Sistemli bir bilgi güvenliği

Dijital dönüşüm sürecinde şirketler için "Bilgi Güvenliği" konusu giderek daha acil hale geliyor. Yeterli güvenlik önlemleri olmaması durumunda ortaya çıkan, bilgisayar korsanları tarafından web üzerinden yapılan saldırılar ile veri kaybı, veri hırsızlığı veya verilerin kötüye kullanılması nedeniyle oluşan iş kesintilerinin riski günümüzde oldukça yüksektir. Yapılandırılmış bir yaklaşım için uygun seçenek, ISO 27001 Bilgi Güvenliği Yönetim Sistemidir (BGYS).

Kanıtlanabilir veri ve bilgi güvenliği

Kurum kültürünün bir parçası olarak güvenlik

Risk yönetim sürecinin etkin bir şekilde uygulanması

Güvenlik seviyesinin sürekli iyileştirilmesi

Business10.png
Loading...

ISO 27001 nedir?

ISO 27001, bilgi güvenliği için bütünsel bir yönetim sisteminin uygulanmasına yönelik önde gelen uluslararası standarttır. Bilgi işleme süreçlerine yönelik risklerin tanımlanması, değerlendirilmesi ve yönetimine odaklanır. Gizli bilgilerin güvenliği önemli bir stratejik unsur olarak vurgulanmaktadır.

Bilgi bizi her yerde çevreler ve her sürecin bir parçasıdır. Bazen önemsiz olabilir, ancak çoğu zaman kritik ve gizlidir. Kuruluşunuzda bu önemli ayrımı yapabilmek için öncelikle bilgileri sınıflandırmak gerekir. Bunun nedeni, ISO 27001 Bilgi Güvenliği Yönetim Sisteminin koruyucu önlemlerinin bu sınıflandırmaya dayanmasıdır.

Bilgi güvenliği yönetim sistemi, operasyonel verileri ve gizliliğini korumak için bir çerçeve oluşturur. Aynı zamanda, küresel olarak tanınan standart, kurumsal süreçlerde yer alan BT sistemlerinin kullanılabilirliğini sağlar. Bu bağlamda, ISO 27001 sertifikası piyasaya güçlü bir sinyal gönderir: bağımsız dış değerlendirme ile bilgi güvenliği yönetim sisteminizin etkinliğinin kanıtı.

EN ISO/IEC 27001:2017-06 ile Avrupa Standardizasyon Komitesi (CEN) tarafından koordine edilen bir versiyon yayınlandı. Bu, iki düzeltmeyi (corrigenda) Cor 1:2014 ve Cor 2:2015'i birleştirir. Düzeltmeyle ilgili değişiklikler, yalnızca ilgili gereksinimlerin iyileştirilmiş bir tanımını içerir, ancak yeni ek gereksinimler içermez. Böylece ISO/IEC 27001:2013 versiyonuna göre sertifikalar geçerliliğini korur.

Daha fazla göster
Daha az göster
SEO19.png
Loading...

ISO 27001 sertifikası hangi şirketler için uygun?

ISO 27001 bilgi güvenliği yönetim sistemi dünya çapında geçerlidir. Her büyüklükte ve sektörden şirketlere bilgi güvenliklerini planlama, uygulama ve izleme için çerçeve sağlar. Gereksinimler dünya çapında kabul edilir, özel ve kamu şirketleri ile kar amacı gütmeyen kuruluşlar için de geçerlidir.

Örneğin Almanya'da, Kritik Altyapı Sektörüne (KRITIS) ait olan ve belirli bir eşiği aşan şirketler, bilgi güvenliklerini nasıl sağladıklarına dair kanıt sağlamalıdır. KRITIS sektörleri arasında enerji, su, sağlık, finans ve sigorta, gıda, ulaşım ve trafik, bilgi teknolojisi ve telekomünikasyon yer almaktadır. İlgili uygulama kanıtı; güvenlik denetimleri, testler veya sertifikalar ile sağlanabilir. Bu amaçla, denetim için temel olarak ya ISO 27001 gibi tanınmış standartlar ya da alternatif olarak Alman Federal Bilgi Güvenliği Dairesi (BSI) tarafından tanınan sektöre özgü güvenlik standartları kullanılabilir.

Daha fazla göster
Daha az göster
Business11.png
Loading...

ISO 27001'in avantajları nelerdir?

ISO 27001 bilgi güvenliği yönetim sisteminin uygulamaya koyulması şirketiniz için stratejik bir karardır. Standardın genel gereksinimlerinin bilinçli olarak karşılanması, şirketin özel durumunu yansıtmalıdır. Uygulama, şirketin büyüklüğü ve yapısının yanı sıra ihtiyaç ve hedeflere, güvenlik gereksinimlerine ve organizasyonel süreçlere bağlıdır.

Uygulama için özellikle değerli olan, standardın Ek A'sında yer alan tedbirlerin uygulanmasıdır. Yönetim sistemi odaklı gereksinimler bölümüne (bölüm 4 ve 10) ek olarak, ISO standardı, Ek A'daki 14 bölümde çok çeşitli güvenlik yönleri için 114 somut önlemle birlikte 35 önlem hedefinin (kontrollerinin) kapsamlı bir listesini içerir. Önlemler yönetim sistemi çerçevesinde uygulanmalıdır. Bu önlemler, şirketinizle ilgili oldukları ölçüde, yönetim sisteminin bir parçası olarak uygulanmalıdır.

Şirket süreçlerinin ISO 27001 ile tutarlı bir şekilde uyumlu hale getirilmesinin bir dizi fayda sağladığı kanıtlanmıştır:

  • Güvenlik seviyesinin sürekli iyileştirilmesi
  • Mevcut risklerin azaltılması
  • Uyumluluk gereksinimlerine bağlılık
  • Çalışanlar arasında daha fazla farkındalık
  • Artan müşteri memnuniyeti

Üst yönetimin katılımıyla yapılan iç denetimler ve yönetim incelemeleri, bunu başarının iç araçlarıdır.

Diğer olumlu yönler; denetim makamları, sigorta şirketleri, bankalar, ortak şirketler gibi ilgili tarafların şirketinize yönelik daha yüksek bir güven düzeyi oluşturmasıdır. Bunun nedeni, sertifikalı bir yönetim sisteminin, kuruluşunuzun risklerle yapılandırılmış bir şekilde ilgilendiğini ve sürekli iyileştirmeye (CIP) odaklandığını ve böylece onu istenmeyen etkilere karşı daha dirençli hale getirdiğini göstermesidir.

Uluslararası ISO/IEC 27001 standardı, ISO 9001 (kalite yönetimi) veya ISO 14001 (çevre yönetimi) gibi diğer yönetim sistemlerinden bağımsız olarak da uygulanabilir ve sertifikalandırılabilir.

 

Daha fazla göster
Daha az göster
Business36.png
Loading...

Hangi şirketler ISO 27001 belgelendirme konusunda yetkilidir?

Bir bilgi güvenliği yönetim sistemini belgelendirmek için, belgelendirme kuruluşunun kendisinin ISO/IEC 17021 ve ISO/IEC 27006'ya göre akredite olması gerekir. ISO/IEC 17021, uygunluk değerlendirmesiyle ilgili konuları, özellikle yönetim sistemlerini denetleyen ve belgeleyen kuruluşlar için gereksinimleri düzenler.

Ek olarak, ISO/IEC 27006, ISO 27001 bilgi güvenliği yönetim sistemini sertifikalandırmak için belgelendirme kuruluşlarının uyması gereken katı gereksinimleri tanımlar.

Şunları içerir:

  • Belirtilen denetim çabasının kanıtı
  • Denetçilerin nitelikleri için gereklilikler.

DQS, ulusal Alman akreditasyon kuruluşu DakkS (Deutsche Akkreditierungsstelle GmbH) tarafından akredite edilmiştir ve ISO 27001'e göre denetim ve sertifikalandırma yetkisine sahiptir.

Şirketinizin faaliyet gösterdiği sektör ne olursa olsun, DQS denetçilerinin ayırt edici uzmanlığına güvenebilirsiniz. Denetçilerimiz çeşitli sektörlerde bilgi güvenliği yönetim sistemlerinin değerlendirilmesinde uzun yıllara dayanan deneyime sahiptirler.

Daha fazla göster
Daha az göster
Business28.png
Loading...

ISO 27001 sertifikası nasıl alınır?

ISO 27001'in tüm gereklilikleri yerine getirildikten sonra yönetim sisteminizi sertifikalandırabilirsiniz. DQS'te çok aşamalı bir belgelendirme sürecinden geçersiniz. Şirketinizde halihazırda sertifikalı bir yönetim sistemi kurulmuşsa süreç kısaltılabilir.

İlk adımda sizlerle şirketiniz ve ISO 27001 belgelendirme hedefleriniz hakkında görüşürüz. Bu temelde, şirketinizin özgün ihtiyaçlarına göre hazırlanmış ayrıntılı bir teklif tarafınıza sunulur.

Bir proje planlama toplantısı, özellikle daha büyük projeler için, örneğin birden fazla lokasyon veya bölüm için denetimlerin performansını ve programlarını daha iyi koordine etme konusunda faydalı olabilir. Ön denetim, yönetim sisteminizin güçlü yanlarını ve iyileştirme potansiyelini önceden belirlemeniz için size bir fırsat sunar. Her iki hizmet de isteğe bağlıdır.

Sertifikasyon denetimi, bilgi güvenliği yönetim sisteminizin analizi ve değerlendirmesiyle başlar (1. aşama denetimi). Burada denetçiniz, yönetim sisteminizin yeterince gelişmiş ve belgelendirmeye hazır olup olmadığını belirler. Bir sonraki adımda (2. aşama sistem denetimi) denetçiniz, ISO 27001 standardını uygulayarak sahadaki tüm yönetim süreçlerinin etkinliğini değerlendirir. Denetim sonucu nihai bir toplantıda sunulur. Gerekirse, aksiyon planları üzerinde anlaşmaya varılır.

Sertifikasyon denetiminden sonra sonuçlar, DQS'in bağımsız sertifikasyon kurulu tarafından değerlendirilir. Tüm standart gereksinimlerinin karşılanması halinde, ISO 27001 sertifikanız düzenlenir.

Başarılı bir sertifikasyondan sonra, sürekli iyileştirmeyi sağlamak için bilgi güvenliği yönetim sisteminizin temel bileşenleri yılda en az bir kez yeniden yerinde denetlenir.

ISO 27001 sertifikası en fazla üç yıl geçerlidir. Yeniden belgelendirme, geçerli standart gerekliliklerine sürekli uyumu sağlamak için sertifika geçerliliği sona ermeden önce gerçekleştirilir. Uygunluk üzerine, yeni bir sertifika düzenlenir.

Banking13.png
Loading...

ISO 27001 belgelendirme maliyeti nedir?

Dört değerlendirme kriteri

ISO 27001 denetimlerinin yapılandırılmış teknik şartnamelere göre yapılmasına rağmen, maliyet, kuruluşunuzun büyüklüğü ve sisteminizin karmaşıklığı gibi çeşitli faktörlere bağlıdır. Bu nedenle, herhangi bir şirket için ortalama teklif paylaşılması mümkün değildir.

ISO 27001 belgelendirme maliyetleri, temel olarak aşağıdaki dört kritere göre belirlenir:

1. Bilgi güvenliği yönetim sisteminizin karmaşıklığı.

Şirketinizin kritik değerleri (örneğin patentler, kişisel veriler, tesisler, süreçler) dikkate alınır. Sertifikanın maliyeti, öncelikle bilgi güvenliği gereksinimlerine ve bundan etkilenecek bilgilerin gizliliği, bütünlüğü ve ulaşılabilirliğinin derecesine bağlıdır.

2. Bilgi güvenliği yönetim sistemi kapsamında firmanızın ana faaliyet alanı

Bu noktada özellikle iş süreçlerinizle ilgili riskler, gerekli denetim çalışmasının belirlenmesinde önemli rol oynamaktadır. Karmaşık, özgün müşteri gereksinimlerinin yanı sıra yasal gereksinimler de dikkate alınır.

3. Bilgi güvenliği yönetim sisteminizde kullanılan ana teknolojiler ve bileşenler

Denetim sırasında, bilgi güvenliği yönetim sisteminizin özgün bileşenlerinin yanı sıra teknoloji de incelenir. Bunlar, BT platformlarını, sunucuları, veri tabanlarını, uygulamaları ve ayrıca ağları içerir. Buradaki temel kural şudur: Standart sistemlerin oranı ne kadar yüksekse ve BT'nizin karmaşıklığı ne kadar düşükse, denetim için harcanan çaba o kadar az olur. ISO 27001 sertifikasının maliyetleri de buna bağlıdır.

4. Bilgi güvenliği yönetim sisteminizdeki kurum içi gelişmelerin oranı

Eğer iç gelişme yoksa ve özellikle standart yazılım platformlarını kullanırsanız, bir değerlendirmenin çabası daha düşüktür. Bilgi güvenliği yönetim sisteminiz kendi kendini geliştiren yazılımın yoğun kullanımı ile karakterize edildiğinde ve bu yazılım merkezi iş alanları için kullanıldığında, sertifikasyon çabası daha yüksek olacaktır.

Bilgi güvenliği yönetim sistemi belgelendirmesi için maliyet konusunda size genel bir bakış sunabilmemiz için, iş modeliniz ve uygulama alanı hakkında kesin bilgilere ihtiyacımız var. Bu şekilde size özel bir teklif sağlayabiliriz.

Daha fazla göster
Daha az göster
Business2.png
Loading...

DQS size neler sunabilir?

  • Yönetim sistemleri ve süreçlerinin belgelendirilmesinde 35 yılı aşkın deneyim
  • Güçlü teknik bilgiye sahip sektörel deneyimli denetçiler ve uzmanlar
  • Şirketinize değer katan iç görüler
  • Uluslararası kabul gören sertifikalar
  • İlgili tüm standartlar için uzmanlık ve akreditasyonlar
  • Uzmanlarımızdan kişisel, sorunsuz destek - bölgesel, ulusal ve uluslararası
  • Esnek sözleşme koşullarına sahip ve gizli maliyet içermeyen özgün teklifler
Contact-middle-east-woman-shutterstock_1461128441.jpg
Loading...

Teklif isteyin

DQS uzmanlarıyla şimdi iletişime geçin.

ISO 27001 bilgi güvenliği sertifikasyonu için size özel bir teklif hazırlamaktan memnuniyet duyarız.

ISO 27001 Denetim Kılavuzu

"ISO 27001 Uygulama kılavuzu - Ek A" ile belirli önlemlerin kendi kuruluşunuzda uygulanıp uygulanmadığını ve/veya nasıl uygulandığını kontrol edebilir ve aksiyon gerekliliklerini belirleyebilirsiniz.

Ücretsiz indirin