Yazı İçeriği
ISO 27001 Danışmanlığı | ISO 27001 Danışmanlık Hizmeti
ISO 27001 Danışmanlığı, yapmış olduğum işler içerisinde en severek yaptığım işlerin başında gelmektedir. Gerek yeni sektörler görmek gerekse yeni insanlarla tanışmak gerçekten benim için paha biçilmez bir tecrübe kaynağı oluyor.
Bu yazımda ISO 27001 Danışmanlığı süreci içerisinde ne gibi aksiyonlar alıyoruz kısmının detaylarına değineceğim. Şimdiden iyi okumalar.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi danışmanlığı almak isteyen firmalar genel olarak “Biz bu danışmanlık hizmetini alırken neler yapacağız?” ve “Bu ISO 27001 bizim ne işimize yarayacak?” gibi soruları yöneltiyorlar. Bu sorulara özetle cevap verirsem, danışmanlık hizmeti alındıktan sonra ISO 27001 Belgesi olan bir firma, yönetim sistemini standart gereksinimlerine göre yürütebilirse;
Kurum / kuruluş içerisindeki mevcut risklerini daha iyi yönetebilmesi,
İçeriden yada dışarıdan gerçekleşecek olan ihlal olaylarına nasıl müdahale etmesi gerektiği hakkında bilinçlenmesi,
Olası bir felaket anında alacağı aksiyonlar hakkında bilinçlenmiş olması
Değişiklik Yönetimi
Teknik Açıklık yönetimi vb. bir sürü başlıkta ana ve alt proseslerinin işleyişlerinde optimum düzeyde fayda sağlamış olur diyebilirim.
Vermiş olduğum danışmanlık hizmetindeki en temel hedefim; Danışmanlık hizmetimi tamamladıktan sonra hizmeti alan firmanın, tüm süreçlerini ISO 27001 standardına göre kendisinin sürdürebiliyor olmasıdır. Bu yüzden firma içi farkındalığın arttırılması tarafında yoğun çaba sarf etmekteyim.
ISO 27001 Danışmanlığı Hizmeti Kapsamında Neler Var?
Boşluk Analizi
Bu aşamada kuruluş içerisinde ilgili kişi veya kişiler ile görüşme yapıp ISO 27001 Bilgi Güvenliği ile ilgili müşterinin bulunduğu noktanın belirlenmesi işlemini gerçekleştiriyorum. Standarda uyumun %kaç olduğu, eksik olan zorunlu dokümante edilmiş bilgilerin neler olduğu, fiziksel eksiklikler vb. kısımları bu bölümde gerçekleştiriliyor. Bir nevi ana planın hazırlandığı aşama. Firma nerelere para harcayacak aşağı yukarı %60-70 oranında belli oluyor. Boşluk analizi ile ilgili yazmış olduğum makalede bu hizmette neler yaptığımı okuyabilirsiniz. Boşluk analizi hizmetini danışmanlık hizmetinden bağımsız olarak da alabilirsiniz.
[contentcards url=”https://www.burakeksi.com/iso-27001-bosluk-analizi-fark-analizi-gap/” target=”_blank” word_limit=”30″]
BGYS Ekibi ve Temel Eğitim
Boşluk analizi sonrasında kuruluş içerisinde danışmanlık kapsamına dahil departmanlardan birer personel (yönetici olması tercihimdir.) alarak bir BGYS Ekibi oluşturuyoruz. Ekip, danışmanlık ziyaretlerimizde verilen görevlerin yerine getirilmesinden sorumlu oluyor. Üst yönetimin desteğinin tüm şirket içerisinde hissedilmesi için ekip içerisine üst yönetimden de kişileri sokuyoruz. Ekibin tamamına ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardının temel eğitimini veriyoruz. Standardın ana hatlarıyla neler içerdiğini bu eğitimde öğreniyorlar.
Kuruluş Bağlamı
Kuruluşun ve Bağlamının Anlaşılması
Bu adımda kuruluşun kapsamı dahilindeki iç ve dış hususlarını belirliyoruz. ISO 31000 standardını bu konuda kılavuzluk olarak kullanıyoruz.
İlgili Tarafların İhtiyaç ve Beklentilerinin Anlaşılması
İlgili tarafları ve ihtiyaçlarını belirledikten sonra kapsamın tam olarak belirlenmesini sağlıyoruz.
Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi
BGYS’nin kapsamını, kuruluşun tamamını veya kuruluşun bir bölümü ya da sınırları açık bir şekilde çizilmiş bir alt birimi gibi bir parçasını kapsayacak şekilde tanımlamak mümkündür. Örneğin, bir belediye yalnızca bilgi işlem daire başkanlığını kapsama dahil edebilir. (Çok tavsiye etmediğim bir durum.)
Liderlik
Yönetimin Taahhüdü ve Politikanın Oluşturulması
Kurumsal gereksinimler ve firmanın bilgi güvenliği önceliklerine göre BGYS amaçlarını belirleme, sürekli iyileştirmeyi desteklemek, yasal şartlara uymayı taahhüt etmek gibi konuların dokümante edilip üst yönetim tarafından onaylanarak tüm çalışanlara ve ilgili taraflara belirlendiği adımdır.
Görev Tanımlarının Hazırlanması
Öncelikli olarak oluşturduğumuz BGYS Ekibine ait görev ve sorumlulukların belirlenmesini sağlıyoruz. Daha sonra tüm çalışanlar ve 3. Taraflar da dahil olmak üzere herkesin BGYS ile ilgili sorumluluklarını belirliyoruz.
Planlama
Risk ve Fırsatların Belirlenmesi
ISO 31000 ile eş güdümlü bir şekilde ISO 31010 standardı referans alınarak firma içerisinde gerçekleştirilecek olan risk metodolojisinin belirlenmesini sağlıyoruz. Belirlenen metodolojiye göre kuruluş bünyesinde fırsatlar, risk değerlendirme ve risk işleme işlemlerinin nasıl yapılacağı ile ilgili bir eğitim düzenliyoruz. Gerçekleştirilen risk değerlendirmeler ve risk işlemeler neticesinde alınan aksiyonların tamamlanması ve takibi ile ilgili süreci de takip ediyoruz. Tüm aksiyonlar tamamlandıktan sonra oluşan artık risklerin onaylanmasını sağlıyoruz.
Uygulanabilirlik Bildirgesi
Standardın kalbi olarak adlandırdığım bu dokümanda ISO 27001 Standardının Ek-A kısmında bulunan kontrol maddeleri ile ilgili dahil edilme ve hariç bırakılma sebeplerinin neler olduğunu belirtiyoruz.
Hedefler
Bilgi Güvenliği Politikası içerisinde belirlenmiş olan amaçlara Anahtar Performans Göstergeleri (KPI) vererek kuruluş hedeflerinin belirlenmesini sağlıyoruz. Hedefleri belirlerken risk değerlendirme ve risk işlemeden gelen aksiyonları da göz ardı etmiyoruz.
Destek
Yeterlilik ve Farkındalık
Tanımlanmış bir görev verilen tüm personelin, gerekli işlemleri yerine getirmek için yeterliliğe sahip olmasını temin etmesi bakımından, eğitimin ve öğretimin yürütülmesinden yönetim sorumludur. İdeal olarak, yapılan eğitimin ve öğretimin içeriği, tüm personelin, üstlendiği bilgi güvenliği faaliyetlerinin ve BGYS hedeflerine ulaşmaya nasıl katkı sağlayabileceklerinin anlamının ve öneminin farkında olması ve anlamasına destek olmalıdır. Bu çalışmalarda kuruluş içerisinde rol alan (gerektiğinde taşeronlar da dahil) tüm personelin farkındalık eğitimi almalarını sağlıyoruz. Yeterlilik kısmında da personele ait yeterlilik kriterlerinin belirlenmesi ve uygun yeterlilik seviyesinde olmayan kişilerin belirlenen seviyeye getirilmesine yardımcı oluyoruz. Ya da yeni istihdam ile bu pozisyon açığının kapatılabileceği konusunda üst yönetime bilgi veriyoruz.
İletişim
BGYS ile ilgili dahili ve harici iletişim listesinin hazırlanmasını sağlıyoruz.
Dokümantasyon
Doküman oluşturma
Standart gereksinimi istenen yazılı bilgilerin (Yazılı Bilgi standartta toplam 22 yerde geçiyor.) tamamı ile ilgili kayıtların oluşturulmasını sağlıyoruz. Doküman ve kayıtların nasıl yönetileceği (oluşturma, dağıtma, geri alma, revizyon, silme vb.), yasal şartların takibinin nasıl yapılacağı ile ilgili süreçleri geliştiriyoruz.
İşletim
Bu kısımda kuruluşun dış kaynaklı proseslerin tam olarak neler olduğunun belirlenmesi ve o dış kaynaklı proseslerin nasıl yönetilebileceği konusunda tecrübelerimizi aktarıyoruz. Diğer iki madde (8.2 ve 8.3) için detayları Risk ve Fırsatların Belirlenmesi kısmında anlattığımız şekilde gerçekleştiriyoruz.
Performans Değerlendirme
İzleme, Ölçme, Analiz ve Değerlendirme
BGYS’nin belirli gereksinimlerinin tasarımı, yönetimin gözden geçirmesini destekleyen BGYS için güvenliğin izlenmesini ve ölçülmesi programını içerir. Nelerin izlenmesi gerektiği, ne zaman izleneceği, kim tarafından izleneceği, ölçmelerin nasıl yapılacağı, analiz ve değerlendirme kısımlarının ne şekilde olacağı sorularının cevaplarını bu madde içerisinde ele alıyoruz.
İç Tetkik
İç tetkik ile ilgili kuruluş içerisinde bir iç tetkik ekibinin oluşturulmasını sağlıyoruz. Bunun nedeni; yılda en az 1 kez gerçekleştirilmesi gereken iç denetimlerin her yıl dışarıdan bir kişi veya firmaya yaptırılmasının önüne geçilmesidir. Bu kapsamda da firma içerisinden belirlenen kişilere ISO 27001 İç Denetçi Eğitimi vererek başarılı olanları sertifikalandırıyoruz.
[contentcards url=”https://www.bekdanismanlik.com.tr/iso-27001-ic-denetci-egitimi” target=”_blank”]
Yönetim Gözden Geçirmesi
ISO 27001 Danışmanlığı sürecinin son adımı Yönetim Gözden Geçirme maddesidir. Bu maddede standardın 9.3 maddesinde bulunan gereksinimlerin bir sunum haline getirilerek üst yönetimle beraber bir toplantı yapılmasını sağlıyoruz. Sistem kurulumundan bu yana gerçekleşen tüm aksiyonların ve geri bildirimlerin tamamı bu toplantıda görüşülerek kayıt altına alınır.
Sürekli İyileştirme
Kuruluş bünyesinde uygunsuzluk ve iyileştirici faaliyetler ile ilgili dokümantasyonun oluşturulması. Olası bir uygunsuzluk durumunda nasıl aksiyon alınması gerektiği ile ilgili personelin bilgilendirilmesi ve bunların kayıt altına alınmasının detaylarını gerçekleştiriyoruz.
Ek A kontrolleri
Standardın Ek A’sı bizim şirket departmanları ile danışmanlık sürecinde en çok temas halinde olmamızı saylayan maddelerdir. ISO 27001 Danışmanlığı sırasında ağırlıklı olarak üst yönetim, idari işler, insan kaynakları, varsa üretim ve bilgi işlem departmanları ile bu maddeleri tamamlamaya çalışıyoruz. Bu çalışmalarda işe alım, işten çıkarma, iş sürekliliği, olay ihlal yönetimi, değişiklik yönetimi, ağ güvenliği, tedarik zinciri, uyum vb. daha bir çok konuyu detaylı bir biçimde ele alıyoruz. Son kullanıcı odaklı olan maddelerde de gerek eğitim gerekse bildirimlerle farkındalıklarının armasını sağlıyoruz.
Denetim Firmasının Seçimi
ISO 27001 Danışmanlığı hizmetimiz bittikten sonra denetimi gerçekleştirmesi için uygun belgelendirme firmasının seçilmesi konusunda önerilerimizi firmaya sunuyoruz. Gerçekleştirilen denetimler (1. Aşama ve 2. Aşama denetimi) sonucunda bulunan bulgulara aksiyonların alınması konusunda da firmaya hizmet veriyoruz.
Özetle; gerçekleştirmiş olduğumuz ISO 27001 Bilgi Güvenliği Danışmanlığı hizmetimizde müşterilerimize elimizden geldiğince standardın anlaşılmasını ve sürdürülebilirliğin nasıl sağlanacağı hakkında en temel bilgileri aktarmaya çalışıyoruz.
ISO 27001 Danışmanlığı hizmeti almak için iletişim adresimden benimle irtibata geçebilirsiniz.