ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) Danışmanlığı

ISO27001 Danışmanlık sürecinde neler yapılır. Bilgi Güvenliği sistemi nasıl kurulur sorusunun cevabı ISO 27001 danışmanlık firması olarak aşağıdaki hizmetleri vermekteyiz.

ISO 27001 Standardını anlayabilmeniz ve ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurmak istiyorsanız şirketinizin Bilgi Güvenliği Yönetim Temsilcisine, Bilgi Güvenliği Ekibine ISO 27001 Bilgi Güvenliği YYS Eğitim ve Danışmanlık  firmasından aşağıdaki eğitimleri mutlaka almalısınız.

Temel, Farkındalık, Dokümantasyon, İç Tetkik, Risk Tabanlı Proses...

ISO 27001 Eğitimleri Bilgi Güvenliği Yönetim Sisteminin kurulum sürecin başından sonuna kadar neler yapmanız gerektiği ile ilgili bilgiler sağlar. ISO 27001 Standardını bir profesyonel gözü ile tanımak yararlı olacaktır. 

ISO 27001 Danışmanlık Sonrası Alınması Gereken Eğitimler

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Temel Eğitimi 

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Dokümantasyon Eğitimi

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Risk Değerlendirme Eğitimi

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Farkındalık Eğitimi

ISO 27001 Bilgi Güvenliği Yönetim Sistemi (ISO 19011) İç Tetkik Eğitimi

ISO 27001 Eğitimleri 27001-27002-27005-19011 Standartlarını kapsamaktadır.

Dokümante edilen ISO 27001 Bilgi Güvenliği Yönetim Sisteminin uygulamaları yaptırılarak kayıtları oluşturulur ve Belgelendirme aşamasına geçilir.

YYS Danışmanlık ISO 27001 Bilgi güvenliği Yönetim Sistemi için aşağıdaki akış genel olarak yürütmektedir.

ISO 27001 Danışmanlık Hizmetinde Neler Var

Boşluk Analizi (Mevcut Durum Analizi)

BGYS Ekibi ve Temel Eğitim

Temel, Dokümantasyon, İç Tetkik

Yönetimin Taahhüdü ve Politikanın Oluşturulması

BGYS kurulumu için çalışacak olan üst yönetim ile kapsamın belirlenmesi.

Yönetim sistemleri komitesi için atama yazıları oluşturulması, rol ve sorumlulukların belirlenmesi Standardın istediği kayıtlara ilişkin görevlerin belirlenmesi, BGYS Politikasının taslağının standarda uygun olarak yazılması ve Üst Yönetimin onayına sunulması.

Görev Tanımlarının Hazırlanması

BGYS Ekibine ait görev ve sorumlulukların belirlenmesi. Tüm çalışanlar ve 3. Taraflar da dâhil olmak üzere herkesin BGYS ile ilgili sorumluluklarının belirlenmesi.

Uygulanabilirlik Bildirgesi

ISO 27001 Standardının Ek-A kısmında bulunan kontrol maddeleri ile ilgili dâhil edilme ve hariç bırakılma sebeplerinin neler olduğunu belirlenmesi. Uygulanabilirlik Bildirgesinin hazırlanması (Kuruluş içi politikaların ve uygulamaların hazırlandığı kısım) 

Yeterlilik ve Farkındalık

Tanımlanmış bir görev verilen tüm personelin, gerekli işlemleri yerine getirmek için yeterliliğe sahip olmasını temin etmesi bakımından, eğitimin ve öğretimin yürütülmesinden yönetim sorumludur. Yapılan eğitimin ve öğretimin içeriği, tüm personelin, üstlendiği bilgi güvenliği faaliyetlerinin ve BGYS hedeflerine ulaşmaya nasıl katkı sağlayabileceklerinin anlamının ve öneminin farkında olması ve anlamasına destek olmalıdır. Bu çalışmalarda kuruluş içerisinde rol alan tüm personelin farkındalık eğitimi almalarını sağlıyoruz. Yeterlilik kısmında da personele ait yeterlilik kriterlerinin belirlenmesi ve uygun yeterlilik seviyesinde olmayan kişilerin belirlenen seviyeye getirilmesine yardımcı oluyoruz.

Doküman oluşturma

Varlık Envanteri ve Risk Metodolojisinin ( 27001) belirlenip anlaşılması (risk kabul kriterleri, risk değerlendirme, risk işleme, artık risklerin üst yönetime sunulması vb.) ve ekibe anlatılması. Standart gereksinimi istenen yazılı bilgilerin tamamı ile ilgili kayıtların oluşturulmasının belirlenmesi. Doküman ve kayıtların nasıl yönetileceği (oluşturma, dağıtma, geri alma, revizyon, silme vb.), yasal şartların takibinin nasıl yapılacağı ile ilgili süreçlerin belirlenmesi,

İşletim

Kuruluşun dış kaynaklı proseslerin tam olarak neler olduğunun belirlenmesi ve o dış kaynaklı süreçlerin nasıl yönetilebileceği konusunda bilgilendirme. Diğer iki madde (8.2 ve 8.3) için detayları Risk ve Fırsatların belirlenmesi,

Performans Değerlendirme

İzleme, Ölçme, Analiz ve Değerlendirme

BGYS’nin belirli gereksinimlerinin tasarımı, yönetimin gözden geçirmesini destekleyen BGYS için güvenliğin izlenmesini ve ölçülmesi programını içerir. Nelerin izlenmesi gerektiği, ne zaman izleneceği, kim tarafından izleneceği, ölçmelerin nasıl yapılacağı, analiz ve değerlendirme kısımlarının ne şekilde olacağı sorularının cevaplarını bu madde içerisinde ele alıyoruz.

İç Tetkik

İç tetkik ile ilgili kuruluş içerisinde bir iç tetkik ekibinin oluşturulmasını sağlıyoruz. Bunun nedeni; yılda en az 1 kez gerçekleştirilmesi gereken iç denetimlerin her yıl dışarıdan bir kişi veya firmaya yaptırılmasının önüne geçilmesidir. İç Denetimlerin gerçekleştirilmesi,

Yönetim Gözden Geçirmesi

ISO 27001 Danışmanlığı sürecinin son adımı Yönetim Gözden Geçirme maddesidir. Bu maddede standardın 9.3 maddesinde bulunan gereksinimlerin bir sunum haline getirilerek üst yönetimle beraber bir toplantı ile belirlenmesi. Sistem kurulumundan bu yana gerçekleşen tüm aksiyonların ve geri bildirimlerin tamamı bu toplantıda görüşülerek kayıt altına alınıyor.

Sürekli İyileştirme

Kuruluş bünyesinde uygunsuzluk ve iyileştirici faaliyetler ile ilgili dokümantasyonun oluşturulması. Olası bir uygunsuzluk durumunda nasıl aksiyon alınması gerektiği ile ilgili personelin bilgilendirilmesi ve bunların kayıt altına alınmasının detaylarının belirlenmesi,

Ek A kontrolleri

Standardın Ek A’sı danışmanlık sürecinde en çok temas halinde olmamızı saylayan maddelerdir. ISO 27001 Danışmanlığı, 27002:2022 yeni versiyon -5.7 Tehdit istihbaratı /Siber -5.23 Bulut hizmetlerinin kullanımı için bilgi güvenliği -5.30 İş sürekliliği için Bilgi ve İletişim Teknolojileri hazırlığı -7.4 Fiziksel güvenlik izleme -8.9 Konfigürasyon yönetimi -8.10 Bilgi silme -8.11 Veri maskeleme -8.12 Veri sızıntı/kaybı önleme -8.16 İzleme faaliyetleri -8.23 Web filtreleme -8.28 Güvenli kodlamasırasında ağırlıklı olarak üst yönetim, idari işler, insan kaynakları, varsa üretim ve bilgi işlem departmanları ile bu maddelerin belirlenmesi. Bu çalışmalarda işe alım, işten çıkarma, iş sürekliliği, olay ihlal yönetimi, değişiklik yönetimi, ağ güvenliği, tedarik zinciri, uyum vb...

Tüm bu süreçler için ISO 27001 Danışmanlığı almalısınız

Kuruluşun ve bağlamının anlaşılması

Kuruluş, amaçları ile ilgili olan ve bilgi güvenliği yönetim sisteminin hedeflenen çıktılarını başarma kabiliyetini etkileyebilecek iç ve dış hususları belirlemelidir.

Liderlik ve bağlılık

Üst yönetim bilgi güvenliği yönetim sistemi ile ilgili olarak aşağıdakileri yerine getirerek, liderlik ve bağlılık göstermelidir:

Risk ve fırsatları ele alan faaliyetler

Bilgi güvenliği yönetim sistemi planlaması yaparken, kuruluş Madde 4.1 de atıf yapılan hususları ve Madde 4.3. de atıf yapılan şartları göz önünde bulundurmalı ve aşağıdakilerin gerçekleştirilmesi için gerekli olan riskleri ve fırsatları belirlemelidir

Destek

Kuruluş bilgi güvenliği yönetim sisteminin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için gerekli olan kaynakları belirlemeli ve sağlamalıdır.

İşletim

İşletimsel planlama ve kontrol

Kuruluş bilgi güvenliği şartlarını karşılamak ve Madde 6.1’de belirlenen faaliyetleri gerçekleştirmek için gerekli olan süreçleri planlamalı, uygulamalı ve kontrol etmelidir. Kuruluş, Madde 6.2’de belirlenen bilgi güvenliği amaçlarını başarmak için aynı zamanda planları uygulamalıdır.

Kuruluş, süreçlerin planlandığı gibi yürütüldüğünden emin olduğu noktaya kadar yazılı bilgileri saklamalıdır.

Kuruluş, planlanan değişiklikleri kontrol etmeli ve istenmeyen değişikliklerin sonuçlarını gözden geçirerek, gerekiyor ise kötü etkileri azaltmak için eyleme geçmelidir.

Kuruluş, dış kaynaklı süreçlerin belirlenmesini ve kontrol edilmesini temin etmelidir.

Performans değerlendirme

İzleme, ölçme, analiz ve değerlendirme

Kuruluş, bilgi güvenliği performansı ve bilgi güvenliği yönetim sisteminin etkinliğini değerlendirmelidir.

Sürekli iyileştirme

Kuruluş, 27001 bilgi güvenliği yönetim sisteminin uygunluğunu, doğruluğunu ve etkinliğini sürekli olarak iyileştirmelidir.

• Yıl boyunca BGYS “Bilgi Güvenliği Yönetim Sistemi” bakım ve yönetiminde destek ve yardım sağlamak.
• Ekibinizin bilmesi gereken önemli riskler ve güvenlik trendleri için üç ayda bir tehdit ufkunun güncellenmesi.
• Sürekli iyileştirme için BGYS etkinliğini ve performansını değerlendirme.
• Yönetimin gözden geçirme gündemlerinin geliştirilmesi ve toplantı tutanaklarının sürdürülmesi.
• Uygunsuzluk ve olay günlüklerini izleyerek güvenlik olaylarını ve risklerini gözden geçirme.
• Düzeltici faaliyet için önerilerde bulunmak.
• İlgili tarafların iç ve dış bağlamının ve gereksinimlerinin gözden geçirilmesi.
• Rapor geliştirme ve BGYS performansı hakkında geri bildirim sağlama.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurmak ISO 27001 Danışmanlığı ve ISO 27001 Belgesini alması zorunlu olan özel sektör kuruluşları kısaca aşağıdaki kuruluşlardır.

• Bilişim sektöründe faaliyet gösteren ve kamu ihalelerine giren yazılım, donanım ve entegratör firmalar
• Elektronik Haberleşme şebekesi sağlayan ve alt yapısını işleten firmalar
• Görev Sözleşmesi İmzalayan firmalar şirketler
• İmtiyaz Sözleşmesi İmzalayan firmalar şirketler
• Uydu Haberleşme Hizmeti Veren firmalar şirketler
• Altyapıİşletmeciliği Hizmeti Veren firmalar şirketler
• Sabit Telefon Hizmeti firmalar şirketler
• GMPCS Mobil Telefon Hizmeti Veren firmalar şirketler
• Sanal Mobil Şebeke Hizmeti firmalar şirketler
• İnternet Servis Sağlayıcıları
• Hava Taşıtlarında GSM 1800 Mobil Telefon Hizmeti veren firmalar şirketler
• E fatura Özel Entegratör Yetkisi almak isteyen firmalar
• YYS Sertifikası Gümrük işleri Kolaylaştırma Yetkisi almak isteyen ihracatçı İthalatçı firmalar.