Merhaba sevgili kernelblog takipçileri. Bu yazımda sizlere ISO 27001 BGYS Standardından, kurumlarınız için belgeye neden sahip olmanız gerektiğinden bahsedeceğim.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardıdır. Standardın amacı bilgiyi gizlilik, bütünlük ve erişilebilirlik kavramları çerçevesinde şekillendirmektir. BGYS kurumların finansal verilerini, fikri mülkiyetlerini ve hassas verileri korumasına yön veren uluslararası bir standart’dır. Standart Uluslararası Standardizasyon Örgütü tarafından hazırlanmıştır ve güncel standarda ve detaylı bilgiye buradan ulaşabilirsiniz.
ISO 27001 belgesi akredite olmuş herhangi bir belgelendirme kuruluşu tarafından alınabilir. Akredite olmuş kuruluşları görmek için mutlaka TÜRKAK sayfasından kontrol edebilirsiniz. TÜRKAK Dışişleri Bakanlığı bünyesinde bulunan Avrupa Birliğine bağlı olan uygunluk değerlendirme kuruluşlarının ulusal ve uluslararası standartlara uyumlu olmasını inceler. TÜRKAK için denetleyen firmaların denetçisi desek pek de yanlış olmaz. 🙂
Kurumunuza ISO 27001 belgesi almak için belgelendirme firmaları ile iletişime geçip gereksinimlerin sağlandığı süreçlerini gösterdikten sonra belgelendirme kuruluşu tarafından belgeye sahip olabilirsiniz. Tabiki belgeyi tek seferlik almak değil sürekliliğini sağlamakta önemli. ISO 27001 belgesinin yasal geçerlilik süresi 3 yıldır. Dolayısıyla maksimum 3 yılda bir belgelendirme kuruluşu tarafından denetlenmek ve belgenin süresini uzatmak gereklidir. Belge hazırlıklarını tamamlamış orta ölçekli bir kurum için ortalama 15 gün içerisinde belgeye sahip olunabilir. Fiyatlarına gelecek olursak belgelendirme kuruluşları arasında farklılıklar bulunabiliyor. Bu sebeple hizmet belgelendirme kuruluşlarına sormak en doğru seçenek olacaktır.
ISO 27001 belgelendirme süreci 2 aşamalı denetimden oluşur. İlk aşama denetimde anlaşmış olduğunuz belgelendirme kuruluşu teklif ettiğiniz kapsamın gerekliliklerini ve kurum için belirlenen hedefleri karşılayıp karşılamadığını doğrular. Belgelendirme kuruluşu bu incelemede herhangi bir uygunsuzluk tespit etmesi durumunda, uygunsuzlukların giderilmesi için kurumunuza belirli bir süre verilir. Denetimin 2. aşamasına başlandığında bu uygunsuzlukların düzeltilmiş olması beklenir. Bunun yanı sıra tüm sistemin uygunluk durumu tekrar değerlendirilir ve büyük bir uygunsuzluk görülmemesi halinde kuruma sertfikası verilebilir. Herhangi bir uygunsuzluk tespit edilmeyip sertfika almaya hak kazanmış kurumlar, anlaşmış oldukları belgelendirme kuruluşları tarafından ilk 3 yıl boyunca 2 ayrı gözetim denetimine tabidir. Gözetim denetimleri tüm sistemin standarda uygun şekilde çalıştığına ve uygulamaların ISO standart gereksinimlerini karşıladığından emin olmak için yapılır. Aşağıdaki görsel de 3 yıllık yasal sürecin resmedildiğini görebilirsiniz.
Standart 10 ana madde ve EK-A adlı Bilgi Güvenliği kontrolleri referansından oluşmaktadır. Ana maddeler şu şekildedir;
- Kapsam
- Bağlayıcı atıflar
- Terimler ve tanımlar
- Kuruluşun bağlamı
- Liderlik
- Planlama
- Destek
- İşletim
- Performans değerlendirmesi
- İyileştirme
ISO 27001 belgesini almak ile ilgili yeterince konuştuğumuza göre avantajlarından da bahsedebiliriz. Kuruma en önemli artılarından biri iç denetimlerin bağımsızlığının ve etkinliğinin sağlanması ile bt yönetişimi ve iş sürekliliği ihtiyaçlarını karşılamış olur. Sektör bağımsız bir bilgi güvenliği yönetim sistemi olması sebebiyle birçok farklı sektörden regülasyona uyumun sağlanmasında yardımcıdır. Rakip kurumlar ile aranızda rekabet avantajı sağlar. Kurumsal itibari güçlendirir ve güven verir.
Bir sonraki yazımda görüşmek dileğiyle. İyi Okumalar.