Her şirketin sahip olduğu yumuşak karnı ve korunması gereken hassas bilgileri mutlaka bulunabiliyor. Hassas bilgilerin korunabilmesi, güvence altında tutulması kuruluşun bilgi varlıklarını belirlemesi ve gerekli olabilecek prosedür ve politikaları hazırlaması gerekiyor. Üstelik bilgi teknolojileri alanında faaliyet gösteriyor olsa dahi çoğu kuruluş (BGYS) iso 27001 bilgi güvenliği yönetim sistemi belgesi hakkında bilgi sahip değil. İyi haber ise bilgi güvenliği uzmanlarının sayısının giderek artıyor olması.
Çoğu şirkette farkında olunmadığı durumlarda bile terabaytlarca bilgiye tüm çalışan personel kolaylıkla erişebiliyor. Bu durumu kontrol altına almak ancak sağlıklı yürütülen ve anlaşılmış iso 27001 bilgi yönetim sistemi belgesiyle mümkün. Zira olası bir veri kaybının potansiyel maliyeti olası tüm yönleriyle ele alındığında muazzam büyüklüklere erişebilir. Bu sebeple şirketlerin iso 27001 bilgi güvenliği belgesi için teknolojilerini şekillendirmeleri gerekiyor.
Şirketlerin artan teknolojik isterleri doğrultusunda bilgi teknolojileri beklentileri özellikle bilgi güvenliği sahasında arttığında iso 27001 standardı belgesini yayınlayarak şirketler için bilgi güvenliği rehberini piyasaya zamanında vermiş oldu. Dünyanın en iyi bilgi güvenliği uzmanlarının hazırladığı (iso 27001 teknik komitesi) bilgi güvenliği yönetim sistemi, gizli risklerin açığa çıkarılması ve etkisiz hale getirilmesi için onlarca yol sunmaktadır.
ISO 27001’i Benimsemek
Şirket olarak ISO 27001’i benimsemek onlarca potansiyel (açığa çıkarmanız için bekleyen) faydaya sahiptir. ISO 27001 standartı yönetmeliklere ve sözleşme gereklerine uymanıza yardımcı olacaktır. ISO 27001 sertifikası aldığınızda çalıştığınız iş ortaklarınıza, tedarikçi ve müşterilerinize kısaca iş yaptığınız tüm taraflara, bilgi ve bilgi güvenliği konusunu ciddiye aldığınıza dair olumlu bir sinyal iletecektir.
Olası bir veri ihlali (olay kayıtları) sonucunda kaybedebileceğiniz para, iso 27001 belgesinin fiyatından çok daha yüksektir. Süreci uygulamak oldukça kolaydır, ilk aşama dokümantasyon süreci dışında. Bu dokümante etme (prosedür ve bilgi güvenliği politikalarının hazırlanması) tamamlandığında artık uygulanmaya hazır bir iso 27001 dosyanız ve güven vermeniz için sahip olduğunuz iso 27001 sertifikası bulunuyor olacaktır. Şirketinizde bilgi güvenliği dokümanlarına verdiğiniz emeklerin karşılığını en üst seviyede geri almak istiyorsanız “olay riskini” azaltmanız gerekmektedir.
ISO 27001 yönetim sistemi için bir çerçeve sağlamak, başlangıçta “kuruluşun bağlamının anlaşılması” ve bu bağlamın altında yer alan “bilgi güvenliği yönetim sisteminin kapsamı” alanlarının dikkatlice hazırlanması gerekiyor.
Bilgi güvenliği yönetim sistemi (BGYS) politikasının hazırlanması ve duyurulması kritik öneme sahip notlar arasındadır. Her şeyi kapsaması gerekmez, ancak bir bağlam, hedef belirleme kuralları ve risk değerlendirme kriterleri sağlamalıdır. Bu hassasiyet üst yönetiminin liderliğiyle birlikte projenin yönlendirmesini kolaylaştıracaktır.
Riski tanımlamak ve çeşitli güvenlik açıklarının ve tehditlerin farklı varlıklar üzerindeki olasılığını ve potansiyel etkisini ölçen kabul edilebilir risk düzeylerini tanımlamak için açık bir dizi kural belirleyerek işe başlayın. Riski değerlendirmek ve kuruluşunuzun bilgilerine yönelik tüm tehditlerin kapsamlı bir resmini oluşturmak için kurallarınızı kullanın.
Şimdi tüm potansiyel risklerinizi ISO 27001 Ek A’da tanımlanan kontrollerle çapraz referans yapmanız ve bir Uygulanabilirlik Beyanı hazırlamanız gerekmektedir. Temelde yaptığınız şey, kuruluşunuz için geçerli olan kontrolleri seçmek ve ihtiyacınız olmayanları atmaktır. Bu, risklerinizi ele almak için somut bir planın başlangıcını verecektir. Bir sonraki adım, kontrolleri belirli kişilere atamak ve uygulama için bir zaman çizelgesi ve bütçe tanımlamaktır.
Bu aşamada, kontrollerin amaçlandığı gibi uygulandığını nasıl test edeceğinizi düşünmeniz çok önemlidir. Yerine getirmenin doğrulanması için açık hedefler ve bir süreç olmalıdır.
İlgili kontrolleri yerine getirmeye hazırsınız. Her adımı belgeleyin ve ihtiyaç duyacağınız tüm prosedürleri ve politikaları hazırlayın. ISO 27001 hazırlanması zorunlu sayılabilecek uzun bir kalite kayıtları doküman listesi öngörmektedir. Ayrıca, yeni teknolojiyi kullanıma sunmanız ve tüm personeli etkileyecek şeylerin yapılma biçiminde değişiklikler planlamanız da gerekecektir.
BGYS için personele verilecek “farkındalık” eğitimlerinin herhangi bir şirket için hayati önem taşıdığını biliyoruz, ancak yeni güvenlik denetimlerinizin, politikalarınızın ve prosedürlerinizin uygulanmasının neden gerekli olduklarını ve ne yapmaları gerektiğini net bir şekilde açıklamanızla birleştirmeniz özellikle önemlidir. Çalışanların davranışlarını buna göre değiştirebilmeleri için kendilerinden ne beklendiğini” biliyor olmaları gerekir.
İlk başta hazırladığınız BGYS politikasına aksine bir durum belirtilmedikçe gözden geçirilmesi ve güncellenmesi ve kurduğunuz bilgi güvenliği yönetim sisteminin başarılı olup olmadığının anlaşılması amacıyla gereken kontrollerin yılda bir kez yapılmak üzere (iç tetkiklerin, kalite hedeflerinin ve performansın ölçümü) planlanması yeterli olmaktadır.
Planladığınız kontrollerinizin etkinliğini (performans değerlendirme analizleri) ölçün ve 5. adımda belirlediğiniz kriterlere göre yerine getirildiğini doğrulayın. Son olarak iso 27001 bilgi güvenliği yönetim sisteminin tam bir değerlendirmesini yapın, her şeyi belgelendirin ve yetersiz kaldığınız tüm alanları ortaya çıkarmaya çalışın.
Son adımda bulduğunuz sorunları inceleyin ve bunları en iyi nasıl çözeceğinizi değerlendirin. Ortaya çıkan sorunların kök nedenlerine inin ve uygun şekilde önleyici veya düzeltici önlemler uygulayın. Standardı sürdürmeyi düşünüyorsanız, ölçme, değerlendirme ve oyunculuk işlemlerinin devam etmesi gerektiğini unutmayın. Eğer iso 27001 belgesini neden almanız gerektiğine dair bir fikriniz oluştuysa nasıl alabileceğinizi www.adlbelge.com firmasından öğrenebilirsiniz.