ISO 27001 Danışmanlığı

10 yılı aşan siber güvenlik uzmanlığı

ISO 27001 Danışmanlığı

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardı, İngiliz Standardı tarafından 1999 yılında yayınlanan ve 2002 yılında revize edilen BS 7799-2 standardı referans alınarak 2005 yılında Bilgi Güvenliği Yönetim Sistemi Gereksinimleri olarak ISO/IEC 27001:2005 adı ile yayınlanmıştır.

2013 yılında ISO/IEC 27001 standardı Annex SL ile uyumlu olacak bir biçimde revize edilerek, tüm ISO standartlarına uygun bir çatı yapısı oluşturmaktadır. Buradaki amaç bütün yönetim sistemlerine temel oluşturacak genel çerçeveyi belirlemektir. Kurum ihtiyaçları gereği sahip olunan birden fazla yönetim sisteminin hem yönetimi hem de denetimi açısından bu çatı yapısı önemli bir husus oluşturmaktadır.

ISO 27001 Nedir?

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi, bilgi güvenliği problemlerinin ele alınmasını, kurumun değerli varlıklarının tespit edilmesini ve bu varlıkların yönetilmesini destekleyen bir bilgi güvenliği yönetim sistemi standardıdır. ISO 27001 küçük, orta ve büyük ölçekli her sektördeki işletmelerin bilgi güvenliği varlıklarını yönetmelerine yardımcı olmaktadır.

Ayrıca ISO 27001 ülkemizde belgelendirmeye tabi tutulması, düzenleyiciler tarafından düzenlemelere konu edilmesi ve bilgi paylaşımını gerektiren tedarik süreçlerinde şartname şartlarından biri haline gelmesi nedeniyle popülerliği gittikçe artan bir standarttır.

ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi’nin yapısı aşağıdaki gibidir:

  • Güvenlik Politikaları
  • Bilgi Güvenliği Organizasyonu
  • İnsan Kaynakları Güvenliği
  • Varlık Yönetimi
  • Erişim Kontrolü
  • Kriptografi
  • Fiziksel ve Çevresel Güvenlik
  • Operasyon Güvenliği
  • İletişim Güvenliği
  • Sistem Edinim, Geliştirme ve Bakım
  • Tedarikçi İlişkileri
  • Bilgi Güvenliği Olay Yönetimi
  • İş Sürekliliği
  • Uyum

BTRisk ISO 27001 Danışmanlık Metodu

ISO 27001 Bilgi güvenliği yönetim sistemi danışmanlığı hizmetimiz ana hatları Deming döngüsüne paralel olarak hazırlanmış olan aşağıdaki fazları içeren BGYS metodumuz doğrultusunda sağlanır:

Hazırlık: Hazırlık fazı Deming döngüsünü oluşturan ana adımların dışındadır. Ancak çok sayıdaki danışmanlık proje deneyimimizde bu faza olan ihtiyaç gözlenmiş ve hazırlık fazı Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulum metodumuzun standart bir adımı haline gelmiştir. Bu safhada ISO 27001  BGYS kapsamının somutlaştırılması, proje ekibinin bilgi güvenliği ve yönetim sistemi eğitimleri ile oryantasyonunun sağlanması, yönetim desteğinin görünür hale getirilmesi sağlanır.

Planlama: ISO 27001 danışmanlığımız planlama fazında bilgi güvenliği kontrolleri için fark analizi yapılarak kurumun bilgi güvenliği ile ilgili iş ve yasal gereksinimleri, bilişim altyapısı ve bilgi güvenliği kontrol noktaları ile ilgili bilgiler toplanır. Kurumun değerli varlıklarının tespit edilmesi ile birlikte, ISO 27001 risk analizi ile kurumun mevcut durum ortaya konarak kontrol geliştirme ve iyileştirme ihtiyaçları belirlenir.

Uygulama: ISO 27001 danışmanlığımız uygulama adımında yönetsel süreçleri içeren yönetim sistemi bileşenleri (politikalar, prosedürler, kılavuzlar v.d.) ile risk analizinde eksikliği ortaya çıkan kontroller geliştirilir ve uygulamaya alınır. Kurum personeli için kurumun ihtiyaçlarına göre bilgi güvenliği farkındalık eğitimleri sağlanır.

Kontrol Etme: ISO 27001 danışmanlığımız bu adımında ise ISO 27001 standardının tamamını ve ISO 27002 detaylı olarak ele alınan kontrol maddelerin bir bölümünü kapsayacak bir biçimde iç denetim çalışmasının gerçekleştirilmesi sağlanır. Yönetim gözden geçirme adımları ile düzeltici ve önleyici faaliyet ihtiyaçları belirlenir.

Önlem Alma: ISO 27001 danışmanlığımızın son adımında ise belirlenen ve çeşitli taraflarca bildirilen düzeltici ve önleyici faaliyet gereksinimleri doğrultusunda gerekli iyileştirme planları uygulanır.

BTRisk firması tarafından %100 yerli kaynaklarla geliştirilen, ISO 27001:2013 versiyonu tam uyumlu BTRWatch GRC ürünümüz hakkında detaylı bilgi almak için tıklayınız.