ISO 27001 B.G.Y.S

ISO 27001 Bilgi Güvenliği Belgesi Danışmanlık
ISO 27000 belgesi her geçen gün büyüyen ISO/IEC ISMS standart ailesinin bir parçasıdır.
• ISO 27001 belgesi serisi, “Bilgi teknolojisi- Güvenlik teknikleri- Bilgi güvenliği yönetimi sistemleri-genel bakış ve tanımlar”başlıklarını kapsayan uluslararası standart için tanımlanmış numaralardır. Genel olarak “ ISO 27000 belgesi veya ISO 27001 belgesi ” olarak bilinmektedir.
• ISO 27000 belgesi standardı, Uluslararası Standardizasyon Örgütü’nün ve Uluslararası Elektroteknik Komisyonu’nun ortaklığında kurulan Birleşik Teknik Komite’ye bağlı bir alt komite tarafından geliştirilmektedir.
• ISO 27000 belgesi standardı,ISO/IEC 27001 Bilgi Güvenliği Yönetimi Sistemleri (Information Security Management Systems (ISMS)) standart ailesine genel bir bakış ve ISMS kapsamında kullanılan temel terimlere ve tanımlara benzerlik ve uygunluk sağlar. ISO 27001 Bilgi güvenliği Yönetim sistemi, diğer pek çok teknik konuda olduğu gibi karmaşık bir terminoloji ağı geliştirmektedir.
• Nispeten az sayıda yazar bu terimlerin tam olarak ne anlama geldiğini belirleme zahmetine katlanmakta ve bu da standartlar konusunda kabul edilemez, karışıklığa yol açabilecek ve değerlendirme ve belgelendirme sürecinin değerini azaltıcı bir yaklaşım olmaktadır. ISO 9000 ISO 14000 de olduğu gibi, ‘000’ temelli standartlar bu durumun önemini ortaya koymayı amaçlamaktadırlar.

ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ BELGESİ

• ISO 27001 belgesi standardı, her geçen gün büyümekte olan ISO / IEC 27000 standart serilerinin bir parçası olup, Uluslararası Standardizasyon Örgütü ve Uluslararası Elektroteknik Komisyonu tarafından Ekim 2005’te yayınlanmış bir Bilgi Güvenliği Yönetim Sistemi standardıdır.
• Standardın tam adı; ‘ISO/IEC 27001:2005 - Bilgi Teknolojileri – Güvenlik Teknikleri – Bilgi Güvenliği Yönetimi Sistemleri – Şartlar’ olarak geçmektedir ama genel olarak ISO 27001 belgesi standardı olarak bilinmektedir.
• ISO 27001 belgesi standardı, güvenlik kontrol amaçlarını listeleyen ve güvenlik kontrolünün sınırları konusunda öneri sunan ISO/IEC 27002 Bilgi Güvenliği Yönetimi için Uygulama Kuralları ile birlikte uygulanmalıdır.
• ISO/IEC/27002 uygulama çözümü önerilerine göre kurulmuş Bilgi Güvenliği Yönetim Sistemi uygulayan firmalar aynı zamanda ISO / IEC 27001 standardının şartlarını da yerine getirmiş olurlar.
• Ama sistemin belgelendirmesi firmanın tercihine kalmıştır (belgelendirmenin, firma hissedarları tarafından zorunlu tutulmaması halinde)

ISO 27001 Danışmanlık ve Eğitim Aşamaları

Bilgi Güvenliği Yönetim Sistemi’nin kurulması sırası ile;

• Üst yönetimin karar alması
• TS ISO 27001 Bilgi Güvenliği Yönetim Sistemi Temel Eğitiminin verilmesi
• Kurum içinde bir "Bilgi Güvenliği Koordinasyon Grubu (BGKG)- Forumu"nun oluşturulması
• TS ISO 27001 Bilgi Güvenliği Yönetim Sistemi Dokümantasyon Eğitiminin verilmesi
• Bilgi Güvenliği Yönetim Sisteminin kapsamı ve sınırları belirlenmesi
• Bilgi Güvenliği Yönetim Sisteminin politikalarının oluşturulması
• TS ISO 27001 Bilgi Güvenliği Yönetim Sistemi Risk Değerlendirme Eğitiminin verilmesi
• Bilgi güvenliği politikalarını temel alan sistematik bir risk değerlendirme yaklaşımının belirlenmesi
• ISO 27000 Bilgi Güvenliği Yönetim Sistemi Risk belirleme çalışmalarının yapılması
• ISO 27001 Bilgi Güvenliği Yönetim Sistemi Tespit edilen risklerin analizi ve derecelendirilmesinin yapılması ve raporlanması
• Risk değerlendirme sonuç raporundan yola çıkılarak uygun risk işleme (risk treatment) yöntemlerinin belirlenmesi
• Risk işleme süreci sonuçlarına uygun TS ISO IEC 27001 ekinde yer alan Ek-A kontrol Kriterleri’nin seçilmesi ve kontrol hedeflerinin belirlenmesi
• ISO 27001 Bilgi Güvenliği Yönetim Sistemi Risk yönetimi adımlarını geçtikten sonra BGYS işletimi ve uygulamasını yapmak için yönetim onayının alınması
• Uygulanabilirlik Bildirgesinin hazırlanması
Aşamaları ile tamamlanır ve ISO 27001 belgelendirme şirketine başvuru yapılır .
ISO 27001 belgelendirme süreci, diğer ISO yönetim sistemi belgelendirmelerinde olduğu gibi üç aşamalı bir denetleme sürecini içermektedir:
Aşama 1 (Stage -1 ) firmanıngüvenlik politikasının, Uygulanabilirlik Beyanının (SoA) ve risk değerlendirme planı zorunlu dokümanlarının olup olmadığının ve içeriklerinin kontol edildiği, bir “masa üstü” gözden geçirmesidir.
• Aşama 2 (Stage -2 ) Uygulanabilirlik Beyanı’nda ve Risk Değerlendirme Planı’nda yer alan bilgi güvenliği kontrollerinin varlığının ve etkinliğinin detaylı ve derinlemesine denetlendiği aşamadır.
Aşama 3 (Stage -3 ) daha önceden belgelendirilmiş olan organizasyonunun, standardın şartlarını hala yerine getirip getirmediğini görmek için yapılan takip denetimidir. Belgelendirme, sistemin kuruluş amacına uygunluğunun sürdürülmesi amacını taşıyan periyodik gözden geçirmeleri de kapsamaktadır.
Belgelendirme kuruluşu ile sözleşme imzalandıktan sonra Stage -1 (Aşama -1) ISO 27000 Bilgi Güvenliği Yönetim Sistemi denetimi gerçekleştirilir. STAGE -1 denetiminde yani dokümantasyonda bir uygunsuzluk yok ise ISO 27001 STAGE -2 denetiminin tarihi belirlenir.
STAGE -2 ISO 27000 Bilgi Güvenliği Yönetim Sistemi Belgesi Denetimi
Bağımsız ISO 27001 Bilgi Güvenliği Yönetim Sistemi denetim / belgelendirme kuruluşu, hazırlanan dokümantasyonun gizlilik içeren dokümanları hariç,
• Risk yaklaşım metodu dokümantasyonu (risk değerlendirme ve derecelendirme kısımları, hafifletme planları, penetrasyon testleri vb. bölümleri hariç)
• TS ISO IEC 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi BGYS Politikaları
• ISO 27001 Prosedür ve prosesler
• Seçilen kontrol kriterleri ve kapsam dışı bırakılan kriterlerin neden bırakıldığına ilişkin kararları
• ISO 27001 Uygulanabilirlik bildirgesi
Üzerinden gerekli değerlendirmeleri yapar. Standarta göre eksiklikler tespit edilmişse veya öneriler varsa bunların yapılandırmasını talep edebilir.
ISO 27001 Stage -2 denetimi sonuçlandıktan sonra sistemin uygulanmasına geçilir.
ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ BELGESİ STAGE -3 BELGELENDİRME DENETİMİ
• Stage -2 aşamasından itibaren en erken 15 gün en çok 3 ay içinde ISO 27001 3. Aşama denetim gerçekleştirilir. Bu denetimde kurulan sistemin uygulamaları gözden geçirilir ve uygulamaya yönelik olarak şartlar ve şartların yerine getirildiğine dair objektif deliller toplanarak denetim sonuçlandırılır.
• ISO 27001 belgelendirme Denetim sonrası denetçiler raporlarını oluşturarak sistemin yeterlilikleri, eksiklikleri ve önerilerini içeren bir raporla belge verilmesi taleplerini belgelendirmeci kuruma iletirler.
• ISO 27001 SERTİFİKASI BELGELENDİRME İŞLEMİ
Organizasyonların ISO/IEC 27001 belgesi standardına göre belgelendirilmeleri, dünya çapında belli sayıda ki akredite olmuş kuruluş tarafından yapılmaktadır. ISO/IEC 27001 belgesi standardının farklı ülkelerde ki versiyonlarına göre (mesela JIS Q 27001 Japonya versiyonudur) belgelendirilmeleri, ISO / IEC 27001 belgesini vermede akredite olmuş kuruluşlar tarafından yapılabilir.
• Belgelendirme denetlemeleri, genellikle ISO 27001 baş denetçileri tarafından yürütülmektedir. ISO 27000 Belgelendirme kurumu uygun görmesi halinde kurumun TS ISO 27001 Belgesini düzenlerler.
• Yönetim sistemlerinin belirli standartlara uygunluğunu onaylayan kuruluşlar “belgelendirme kuruluşu”, “tescil kuruluşu, ”, “değerlendirme ve tescillendirme firmaları”, “belgelendirme tescil firmaları şirketleri” gibi isimlerle bilinmektedir.
• Not: Şu anda ülkemizde ISO 27001 belgesi verme hususunda 3 tane TÜRKAK dan akrediteli belgelendirme kuruluşu bulunmaktadır
vesair.com
38635