ISO 27001 Danışmanlık Hizmetleri



ISO 27001 belgesi, kuruluşların kendilerinin ve müşterilerinin gizli bilgilerini güvende tutmalarına ve yönetmelerine yardımcı olan bir ISO belgesidir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi, şirketlerin finansal verilerini, fikri mülkiyetlerini ve hassas müşteri bilgilerini korumalarına yardımcı olan uluslararası bir çerçevedir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi danışmanlığı almak isteyen firmalar genel olarak “Biz bu danışmanlık hizmetini alırken neler yapacağız?” ve “Bu ISO 27001 bizim ne işimize yarayacak?” gibi soruları yöneltiyorlar.  Bu sorulara özetle cevap verirsek olursak, danışmanlık hizmeti alındıktan sonra ISO 27001 Belgesi olan bir firma, yönetim sistemini standart gereksinimlerine göre yürütebilirse;

Kurum / kuruluş içerisindeki mevcut risklerini daha iyi yönetebilmesi,

İçeriden ya da dışarıdan gerçekleşecek olan ihlal olaylarına nasıl müdahale etmesi gerektiği hakkında bilinçlenmesi,

Olası bir sorunla karşılaşacak olursa, alacağı aksiyonlar hakkında bilinçlenmiş olması

Değişiklik Yönetimi

Teknik Açıklık yönetimi vb. bir sürü başlıkta ana ve alt süreçlerin işleyişlerinde optimum düzeyde fayda sağlamış olur.

Danışmanlık hizmetini tamamladıktan sonra hizmeti alan firmanın, tüm süreçlerini ISO 27001 standardına göre kendisinin sürdürebiliyor olmasıdır. Bu yüzden firma içi farkındalığın arttırılması tarafında yoğun bir çaba içerisindeyiz.

ISO 27001 Danışmanlığı Hizmeti Kapsamında Neler Var?

Boşluk Analizi

Bu aşamada kuruluş içerisinde ilgili kişi veya kişiler ile görüşme yapıp ISO 27001 Bilgi Güvenliği ile ilgili müşterinin bulunduğu noktanın belirlenmesi işlemini gerçekleştiriyoruz.

şirket içindeki departmanların ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı doğrultusunda yapılan boşluk analizinde standarda yüzde (%) olarak ne kadar uyum sağladığını görmüş olur.

BGYS Ekibi ve Temel Eğitim

Boşluk analizi sonrasında kuruluş içerisinde danışmanlık kapsamına dahil departmanlardan birer personel alarak bir BGYS Ekibi oluşturuyoruz. Ekip, danışmanlık ziyaretlerimizde verilen görevlerin yerine getirilmesinden sorumlu oluyor. Üst yönetimin desteğinin tüm şirket içerisinde hissedilmesi için ekip içerisine üst yönetimden de kişileri dahil ediyoruz. Ekibin tamamına ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardının temel eğitimini veriyoruz. Standardın ana hatlarıyla neler içerdiğini bu eğitimde öğreniyorlar.

Kuruluş Bağlamı

Kuruluşun ve Bağlamının Anlaşılması

Bu adımda kuruluşun kapsamı dahilindeki iç ve dış hususlarını belirliyoruz Standartları bu konuda kılavuz olarak kullanıyoruz.

İlgili Tarafların İhtiyaç ve Beklentilerinin Anlaşılması

İlgili tarafları ve ihtiyaçlarını belirledikten sonra kapsamın tam olarak belirlenmesini sağlıyoruz.

Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi

BGYS’nin kapsamını, kuruluşun tamamını veya kuruluşun bir bölümü ya da sınırları açık bir şekilde çizilmiş bir alt birimi gibi bir parçasını kapsayacak şekilde tanımlamak mümkündür.

Liderlik

Yönetimin Taahhüdü ve Politikanın Oluşturulması

Kurumsal gereksinimler ve firmanın bilgi güvenliği önceliklerine göre BGYS amaçlarını belirleme, sürekli iyileştirmeyi desteklemek, yasal şartlara uymayı taahhüt etmek gibi konuların dokümante edilip üst yönetim tarafından onaylanarak tüm çalışanlara ve ilgili taraflara belirlendiği adımdır.

Görev Tanımlarının Hazırlanması

Öncelikli olarak oluşturduğumuz BGYS Ekibine ait görev ve sorumlulukların belirlenmesini sağlıyoruz. Daha sonra tüm çalışanlar ve 3. Taraflar da dahil olmak üzere herkesin BGYS ile ilgili sorumluluklarını belirliyoruz.

Planlama

Risk ve Fırsatların Belirlenmesi

ISO 31000 ile eş güdümlü bir şekilde ISO 31010 standardı referans alınarak firma içerisinde gerçekleştirilecek olan risk metodolojisinin belirlenmesini sağlıyoruz. Belirlenen metodolojiye göre kuruluş bünyesinde fırsatlar, risk değerlendirme ve risk işleme işlemlerinin nasıl yapılacağı ile ilgili bir eğitim düzenliyoruz. Gerçekleştirilen risk değerlendirmeler ve risk işlemeler neticesinde alınan aksiyonların tamamlanması ve takibi ile ilgili süreci de takip ediyoruz. Tüm aksiyonlar tamamlandıktan sonra oluşan risklerin onaylanmasını sağlıyoruz.

Uygulanabilirlik Bildirgesi

Standardın kalbi olarak adlandırdığım bu dokümanda ISO 27001 Standardının Ek-A kısmında bulunan kontrol maddeleri ile ilgili dahil edilme ve hariç bırakılma sebeplerinin neler olduğunu belirtiyoruz.

Hedefler

Bilgi Güvenliği Politikası içerisinde belirlenmiş olan amaçlara Anahtar Performans Göstergeleri (KPI) vererek kuruluş hedeflerinin belirlenmesini sağlıyoruz. Hedefleri belirlerken risk değerlendirme ve risk işlemeden gelen aksiyonları da göz ardı etmiyoruz.

Destek

Yeterlilik ve Farkındalık

Tanımlanmış bir görev verilen tüm personelin, gerekli işlemleri yerine getirmek için yeterliliğe sahip olmasını temin etmesi bakımından, eğitimin ve öğretimin yürütülmesinden yönetim sorumludur. Yapılan eğitimin ve öğretimin içeriği, tüm personelin, üstlendiği bilgi güvenliği faaliyetlerinin ve BGYS hedeflerine ulaşmaya nasıl katkı sağlayabileceklerinin anlamının ve öneminin farkında olması ve anlamasına destek olmalıdır. Bu çalışmalarda kuruluş içerisinde rol alan tüm personelin farkındalık eğitimi almalarını sağlıyoruz. Yeterlilik kısmında da personele ait yeterlilik kriterlerinin belirlenmesi ve uygun yeterlilik seviyesinde olmayan kişilerin belirlenen seviyeye getirilmesine yardımcı oluyoruz. Ya da yeni istihdam ile bu pozisyon açığının kapatılabileceği konusunda üst yönetime bilgi veriyoruz.

İletişim

BGYS ile ilgili dahili ve harici iletişim listesinin hazırlanmasını sağlıyoruz.

Dokümantasyon

Doküman oluşturma

Standart gereksinimi istenen yazılı bilgilerin tamamı ile ilgili kayıtların oluşturulmasını sağlıyoruz. Doküman ve kayıtların nasıl yönetileceği (oluşturma, dağıtma, geri alma, revizyon, silme vb.), yasal şartların takibinin nasıl yapılacağı ile ilgili süreçleri geliştiriyoruz.

İşletim

Bu kısımda kuruluşun dış kaynaklı proseslerin tam olarak neler olduğunun belirlenmesi ve o dış kaynaklı süreçlerin nasıl yönetilebileceği konusunda tecrübelerimizi aktarıyoruz. Diğer iki madde (8.2 ve 8.3) için detayları Risk ve Fırsatların Belirlenmesi kısmında anlattığımız şekilde gerçekleştiriyoruz.

Performans Değerlendirme

İzleme, Ölçme, Analiz ve Değerlendirme

BGYS’nin belirli gereksinimlerinin tasarımı, yönetimin gözden geçirmesini destekleyen BGYS için güvenliğin izlenmesini ve ölçülmesi programını içerir. Nelerin izlenmesi gerektiği, ne zaman izleneceği, kim tarafından izleneceği, ölçmelerin nasıl yapılacağı, analiz ve değerlendirme kısımlarının ne şekilde olacağı sorularının cevaplarını bu madde içerisinde ele alıyoruz.

İç Tetkik

İç tetkik ile ilgili kuruluş içerisinde bir iç tetkik ekibinin oluşturulmasını sağlıyoruz. Bunun nedeni; yılda en az 1 kez gerçekleştirilmesi gereken iç denetimlerin her yıl dışarıdan bir kişi veya firmaya yaptırılmasının önüne geçilmesidir.

Yönetim Gözden Geçirmesi

ISO 27001 Danışmanlığı sürecinin son adımı Yönetim Gözden Geçirme maddesidir. Bu maddede standardın 9.3 maddesinde bulunan gereksinimlerin bir sunum haline getirilerek üst yönetimle beraber bir toplantı sağlıyoruz. Sistem kurulumundan bu yana gerçekleşen tüm aksiyonların ve geri bildirimlerin tamamı bu toplantıda görüşülerek kayıt altına alınıyor.

Sürekli İyileştirme

Kuruluş bünyesinde uygunsuzluk ve iyileştirici faaliyetler ile ilgili dokümantasyonun oluşturulması. Olası bir uygunsuzluk durumunda nasıl aksiyon alınması gerektiği ile ilgili personelin bilgilendirilmesi ve bunların kayıt altına alınmasının detaylarını gerçekleştiriyoruz.

Ek A kontrolleri

Standardın Ek A’sı bizim şirket departmanları ile danışmanlık sürecinde en çok temas halinde olmamızı saylayan maddelerdir. ISO 27001 Danışmanlığı sırasında ağırlıklı olarak üst yönetim, idari işler, insan kaynakları, varsa üretim ve bilgi işlem departmanları ile bu maddeleri tamamlamaya çalışıyoruz. Bu çalışmalarda işe alım, işten çıkarma, iş sürekliliği, olay ihlal yönetimi, değişiklik yönetimi, ağ güvenliği, tedarik zinciri, uyum vb. daha bir çok konuyu detaylı bir biçimde ele alıyoruz. Son kullanıcı odaklı olan maddelerde de gerek eğitim gerekse bildirimlerle farkındalıklarının artmasını sağlıyoruz.

Denetim Firmasının Seçimi

ISO 27001 Danışmanlığı hizmetimiz bittikten sonra denetimi gerçekleştirmesi için uygun belgelendirme firmasının seçilmesi konusunda önerilerimizi firmaya sunuyoruz. Gerçekleştirilen denetimler (1. Aşama ve 2. Aşama denetimi) sonucunda bulunan bulgulara göre aksiyonların alınması konusunda da firmaya hizmet veriyoruz.

Özetle; gerçekleştirmiş olduğumuz ISO 27001 Bilgi Güvenliği Danışmanlığı hizmetimizde müşterilerimize elimizden geldiğince standardın anlaşılmasını ve sürdürülebilirliğin nasıl sağlanacağı hakkında en temel bilgileri aktarmaya çalışıyoruz.

Siz de firmanı içerisinde ISO 27001 Bilgi Güvenliği Yönetim Sistemi ile ilgili Boşluk Analizi yaptırmak istiyorsanız bizimle adresimizden bizimle irtibata geçebilirsiniz.