklar tespit edilir. Yapılan başvuru sonucu belgelendirme kuruluşun saptadığı eksikliklerinin ve uygunsuzlukların tamamlanması için verilecek hizmet ,iso 27001  bilgi güvenliği danışmanlık hizmeti kapsamındadır. Eksiklikler ve uygunsuzlukların tamamlanması veya hiç eksiklik ve uygunsuzluk bulunmaması durumunda 2. Aşama Belgelendirme Denetimine geçilir.

13. İkinci Aşama Belgelendirme Denetiminin Yapılması :

İkinci aşama belgelendirme denetimi asıl denetimdir ve sistem bütün yönleri ile ve uygulamaları ile incelenir. Belgelendirme kuruluşu denetçileri tarafından ISO 27001 standardına göre mevcut durum, Gözlem, Tavsiye, uygunsuzluklar tespit edilir. Danışmanlık firması 1. Aşama denetimde olduğu gibi eksiklikleri ve uygunsuzlukları giderir ve Belgelendirme kuruluşuna yapılan düzeltici faaliyetler gönderilir.

14. ISO 27001 Belgesinin Sertifikasının Basılması:

Denetimlerden başarı ile geçmesi durumunda Belgelendirme kuruluşu ISO 27001 Bilgi Güvenliği Belgesini firmanıza gönderir.

15. ISO 27001 Danışmanlık Firması , ISO 27001 Teknik Destek , ISO 27001  Danışmanlık Hizmeti:

Aslında bu durum ilk başta tekliflerin alınması sözleşmenin yapılması aşamasında karara bağlanmalıdır. ISO 27001 Bilgi Güvenliği Yönetim Sisteminin sürekliliğinin sağlanması ve iyileştirilmesi sistemin tam olarak anlaşılması için danışman firmanın bir sonraki gözetim denetimine kadar teknik destek danışmanlık hizmeti vermesi gerekir.

ISO 27001 Bilgi Güvenliği Sistemi Kurma Aşamaları :

• Varlıkların sınıflandırılması,

• Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi,

• Risk analizi,

• Risk analizi çıktılarına göre uygulanacak kontrolleri belirleme,

• Dokümantasyon oluşturma,

• Kontrolleri uygulama,

• İç tetkik,

• Kayıtları tutma,

• Yönetimin gözden geçirmesi,

• Belgelendirme

 

ISO 27001 Belgesi alacak firmaların en az aşağıdaki dokümanları olması gerekir.

•              ISO 27001 Bilgi Güvenliği (BGYS) El Kitabı

•              BGYS Politikaları

o              BGYS Genel Politika

o              Kabul Edilebilir Kullanım Politikası

o              Erişim Politikası

o              Şifre Güvenliği Politikası

o              Antivirüs Politikası

o              Bilgi Sistemleri Yedekleme Politikası

o              Personel Güvenlik Politikası

o              Temiz Masa Temiz Ekran Politikası

o              Ziyaretçi Kabul Politikası

o              Değişim Yönetimi Politikası

o              Sunucu Güvenliği Politikası

o              Data İmha Politikası

o              Techizatın Elden Çıkarılması Politikası

o              Bilgi Ve Yazılım Alışverişi Politikası

o              Fiziksel Güvenlik Politikası

o              Üçüncü Taraf Güvenlik Politikası

o              Varlıklara Yönelik Sorumluluk Politikası

•              Uygulanabilirlik Bildirgesi (SOA)

•              BGYS Politikası ile tutarlı BGYS Prosedürleri

o              Risk Yönetim Prosedürü

o              Disiplin Prosedürü

o              Olay İhlal Prosedürü

o              İş Sürekliliği Prosedürü

•              Çalışanların Bilgi Güvenliği  Yönetimi ile ilgili göre yetki sorumluluklarını belirten Görev Tanımları

•              Bilgi Güvenliği  Prosedürleri ile tutarlı Bilgi Güvenliği Talimatları

o              Varlık Belirleme Sınıflandırma ve Etiketleme Talimatı

o              Kullanıcı Hesabı Yönetimi Talimatı

o              Antivirüs Talimatı

o              VPN Güvenliği Talimatı

o              Sistem Odası Kullanma Talimatı

o              Sunucu Bakım Talimatı

•              Formlar

o              Kullanıcı Kaydı Silme Kontrol Formu

o              BGYS Kontrol Listesi

o              Yeni Bilgisayar Kontrol Listesi

o              Web Uygulama Güvenlik Kontrol Listesi

o              Yazılım Gereksinimleri Kontrol Listesi

o              İş Sürekliliği Planı

o              Ayrıcalık Yönetim Planı

o              Üçüncü Taraf Gizlilik Sözleşmesi

o              BGYS Sorumluluk Tahsisi

o              Sistem Acil Durum Planı

o              Tatbikat Değerlendirme Formu

o              Artık Risk Onayı

o              Varlık Teslim Tutanağı

o              Olay İhlal Takip Formu

o              Olay İhlal Formu

o              Kapasite Yönetim Planı

o              Etkinliği Ölçülecek Kontrol Listesi

o              Gizlilik ve Sır Saklama Sözleşmesi

•              Bilgi Güvenliği Yönlerini belirten kayıtlar

•              Bilgi Güvenliği Risk Değerlendirmeler

•              Bilgi Güvenliği Yönetim Sistemi Programları

•              Bilgi Güvenliği İş Sürekliliği Kayıtları

•              Bilgi Güvenliği Yönetim Sistemi Kontrollerine dair kayıtlar

•              Bilgi Güvenliği Mevzuatına uygunluğu gösteren kayıtlar

•              Doküman kontrol kayıtları

•              Kayıt Saklama süreleri muhafazasına ait kayıtlar

•              İç Tetkik Planları İç Tetik Soruları ve denetimi ve takip denetimi yapılmış düzeltici faaliyetleri ile birlikte iç tetkik raporları

•              Düzeltici Önleyici Faaliyetlere dair uygulama ve kayıtlar

•              Eğitim İnsan Kaynakları vb kayıtlar

•              Olay İhlal Kayıtları

•              Üçüncü Taraf Gizlilik Sözleşmeleri

•              Envanter Kayıtları

•              Log Kayıtları

•              Kapasite Yönetim Kayıtları

•              Sızma Testleri ve Teknik Açıklık Kontrol Kayıtları

•              Sistem Odası Topraklama Ölçümü Kayıtları(Firma Alt Yapısına Bağlı Olarak Değişir)

•              Üst Yönetimin Bilgi Güvenliği Sistemini gözden geçirme yani YGG kayıtları

Yukarıda bahsedilen dokümanlar ve kayıtlar olmadan bir şirkette ISO 27001 Bilgi Güvenliği yönetim sisteminin uygulandığından bahsedilemez şirketiniz her ne kadar Bilgi Güvenliği mevzuatlarına uyan bir firma olsa da asgari olarak ISO 27001 standardının karşılanıp karşılanmadığı yukarıda doküman ve kayıtların varlığı ile ortaya çıkmaktadır.

iso 27001 pdf

iso 27001 pdf 2013

iso 27001 nasıl alınır

iso 27001 standard pdf

iso 27001 eğitimi

iso 27001 standart maddeleri

iso 27001 bilgi güvenliği yönetim sistemi dökümanları

iso 27001 denetçi sertifikası nasıl alınır

iso 27001 belgesi nereden alınır

iso 27001 danışmanlık hizmeti

ıso 27001 belgesi nasıl alınır


Talep Formu

Tüm başvurularınızı 0 212 541 25 53 numaralı telefonu arayarak ya da hemen

Bize Ulaşın alanını tıklayarak kolayca yapabilirsiniz.