İSO 27001 Belgesi Hizmeti
ISO 27001
Bilgi Güvenliği Yönetim Sistemi Standartı
Etkileneceğinizden şüphemiz yok!
ISO 27000:2017 standardı, ISO (International Standart Organisation) tarafından 22.05.2017 yılında revize edilmiş ve yine bu kurul tarafından yayınlanmıştır. Bilgi güvenliği yönetim sistemi olarak bilinen ISO 27001 belgesi bugün birçok firma için zorunly hale gelmiştir. Özellikle büyük firmalarda bilgi güvenliğinde sızıntıların yaşanmaması ve şirket sırlarının dışarı çıkmaması için büyük önem taşımaktadır. Türkiye anayasasının 6698 sayılı kanun maddesi olan kişisel verilerin korunması kanununa dahil olmak isteyen firmalar ISO 27001 belgesi ile iş yapmak istemektedirler. Aynı şekilde uluslararası ticaret yapan firmalar kendilerine ait bilgileri korumak ve Avrupa'daki GDPR yasasından faydalanmak için yine ISO 27001 belgesine sahip olmak istemektedirler.
ISO 27001 Belgesi Firmalar için Neden Gereklidir?
Firmaların kendi sektörlerinde hareket edebilmelerini sağlayan özel bilgileri vardır. Bu bilgiler sektörden sektöre göre değişse de muhakka her firmanın kendi hamlesini atabilmek için bilgi veri deposu bulunmktadır. Ancak bugün itibariyle siber suçların artması le birlikte rakip firmalar hackerlar kullanarak rakiplerini bilgilerini çalmaktadırlar. Bu bilgileri çalan firmalar rakiplerinin sektördeki hamlelerini önceden bilerek onlardan önce hareket etmektedir. Bilgileri çalınan firmalar ise iflas etmeye mahkum olmaktadırlar. ISO 27001 belgesi ile firmalar kendileriniait bilgilerin çalınmasını önlerler. Bilgilerini garanti altına alan firmalar böylece kendi sektörlerinde ayakta kalmayı garanti ederler.
ISO 27001 belgesi almak isteyen firmalar için öncelikle firmanın ne iş yaptığının tanımı yapılır. Sonrasında bu tanım bağlımında firmanın bilgi verilerinin ne kadar risk altında olduğu analiz edilir. Risk faktörlerinin neler olduğu araştırılır. Örneğin ISO 27001 belgesi alacak olan firma bir forex piyasaların işlem yapan bir firma olabilir. Rakiplerinin müşterilerinin bilgileri çalma riskleri, piyasaya dair elde ettikleri analiz raporlarını çalma riskleri oldukça yüksektir. Bu ve buna benzer daha birçok risk faktörü araştırılır ve bu riskler için alınacak olan önlemler ortaya çıkartılır.
Bilgi verilerinin korunması personelin ve müşterilerinin firmaya olan güvenini artırır. Örneğin bir bankanın sitesinin çökmesi ya da uygulamasını çökmesi müşterileri için büyük bir güven kaybı oluşturur. Ancak ISO 27001 belgesi ile sitelerini ve uygulamalarını garanti altına alan firmalar marka değerlerini ve iş sürekliliğini korumayı başarırlar.
ISO 27001 Belgesi Nasıl Alınır ve Hangi Firmalar Alabilir?
ISO 27001 belgesi almak isteyen firmalar öncelikle risk analizinden geçerler. Sonrasında bu risk analizine bağlı olarak aldıkları önlemlerin neler olduğunu döküman halinde sunarlar. Bu döküman içerisinde firmanın yaptığı işin ne olduğu hangi sektörde olduğu, firmanın büyüklüğü, eleman sayısı, risk faktörlerinin oluştuğu alanlar, önlemlerin neler olduğu ve nasıl organize edildiği gibi detaylar yer almaktadır. Ayrıca iş sürecinin nasıl organize edildiği, acil durum planlarının neler olduğu, bilgi çalınması risklerini nasıl önledikleri gibi detayların belgesi yer almalıdır. Tüm bu detaylar gerçeklik ile eşleştiğinde ise firma ISO 27001 belgesi almaya hak kazanır.
ISO 27001 belgesi büyük ya da küçük çaplı yerel ya da uluslararası fark etmez bütün firmalar için büyk önem taşımaktadır. Bu yüzden bütün sektörlerde yer alan firmalar ISO 27001 belgesi almak için başvuruda bulunabilirler. Gıda sektörü, tkstik sektörü, inşaat sektörü, eğitim ve sağlık sektörü, medya ve haber sektörü, bilişim ve bankacılık sektörü gibi birçok alanda ISO 27001 belgesi kullanılmaktadır.
Yukarıdaki sektörlerin yanı sıra günümüzde ISO 27001 belgesi ile iş yapmak zorunda olan firmaları ise şöyle sıralayabiliriz; İnternet hizmeti sunan firmalar, bilişim ve yazılım sektöründe olan firmalar, gümrük işleri ile uğraşmak zorunda olan ithalat ve ihracat ile uğraşan firmalar, e fatura sistemi ile para kazanan firmalar, elektronik haberleşme ağı oluşturan firmalar, mobil uygulama hizmeti olan firmalar, uydu ve alt yapı hizmetleri veren firmalar, cep telefonu hizmeti veren firmalardır.
ISO 27001 Belgesi Almak için Bilgi Güvenliği Sistemi Nasıl Kurulur?
Firmalar ISO 27001 belgesi almak istedikleri takdirde öncelikle firmalara özel bir bilgi güvenliği sistemi kurulur. Bu sistem her ne kadar firmalara özel olarak tasarlansa da bütün firmalar için aynı işlem basamakları uygulanır. Bu basamaklardan ilki belirme aşamasıdır. Bu aşamada bilginin neler olduğu, bilginin hngi kaynaklar üzerinden aktarıldığı ya da hangi kaynaklarda depolandığı, bilgi ile muhattap olan personelin kimler olduğu ve görev tanımlarının neler olduğu belirlenir. Bu aşama korunması gereken bilgiye ait detayların olduğu ana basamaktır. ISO 27001 belgesi için kurulacak olan bilgi güvenliği sistemindeki ikinci basamak ise planlama aşamasıdır. Bu aşamada bilginin çalınmasına neden olabilecek risk faktörlerinn neler olduğu planlanır ve döküman halinde ortaya konulur. Sonrasında ise üçüncü aşamaya geçilir. Bu aşamada ise firmaya özel olarak tasarlanan risk faktörlerine karşı alınan önlem planlarını uygulama kısmına geçilir. Uygulama kısmına geçildikten sonra uygulama birkaç kez test edilir. Testi geçen firmalar gerekli olan dökümanları teslim ederler ve ISO 27001 belgesi için gerekli olan sertifikaya sahip olurlar. Bu sertifikayı alan firmalar bundan sonrası için belgelerini ellerinde tutmak için sadece sürdürme politikası gütmelidirler. Planlama ve uygulama aşamasındaki basamaklara sadık kalarak bilgi koruma sistemini devreye sokmalıdırlar. Böylece ISO 27001 belgesi ile hizmet veren güvenilir bir frma olacaklardır.
ISO 27001 Belgesi Veren Firmalar
ISO 27001 belgesi veren firmalar ile çalışmak isteyenler öncelikle firmalardan teklif almak için başvuruda bulunmalıdırlar. Firmadan teklif almak için ise hangi sektörde hizmet verdiklerini, firmanın büyüklüğünü, personel sayısını belirtmek zorundadırlar. Sonrası bir kaç firmadan teklif alan marka kendisine en uygun fiyat teklifi veren firma ile başvuru görüşmesi gerçekleştirir. Başvuru görüşmesinde ise belgeyi almak için neler yapması gerektiği firmaya anlatılır. Sürecin nasıl işlediği sertifika için nasıl bir eğitim verildiği anlatılır. Sonrasında belge için gerekli olan döküman ve uygulamaların neler olduğu belirlenir. Firma belirlenen bu döküman ve uygulamaları belirlene plan dahilinde hazırlar ve firmaya sunar. Dökümanların sertifikasyon sürecine uygun olduğunu teyit eden firma aynı zamanda markanın uygulamadaki başarısını d ölçer. Her iki aşamadan da tam not alan markalar ise süreç sonunda ISO 27001 belgesi almaya hak kazanır. Belgeyi veren firmalar belgenin geçerliliği için belirl aralıklar ile döküman ve uygulama teyidi ister. Bu aşamada ISO 27001 belgesi ile hizmet veren firmanın yapması gereken tek şey uygulamadaki aşamaları sürdürme politikasına devam etmektir. Marka bilgi güvenliği için yapması gereken uygulamalara devam ettiği takdirde ISO 27001 belgesi ile uzun soluklu bir hizmet sunar.
ISO 27001 Belgesi Fiyatları ve Maliyeti
ISO 27001 belgesi fiyatı ortalama olarak bütün firmalarda aynıdır. Ancak belgeyi almak için firmanın sarf etmek zorunda olduğu maliyet bilgi güvenliği noktasında ne kadar eksikse o kadar fazla olacaktır. Buna ek olarak büyük bir firma ile orta ölçekli ya da küçük ölçekli bir firmanın ödeyeceği fiyat aynı olmayacaktır. Ayrıca bilgi güvenliği uygulaması esnasında harcayacağı maliyette farklı olacaktır. Büyük çaplı bir firma personel eğitimi için daha fazla ödeme yapmak zorundayken küçük çaplı bir firma personel eğitimi için daha az ödeme yapacaktır. Bu da ISO 27001 belgesi için cepten çıkacak paranın firmadan firmaya değiştiğini göstermektedir.
ISO 27001 Belgesi ile Mobil Bilgi Güvenliği Koruma Talimatları Nelerdir?
ISO 27001 belgesi ile bilgilerini korumak isteyen firmalar en çok cep telefonu ve laptop ile himzet sunan firmalardır. Bu markalar, personel içi iletişim ağı olarak, personel bilgi depolama merkezi olarak, müşteri bilgi depolama merkezi olarak ve müşteri iletişim merkezi olarak mobil cihazları ve uygulamaları kullanırlar. Doğal olarak da ISO 27001 belgesi için mobil bilgi güvenliği koruma risk analizi ve talimatlarına ihtiyaç duyarlar.
Mobil bilgi güvenliği talimatlarına ihtiyaç duyan firmalar öncelikle uygulamayı kullanan müşteri ve personeline parola uygulaması ve kullanıcı adı uygulaması yapmak zorundadır. Bununla birlikte kullanılacak olan parola ve kullanıcı adının düzenli aralıklarla değiştirilmesini talep etmelidir. ISO 27001 belgesi almak isteyen firmaların uygulaması gelen bu küçük adım bilgi güvenliği oluşturmak için büyük bir önlem olarak tanımlanmaktadır. Bununla birlikte mobil verilen muhakka bir yedeğinin ve kopyasının bulunması gerekmektedir. Bu yedeklemeler düzenli aralıklarla yapılarak bilgilerin güncel kalması sağlanmalıdır. Böylece olası bir bilgi silinmesi ya da çalınması durumunda firma elindeki bilgileri kaybetmemiş olacaktır.
ISO 27001 Belgesi Almak İsteyen Büyük ve Küçük Ölçekli Firmalar İnternet Kullanımında Nelere Dikkat Etmelidir?
ISO 27001 belgesi ile bilgi güvenliğini korumak isteyen firmalar öncelikle en büyük hırsızlıkların internet üzerinden yapıldığını bilmelidirler. Bu bağlamda internete bağlanan ve internet üzerinden işlem yapan personelini internetten gelecek olan siber saldırılara karşı eğitmelidir. Böylece yaşanması muhtemel saldırılardan büyük oranda kurtulmuş olacaktır. ISO 27001 belgesi almak isteyen firmaların internet kullanımı esnasında dikkat etmesi gereken temel detay istenmeyen gönderiler için ‘SPAM ileti' ibaresini kullanmasıdır. Ayrıca bu SPAM iletnin ne olduğu hakkında personelini bilgilendirmelidir. Personel ise bu bilgi doğrultusunda gelen SPAM iletilere tıklamadan posta kutusunda silmelidir. Buna ek olarak personelin interneti kulanarak müstehcen içerikler üretmesi, izlemesi,paylaşıp dağıtmasına engel olunmalıdır. Bunun için personel cihazları aralıklarla kontrol edilmelidir ve yasaklı sitlere giriş engellenmelidir. Çünkü yasaklı siteler virüs bulaştırı ve firmaya ait sistemin çökmesine neden olabilir.
Personel cihazları kontrol edilirken çalışanların güvenli olmayan oyun siteleri, bahis siteleri, sohbet ve forum sayfalarında, cinsel içerikli sayfalarda dolaşmaları engellenmelidir. ISO 27001 belgesi almak isteyen firmaların en büyük risk faktörünü personeli oluşturmaktadır. Bu yüzden personelin bilinçsiz internet kullanımı firma tarafından bitirilmelidir.
ISO 27001 Belgesi Almak İsteyen Firmalar Bilgi Güvenliği Oluşturmak için Yedeklemeyi Nasıl Yapmalıdırlar?
ISO 27001 belgesi almak isteyen firmaların dikkat etmesi gereken en önemli detay bigi yedeklemesi yapmaktır. Bilgi yedeklemesi konusunda eksik ya da başarısız bir organizasyon yapan firmalar sertifika alamazlar. Bu yüzden firmalar öncelikle bilgi akışının sağlandığı cihazların neler olduğunu tespit etmelidirler. Bu cihazlar:
- File sunucular
- DC sunucular
- Firewall sunucular
- Excange sunucular
Dört sunucu belirlendikten sonra yedeklenmesi gereken verilen neler olduğu ve nası yedekleme yapılması gerektiği tespit edilmelidir. Kimi veriler saatlik, kimi veriler haftalık, kimi veriler aylık kimi veriler ise yıllık olarak yedeklenmelidir. Bu planlama yapıldıktan sonra ISO 27001 belgesi almak için yapılacak olan bu yedekleme organizasyonun nasıl planlandığı döküman olarak yansıtılmalıdır. Örneğin saatlik yedeklemeler için veriler SQL veri tabanları kullanılır. Bu veri tabanlar her saat başı kendi verilerini otomatik olarak yedeklerler. 24 saat sonunda ise yedekledikleri bilgileri merkez file sunucularına iletirler. Merkez file sunucularında biriken bilgiler ise günlük yedekleme planına dahil edilmelidir.
ISO 27001 belgesi almak için yedekleme planı yapan firmalar günlük yedekleme planını dökümana yansıtırken merkez file sunucusu, merkez dc sunucusu, merkez terminal sunucusu ve merkez excange sunucusu üzerinde yer alan bilgilerin aktarıldığını bildirmek zorundadır. Bu sunucular içerisinde günlük yedekleme listesinde yer alabilecek bilgiler ise şunlardır:
- Şirkete ait genel, özel ve ortak kullanım dosyaları
- BIM döküman klasörü ve BIM kullanıcı arşivleri
- Active directory dizinleri
- DHCP ve DNS yedeği
- Sunuculara bağlı olan kullanıcılara ait profiller
Günlük yedekleme aktarımını bu şekilde dökümana aktaran firmalar sonrasıda aylık yedekleme için nasıl bir planlama yapmaları gerektiğini de aktarmalıdırlar. Bu aşamada ise ISO 27001 belgesi almak isteyen firmalar yapılacak olan aylık yedekleme planı için; merkez file sunucuları üzerinden, merkez soft sunucuları üzerinden, merkez exchange sunucuları üzerinden yedekleme yapmalıdırlar. Bu aşamada ise yedeklemeleri gereken veriler;
- Soft sunucu veritabanı, döküman ve arşivi
- Soft sunucu system state, program ve EDI
- Exchange mailbox database ve exchange server
- BIM döküman klasörü ve kullanıcı arşivleri
- Şirkete ait genel, özel ve ortak kullanılan klasörler
ISO 27001 Belgesi Almak İsteyen Firmalar Yıllık Yedekleme Planında Nelere Dikkat Etmelidirler?
Yıllık yedekleme planında bulunması gereken bilgiler aylık olarak yedeklenmesi gereken bilgilerin bulunduğu sunucularda yer almaktadır. Bu yüzden firmalar bilgi güvenliği standartı sağlamak ve ISO 27001 belgesi almak için aylık olarak yedeklenen sunucuları ve verileri yıllık olarakda verilediklerini dosyalarında belirtmek zorundadırlar. Bunu ise bir organizasyon ve plan dahilinde şema şeklinde sunmalıdırlar. Hazırlanan bu dökümanlar sonrasında ISO 27001 belgesi verecek olan firma tarafında incelenir. Yapılan inceleme de dosyalarda herhangi bir sorun ile karşılaşılmadığında uygulama aşamasında firmanın neler yaptığına bakılır. Bu aşama genel olarak döküman analiz kısmı olarak belirtilir. Dosyalarda belirtildiği gibi firma bütün plaları ve basamakları uygulamada da yerine getirdiği takdirde ıso 27001 belgesini almaya hak kazanır. Bu belgesi uzun soluklu kullanmak siteyen firmalar sunmuş oldukları dosyada yer alan bilgi akışı yedekleme planına sadık olarak hareket etmelidirler.
ISO 27001 Belgesi Almak İsteyen Firmalar Personel Alımı Yaparken Nelere Dikkat Etmelidir?
Firmaların bilgi güvenliği sağlamak için dikkat etmeleri gereken en önemli detay personel güvenliğidir. Bilgi hırsızlığının ya da casusluğunun yapıldığı firmalarda personeller kimi zaman rakip firmalar için hizmet veriyor olabilir. Böyle bir durumda ISO 27001 belgesi verecek olan firmalar personel alımı esnasında firmanın uyması gereken güvenlik planlarının neler olduğunun altını çizmektedir. Bu talimatlar dahilinde bir personel alımı gerçekleştiren firmalar hem personelden gelecek olan zararın büyük oranda önüne geçmeyi başarır hem de uluslararası standartlara uygun bir işe alım gerçekleştirdiği için ISO 27001 belgesi almaya hak kazanır.
Personel alımı esnasında firmalar öncelikle alınacak olan personelin ihtiyaç açığı gerçekleşmesi ile işe alımını sağlarlar. Sonrasında ise başvuru süreci meydana gelir. Başvuru sürecinden sonra mülakat süreci başlar. Mülakat sürecinde ilk görüşme formuna mesleki yetkinliğe uygun olup olmadığına, bir önceki iş yerinden referans bilgilerine, kişisel davranış ve zihinsel yeterliliğine, organizasyon uyum yeteneğine ve sağlık durumuna bakılır. Sonrasında işe alımı uygun görülen kişinin işe alım süreci ve deneme süreci başlatılır. ISO 270001 belgesi almak isteyen firmaların bilgi güvenliği korumak amacıyla yeni işe bağlayacak olan personele deneme süresi oluşturması çok önemlidir. Böylece personelin yeterlilik ve yetkinliğine bakılır. Ayrıca bilgi güvenliğini tehidt ettiği faetk edildiğinde sisteme girmesi rahatlıkla engellenebilir.
ISO 27001 Belgesi için Oluşturulan Bilgi Güvenliği Politikaları Nelerdir?
ISO 27001 belgesi için oluşturulan bilgi güvenliği politikalarının ilki Türkiye yasalarına ve Avrupa insan hakları yasalarına uygunluktur. Bu yüzden belge için istenilen talimatlar oluşturulurken hem Türkiye anayasası hem de insan hakları anayasası dikkate alınarak bir prosedür oluşturulur. Bunlara ek olarak oluşturulacak olan politikalar her yıl sektördeki gelişmeleri yakından takip ederek oluşturulur. Böylece ISO 27001 belgesi ile hizmet vermek isteyen firmaları bekleyen risk faktörlerindeki değişimler yakından takip edilir. Her yıl düzenli olarak belgeyi alan firmalar denetlenir ve rapora uygun bir sistemleri olup olmadığı araştırılır. Bunlara ek olarak her yıl yapılan bu denetmele yeni risk faktörlerinden habersiz olan firmaların uygulamalarına yeni detaylar katmasını sağlar. Böylece yenilikle ve yeniliklerin getireceği risklere karşı önlemlerini alan firmalar sektör içerisinde güvenli adımlarını atmaya devam eder.
ISO 27001 Belgesi ile Hizmet Veren Bir Firmayla Anlaşan Müşteriler Hangi Avantajları Elde Ederler?
ISO 27001 belgesi ile hizmet veren bir firmayla anlaşan müşteriler öncelikle kendi kişisel bilgilerini koruma altına almış olurlar. Kendi kişisel bilgilerinin yanı sıra kendi şirket bilgileri ve verilerini de koruma altına almış olurlar. Bunlara ek olarak hesap bilgilerini de koruma altına alırlar ve siber hırsızlık vakaları ile uğraşmak zorunda kalmazlar. ISO 27001 belgesi ile iş yapan firmalar hem Türkiye'ye anayasasına uygun olarak hem de uluslararası anayasaya uygun olarak iş yaparlar. Böylece bir bilgi hırsızlığı ya da siber hırsızlık yaşansa bile müşteriler haklarını arayabiirler.ISO 27001 belgesi ile iş yapan birçok firmaya sigorta şirketleri geniş olanaklarının olduğu sigorta paketleri sunmaktadırlar. Böylece müşteriler sigorta kapsamında yaşadıkları zararı geri alabilmektedirler.
ISO 27001 belgesine sahip bir yazılım firması ile anlaşan müşteriler yazılımlarının küçük ve büyük çaplı sier saldırılar karşısında silinmeyeceklerinden emin olurlar. Böylece hem bilgilerinin güvenliğinden emin olurlar hem de iş akışının aksamayacağından emin olurlar. Bu tıpkı elektrikler kesildiğinde sisteme jenaratörün girmesi gibi iş yerindeki akışon devam etmesini sağlar. Ayrıca veriler sürekli olarak yedeklendiği için hiçbir verinin kaybolma ya da silinme ihtimali bulunmamaktadır. ISO 27001 belgesi ile iş yapan firmalar bu risk faktörlerini çok daha önceden analiz ettikleri için hem önleyici planlar hem de acil durum eylem planları yapmala mükelleftirler. Üstelik bu mükellefiyetleri sadece kağıt üzerinde kalmaz. Düzenli olarak uygulamak zorundadırlar. Bu yüzden anlaşmalı olan müşterilerde güvenlik planına dahil edilirler. Müşterilerin çalışanları, personelin kullandığı elekrtronik araçlar sıkı bir güvenlik politikasıyla himzt sunarlar.
Iso 27001 Belgesi ile İş Yapan Firmalar Düzeltici ve Önleyici Planları Nasıl Düzenlemektedirler?
ISO 27001 belgesi ile iş yapacak olan firmalar müşterilerine sunacakları iş ve hizmetlerde muhakkak düzeltici ve önleyici planlar oluşturmak zorundadırlar. Oluşturmak zorunda oldukları bu planları ise amaç, kapsam, sorumluluk, ilgili dökümanlar ve uygulama ile yapabilirler.
Düzeltici ve önleyici planlar yapmak için amaçlarını belirlerken öncelikle işin tanımı yapılmalıdır. Bu tanım bir internet ağı sistemi de olabilir bir bankacılık sistemide olabilir. ISO 27001 belgesi için iş bütün ayrıntıları ile tanımlanmalıdır. Sonrasında ise bu işin işleyiş sürecinde olan personeller, ekipmanlar, risk faktörleri, acil durumlar geniş bir kapsam dahilinde incelenmelidir. Sonrasında meydana gelebilecek bu risk faktörlerinin sorumluluklarının hangi alanlarda, hangi personelde ve hangi ekipmanda olduğu belirlenmelidir. Bu sorumlulukların hangi bölümlerde olduğu belirlendikten sonra ise konu ile ilgili dökümanlar hazırlanmalıdır. Hazırlana dökümanlardan geçen uygulama planları ve detaylar ise bire bir uygulanmalıdır.
ISO 27001 Belgesi Alan Firmalar Yıllık Yeniden Gözden Geçirme Uygulamasında Nelere Dikkat Etmelidirler?
ISO 27001 Belgesi alan firmalar belgenin geçerliliğini korumak için her yıl rutin bir kontrol ve toplantı planı yapmak zorundadırlar. Yapılacak olan bu uygulama ve plan dahilinde öncelikle iç denetim raporları incelenmelidir. İç denetim raporlarında bir eksiklik var ise bu raporlar tamamlanmalıdır. Ayrıca ISO 27001 belgesi için yeni dönem risk faktörleri oluşmuş ise bu faktörler iç denetim raporlarında yer almalıdır. Plana yeni olarak eklenen bu iç denetim raporlarının aynı zamanda önleyici ve acil eylem uygulamalarının detayları girilmelidir.
Yapılan toplantı esnasında iç denetim raporları incelendikten sonra yönetimde sorumluluk üstlenme beyanları yenidengözden geçirilmelidir. Var olan bölümler ve pozisyonlar için sorumlu ola pozisyonların neler olduğu, görevli kişilerin kimler olduğu incelenmelidir. Sistemde sorumluluğun olmadığı bir bölüm ve alan var ise bu bölüm ve alan için bir sorumlu pozisyon seçilmelidir. Örneğin bir önceki sene için bir firma haberleşme birimi için bir sorumlu vekil atamış olabilir. Ancak firma küçülmeye gitmeyi tercih etmiş olabilir ve haberleşme birimini başka bir bölüm şefinin sorumluluğuna bağlamış olabilir. Yapılan bu değişiklik muhakkak bilgi güvenliği toplantısında yeniden düzenlenmelidir. ISO 27001 belgesi almak isteyen firmalar büyüme veya küçülmeye giderken bu detaylara dikkat etmek zorundadır.
Bilgi güvenliği yeniden gözden geçirme toplantısında dikkat edilmesi gereken bir diğer detay ise olay ihlal raporlarının gözden geçirilmesidir. Alınan önlemlere rağmen verilen sorumluluklara rağmen ve yapılan görev paylaşımına rağmen ne kadar sıklıkla görev ihlallerinin yapıldığı tespit edilmelidir. Buna ek olarak bu oran fazla bulunduğunda yeniden bir uygulama rapouru çıkartılmalıdır. Firma yetkilileri ve personelleri ise yenilenen bu rapora göre hareket etmelidir. Bir sonraki sene için hala ISO 27001 belgesi ile çalışan bir firma olduklarını ispat etmek istedikleri takdirde olay ihlal raporlarındaki oranları düşürmelidirler.
ISO 27001 Belgesi için Personel Gizlilik Sözleşmesi Nasıl Hazırlanmalıdır?
ISO 27001 belgesi için gerekli oln en temel sözleşmelerden birisi de personel gizlilik sözleşmesidir. Bu sözleşmede firma personelinin bilgileri koruyacağına dair sözleşmeye imza atar. Aynı şekilde personelde firmanın bilgilerinin gizliliğini koruyacağına dair sözleşmeye ıslak imza atmak zorundadır. Böylece taraflar karşılıklı olarak bilgi güvenliğini koruma altına alırlar. Hazırlanacak olan sözleşmede öncelikle tarafların kimler olduğu resmi bilgiler ile girilmelidir. Aksi takdirde ISO 27001 belgesi almak isteyen firmalar belgede tarafların eksik olmasından dolayı kısıntı yaşayabilirler. Tarafların tam olarak kimler olduğu girildikten sonra bilgi gizliliği tanımı yapılmalıdır. Sözleşmede yer alan bu bilgi gizliliği tanımını her iki tarafta okumalıdır ve okuduktan sonra imza atmalıdır. Gizli bilginin tanımı yapıldıktan sonra ifşasının izin verildiği durumların neler olduğu yine sözleşme içerisinde yer almalıdır. Aynı zamanda ifşa için kimlerin yetkili ve sorumlu olduğu da yine sözleşme içerisine yerleştirilmelidir.
ISO 27001 belgesi için personel gizlilik sözleşmesinde yer alması gereken bir diğer madde ise gizlilik hükmünün devir ve süresinin ne kadar olduğudur. Örneğin personelin görevli olduğu süre boyunca ibaresi ya da görevden ayrıldıktan sonra bile ifadesinin sözleşmede geçmesi gerekmektedir. Sözleşmeye uymayan taraflara uygulacanak olan yasal süreç de yine aynı şekilde sözleşme içerisine yerleştirilmelidir. Taraflardan birisinin sözleşmede geçen gizlilik kurallarına uymadığı takdirde yapılacak olan ihtarları neler olacağı da yine sözleşmeye yerleştirilmelidir. Ayrıca gizli bilgi için tarafların nasıl bir önlem ve koruma yapmaları gerektiği de yine sözleşmeye yerleştirilmelidir.Örneğin firma personelinin kimlik bilgileri ücret ya da çıkar karşılığında veya herhangi bir bedel olmaksızın başkalarına veremez. ISO 27001 belgesi için gerekli olan bu kural kolluk güçlerini kapsamaz. Aynı şekilde personelde kurumun ortak kullanım klasörlerinden ya da özel kullanım klasörlerinden bilgileri başkalarına veremez ya da ifşa edemez. Firmanın koymuş olduğu güenlik kurallarına dikkat ederek çalışmak zorundadır. Kendi iş yeri kartını bir başkasına veremez. Aynı şekilde mail adresini, kullanıcı adını ve iş yeri parolalarını başkalarına veremez ve izinsiz devredemez.
Sözleşmeye aynı zamanda gizli bilgi tanımına girmeyen detayların neler olduğuda eklenmelidir. Örneğin firmaya ait kampanya ve indirimler, reklam ve tanıtımlar gizli bilgi kısmına girmez. ISO 27001 belgesi almış bir firmanın personeli iş yerine ait firma tarafından daha önce duyurulmuş bir kampanya ve indirimi kendi özel paylaşım mecralarında paylaşabilir. Bu aşamada gizli bilgi tanımına girmeyen detayların belirtilmei personelin neyi yapıp neyi yapamayacağını bilmesini sağlar. Bu bilgi ise personelin hem kurallar dahilinde hareket etmesini hem de daha rahat iş yapmasını sağlar. Aksi takdirde her bilgi paylaşımı ve ifşası için kurum yetkililerinde haber beklemek personelin iş sürecinin yavaşlamasına neden olacaktır.
Son olarak ise hazırlanan bu belge iki orijinal nüsha halinde hazırlanmalıdır. Her iki orijinal nüshada aynı tarihte, taraflarca ıslak imza ile imzalanmalıdır. Sonrasında her bir nüsha taraflara verilmelidir. Taraflar ise sözleşmenin önemine binaen yıllık denetimler yapılana kadar belgeyi korumakla mükelleftirler.
ISO 27001 Belgesi için Bilgi Güvenliği İhlal Prosedürü Nasıl Oluşturulmalıdır?
İhlal prosedürü öncelikle ihlal tanımının yapılması ile başlamalıdır. İhlal kelimesini TDK daki tanımı ise şöyledir; uygulanması gereken bir işin, prosedürün ya da eylemin gerektiği gibi uygulanmamasıdır. İhlal tanımına giren bütün vakalardan sorumlu ola kişiler ise firma yöneticileri olarak bilinir. Ancak ihlalin gerçekleştirilmesini engelleme görevi firmada bulunan bütün personelin görev sorumluluk tanımında yer almaktadır. ISO 27001 belgesi almak isteyen firmalar bilgi güvenliği ihlal prosedüründe yer alan sorumluluklar kısmına bu iki önem detay muhakkak belirtilmelidir. Aksi takdirde meydana gelen ihlalde kimin yasal olarak sorumlu olduğu tanımlanamaz.
İhlal tanımına girebilecek olan eylemlerin neler olduğu ve bu eylemler için önleyici uygulamaların ve ihlali durdurucu uygulamaların neler olduğu yine rapor içerisine yerleştirilmelidir. Aksi takdirde ihal raporunda olmadığını iddia eden personel yapmış olduu bilgi güvenliği ihlali yüzünden ihtar ve uyarı alamaz ve işten çıkartılamaz. ISO 27001 belgesi için firmaların hazırlamak zorunda oldukları ihlal raporunda yer alacak olan bu maddelerden ilkinde personelin bilim araçlarında yapabilecekleri ihlallet yer almalıdır. Personel kendisine ait olan bilgisayarını, site sayfasını başkalarının rahatlıkla girebileceği şekilde açık bırakmamalıdır. Şifre ve parola güvenliği için kendisine aiat bilgileri başkaları ile paylaşmamalıdır. Aynı şekilde güvenlik kodlarının yazılı olduğu evrakları herkesin ulaşabileceği alanlarda bırakmamalıdır.
ISO 27001 belgesi almak isteyen firmalarda çalışan personeller için hazırlana ihlal listesinde yer alan ikinci bölümde ise satın alma ve bağış sistemi yer almalıdır. Personeller kurumun belirlemiş olduğu miktarlar dışında müşterilerden ya da iş alanındaki diğer kişilerden hediye alamaz. Aynı şekilde kendileri de hediye veremezler. Bununla birlikte firmanın bilgisi dahilinde olmayan para ya da eşya bağışında bulunamazlar. Bunlar aksi takdirde rüşvet olarak kabul edilir ve firmanın bilgi güvenliğini tehdir edebilir. Bu aşamada ISO 27001 belgesi olmak isteyen bir firmanın hediye ve bağış politikasının olması gerekir. Bu politika bilgileri ise bütün personelin uaşabileceği ortak bir klasörde toplanması gerekir.
ISO 27001 belgesi almak isteyen firmalar ihlal prosedürü hazırlarken ayrıca lisansız uygulamaların şirket telefonu ve bilgisayarına indirilmesinin de bir ihlal suçu olduğunu belirtmelidirler. Aksi takdirde lisansız olan uygulamalar firmaya ait bilgilerin çalınmasına ya da sistemin çökmesine neden olabilir. Personel bilgilendirmesinin yanı sıra firma ana sistemden de bu lisassız programların indirilmesini engelleyebilir. Böylece hem uygulama olarak hem de bilgilendirme olarak önelim alan firma bilgi güvenliğini korumuş olur.
ISO 27001 Belgesi Almak İsteyen Firmalar Bilgi Güvenliğini Korumak için Hangi Yasal Süreçleri Devreye Sokmalıdırlar? Bu Süreçte Görevli Olacak Şirket Avukatının Görev Tanımları Nelerdir?
ISO 27001 belgesi almak isteyen firmalar öncelikle şirket avukatı ile yasal süreci takip etmek zorundadırlar. Süreci takip ederken şirket avukatlarının görev ve sorumluluklarının tanımlarını da ISO 27001 belgesi almak için oluşturdukları dosya içerisine yerleştirmelidirler. Öncelikle firma adına çalışacak olan avukatın hukuk mezunu olması gerektiği ibaresi sözleşme içerisinde yer almalıdır. Bununla birlikte mezun olurken stajını tamamlamış bir avukat olması gerekir. Aynı zamanda şirket avukatı uluslarasarı ticaret hukukunada hakim olmak zorundadır. Bu yüzden iyi seviyede İngilizce konuşabilir, okuyabilir ve yazabilir olmalıdır. MS ofice programlarına hakim olmalı ve şirketi temsil kabiliyetine sahip olmalıdır.
ISO 27001 belgesi almak isteyen firmalar yasal süreci takip edecek olan işyeri avukatının yetkinliklerinin neler olması gerektiğini sözleşmeye yerleştirmelidir. Sonrasında ise iş yeri avukatının görev sorumluluklarının neler olduğunu da yine sözleşmeye yerleştirmek zorundadır. Bu aşamada bir şirket avukatını görev sorumluluklarını şu şekilde sıralayabiliriz:
- Şirkete ait bütün hukuki belgelerin takip edilmesi, dosyalanması ve saklanması
- Firmanın müşterilerinden alacaklarının tahsil edilmesini sağlamak ve ödenmemiş borçlar için hukuki süreci başlatmak
- Şirket davalarının takip edilmesi, dava açılması ve duruşmalarda şirketi temsil etmek
- Şirketin her türlü sözleşmelerini oluşturmak ve sözleşme takibi yapmak
- Firmaya ait gizlilik politikalarına ve disiplinlerine uygun davranmak
- Bilgi güvenliği ve güvenlik ihlalleri durumunda gerekli olan mecralara haber vermek ve hukuki süreci başlatmak
ISO 27001 Belgesi için Dökümanların ve Kayıtların Kontrolü Nasıl Yapılmalıdır?
Dökümanların ve kayıtların kontrolü içn öncelikle dökümanların yapısının tanımlanması gerekir. Ayrıca yapılarının adlandırılması ve sorumlu kişiler tarafından bu bilgilerin bilinmesi gerekir. Bu aşamada firma öncelikle döküman kayıt kontrolünde kullandığı kodun ne olduğunu ve bu kodun ne anlama geldiğini yazmalıdır. Genel olarak var olan Kodlar ve tanımlamalarını ise şu şekilde sıralayabiliriz:
KODLAR TANIMLAMALAR
BGEK …….. Bilgi Güvenliği El Kitabı
GT…………. Görev Tanımları
PR………… Prosedürler
PS…………. Prosesler
TL………….. Talimatlar
FR…………. Formlar
PL………….. Planlar
DD…………. Destek Dokümanlar
POL………... Politikalar
ŞM…………. Şemalar
ISO 27001 Belgesi Uygun Olmayan Hizmet ve Ürünler Karşısında Nasıl bir Standart Oluşturulmasını İstemektedir?
SIO 27001 belgesi almak isteyen firmaların dikkat etmesi gereken bir diğer prosedürde uygun olmayan hizmetin sunulması ve uygun olmauan ürünlerin üretülmesidir. Böyle bir durumda firma yine bilgi güvenliği tehdidi ile karşı karşıya kalabilir. Örneğin bir otobüs firması son çıkardığı modelini henüz görücüye çıkartmamış olabilir. Ancak firmanın henüz piyasaya çıkmamış olan bu otobüsü firma içi tanıtım programında yanlışlıkla tanıtılabilir. Böyle bir durumda uygun olmayan hizmet sunumu gerçekleştirilmiş olur. ISO 27001 belgesi almak isteyen firmalar bu tür sorunların yaşanmaması için öncelikle önleyici protokollerin neler olduğu araştırılmalıdır. Bu önleyici politikalardan bölüm yöneticileri sorumlu olmalıdır. Ardından uygulama adımlarının neler olduğu döküman halinde hazırlanmalıdır.
Hazırlanacak olan uygulama dökümanında öncelikle daha önceden belirtilen şartlara uymayan bir hizmet sunumu ya da ürün üretiminde hizmetin ya da sunumun müşteriye ulaşmasının engellenmesi yer almalıdır. Eğer müşteriye ulaşması engellenememiş ise müşteri ile mütabata varılma çalışmaları yapılmalıdır. ISO 27001 belgesi isteyen firmaların bu adımları hazırladıkları prosedürlerinde muhakkak yer vermeleri gerekmektedir. Sonrasında ise meydana gelen istenemeye hizmet uygulaması ya da ürün üretimi kısa sürede hemen halledilebilecek bir konu ise yönetim temsiline bilgi verilerek sorun giderilmelidir. Ancak sorun giderilmeden önce sorun kayıt altına alınmalı ve sorunun nasıl giderildiğide beyanlar içerisinde yer almalıdır.
ISO 27001 Belgesi için Sınıflandırma Nasıl Yapılır? Sınıflandırma Neden Gereklidir?
ISO 27001 belgesi için bilgilerin sınıflandırılması gerekir. Bu sınıflandırmada bilgiler gizli, çok gizli, kuruma özel, kişiye özel, hizmete özel ve yayınlanabilir şeklinde sınıflandırılmalıdır. Böylece personel şirkete ait bilgiler ile karşı karşıya kaldığında nasıl bir prosedür izlemek zorunda olacağını bilecektir. ISO 27001 belgesi almak isteyen firmalar bu sınıflandırmayı yaparken bilgilerin gizlilk durumuna göre kategori oluşturmalıdır.
Çok gizli bilgiler izinsiz olarak açıklanamazlar ve paylaşılamazlar. Bununla birlikte paylaşılacak olan bilgiler ülke bütünlüğüne ve birliğine karşı bir tehdit oluşturabilir. Bu yüzden ülkenin büyük firmalarında çok gizli kategorisinde yer alan bilgiler şifresinin kırılma olasılığı olmayan depolama alanlarında saklanmalıdır. Bilgilerin saklanması, kopyalanması, iletilmesi ve imhası büyük bir güvenlik önlemi içerisinde yapılmalıdır. ISO 27001 belgesi olan firmalar çok gizli bilgiler için bu standartları ihlal ettikleri takdirde hem belgelerini kaybederler hem de büyük bir skandal ile uğramak zorunda kalırlar.
Bilgilerin sınıflandırılması noktasında gizli kategorisinde yer alan bilgiler ise şirketin hamle yapma ve rakiplerini ele amaçlı kullandığı bilgileri yer almalıdır. Ayrıca bu bilgiler içerisinde müşteri bilgileri de yer almaktadır. Örneğin bir psikolojik danışmanlık merkezinde yer alan danışan dosyaları gizli bilgiler kategorisinde yer almaktadır. ISO 27001 belgesi ile çalışmak isteyen firmalar müşterilerinin özel bilgilerini muhakkak gizli bilgiler kategorisinde tutmalıdır.
Kuruma özel sınıflandırmasında yapılan kategorizasyonda ise bilgiler sadece kurum içerisinde personeller tarafından görülebilir. Böyle bir durumdda personel birimlerinin ortak olarak ulaşabilecekleri bir depolama alanı oluşturulur. Bu depolama alanından bilgi alacak olan kişilerin kendilerine özel parola ve kullanıcı adları ile bilgiye ulaşması sağlanmalıdır. Böylece kuruma özel bilgilerin bir başka kurumun eline geçmesi ya da ifşa edilmesi durumunda firma bilgileri kimin sızdırdığını bulabilir. ISO 27001 belgesi ile çalışan firmalar kuruma özel bilgileri sınıflandırırken personelin bilgiye nasıl ulaşabileceğinin de talimatlarını paylaşmak zorundadır. Aksi takdirde bilgi paylaşımı talmatı olmayan firmaların kuruma özel bilgi sınıflandırması eksik olarak kabul edilir.
Hizmete özel bilgi sınıflandırmasında ise kurum içerisinde sadece o himzet alanında olan kişilerin ulaşılması sağlanır. Örneğin firmanın yazılım bölümüne dair bilgileri sadece bu alanda hizmet veren personel ile paylaşılacak şekilde depolanmalıdır. Bu aşamada ISO 27001 belgesi ile hizmet veren firmalar bölümler arası hizmet kategorizasyonunu oluşturmak zorundadır. Böylec bilgi akışı kirliliğinin önüne geçilecektir.
Kişiye özel bilgiler sınıflandırmasında ise yer alan bilgiler şahsi bilgilerdir. Bu bilgilere sadece kişinin kendisi ulaşabilir. Son olarak ise umuma açık bilgiler olarak sınıflandırılan bilgilerde iş yeri kuralları, talimatları, yemek listesi, duyurular ve reklamlar gibi bilgiler yer almaktadır. ISO 27001 belgesi ile hizmet veren firmaların umumi bilgileri net olarak ifade etmesi gerekir. Aksi takdirde personel hangi bilginin umumi hangisinin hizmete ya da kuruma özel olduğu karıştırılmaktadır. Bu durum ise bilgi güvenliği sorunun oluşmasına neden olmaktadır.
ISO 27001 Belgesi Olan Firmalar Bilgi Varlığı Sınıflandırması Yaparken Nelere Dikkat Etmelidir?
Bilgi varlığı sınıflandırması yaparken firmalar öncelikle ISO 27001 belgesi için gerekli olan standartlara öenm vermelidirler. Çünkü bu standartlar uluslararası arenada geçerlidir. Dikkt edilmesi gereken genel hususları ise şu şekilde sıralayabiliriz:
Öncelikle bigli varlığı sınıflandırması için ihtiyaç duyulan önem ve korumaya ayrılacak kaynak gereksinimi dökümana yansıtılmalıdır. Örneğin gerekli olan bilgi depolaması için kilitli kasalar, hard diskler, dosyalar gibi metaryallerin neler olduğu dökümana yansıtmaları gerekmektedir. Örneğin çok gizli dosyalar içi nasıl bir kilitli kasa kullanılacağı, kasanın nerede muhafaza edileceği, kaç adet kasa kullanılacağı muhakkak dökümanlara yansıtılmalıdır.
Sonrasında ise bazı bilgi varlıkları özel olarak korunmaya ya da özel alana ihtiyaçları vardır. Önreğin bazı şirketlerin bilgilerini korumak için banka kasası güvenliği gereklidir. Böyle bir durumda bir bankanın kasasından hizmet aldığını belirtmek firmanın dökümantasyonlarında olması gereken bir detaydır.
ISO 27001 belgesi almak isteyen firmalar bilgi varlıklarının korunması için seçmiş oldukları seviyeleri de yine dökümantasyon içerisinde belirtmek zorundadır. Örneğin temel seviye, orta seviye, üst seviye ve en üst seviye olarak belirtmek zorundadır. Ayrıca bilgilerin korunma seviyeleri zaman içerisinde ve yıl içerisinde değişiklik gösterebilir. Böyle bir durumda bilginin seviyesinin değiştiğini belirtmek en önemli detayı oluşturmaktadır.
ISO 27001 Belgesi için Yapılan Risk Yönetimi Dökümantasyonu Neden Gereklidir? Hazırlanacak Olan Belge İçerisinde Planlama Nasıl Olmalıdır?
ISO 27001 belgesi için öncelikle personel ve insan kaynaklı risk faktörlerinin neler olduğu çıkartılmalıdır. Bu risk faktörleri dökümantasyon planı içerisine yerleştirileck risk grubu içerisinde yer aldığı gösterilmelidir. Bu yüzden firmalar belgeye sahip olmak için ISO 27001 belgesi içerisine;
- Personelin hasta olma ve unutma faktörünü
- Personelin iş kazası yaşama ve iş değişikliği yapma faktörünü
- Personelin verilen yetkileri kötüye kullanması faktörünü
- Personelin hata yapma faktörünü eklemek zorundadır.
Yukarıda bahsi geçen faktörler iel birlikte yaşanması muhtemel diğer risk faktörleride not edilmelidir. Örneğin home ofice personellere ulaşılamama sorunu ya da evinden çalışan personellerin iş dışında başka uygulamalar ile uğraşması gibi faktörleri de göz önünde bulundurmalıdır.
ISO 27001 belgesi için şirket içerisinde kullanılan yazılım ve donanımlara ait risk faktörlerini oluştururkense;
- Yazılımın ve donanımın yanlış işlem uygulama faktörü
- Cihazların ve uygulamaların sorumluluklarını gerine getirememe faktörü
- Cihazların kaynak bulundurmama faktörünü
- Gelen taleplerin sürekli değişmesi faktörünü
- Gelen projenin zorlu olma ihtimalini
- Cihazlarda yapılması gereken sürüm ve yenileme işlemlerinde hata oluşması faktörünü
- Yazılım oluştururken kodlama sorunlarının ortaya çıkması faktörünü
- Cihazlara personellerin yetkisiz erişim yapma faktörünü
- Cihazlarda çıkabilecek arıza ve teknik sorunlar faktörünü
- Yazılımlara bulaşacak olan virüs ve çerez faktörünü
- Cihazları kullanan kişilere bağlı olarak oluşacak kullanım hatası faktörünü
- IT personelinin bilgi eksikliği sorununun olması ya da IT personeli eksikliği sorunun yaşanması faktörünü
- Veri hırsızlığı sorunu faktörünü
- Elektrik arızları sorunu faktörünü ve enerji kesintileri faktörünü
- Cihazların periyoik bakım eksikliği faktörünü
- SLA uyumsuzluğu faktörünü
Firmalar muhakka dikkate almalıdırlar. Aksi takdirde ISO 27001 belgesi için bu risk alanlarının göz ardı edilmesi firmanın süreç içerisinde bilgi güvenliği sorunu yaşamasına neden olacaktır. Ayrıca bu bilgi güvenliği sorunu belli bir oranı aşarsa belge firmanın elinden alınabilir.
ISO 27001 Belgesi Almak İsteyen Firmaların Açıklık Sorunu Karşısında Yapmaları Gereken Tespitler Nelerdir? Bu Tespitler Dökümantasyon Esnasında Nasıl Planlanmalıdır?
Firmaların bilgi güvenliği dökümantasyonlarında yer alacak olan açıklıklar iki başlık altında toplanabilir. Bu başlıklar bilginin varlığının niteliğinden kaynaklanan açıklıklar ve bilginin varlığının yönetiminden kaynaklanan açıklıklar olarak belirlenebilir. Böyle bir durumda ISO 27001 belgesi almak isteyen firmalar açıklığın oluşacağı risk faktörlerinü belirtmek zorundadırlar. Metaryellere karşı oluşan açıklıklar depolama aygıtlarının eksik olmasıü cihazların hasar alması ya da çalınması gibi durumlardır. Bunlar şirketin taşınır malları olarak ifade edilebilir.
Bilgi varlığının yönetimine bağlı olarak ortaya çıkan açıklıklar ise konfigürasyon ve yerleşim sorunları gibi sorunlar olarak ifade edilebilir.
ISO 27001 belgesi için dökümantasyon içerisinde yer alması gereken açıklık sorunlarının neler olduğunu şöyle sıralayabiliriz:
- Bunlardan ilki personel farkındalığıdır. Personel bigli güvenliği konusunda eğitimli ve deneyimli olmayabilir. Personelde meydana gelen bu sorun bilgi güvenliği açıklığının çıkmasına neden olabilir.
- Diğer madde ise yetersiz ve yanlış güvenlik politikalarıdır. Bu yetersiz ve yanlış güvenlik politikaları hukuksal sürecin eksik tanımlanması ve risk analizinin doğru yapılmamasına bağlı olarak ortaya çıkabilir.
- Açıklığın ortama çıkmasına neden olan bir diğer madde ise bakım ve servis yönetiminin eksik olması olabilir. Böyle bir durum da ISO 27001 belgesi almak isteyen bir firma bilgilerin saklandığı alanlardaki depolama aygıtlarının bakımlarında sorumlu olan kişilere yeterli mesleki eğitimi vermelidir.
- Açıklıkta ortaya çıkan bir diğer etken ise yazılımsal sorunlardır. Yazılımların çökmesi ya da kilitlenmesi durumunda bilgi güvenliği sıkıntıya dğşebilir. Bu yüzden firma yazılım konusunda standartları yüksek tutmak zorundadır.
- Bilgi güvenliği noktasında ortaya çıkacak olan bir diğer açıklık ise erişim yetkinliği sorunu olabilir. Bilgilere doğru kişilerin doğru şekilde ulaşmasını planı yanlış yapılmış olabilir. Böyle bir durumda ISO 27001 belgesi almak isteyen firmalar bilgi güvenliği sorunu yaşayabilir.
- Bilgi güvenliği noktasında açıklık yaşana firmaların en büyük sorunlarında birisi de altyapı ve tesisat eksikliği olabilir. Böyle bir durumda firma eski bir bina da hizmet veriyor olabilir. Kullanılan elektrik tesisi donanımları kaldırmadığı takdirde şarteller atabilir ve bilgiler aniden silinebilir.
- Altyapı eksikliğine eş değer olarak ortam yetersizliği de bilgi güvenliği açıklığının ortaya çıkmasına neden olabilir. ISO 27001 belgesi almak isteyen firmalar iş yerlerini güvenlik önlemlerinin alınabileceği semt ve muhitlere kurmalıdırlar.
- Yaşanılan sosyal şartlar ve yapısal açıklıklarda firmada bilgi güvenliği sorununun yaşanmasına neden olur.
- İş güvenliği eksikliği ve eğitim eksikliği de yine firmada bilgi güvenliği açıklığının oluşmasına neden olur. Bunlara ek olarak kendi bilgi güvenliği sistemi noktasında üçüncü kişilere bağımlı olan firmalar her zaman açıklık sorunu yaşarlar. ISO 27001 belgesi almak isteyenler bu bağlamda kendi güvenlik birimini oluşturmak zorundadırlar.
- Firmanın bilgi güvenliği açıklığı yaşamasına neden olan faktörler arasında iklim, coğrafi faktörler ve beşeri faktörler bulunmaktadır Örneğin başkentte yer alan bir firma ile terör bölgesinde yer alan bir firma bu açıklığın etkisinin nasıl ortaya çıktığını açık ara farkla hissedecektir.
- ISO 27001 belgesi almak isteyen firmaların ya da belgenin geçerliliğini devam ettirmek isteyen firmaların dikkat etmesi gereken bir diğer detay ise günlük kontrollerin yapılmaması durumudur. Günlük kontrollerin yapılmaması firmalarda açıklıklar çıkmasına neden olur.
ISO 14001 çevre yönetim sistemi standardı ISO 9001 kalite yönetim sistemi standardına uygundur ve kuruluşlar her iki yönetim sistemini entegre bir yönetim sistemi şeklinde oluşturabilir. Bu çevre yönetimi dizisi, kuruluşlarla ve kuruluşlarla ilişkili tüm çevresel sorunları kapsayacak şekilde tasarlanmıştır. Bu, kurumlar ve kuruluşlar için faaliyetlerinden kaynaklanan çevresel etki önceliklerini belirlemek ve bu etkileri yönetmek ve kontrol etmek için bir referans kaynağıdır.
ISO 27001 Belgesi Almak İsteyen Firmalar İnsan Kaynakları Eğitimine Neden Dikkat Etmelidirler?
Firmaların bilgi güvenliği açığı yaşamasının en büyük nedeni personel eğitiminin eksikliğidir. Bu yüzden ISO 27001 belgesi almak isteyen firmalar öncelikle insan kaynakları eğitimi önleyici uygulamaları ile işe başlamalıdırlar. Sonrasında ise personel eğitimi, bilgi akışı ve paylaşımı eğitimi ile süreci tamamlamalıdırlar.
Öncelikle her yıl aralıklı olarak personel müdürü ve yönetim temsilcisi bir toplantı düzenleyecek verilecek olan eğitimin içeriğinde neler olması gerektiğini belirlemelidir. Sonrasında ise eğitim için ayrılması gereken bütçenin neler olduğu, eğitim süresinin kaç gün olduğunu, eğitim planlamasının nasıl olduğunu, eğitimde kullanılacak metaryallerin neler olduğunu belirlemelidirler. ISO 27001 belgesi için düzenlenecek olan bu eğitimleri kimi şirketler bina içerisinde kimi şirketler ise otellerde düzenlemektedirler. Bu tamamen personel yönetimini ve eğitimini nasıl yapmak istediğini bağlı olarak değişir.
Yapılan eğitimden sonra personelin eğitimden aldığı bilgilerin testi için uygulamalar ya da sınavlar yapılır. Yapılan testten sonra bir sonraki yılın eğitim açığı belirlenir ve planlanır. Böylece ISO 27001 belgesi ile her yıl hizmet vermeye devam etmek isteyen firmalar geleceğe olan yatırımlarını bir önceki seneden yapmış olurlar.
Eğitim verildikten sonra eğitim içerisinde sertifika organizasyonu yapılmış ise eğitimi başarı ile tamamlayan personele sertifikaları bastırılır ve dağıtılır. Bu aşamaların her birisnde yönetim temsilcisi bulunur. Personelimn eğitim sonunda sertifika sahibi olduğu ise tslim edilecek olan belgelere döküman halinde sunulur. Örneğin verile eğitim mavi yakalı çalışanlara mı yoksa beyaz yakalı çalışanlara mı verildi döküman olarak kaydedilir. Verilen eğitimin mesleği bir bilgi içerip içermedği yine döküman olarak aktarılır. ISO 27001 belgesi için bu bilgilerin verilmesi eğitim ile bilgi güvenliği riskinin engellenmeye çalışıldığını gösterir.
ISO 27001 Belgesinin Alınması ve Her Sene Yenilenmesi Firmaya Nasıl Bir Bütçe Oluşturur?
ISO belgesi 27001 belgesi için firmaların ayırmaları gereken bütçe firmadan firmaya göre değişmektedir. Bunun sebebi ise firmanın hangi sektörde olduğu, risk faktörlerinin ve kanallarının ne kadar olduğu, firmada çalışan personel sayısının ne olduğu, firmanın içinde bulunduğu sektörün gelişim hızı gibi etkenlerin önemli olmasıdır. ISO 27001 belgesi için güzellik merkezi firması ile hastanelerin ayırması gerken bütçe aynı olmayacaktır. Ayrıca hastanenin bir sağlık merkezi ya da büyük çaplı bir hastane de olmasıda yine bilgi güvenliği için ayrılacak olan bütçenin farklı olmasına neden olacaktır.
ISO 27001 belgesi içi ayrılacak olan bütçe yine firmanın daha önce belgeye sahip olup olmadığına bağlı olarak değişir. Belgeye ilk kez sahip olmak isteyenler biraz daha fazla bütçe ayırmak zorunda kalırlar. Ancak daha önceki yıllarda ISO 27001 belgesi ile iş yapan firmalar yenilemek için fazla bir bütçe ayırmak zorunda olmayacaklardır. Bu aşamad etkili olan bir dieğr faktör ise firmanın içerisinde bulunduğu sektörün ne kadar hızlı büyüdüğü ve geliştiğidir. Örneğin yazılım ve bilişim firmaları çok daha hızlı büyüyen ve gelişen bir firmadır. Ayrıca bu sektörlerde yer alan firmaların bilgi güvenliği noktasında riskleri çok daha büyüktür. Bu yüzden ISO 27001 belgesi almak isteyen firmalar bütçelerini belirlemek için öncesinde bir sektör analizi yaptırmalıdırlar. Ayrıca farklı firmalardan fiyat teklifi alarak da ortalama bir bütçe çıkartabilirler.
Son olarak ise ISO 27001 belgesi için bütçe ayırmak isteyen firmalar personel sayısına da dikkat etmelidirler. Personel sayısı fazla olan firmalar, personel için vermesi gereken eğitim sayılarının fazla olduğu firmalar, personel sayısına bağlı olarak bilgi aktarımı ve depolama aygıtlarının fazla olduğu firmalar daha fazla bütçe ayırmak zorunda kalabilirler. ISO 27001 belgesi almak isteyenler tüm bu detaylara dikkat ettikleri takdirde belgeyi almaya hak kazanırlar. Ayrıca belgeyi yenilemek için ayırmak zorıunda oldukları bütçe de yine personel sayısına göre değişir. Bir önceki sene personel sayısının fazla olması ancak sonraki sene sayının düşmesi ayrılacak olan bütçenin de azalmasını sağlar.
Marka Tescil hizmetimiz Türk Patent Enstitüsü lisanslı uzman arkadaşlarımızca, uluslararası belgelendirme ise TÜRK AK akreditasyonlu teknik uzmanlarca siz değerli müşterilerimize sağlanacaktır.
Yurt içi ve Yurt dışı Belgelendirme Hizmetleri ve daha birçok özelliğimiz ile Dijmed Teknoloji olarak hizmetinizdeyiz.
Hizmetlerimiz İçin Bizimle İletişime Geçin.
Sosyal Medya Hesaplarımız :
