ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Nedir?

ISO/IEC 27001, Uluslararası Standardizasyon Örgütü ve Uluslararası Elektroteknik Komisyonu tarafından yayımlanan, bilgi güvenliği yönetim sisteminin kurulması, işletilmesi, izlenmesi ve sürekli iyileştirilmesine yönelik gereklilikleri tanımlayan standarttır. Standardın özünde gizlilik, bütünlük ve erişilebilirlik ilkeleri yer alır. Yapısı PUKO döngüsünü kullanır; planla, uygula, kontrol et, önlem al sırasına göre işler. Annex A bölümünde 14 başlık altında toplanan kontrol kümesi, kuruluşun seçim havuzu görevi görür. Standart, sektörden bağımsız uygulanabilir niteliktedir ve kuruluşun büyüklüğüne göre ölçeklenebilir.

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Hangi İşletmelere Yönelik?

Standart; bilgi varlığı işleyen her kuruluşa uygundur. Bilişim hizmeti veren şirketler, bulut altyapı sağlayıcıları, finans kurumları, telekomünikasyon firmaları, sağlık ve laboratuvar zincirleri, e-ticaret platformları, kamu hizmeti üreten yapılar standardın doğal kullanıcıları arasındadır. Veri sorumlusu sıfatıyla KVKK yükümlülüğü taşıyan tüm tüzel kişiler için de pratik bir uyum çerçevesidir. Üretici firmalar tedarikçi denetimlerinde belge talebi ile karşılaştığında standardı uygulamaya alır. Akademik araştırma merkezleri ve teknopark şirketleri ise fikri mülkiyet hassasiyeti nedeniyle başvurur.

Belgelendirme Süreci ve Denetim Aşamaları

ISO/IEC 27001 belgelendirme süreci, kapsamın tanımlanmasıyla başlar. Sonraki aşamada varlık envanteri çıkarılır, risk değerlendirme metodolojisi seçilir ve riskler önceliklendirilir. Annex A kontrolleri arasından uygun olanlar seçilerek uygulanabilirlik beyanı hazırlanır. Politika, prosedür ve talimatlar yazıldıktan sonra çalışanlara eğitim verilir, sistem en az üç ay işletilir. İç tetkik ve yönetim gözden geçirme toplantısının ardından akredite belgelendirme kuruluşu Aşama 1 dokümantasyon ve Aşama 2 saha denetimi yürütür. Majör uygunsuzluklar kapatıldıktan sonra belge düzenlenir. Sertifika üç yıl geçerlidir ve yıllık gözetim denetimleriyle sürdürülür; üçüncü yılın sonunda yenileme denetimi yapılır.

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Belgesinin Faydaları

• Uluslararası Tanınırlık: Akredite kuruluştan alınan belge, dünya çapında tedarik zinciri içinde geçerli sayılır.
• Yasal Uyum: KVKK ve sektörel mevzuatların idari teknik tedbir yükümlülüklerine somut kanıt sunar.
• Risk Görünürlüğü: Üst yönetim, bilgi varlıklarına yönelik tehdit ve risk haritasını tek raporda görebilir.
• Müşteri Güveni: Sözleşme görüşmelerinde gizlilik taahhüdünün ispatı olarak sunulur.
• Süreç Verimliliği: Erişim yönetimi, değişiklik yönetimi ve tedarikçi yönetimi süreçleri standartlaşır.
• İş Sürekliliği: Olay yönetimi ve sürdürülebilirlik prosedürleri sayesinde kesinti süresi kısalır.

Sistem Kalite'nin ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Danışmanlık Hizmetleri

Sistem Kalite, ISO/IEC 27001 standardının kuruluşun süreçleriyle entegre edilmesi için yapılandırılmış danışmanlık hizmeti sunar. Çalışmalar; teknik altyapıdan yönetim taahhüdüne, çalışan eğitiminden tedarikçi denetimine kadar geniş bir alanda planlanır.

• Ön Değerlendirme: Standardın madde madde gereklerine karşı mevcut durum karşılaştırılır, bulgular yazılı raporda paylaşılır.
• Risk Yönetimi Çalıştayı: Tehdit kataloğu, varlık değerleme metodu ve risk derecelendirme matrisi kuruluşa uyarlanır.
• Doküman Seti Hazırlığı: Politika, prosedür, talimat, kayıt formu ve uygulanabilirlik beyanı sektör verisiyle yazılır.
• Eğitim Programı: Çalışan farkındalık, BT teknik personel ve iç tetkikçi başlıklarında üç düzeyli eğitim sunulur.
• Belgelendirme Denetimi Desteği: Akredite kuruluş denetiminde firma temsil edilir, bulgular kapatılır.

Sistem Kalite ekibi 1999'dan bu yana yönetim sistemleri alanında çalışan profesyonellerden oluşur. ISO/IEC 27001 projelerinde ortalama altı ila on iki ay arasında belgelendirmeye hazır olgunluğa ulaşılır; süreç sonrası gözetim denetimleri için sürekli destek sağlanır.