Danışmanlık hizmetlerim kapsamında ISO 27001 Bilgi Güvenliği Danışmanlığı yapmış olduğum işlerin başında gelmekte. Bu kapsamda da bilgi güvenliği danışmanlığı alacak firmaların da bu yazıyı dikkatlice okumalarını ve almak istedikleri hizmet hakkında nelere dikkat etmeleri gerektiği konusunda kafalarında bir iki ufak ışık yakmaya çalışacağım. Bununla birlikte de vermiş olduğum hizmet ile ilgili neler yaptığıma da değinirim.

  • Öncelikle Bilgi Güvenliği Danışmanlığı alacağınız kişi / kuruluşun yeterlilik kanıtları

ISO 27001 Danışmanlığı alacağınız kişi veya kuruluşun ISO 27001 ile ilgili yeterliliğinin ve tecrübesinin sorgulanması en temel maddemizdir. Bu bağlamda danışmanlık hizmetini üstlenen kişilerden Bilgi Güvenliği ile ilgili almış olduğu eğitimler (ISO 27001 Denetçi / Baş Denetçi Eğitimi, ISO 27001 İç Denetçi Eğitimi, ISO 31000 ve ISO 27002 Bilgisi vb.), varsa daha önce gerçekleştirmiş olduğu eğitim, denetim veya danışmanlık işleri ile ilgili referanslar bu kısımda sorgulayabileceğiniz kriterler arasında yer alabilir.

  • Farklı sektörlerde deneyiminin olması

Bu kısımda da hizmet alacağınız kişinin ISO 27001 ile ilgili içinde bulunduğu faaliyetlerde sektör bilgisinin olması ve farklı farklı sektörlerde Bilgi Güvenliği Danışmanlığı veya diğer hizmetler (eğitim, denetim)

Bu kriterler en kritik 2 kriter olup diğerlerinden aklıma gelenleri başlıklar halinde geçeceğim.

  • Kurum veya kuruluşu amaç ve hedeflerine ulaştırma
  • Sorunları tespit etme, çözümleme ve değerlendirme yetisinin olması
  • Risk Değerlendirme ve risk işleme ile ilgili bilgi sahibi olması
  • İş Sürekliliği yönetimi hakkında bilgi sahibi olması
  • Bilgi güvenliği ürünleri hakkında yeterli bilgi sahibi olması
  • Kuruluşa değer katması ve kullanıcı farkındalığının arttırılması
  • Kurum / kuruluşun rekabet gücünü arttırması
  • Tedarikçi yönetimi hakkında bilgi sahibi olması
  • Annex SL hakkında bilgi sahibi olması vb.

Bunlar daha da çoğaltılabilir.

Peki sen ne yaparsın? Diye sorarsanız

Burak EKŞİ olarak ben ise danışmanlık kapsamında ilk olarak gelen talep doğrultusunda firmayı ziyaret ettikten sonra, kuruluş içerisinde ilgili kişi veya kişiler ile görüşme yapılıp ISO 27001 Bilgi Güvenliği ile ilgili müşterinin bulunduğu noktanın belirlenmesi işlemini gerçekleştiriyorum. Bu işlemiz bir nevi boşluk analizi olarak adlandırabiliriz.

Müşteri ile anlaştığımızı varsayarsak bu aşamadan sonra ISO 27001 sistem kurulumu için ilk aşamada gerçekleştirdiğimiz boşluk analizi önderliğinde öncelikli olarak kuruluşun iç ve dış hususları belirlenerek bir kapsam oluşturulmasını sağlıyorum.  Kapsam oluşmasına müteakip bir bilgi güvenliği ekibinin oluşturulmasını sağlıyoruz. Bu ekip ile işlemlerimizi yürüyoruz.  ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı içerisinde istenilen belli başlı dokümanların hazırlatılması süreçlerine geçiyoruz. Örn: Risk değerlendirme metodolojisi,  risk analizi, risk işleme planı, iş sürekliliği planı, varlık envanteri, etkinlik ölçüm tabloları, prosedürler, politikalar, talimatlar, esaslar vb.)

Kuruluş içerisinde farkındalık eğitimlerinin verilmesi

Risk değerlendirme ve Risk işlemenin gerçekleştirilmesi

Uygulanabilirlik Bildirgesinin hazırlanması gibi…

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı içerisindeki oluşturulması gereken tüm süreçlerin oluşturulup hayata geçirilmesi ve sürekliliğinin sağlanması konusunda destek veriyorum. Bu süreçler başından sonuna yazmaktansa özetle şöyle anlatabiliriz. Firma ile anlaşıp belgelendirme firması tarafından denetim hizmetinin alınması (denetimin gerçekleştirilmesi) işlemi ile sonlandırıyorum.

Tabi şunu her zaman söylüyorum verilen danışmanlık hizmetinin meyvesi alınan ISO 27001 Belgesi değil… Kurum / kuruluş içerisinde sistemin işleyişinin yüzdelik olarak orana vurulduğunda yüksek çıkabilecek bir sonuç ile sürdürülebilmesidir.

Bu sürdürülebilirliğin sağlanması için de insan faktörünün unutulmaması gerekerek kullanıcı farkındalığının ve sisteme olan sadakatinin arttırılmasının sağlanması tarafında elimden geleni yapmaya çalışıyorum.

Benim ile ilgili de detaylı bilgiye Hakkımda sayfamdan iletişime geçmek içinde İletişim sayfamdan ulaşabilirsiniz.

Sonuna kadar okuduğunuz için hepinize teşekkür ediyorum. Yeni bir ISO 27001 makalemizde buluşmak dileğiyle…

Yazar Hakkında

Burak Ekşi

ISO 27001 Bilgi Güvenliği Yönetim Sistemi başta olmak üzere ISO 9001, ISO 14001, ISO 22301 vb. standartlarda danışmanlık, eğitmenlik ve baş denetçi olarak çalışmaktayım. ISO 27001 BGYS standardında Onaylı Baş Denetçi Eğitmeniyim. BEK Danışmanlık ve Eğitim hizmetleri Limited Şirketi'nin kurucusuyum.

Bir Yorum Yap

This site uses Akismet to reduce spam. Learn how your comment data is processed.