Iso 27001 Bilgi Güvenliği Sistemi Nasıl Kurulur? 

Iso 27001 bilgi güvenliği sistemi nasıl kurulur konusunuz sizler için aşağıda maddeler halinde anlatmaya çalıştık.

• Bütünlük, Gizlilik ve Erişebilirlik kriterlerine alakalı varlıkların değerlendirilmesi,
• Risk incelemelerinin yapılması,
• Risk analizi çıktılarına uygulanacak kontrollerin belirlenmesi,
• Sistemi istediği ve gerekli dokümantasyonların oluşturulması,
• Kontrollerin teorik olarak uygulanması,
• İç tetkikin yapılması
• Kayıtların saklanması
• Yönetimin incelenmesi
• Belgelendirme gibi faaliyetler
• Bilgi güvenliği Yönetim Sistemi uygulamaları

Kurulum Aşamalarına geçmeden konuyla ile alakalı bilinmesi gereken gerçeklerden bahsetmek gerekir. Öncelikle yarar sağlaması ve sağlıklı işleyiş açısından BGYS kurulum isteği kurumun üst idare tarafından benimsenmelidir. Üst yönetim vermiş olduğu desteğin BGYS’nin başarıya ulaşması açısından hayati öneme sahiptir. Ilk olarak üst idare BGYS’ nin gerekliliğine ve faydasına inanmalıdır. Bu birincil koşuldur. Diğer önemli bir koşul ise, BGYS kurulumu bir B.T sistemi veya ürünü kurulumu ile karıştırılmamalıdır. BGYS kurumun iş yapma tarzına etki eden köklü bir sistemdir ve kurumu tümden etkiler. Tüm kademelerdeki personeller işini yaparken bilgi güvenliği prensiplerine göre hareket etmesini gerekli kılar. Bu bilincin oluşması ve işleyişe lanse edilmesi bir gelişim sürecinin sonucu olacaktır.

Bir önceki bölümde bahsedildiği gibi BGYS sürekli bir gelişim basamağıdır. BGYS ile ilgili en bilindik yanlış kanılardan bir adedi de bunun yalnız kurumun B.T bölümüne ait bir iş olduğunun akla gelmesidir. BGYS teknik bir iş veya bir teknoloji meselesi değildir. Tüm kurumun çalışır halde katılımıyla hedefine ulaşabilecek bir ağdır. En üst kademe idareciden en alt seviye personeline kadar katılım ve destek gerekmektedir. Aksi halde BGYS' den beklenen yararın elde edilmesi mümkün olmayacaktır. Etkin bir BGYS kurulumu konusunda yapılması gereken işlerden bir diğeri de kuruluş içinde bir Bilgi Güvenliği Komisyonu oluşturulmasıdır.

Bilgi güvenliği komisyonu (Güvenlik Forumu da denir) kuruluş bünyesinde her bölümden temsilcilerden meydana gelir. Bilgi işlem, muhasebe, iç denetim, insan kaynakları, güvenlik ve diğer tüm bölümlerden temsilciler bu komisyonda yerinin almalıdır. Komisyon temsilcileri bilgi güvenliği hakkında bilgili ve deneyimli, bunun yanında kendi bölümlerini temsil edebilme görevine sahip kişiler olmalıdır. Komisyon temsilcileri bilgi güvenliği konusunda yeterli bilgi donanımına sahip değilse mutlaka BGYS eğitimleri almaları gerekmektedir.

Tüm bölümlerden temsilcilerin komisyonda yer bulması BGYS’ nin başarı şansını yükseltir. BGYS’ in kurumun hepsine nüfuz etmesini kolaylaştırır. Kurum çapındaki güvenlik gereksinimleri daha etkin bir şekilde farkında olunmasını olanak sağlamaktadır. Bu durum BGYS’ in doğru planlanması ve sağlıklı işlemesi hususunda hayati öneme sahiptir.

Her bölümden bir temsilcinin aktif rol alması yönetim ve teknik kadro arasındaki iletişim aksaklıklarının gidermesine de yardımcı olur. Sorunları ve gereksinimleri yerinde yaşayan kişiler belirli konularda yönetimin daha rahat bir şekilde ikna edilmesine olanak sağlamaktadır. Bilgi güvenliği komisyonu neticesinde BGYS ile ilgili yetki ve sorumluluklar da kuruluşun bünyesinde eşit bir şekilde görev dağılımı olur. Daha önce de belirtildiği üzere BGYSyalnız B.T bölümüne ait bir iş değildir.