27001 BGYS SÜRECİ

ISO 27001 Bilgi Güvenliği Yönetim Sistemi

Bilgi, kuruluşunuzun faaliyetleri ve belki devamı için büyük bir önem taşır. ISO/IEC 27001 Belgesi değerli bilgi varlıklarınızı yönetmenize ve korumanıza yardımcı olur.

ISO/IEC 27001, Bilgi Güvenliği Yönetimi Sistemi (ISMS) gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır. Yeterli ve orantılı güvenlik denetimleri seçilmesini sağlamak için tasarlanmıştır.

ISO 27001 Kurumların risk yönetimi ve risk işleme planlarını, görev ve sorumlulukları, iş devamlılığı planlarını, acil durum olay yönetimi prosedürleri hazırlamasını ve uygulamada bunların kayıtlarını tutmasını gerektirir. Kurum tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliği politikası yayınlamalı ve personelini bilgi güvenliği ve tehditler hakkında bilinçlendirmelidir. Seçilen kontrol hedeflerinin ölçülmesi ve kontrollerin amacına uygunluğunun ve performansının sürekli takip edildiği yaşayan bir süreç olarak bilgi güvenliği yönetimi ancak yönetimin aktif desteği ve personelin katılımcılığıyla başarılabilir. 
Bu bilgi varlıklarınızı korumanıza ve ilgili taraflara, özellikle de müşterilerinize güven vermenize yardımcı olur. Bu standart, Bilgi Güvenliği Yönetimi Sisteminizi oluşturmak, uygulamak, işletmek, izlemek, incelemek, sürdürmek ve geliştirmek için süreç yaklaşımını benimser. Detalı Bilgi

 

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Çalışmasını nasıl yapıyoruz?

ISO 27001 süreci diğer kalite standartlarının aksine somut işlerin yapılması gerektiği ve faydalarının çok kısa sürede ortaya çıktığı bir standarttır. ISO 27001 standardını uygulamaya başlayan kuruluş daha işin başında yanlışlarını ve açıklarını görerek sistemlerinin iyileştirilmesi yönündeki ilk adımı atmış olmaktadır.

27001 Sürecini Nasıl Yürütüyoruz?

ISO 27001 çalışmalarımızı aşağıdaki aşamalar doğrultusunda yürütmekteyiz.

  • Sözleşmeye İstinaden Sistemin tetkiki
  • Amaçların belirlenmesi
  • Yasal zorunlulukların belirlenmesi
  • İş akışlarının gözlenmesi ve uygun yöntemlerin belirlenmesi
  • İlgili tarafların belirlenmesi
  • Sahanın uygunluğunun ve eksikliklerinin saptanması ve raporlanması
  • Ağ yapısının ve bilgi akışının sağlandığı server yapısının uygunluk yönünden değerlendirilmesi ve raporlanması
  • Gerekli ön çalışma bittikten sonra dokümantasyon aşamasına geçilmesi
  • Risk Analizlerinin oluşturulması
  • Dökümanların oluşturulması ve firmada bulunan diğer sistemlerle entegrasyonu
  • Aşama 1 denetim talebi
  • Denetim sonucu ortaya çıkan eksikliklerin kapatılması
  • Aşama 2 denetimi
  • firmanın belgelendirilmesi

 

1-   Sistemin Tetkiki;

Bu aşamada firmanın çalışma sisteminin nasıl olduğu, firmanın kritik noktalarının nereler olduğu ve bu noktalarda yapılacak iyileştirme esnasında oluşabilecek problemler belirlenir.

2-   Amaçların Belirlenmesi;

Bu aşamada ISO 27001 Sisteminin kurulması ve belgelendirilmesinin hangi ihtiyaçtan ve sebepten ortaya çıktığının belirlenmesi ve buna yönelik bir çalışma yürütülmesi.

3-   Yasal Zorunlulukların Belirlenmesi;

Bu aşamada firmanın uymakla yükümlü olduğu yasalar, yönetmelikler ve teknik şartnameler belirlenerek uygulanacak Bilgi Güvenliği Yönetim Sistemi içerisinde bunların takibi ve uyumluluğun izlenmesi de sağlanacaktır.

4-   İş akışlarının gözlenmesi ve uygun yöntemlerin belirlenmesi;

Bu aşamada firmanın işleyişi esnasında ortaya çıkan belirlenmiş uygunsuzlukların önlenmesi için uygun teknik belirlenir ve süreç içerisine entegre edilerek bundan sonraki iş akışının bu yöntemler doğrultusunda yapılması sağlanır.

5-   İlgili Tarafların Belirlenmesi;

Bu aşamada firmanın uyguladığı BGYS kapsamında iç ve dış tarafların firmadan Bilgi güvenliği açısından beklentileri belirlenir.

6-   Sahanın uygunluğunun ve eksikliklerinin saptanması ve raporlanması;

Bu aşamada firmanın bilgi güvenliği açısından fiziki şartları (server odası, kamera kayıtları, giriş-çıkışlar) analiz edilir ve uygunsuzluklar saptanır. Uygunsuzluklar raporlanarak ilgili kişi ve termin süreleri belirlenerek giderilmesi beklenir.

7-   Ağ yapısının ve bilgi akışının sağlandığı server yapısının uygunluk yönünden değerlendirilmesi ve raporlanması;

Bu aşamada firmanın ağ yapısı incelenir eksiklikleri raporlanır, server sistemi ve yedekleme sistemlerinin standardı karşılama konusunda yeterliliği kontrol edilir ve uygun yöntemler konusunda düzenlemeler yapılır.

8-   Varlık Envanteri ve Risk Analizinin Oluşturulması;

Bu aşamada firmanın varlık envanterinden yararlanılarak bilgi varlıkları envanteri oluşturulur. Bu envanterde şirketin bilgi varlıkları belirtilir. Bu envanterden yola çıkılarak firmanın Risk Analizi oluşturulur ve riskler belirlenir. Belirlenen riskler puanlanır ve risklerin en aza indirilmesi için gerekli aksiyonlar belirtilir.

9-   Dökümanların oluşturulması ve firmada bulunan diğer sistemlerle entegrasyonu;

Bu aşamada evraksal işlemler tam anlamıyla başlamaktadır. Daha önceki aşamalarda ortaya çıkan tabloya uygun olarak gerekli dökümantasyon çalışması gerçekleştirilir. Firmada uygulanan farklı kalite sistemleri var ise ISO 27001 sistemi bu sistemlere entegre edilerek ilerleyen zamanlarda firmaya iş yükü oluşturacak kısımların tekrarlanması engellenir. Oluşturulan dökümanlar yönetim temsilcisi eşliğinde üst yönetiminde incelemesi ve revizyona katılması sağlanarak ortaya nihai doküman çıkarılır. Nihai doküman üst yönetim tarafından imzalanarak yayınlanır ve sistem bu aşamadan itibaren şirkette işleyen bir sistem haline dönüşür.

10-  Aşama 1 denetim talebi;

Bu aşamada firmanın sistemsel olarak ISO 27001 Standardında denetimi gerçekleştirilir.Var ise eksiklikler belirlenir ve raporlanır.

11- Denetim sonucu ortaya çıkan eksikliklerin kapatılması;

Bu aşamada aşama 1 denetiminde ortaya çıkan uygunsuzluklar giderilir ve kapamaları yapılarak aşama 2 denetimi beklenir.

12- Aşama 2 denetimi;

Bu Aşamada aşama 1 denetiminde belirlenen uygunsuzlukların giderilip giderilmediğine bakılır. Uygunsuzluklar giderilmiş ise belge aşamasına geçilir.

13- Firmanın Belgelendirilmesi;

Bu aşamada denetçinin raporu kuruluş tarafından komiteye sokulur ve firmanın belge çıkışları gerçekleştirilir. Firma bu aşamadan sonra ISO 27001 Belgeli bir firma olarak anılır. Belgenin geçerliliği 3 yıl olup belgelendirmeyi takip eden yıllarda gözetim denetimi gerçekleştirilir.

 

 

BELGELENDİRME İŞLEMİNDEN SONRAKİ HİZMETLERİMİZ

 

Firmalar belgeyi teslim aldıktan sonra işlemin bittiğini düşünürler, aksine işlem yeni başlamaktadır. Belgeli firmanın yılda en az 1 defa iç tetkik yapması gerekmektedir. Optimum Kalite olarak yıllık iç tetkiklerinizi birlikte yaparak daha profesyonel sonuçlar çıkarmanızı sağlamaktayız.

 

ISO 27001 Belgesinin alınmasındaki başlıca sebepler Resmi Kurumlar tarafından talep edilmesidir. Bazı kurumlar alınan belgeyi isteminin dışında firmada bir denetimde kendileri yapmak isterler ( Gümrük Bakanlığı Yetkilendirilmiş Yükümlü Statüsü gibi) Optimum Kalite olarak firmada yapılacak haberli denetimlerde firmaya refakat hizmeti verilerek denetimden daha iyi sonuçla çıkma ihtimalini yükseltmekteyiz.

 

Yıllık ara denetimler öncesinde sistem ve doküman kontrolü yapılarak denetime eksiksiz girilmesi sağlanır.

 

Denetim sonrasında çıkan uygunsuzlukların giderilmesi ve kapamalarının yapılmasıda yine tarafımızca sağlanmaktadır.

 

ISO 27001 Bilgi Güvenliği Yönetim Sistemi ile ilgili tüm detaylı bilgilere www.iso27001belge.com sitemizden ulaşabilirsiniz.