Iso 27001 Bilgi Güvenliği Sistemi Nasıl Kurulur? 

ISO 27001 Bilgi Güvenliği Yönetim Sistemi'ni (BGYS) kurmak, bir dizi sistematik adım gerektiren ve genellikle Planla-Uygula-Kontrol Et-Önlem Al (PDCA) döngüsünü takip eden kapsamlı bir projedir.

 

🔒 BGYS Kurulumunun 7 Adımı

1. Planlama ve Organizasyon 🧭

  • Kapsam Belirleme: BGYS'nin sınırlarını, yani hangi bilgi varlıklarını, hangi iş süreçlerini ve kuruluşun hangi birimlerini kapsayacağını tanımlayın.

  • Politika ve Liderlik Taahhüdü: Üst yönetimin, bilgi güvenliğine olan bağlılığını ve BGYS için gerekli kaynakları sağlama taahhüdünü belirten resmi bir Bilgi Güvenliği Politikası yayımlayın.

  • Ekip Oluşturma: BGYS projesini yönetecek ve kuracak yetkili bir ekip atayın.

 

2. Risk Değerlendirmesi ve Yönetimi ⚠️

  • Risk Metodolojisi: Kuruluşunuz için uygun bir risk değerlendirme metodolojisi belirleyin (Örn: Neyi, nasıl, ne zaman, kimin değerlendireceği).

  • Varlıkların Belirlenmesi: Korunması gereken tüm bilgi varlıklarını (donanım, yazılım, veri, fiziksel ortam, personel bilgisi) ve bunların sahiplerini belirleyin.

  • Tehdit ve Zafiyet Analizi: Bu varlıklara yönelik olası tehditleri (siber saldırılar, donanım arızası, insan hatası) ve sistemdeki zafiyetleri (güvenlik açıkları, prosedür eksikliği) analiz edin.

  • Risk Analizi: Her bir tehdit ve zafiyet kombinasyonunun neden olabileceği risk düzeyini (olasılık x etki) hesaplayın.

  • Risk İşleme: Yüksek ve kabul edilemez riskler için uygun risk işleme seçeneklerini (Azaltma, Aktarma, Kabul Etme, Kaçınma) belirleyin.

 

3. Kontrol Seçimi ve Uygulanabilirlik Bildirimi (SoA) 📑

  • Kontrol Seçimi: Risk işleme kararlarına dayanarak, ISO 27001'in Ek A'sındaki 114 güvenlik kontrolünden hangilerinin uygulanması gerektiğini seçin.

  • Uygulanabilirlik Bildirimi (Statement of Applicability - SoA): Seçilen kontrolleri, bunların uygulama nedenlerini, hariç tutulan kontrolleri ve uygulama durumlarını listeleyen resmi belgeyi hazırlayın. Bu, BGYS'nin denetiminde kilit rol oynayan bir belgedir.

 

4. Dokümantasyon ve Süreç Oluşturma 📝

  • Seçilen kontrollerin uygulanmasını ve BGYS'nin işletilmesini sağlayacak prosedürler, talimatlar ve kayıtlar oluşturun (Örn: Erişim Kontrol Prosedürü, Yedekleme Prosedürü, Olay Yönetimi Prosedürü).

  • ISO 27001'in zorunlu kıldığı BGYS hedeflerini ve ölçüm mekanizmalarını tanımlayın.

 

5. Uygulama ve Eğitim 🏃‍♀️

  • Kontrollerin Uygulanması: Yeni güvenlik kontrollerini (fiziksel, teknik ve idari) sistemlerinize ve iş süreçlerinize entegre edin.

  • Eğitim ve Farkındalık: Tüm çalışanlara bilgi güvenliği farkındalık eğitimleri verin. Personele, BGYS'deki rollerini ve sorumluluklarını öğretin.

 

6. İzleme ve Kontrol Etme 🔎

  • Performans Ölçümü: BGYS hedeflerine ulaşılıp ulaşılmadığını ve kontrollerin etkinliğini düzenli olarak ölçün ve izleyin.

  • İç Tetkik: Kurulan sistemin ISO 27001 standardına ve kuruluşun kendi prosedürlerine uygunluğunu kontrol etmek için bağımsız iç denetimler gerçekleştirin.

  • Yönetimin Gözden Geçirmesi: Üst yönetimin, sistemin uygunluğunu, etkinliğini ve risk durumunu periyodik olarak değerlendirdiği resmi toplantılar yapın.

 

7. Sertifikasyon Denetimi ve Sürekli İyileştirme ✅

  • Düzeltici Faaliyet: İç tetkiklerde veya operasyonda tespit edilen uygunsuzluklar için kök neden analizi yapın ve gerekli düzeltici faaliyetleri uygulayın.

  • Sertifikasyon: Akredite bir belgelendirme kuruluşuna başvurarak, Aşama 1 (Doküman İncelemesi) ve Aşama 2 (Saha Denetimi) denetimlerinden geçin.

  • Sürekli İyileştirme: Değişen risk ortamına ve teknolojiye uyum sağlamak için sistemi sürekli olarak güncelleyin ve iyileştirin.

İlginizi Çekebilecek Konu Başlıkları
BU KONU HAKKINDAKİ YORUMUNUZ NEDİR?
KULLANICI GİRİŞİ

Gmail Hesabım İle Bağlan

Yeni Kayıt Formu
Şifremi Unuttum?