ISO sertifikası almak isteyen şirketler için iso 27001 sertifikası en öncelikli ve önemli yönetim sistemlerinden biridir, çünkü “ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin” kurumsal alanlarda nasıl uygulanması gerektiğini etraflıca açıklayan standarttır.

 

Bu makalede ISO 27001’in bilgi güvenliğinin temel gereklilikleri dahil, kapsamın hazırlanması son aşamayla birlikte ıso 27001 belgelendirme süreci hakkında genel bilgiler ve https://adlbelge.com/iso-27001-belgesi iso 27001 sertifikasyonu hakkında kısa ama oldukça etkili tanımlamalar ortaya çıkarmaya çalışacağız.

1995 yılında İngiliz standartlar örgütü 7799’a gönderme içeren bir standard geliştirir ve bu kısa sayılabilecek bir süre içinde ISO tarafından çok sayıda teknik komitenin katılımıyla revizyonlarından başarıyla geçtikten sonra bugün bildiğimiz iso 27001 standartı oluşturuldu.

1999 yılında şimdi bilinirliği iyiden iyiye artmış çok sayıda ülke ve kuruluş tarafından içtenlikle benimsenmiş ISO 27001 olarak bilinen bilgi güvenliği yönetim sistemi standartı yazılmıştır.

ISO 27001 bu yayınıyla kalmayıp sürekli revize edilerek geliştirildi ve 2005, 2013 yıllarında gördüğü birer geniş çaplı revizyon ile son bir güncelleme ile ISO 27001:2013 sürümüyle bugün bildiğimiz pdf kılavuz standart formatına kavuşturulmuştur

Bu son güncellemeler “Bilişim Teknolojileri” alanında gelişen “Bulut Teknolojileri” göz önüne alındığında neden 2013 güncellemesine uğradığı da anlaşılmış olmaktadır.

Risk analizi diğer standartlarda olduğu gibi iso 27001 standartın da risk analizi mevcuttur. Risk analizi şirketin önemli değişiklikler gerektiğinde ve taraflarca tetkik edildiğinde veya bilgi güvenliği yönetim sistemi artık hazır olduğunda sistematik planlı güvenlik risk analizi yapılmasını gerektirir. Risk tehdit analizinin ise en doğru bir biçimde yapılabilmesi için, risk kabul kriterlerinin ve bu risklerin nasıl ölçüleceğinin önceden planlama aşamasında belirlenmiş olması gerekmektedir.

Bu risk kriterlerinin tanımlanan risklerin potansiyel sonuçları ile bu risklerin benzer noktalarda da tekrar ortaya çıkmasına ait tüm olasılık ve risk düzeyleri de analiz edilmek durumundadır.

 

ISO 27001 Liderlik ve Üst Yönetimin Taahhüdü

 

Standart aynı zamanda üst yönetimin BGYS’ye bağlılığını yazılı ve uygulama içeren tutarlı bir bilgi güvenliği politikası ile göstermesinin yanı sıra üst yönetimin bilgi güvenliğinden sorumlu şirketin bir tarafı olmasını “taşın altına elini koymasını” gerektirir.

Liderler ayrıca, sistemi gerçek anlamda verimli iso 27001 belgesinin doğru alınabilmesi ve baş denetçi nezaretinde yapılacak 27001 dış denetiminde istenildiği düzlemde ilerlemesi amacıyla yönetim, çalışanlara rehberlik etme yükümlülüğüne sahip olmalı, önderlik ve teşvik etmeli etkin ve eşit görev sistem dağılımı ve uygulamaların yapılması amaçları için sahip olunan iç ve dış kaynakların yeterli olduğundan, yetkinlik ve özelliklerinden ayrıca doğru tahsis edildiğinden emin olmalıdır.

 

Bilgi Güvenliği Politikalarının Planlaması

 

Planlama sırasında, şirketin 27001 için güvenlik hedeflerinin ne olduğu ve bu hedeflere ulaşmak için hangi stratejilerin oluşturulacağı konusunda çok açık olması gerekir. Ancak hedefler genel olamaz; ölçülebilir olmalı ve güvenlik gerekliliklerini göz önünde bulundurmalıdır.

Kuruluş ayrıca, yalnızca uygulama için değil sistem bakımı için de gerekli olan tüm kaynakların mevcut olmasını sağlamalıdır. Ek olarak, gerekli becerilerin ne olduğunu belirlemek ve sorumlu kişilerin, destekleyici belgelerle bile yeteri kadar nitelikli olduğundan emin olmak gerekir.

ISO 27001 standart gereğince tüm bilgilerin kimlik parmak izi göz tanıma sistemleri gibi tanımlanmış ve dokümante edilmiş yöntemlerle uygun ve güvenli seviyelerde kayıtlarının tutulmasını gerektirir.

ISO 27001 belgelendirme hedeflerinin ilk adımlarında hazırlanan politika ve talimatların bir değişiklik olduğunda ve İso 27001 bilgi güvenliği yönetim sisteminde üst yönetim değişiklik ihtiyacı hissettiğinde, bu talebin gerçerli kılınmak üzere doğrulanması ve gereken değişikliklerin yapılması durumunda hedeflerin belirlenmesi zorunlu olacaktır.