30
Kas

Iso 27001 Belgelendirme

ISO 27001 BGYS standardı bilgi güvenliği ile ilgili yayınlanmış en güncel standarttır. Pek çok firma artık gelişmekte olan teknolojiye ayak uydurmuş ve bilgi varlıklarını elektronik ortamda saklamaya ve işlemeye başlamıştır. İstatistikler göstermektedir ki her geçen gün elektronik saldırı araç sayısı ve yolları artarken bu saldırıları gerçekleştirecek kötü niyetli kullanıcıların sağlaması gereken bilgi düzeyi düşmektedir. Kötü amaçlı yazılımların kullanım ve erişim kolaylığı firmaların sahip oldukları bilgi varlıkları üzerindeki riskleri de artırmaktadır.

ISO 27001:2005 Bilgi Güvenliği Yönetim Sistemi (BGYS) ile bilgi varlıkları üzerindeki riskler yönetilir. Risk yönetimi ve iş sürekliliği tabanlı bir standart olan ISO 27000 standartlar ailesi teknik şartlardan çok diğer yönetim standartları gibi bir sistemin kurulması ve sürdürülebilmesini öngörür. BGYS iso standardı olmadan önce BS 7799 olarak İngiltere’de yayınlanmış ve daha sonra ISO 27001 halini almıştır. Standart en güncel ve kapsamlı bilgi güvenliği standardıdır.

Faydaları

– Müşteri, tedarikçi ve çalışanlara güven verir,
– Yasal yükümlülüklere uyum kolaylaşır
– Bilgi varlıklarına yönelik risklere karşı önlem alınmış olur
– Bilgi varlıklarına yönelik bir yönetim sistemi oluşturulmuş olur
– Firmanın tamamında bir bilgi güvenliği bilinci oluşur
– Bilgi güvenliğine yönelik açıklar tespit edilir ve yönetilir
– Hepsinden ve her şeyden önce firmaların bilgi varlıklarının farkına varmalarını sağlar

Eğitim

Bir bilgi güvenliği bilincinin oluşturulması ve bilgi güvenliği yönetim sisteminin uygulama detayları ile ilgili yine uygulamaya yönelik bilgilendirmenin gerçekleştirilmesidir.

Etkili bir ISO 27001 BGYS kurmak için en önemli adım standardın seri eğitimlerle firmada tanıtımını sağlamak ve bilinci mümkün olan en üst düzeye çıkarmaktır.

Kimler Katılmalı

Organizasyon şemasının her basamağındaki yönetici ve çalışanlar, Bilgi Güvenliği Yönetim Sistemini kurma, planlama, uygulama, denetleme ve sürdürme sorumluluğundaki her personel tarafından alınmalıdır.

Eğitimin İçeriği

Genel bilgilendirmenin gerçekleştirilmesi
Bilgi güvenliğinin önemi ve örnek vakalar
Kalıcı bilgi güvenliği kritik köşe taşları ve sorumluluklar
Süreç entegrasyonları
Firmada mevcut sistemlerle ilgili benzerlikler ve ortak prosedürler
Kapsam belirleme
Politika yönetimi
Varlık (bilgi varlıkları) yönetimi
Risk yönetimi metodolojisi
İş sürekliliği yönetim sistemi
Denetimler
Sürdürülebilirlik
Vaka çalışmaları

Danışmanlık Süreci

i. Teklifimizin kabulü halinde, şirketinizle hizmet sözleşmesi düzenlenecektir. Sözleşmenin imzalanmasından sonra, üst yönetiminize ve şirketinizde görev alan anahtar personelinize ISO 27001:2005Bilgi Güvenliği Yönetim Sistemi’ne Giriş Semineri sunularak çalışmalara başlanacaktır. Bu seminer yedi adımlık danışmanlık ve uygulama faaliyetinin ilk aşaması olarak değerlendirilmektedir. Seminer, Bilgi Güvenliğili yönetim sistemine geçişin miladı olacaktır. Uygun görülen durumlarda, seminer yerine ikinci adımdaki süreç analizleri öncelik kazanmaktadır. Semineri veya süreç analizlerini takiben şirketinizi iş mükemmelliğine götürecek bir Bilgi Güvenliği Yönetim Takımı kurulacaktır. Şirketimiz, takımın kurulması ve organize edilmesinde yönetiminize danışmanlık yapacaktır. Çalışma gurubuna gerekli sayıda idari personelin de katılımı sağlanacaktır. Bu aşamada, yönetiminizi temsil edecek ve Bilgi Güvenliğiyi sistemini koordine edecek kişilerin ataması yapılarak çalışanlara duyurulacaktır.

ii. İkinci Adımda mevcut durum analiz edilecektir. Bu amaçla iki ayrı çalışma paralel yürütülecektir. Çalışmalardan biri mevcut dokümantasyonun, organizasyonel yapılanmanın ve süreçlerin analiz edilmesidir. Bu çalışma, mevcut yönetim dokümantasyonu ele alınarak, ISO 27001:2005 gereksinimlerinin ve rehber standartların süzgecinden geçirilecek, boşluklar belirlenecektir. Bu aşama bir bakıma yönetim sisteminin tasarım aşaması olup, gerekli dokümantasyon hacmi bulunacaktır. Dokümantasyon ihtiyacı, sahiplikleri, hazırlama süreleri belirlenecek, irdelenecek ve karara bağlanacaktır. İkinci adım, uygulama termin planının hazırlanması ile tamamlanacaktır.

iii. Üçüncü Adım temel eğitimlerin verilmesinden oluşmaktadır. Şirketinize yönelik temel eğitimler aşağıda sıralanmıştır:

Eğitimlerin içeriği hedef kitleleri ile uyumlu olacaktır. Temel eğitimlerin amacı, Bilgi Güvenliği Yönetim Takımının “Ne ?” ve “Nasıl ?”lara cevap kapasitesinin geliştirilmesi olacaktır.

Not: Bu eğitimlerin bazıları genel bazıları ise birimlere özel verilecektir. Eğitimler toplam 12 saat sürecek ve prosedürleri takiben verilecektir.

* ISO 27001:2005BGYS , Genel Tanıtım ve Dokümantasyon
* İç Bilgi Güvenliği Tetkikçiliği (İKT)-ISO 19011:2002

iv. Dördüncü Adım, dokümanların geliştirilmesi aşamasıdır. Bu aşama, oldukça zaman alan bir çalışma olacaktır.

– ISO 27001:2005 Mecburi dokümanları ve mevcut ISO 9001:2008 sisteminin Bilgi Güvenliği Yönetim Sistemine Uyarlanması
– Bilgi Güvenliği Politikaları’nın oluşturulması ve deklerasyonu
– Varlıkların sınıflandırılması,
– Gizlilik , bütünlük ve erişebilirlik kriterlerine görevarlıkların değerlendirilmesi,
– Risk analizi,
– Risk analizi çıktılarına göre uygulanacak kontroller,
– İs Sürekliliği,
– Teknik gereksinimlerin sağlanması,
– Dokümantasyon oluşturma,
– Üçüncü taraf yönetiminin BGYS’ye uygun olarak revize edilmesi/oluşturulması,
– İç tetkik,
– Kayıtları tutma,
– Yönetimin gözden geçirmesi,
– Belgelendirme.

v. Beşinci Adım uygulama aşamasıdır. Bu aşamada, hazırlanan dokümanlar yayınlanarak uygulamaya konur. Uygulama öncesi, ilgili doküman etkileşim birimleri için adaptasyon eğitimleri verilecektir. Eğitimler Boyut Ar-Ge Mühendislik tarafından planlanacak, zenginleştirilecek, ve takım üyeleri tarafından icra edilecektir. Uygulamaların geliştirilen dokümantasyona uygun olarak yapılması, kayıt altına alınarak sürdürülmesi için gerekli önlemler alınacaktır. Bu aşamada, eski dokümantasyonlar toplanacak, uygulamaya konan yeni dokümantasyona etkinlik kazandırılacaktır.

vi. Altıncı Adım, İç Bilgi Güvenliği Tetkik (İKT) mekanizmasının işletilmesi aşamasıdır. Bu aşamada, termin programında belirtilen tarihte İKT eğitimini almış şirketiniz personeli ile planlı tetkikler (denetimler) gerçekleştirilecektir. Uygulamada karşılaşılan aksaklıklar dikkate alınarak, değişik frekanslarda iç tetkikler icra edilerek aksamaların azaltılması yoluna gidilecektir. Bu aşamada, bir tam iç tetkik çevrimi yapılarak, bulgular raporlanacaktır.

vii. Yedinci Adımda, İç Tetkik Bulguları esas alınarak, Bilgi Güvenliğili yönetim sisteminizin, üst yönetim tarafından gözden geçirilmesi sağlanacaktır. Gözden geçirme sonuçları esas alınarak, düzeltici ve önleyici faaliyetler başlatılacaktır. Düzeltici ve önleyici faaliyetlerle, uygulamada ortaya çıkan veya çıkması muhtemel görülen sapmalar elimine edilecektir. ISO 27001:2005BGYS standardının uygulanmasında son aşama olan uyarlama aşaması ile ISO 27001:2005BGYS Eğitim ve Danışmanlık hizmeti tamamlanmış olacaktır. Bu aşamadan sonra, istenirse belgelendirme kuruluşuna başvurularak denetim süreci başlatılacaktır.