ISO 27001 belgesi nasıl alınır kısaca özetlemeye çalışalım. Diğer yönetim sistemlerinin temel mantığıyla ISO 27001 bilgi güvenliği yönetim sisteminin mantığıyla benzerlik göstermektedir. Bilgi güvenliği yönetim sistemi diğer sistemler nasıl kuruluyor ve veriliyorsa aynı yol ve yöntemler izlenerek alınabilmektedir. İlk önce sistemin nasıl oluşturulacağının öğrenilmesi. Bundan sonra nasıl denetim tarihi alınır hedeflerin tespiti ve neler yapılması gerektiğini gösteren yol haritası hazırlanır.
İlgili standarta göre hazırlıklar tamamlandığında ISO 27001 denetimi sonunda belgelendirme yapılmaktadır. BGYS (Bilgi Güvenliği Yönetim Sistemi) bir organizasyonun bilgi risk yönetim süreçlerinde tüm fiziksel ve hukuksal teknik kontrolleri içeren politika ve prosedürleri içeren çerçevedir.
Organizasyon olarak kendi bilgilerinize göre ISO 27001 standardını hayata geçiriyor olmak için; oluşturmak, uygulamak, işletmek, izlemek, incelemek, sürdürmek ve BGYS’ini geliştirmek sürekli iyileştirmek için çalışmaları nasıl yönetmek gerekmektedir. ISO 27001 yönetim sistemi baştan aşağıya, risk odaklı bir yönetim yaklaşımı belirler ayrıca teknolojiyi güvenilir olarak değerlendirmez. Güvenilir teknolojilere ise daha fazla ağırlık verme amacı taşır.
Önce işletmenizi tam anlamıyla değerlendirmelisiniz. Bilgiyi korumanız gereken risk noktalarının tespiti yapılmalıdır. Risk içeren bu noktalar üzerinde risk değerlendirme puanınız olmalı. Puanlamaya göre artık tümüyle netleşen bu proseslere bilginin güvenli kullanımına uygun prosedür ve talimatlar oluşturulmalı.
Yetki ve sorumluluklar boşluğa mahal vermeyecek şekilde tanımlanmalı. Kullanılacak formlar oluşturulmalıdır. ISO 27001 belgesi almak ise bu sürecin son halkasıdır. Bilgi güvenliği yönetim sisteminiz hazır olduktan sonra yapılacak ISO 27001 belgelendirme denetimleriyle sertifikanız verilir.
Bu sürecin neticesinde hem ISO 27001 belgesini almış hem de bu standardı uygulayan güvenilir bir işletme statüsüne ulaşmış olursunuz.
Comments