ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nedir ?
ISO 27001 şirketlerin kendilerine özel, hassas ve şirket içinde kalması elzem olan bilgilerini korumaya yönelik “Bilgi Güvenliği Yönetim Sistemi (BGYS)” kurulmasını amaçlayan, standardize eden ve sertifikalayan sistematik bir yaklaşımdır. BGYS sisteminin temeli firma içindeki varlıkların ve bilgilerin sınıflandırılması ve hassasiyetlerinin belirlenmesi üzerine kurulur. Varlıklar; fiziksel, gerçek ve tüzel kişiler (çalışanlar, müşteriler, tedarikçiler, firmanın imajı), yazılımlar, bilgiler ve alınan hizmetler olarak sınıflanır. Bu sınıflandırma ile BGYS; firma için çalışanları, kritik her türlü bilgi varlıklarını, kurum için önemli ve gizli yazılı ya da elektronik ortamdaki her türlü dökümanı, iş süreçlerini, iş sürekliliğini ve bilgi teknolojilerini kapsar.
2013 yılından itibaren ISO/IEC 27001:2013 versiyonu kulanılmakta ve sertifikalandırılmaktadır.
ISO 27001 : 2013 Bilgi Güvenliği Yönetim Sistemi Danışmanlığımız
ISO 27001 her ne kadar bir bilgi teknolojileri yoğun bir sistem olarak görülse de aslında bu tam olarak doğru değildir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi ; Firma çalışanlarını, her türlü önemli bilgi varlıklarını, güvenlik ve insan kaynakları, varsa arge ve üretim, satınalma ve satış birimleri başta olmak üzere şirketinizin tüm iş süreçlerini kapsayan temel bir politikaya dayanır. Bu kapsamda ;
- Bilgi Teknolojileri (IT), İnsan Kaynakları (İK), Güvenlik, Satınalma vb. İş birimlerinin dokümantasyonlarının varsa incelenmesi ve ISO 27001 standartlarına uygun hale getirilmesi yoksa birlikte yazılması ,
- Sistem odası, ups, jenaratör, klima, kablolama altapısı, access pointler, wireless vb.. IT altyapsının incelenmesi ve eksikliklerin giderilmesi yönünde bilgi verilmesi,
- Varlık envanterinin hazırlatılması,
- Risk analizinin yapılması,
- Gereken uygulama ve kontrollerin saptanması,
- İş sürekliği altyapısının incelenmesi ve iyileştirilmesi,
- Gizlilik sözleşmelerinin veya mevcut sözleşmelerdeki gizlilik ile ilgili maddelerin incelenmesi ve iyileştirilmesi,
- Fiziksel döküman gizliliğinin incelenmesi ve iyileştirilmesi,
- Çalışan politika ve prosedürlerinin incelenmesi ve iyileştirilmesi,
- Çalışan bilinçlendirme eğitimlerinin yapılması,
- İç denetimin yapılması,
- İç denetim sonucunda Düzeltici ve Önleyici faaliyetlerin (DÖF) belirlenmesi ve bunların takibi,
- Yönetim gözden geçirme toplantısının (YGG) gündem maddelerinin belirlenmesi ve yapılması,
- Sertifikasyona hazır hale gelinmesi işlemleri yapılır.
ISO 27001 Kurulum Aşamalarımız
1. Mevcut Durum Analizi: – Mevcut yapının, süreçlerin, yaklaşımların incelenmesi – Departmanlarla mülakat toplantıları, mevcut kayıtların ve dokümantasyonun incelenmesi – BGYS Komitesinin kurulması – Komite görev dağılımlarının yapılması
2. Hazırlık : – BGYS dokümantasyon formatının oluşturulması – BGYS kapsamının ve politikasının belirlenmesi – Personel ISO/IEC 27001 Farkındalık ve Temel Bilgilendirme eğitimin verilmesi – Bilgi sınıflandırılmasının yapılması ve varlık envanterinin oluşturulması
3. Bilgi Teknolojileri ile ilgili politika, prosedür ve uygulamalar : – Alt yapı, donanım, sistem ve son kullanıcı desteği – Yazılım geliştirme ve yeni yazılımları devreye alma ile ilgili uygulamalar – Sistem odaları, uygulamalar ve donanımların güvenlik ve iş sürekliliği konularındaki yeterlilikleri – Veritabanı ve yazılım güvenliği – Kimlik yönetimi, kullanıcı yönetimi, yetki ve yetkili kullanıcıların yönetimi – Bilgi sızması engelleme uygulamaları, şifre yönetim sistemleri – Yedekleme ve yedekten geri dönme uygulamaları – Zararlı kod, mobil kod, ve veri sızmasına karşı kontroller – Veri güvenliği uygulamalarının paylaşılması – Ağ güvenliği uygulamalarının paylaşılması – Zayıflık tarama ve yama uygulamalarının paylaşılması – Penetrasyon (Sızma Testi) yaptırılması
4. İnsan Kaynakları ile ilgili politika, prosedür ve uygulamalar : – Mevcut çalışanlarla ilgili politika ve prosedürlerin gözden geçirilmesi ve eksikliler varsa güncellenmesi, yenilerinin hazırlanması – Gizlilik sözleşmeleri ve sözleşmelerdeki gizlilik ile ilgili maddelerin incelenmesi – İnsan kaynakları personel bilgi güvenliği sözleşmelerinin uyarlanması, yoksa yazılması – Özlük dosyaları ve zimmet kayıtları uygulamaları – İhlal olayları yönetim prosedürlerinin oluşturulması – Çalışan güvenliği ve sağlığı ile ilgili uygulamalar – Yasalara, tüzüklere ve yükümlülüklere uygun prosedürlerin oluşturulması – Tüm varlıkların kabul edilebilir kullanımlarının tanımlanması, yayınlanması ve uygulanması – Bilgi güvenliği hakkında personelin farkındalığını pekiştirecek eğitim, toplantı, afiş ve motive edici uygulamaların yapılması
5. Fiziksel güvenlik ve iş sürekliliği ile ilgili politika, prosedür ve uygulamalar : – Fiziksel alanlardaki güvenlik sistemleri (kartlı geçiş, parmak izi uygulamaları, kamera sistemleri) – Yangın, sel gibi doğal afetlere karşın alınan önlemler – Kritik fiziksel varlıkların bakımı ile ilgili prosedürler ve uygulamalar – İş sürekliliği ile ilgili felaket senaryoları, alınan önlemler ve test uygulamaları
6. Tedarikçi ve müşteri yönetimi ile ilgili politika, prosedür ve uygulamalar : – Depo, yükleme alanı gibi yerlerin yetkisiz kişilerce erişiminin engellenmesi ve izlenmesi – Tedarikçilerle sözleşmeler, gizlilik maddeleri ve tedarikçi değerlendirme sistemleri – Müşterilerle bilgi alışverişi yöntemleri, sözleşmeler ve gizlilik maddeleri – Kapasite planlama uygulamaları
7. Risk Analizi : – Varlık envanterinin incelenmesi ve eksikliklerin tamamlanması – Varlıklarla ilgili tehditlerin belirlenmesi – Risklerin derecelendirilmesi – Risk azaltma yöntemlerinin belirlenmesi – Risk işleme planının uygulanması
8. İç Denetim : – Uygunluk bildirgesinin doldurulması (SoA) – İç denetim aşamalarının planlanması ve gerçekleştirilmesi – ISO 27001 iç denetimin yapılması – İç denetim raporunun hazırlanması – İç denetim bulgularının kapatılması
9. Sürekli İyileştirme : Düzeltici ve Önleyici Faaliyetlerin uygulanması : – İç denetim sırasında tespit edilen uygunsuzluklar için düzeltici işlemleri başlatma , takip ve sonuçlandırma – Sürekli iyileştirme adına performans değerlendirmeleri yapılması. Risk değerlemenin tekrar gözden geçirilmesi
10. Yönetimin Gözden Geçirme Toplantısının gerçekleştirilmesi (YGG) : – YGG toplantılarının formatının ve gündem maddelerinin belirlenmesi – Yönetim Gözden Geçirme (YGG) toplantısının gerçekleştirilmesi – YGG Tutanağının hazırlanması ve onaya sunulmasının takibi.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurumunuza Ne Katar ?
Günümüzde etkili işleyen bir “Bilgi Güvenliği” alt yapısı olmadan hiçbir kurum veya kuruluş imajını, piyasadakini güvenini ve dolayısıyla varlığını uzun süre koruyamaz. BGYS aracılığı ile ilgili tarafların, özellikle de müşterilerinizin ve önemli tedarikçilerinizin bilgi güvenliği konusunda size duydukları güveni teminat altına alırsınız. En önemlisi de “Bilgi Güvenliğini” iş süreçlerinizin önemli bir parçası olarak gördüğünüzü ve uygulamaya almış olduğunuzu belgelersiniz.. “Bilgi Güvenlği Sisteminizi” firmanızda her kademede ve iş süreçlerinizde önemser ve yaşatırsınız. Bu kapsamda BGYS sisteminin faydalarını özetleyecek olursak ;
- Bilgi Teknolojileri (IT), İnsan Kaynakları (İK), Güvenlik, Satınalma vb. İş birimlerinin dokümantasyonlarının varsa incelenmesi ve ISO 27001 standartlarına uygun hale getirilmesi yoksa birlikte yazılması ,
- Şirketinizdeki değerli bilgi varlıklarının neler olduğu netleşir, her çalışan tarafından bilgi varlıkları en yüksek derecede korunmaya başlar.
- Bu bilgi varlıkları ister yazılı döküman olsun ister elektronik ortamda olsun, korunması için yapılacaklar belirlenir. Gerekli tedbirler en üst seviyede alınır.
- Kritik bilgilerin gizli ve koruma altında olması, sizleri, çalışanlarınız, müşterilerinizi ve tadarikçilerinizi rahatlatır. İşbirliğinizi, sinerjisini geliştirir ve dolayısıyla verimliliğinizi arttırır.
- Kişilerin bilinçli veya bilinçsiz olarak sebep olabileceği bilgi güvenliği ihlal durumları için senaryolar ve seviyelendirilmiş yaptırımlar belirlenir, paylaşılır ve uygulanır.
- Kurumunuzun kritik bilgi varlıkları belirlenmiş tehditler altında gizlilik, bütünlük ve erişilebilirlik açısından ayrı ayrı değerlendirilir ve gerekli önlemlerin alınmasını sağlanır.
- Kurumunuzdaki süreçler, bilgilerin bütünlüğü ve iş sürekliği ile ilgili tüm yapılanlar denetlenir. Felaket senaryoları hazırlanır ve tatbikatlar uygulanır. Bu senaryolar kapsamında iş sürekliliği denetlenir. Yapılması gerekenler ve eksiklikler belirlenir. Bunlar tamamlanarak iyileştirme sağlanır.
- Şirketinizin piyasadaki güvenilirliği ve değeri artar.
- Bu sistem sayesinde bilgileriniz güvence altına alınır. Kesinlikle hiçbir ayrıntı şansa bırakılmayıp riske atılamaz böylelikle her türlü felaket senaryolarına hazırlıklı olunur.
- TC Gümrük ve Ticaret Bakanlığı’nın yayınladığı “Yetkilendirilmiş Yükümlü Uygulaması” ile firmanızın gümrük işlemlerinizi rahatça kendinizin yapabilmesini sağlayan uygulamalara hazır hale gelirsiniz. Gümrük ve Ticaret Bakanlığı “Yetkilendirilmiş Yükümlü Uygulaması” için ISO 27001’i ön şart olarak belirlemiştir.
- Kamu kurumları ya da özel sektör ihalelerinde diğer firmalardan bir adım önde olursunuz. Günümüzde “Bilgi Güvenliği” altyapısını ilgilendiren birçok iş kolundaki önemli ihalelerde ISO 27001 standartına sahip olmak önemli bir ön koşul olarak aranmaktadır.