ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nasıl Kurulur

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nasıl Kurulur

Uluslararası bilgi güvenliği yönetim sistemi standardı olan ISO 27001 giderek popülerliğini yükselten standartlardan biridir. Bilgi güvenliği ihlalleriyle birlikte artık güvenlik ekipleri zarar verici bir ihlal riskini azaltmak için özel önlemler almak zorunda kalmaktadır. ISO 27001 bu tür riskleri azaltmada etkili bir yol sunar.

 

ISO 27001 Bilgi Güvenliği Yönetim Sistemi ile uyumlu olmak ve sonunda bir belge almak istiyorsanız bu sistemin nasıl kurulacağını merak ediyor olabilirsiniz. Merak ettiklerinizin cevabını ve daha fazlasını aşağıdaki adımlarda bulabilirsiniz.

1. Hazırlık Aşaması

İlk olarak ISO 27001 standardı hakkında bilgi edinmelisiniz. Standart hakkında bilgi edinmek ISO 27001 ve gereklilikleri için iyi bir arka plan oluşturmanızı sağlar. ISO 27001 hakkında kendinizi geliştirmeniz gerekiyorsa yapabileceğiniz daha farklı şeyler de vardır.

 

Bir ISO 27001 sorumlusu atamalısınız. Bir bilgi güvenliği yönetim sistemi uygulama deneyimi olan ve ISO 27001 tescili için gerekli şartlardan anlayan bilgili birisini sorumlu yapmalısınız. Bu konuda dahili çözüm üretemiyorsanız dışarıdan destek almayı düşünebilirsiniz.

 

Üst yönetimin desteğini almalısınız. Hiçbir proje kuruluşun üst yönetiminin desteği olmadan başarılı olamaz. Mevcut tüm bilgi güvenliği düzenlemelerinin ISO 27001 şartlarına göre kapsamlı bir incelemesini içeren bir boşluk analizi iyi bir başlangıç noktasıdır. Kapsamlı bir boşluk analizi ideal olarak öncelikli bir önerilen eylem planını içermelidir.

2. Bağlamın, Kapsamın ve Hedeflerin Belirlenmesi

Proje maliyetleri ve zaman çizelgesi de dahil olmak üzere proje ve bilgi güvenliği yönetim sistemi hedeflerini en baştan belirlemek esastır. Bir danışmanlığın dış desteğini kullanıp kullanamayacağınızı veya gerekli uzmanlığa sahip olup olmadığınızı gözden geçirmelisiniz. Projenin kritik aşamalarında özel bir yönlendiricinin yardımına güvenerek tüm projenin kontrolünü elinizde tutmak isteyebilirsiniz.

 

Bir yönlendiricinin yardımına başvurmak projenizin yolunda kalmasına yardımcı olacaktır. Ayrıca, tüm kuruluşa yayılabilecek bilgi güvenliği yönetim sisteminin kapsamını geliştirmeniz gerekmektedir. Kapsamı tanımlarken faaliyete bağlı bağlamı ve ayrıca hissedarlar veya çalışanlar gibi ilgili tarafların gereksinimlerini dikkate almanız gerekecektir.

 

Bağlam kurumunuzun bilgi güvenliğini etkileyebilecek iç ve dış faktörleri dikkate alır. Bağlamın içerisinde organizasyon kültürü, risk kabul kriterleri, mevcut sistemler ve süreçler gibi unsurlar vardır.

3. Bir Yönetim Yapısı Oluşturmak

Yönetim yapısı, bir kuruluşun ISO 27001 uygulama hedeflerine ulaşmak için izlemesi gereken süreçleri tanımlar. Bu süreçler, bilgi güvenliği yönetim sisteminin hesap verebilirliğini, bir faaliyet takvimini ve sürekli bir gelişim döngüsünü desteklemek için düzenli denetim yapılmasını içerir.

4. Bir Risk Değerlendirmesi Yapmak

ISO 27001 belirli bir risk değerlendirme metodolojisi belirtmez ama risk değerlendirmesinin resmi bir süreç olmasını gerektirir. Bu, sürecin planlanması ve verilerin, analizlerin ve sonuçların kaydedilmesi gerektiği anlamına gelir. Bir risk değerlendirmesi yapmadan önce kuruluşun bilgi güvenliği ile ilgili olarak yasal gereklilikleri ifade eden temel güvenlik kriterleri oluşturulmalıdır.

5. Riskleri Azaltmak İçin Kontroller Uygulamak

İlgili riskler belirlendikten sonra kuruluşun riskleri ele alıp almamaya, sonlandırmaya veya transfer etmeye karar vermesi gerekir. Denetçi belgelendirme denetimi sırasında bunları gözden geçirmek isteyeceğinden risk yanıtlarıyla ilgili tüm kararları belgelendirmek çok önemlidir. Uygulanabilirlik beyanı ve risk işleme planı, risk değerlendirmesinin kanıtı olarak üretilmesi gereken iki zorunlu rapordur.

6. Eğitim Gerçekleştirmek

ISO 27001 standardı kurum genelinde bilgi güvenliği konusunda farkındalığı artırmak için personel bilinçlendirme programlarının başlatılmasını gerektirir. Bu, neredeyse tüm çalışanların çalışma masalarını temizleme ve çalışma yerlerinden ayrılırken bilgisayarlarını kilitleme gibi çalışma şekillerini değiştirmelerini gerektirebilir.

 

Şirket çapında bir personel bilinçlendirme kursu oluşturmalısınız. Bu eğitim kursları sayesinde standardın ardındaki felsefeyi ve çalışanların uyumu sağlamak için ne yapması gerektiğini ortaya koymanın en kolay yoludur.

7. Gerekli Belgeleri Gözden Geçirmek

Bilgi güvenliği yönetim sistemi süreçlerini, politikalarını ve prosedürlerini desteklemek için dokümantasyon gereklidir. Bununla birlikte, politika ve prosedürlerin derlenmesi genellikle oldukça sıkıcı ve zor bir iştir. Bunun için ISO 27001 uzmanları tarafından oluşturulmuş çeşitli şablonları kullanmayı düşünebilirsiniz.

8. Ölçmek, İzlemek ve Gözden Geçirmek

ISO 27001 sürekli gelişim sürecini destekler. Bu, mevcut süreçlerde ve kontrollerde yapılan iyileştirmeleri tespit etmenize olanak sağlar. Aynı zamanda bilgi güvenliği yönetim sistemi performansının etkinlik ve uygunluk açısından sürekli olarak analiz edilmesini ve gözden geçirilmesini gerektirir.

9. İç Denetim Gerçekleştirmek

ISO 27001 Bilgi Güvenliği Yönetim Sistemi iç denetimlerin planlanan aralıklarla gerçekleştirilmesini gerektirir. Ön denetim sürecine ilişkin pratik bir çalışma bilgisi ISO 27001 uyumluluğunu uygulamaktan ve sürdürmekten sorumlu olan kişi için de önemlidir.

10. Belge Denetimleri

Birinci aşama denetimi sırasında denetçi sunduğunuz dokümantasyonun ISO 27001 standardının gerekliliklerini karşılayıp karşılamadığını değerlendirecektir. Değerlendirme sırasında bulduğu uygunsuzlukları belirterek yönetim sisteminin potansiyel iyileştirmelerine katkıda bulunacaktır.

 

Gerekli değişiklikler yapıldıktan sonra kuruluşunuz ikinci aşama denetimi için hazır hale gelir. Belgelendirme denetimi olan ikinci aşama denetimi sırasında denetçi ISO 27001 standardına uyup uymadığınızı belirlemek için kapsamlı bir değerlendirme yapar.

Bir cevap yazın

KAPAT
Call Now ButtonHemen Ara
WhatsApp chat