Fabrikanıza ISO 27001 belgesi almak için ISO 27001 danışmanlık firmasından danışmanlık eğitim hizmeti almanız İSO 27001 BGYS standardının şartlarını uygun bir çerçevede yerine getirmek, sistemi hızlı kurmak ve ISO 27001 standart gereklerini uyarlamak için gereklidir.
Hiçbir standart kendisinin kurulması için danışmanlık alınması gerekliliğini bir zorunluluk olarak ortaya koymaz. Fakat ISO 27001 2013 BGYS Standardına göre sistem kurmak kolay bir iş değildir. Bu konuda profesyonel olan İSO 27001 danışmanlık şirketlerinden hizmet almak çok akıllıca bir harekettir. Çünkü Bilgi Güvenliği Yönetim Sistemi (BGYS) hususunda iyi bir İSO 27001 danışmanlık şirketi ise kuruluşunuzu ISO 27001 standardının zorunlu olmadığız halde uygulamaya maruz bırakılacağınız birçok maddesi ile ilgili maliyetten kurtarabilir veya sisteminizin daha kısa sürede ve etkin bir biçimde işlemesini sağlayabilir. ISO 27001 Danışmanlık firmasına ISO 27001 2013 bilgi güvenliği sistemini kurma için ödeyeceğiniz ücret sizin zorunlu olmadığınız halde veya riski üstlenebileceğiniz durumlar için harcayacağız ücret ve zamanın yanında çok küçük meblağlara tekabül etmektedir.
Örneğin:
Örneğin ISO 27001 2013 Bilgi Güvenliği Yönetim Sistemi kurarken yangın da bilgilerinizin bütünlüğü ve ulaşılabilirliği ile ilgili risklerinizin olduğunu varsayalım mevcutta da bir manuel şekilde işleyen bir yangın söndürme sisteminizin olduğunun düşünelim size ISO 27001 2013 BGYS‘Nin bir şartı olarak otomatik yangın sistemi oluşturmanız gerektiği söylenebilir. Halbuki bazı riskler vardır ki üst yönetim bu konuda riski üstlenebilir ve riskin getirdiği tehlikelere katlanabilir. Riski üstlenme ve katlanma maliyetleri otomatik yangın sistemini kurmaktan daha az maliyet içerebilir. Bu tür maliyetleri azaltmak profesyonel bir İSO 27001 Danışmanlık firması ile çalışmaktan geçer.
ICTSERT olarak ISO 27001 Belgesi almak isteyen firmalara kurumlara ISO 27001 Bilgi Güvenliği Yönetim Sistemin kurulumu için eğitim danışmanlık hizmetleri vermekteyiz ve ISO 27001 Belgesi alacak firmanın ISO 27001 Belgelendirme denetimlerinden başarılı şekilde geçmesini sağlayarak ISO 27001 Sertifikasının firmaya kazandırılmasını sağlıyoruz.
ISO 27001 Belgesi almak İsteyen Firmalar Ne yapmalı Nereden Başlamalıdır?
İSO 27001 Belgesi almak isteyen firmalar kurumlar ISO 27001 2013 Belgesi alacak Firmanın Üst yönetimin veya yönetim kurulunun ISO 27001 2013 bilgi güvenliği sisteminin kurulması için karar alması gerekmektedir.
İSO 27001 Belgesi almak isteyen şirketlar kurumlar ISO 27001 Belgesinin alınmasında bütün süreci yöneten bir ISO 27001 Danışmanlık firması ile anlaşmalı ve ISO 27001 2013 Bilgi Güvenliği Yönetim Sistemi Danışmanlık Eğitim Hizmeti satın almalıdır.
ISO 27001 Danışmanlık firması seçiminde dikkat edilmesi gereken en önemli husus ise en ucuz fiyatı veren değil size daha az maliyette sistem kurmanızı sağlayacak referansları güçlü bir İSO 27001 danışmanlık firması firmaları ile çalışmaktır. İSO 27001 Danışman Firmasının bünyesinde en 1 adet ISO 27001 Baş Denetçi Sertifikasına sahip danışman bulunmalıdır.
İSO 27001 Bilgi Güvenliği Yönetim Sistemi Danışmanlık Firmaları ISO 27001 Belgesi alınmasında Ne tür Hizmetler Verir?
ISO 27001 Danışmanlık firmasına karar verildikten sonra kurumunuz İSO 27001 danışmanlık firması ile ISO 27001 Bilgi Güvenliği Danışmanlık hizmeti alımı anlaşması yapmalıdır. ISO 27001 Danışmanlık hizmeti sözleşmesinde ISO 27001 bilgi güvenliği sistemi kurulum sürecin genel takvimi karşılıklı mutabakatla çıkartılmalı ve karara bağlanmalıdır.
ICTSERT olarak ISO 27001 Belgesi alacak firmalara ISO 27001 Bilgi güvenliği Yönetim Sisteminin kurulumu için yapılacak danışmanlık hizmetlerimiz de aşağıdaki faaliyetler sırası ile yürütülmektedir.
1. ISO 27001 Bilgi Güvenlik Yönetim Sistemi Ekibinin kurulması:
ISO 27001 Danışmanlık Hizmetlerinin başlangıcında ISO 27001 Belgesi alacak firma ISO 27001 Sistem kurulum çalışmalarının içerisinde bulunacak kendi çalışanlarından ve farklı birimlerden oluşan mutlaka bilgi işlem faaliyetleri ile ilgili personellerinde yer alacağı en az 3 en fazla 7 kişilik bir Bilgi Güvenliği Yönetim Sistemi Ekibi oluşturmalıdır. BGYS Ekibi ISO 27001 Danışmanları kendi içinde yaptığı görüşmeler sonucu takvimi ve görev paylaşımını yapacaktır. Eğitimler bu çalışmalar içinde kararlaştırılarak takvime bağlanacaktır.
2. Kurumun ISO 27001 Açısından Mevcut Durum Analizi ve Dokümantasyon Analizinin yapılması:
ISO 27001 Danışmanlarımız Firmada ISO 27001 Bilgi Güvenliği yönetim Sistemi açısından alt yapı mevcut durum ve belgelendirme uygulamalarını gözden geçirir ve eksiklikleri tespit ederek ISO 27001 Mevcut durum Analiz Raporu hazırlayarak kurumun üst yönetimine sunar.
3. ISO 27001 Bilgi Güvenliği Yönetim Sistemi kapsam sınırlarının ve Süreçlerinin Belirlenmesi:
ISO 27001 Danışmanlarımız ile BGYS Ekibi ISO 27001 2013 Bilgi Güvenliği Yönetim Sistemi kapsamı ve sınırları belirler. Belirlenen Kapsam ve sınırlara göre süreçlerin belirlenir. Özellikle ISO 27001 belgelendirme aşamasında kapsam ve sınırlar süreçler denetimin en önemli unsurları olarak karşımıza çıkmaktadır.
4. ISO 27001 Bilgi Güvenliği Yönetim Sistemi Eğitimlerini Verilmesi
ISO 27001 Eğitmenlerimiz tarafından BGYS Ekibine aşağıdaki eğitimler verilir.
ISO 27001 2013 Bilgi Güvenliği Yönetim Sistemi Temel Eğitimi (Standart ve Ek-A Kontrol kriterleri)
ISO 27001 2013 Bilgi Güvenliği Yönetim Sistemi Dokümantasyon Eğitimi
ISO 27001 2013 Risk değerlendirme ve Risk Yaklaşımı Eğitimi
ISO 27001 2013 İç Tetkik Eğitimi
5. BGYS Politikası ve diğer Bilgi Güvenliği politikaların oluşturulması:
Belirlenen kapsam ve sınırlara bağlı olarak kurumun temel Bilgi Güvenliği Yönetim Sistemi Politikası hazırlanır. ISO 27001 Bilgi Güvenliği Yönetim Sistemi Politikası BGYS Ekibi ile karar bağlanır ve Üst yönetim bu politikayı onaylayarak tüm kuruma duyurur. Diğer Bilgi Güvenliği Yönetim Sistemi politikaları sistem kurulumu aşamasında yapılandırılmaktadır.
6. Süreç Varlıklarının Belirlenmesi ve Sınıflandırılması:
Daha önceki belirlenen süreçlerin bilgi güvenliği varlıkları belirlenir ve tüm varlık envanteri çıkartılır. Varlık envanteri çıkartılırken etkileme yapılarak varlıların sınıflandırılması sağlanır. Varlıklar sınıflandırıldıktan sonra puanlama yapılarak kritik varlıkların belirlenmesi sağlanır.
7. Varlıkların Risk Analizi ve Değerlendirmesi Çalışmasının Yapılması Risk Değerlendirme Raporunun ve Bilgi Güvenliği Yönetim Sistemi Politika ve Prosedürlerinin Hazırlanması
Bilgi güvenliği politikalarını temel alan varlıklar üzerinden sistematik bir risk değerlendirme yaklaşımının belirlenerek risk belirleme çalışmaları başlatılır. Tespit edilen risklerin analizi ve derecelendirilmesinin yapılması ve raporlanması yapılır. Risk değerlendirme sonuç raporundan yola çıkılarak uygun risk işleme (risk treatment) yöntemlerinin belirlenir. Risk analizine esas olacak bir penetrasyon test raporu ya kurum içinde ya da bağımsız kuruluşlarca hazırlatılır. Dahili ve harici saldırı senaryoları, felaket yönetimi senaryoları çalışılır. Buna bağlı olarak oluşturulan rapor risk analizi için temel teşkil eder.
Risk analiz raporu üst yönetime sunularak risklerle ilgili kararların verilmesi sağlanır. Üst yönetimin risk üstlenme dokümanından sonra ISO 27001 Bilgi Güvenliği Yönetim Sistemi politika ve prosedürlerinin hazırlanması işlemine geçilir.
8. Risk işleme süreci sonuçlarına uygun İSO 27001 Bilgi Güvenliği Yönetim Sistemi standardının ekinde yer alan Ek-A kontrol Kriterleri’nin seçilmesi ve kontrol hedeflerinin belirlenmesi:
Kapsam, sınırlar, politikalar prosedürler ve risk analizine bağlı olarak seçilen EK-A kontrol kriterleri yapılandırılır.
9. ISO 27001 Uygulanabilirlik Bildirgesinin hazırlanması:
Ek – A kontrol kriterlerinin seçilmesi ve kontrol hedeflerinin belirlenmesinden sonra standardın istediği Uygulanabilirlik bildirgesi hazırlanır.
10. ISO 27001 iç tetkiki ve Yönetimin Gözden Geçirilmesi ve Değerlendirilmesinin yapılması:
En az 45 günlük bir ISO 27001 Bilgi Güvenliği Yönetim Sistemi uygulama süresinden sonra sistemin iç tetkiki gerçekleştirilir. İç tetkik raporları ve diğer konular Yönetimin Gözden Geçirilmesi Toplantısında karar bağlanır.
11. ISO 27001 Belgelendirme Kuruluşuna Müracaatın Yapılması:
ISO 27001 Danışmanlarımız ve BGYS Ekibinin ortak kararı ile seçilen akredite ISO 27001 Belgelendirme kurumlarından fiyat teklifi alınır ve kararlaştırılan firma ile İSO 27001 Belgelendirme sözleşmesi imzalatılır.
12. İSO 27001 Birinci Aşama Belgelendirme Denetiminin Yapılması:
İSO 27001 Birinci Aşama Belgelendirme denetimi Belgelendirme kuruluşu tarafından yapılır ve var ise eksiklikler ve uygunsuzluklar tespit edilir. Yapılan başvuru sonucu İSO 27001 belgelendirme firmasının saptadığı eksikliklerinin ve uygunsuzlukların tamamlanması için verilecek hizmet İSO 27001 danışmanlık hizmeti kapsamındadır. Eksiklikler ve uygunsuzlukların tamamlanması veya hiç eksiklik ve uygunsuzluk bulunmaması durumunda 2. Aşama Belgelendirme Denetimine geçilir.
13.iso 27001 İkinci Aşama Belgelendirme Denetiminin Yapılması:
İSO 27001 İkinci aşama belgelendirme denetimi asıl denetimdir ve sistem bütün yönleri ile ve uygulamaları ile incelenir. Belgelendirme kuruluşu denetçileri tarafından ISO 27001 standardına göre mevcut durum, Gözlem, Tavsiye, uygunsuzluklar tespit edilir. İSO 27001 Danışmanlık firması 1. Aşama denetimde olduğu gibi eksiklikleri ve uygunsuzlukları giderir ve Belgelendirme kuruluşuna yapılan düzeltici faaliyetler gönderilir.
14. ISO 27001 Belgesinin Sertifikasının Basılması:
İSO 27001 Denetimlerinden başarı ile geçmesi durumunda Belgelendirme kuruluşu ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesini firmanıza gönderir.
15. ISO 27001 Danışmanlık Firması Teknik Destek Danışmanlık Hizmeti:
Aslında bu durum ilk başta tekliflerin alınması sözleşmenin yapılması aşamasında karara bağlanmalıdır. ISO 27001 Bilgi Güvenliği Yönetim Sisteminin sürekliliğinin sağlanması ve iyileştirilmesi sistemin tam olarak anlaşılması için İSO 27001 danışman firmanın bir sonraki gözetim denetimine kadar teknik destek danışmanlık hizmeti vermesi gerekir. Bu hizmeti almak tamamen kuruluşunuza bağlıdır.
