Age Yazılım ve Bilişim Hizmetleri olarak sizinle birlikte ISO 27001 BGYS süreçlerinin tamamını hayata geçirerek, firmanızı ISO 27001 belgelendirme denetimine hazırlayacaktır. Danışmanlık hizmeti, bilgi güvenliği yönetim sistemi kapsamınızın belirlenmesi ile başlayıp firmanızın belgeyi alması ile son bulmaktadır.Age Yazılım ve Bilişim Hizmetleri kendi imkânları ile ISO 27001 BGYS kurmak isteyen işletmeler için eğitim ve çalıştay çözümleri de sunmaktadır. Çalıştaylarda firmanızın ISO 27001 BGYS kurulumunda ihtiyaç duyduğu metodolojiler belirlenmekte ve bu metodolojiler uygulamalı olarak açıklanmaktadır. Çalıştaylar sırasında ayrıca hazırlanması gereken dokümanlar belirlenmekte ve dokümantasyonu hazırlayacak ekibe gerekli bilgilendirme yapılmaktadır.

Bir çok firma için bünyesinde bulundurduğu bilgi diğer tüm varlıkları kadar kritiktir. Bilginin güvenliğini sağlamak için genellikle bilgi teknolojileri bölümleri tarafından güvenlik ürünleri veya güvenlik mekanizmaları kullanılarak tedbir alınmaya çalışılmaktadır. Teknolojik önlemlerin bilgi güvenliğini sağlama konusundaki rolü inkâr edilemez ancak bilgi güvenliğine risk temelli olarak yaklaşılmadığı sürece kurum genelinde kabul gören ve uygulanan bir ISO 27001 bilgi güvenliği yönetim sisteminden bahsetmek mümkün değildir.

Yapılan birçok araştırma teknik önlemlerin bilgi güvenliği risklerini ortadan kaldırmakta yetersiz kaldığını, teknik önlemlere ek olarak risk analizi, farkındalık eğitimi ve benzeri birçok çalışma yapılması gerektiğini ortaya koymuştur. Bilgi güvenliğini sağlama sırasında insan faktörü de göz ardı edilmemelidir. Bilgi güvenliğinin önemli olduğu işletmelerde bilgi güvenliği ile ilgili tüm çalışmalar bir yönetim sistemi içerisinde ele alınmalıdır.

Age Yazılım ve Bilişim Hizmetleri bünyesinde bulunan danışmanlar faaliyet gösteren ISO 27001 belgesine sahip çok sayıda işletmenin belgelendirme danışmanlık projesini gerçekleştirmiştir. Bilgi güvenliğinin yönetilmesi için gerekli portal altyapısı Age Yazılım ve Bilişim Hizmetleri tarafından ihtiyacınıza göre özelleştirilmekte ve BGYS'nin belgelendirme sonrasında yaşamaya devam etmesi için gerekli altyapı kurulmaktadır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) , kurumun hassas bilgilerini yönetebilmek amacıyla benimsenen sistematik bir yaklaşımdır. Bu sistemin temel amacı hassas bilginin korunmasıdır. Bu sistem çalışanları, iş süreçlerini ve bilgi teknolojileri (BT) sistemlerini kapsar.

Bilgi güvenliği yönetimi konusunda en yaygın olarak kullanılan standart, “ISO/IEC 27002 Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri” standardıdır. Bu standart, işletmeler içerisinde bilgi güvenliği yönetimini başlatmak, gerçekleştirmek, sürdürmek ve iyileştirmek için genel prensipleri ve yönlendirici bilgileri ortaya koyar. ISO/IEC 27002 rehber edinilerek kurulan BGYS’nin belgelendirmesi için “ISO 27001 Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler” standardı kullanılmaktadır. Bu standart, dokümante edilmiş bir BGYS’yi kurumun tüm iş riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsamaktadır. İş risklerini karşılamak amacıyla ISO/IEC 27002’te ortaya konan kontrol hedeflerinin kurum içerisinde nasıl uygulanacağı ve denetleneceği ISO/IEC 27001’de belirlenmektedir.

ISO 27001 ve ISO 27002 standartları BGYS konusunda en temel başvuru kaynaklarıdır. Bu iki standart da doğrudan bilgi güvenliği konusunu ele alırlar. Teknik ve teknoloji bağımlı standartlar değildirler. Kurumlar uygulayacağı yöntem ve teknolojileri seçmekte serbesttirler.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı kapsamında BGYS’in kurulumu, gerçeklenmesi, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve tekrar gözden geçirilmesi için PUKÖ (Planla – Uygula – Kontrol et – Önlem al) modeli kullanılmaktadır. PUKÖ modeli bilgi güvenliği gereksinimlerini ve ilgili tarafların beklentilerini girdi olarak alır ve gerekli eylem ve prosesler aracılığıyla, bu gereksinimleri ve beklentileri karşılayacak bilgi güvenliği sonuçlarını üretir. İşletmenizde hayata geçirilecek BGYS projesi kapsamında PUKÖ döngüsü içerisindeki tüm konularda danışmanlık hizmeti sağlanacaktır. İşletmenizin ISO27001 Bilgi Güvenliği Yönetim Sistemi’ni işletebilmesi için gerekli tüm bilgiler Age Yazılım ve Bilişim Hizmetleri tarafından transfer edilecektir.

Bilgi Güvenliği Yönetim Sistemi ve ISO 27001 standardı için yönetim seviyesinde bilinmesi gereken konular ve yönetim sistemi için üst yönetim destek gerekleri detayları ile üst yönetime aktarılır. Sunum süresi yaklaşık 2 saattir. Üst yönetim ile gerçekleştirilecek oturum içerisinde kapsamın belirlenmesi ve politikanın hazırlanması için gerekli bilgiler temin edilir.

BGYS Kapsamının Belirlenmesi

BGYS’nin kapsamı kurumun belli bir kısmı olabileceği gibi, kurumun bütünü de olabilir. Ancak, her iki durumda da, kurumun BGYS kapsamını ve sınırlarını eksiksiz ve doğru bir biçimde tanımlaması gerekmektedir. BGYS kapsamı, iç ve dış hususlar, üst yönetimin niyeti ve ilgili tarafların ihtiyaç ve beklentileri dikkate alınarak belirlenir. ISO 27001 standardının bu konuda belli bir yönlendirmesi veya zorlaması söz konusu değildir. Kapsam belirlenirken ISO 27001 BGYS dışında bırakılan varlıklarla ve diğer kurumlarla olan etkileşimleri de dikkate almak gereklidir. Kapsam dışında bırakılanların hangi sebeplerle dışarıda bırakıldıklarını kurumun sağlam gerekçelerle açıklayabilmesi gerekmektedir. Bu adımın sonunda bir kapsam dokümanı yayınlanmalı ve üst yönetim tarafından onaylanmalıdır.

Bu politika, hedefleri ortaya koyan, yönetime yön veren ve harekete geçiren, hangi riskin değerlendirmeye alınacağına ilişkin risk yönetim kapsamı ve kriterini belirleyen bir çerçeve sunar. ISO 27001 BGYS politikasının amacını bulması için yönetim politika içeriğindeki maddelerin uygulamaya geçirileceğine ilişkin kararlılığını çalışanlara hissettirmelidir.

ISO 27001 BGYS kapsamında korunması gereken varlıkların belirlenmesi, gizlilik, bütünlük ve erişebilirlik açısından değerinin tespit edilmesi için sistematik bir yaklaşım ortaya koyulmalıdır. Bu yaklaşım kullanılarak bilgi varlık envanteri ve her bilgi için varlık değeri belirlenmelidir. Varlık envanterinin güncel tutulması yöntem içerisinde tanımlanmalıdır. İşletmenizin varlık yönetimi yaklaşımı kurumunuzun ihtiyaçlarına göre oluşturulacaktır.