BTYÖN Bilgi Güvenliği Danışmanlık hizmeti ile, ISO 27001 BGYS belgesine sahip olurken risklerinizi azaltabilir, iş faydalarınızı arttırabilir ve işinizin sürekliliğini sağlayabilirsiniz. Bilgi güvenliği alanında 10 yılı aşkın tecrübe ile ISO 27001 Bilgi Güvenliği Yönetim Sistemi için danışmanlık hizmeti sağlıyoruz. ISO 27001 BGYS danışmanlık hizmetimiz ile sürdürülebilir bir yönetim sistemi kurabilirsiniz. BTYÖN, çalışan farkındalığını arttırma eğitimlerinden, bütün gerekli araçların kullanımına kadar geniş bir yelpazede ISO 27001 BGYS ile ilgili tüm danışmanlık ihtiyaçlarınızı karşılamaktadır. Bilgi Güvenliği Yönetim Sistemi uygulamasında dayanak noktamız; uluslararası bilgi güvenliği yönetim sistemi standardı olan ISO 27001 standardıdır.
BTYÖN sizinle birlikte ISO 27001 BGYS süreçlerinin tamamını hayata geçirerek, firmanızı ISO 27001 belgelendirme denetimine hazırlayacaktır. Danışmanlık hizmeti, bilgi güvenliği yönetim sistemi kapsamınızın belirlenmesi ile başlayıp firmanızın belgeyi alması ile son bulmaktadır. BTYÖN kendi imkânları ile ISO 27001 BGYS kurmak isteyen işletmeler için eğitim ve çalıştay çözümleri de sunmaktadır. Çalıştaylardı firmanızın ISO 27001 BGYS kurulumunda ihtiyaç duyduğu metodolojiler belirlenmekte ve bu metodolojiler uygulamalı olarak açıklanmaktadır. Çalıştaylar sırasında ayrıca hazırlanması gereken dokümanlar belirlenmekte ve dokümantasyonu hazırlayacak ekibe gerekli bilgilendirme yapılmaktadır.
Birçok firma için bünyesinde bulundurduğu bilgi diğer tüm varlıkları kadar kritiktir. Bilginin güvenliğini sağlamak için genellikle bilgi teknolojileri bölümleri tarafından güvenlik ürünleri veya güvenlik mekanizmaları kullanılarak tedbir alınmaya çalışılmaktadır. Teknolojik önlemlerin bilgi güvenliğini sağlama konusundaki rolü inkâr edilemez ancak bilgi güvenliğine risk temelli olarak yaklaşılmadığı sürece kurum genelinde kabul gören ve uygulanan bir ISO 27001 bilgi güvenliği yönetim sisteminden bahsetmek mümkün değildir.
Yapılan birçok araştırma teknik önlemlerin bilgi güvenliği risklerini ortadan kaldırmakta yetersiz kaldığını, teknik önlemlere ek olarak risk analizi, farkındalık eğitimi ve benzeri birçok çalışma yapılması gerektiğini ortaya koymuştur. Bilgi güvenliğini sağlama sırasında insan faktörü de göz ardı edilmemelidir. Bilgi güvenliğinin önemli olduğu işletmelerde bilgi güvenliği ile ilgili tüm çalışmalar bir yönetim sistemi içerisinde ele alınmalıdır.
BTYÖN bünyesinde bulunan danışmanlar, çalışan sayısı 30 ile 8000 arasında değişen hizmet, telekomünikasyon ve kamu sektöründe faaliyet gösteren ISO 27001 belgesine sahip çok sayıda işletmenin belgelendirme danışmanlık projesini gerçekleştirmiştir. Bilgi güvenliğinin yönetilmesi için gerekli portal altyapısı BTYÖN tarafından ihtiyacınıza göre özelleştirilmekte ve BGYS’nin belgelendirme sonrasında yaşamaya devam etmesi için gerekli altyapı kurulmaktadır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Uygulama Metodolojimiz
ISO 27001 BGYS , kurumun hassas bilgilerini yönetebilmek amacıyla benimsenen sistematik bir yaklaşımdır. Bu sistemin temel amacı hassas bilginin korunmasıdır. Bu sistem çalışanları, iş süreçlerini ve bilgi teknolojileri sistemlerini kapsar.
Bilgi güvenliği yönetimi konusunda en yaygın olarak kullanılan standart, “ISO/IEC 27002 Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri” standardıdır. Bu standart, işletmeler içerisinde bilgi güvenliği yönetimini başlatmak, gerçekleştirmek, sürdürmek ve iyileştirmek için genel prensipleri ve yönlendirici bilgileri ortaya koyar. ISO/IEC 27002 rehber edinilerek kurulan BGYS’ nin belgelendirmesi için “ISO 27001 Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler” standardı kullanılmaktadır. Bu standart, belgelenmiş bir BGYS’ yi kurumun tüm iş riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsamaktadır. İş risklerini karşılamak amacıyla ISO/IEC 27002’te ortaya konan kontrol hedeflerinin kurum içerisinde nasıl uygulanacağı ve denetleneceği ISO/IEC 27001’de belirlenmektedir.
ISO 27001 ve ISO 27002 standartları BGYS konusunda en temel başvuru kaynaklarıdır. Bu iki standart da doğrudan bilgi güvenliği konusunu ele alırlar. Teknik ve teknoloji bağımlı standartlar değildirler. Kurumlar uygulayacağı yöntem ve teknolojileri seçmekte serbesttirler.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı kapsamında BGYS’in kurulumu, gerçeklenmesi, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve tekrar gözden geçirilmesi için PUKÖ (Planla – Uygula – Kontrol et – Önlem al) modeli kullanılmaktadır. PUKÖ modeli bilgi güvenliği gereksinimlerini ve ilgili tarafların beklentilerini girdi olarak alır ve gerekli eylem ve prosesler aracılığıyla, bu gereksinimleri ve beklentileri karşılayacak bilgi güvenliği sonuçlarını üretir. İşletmenizde hayata geçirilecek BGYS projesi kapsamında PUKÖ döngüsü içerisindeki tüm konularda danışmanlık hizmeti sağlanacaktır. İşletmenizin ISO27001 Bilgi Güvenliği Yönetim Sistemi’ni işletebilmesi için gerekli tüm bilgiler BTYÖN tarafından transfer edilecektir.
Üst Yönetim Farkındalığının Sağlanması
Bilgi Güvenliği Yönetim Sistemi ve ISO 27001 standardı için yönetim seviyesinde bilinmesi gereken konular ve yönetim sistemi için üst yönetim yardıma gerekleri detayları ile üst yönetime aktarılır. Sunum süresi yaklaşık 2 saattir. Üst yönetim ile gerçekleştirilecek oturum içerisinde kapsamın belirlenmesi ve politikanın hazırlanması için gerekli bilgiler temin edilir.
BGYS Kapsamının Belirlenmesi
BGYS’nin kapsamı kurumun belli bir kısmı olabileceği gibi, kurumun bütünü de olabilir. Ancak, her iki durumda da kurumun BGYS kapsamını ve sınırlarını eksiksiz ve doğru bir biçimde tanımlaması gerekmektedir. BGYS kapsamı, iç ve dış hususlar, üst yönetimin niyeti ve ilgili tarafların ihtiyaç ve beklentileri dikkate alınarak belirlenir. ISO 27001 standardının bu konuda belli bir yönlendirmesi veya zorlaması söz konusu değildir. Kapsam belirlenirken ISO 27001 BGYS dışında bırakılan varlıklarla ve diğer kurumlarla olan etkileşimleri de dikkate almak gereklidir. Kapsam dışında bırakılanların hangi sebeplerle dışarıda bırakıldıklarını kurumun sağlam gerekçelerle açıklayabilmesi gerekmektedir. Bu adımın sonunda bir kapsam dokümanı yayınlanmalı ve üst yönetim tarafından onaylanmalıdır.
BGYS Politikası
Bu politika, hedefleri ortaya koyan, yönetime yön veren ve harekete geçiren, hangi riskin değerlendirmeye alınacağına ilişkin risk yönetim kapsamı ve kriterini belirleyen bir çerçeve sunar. ISO 27001 BGYS politikasının amacını bulması için yönetim politika içeriğindeki maddelerin uygulamaya geçirileceğine ilişkin kararlılığını çalışanlara hissettirmelidir.
Varlık Yönetimi Yaklaşımı
ISO 27001 BGYS kapsamında korunması gereken varlıkların belirlenmesi, gizlilik, bütünlük ve erişebilirlik açısından değerinin tespit edilmesi için sistematik bir yaklaşım ortaya koyulmalıdır. Bu yaklaşım kullanılarak bilgi varlık envanteri ve her bilgi için varlık değeri belirlenmelidir. Varlık envanterinin güncel tutulması yöntem içerisinde tanımlanmalıdır. İşletmenizin varlık yönetimi yaklaşımı kurumunuzun ihtiyaçlarına göre oluşturulacaktır.
Bilgi Varlık Envanteri Oluşturma
İşletmenizin bilgi varlık envanteri belirlenen yaklaşıma uygun olarak oluşturulmalıdır. BTYÖN varlık envanterinin oluşturulması sırasında ihtiyaç duyulan noktalarda danışmanlık yardımı sağlayacaktır.
Risk Yönetimi Yaklaşımı
ISO 27001 BGYS standardı gereğince bilgi güvenliği politikası temel alınarak sistematik bir risk yönetimi yaklaşımı belirlenmelidir. Kurum kendine uygun bir yaklaşımı seçmekte özgürdür. Seçilen risk yönetimi yaklaşımı kıyaslanabilir ve tekrarlanabilir sonuçlar üretmeyi garanti etmelidir. Bu adımda kabul edilebilecek risk seviyeleri belirlenmeli ve bunlar için ölçütler geliştirilmelidir. Risk yönetimi yaklaşımı risklerin belirlenmesi, seviyelenmesi, öncelikle dirilmesi ve işlenmesi ile ilgili tüm kuralları içerecektir.
Risk Belirleme
ISO 27001 standardına göre korunması gereken varlıkların taşıdığı riskler belirlenen yaklaşım kullanılarak tespit edilmelidir. Daha önce oluşturulmuş olan bilgi varlık envanteri bu çalışmaya girdi oluşturmaktadır. Risk belirleme çalışması kapsamında varlık envanterinde bulunan bilgi varlıklarının sahip oldukları açıklıklar ve bu açıklıkları kullanarak varlığa, dolayısı ile işletmenize zarar verebilecek olan tehditler belirlenecektir. Sonrasında risk yönetimi yaklaşımında belirlenmiş yönteme uygun olarak riskler ortaya koyulacaktır. Açıklıkların belirlenmesi sırasında teknik açıklıkların belirlenmesi çalışması da gerçekleştirilmelidir. Risk belirleme çalışmasına yardım sağlamak amacı ile teknik açıklıkların tespit edilmesi için gerekli analiz faaliyetleri gerçekleştirilmelidir. Bulgular risk yönetimi yaklaşımına uygun olarak belgelenmelidir. İşletmenizin bilgi varlıklarının taşıdığı riskler varlık sahipleri ile görüşmeler yapılarak toplanmalıdır.
Risk İşleme Planı
ISO 27001’in bir şartı olarak belirlenmiş risklerden yola çıkılarak uygun risk işleme (risk treatment) yöntemleri belirlenmelidir. Belli bir risk karşısında dört farklı tavır alınabilir:
1. Uygun kontroller uygulanarak riskin ortadan kaldırılması veya kabul edilebilir seviyeye düşürülmesi
2. Riskin oluşmasına neden olan faktörleri ortadan kaldırarak riskten kaçınılması
3. Riskin sigorta şirketleri veya tedarikçiler gibi kurum dışındaki taraflara aktarılması
4. Kurum politikalarına ve risk kabul ölçütlerine uyması şartıyla riskin objektif bir biçimde ve bilerek kabul edilmesi
Bu çalışma sonucunda belirlenmiş riskler için risk işleme planı oluşturulmalıdır. Risk işleme süreci sonrasında geriye kalan riske artık risk (residual risk) denir. Bunlar kabul edilen riskler veya tamamen ortadan kaldırılamayan riskler olabilir. Kurum üst yönetimi artık riskler için onay vermelidir. Bu adım sonunda artık risk onay belgesi oluşturulmalıdır.
Uygulanabilirlik Bildirgesi
ISO 27001 standardının gereği olarak risklere karşı seçilen kontrolleri içeren bir Uygulanabilirlik Bildirgesi hazırlanmalıdır. Uygulanabilirlik Bildirgesi seçilen kontrollerin neler olduğu ve bunların hangi gerekçelerle seçildiğini anlatmalıdır. ISO 27001 EK-A’dan seçilmeyen kontrollerin neler olduğu ile bunların seçilmeme gerekçeleri de Uygulanabilirlik Bildirgesinde verilmelidir.
ISO27001 BGYS Süreç, Prosedür, Plan Hazırlama ve Devreye Alma
Yapılacak çalışmada bilgi güvenliği yönetim sistemi kapsamında ihtiyaç duyulan süreçler, prosedürler, formlar ve planlar hazırlanmalıdır. Uygulanabilirlik bildirgesinde seçilmiş olan kontrollere yönelik dokümanlar ile ISO 27001 standardının tüm şartlarını karşılayan dokümanlar hazırlanmalıdır. Oluşturulması muhtemel politika ve prosedürlere konu olacak başlıklara örnekler aşağıdaki gibidir.
• İnsan Kaynakları Güvenliği
• Fiziksel ve Çevresel Güvenlik
• Haberleşme ve İşletim Güvenliği
• Erişim Kontrolü
• BT Edinim Bakım ve Geliştirme
• Bilgi Güvenliği Olay Yönetimi
• İş Sürekliliği Planı
• Yasal Uyum
• İç Denetim
• Yönetimin Gözden Geçirmesi
• Doküman Kontrol Prosedürü
• Kayıt Kontrol Prosedürü
• Sürekli İyileştirme
• Kontrol Etkinliği Ölçme
• Düzeltici ve Önleyici Faaliyetler
Kullanıcı eğitimleri ( veya eğitmenin eğitimi eğitimi)
İşletmeniz bünyesinde kurulacak ISO 27001 bilgi güvenliği yönetim sistemi kapsamındaki çalışanlara Bilgi Güvenliği Kullanıcı Farkındalık Eğitimi verilmesi gereklidir. Bunun için işletme kapsamına bağlı olarak sınıf eğitimleri düzenlenebileceği gibi e-öğrenme yöntemleri de kullanılabilmektedir.
İç denetim
ISO 27001 Bilgi güvenliği yönetim sisteminin hayata geçirilmesinin bir parçası olarak bağımsız şekilde iç denetim faaliyeti gerçekleştirilmelidir. Bu kapsamda iç denetim prosedürü, iç denetim programını ve planını, iç denetim kontrol listesi hazırlanır. İç denetim gerçekleştirilerek uygunsuzluklar tespit edilir. Denetimde tespit edilen tüm uygunsuzluklar için kök sebep analizi, düzeltici faaliyet planlama çalışmaları gerçekleştirilir.
Yönetimin BGYS’yi Gözden Geçirmesi
ISO27001 gereğince üst yönetim kurulan Bilgi Güvenliği Yönetim Sistemi’ni periyodik olarak gözden geçirmelidir. Gözden geçirme faaliyeti yönetimin bulunduğu bir toplantı ile gerçekleştirilmektedir. Toplantının girdileri ve muhtemel çıktıları ISO27001 standardında belirtilmektedir. ISO 27001 standardının bir gereği olarak YGG çıktıları belgelenmelidir.
Belgelendirme Sürecine Destek
Yönetimin gözden geçirme çalışmasını takiben ISO 27001 belgelendirme denetimine girilebilir. ISO 27001 belgelendirme denetimi sırasında bir uygunsuzluk çıkması halinde söz konusu uygunsuzluğun giderilmesi için gerekli çalışmalar vakit kaybetmeden gerçekleştirilerek ISO 27001 belgesinin edinilmesi sağlanır.