ISO 27001 27000 BELGESİ NEREDEN KİMDEN HANGİ FİRMALARDAN ALINIR ?
ISO 27001 Belgesi Nereden Kimden Hangi firmalardan alınır ?
ISO 27001 Belgesi öncelikle bir danışmanlık firmasında daha sonra ise ISO 27001 Belgelendirme kurumlarından alınır
ISO 27001 Belgesi nereden alınır kimden alınır sorusuna aşağıdaki konuları biraz açarak devam edelim.
iso 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi almak İsteyen kuruluşlar için Danışmanlık Hizmeti gerekli mi?
ISO 27001 danışmanlık firmasından danışmanlık almak zorunlu değildir Ancak ıso 27001 standardın şartlarını uygun bir çerçevede yerine getirmek, sistemi hızlı kurmak ve ıso 27001 standart gereklerini uyarlamak için danışmanlık alınması tavsiye edilir.
Hiçbir standart kendisinin kurulması için danışmanlık alınması gerekliliğini bir zorunluluk olarak ortaya koymaz.
Fakat ISO 27001 Bilgi Güvenliği Standardına göre sistem kurmak kolay bir iş değildir Bu konuda profesyonel olan danışmanlık şirketlerinden hizmet almak çok akıllıca bir harekettir.
Çünkü Bilgi güvenliği hususunda iyi bir danışman firma ise kuruluşunuzu ISO 27001 standardının zorunlu olmadığız halde uygulamaya maruz bırakılacağınız bir çok maddesi ile ilgili maliyetten kurtarabilir veya sisteminizin daha kısa sürede ve etkin bir biçimde işlemesini sağlayabilir.
Danışmanlık firmasında ISO 27001 bilgi güvenliği sistemini kurma için ödeyeceğiniz ücret sizin zorunlu olmadığınız halde veya riski üstlenebileceğiniz durumlar için harcayacağız ücret ve zamanın yanında çok küçük meblağlara tekabül etmektedir.
Örnek : Örneğin sistem kurarken yangın da bilgilerinizin bütünlüğü ve ulaşılabilirliği ile ilgili risklerinizin olduğunu varsayalım mevcutta da bir manuel şekilde işleyen bir yangın söndürme sisteminizin olduğunun düşünelim size ISO 27001 bilgi güvenliği yönetim sisteminin bir şartı olarak otomatik yangın sistemi oluşturmanız gerektiği söylenebilir. Halbuki bazı riskler vardır ki üst yönetim bu konuda riski üstlenebilir ve riskin getirdiği tehlikelere katlanabilir. Riski üstlenme ve katlanma maliyetleri otomatik yangın sistemini kurmaktan daha az maliyet içerebilir.
ISO 27001 Belgelendirme Kuruluşunda Aranacak Özellikler ?
Sektörde kabul edilmiş, Ulusal ve Uluslararası tanınırlığı olan, ve Akreditasyon kuruluşlarından ISO 27001 Bilgi Güvenliği Hususunda akredite olmuş,Belgelendirme denetimcilerinin alan uzmanlıklarına sahip olan firmalar tercih edilmelidir.
Burada şu hususta çok önemlidir; Belgelendirme kuruluşu akreditasyon kurallarına ne kadar uyuyor eğer uymuyorsa örneğin denetimin gün sayısı denetlemeden belge vermesi vb hususlarda olduğu gibi o belgelendirme kuruluşundan uzak durmanız gerekir. Çünkü akreditasyon kurumu akreditasyon kurallarına uymayan belgelendirme kuruluşlarının yetkisi elinden almaktadır bu da şu anlama gelmektedir. O kadar uğraş verip aldığınız belgenin iptal edilmesi veya geçersiz hale gelmesidir.
ISO 27001 Belgelendirme Kuruluşu Denetimlerde Ne Yapar Süreç Nasıl işler ?
Belgelendirme kuruluşu ile anlaş yapıp sözleşme imzalandıktan sonra 1. Aşama denetim için karşılıklı gün belirlenir.
AŞAMA -1 ISO 27001 Bilgi Güvenliği Yönetim Sistemi Denetimi Bağımsız
Birinci aşamada ISO 27001 Bilgi Güvenliği Yönetim Sistemi denetim / belgelendirme kuruluşu, hazırlanan dokümantasyonun gizlilik içeren dokümanları hariç,
- ISO 27001 Bilgi Güvenliği Yönetim Sistemi Risk yaklaşım metodu dokümantasyonu (risk değerlendirme ve derecelendirme kısımları, hafifletme planları, penetrasyon testleri vb. bölümleri hariç)
- ISO 27001 Bilgi Güvenliği Yönetim Sistemi Bilgi Güvenliği Yönetim Sistemi Politikaları
- ISO 27001 Bilgi Güvenliği Yönetim Sistemi Prosedür ve prosesler
- ISO 27001 Bilgi Güvenliği Yönetim Sistemi Seçilen kontrol kriterleri ve kapsam dışı bırakılan kriterlerin neden bırakıldığına ilişkin kararları
- ISO 27001 Bilgi Güvenliği Yönetim Sistemi Uygulanabilirlik bildirgesi Üzerinden gerekli değerlendirmeleri yapar.
ıso 27001 Bilgi Güvenliği Yönetim Sistemi Standardına göre eksiklikler tespit edilmişse veya öneriler varsa bunların yapılandırmasını talep edebilir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Aşama -1 denetimi sonuçlandıktan sonra sistemin uygulanmasına geçilerek Aşama 2 denetimi için gün belirlenir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi AŞAMA -2 DENETİMİ
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Aşama-1 denetiminden itibaren en erken 15 gün en çok 3 ay içinde ISO 27001 Bilgi Güvenliği Yönetim Sistemi Aşama-2 denetimi gerçekleştirilir. Bu denetimde kurulan sistemin uygulamaları gözden geçirilir ve uygulamaya yönelik olarak şartlar ve şartların yerine getirildiğine dair objektif deliller toplanarak denetim sonuçlandırılır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Denetim sonrası denetçiler raporlarını oluşturarak sistemin yeterlilikleri, eksiklikleri ve önerilerini içeren bir raporla iso 27001 belgesi verilmesi taleplerini belgelendirme kuruma iletirler.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgelendirme Sertifika düzenleme
ISO 27001 Belgelendirme kurumu şirketi uygun görmesi halinde kurumun TS / ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesini veya sertifikasını düzenler.
