ISO 27001: 2013 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ DANIŞMANLIĞI
DANIŞMANLIK SÜRECİ
1. Mevcut Durum Analizinin Yapılması (GAP)
Kuruluşun ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi kapsamında mevcut durumunun anlaşılması ve iyileştirme ihtiyaçlarının veya iyileştirmeye açık alanlarının doğru tespit edilmesine yönelik yapılan çalışmaların tamamıdır. GAP Analizi sonucunda yol haritası belirlenerek detaylı rapor yönetime sunulur.
Bilgi Güvenliği Yönetim Sistemi Kapsamında 11 Ana Başlık incelenir.
- Güvenlik Politikası
- Organizasyonel Güvenlik
- Varlık Sınıflandırması ve Denetim
- Personel Güvenliği
- Fiziksel ve Çevresel Güvenlik
- İletişim ve Operasyonel Yönetim
- Erişim Kontrolü
- Sistemlerin Geliştirilmesi ve Sürekliliği
- Olay yönetimi
- İş Sürekliliği Yönetimi
- Uygunluk
2. Proses (Süreç) Etkileşimlerinin Belirlenmesi
İlgili Yasal Düzenleme ve Regülasyonlar dikkate alınarak Proje planı, İş adımları, Zamanlama planı, Roller ve Sorumluluklar belirlenir.
3. BGYS Politikası ve Organizasyon Şemasının Hazırlanması
BGYS Ana Politikasının tanımlanarak, Organizasyon yapısı ve bu yapıda görev alacak BGYS Proje Ekibi belirlenir.
4. Sistem Dokümantasyonunun Hazırlanması
Gerekli dokümantasyon (Politika, Standart, Prosedür, Talimat), vb.) hazırlanır.
5. Riskleri Belirleme
Korunması gereken varlıkları tehdit eden riskler belirlenmelidir. BGYS içerisindeki tüm varlıkların tanımlanması, yani varlık envanterinin çıkartılması gerekir. Bu kapsamda tüm varlıkların sahipleri, türü ve önem derecesinin listesi çıkarılacaktır. Riskler belirlendikten sonra sonuç raporundan yola çıkılarak uygun risk işleme yöntemleri belirlenecektir.
6. Gerekli Eğitimlerin Verilmesi
Bilgi Güvenliği Yönetim Sistemi ve proje aşamalarının tanıtılması ve ilgili personelin bilgilendirilmesi maksadıyla eğitim verilmektedir. Bu kapsamda verilen eğitimler aşağıda tanımlanmıştır.
- ISO 27001:2013 BGYS Temel Eğitimi
- ISO 27001:2013 BGYS Dokümantasyon Eğitimi
- ISO 27001:2013 Risk değerlendirme ve Risk Yaklaşımı Eğitimi
- ISO 27001:2013 İç Denetçi Eğitimi
7. Sistemin Uygulanması
ISO 27001:2013 standart gereklerine uygunluğu doğrulanan dokümantasyona göre uygulamalar hayata geçirilir. Uygulamalar incelenerek aksaklıklar belirlenir ve gerekli düzeltme önerileri değerlendirilerek işletmede düzeltici faaliyetler uygulanarak sistem iyileştirilir.
8. İç Tetkiklerin Yapılması
Sistemin kurulmasını müteakip firma içinde İç Tetkik eğitimi almış ekip tarafından tetkikler yapılır ve sonrasında sonuçlar üst yönetime rapor halinde sunulur.
9. Yönetimin Gözden Geçirme (Y.G.G) Toplantısının Yapılması
Sistemin değerlendirilmesi yapılarak sonuçların yeterliliğini ve etkinliğini değerlendirmek, değişiklik ve diğer gereksinimleri belirlemek amacıyla yapılır.
10. Belgelendirme Başvurusunun Yapılması
Sistem hazır olduğunda ISO 27001:2013 Belgelendirme başvurusu yapılır.