Bir organizasyonda bilgi güvenliği sistemi kurmak ve bunun sürekliliğini sağlamak için yol gösterici ve en yaygın kullanılan uluslararası standart “ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemleri İçin Gereksinimler” standardıdır. Bu standart, organizasyon içerisinde bilgi güvenliği yönetimini başlatmak, gerçekleştirmek, sürdürmek ve iyileştirmek için genel prensipleri ve yönlendirici bilgileri içerir. ISO 27001 ve uygulanacak kontrol önlemleri için rehber standart ISO 27002’dir. Bu standart süreç ve sistem kurmayla ilgili yol gösterir.
Organizasyonların kendi sektörüne özel güvenlik önlemleri için yöntem belirleme ve uygulama konusunda uluslararası, sektör standartlarına (ISO IEC TR 27019, NIST SP 800, IEC/TS 62443 vs. seri standartları gibi) başvurulur. ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı kapsamında; Bilgi Güvenliği Yönetim Sistemi’nin (BGYS) kurulumu, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve tekrar gözden geçirilmesi için PUKÖ (Planla – Uygula – Kontrol et – Önlem al) modeli uygulanır.
Sahip olunan bilgi, veri, bilgi sistemleri güvenliğinin (donanımsal ve yazılımsal) etkinliğini sağlamak için bir takım politika, prosedür, talimat, raporlama sistemi, çözümleme (analiz) sistemleri gibi araç ve tekniklere ihtiyaç vardır. İşte bu sebeple küresel bilgi güvenliği standardı olan ISO/IEC 27001 çerçevesinde, belgelendirme öncesi standardın öngördüğü birtakım çalışmaların gerçekleştirilmesi gerekmektedir.
Siber Güvenlik ekibimiz öncelikle çeşitli testlerle sistem açıklarınızı belirler. Daha sonra bu açıkların kapanması ve bilgilerinizin güvenilir ortamda saklanması için ISO/IEC 27001 standardına göre güvenlik politikaları, iş prosedürleri ve diğer belgeleri hazırlar. Varlık envanteri hazırlanan bilgi ve deneyim paylaşarak ması ve risk analizi çalışması da bu sürecin diğer adımlarıdır. Sistem kurulduktan sonra PUKÖ (Planla – Uygula – Kontrol et – Önlem) döngüsü kullanarak uygulayacağı yöntemle kurumunuz belgelendirme denetimine hazır hale getirilir. Bu süreçte kurum çalışanlarını PUKÖ sürecine katarak sistemin kurumca işletilmesini sağlamak en büyük amaçlarımızdan biridir.
- Ön hazırlık, saha incelemesi, organizasyon yapısı, varsa mevcut dokümanlar incelenir ve çalışma süreci belirlenir.
- Organizasyonun ISO 27001 BGYS kurulumu için hangi aşamada olduğunun durum tespiti yapılır.
- Çalışma Ekibi oluşturulur, rol ve sorumluluklar belirlenir.
- ISO 27001 Sistem kurulumu ve devamlılığı için gerekli eğitimler verilir.
- ISO 27001 Temel, Dokümantasyon
- İç Denetçilik, Risk Analizi,
- Bilgi Güvenliği Farkındalık Eğitimleri.
- Çalışma yöntemleri belirlenir, Politika, Prosedür, Talimat vs. dokümanlar hazırlanır.
- Organizasyonun yetkili personeli gözetiminde Varlık Envanteri çalışması gerçekleştirilir.
- Bilgi Varlıkları,
- Fiziksel Varlıklar,
- Yazılım Varlıkları,
- Hizmete Dönük Varlıklar (bilgisayar ve iletişim hizmetleri, ısıtma, aydınlatma, güç vb.), personel varlıkları,
- Soyut (itibar ve imaj gibi) varlıklar.
- Sistem açıklarınız referans alınarak, Risk Analizi çalışması gerçekleştirilir.
- ISO 27001 EkA, ISO 27002 ve varsa ilgili mevzuat gereği uygulanması gerekli diğer standartlar ışığında uygulanacak güvenlik önlemleri (kontroller) belirlenerek, Risk İşleme Planı hazırlanır.
- Uygulamalar sonrası varsa artık riskler ve ikincil riskler yeniden değerlendirilir.
- Sistem Etkinlik Ölçümleri yapılır ve İş Sürekliliği Planı gibi diğer ek dokümanlar hazırlanır.
- İyileştirme çalışmaları için gözden geçirme toplantıları ve iç tetkikler yapılır.
- Uygun görülen Düzeltici ve Önleyici Faaliyetler planlanır ve uygulanması sağlanır.
- Uygulanabilirlik Bildirgesi ve Bilgi Güvenliği Yol Haritası belirlenir.
- Kurum ISO 27001 Belgelendirme denetimine hazır hale getirilerek, sertifikasyon alımı sağlanır.