CTR KURUMSALKATALOGARA

ISO 27001 Bilgi Güvenliği Yönetim Sistemi


ISO 27001 Bilgi Güvenliği Yönetim Sistemiİşletmeler, e-İrsaliye ve e-Fatura gibi uygulamalar sayesinde iş süreçlerinin neredeyse tamamını dijital ortama taşımaktadır. Bilginin elektronik ortamda güvenle saklanabilmesi için sistematik yaklaşım gerekir. Söz konusu yaklaşımı uluslararası geçerliliğe sahip biçimde uygulamak isteyen kurum ve kuruluşlar, ISO 27001 standardı ile yol haritalarını rahatlıkla oluşturabilir.


ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nedir?

ISO 27000 Standart Ailesi, işletmelerin bilgi akışlarını sağladıkları varlıklarını güvence altına almaları amacıyla sistematik bir çerçeve sunan standartlar bütünüdür. Bilgi Güvenliği Yönetim Sistemi'nin temel amacı, adından da kolayca anlaşılabileceği üzere veri gizliliğinin sağlanmasıdır. Bu konuda yön gösterici nitelikte genel kriterler sunan ISO 27001 ayrıca bilginin bütünlüğünü ve erişilebilirliğini sağlamayı mümkün kılar. ISO 27001 süreçleri dahilinde gerçekleştirilen çalışmalar, mevcut bilgi güvenliği risklerinin belirlenmesine yardımcı olur. TSE onaylı bir siber güvenlik firması tarafından gerçekleştirilmesi faydalı sızma testi vb. uygulamalar, belirlenen risklerin tanımlanmasına ve nasıl engellenebileceğine dair yol gösterir. Bilgi güvenliği odaklı yönetim sistemi kapsamında yalnızca teknik önlemler alınmaz. ISO 27001 aynı zamanda idari tedbirlerin hayata geçirilmesini de gerektirir.


ISO 27001 Bilgi Güvenliği Yönetim Sistemi Faydaları Nelerdir?

ISO 27001 avantajları şu şekilde listelenebilir:
1. ISO 27001 ne işe yarar sorusuna, bilginin yalnızca yetkili kişiler tarafından erişilebilir duruma gelmesi yanıtı verilebilir. Standarda uygunluk kapsamında oluşturulan protokoller sayesinde yetkisiz kişiler, kritik bilgilere ulaşamaz.
2. Bilgi güvenliğini sağlamaya yönelik yönetim sistemi; bilgi içeriğinin doğru, güncel, geçerli olmasını büyük oranda garanti altına alır. Gizlilik ilkesinin de etkisiyle yetkisiz kişiler, her bilgiyi değiştirme hakkına sahip olamaz. Gerekli kontrol mekanizmaları oluşturularak kritik bilgilerin yanlışlıkla silinmesinin önüne geçilebilir.
3. ISO 27001 standardı aracılığıyla işletmeler, bilgiye kesintisiz ulaşabilme avantajını tüm departmanlarında deneyimleyebilir. Altyapıda gerçekleştirilen güncellemeler sayesinde kullanıma hazır halde her an ulaşılabilir şekilde saklanır.
4. Bilgi Güvenliği Yönetim Sistemi, yerel ve uluslararası mevzuatlara uygunluğu sağlar. Operasyonel süreçler, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve Kişisel Verilerin Korunması Kanunu (KVKK) başta olmak üzere yasal düzenlemelere uyumlu sürdürülebilir.
5. ISO 27001 başvuru kriterlerini karşılamak isteyen işletmeler, atacakları adımlarla kurumsal verimliliklerini artırabilir. Bilgi güvenliği süreçlerindeki sistematik iyileştirmeler, bilgi kullanımının her adımının izlenebilir ve hızlı olmasını mümkün kılar.
6. Bilgi güvenliğinin uluslararası geçerliliğe sahip kriterlere uygun biçimde sağlanması, iş süreçlerinin kesintisiz hale gelmesini destekler. Operasyonel süreçlerde ihlaller ve sızıntılar nedeniyle kesinti ihtimalinin minimize edilmesi, kurumsal saygınlığın korunmasına yardımcı olur.


ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurulum Süreci

ISO 27001 sistem belgelendirmesi, aşağıda sıralanan aşamaları kapsayan sistematik bir süreçtir:

Durum Analizi: Belgelendirme sürecinin ilk adımı, mevcut durumun analiz edilmesidir. Böylece hedefler ve halihazırdaki durum arasındaki farklar rahatlıkla belirlenebilir. Mevcut durumun analizi ile elde edilen bilgiler ışığında projenin amacı, kapsamı ve hedefleri gerektiği şekilde güncellenir.

Planlama: Durum analizi aracılığıyla belirlenen eksikliklerin giderilmesi için gerekli uygulamalar ve yöntemler planlanır. Planlama aşamasında ayrıca proje bütçesi oluşturulur. Bütçe hazırlanması, proje dahilindeki maliyetlere hazırlıklı olmak açısından önemlidir.

Bilgi Güvenliği Eğitimi: Projenin amaç, kapsam, hedefleri doğrultusunda tüm personele temel bilgi güvenliği eğitimi verilir. Eğitim süreciyle amaçlanan, işletme genelinde bilgi güvenliğinin önemine dair farkındalığın artırılmasıdır.

Envanter Oluşturma: İşletme, sahip olduğu tüm bilgi varlıklarını içeren bir envanter oluşturur. Bu aşamada ilgili varlıklar, önem sırasına göre sınıflandırılır. Böylece hangi bilginin güvenliğinin ne oranda sağlanacağına dair gereksinimler net olarak belirlenebilir.

Risk Yönetimi: Belgelendirme sürecinin bu aşamasında işletme, sahip olduğu verinin gizliliği, bütünlüğü ve erişilebilirliğini zafiyete uğratacak riskleri belirler. Zafiyet yönetimi kapsamında gerçekleştirilen risk analizi aracılığıyla tehditlerin ortaya çıkması halinde oluşturacakları etki hesaplanır. Risk değerlendirmesi sonucunda "Kabul Edilebilir" kategorisine kadarki tüm tehditler için gerekli önlemler alınır.

Acil Durum Yönetimi: Bilgi Güvenliği Yönetim Sistemi uygulanırken beklenmedik durumlar ortaya çıkabilir. Söz konusu durumlarla ilgili acil durum müdahale yöntemleri tanımlanır ve iş sürekliliğinin sağlanmasına yönelik yol haritası oluşturulur.

Dokümantasyon: Bilgi Güvenliği Yönetim Sistemi uygulama esasları, ISO 27001 gereksinimlerine uygun olarak tanımlanır. Bu esaslar; prosedürler, talimatlar ve diğer gerekli belgeleri içerir. Sistematik tanımlama sürecini, onay ve ilgili taraflarla paylaşım takip eder. İç kaynaklı dokümanlar, işletme içinde oluşturulan ve yalnızca iç süreçlere ait olan dokümanlardır. Dış kaynaklı dokümanlar ise işletmenin uyması gereken kuralları içerir ve işletme dışında hazırlanır; işletmenin bilgi güvenliği yönetim sistemine entegre edilir.

Uygulama: İşletme personelinin ve departmanların Bilgi Güvenliği Yönetim Sistemi dokümantasyonuna uygun çalışması sağlanır. Gerekli görülmesi halinde kuralların işletme genelinde tam olarak uygulanması sağlanır.

İç Denetim: İşletmede bilgi güvenliği kurallarının ne seviyede ve tutarlılıkta uygulandığını belirlemek amacıyla iç denetim yapılır. Süreçlerin denetimi, Bilgi Güvenliği Yönetim Sistemi alanında yetkin uzmanlar tarafından gerçekleştirilir. İç denetim esnasında belirlenen uygunsuzluklar için kök neden analiziyle ideal düzeltici faaliyetler hayata geçirilir.

Gözden Geçirme: Üst yönetim, ISO 27001 standardının öngördüğü gündem maddelerini ve yönetim sisteminin etkinliğini gözden geçirir. Bu aşamada tespit edilen eksiklikler için yapılacaklar belirlenir. Alınan kararlar, sistematik biçimde uygulanıp sonuç aşamasına kadar takip edilir.

Dış Denetim: Yönetim sisteminin etkinliğinin ve ISO 27001 kriterlerine uygunluğun değerlendirmesi amacıyla akredite bir belgelendirme kuruluşuna başvurulur. İki aşama halinde gerçekleştirilen denetimler sonrası belirlenen eksiklikler için önlem alınır. Dış denetimden sonra onay alınması durumunda 3 yıl geçerliliğe sahip ISO 27001 belgesi düzenlenir.


ISO 27001 Bilgi Güvenliği Yönetim Sistemi'ni Kimler Uygulayabilir?

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, iş süreçlerini kesintisiz hale getirmek isteyen tüm işletmeler tarafından uygulanabilir bir standarttır. Ancak bazı sektörlerdeki firmaların ISO 27001 belgesi alması kanunen zorunludur. Bunlar:
• Görev sözleşmesi imzalayanlar
• İmtiyaz sözleşmesi imzalayanlar
• Uydu haberleşme hizmeti verenler
• Altyapı işletmeciliği hizmeti verenler
• Sabit telefon hizmeti verenler
• GMPCS mobil telefon hizmeti verenler
• Sanal mobil şebeke hizmeti verenler
• İnternet servis sağlayıcılar
• Hava taşıtlarında GSM 1800 mobil telefon hizmeti verenler
• E-fatura özel entegratör yetkisi almak isteyenler
• Gümrük işleri kolaylaştırma yetkisi almak isteyen ihracatçılar
• Elektronik haberleşme şebekesi sağlayan ve alt yapısını işletenler
• Bilişim sektöründe faaliyet gösteren ve kamu ihalelerine giren yazılım, donanım ve entegratör firmaları


ISO 27001 Sertifika Ücreti

ISO 27001 sertifikası almak için yapılacak harcamalar, işletmenin büyüklüğü, faaliyet gösterdiği sektör, çalışan sayısı, üretim kapasitesi ve bulunduğu bölge gibi çeşitli faktörlere göre değişiklik gösterebilir. Bunun yanı sıra, denetim süreçlerinin süresi ve sıklığı da toplam maliyet üzerinde etkili olabilir.

Genellikle ISO 27001 belgelendirme süreci; başvuru ücreti, denetim masrafları, belge düzenleme ücreti ve süreç içinde karşılaşılabilecek diğer maliyetleri içerir. Ayrıca, işletmenizin danışmanlık hizmetlerine veya ek geliştirme çalışmalarına ihtiyaç duyması halinde, ek maliyetler de ortaya çıkabilir.

Belgelendirme kuruluşları, işletmelere özel fiyat teklifleri sunduğundan, en doğru maliyet bilgisini almak için doğrudan bir belgelendirme kuruluşuyla iletişime geçmek faydalı olacaktır. Böylelikle, işletmenizin gereksinimlerine göre hazırlanmış net bir fiyatlandırma alabilirsiniz.

Ayrıca, ISO 27001 sertifikasını almak sadece belge ücretini ödemekle tamamlanmaz. İşletmenizin yönetim sistemine uyum sağlayabilmesi için bazı süreçleri iyileştirmesi, belirli yatırımlar yapması veya dokümantasyon güncellemeleri gerçekleştirmesi gerekebilir. Bu gibi ek giderler de dikkate alınmalıdır.

Sonuç olarak, ISO 27001 sertifikası için belirlenen ücret işletmelere göre farklılık göstermektedir. En doğru ve kesin maliyet bilgisi için belgelendirme kuruluşlarıyla doğrudan iletişime geçerek işletmenize özel bir fiyat teklifi almanız önerilir.



Sistem Belgelendirme Başvurusu

"Başvurunuzu Tamamlayın, Başarınıza Adım Atın!"

Hizmetlerimiz



Çözümlerimiz Hakkında Daha Fazla Bilgi
Edinmek İsterseniz
Alanında uzman ekibimizle tanışmak, ihtiyaçlarınız için en uygun çözümü birlikte planlamak ve size özel stratejilerimizle işinizi bir adım öne taşımak için bizimle iletişime geçebilirsiniz.

İLETİŞİM FORMU