ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi Başvurusu İçin Gerekli Evraklar Nelerdir?

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi Başvurusu İçin Gerekli Evraklar Nelerdir?

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, Uluslararası Standartlar Örgütü tarafından yayınlanan bir bilgi güvenliği yönetim sistemi standardıdır. ISO 27001 standardını uygulamanın ve belgelendirme yapmanın olası yararları sayısızdır. ISO 27001 standardının uygulanması işletmelerin rakiplere karşı kıyaslama yapabilmelerini ve satıcılara veya müşterilere bilgi teknolojileri güvenliği ile ilgili bilgilerini sunmalarını sağlayabilmektedir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi etkili güvenlik maliyetini yönetimini, yasa ve yönetmeliklere uyumu ve diğer organizasyonlarla birlikte çalışabilirlik düzeyi geliştirilmesine yardımcı olmaktadır. Bilgi teknolojileri bilgi güvenliği sistemi kalite güvencesini iyileştirmektedir. Aynı zamanda çalışanlar, müşteriler ve satıcılar arasında güvenlik bilinici artırabilmektedir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Planlaması

Tüm uyum ve belgelendirme girişimlerinde olduğu gibi kuruluşun büyüklüğü, işinin niteliği, ISO 27001 standardının uygulanmasındaki sürecin olgunluğu ve üst yönetimin taahhüdü esastır. Projenin başarısı için hayati önem taşıyan en önemli bölümler şu şekildedir:

  • İç Denetim: İlk planlama aşamasında, iç denetimden elde edilen girdiler bir uygulama stratejisinin geliştirilmesinde faydalı olacaktır. Bununla birlikte iç denetçilerin erken katılımı yönetim tarafından gözden geçirilmesi gereken belgelendirmenin sonraki aşamalarında yararlı olacaktır.
  • Bilgi Teknolojileri: Bilgi teknolojileri departmanı, kaynakları ve zamanı ISO 27001 girişimleriyle ilgili faaliyetlere ayırmak zorunda kalacaktır. Mevcut bilgi teknolojileri uygunluk girişimlerinin, prosedürlerinin ve politikalarının bir envanteri bu aşamada yararlı olacaktır.

Bir bilgi güvenliği yönetim sisteminin yararlı olması için bilgi güvenliği hedeflerini karşılaması gerekmektedir. Kuruluşların sistemin performansını ölçmesi, izlemesi ve gözden geçirmesi gerekmektedir. Bu gözden geçirme aşaması kontrollerin etkinliğini ve uygulanmasını ölçmek için ölçümleri veya diğer yöntemleri tanımlamayı içerecektir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Başvuru Evrakları

ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurulumu yapılırken çok sayıda belge oluşturulacaktır. Bu belgeler sistemin çalışabilmesi için temel gereksinimlerdir. Bir kuruluş ISO 27001 Bilgi Güvenliği Yönetim Sistemi belgesi almak istediği zaman bu belgeleri belgelendirme kuruluşuna sunmalıdır.

Belgelendirme kuruluşu ISO 27001 Bilgi Güvenliği Yönetim Sistemi belgesi almak isteyen kuruluşunu değerlendirme işlemine bu belgeler üzerinden başlayacaktır. Bir sonraki aşamada ise denetçiler belgeler ile taahhüt edilmiş olan uygulamaların gerçekte nasıl olduğunu kontrol etmek için yerinde denetim gerçekleştireceklerdir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi belgesi almak isteyen kuruluşların belgelendirme kuruluşuna sunması gereken evraklar şu şekildedir:

  • Bilgi Güvenliği Yönetim Sistemi El Kitabı
  • Bilgi Güvenliği Yönetim Sistemi Politikaları
    • Genel Politika
    • Bilgiye Erişim Politikası
    • Şifre Güvenliği Politikası
    • Bilgi Sistemleri Yedekleme Politikası
    • Sunucu Güvenliği Politikası
    • Veri İmha Politikası
    • Personel Güvenlik Politikası
    • Ziyaretçi Kabul Politikası
    • Fiziksel Güvenlik Politikası
    • Bilgi Varlıklarına Yönelik Sorumluluk Politikası
  • Bilgi Güvenliği Yönetim Sistemi Prosedürleri
    • Risk Yönetim Prosedürü
    • Olay İhlal Prosedürü
    • Disiplin Prosedürü
    • İş Sürekliliği Prosedürü
  • Görev Tanımları
  • Bilgi Güvenliği Talimatları
    • Sistem Odası Kullanma Talimatı
    • VPN Güvenliği Talimatı
    • Sunucu Bakım Talimatı
    • Diğer Uygulama Talimatları
  • Formlar

Bu evraklar olmadan bir kuruluşta ISO 27001 Bilgi Güvenliği Yönetim Sistemi belgelendirme çalışmasının başlatılması mümkün değildir. Bu nedenle bir bilgi güvenliği yönetim sistemi planlaması ve kurulumu yapmış olan kuruluşların başvurudan önce bu evrakları hazır bulundurması gerekmektedir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi uygulamaya konulduktan sonra kuruluşların onaylanmış bir belgelendirme kuruluşundan sertifika alması gerekmektedir. Bu belge, paydaşlara bilgi güvenliği yönetim sisteminin etkili olduğunu ve kuruluşun bilgi güvenliğinin önemini anladığını kanıtlamaktadır.

Belgelendirme süreci, uygun kontrollerin uygulanıp uygulanmadığını kontrol etmek için kuruluşun yönetim sistemi evraklarının gözden geçirilmesini içermektedir. Belgelendirme kuruluşu uygulamadaki prosedürleri test etmek için bir saha denetimi yapacaktır.

Bir cevap yazın

KAPAT
Hemen Ara