top of page
iso 27001 sertifika

 

 

ISO 27001 Bilgi Güvenliği

Yönetim Sistemi Danışmanlığımız

 

ISO 27001 her ne kadar bir bilgi teknolojileri yoğun bir sistem olarak görülse de aslında bu tam olarak doğru değildir.

 

ISO 27001 Bilgi Güvenliği Yönetim Sistemi ; Firma çalışanlarını, her türlü önemli bilgi varlıklarını, güvenlik ve insan kaynakları, varsa arge ve üretim, satınalma ve satış birimleri başta olmak üzere şirketinizin tüm iş süreçlerini kapsayan temel bir politikaya dayanır.  

 

Bu kapsamda ; 

 

  • Bilgi Teknolojileri (IT), İnsan Kaynakları (İK), Güvenlik, Satınalma vb. İş birimlerinin dokümantasyonlarının varsa incelenmesi ve ISO 27001 standartlarına uygun hale getirilmesi yoksa birlikte yazılması ,

  • Sistem odası, ups, jenaratör, klima, kablolama altapısı, access pointler, wireless vb.. IT altyapsının incelenmesi ve eksikliklerin giderilmesi yönünde bilgi verilmesi,

  • Varlık envanterinin hazırlatılması, 

  • Risk analizinin yapılması, 

  • Gereken uygulama ve kontrollerin saptanması,

  • İş sürekliği altyapısının incelenmesi ve iyileştirilmesi,

  • Gizlilik sözleşmelerinin veya mevcut sözleşmelerdeki gizlilik ile ilgili maddelerin incelenmesi ve iyileştirilmesi,

  • Fiziksel döküman gizliliğinin incelenmesi ve iyileştirilmesi,

  • Çalışan politika ve prosedürlerinin incelenmesi ve iyileştirilmesi,

  • Çalışan bilinçlendirme eğitimlerinin yapılması,

  • İç denetimin yapılması,

  • İç denetim sonucunda Düzeltici ve Önleyici faaliyetlerin (DÖF) belirlenmesi ve bunların takibi, 

  • Yönetim gözden geçirme toplantısının (YGG) gündem maddelerinin belirlenmesi ve yapılması,

  • Sertifikasyona hazır hale gelinmesi işlemleri yapılır.

 

 

*** ISO 27001 Sertifikasyonu Almanızın Faydaları Nelerdir ? ***

danışman grubu,danışman grup,iso 27001 danışmanlığı,iso 27001 belgesi,iso 27001 danışmanlık,iso 27001 sertifikası,iso 27001,iso 22301,itil,cobit,27000

ISO 27001 Kurulum Aşamalarımız

 

1. Mevcut Durum Analizi:

 

  • Mevcut yapının, süreçlerin, yaklaşımların incelenmesi 

  • Departmanlarla mülakat toplantıları, mevcut kayıtların ve dokümantasyonun incelenmesi

  • BGYS Komitesinin kurulması

  • Komite görev dağılımlarının yapılması

 

2. Hazırlık :

 

  • BGYS dokümantasyon formatının oluşturulması 

  • BGYS kapsamının ve politikasının belirlenmesi

  • Personel ISO/IEC 27001 Farkındalık ve Temel Bilgilendirme eğitimin verilmesi

  • Bilgi sınıflandırılmasının yapılması ve varlık envanterinin oluşturulması

 

3. Bilgi Teknolojileri ile ilgili politika, prosedür ve uygulamalar : 

 

  • Alt yapı, donanım, sistem ve son kullanıcı desteği

  • Yazılım geliştirme ve yeni yazılımları devreye alma ile ilgili uygulamalar

  • Sistem odaları, uygulamalar ve donanımların güvenlik ve iş sürekliliği konularındaki yeterlilikleri

  • Veritabanı ve yazılım güvenliği

  • Kimlik yönetimi, kullanıcı yönetimi, yetki ve yetkili kullanıcıların yönetimi

  • Bilgi sızması engelleme uygulamaları, şifre yönetim sistemleri 

  • Yedekleme ve yedekten geri dönme uygulamaları

  • Zararlı kod, mobil kod,  ve veri sızmasına karşı kontroller

  • Veri güvenliği uygulamalarının paylaşılması

  • Ağ güvenliği uygulamalarının paylaşılması

  • Zayıflık tarama ve yama uygulamalarının paylaşılması

  • Penetrasyon (Sızma Testi) yaptırılması

 

4. İnsan Kaynakları ile ilgili politika, prosedür ve uygulamalar :

 

  • Mevcut çalışanlarla ilgili politika ve prosedürlerin gözden geçirilmesi ve eksikliler varsa güncellenmesi, yenilerinin hazırlanması

  • Gizlilik sözleşmeleri ve sözleşmelerdeki gizlilik ile ilgili maddelerin incelenmesi

  • İnsan kaynakları personel bilgi güvenliği sözleşmelerinin uyarlanması, yoksa yazılması

  • Özlük dosyaları ve zimmet kayıtları uygulamaları

  • İhlal olayları yönetim prosedürlerinin oluşturulması

  • Çalışan güvenliği ve sağlığı ile ilgili uygulamalar

  • Yasalara, tüzüklere ve yükümlülüklere uygun prosedürlerin oluşturulması

  • Tüm varlıkların kabul edilebilir kullanımlarının tanımlanması, yayınlanması ve uygulanması

  • Bilgi güvenliği hakkında personelin farkındalığını pekiştirecek eğitim, toplantı, afiş ve motive edici uygulamaların yapılması

 

5. Fiziksel güvenlik ve iş sürekliliği ile ilgili politika, prosedür ve uygulamalar :

 

  • Fiziksel alanlardaki güvenlik sistemleri (kartlı geçiş, parmak izi uygulamaları, kamera sistemleri)

  • Yangın, sel gibi doğal afetlere karşın alınan önlemler

  • Kritik fiziksel varlıkların bakımı ile ilgili prosedürler ve uygulamalar

  • İş sürekliliği ile ilgili felaket senaryoları, alınan önlemler ve test uygulamaları

 

6. Tedarikçi ve müşteri yönetimi ile ilgili politika, prosedür ve uygulamalar :

 

  • Depo, yükleme alanı gibi yerlerin yetkisiz kişilerce erişiminin engellenmesi ve izlenmesi

  • Tedarikçilerle sözleşmeler, gizlilik maddeleri ve tedarikçi değerlendirme sistemleri

  • Müşterilerle bilgi alışverişi yöntemleri, sözleşmeler ve gizlilik maddeleri

  • Kapasite planlama uygulamaları

 

7. Risk Analizi

 

  • Varlık envanterinin incelenmesi ve eksikliklerin tamamlanması

  • Varlıklarla ilgili tehditlerin belirlenmesi

  • Risklerin derecelendirilmesi

  • Risk azaltma yöntemlerinin belirlenmesi

  • Risk işleme planının uygulanması

 

8. İç Denetim

 

  • Uygunluk bildirgesinin doldurulması (SoA)

  • İç denetim aşamalarının planlanması ve gerçekleştirilmesi

  • ISO 27001 iç denetimin yapılması

  • İç denetim raporunun hazırlanması

  • İç denetim bulgularının kapatılması

 

9. Sürekli İyileştirme : Düzeltici ve Önleyici Faaliyetlerin uygulanması

 

  • İç denetim sırasında tespit edilen uygunsuzluklar için düzeltici işlemleri başlatma , takip ve sonuçlandırma

  • Sürekli iyileştirme adına performans değerlendirmeleri yapılması. Risk değerlemenin tekrar gözden geçirilmesi

 

10. Yönetimin Gözden Geçirme Toplantısının gerçekleştirilmesi (YGG)

 

  • YGG toplantılarının formatının ve gündem maddelerinin belirlenmesi

  • Yönetim Gözden Geçirme (YGG) toplantısının gerçekleştirilmesi

  • YGG Tutanağının hazırlanması ve onaya sunulmasının takibi.

bottom of page