ISO 27001 27000 BELGESİ NASIL ALINIR BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ NASIL KURULUR OLUŞTURULUR?
ISO 27001 Belgesi ISO 27000 Sertifikası Nasıl Alınır?
Bir firmanın veya kurumun ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alması ile ilgili detaylar aşağıdaki konularda geniş olarak anlatılacaktır.
ISO 27001 belgesini almak isteyen kuruluşlar nereden başlayacaklarını bilmiyorlarsa ISO 27001 belgesi nasıl alınır sorusunun cevabı özetle
- Bir ISO 27001 danışmanlık ve Eğitim Şirketinden ISO 27001 Bilgi Güvenliği Yönetim Sistemi Danışmanlık ve Eğitim Hizmeti alarak Danışmanlık firmasından eğitimleri alırlar ve bire bir uygulamalı olarak ISO 27001 Standardının maddelerine göre sistem kurma çalışması yapabilirler.
- ISO 27001 Danışmanlık Eğitim şirketinden böyle bir hizmet almak istemeyen firmalar sistem kurma çalışmasında bulunacak personellerine Bilgi Güvenliği Yönetim Sitemlerine ait Eğitimleri aldırarak kendileri sistem kurmayı tercih edebilirler.
- Birinci veya ikinci maddeye göre hareket eden kuruluşlar ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardına göre sistemi kurup dokümante ettikten sonra uygulamaları gerekmektedir. Sistem kurulup uygulanmalar ile ilgili kayıtlar oluştuktan sonra akredite olmuş ISO 27001 belgelendirme kuruluşlarına müracaat ederler.
- Kurum veya kuruluşlar ISO 27001:2013 standardına uygun olarak kurdukları Bilgi Güvenliği Yönetim Sisteminin uygulandığını bağımsız belgelendirme kuruluşlarına kanıtladıkları taktirde; Bağımsız belgelendirme kuruluşları adına denetim yapan denetçiler, kurulan sistemin standart ve şartlara göre yeterli olgunlukta olduğunu ve tüm kurum bileşenleri tarafından uygulandığını tespit ettikleri taktirde; Belgelendirme kuruluşuna ISO 27001 belgenin verilmesini tavsiye ederler.
Not: Belgelendirme kuruluşu ISO 27006 standardına göre hazırlanan denetim raporu üzerinden uygun bulması halinde ISO 27001 belgesini düzenleyerek kuruma verir. Belgenin üzerinde “Uygulanabilirlik Bildirgesi” yayın tarihi ve revizyon durumu özellikle belirtilir.
ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Nasıl Kurulur Oluşturulur Nereden Başlanmalı?
ISO 27001 Bilgi Güvenliği Yönetim Sistemine neden ihtiyaç duyuyorum, sorusuna yanıt aranmalıdır. Bu soruya “ihtiyaç duyuyorum, çünkü ... “ deniyorsa kurumun bilgi varlıklarının durumu değerlendirilmelidir. Üst yönetim “bu yönetim sistemi benim için ...” gereklidir diyorsa standardı karşılama yeteneklerine bakmalıdır. Standardı karşılama yeteneklerini etkin / verimli / hızlı biçimde yerine getirme imkanlarını araştırmalıdır. Danışmanlık hizmeti bu aşamada gündeme gelebilir. Konunun uzmanlarından veya bu alanda yazılmış rehberlerden, dokümanlardan, bu alanda verilen eğitimlerden yararlanılmadan yönetim sisteminin kurulumuna gidilmesi halinde süreçlerin istenildiğinden daha uzun zaman içinde ortaya çıkacağı kabul edilmelidir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Danışmanlık Hizmetlerinde ne tür hizmetler alınır?
ISO 27001 danışmanlık firmasından ne tür hizmetler alınır sorusunun cevabı ISO 27001 danışmanlık firması asgari olarak aşağıdaki hizmetleri verir.
Bu hizmetlerin neler olduğuna geçmeden önce kuruluşun Üst yönetimin veya yönetim kurulunun ISO 27001 bilgi güvenliği sisteminin kurulması için karar alması gerekmektedir.
Bu karar bağlamında eğer ihtiyaç duyuluyorsa sistemin kurulumu konusunda danışmanlık alınabilecek kişi / firmalarla bağlantıya geçecek, teklifleri toplayarak bu aşamayı kurumun kendi iç süreçleri ve prosedürleri içinde sonuçlandırmalıdır.
Danışmanlık firması seçiminde dikkat edilmesi gereken en önemli husus en ucuz fiyatı veren değil size daha az maliyette sistem kurmanızı sağlayacak referansları güçlü bir danışman firma ile çalışmanız tavsiyesinde bulunuyoruz. Danışman Firmanın bünyesinde en 1 adet ISO 27001 Baş Denetçi Sertifikasına sahip danışman bulunmalıdır.
ISO 27001 Danışmanlık firmasına karar verildikten sonra kurumunuz danışmanlık firması ile ISO 27001 Bilgi Güvenliği Danışmanlık hizmeti alımı anlaşması yapmalıdır. Danışmanlık hizmeti sözleşmesinde ISO 27001 bilgi güvenliği sistemi kurulum sürecin genel takvimi karşılıklı mutabakatla çıkartılmalı ve karara bağlanmalıdır.
Danışmanlık Firması ISO 27001 Bilgi güvenliği Yönetim Sistemi için aşağıdaki akış genel olarak yürütmektedir:
- Danışman ve kurum içinde bir " Bilgi Güvenliği Koordinasyon Grubu (BGKG)- Forumu"nun oluşturacaktır. Bu forum kendi içinde yaptığı görüşmeler sonucu takvimi ve görev paylaşımını yapacaktır. Eğitimler bu çalışmalar içinde kararlaştırılarak takvime bağlanacaktır.
- Kurumda ISO 9001 KYS kurulu değil ise öncelikle temel ISO 9001 ve ISO 27001 standardının zorunlu tuttuğu ve ancak ISO 9001 tarafından sağlanması gereken prosedür ve süreçler yapılandırılacaktır. Bu süreç ISO 27001 bilgi güvenliği için temel yönetim omurgasını yapılandırmış olacaktır. Eğer kurumda ISO 9001 kalite yönetim sistemi kurulu ise ISO 27001 bilgi güvenliği standardının istediği kimi prosedürler, proses ve talimatlar bustandart dokümantasyonun etkinliği kontrol edilecek ve eksiklikler belirlenecektir.
- Temel ISO 9001 Kalite Yönetim sistemi yapılanmasının ardından kuruma dair ISO 27001 Bilgi Güvenliği Yönetim Sistemi kapsamı ve sınırları belirlenmesi aşaması gelmektedir. Özellikle belgelendirme aşamasında kapsam ve sınırlar denetimin en önemli unsurları olarak karşımıza çıkmaktadır.
- Yine ilk oturum içinde belirlenen kapsama bağlı olarak kurumun temel Bilgi Güvenliği Yönetim Sistemi Politikası hazırlanacaktır.ISO 27001 Temel Bilgi Güvenliği Yönetim Sistemi Politikası Forumun bir oturumunda karar bağlanacaktır ve Üst yönetim bu politikayı onaylayarak tüm kuruma duyuracaktır. Diğer politikalar sistem kurulumu aşamasında yapılandırılacaktır.
- Kurumdaki tüm varlık envanterinin çıkartılması gerekmektedir. Varlık envanteri çıkartılırken etkileme yapılarak varlıların sınıflandırılması sağlanacaktır. Varlıklar sınıflandırıldıktan sonra puanlama yapılarak kritik varlıkların belirlenmesi sağlanacaktır.
- Bilgi güvenliği politikalarını temel alan sistematik bir risk değerlendirme yaklaşımının belirlenerek risk belirleme çalışmaları başlatılacaktır. Tespit edilenrisklerin analizi ve derecelendirilmesinin yapılması ve raporlanması yapılacaktır. Risk değerlendirme sonuç raporundan yola çıkılarak uygun risk işleme (risk treatment) yöntemlerinin belirlenecektir. Risk analizine esas olacak bir penetrasyon test raporu ya kurum içinde ya da bağımsız kuruluşlarca hazırlatılmalıdır. Dahili ve harici saldırı senaryoları, felaket yönetimi senaryoları çalışılmalıdır. Buna bağlı olarak oluşturulan rapor risk analizi için temel teşkil etmelidir.
- Risk analiz raporu üst yönetime sunularak risklerle ilgili kararı verilecektir. Üst yönetimin risk üstlenme dokümanından sonra ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurulum çalışmalarına geçilecektir.
- Bu aşamada sistemin kurulması çalışmaları başlamaktadır. Kapsam, sınırlar, politikalar ve risk analizine bağlı olarak seçilen kontrol kriterleri yapılandırılacaktır.
- Ek – A kontrol kriterlerinin seçilmesi ve kontrol hedeflerinin belirlenmesinden sonra standardın istediği Uygulanabilirlik bildirgesi hazırlanacaktır.
- Bu aşamada uygulamaya alınır. en az 30 günlük bir uygulama süresinden sonra sistemin iç tetkiki gerçekleştirilir. İç tetkik raporları Yönetimin Gözden Geçirilmesi Toplantısında karar bağlanır.
- Sistemin istenilen düzeyde çalışıyorsa Belgelendirme amaçlı Aşama-1 (Stage-1) sürecine gelinmiş olur ve bu aşamada kurumunuzu akredite olmuş belgelendirme kuruluşlarına müracaat etmesi fiyat teklifi alması gerekir.
- Birinci Aşama Belgelendirme denetimi Belgelendirme kuruluşu tarafından yapılır ve var ise eksiklikler ve uygunsuzluklar tespit edilir. Yapılan başvuru sonucu belgelendirmeci kuruluşun saptadığı eksikliklerinin ve uygunsuzlukların tamamlanması için verilecek hizmet danışmanlık hizmeti kapsamındadır. Eksiklikler ve uygunsuzlukların tamamlanması veya hiç eksiklik ve uygunsuzluk bulunmaması durumunda 2. Aşama Belgelendirme Denetimine geçilir.
- İkinci aşama belgelendirme denetimi asıl denetimdir ve sistem bütün yönleri ile ve uygulamaları ile incelenir. Belgelendirme kuruluşu denetçileri tarafından ISO 27001 standardına göre mevcut durum, Gözlem, Tavsiye, uygunsuzluklar tespit edilir. Danışmanlık firması 1. Aşama denetimde olduğu gibi eksiklikleri ve uygunsuzlukları giderir ve Belgelendirme kuruluşuna yapılan düzeltici faaliyetler gönderilir.
- Denetimlerden başarı ile geçmesi durumunda Belgelendirme kuruluşu ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesini firmanıza gönderir.
- Aslında bu durum ilk başta tekliflerin alınması sözleşmenin yapılması aşamasında karara bağlanmalıdır. ISO 27001 Bilgi Güvenliği Yönetim Sisteminin sürekliliğinin sağlanması ve iyileştirilmesi sistemin tam olarak anlaşılması için danışman firmanın bir sonraki gözetim denetimine kadar teknik destek danışmanlık hizmeti vermesi gerekir. Bu hizmeti almak tamamen kuruluşunuza bağlıdır.
ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Danışmanlık Firması Kuruluşunuza ne tür eğitimler verir ?
- ISO 27001 Bilgi Güvenliği Yönetim Sistemi Temel Eğitimi (Standart ve Ek-A Kontrol kriterleri)
- ISO 27001 Bilgi Güvenliği Yönetim Sistemi Dokümantasyon Eğitimi
- Risk değerlendirme ve Risk Yaklaşımı Eğitimi
- İç tetkik Eğitimi
