top of page

ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ

ISO 27001 Bilgi Güvenliği Yönetim Sistemi herhangi bir kurumun bilgi güvenliğini yönetmeye, yürütmeye ve denetlemeye yardımcı olan süreçler, dokümanlar, teknoloji ve insanlar bütünüdür.

Tüm güvenlik uygulamalarını tek yerden tutarlı ve etkin maliyetli yönetmeye yardımcı olur. 

ISO 27001 Bilgi Güvenliği Yönetim Sistemi düzenli risk değerlendirmeleri üzerine dayanarak, kurumların risk ve tolerans derecelendirmelerine göre güvenlik tehditlerini tanımlamasına ve iyileştirmesine yardımcı olur. 

ISO 27001 üzerine dayalı bilgi güvenlik yönetim sistemi uygulaması tüm kurumu içermektedir. Bu sistem, kapsamın belirlenmesi  aşamasından sertifikasyona kadar geçen süreç, kurumun ve organizasyonun büyüklüğüne ve yapısına bağlı olarak üç aydan bir yıla kadar değişmektedir. 

Sistemin en önemli bileşenleri şunlardır;

  • Fark Analizi: Herhangi bir kurumun mevcut bilgi güvenliği süreçleri ve standardın gereksinimleri arasındaki farklılıkları belirler. Buna ek olarak, bu farklılığın giderilmesi için kaynakların ve yetkinliklerin tanımlanmasını sağlar. 

  • Kapsamın Belirlenmesi: Bu aşama, hangi bilgi varlıklarının korunmasına karar verilmesini gerektirir. Büyük organizasyonlarda bu oldukça güç ve karmaşık bir süreçtir. 

  • Bilgi Güvenlik Politikasının Geliştirilmesi: Politika, kurumun bilgi güvenliği üzerindeki görüşünü yansıtmalı ve yönetim kurulu tarafından onaylanmalıdır. 

  • Risk Değerlendirmesi: Bilgi güvenlik yönetim sisteminin temelidir.​ Şu basamaklardan oluşmaktadır: 

       -  Risk yönetim çatısının oluşturulması

    - Bilgi varlıkları olan bilgi çıktıları, elektronik dosyalar, taşınabilir medya, mobil aygıtlar ve telif hakkı olan materyaller üzerindeki risklerin tanımlanması  ​ 

      - Risk analizi

      - Risk değerlendirmesi 

      - Risk iyileştirme alternatiflerinin seçimi 

  • Kontrol Mekanizmasının Seçimi: Risk değerlendirmesi tamamlandıktan sonra güncel risklerin yönetimi ve azaltılmasına yönelik kontrollerin yapılması

  • Uygulanabilirlik Beyanının Oluşturulması: Bir önceki adımda tanımlanan kontrollerin listesini içerir. Ayrıca bu kontrollerin uygulanıp uygulanmadığını ve sürece dahil edilip edilmediğine ilişkin beyandır. ​

  • Risk İyileştirme Planının Yapılması: Risk değerlendirmesinde tanımlanan her bir riske yönelik iyileştirme adımlarını açıklayan plandır.

  • Dokümantasyonun Hazırlanması 

  • Personel Farkındalığının Kurum Çapında Uygulanması 

  • İç Tetkiklerin Yapılması: Kontrollerin olması gerektiği gibi çalışıp çalışmadığının belirlenmesine yönelik planlanmış aralıklarla düzenlenen iç denetimdir. 

  • Yönetimin Gözden Geçirmelerinin Yürütülmesi 

  • Belgelendirme Firmasının Seçimi

  • Akreditasyona Sahip Sertifikanın Edinilmesi 

bottom of page