ISO 27001 Danışmanlık Hizmetleri



ISO 27001 belgesi, kuruluşların kendilerinin ve müşterilerinin gizli bilgilerini güvende tutmalarına ve yönetmelerine yardımcı olan bir ISO belgesidir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi, şirketlerin finansal verilerini, fikri mülkiyetlerini ve hassas müşteri bilgilerini korumalarına yardımcı olan uluslararası bir çerçevedir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi danışmanlığı almak isteyen firmalar genel olarak “Biz bu danışmanlık hizmetini alırken neler yapacağız?” ve “Bu ISO 27001 bizim ne işimize yarayacak?” gibi soruları yöneltiyorlar.  Bu sorulara özetle cevap verirsek olursak, danışmanlık hizmeti alındıktan sonra ISO 27001 Belgesi olan bir firma, yönetim sistemini standart gereksinimlerine göre yürütebilirse;

ISO 27001 Danışmanlığı Hizmeti Kapsamında Neler Var?

Boşluk Analizi

Bu aşamada kuruluş içerisinde ilgili kişi veya kişiler ile görüşme yapıp ISO 27001 Bilgi Güvenliği ile ilgili müşterinin bulunduğu noktanın belirlenmesi işlemini gerçekleştiriyoruz.

şirket içindeki departmanların ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı doğrultusunda yapılan boşluk analizinde standarda yüzde (%) olarak ne kadar uyum sağladığını görmüş olur.

BGYS Ekibi ve Temel Eğitim

Boşluk analizi sonrasında kuruluş içerisinde danışmanlık kapsamına dahil departmanlardan birer personel alarak bir BGYS Ekibi oluşturuyoruz. Ekip, danışmanlık ziyaretlerimizde verilen görevlerin yerine getirilmesinden sorumlu oluyor. Üst yönetimin desteğinin tüm şirket içerisinde hissedilmesi için ekip içerisine üst yönetimden de kişileri dahil ediyoruz. Ekibin tamamına ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardının temel eğitimini veriyoruz. Standardın ana hatlarıyla neler içerdiğini bu eğitimde öğreniyorlar.

Yönetimin Taahhüdü ve Politikanın Oluşturulması

Kurumsal gereksinimler ve firmanın bilgi güvenliği önceliklerine göre BGYS amaçlarını belirleme, sürekli iyileştirmeyi desteklemek, yasal şartlara uymayı taahhüt etmek gibi konuların dokümante edilip üst yönetim tarafından onaylanarak tüm çalışanlara ve ilgili taraflara belirlendiği adımdır.

Görev Tanımlarının Hazırlanması

Öncelikli olarak oluşturduğumuz BGYS Ekibine ait görev ve sorumlulukların belirlenmesini sağlıyoruz. Daha sonra tüm çalışanlar ve 3. Taraflar da dahil olmak üzere herkesin BGYS ile ilgili sorumluluklarını belirliyoruz.

Uygulanabilirlik Bildirgesi

Standardın kalbi olarak adlandırdığım bu dokümanda ISO 27001 Standardının Ek-A kısmında bulunan kontrol maddeleri ile ilgili dahil edilme ve hariç bırakılma sebeplerinin neler olduğunu belirtiyoruz.

Yeterlilik ve Farkındalık

Tanımlanmış bir görev verilen tüm personelin, gerekli işlemleri yerine getirmek için yeterliliğe sahip olmasını temin etmesi bakımından, eğitimin ve öğretimin yürütülmesinden yönetim sorumludur. Yapılan eğitimin ve öğretimin içeriği, tüm personelin, üstlendiği bilgi güvenliği faaliyetlerinin ve BGYS hedeflerine ulaşmaya nasıl katkı sağlayabileceklerinin anlamının ve öneminin farkında olması ve anlamasına destek olmalıdır. Bu çalışmalarda kuruluş içerisinde rol alan tüm personelin farkındalık eğitimi almalarını sağlıyoruz. Yeterlilik kısmında da personele ait yeterlilik kriterlerinin belirlenmesi ve uygun yeterlilik seviyesinde olmayan kişilerin belirlenen seviyeye getirilmesine yardımcı oluyoruz. Ya da yeni istihdam ile bu pozisyon açığının kapatılabileceği konusunda üst yönetime bilgi veriyoruz.

Doküman oluşturma

Standart gereksinimi istenen yazılı bilgilerin tamamı ile ilgili kayıtların oluşturulmasını sağlıyoruz. Doküman ve kayıtların nasıl yönetileceği (oluşturma, dağıtma, geri alma, revizyon, silme vb.), yasal şartların takibinin nasıl yapılacağı ile ilgili süreçleri geliştiriyoruz.

İşletim

Bu kısımda kuruluşun dış kaynaklı proseslerin tam olarak neler olduğunun belirlenmesi ve o dış kaynaklı süreçlerin nasıl yönetilebileceği konusunda tecrübelerimizi aktarıyoruz. Diğer iki madde (8.2 ve 8.3) için detayları Risk ve Fırsatların Belirlenmesi kısmında anlattığımız şekilde gerçekleştiriyoruz.

Performans Değerlendirme

İzleme, Ölçme, Analiz ve Değerlendirme

BGYS’nin belirli gereksinimlerinin tasarımı, yönetimin gözden geçirmesini destekleyen BGYS için güvenliğin izlenmesini ve ölçülmesi programını içerir. Nelerin izlenmesi gerektiği, ne zaman izleneceği, kim tarafından izleneceği, ölçmelerin nasıl yapılacağı, analiz ve değerlendirme kısımlarının ne şekilde olacağı sorularının cevaplarını bu madde içerisinde ele alıyoruz.

İç Tetkik

İç tetkik ile ilgili kuruluş içerisinde bir iç tetkik ekibinin oluşturulmasını sağlıyoruz. Bunun nedeni; yılda en az 1 kez gerçekleştirilmesi gereken iç denetimlerin her yıl dışarıdan bir kişi veya firmaya yaptırılmasının önüne geçilmesidir.

Yönetim Gözden Geçirmesi

ISO 27001 Danışmanlığı sürecinin son adımı Yönetim Gözden Geçirme maddesidir. Bu maddede standardın 9.3 maddesinde bulunan gereksinimlerin bir sunum haline getirilerek üst yönetimle beraber bir toplantı sağlıyoruz. Sistem kurulumundan bu yana gerçekleşen tüm aksiyonların ve geri bildirimlerin tamamı bu toplantıda görüşülerek kayıt altına alınıyor.

Sürekli İyileştirme

Kuruluş bünyesinde uygunsuzluk ve iyileştirici faaliyetler ile ilgili dokümantasyonun oluşturulması. Olası bir uygunsuzluk durumunda nasıl aksiyon alınması gerektiği ile ilgili personelin bilgilendirilmesi ve bunların kayıt altına alınmasının detaylarını gerçekleştiriyoruz.

Ek A kontrolleri

Standardın Ek A’sı bizim şirket departmanları ile danışmanlık sürecinde en çok temas halinde olmamızı saylayan maddelerdir. ISO 27001 Danışmanlığı sırasında ağırlıklı olarak üst yönetim, idari işler, insan kaynakları, varsa üretim ve bilgi işlem departmanları ile bu maddeleri tamamlamaya çalışıyoruz. Bu çalışmalarda işe alım, işten çıkarma, iş sürekliliği, olay ihlal yönetimi, değişiklik yönetimi, ağ güvenliği, tedarik zinciri, uyum vb. daha bir çok konuyu detaylı bir biçimde ele alıyoruz. Son kullanıcı odaklı olan maddelerde de gerek eğitim gerekse bildirimlerle farkındalıklarının artmasını sağlıyoruz.

Denetim Firmasının Seçimi

ISO 27001 Danışmanlığı hizmetimiz bittikten sonra denetimi gerçekleştirmesi için uygun belgelendirme firmasının seçilmesi konusunda önerilerimizi firmaya sunuyoruz. Gerçekleştirilen denetimler (1. Aşama ve 2. Aşama denetimi) sonucunda bulunan bulgulara göre aksiyonların alınması konusunda da firmaya hizmet veriyoruz.

Özetle; gerçekleştirmiş olduğumuz ISO 27001 Bilgi Güvenliği Danışmanlığı hizmetimizde müşterilerimize elimizden geldiğince standardın anlaşılmasını ve sürdürülebilirliğin nasıl sağlanacağı hakkında en temel bilgileri aktarmaya çalışıyoruz.

Siz de firmanı içerisinde ISO 27001 Bilgi Güvenliği Yönetim Sistemi ile ilgili Boşluk Analizi yaptırmak istiyorsanız bizimle adresimizden bizimle irtibata geçebilirsiniz.