Büyüklüğü ne olursa olsun, ihtiyaç duyan tüm kurumların, kuruluşların bilgilerinin gizlilik, bütünlük ve erişebilirliklerini sağlamak amacı ile kurdukları bilgi güvenliği yönetim sistemini belgelendirmek, üçüncü taraflara kanıtlamak amacı ile aldıkları;
Büyüklüğü ne olursa olsun, ihtiyaç duyan tüm kurumların, kuruluşların bilgilerinin gizlilik, bütünlük ve erişebilirliklerini sağlamak amacı ile kurdukları bilgi güvenliği yönetim sistemini belgelendirmek, üçüncü taraflara kanıtlamak amacı ile aldıkları;
Bağımsız belgelendirme kuruluşlarının yaptıkları denetim sonucu düzenledikleri ve kurumdaki bilgilerin güvenliklerinin sağlanmasına yönelik sistematik bir uygulamanın olduğunun kanıtını sağlamak üzere “kurum” adına düzenlenen sertifikaya veya belgeye ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi veya ISO 27001 Bilgi Güvenliği Yönetim Sistemi Sertifikası denir.
ISO 27001 belgesi için kurum ve kuruluşların öncelikle ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına göre sistem kurmaları uygulamaları gerekmektedir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına göre sistem kuran firmaların uluslararası boyutta tanınan ve ISO 27001 Bilgi Güvenliği Yönetim Sistemi hususunda akredite olmuş kuruluşlardan denetim yaptırması ve bu denetimlerden başarı ile geçmesi gerekmektedir.
Bilgi güvenliğine önem veren kurum ve kuruluşların illa belgelendirilmeleri gerekmez ISO 27001 standardına göre ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurmalarıda yeterlidir. Fakat hiçbir sistem ve uygulama üçüncü taraf bir gözle kontrol edilmedikten ve denetlenmedikten sonra o sistemin etkinliğinden bahsedilemez.
Piyasada ISO 27001 Belgesi bazen ISO 27000 belgesi şeklinde de adlandırılmaktadır. Bu durum aynen ISO 9000 belgesi veya ISO 9001 belgesi şeklinde adlandırıldığı gibidir. Gerçek ismi ISO 27001 belgesi veya ISO 27001 sertifikası olan bu belgenin ISO 27000 sertifikası veya ISO 27000 belgesi şeklinde adlandırılması Bilgi güvenliği yönetim sistemi standartlar bölümünde de göreceğiniz üzere Bilgi Güvenliği Yönetim Sistemi standart ailesinin isminin ISO 27000 standartları geçmesi nedeni iledir. Bu söylemlerin doğrusu hangi standarda göre belgelendirme yapılıyorsa o standart adı ile belgenin söylenmesidir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurmak ve belgelendirmek bir firmaya şirkete veya kuruluşa Bilgi Güvenliği kavramının temel ilkelerini sağlamaktadır.
Bilgi Güvenliği kavramının temel ilkelerini kısaca G-B-U (C-I-A) kısaltması ile gösterebiliriz:
- Gizliliğin korunması (Bilgiye ulaşımın, sadece yetki sahibi kişilerce olabildiğinin garanti altına alınması),
- Bütünlük (Bilginin ve bilgi işleme yöntemlerinin, doğruluğunun ve eksiksizliğinin korunması)
- Ulaşılabilirlik (Gereken durumlarda yetkili personelin, bilgiye ve ilgili varlıklara ulaşımının garanti edilmesi)
ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ BELGESİ NASIL ALINIR?
Bir firmanın veya kurumun ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alması ile ilgili detaylar aşağıdaki konularda geniş olarak anlatılacaktır.
ISO 27001 belgesini almak isteyen kuruluşlar nereden başlayacaklarını bilmiyorlarsa ISO 27001 belgesi nasıl alınır sorusunun cevabı özetle
Bir ISO 27001 danışmanlık ve Eğitim şirketinden ISO 27001 Bilgi Güvenliği Yönetim Sistemi Danışmanlık ve Eğitim Hizmeti alarak Danışmanlık firmasından eğitimleri alırlar ve bire bir uygulamalı olarak ISO 27001 Standardının maddelerine göre sistem kurma çalışması yapabilirler. ISO 27001 Danışmanlık Eğitim şirketinden böyle bir hizmet almak istemeyen firmalar sistem kurma çalışmasında bulunacak personellerine Bilgi Güvenliği Yönetim Sitemlerine ait Eğitimleri aldırarak kendileri sistem kurmayı tercih edebilirler. Birinci veya ikinci maddeye göre hareket eden kuruluşlar ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardına göre sistemi kurup dokümante ettikten sonra uygulamaları gerekmektedir. Sistem kurulup uygulanmalar ile ilgili kayıtlar oluştuktan sonra akredite olmuş ISO 27001 belgelendirme kuruluşlarına müracaat ederler. Kurum veya kuruluşlar ISO 27001:2005 standardına uygun olarak kurdukları Bilgi Güvenliği Yönetim Sisteminin uygulandığını bağımsız belgelendirme kuruluşlarına kanıtladıkları taktirde; Bağımsız belgelendirme kuruluşları adına denetim yapan denetçiler, kurulan sistemin standart ve şartlara göre yeterli olgunlukta olduğunu ve tüm kurum bileşenleri tarafından uygulandığını tespit ettikleri taktirde; Belgelendirme kuruluşuna ISO 27001 belgenin verilmesini tavsiye ederler. Not: Belgelendirme kuruluşu ISO 27006 standardına göre hazırlanan denetim raporu üzerinden uygun bulması halinde ISO 27001 belgesini düzenleyerek kuruma verir. Belgenin üzerinde “Uygulanabilirlik Bildirgesi” yayın tarihi ve revizyon durumu özellikle belirtilir.
ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ BELGELENDİRMESİ NEDİR ISO 27001 BELGESİ NASIL ALINIR ISO 27001 BELGELENDİRME KURULUŞUNDA ARANACAK ÖZELLİKLER NELERDİR?
ISO 27001 Belgelendirme Kuruluşunda Aranacak Özellikler Nelerdir?
Sektörde kabul edilmiş, Ulusal ve Uluslararası tanınırlığı olan, ve Akreditasyon kuruluşlarından ISO 27001 Bilgi Güvenliği Hususunda akredite olmuş, Belgelendirme denetimcilerinin alan uzmanlıklarına sahip olan firmalar tercih edilmelidir.
Burada şu hususta çok önemlidir; Belgelendirme kuruluşu akreditasyon kurallarına ne kadar uyuyor eğer uymuyorsa örneğin denetimin gün sayısı denetlemeden belge vermesi vb hususlarda olduğu gibi o belgelendirme kuruluşundan uzak durmanız gerekir. çünkü akreditasyon kurumu akreditasyon kurallarına uymayan belgelendirme kuruluşlarının yetkisi elinden almaktadır bu da şu anlama gelmektedir. O kadar uğraş verip aldığınız belgenin iptal edilmesi veya geçersiz hale gelmesidir.
ISO 27001 Belgelendirme Kuruluşu Denetimlerde Ne Yapar Süreç Nasıl işler ?
Belgelendirme kuruluşu ile anlaşma yapıp sözleşme imzalandıktan sonra 1. Aşama denetim için karşılıklı gün belirlenir.
AŞAMA -1 ISO 27001 Bilgi Güvenliği Yönetim Sistemi Denetimi Bağımsız
Birinci aşamada ISO 27001 Bilgi Güvenliği Yönetim Sistemi denetim / belgelendirme kuruluşu, hazırlanan dokümantasyonun gizlilik içeren dokümanları hariç,
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Risk yaklaşım metodu dokümantasyonu (risk değerlendirme ve derecelendirme kısımları, hafifletme planları, penetrasyon testleri vb. bölümleri hariç) ISO 27001 Bilgi Güvenliği Yönetim Sistemi Bilgi Güvenliği Yönetim Sistemi Politikaları ISO 27001 Bilgi Güvenliği Yönetim Sistemi Prosedür ve prosesler ISO 27001 Bilgi Güvenliği Yönetim Sistemi Seçilen kontrol kriterleri ve kapsam dışı bırakılan kriterlerin neden bırakıldığına ilişkin kararları ISO 27001 Bilgi Güvenliği Yönetim Sistemi Uygulanabilirlik bildirgesi üzerinden gerekli değerlendirmeleri yapar.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardına göre eksiklikler tespit edilmişse veya öneriler varsa bunların yapılandırmasını talep edebilir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Aşama -1 denetimi sonuçlandıktan sonra sistemin uygulanmasına geçilerek Aşama 2 denetimi için gün belirlenir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi AŞAMA -2 DENETİMİ
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Aşama-1 denetiminden itibaren en erken 15 gün en çok 3 ay içinde ISO 27001 Bilgi Güvenliği Yönetim Sistemi Aşama-2 denetimi gerçekleştirilir. Bu denetimde kurulan sistemin uygulamaları gözden ge§irilir ve uygulamaya yönelik olarak şartlar ve şartların yerine getirildiğine dair objektif deliller toplanarak denetim sonuçlandırılır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Denetim sonrası denetçiler raporlarını oluşturarak sistemin yeterlilikleri, eksiklikleri ve önerilerini içeren bir raporla İSO 27001 belgesi verilmesi taleplerini belgelendirme kuruma iletirler.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgelendirme Sertifika düzenleme
ISO 27001 Belgelendirme kurumu şirketi uygun görmesi halinde kurumun TS / ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesini veya sertifikasını düzenler.
ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Belgesinin süresi nedir?
ISO 27001 Bilgi Güvenliği Yönetim Sitemi Belgesi sertifikasının süresi 3 yıl dır. Süreç aşağıdaki gibidir.
- yıl belgelendirme denetimi
- 2. ve 3. yıl takip gözetim denetimleri
- 3. 4. yıl yenileme denetimi
ISO 27001 BELGESİNİN FAYDALARI NELERDİR?
ISO 27001, bilgi yönetiminde sağlam ve sistematik bir yaklaşım getirerek kuruluşunuzu korumanıza ve riski azaltmanıza yardımcı olur. ISO 27001 belgesi alan BSI müşterileri aşağıdaki ticari avantajları keşfettiklerini söylemektedirler:
- % 80’i “işimize güven kattı”
- % 75’i “işimizde riski azalttı”
- % 71’i “bilgi sistemlerimizi korumamızı sağladı”
ISO 27001’i uygulayarak itibarınızı koruyabilir, doğabilecek zararları önleyip maddi tasarruf sağlayabilir, müşteri ve pazar gereklilikleriyle uyumlu hale gelebilir ve risklerinizi azaltabilirsiniz. Standardı benimseyerek ve etkili süreçleri kuruluşunuza yerleştirerek müşterilerinize, çalışanlarınıza ve diğer üçüncü taraflara, bilgi güvenliği konusunda uluslararası kabul görmüş ciddi bir uygulamanız olduğuna dair açık bir mesaj vermiş olursunuz.
Bilgi güvenliğine önem veren kurum ve kuruluşların illa belgelendirilmeleri gerekmez ISO 27001 standardına göre ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurmaları da yeterlidir. Fakat hiçbir sistem ve uygulama üçüncü taraf bir gözle kontrol edilmedikten ve denetlenmedikten sonra o sistemin etkinliğinden bahsedilemez