ISO 27001

ISO 27001 Bilgi Güvenliği Yönetim Sistemleri belgelendirilmesi, kuruluşun kurmuş olduğu Bilgi güvenliği yönetim sistemlerinin bağımsız ve akredite bir sertifikasyon(belgelendirme) kuruluşunun denetiminden başarıyla geçmesi ve bunun devamlılığını sağlaması ile mümkündür. Kuruluş, Bilgi Güvenliği Yönetim Sistemi standardın gereksinimlerini karşılayacak şekilde kurduktan sonra, bu sistemin belgelendirilmesi için bir sertifikasyon (belgelendirme) kuruluşu ile anlaşır. Sertifikasyon(belgelendirme) kuruluşu, kuruluşun bilgi güvenliği sisteminin standardın gereksinimlerini karşılayıp karşılamadığını tespit etmek üzere bir sertifikasyon(belgelendirme) denetimi yapar. Bu denetim sonucunda sertifikasyon(belgelendirme) kuruluşu, kurulmuş olan bilgi güvenliği sisteminin ilgili standardın gereksinimlerinin yeterince karşılandığına karar verirse, kuruluşun bilgi güvenliği sistemini belgelendirir.

MRC Danışmanlık, ISO 27001 Denetçi proje yöneticileri ile şirketinizde ISO 27001 Bilgi Güvenliği Sisteminin Kurulumu ve Sistemin Oluşturulması için ISO 27001 Eğitim Danışmanlık Hizmeti vermektedir.

ISO/IEC 27001 Bilgi Güvenliği Sistemi, dünyanın hangi Ülkesinden veya hangi sektörden olursa olsun büyük küçük tüm kuruluşlara uygundur. Bu standart, finans, sağlık, kamu ve BT sektörleri gibi bilginin korunmasının büyük öneme sahip olduğu alanlarda özellikle gereklidir.

ISO/IEC 27001 sertifikasyonu, BT taşeron şirketleri gibi bilgiyi başkaları adına yöneten kuruluşlar için de oldukça önemlidir, müşterilere bilgilerinin koruma altında olduğu güvencesini vermek için kullanılabilir.

ISO 27001 danışmanlık firmasından ne tür hizmetler alınır sorusunun cevabı, ISO 27001 danışmanlık firması asgari olarak aşağıdaki hizmetleri verir.

Bu hizmetlerin neler olduğuna geçmeden önce kuruluşun Üst yönetimin veya yönetim kurulunun ISO 27001 bilgi güvenliği sisteminin kurulması için karar alması gerekmektedir.
Bu karar bağlamında eğer ihtiyaç duyuluyorsa sistemin kurulumu konusunda danışmanlık alınabilecek kişi / firmalarla bağlantıya geçecek, teklifleri toplayarak bu aşamayı kurumun kendi iç süreçleri ve prosedürleri içinde sonuçlandırmalıdır.

Danışman Firmanın bünyesinde 1 adet ISO 27001 Baş Denetçi Sertifikasına sahip danışman bulunmalıdır.
ISO 27001 belgesi için Danışmanlık firmasına karar verildikten sonra kurumunuz danışmanlık firması ile ISO 27001 Bilgi Güvenliği Danışmanlık hizmeti alımı anlaşması yapmalıdır. Danışmanlık hizmeti sözleşmesinde ISO 27001 bilgi güvenliği sistemi kurulum sürecin genel takvimi karşılıklı mutabakatla çıkartılmalı ve karara bağlanmalıdır.
Danışmanlık Firması ISO 27001 Bilgi güvenliği Yönetim Sistemi kurulumu ve ISO 27001 Bilgi güvenliği belgelendirilmesi için aşağıdaki akış genel olarak yürütmektedir:

1. Bilgi Güvenlik Yönetim Sistemi Forumunun kurulması:

Danışman ve kurum içinde bir ” Bilgi Güvenliği Koordinasyon Grubu (BGKG)- Bilgi Güvenliği ekibi ” ni oluşturacaktır. Bu forum kendi içinde yaptığı görüşmeler sonucu takvimi ve görev paylaşımını yapacaktır. Eğitimler bu çalışmalar içinde kararlaştırılarak takvime bağlanacaktır.

2. Kurumun Mevcut Sistem ve Dokümantasyon Analizi:

Kurumda ISO 9001 KYS Kurulu değil ise öncelikle temel ISO 9001 ve ISO 27001 standardının zorunlu tuttuğu ve ancak ISO9001
tarafından sağlanması gereken prosedür ve süreçler yapılandırılacaktır. Bu süreç ISO27001 bilgi güvenliği için temel yönetim omurgasını yapılandırmış olacaktır.
Eğer kurumda ISO 9001 kalite yönetim sistemi kurulu ise ISO 27001 bilgi güvenliği standardının istediği kimi prosedürler, proses ve talimatlar bu standart dokümantasyonun etkinliği kontrol edilecek ve eksiklikler belirlenecektir.

3. Bilgi Güvenliği Yönetim Sistemi kapsam ve sınırlarının belirlenmesi:

Temel ISO 9001 Kalite Yönetim sistemi yapılanmasının ardından kuruma dair ISO 27001 Bilgi Güvenliği Yönetim Sistemi kapsamı ve sınırları belirlenmesi aşaması gelmektedir. Özellikle belgelendirme aşamasında kapsam ve sınırlar denetimin en önemli unsurları olarak karşımıza çıkmaktadır.

4. BGYS Temel politikası ve diğer politikaların oluşturulması:

Yine ilk oturum içinde belirlenen kapsama bağlı olarak kurumun temel Bilgi Güvenliği Yönetim Sistemi Politikası hazırlanacaktır. ISO 27001 Temel Bilgi Güvenliği Yönetim Sistemi Politikası Forumun bir oturumunda karar bağlanacaktır ve
Üst yönetim bu politikayı onaylayarak tüm kuruma duyuracaktır. Diğer politikalar sistem kurulumu aşamasında yapılandırılacaktır.

5. Varlıkların Belirlenmesi ve Sınıflandırılması:

Kurumdaki tüm varlık envanterinin çıkartılması gerekmektedir. Varlık envanteri çıkartılırken etkileme yapılarak varlıların sınıflandırılması sağlanacaktır. Varlıklar sınıflandırıldıktan sonra puanlama yapılarak kritik varlıkların belirlenmesi sağlanacaktır.

6. Risk Analizi ve Değerlendirmesi Çalışmasının Yapılması:

Bilgi güvenliği politikalarını temel alan sistematik bir risk değerlendirme yaklaşımının belirlenerek risk belirleme çalışmaları başlatılacaktır. Tespit edilen risklerin analizi ve derecelendirilmesinin yapılması ve raporlanması yapılacaktır.
Risk değerlendirme sonuç raporundan yola çıkılarak uygun risk işleme (risktreatment) yöntemlerini belirlenecektir.
Risk analizine esas olacak bir penetrasyon test raporu ya kurum içinde ya da bağımsız kuruluşlarca hazırlatılmalıdır.
Dâhili ve harici saldırı senaryoları, felaket yönetimi senaryoları çalışılmalıdır. Buna bağlı olarak oluşturulan rapor risk analizi için temel teşkil etmelidir.

7. Hazırlanan risk raporu üst yönetime sunulması:

Risk analiz raporu üst yönetime sunularak risklerle ilgili kararı verilecektir. Üst yönetimin risk üstlenme dokümanından sonra ISO2 7001 Bilgi Güvenliği Yönetim Sistemi kurulum çalışmalarına geçilecektir.

8. Risk işleme süreci sonuçlarına uygun TS ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardında yer alan Ek-A kontrol Kriterleri’nin seçilmesi ve kontrol hedeflerinin belirlenmesi:

Bu aşamada sistemin kurulması çalışmaları başlamaktadır. Kapsam, sınırlar, politikalar ve risk analizine bağlı olarak seçilen kontrol kriterleri yapılandırılacaktır.

9. Uygulanabilirlik Bildirgesinin (SOA)hazırlanması:

Ek – A kontrol kriterlerinin seçilmesi ve kontrol hedeflerinin belirlenmesinden sonra standardın istediği uygulanabilirlik bildirgesi (SOA) hazırlanacaktır.

10. Sistem iç tetkiki ve Yönetimin gözden geçirilmesi yapılması:

Bu aşamada uygulamaya alınır. En az 30 günlük bir uygulama süresinden sonra sistemin iç tetkiki gerçekleştirilir. İç tetkik raporları Yönetimin Gözden Geçirilmesi Toplantısında karar bağlanır.

11. Belgelendirme Kuruluşuna Müracaatın Yapılması:

Sistemin istenilen düzeyde çalışıyorsa Belgelendirme maçlı Aşama-1 (Stage-1)sürecine gelinmiş olur ve bu aşamada kurumunuzu akredite olmuş belgelendirme kuruluşlarına müracaat etmesi fiyat teklifi alması gerekir.

12. Birinci Aşama Belgelendirme Denetiminin Yapılması:

Birinci Aşama Belgelendirme denetimi Belgelendirme kuruluşu tarafından yapılır ve var ise eksiklikler ve uygunsuzluklar tespit edilir. Yapılan başvuru sonucu belgelendirmeci kuruluşun saptadığı eksikliklerinin ve uygunsuzlukların tamamlanması için verilecek hizmet, ISO 27001 bilgi güvenliği danışmanlık hizmeti kapsamındadır. Eksiklikler ve uygunsuzlukların tamamlanması veya hiç eksiklik ve uygunsuzluk bulunmaması durumunda 2.Aşama Belgelendirme Denetimine geçilir.

13. İkinci Aşama Belgelendirme Denetiminin Yapılması:

İkinci aşama belgelendirme denetimi asıl denetimdir ve sistem bütün yönleri ile ve uygulamaları ile incelenir. Belgelendirme kuruluşu denetçileri tarafından ISO 27001 standardına göre mevcut durum, Gözlem, Tavsiye, uygunsuzluklar tespit edilir. Danışmanlık firması 1.Aşama denetimde olduğu gibi eksiklikleri ve uygunsuzlukları giderir ve Belgelendirme kuruluşuna yapılan düzeltici faaliyetler gönderilir.

14. ISO 27001 Belgesinin Sertifikasının Basılması:

Denetimlerden başarı ile geçmesi durumunda Belgelendirme kuruluşu ISO27001 Bilgi Güvenliği Belgesini firmanıza gönderir.

15. ISO 27001 Danışmanlık Firması, ISO 27001 Teknik Destek, ISO 27001 Danışmanlık Hizmeti:

Aslında bu durum ilk başta tekliflerin alınması sözleşmenin yapılması aşamasında karara bağlanmalıdır. ISO27001 Bilgi Güvenliği Yönetim Sisteminin sürekliliğinin sağlanması ve iyileştirilmesi sistemin tam olarak anlaşılması için danışman firmanın bir sonraki gözetim denetimine kadar teknik destek danışmanlık hizmeti vermesi gerekir. Bu hizmeti almak tamamen kuruluşunuza bağlıdır.

ISO 27001 Bilgi Güvenliği Sistemi Kurma Aşamaları:

• Varlıkların sınıflandırılması,
• Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi,
• Risk analizi,
• Risk analizi çıktılarına göre uygulanacak kontrolleri belirleme,
• Dokümantasyon oluşturma,
• Kontrolleri uygulama,
• İç tetkik,
• Kayıtları tutma,
• Yönetimin gözden geçirmesi,
• Belgelendirme

ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ TEMEL EĞİTİMİ

Eğitimin Hedefi:

ISO 27001 bilgi güvenliği yönetim sistemi standartlarının tanıtılması, standarda uygun yönetim sistemi kurmak isteyen kuruluşların, standardın gereklilikleri konusunda bilgilendirilmesi.

İçeriği:
Bilgi güvenliği yönetimi temel tanımlar ve kavramlar
Bilgi güvenliği standartları ve ISO27001’in gelişimi
ISO 27001 bilgi güvenliği yönetim sistemi standardının gereklilikleri
Diğer Standartlarla ilişkiler
ISO 27001 standart maddelerinin açıklanması ve yorumlanması

Uygulama örnekleri
Katılımcılar: Bilgi güvenliği yönetim sistemi kurmak isteyen kuruluşların çalışanları. Temel eğitim ISO 27001 Bilgi Güvenliği Danışmanlık hizmeti kapsamımızdadır.

ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ İÇTETKİKÇİ

ISO 27001 Standardının ve bilgi güvenliği yönetim sisteminin (BGYS)uygunluğunun denetimi için gerekli bilgilerin ve yöntemlerin sunulması ve katılımcıların tetkik becerileri ve bilgisi ile donatılması.

Eğitimin İçeriği: EĞİTİMİ
Eğitimin Amacı:

• ISO27001 standardının gereksinimleri
• Bilgi Güvenliği Risk Yönetimi
• Bilgi Güvenliği Politikası
• BGYS prosedürleri
• BGYS dokümantasyon yapısı
• BGYS kontrolleri
• ISO 27001 Organizasyonel Güvenlik, ISO 27001 Varlık Yönetimi, ISO27001 İnsan Kaynakları Güvenliği
• ISO 27001 Fiziksel ve Çevresel Güvenlik, ISO 27001Haberleşme, ISO 27001 Ağ ve Sistem güvenliği
• ISO 27001 Erişim Güvenliği, ISO 27001 Bilgi Sistemleri Satın alma, ISO 27001 Geliştirme ve Bakımı
• ISO 27001 Bilgi Güvenliği Olay Yönetimi, ISO 27001 İş Sürekliliği Yönetimi
• ISO 27001 Tetkik eğitimi
• ISO 27001 Tetkik planlaması
• ISO 27001 Tetkik soru listesi hazırlama
• ISO 27001 Tetkik uygulama esasları
• ISO 27001 Tetkik raporlama ve takip
• ISO 27001 Tetkikçi sınavı ve değerlendirmesi

ISO 27001 Standart, sistemin kurulması ve dökümante edilmesi için gerekli genel kuralları tanımlar. Bir ürüne ait değildir. Bu nedenle firma veya kurum, kendi sektörüne göre standardı uygulamak zorundadır. ISO 27001Standardının firma veya kuruma adapte edilmesi; yapısına, personel sayısına, fonksiyonel durumuna ve yönetiminin inanmasına bağlı olarak uzun veya kısa zaman alabilir. Ayrıca sistem kurucunun (firma veya kurum içinden bir personel veya personel grubu ya da danışman kuruluş olabilir)konuya vakıf ve disiplini de süreyi etkiler.

ISO 27001 bilgi güvenliği belgelendirmesine karar veren ve bu yönde tüm hazırlıklarını tamamlayan her firma, ulusal veya uluslararası platformda kabul görmüş ve tanınmış bir belgelendirme kuruluşuna müracaat eder. Belgelendirme kuruluşunun seçimi tamamen firmaya aittir ve kanuni bir zorunluluk yoktur. Firma veya kurum; müşteri portföyünü değerlendirerek, belgelendirme kuruluşunu seçmelidir.

Türkakreditasyon Kurumu (TURKAK)ISO 17021 Yönetim Sistemleri Belgelendirme Kuralları standartları doğrultusunda çalışmalarını tamamlamış ve ISO 27001 Bilgi Güvenliği Yönetim Sistemi denetçi/ Baş denetçi kadrosunu oluşturmuş firmaları ISO 27001 Belgesi vermesi konusunda akredite etmektedir. TURKAK dan ISO27001 Belgelendirmesi konusunda akredite olmuş kuruluşlar yapmış oldukları ISO 27001 belgelendirme denetimleri sonucu ISO 27001belgesini TURKAK akrediteli olarak verebilmektedirler.

ISO 27001 Belgesi nin alınacağı kuruluş seçildikten sonra, firma veya kurumun denetimi için bir plan ve program yapılır ve firma veya kurum denetiminden sonra uygun olan sistem belgelendirilir. ISO 27001 sertifikası üç yıl için verilir ve her yılara denetimlerle takip edilir. Üç yılın sonunda ise yeniden belgelendirme tetkiki yapılır.

• Bilgi varlıklarının farkına varma: Kuruluş ISO27001 Bilgi Güvenliği Yönetim Sistemi sayesinde hangi bilgi varlıklarının olduğunun ve bunların değerinin farkına varır.
• Sahip olduğu varlıkları koruyabilme: Kuracağı kontroller ile ISO 27001Bilgi Güvenliği Yönetim Sistemi sayesinde koruma metotlarını belirler ve uygulayarak korur.
• İş sürekliliği: ISO 27001Bilgi Güvenliği Yönetim Sistemi firmanın uzun yıllar boyunca işini garanti eder. Ayrıca ISO 27001 Bilgi Güvenliği Yönetim Sistemi bir felaket halinde, iş devam etme yeterliliğine sahip olur.
• İlgili taraflar ile barış halinde olma: Başta tedarikçileri olmak üzere, ISO 27001 Bilgi Güvenliği Yönetim Sistemi sayesinde bilgileri korunacağından ilgili tarafların güvenini kazanır.
• ISO 27001 Bilgi Güvenliği Yönetim Sistemi bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz.
• ISO 27001 belgesi ile Bilgi Güvenliği Yönetim Sistemi kuran firmaları müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir.
• ISO 27001 Bilgi Güvenliği Yönetim Sistemi çalışanların motivasyonunu arttırır.
• ISO 27001 Bilgi Güvenliği Sistemi yasal takipleri önler.
• ISO 27001 belgesi yüksek prestij sağlar.