ISO 27001 Belgesi Nereden/Nasıl Alınır?

ISO/IEC 27001 Belgesi Nasıl Alınır? ISO 27001 sertifikasına ulaşmak için bir kuruluşun öncelikle Standardın tüm gerekliliklerini karşılayan bir BGYS geliştirmesi ve uygulaması gerekir. BGYS uygulamaya konulduktan sonra kuruluş, akredite bir belgelendirme kuruluşuna belgelendirme için kayıt yaptırabilir.

Sertifikasyon kuruluşu, ISO 27001 gerekliliklerini karşıladığından emin olmak için BGYS  denetimini gerçekleştirecektir. BGYS uyumlu olduğu tespit edilirse, sertifikasyon kuruluşu bir ISO 27001 sertifikası düzenleyecektir.

Gereken hazırlık miktarı kuruluşunuzun büyüklüğü ve karmaşıklığının yanı sıra Standartla mevcut uyumluluk düzeyinize bağlı olarak değişeceğinden, bu sorunun herkese uygun tek bir cevabı yoktur.

ISO 27001 akreditasyon süreci iki aşamadan oluşmakta ve nitelikli bir denetçi tarafından yürütülmektedir.

1. Aşama
Denetçi, BGYS'nin Standarda uygun olarak geliştirilip geliştirilmediğini kontrol etmek için belgelerinizi inceleyecektir. Sizden BGYS'nin tüm kritik yönlerine ilişkin kanıt sunmanız beklenecektir, 

2. Aşama
İlk aşamayı geçerseniz denetçi daha kapsamlı bir değerlendirme yapacaktır. Bu değerlendirme, BGYS'nin gelişimini destekleyen faaliyetlerin gözden geçirilmesini içerecektir. Denetçi, politikalarınızı ve prosedürlerinizi daha derinlemesine analiz edecek ve yerinde inceleme ile BGYS'nin pratikte nasıl çalıştığını kontrol edecektir. Denetçi ayrıca tüm faaliyetlerin ISO 27001 spesifikasyonlarına uygun olarak yürütüldüğünü doğrulamak için kilit personel üyeleriyle görüşecektir.

ISO 27001 belgelendirmesinin maliyeti genellikle kuruluşta çalışan çalışan sayısına bağlıdır. 500'e kadar çalışanı olan bir kuruluş için sertifikanın maliyeti 15.000 ₺ ile 150.000 ₺ civarında olabilir.

BT Yönetişimi bir sertifikasyon kuruluşu değildir. Bunun yerine, sizinki gibi kuruluşların sertifikasyona tam olarak hazırlanmalarına yardımcı olma konusunda uzmanız. Bunu, bir sertifikasyon kuruluşuyla iletişime geçtiğinizde hazır olmanız için her türlü eğitim, danışmanlık, araç, dokümantasyon ve tavsiye kombinasyonunu sağlayarak yapıyoruz.

Bağımsız, akredite sertifikasyon kavramını destekliyoruz, 

600'den fazla kuruluşa ISO 27001 uygulama ve sertifikasyon projelerinde yardımcı olduğumuz yıllara dayanan deneyimimiz sayesinde, sertifikasyon kuruluşlarının tam olarak ne beklediğini biliyoruz. Sonuç olarak, size rakipsiz bir uzmanlık sunabiliyoruz.

ISO 27001, siber güvenlik uygulamalarını güçlendirmek ve siber saldırı riskini azaltmak isteyen kuruluşlar için ideal bir kaynaktır.

Bilgi güvenliği standardı, kurumsal verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak için bir BGYS (bilgi güvenliği yönetim sistemi) gereksinimlerini belirtir.

Bunlara şunlar dahildir:

Fikri mülkiyet
Finansal bilgi
Kişisel olarak tanımlanabilir bilgiler
Üçüncü taraflarca yönetilen bilgiler
Ayrıca BGYS'nizi ISO 27001'e göre de belgelendirebilirsiniz . Bu , veri güvenliğine olan bağlılığınızı gösterir ve en iyi uygulamaları takip ettiğinizi kanıtlar. Bu da, özellikle daha büyük ve daha kazançlı sözleşmeler olmak üzere yeni işler kazanmanıza yardımcı olabilir.

Bu Sıkça Sorulan Sorular, on kolay adımda ISO 27001 sertifikasını nasıl alabileceğinizi açıklıyor.

Mevcut önlemlerinizi ISO 27001 gereklilikleriyle karşılaştıran bir boşluk analizi, herhangi bir uygulama projesi için iyi bir başlangıç ​​noktası sunar.

En büyük boşluklarınızı belirledikten sonra öncelikli bir eylem planı oluşturabilirsiniz.

Her ISO 27001 BGYS aşağıdakileri oluşturmalıdır:

Kapsam
BGYS kapsamınız kuruluşun tamamından belirli iş fonksiyonlarına veya sitelere kadar değişebilir.

Önemli olan kuruluşunuzun bağlamını ve BGYS'sini dikkate almaktır.

Bağlam
BGYS bağlamınızı oluştururken şunları göz önünde bulundurun:

İç ve dış sorunlar
İlgili taraflar ve gereksinimleri
İç ve dış sorunları belirlemeye yönelik yaygın bir yaklaşım analizidir:

Siyasi – örneğin tedarik zincirlerini bozabilecek siyasi gerilimler
E ekonomik – örneğin uygun ekipmanı tedarik etme yeteneğinizi etkileyen ekonomik durgunluk riski
Sosyolojik – örneğin insanların veri kullanımınızı nasıl algılayabileceği
Teknolojik – örneğin yapay zeka gelişmeleri, yeni kötü amaçlı yazılımlar veya güncelliğini yitirmiş donanım/yazılım
Yasal – örneğin siber güvenlik ve gizlilik mevzuatı
Çevresel – örneğin iklim değişikliğinin etkisi
İlgili taraflara gelince, bunlar şunları içerebilir:

Kadro
Ortaklar
Düzenleyiciler
Hedefler
BGYS'nizin iki grup gereksinimi karşılaması gerekir:

Standartlar
Bilgi güvenliği veya BGYS hedefleriniz
Bu güvenlik hedeflerini belirlemeli ve bunlara nasıl ulaşacağınızı planlamalısınız.

Ayrıca bunları belgelemeli, iletmeli ve izlemelisiniz.

Yönetim çerçevesi, hedeflerinize ulaşmak için izlemeniz gereken süreçleri açıklar.

Bu süreçler şunları içerir:

- Aktivitelerin takvimi
- BGYS hesap verebilirliğini iddia etmek,
- Sürekli iyileştirme döngüsünü desteklemek için düzenli denetim,

Sürekli iyileştirmenin, hızla değişen tehdit ortamını yansıtan temel bir ISO 27001 gerekliliği olduğunu unutmayın. Güvende kalabilmek için kuruluşların buna ayak uydurması ve tedbirlerini buna göre ayarlaması gerekiyor.

Risk değerlendirmesi Standardın ve her türlü etkili BGYS'nin temelidir. Sonuçta, risklerin ne olduğunu bilmiyorsanız risklerinizi nasıl ele alabilirsiniz?

Bununla birlikte, ISO 27001 spesifik bir risk değerlendirme metodolojisi öngörmemektedir. Sadece uygun bir süreci “tanımlamanızı ve uygulamanızı” bekler.

Bu süreç, risk kabul kriterlerinin yanı sıra bilgi güvenliği risk değerlendirmelerini gerçekleştirme kriterlerini de oluşturmalı ve sürdürmelidir.

Ayrıca bu değerlendirmelerin "tutarlı, geçerli ve karşılaştırılabilir sonuçlar" üretmesini sağlamalısınız.

ISO 27001'in 7.2 ve 7.3 numaralı maddeleri “yeterlilik” ve “farkındalık” gerektirmektedir.

Yetkinlik
BGYS'nizin bakımını yapan kişilerin iş için doğru becerilere sahip olması gerekir.

Bu beceriler eksikse, bunları edinmek için adımlar atmalısınız. Bu, "uygun eğitim, öğretim veya deneyim" yoluyla yapılabilir.

Farkındalık
Tüm personel ve yükleniciler aşağıdakilerin farkında olmalıdır:

BGYS'niz ve faydaları
Bilgi güvenliği politikanız
BGYS gerekliliklerini karşılamamanın sonuçları

ISO 27001 gereklilikleri bir yana, dikkatli personele sahip olmak yalnızca veri ihlallerini ve bunlarla birlikte gelen zararları önlemeye yardımcı olacaktır.

Personel farkındalığı eğitimini kullanıma sunmak, güvenliğinizi artırmanın ve Standardın gerekliliklerini karşılamanın uygun maliyetli bir yoludur.

Standart sürekli olarak “belgelenmiş bilgiye” atıfta bulunmaktadır. Bu, ISO 27001'in gerektirdiği belgelerin belirli gereksinimlere tabi olduğu anlamına gelir:

Standartta belirtilenler
BGYS'nin etkili olması için gerekli olanlar
Bunlardan ilki, kendi kendini açıklayan niteliktedir; ISO 27001'in özellikle belgelenmiş bilgi gerektirdiği durumlarda, bunu üretmelisiniz. 

İkincisi ise kuruluşunuzun kararına bağlıdır. BGYS'nizin hangi ek belgelere ihtiyaç duyduğunu yalnızca siz belirleyebilirsiniz, ancak şunu unutmayın:

Bir denetimde kararlarınızı gerekçelendirmeniz gerekecek
SoA ve risk tedavi planı gibi temel BGYS belgelerini üretmelisiniz.

Herhangi bir BGYS temel unsuru onu sürekli olarak iyileştirmektir.

Sürekli iyileştirme, yatırımınız için daha iyi sonuçlar elde etmek anlamına gelir. Bu genellikle iki şeyden biri anlamına gelir:

Daha az para harcayarak aynı sonuçları elde etmek,
Aynı miktarda para harcayarak daha iyi sonuçlar elde etmek,

Temel olarak hedeflerinize bakmalı ve performansınızı onlara göre ölçmelisiniz. Daha sonra kendinize BGYS'nizin bunları ne kadar iyi karşıladığını sorun ve yetersiz kaldığı yerlerde değişiklikler (yani iyileştirmeler) yapın.

BGYS'nizi etkili bir şekilde çalıştırdığınızdan ve sürdürdüğünüzden emin olmak için düzenli iç denetimler yapmalısınız.

ISO 27001, denetimi “denetim kanıtlarının elde edilmesine ve denetim kriterlerinin ne ölçüde yerine getirildiğini belirlemek amacıyla objektif olarak değerlendirilmesine yönelik sistematik, bağımsız ve belgelenmiş bir süreç” olarak tanımlar.

ISO 27001, denetim sürecini belgelenmiş bilgi olarak ele almanızı açıkça gerektirmese de, tanım bunu yapmanız gerektiğini ima eder. Ayrıca denetimler mutlaka 'BGYS'nin etkinliği için gereklidir.'

ISO 27001 ayrıca bir denetim programı geliştirmenizi de gerektirir. Bu, BGYS'nin tüm gerekliliklerini (yani Standardın gerekliliklerini ve varsa ekstra gereklilikleri) kapsamalıdır.

Sertifikasyon denetimi, iç denetime benzer bir yaklaşımı benimser ancak ulusal akreditasyon kurumu tarafından akredite edilmiş bağımsız bir kayıt kuruluşu tarafından yürütülür.

Denetçi BGYS'nin uygulandığına, işlevsel olduğuna ve etkili bir şekilde çalıştığına dair kanıt arayacaktır. Bu muhtemelen aşağıdaki gibi kanıtların incelenmesini içerecektir:

İç denetim raporları
İlkeler ve prosedürler
Bilgi güvenliği kontrolleri
İzleme ve ölçüm sonuçları
Bilgi güvenliği hedefleri ve politikası
Sertifikasyon genellikle iki aşamalı bir süreçtir.

Düzeltici eylem prosedürleriniz aracılığıyla not ettiğiniz küçük sorunları genellikle çözebilirsiniz. Ancak tespit edilen herhangi bir önemli uygunsuzluk, muhtemelen siz bu sorunları denetçiyi tatmin edecek şekilde çözene kadar belgelendirme kuruluşunun belgelendirmeyi reddetmesiyle sonuçlanacaktır.

Pratik siber güvenlik bilgi birikimimiz ve kanıtlanmış yönetim sistemi danışmanlığı uzmanlığımızın benzersiz karışımından yararlanan ekibimiz, işletmeniz nerede olursa olsun, ISO 27001 uyumlu bir BGYS'yi hızlı ve sorunsuz bir şekilde uygulamak için sizinle birlikte çalışacaktır.

Doğrudan Fiyatlandırma
Fiyatlandırmamız ve tekliflerimiz tamamen şeffaf olduğundan herhangi bir sürprizle karşılaşmazsınız.

Uzman Tavsiyesi
Gerekli bilgi güvenliği yatırımını güvence altına almanıza olanak tanıyan bir iş senaryosu geliştirmenize yardımcı olacak önemli girdiler alırsınız.

Uyumluluğa Kanıtlanmış Yaklaşım
Kuruluşunuzun büyüklüğü veya niteliği ne olursa olsun, uluslararası standartlara uygunluğu değerlendirme konusunda kanıtlanmış ve pragmatik bir yaklaşımımız var.

Kuruluş İçinde Kontrolü Elinizde Tutun
Sertifikasyonun ardından size BGYS'nizi nasıl sürdüreceğinizi öğrettiğimiz için kontrolünüzü elinizde tutabilirsiniz.

%100 Sertifika Garantisi
Danışmanlarımızın tavsiyelerine uyarsanız, %100 başarılı sertifikasyon garantisinden emin olabilirsiniz.