ISO/IEC 27001 (ISMS): BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ BELGELENDIRMESI

ISO 27001, bir Bilgi Güvenliği Yönetim Sistemi (BGYS) için gereklilikleri tanımlayan uluslararası yönetim sistemi standardıdır. Standart, riskleri yönetmek ve azaltmak için kontrolleri tanımlamak, analiz etmek ve uygulamak için en iyi uygulama çerçevesini sağlar - bilgi güvenliği ihlali olasılığını azaltır. 

Büyüklüğüne ve sektörüne bakılmaksızın her kuruluş, bağımsız olarak belgelendirilebilen etkili bir BGYS uygulamak için ISO 27001'deki gereklilikleri ve kontrolleri kullanabilir.
Saygın ve bağımsız bir belgelendirme kuruluşu tarafından sağlanan akredite ISO 27001 sertifikası, bilgi güvenliğine olan bağlılığı gösterir ve ISMS'nizin sağlamlığı ve etkinliği hakkında tarafsız bir görüş sağlar. Bu, sözleşmeden doğan yükümlülüklerin yerine getirilmesine yardımcı olur ve birçok durumda ticaret yapma lisansı olarak işlev görür.

Verilerinizi ve itibarınızı koruyun

ISO 27001 belgelendirmesi, bilgi güvenliği için aşağıdaki konularda en iyi uygulamaları yürüten sistematik, risk tabanlı bir yaklaşım oluşturduğunuzu gösterir: 

• Bilgi ve siber güvenlik risklerini tanımlama
• Riskleri, etki ve olasılığa dayanarak analiz etme
• Riskleri değerlendirme ve işinizle ilgili faktörlere bağlı olarak ele alındıklarında önceliklendirme
• Riskleri işleme seçeneklerini belirleme

Yasalara, yönetmeliklere ve sözleşme gerekliliklerine yasal uyumu kanıtlayın

ISO 27001 belgesini edinmek, yürürlükte olan mevzuatı tanımlamanızı gerektirir, örneğin EU GDPR veya HIPAA gibi yönetmelikler. Bunun risk yönetimi ve kurumsal yönetişim üzerinde olumlu bir etkisi vardır, yasal uyumu kanıtlamanıza ve sözleşme gerekliliklerini yerine getirmenize yardımcı olur.

Rekabet avantajı

LRQA'nın belgelendirme hizmetleri, müşterilere ve paydaşlara -BT, insan, fiziksel çevre ve iş sürekliliği ile ilgili olabilecek- güvenlik risklerinin, bilgilerini korumak için uygun biçimde ele alındığına dair güven verir.

ISO 27001 belgelendirmesi, kapasitenize ilişkin net bir beyan sağlayarak ve uluslararası alanda kabul görmüş en iyi uygulamalarla uyumlu faaliyet gösterdiğinizi kanıtlayarak, yeni işler kazanmanıza yardımcı olur.

ISO 27001 denetimleri, diğer Ek SL tabanlı yönetim sistemleri ile aynı yaklaşımı izler. Eğitim ve boşluk analizi ile başlayabilirsiniz ancak resmi süreç BGYS tasarımının denetimini (Aşama 1) ve işleyişinin denetimini (Aşama 2) içerir. Bu denetimlerin çıktıları, tutarlılığı ve akreditörler tarafından tanımlanan en iyi uygulamalara olan bağlılığımızla uyumu sağlamak için LRQA'daki nitelikli, bağımsız bir yetkili tarafından teknik olarak incelenir.

ISO 27001 belgeniz onaylandıktan sonra, üç yıl süren -ve daha sonraki üç yılı tekrar oluşturacak bir yenileme denetimine zemin hazırlayan- ara kontrol denetimleri döngüsüne başlarsınız. Ara kontrol hem LRQA'nın hem de şirketinizin değişiklikleri yönetmesini ve denetimlerin güncel sektör gereksinimleri ile ilgili olmasını sağlar.

Onaylandıktan sonra belgelendirme, gözetim programı aracılığıyla gösterilen etkin sistem bakımına tabi olarak üç yıl sürer.

Tipik bir BGYS sertifikası kapsam beyanı, ürün ve hizmetlerin sunulmasıyla ilgili faaliyetleri içerir. Dahili faaliyetleri veya BGYS süreçlerini içermesi gerekmez. Amaç, okuyucuya ürün veya hizmet alırken sağlanan bilgilerin korunduğuna dair güvence vermektir.

Uygulanabilirlik beyanı, seçilen kontrollerin listesini ifade eder. Bu kontrollerin ayrıntılarını sağlamaz, ancak son ISO 27001 denetiminin temeli olarak kullanılan bir kontrol beyanına izlenebilir bir referans sağlar. Bazen kuruluşlar ISO 27001 Ek A'dan seçilen kontrolleri basitçe listeleyen paylaşılabilir bir genel versiyona sahiptir, ancak bu zorunlu bir gereklilik değildir.

Maliyet, BGYS kapsamında çalışan kişi sayısı ile bağlantılı olarak belirlenecek olan denetim günlerinin sayısına bağlıdır. Denetim günlerinin sayısı, akreditasyon standardı ISO 27006'da yayınlanır ve herkes tarafından görüntülenebilir. LRQA gibi akredite bir belgelendirme kuruluşu ile çalışmak, en iyi sektör uygulamalarına dayanan ve diğer tüm akredite belgelendirme kuruluşları ile karşılaştırılabilecek, önerilen bir denetim süresi sağlar.

Örneğin, 100 Tam Zamanlı Çalışana (TZÇ) sahip bir kuruluş, faaliyet gösterdiği sektöre, çalışma ortamının karmaşıklığına, yazılım geliştirme sürecine dahil olup olmadıklarına veya ürüne güvenlik eklemeleri gerekip gerekmediğine bağlı olarak 8 ila 12 gün arasında bir ilk denetim süresi (Aşama 1 + Aşama 2) beklemelidir. Sonraki ara kontrol programı yılda 3-4 gün ve yenileme 6-8 gün gerektirecektir.

Evet - hem ISO 9001 hem de ISO 27001 yönetim sistemleri için genel en iyi uygulama modeline (Ek SL) dayandığından, temel yönetim süreçleri her iki standardın gerekliliklerini karşılayacak şekilde optimize edilebilir. Aslında, her ikisine de hitap edecek bir sistem tasarlamak kurumsal yönetişimin etkinliğini artırır. Örneğin, büyüme gibi iş hedefleri genellikle yeni ürünlerin geliştirilmesini gerektirir, burada güvenlik genellikle pazar beklentileri doğrultusunda bir kalite standardı olarak kabul edilir. Entegrasyon ayrıca mükerrerliği en aza indirerek denetim süresinin kısalmasını sağlayabilir ve uygun maliyetli bir seçenek sunar.

Kuruluşunuzun ISO 27001 belgesini elde etmek için uyguladığı yol, diğer faktörlerin yanı sıra, genellikle şirketinizin bilgi güvenliği ve daha geniş risk yönetimi ile ilgili olgunluk düzeyine bağlıdır. Ancak ISO 27001 belgesini almak için tipik süreç 3 ana adımdan oluşur.

• 1. Aşama Denetim - belge incelemesi ve planlama: Denetçiniz yönetim sisteminizin tasarımını ve dokümantasyonunu inceleyecektir - bu süreç çoğu durumda uzaktan gerçekleştirilir.
• 2. Aşama Denetim - uygulamanızın değerlendirilmesi: Denetçiniz, BGYS'nizin ISO 27001 gerekliliklerine uygun şekilde uygulanmasını ve etkinliğini değerlendirecektir. Herhangi bir uygunsuzluk tespit edilmezse, belgenizi alırsınız. Bu aşama uzaktan veya yerinde gerçekleştirilebilir.
• ISO 27001 belgelendirmenizi duyurun: Belgelendirmeniz, uluslararası alanda kabul görmüş en iyi uygulamalara ve sürekli gelişmeye olan bağlılığınızı kanıtlayarak, yeni işler kazanmanıza ve müşteri taleplerini karşılamanıza yardımcı olur.

ISO 27002:2022'nin yayınlanması, 2013 yılına dayanan ISO 27001'de bulunan kontroller listesinde bir güncelleme sağlamaktadır. Revize edilen kontroller hem tehditler hem de mevcut en iyi uygulamalarla ilgili gelişmeleri yansıtmaktadır ve ISO 27002'nin genişletilmiş kapsamı risk yönetimi önlemlerinin geniş kapsamlı ve etkili olmasını sağlamaya yardımcı olmaktadır. Kuruluşlar, belirledikleri riskleri ele almak veya potansiyel boşlukları keşfetmek için kapsamlı kontrol listesini kullanabilir; bu da günümüzde işletmelerin karşı karşıya olduğu karmaşık ve gelişen tehdit ortamının bir adım önünde olmalarına yardımcı olur.

ISO 27001'in yeni bir versiyonu 25 Ekim 2022 tarihinde yayınlanmıştır. ISO 27002:22 tarafından özetlenen yeni kontrolleri içeren kuruluşların risk değerlendirmelerini yeniden gözden geçirmeleri ve yeni risk işlemlerinin uygulanması gerekip gerekmediğini belirlemeleri gerekecektir.