ISO 27001

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistem Standardı:

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı, ISO tarafından oluşturulmuş en büyük standartlardan birisidir. İşletmeler, bilgilerinin gizlilik, bütünlük ve erişilebilirliğine etki edebilecek tüm zafiyetlerin önüne geçebilmesi için ISO/IEC 27001 standardının gerekliliklerini yerine getirme ihtiyacı duyarlar.

ISO/IEC 27001 standardı, ISO/IEC 27000 ailesinin temel bilgi güvenliği kurallarının detaylandırıldığı belgelendirme süreçlerinde kullanılan standarttır. Örneğin; ISO/IEC 27000 ailesinde sektörel olan; ISO/IEC 27019 (Enerji sektörüne özgü), ISO/IEC 27018(Bulut Bilişim sektörüne özgü), ISO/IEC 27799 (Sağlık sektörüne özgü) vs. diğer standartları da mevcuttur. Belgelendirme denetimleri aşamasında, sektörel standartların gereksinimleri de dikkate alınarak ISO/IEC 27001 standardının belgelendirme denetimi gerçekleştirilir.

UITSEC, uzman kadrosu sayesinde sektörel ihtiyaçları doğru bir şekilde analiz eder ve bilgi güvenliği çalışmalarının verimliliğini üst seviyede tutar ve işletmelere maksimum katkı sağlar. Uyumluluk çalışmalarında; güncel mevzuatlar, çözüm önerileri ve teknolojik gelişmeler dikkate alınır. İşletmelerin mevcut süreçlerine etki eden bilgi güvenliği varlıkları tespit edilir ve süreçlerin gizliliği, bütünlüğü ve erişilebilirliğine etki eden riskler analiz edilir.

Çalışanlara işletmenin faaliyetine uygun örneklemelerin yer aldığı eğitimler verilerek farkındalık seviyesini en üst düzeyde tutmaya gayret gösterir.

UITSEC uzman kadrosu, ISO/IEC 27001 belgeleme çalışmalarının sorunsuz ve en hızlı şekilde yürütülmesi için işletmenin süreçleri ile ilgili prosedürlerini güncel tutar. İşletmenin ISO/IEC 27001 çalışması öncesinde uygulamaya devam ettiği mevcut çalışmaların standart ile uyumluluğunu analiz eder. Uygun olmayan çalışmalar için işletmeyi yönlendirir ve gerekli aksiyonların alınması için çalışma yapar.

ISO/IEC 27001 Standardının İşletmelere Faydaları

  • İşletmeler için önem arz eden bilgilerin gizlilik, bütünlük ve erişilebilirliğini sağlar.
  • Bütün dünyanın kabul görmüş bilgi güvenliği kapsamındaki en büyük standart olduğu için periyodik denetimler sayesinde işletmelerin bilgi güvenliği seviyesi yüksek olur.
  • İşletmelerin risklerini minimize eder ve iş sürekliliğini maksimum seviyeye çıkartır.
  • Zayıflıklarınızı tespit ederek yapmanız gereken iş adımlarını belirler.
  • Müşteri itibarını sağlar ve gereksinimlerini en iyi şekilde karşılar.
  • İşletmedeki iş süreçlerinin dinamik ve sürekli olmasını destekler.
  • Yasal gereklilikler yerine getirilerek işletmenin standartlara uygunluğu sağlanır.
  • Kurulan sistem sayesinde müşterilerin değerlendirmelerinde rakiplerden bir adım önde olunur.

 

ISO/IEC 27001 Projesi için Hizmet Adımları

UITSEC, ISO/IEC 27001 projesi kapsamında, belgelendirme başvurusu dahil tüm aşamalarda işletmeye maksimum desteği sağlar.

Başlıca ISO/IEC 27001 çalışma adımları;

  • Liderlik ve organizasyonun sağlanması
  • Kapsam analizlerinin yapılması
  • Varlıkların analiz edilmesi
  • Risk metodolojisinin oluşturulması
  • Risk analizlerinin yapılması
  • Risk işleme aksiyonlarının alınması
  • Düzeltici faaliyetlerin gerçekleştirilmesi
  • Eğitimlerin verilmesi
  • Politika, prosedürler ve destekleyici dokümanların oluşturulması
  • Teknik analizlerin belirlenmesi
  • Performans izleme kriterlerinin belirlenmesi ve aksiyon alınması
  • İş sürekliliği desteğinin sağlanması
  • Uygulanabilirlik bildirgesinin gerekçelendirme belirtilerek hazırlanması
  • İç denetimlerin gerçekleştirilmesi
  • Raporlamaların gerçekleştirilmesi
  • Dış denetim süreçlerinin yürütülmesi
  • Denetim sonrası destek süreçlerinin yürütülmesi
  • Akredite kurumlar tarafından belgenin alınması

 

ISO/IEC 27001 Kapsamında Hazırlanacak Bilgi Güvenliği Politikaları

Kurumun faaliyet gösterdiği sektöre ya da süreçlerine uygun spesifik bilgi güvenliği politikaları hazırlanabilir. Spesifik olmayan başlıca dokümanlar;

  • Genel Bilgi Güvenliği Politikaları
  • Kabul Edilebilir Kullanım Politikaları
  • Şifre Politikaları
  • E-Posta Güvenlik Politikaları
  • İnternet Kullanım Politikaları
  • Temiz Masa Temiz Ekran Politikaları
  • Fiziksel Güvenlik Politikaları
  • Erişim Kontrol Politikaları
  • İş Sürekliliği Politikaları
  • Değişim Yönetimi ve Kontrol Politikaları
  • Temiz Masa ve Temiz Ekran Politikaları
  • Veri Arşivleme ve Yedekleme Politikaları
  • Bilginin İmhası/Medya/Ekipman Politikaları
  • Varlıkların Kullanım Politikaları
  • Taşınabilir/Mobil Cihaz Kullanım Politikaları
  • Zararlı Yazılım Politikaları
  • Personel Güvenlik Politikaları
  • Gizlilik Politikaları
  • Yazılım Geliştirme ve Yönetim Politikaları
  • Veri Yedekleme ve Kurtarma Politikaları
  • Sunucu Güvenlik Politikaları
  • Ağ Yönetim Politikaları
  • Uzak Bağlantı/VPN Yönetim Politikaları
  • Tedarikçilerin/3. Taraf Kullanıcıların Yönetim Politikaları
  • Değişim Yönetim Politikaları
  • Kimlik Doğrulama ve Yetkilendirme Politikaları
  • Ziyaretçi Kabul Politikaları
  • İhlal Olaylarının Yönetim Politikaları

Bilgi Güvenliği ile İlgili Prosedür ve Dokümanlar

Yapılan uyumluluk çalışmalarında işletmelerin ihtiyaç duyabileceği bazı prosedür ve dokümanlar hazırlanır.

Prosedürler;

  • Dokümanların Yönetim Prosedürü
  • Düzeltici ve İyileştirici Faaliyet Prosedürü
  • Yönetim Gözden Geçirme Prosedürü
  • İç Tetkik Prosedürü
  • İnsan Kaynakları Prosedürü
  • Eğitim Prosedürü
  • Varlıkların Yönetim Prosedürü
  • Risklerin Yönetim Prosedürü
  • Bakım Prosedürleri
  • İş Sürekliliği Prosedürü
  • Erişim Kontrol Prosedürleri
  • Ağ Cihazlarının Yönetim Prosedürü
  • Veri Yedekleme Prosedürü
  • Log Yönetim Prosedürü
  • Yazılım Geliştirme Prosedürü
  • Fiziksel Güvenlik Prosedürü
  • Olay İhlalleri Yönetim Prosedürü
  • Değişiklik Yönetim Prosedürü
  • Tedarikçi ve Üçüncü Taraf Yönetim Prosedürü
  • Sistem Güvenlik Prosedürleri

Formlar ve Diğer Dokümanlar;

  • Görev Tanımları
  • Organizasyon Şeması
  • Dış Kaynaklı Doküman Formları
  • Düzeltici ve İyileştirici Faaliyet Formları
  • Hedef ve Performans Formları
  • İç Tetkik Plan ve Formları
  • İnsan Kaynakları Form ve Dokümanları
  • Varlık Envanter Listeleri
  • Bilgi Sınıflandırma Dokümanları
  • Risk Analiz Formları
  • Bakım ve Test Formları
  • Sızma Testi Raporları
  • Yedekleme Listeleri ve Arşiv Kayıtları Formları
  • İzleme Ölçme Analiz ve Değerlendirme Formları
  • Tedarikçi Değerlendirme Formları
  • Erişim Kontrol Listeleri
  • İletişim Listeleri
  • Uygulanabilirlik Bildirgesi (SOA)
  • Olay İhlal Formları
  • İş Sürekliliği Planları ve İş Etki Analizleri