Sistemli bir bilgi güvenliği
Kanıtlanabilir veri ve bilgi güvenliği
Kurum kültürünün bir parçası olarak güvenlik
Risk yönetim sürecinin etkin bir şekilde uygulanması
Güvenlik seviyesinin sürekli iyileştirilmesi

ISO 27001 nedir?
Bilgi bizi her yerde çevreler ve her sürecin bir parçasıdır. Bazen önemsiz olabilir, ancak çoğu zaman kritik ve gizlidir. Kuruluşunuzda bu önemli ayrımı yapabilmek için öncelikle bilgileri sınıflandırmak gerekir. Bunun nedeni, ISO 27001 Bilgi Güvenliği Yönetim Sisteminin koruyucu önlemlerinin bu sınıflandırmaya dayanmasıdır.
Bilgi güvenliği yönetim sistemi, operasyonel verileri ve gizliliğini korumak için bir çerçeve oluşturur. Aynı zamanda, küresel olarak tanınan standart, kurumsal süreçlerde yer alan BT sistemlerinin kullanılabilirliğini sağlar. Bu bağlamda, ISO 27001 sertifikası piyasaya güçlü bir sinyal gönderir: bağımsız dış değerlendirme ile bilgi güvenliği yönetim sisteminizin etkinliğinin kanıtı.
EN ISO/IEC 27001:2017-06 ile Avrupa Standardizasyon Komitesi (CEN) tarafından koordine edilen bir versiyon yayınlandı. Bu, iki düzeltmeyi (corrigenda) Cor 1:2014 ve Cor 2:2015'i birleştirir. Düzeltmeyle ilgili değişiklikler, yalnızca ilgili gereksinimlerin iyileştirilmiş bir tanımını içerir, ancak yeni ek gereksinimler içermez. Böylece ISO/IEC 27001:2013 versiyonuna göre sertifikalar geçerliliğini korur.

ISO 27001 sertifikası hangi şirketler için uygun?
Örneğin Almanya'da, Kritik Altyapı Sektörüne (KRITIS) ait olan ve belirli bir eşiği aşan şirketler, bilgi güvenliklerini nasıl sağladıklarına dair kanıt sağlamalıdır. KRITIS sektörleri arasında enerji, su, sağlık, finans ve sigorta, gıda, ulaşım ve trafik, bilgi teknolojisi ve telekomünikasyon yer almaktadır. İlgili uygulama kanıtı; güvenlik denetimleri, testler veya sertifikalar ile sağlanabilir. Bu amaçla, denetim için temel olarak ya ISO 27001 gibi tanınmış standartlar ya da alternatif olarak Alman Federal Bilgi Güvenliği Dairesi (BSI) tarafından tanınan sektöre özgü güvenlik standartları kullanılabilir.

ISO 27001'in avantajları nelerdir?
Uygulama için özellikle değerli olan, standardın Ek A'sında yer alan tedbirlerin uygulanmasıdır. Yönetim sistemi odaklı gereksinimler bölümüne (bölüm 4 ve 10) ek olarak, ISO standardı, Ek A'daki 14 bölümde çok çeşitli güvenlik yönleri için 114 somut önlemle birlikte 35 önlem hedefinin (kontrollerinin) kapsamlı bir listesini içerir. Önlemler yönetim sistemi çerçevesinde uygulanmalıdır. Bu önlemler, şirketinizle ilgili oldukları ölçüde, yönetim sisteminin bir parçası olarak uygulanmalıdır.
Şirket süreçlerinin ISO 27001 ile tutarlı bir şekilde uyumlu hale getirilmesinin bir dizi fayda sağladığı kanıtlanmıştır:
- Güvenlik seviyesinin sürekli iyileştirilmesi
- Mevcut risklerin azaltılması
- Uyumluluk gereksinimlerine bağlılık
- Çalışanlar arasında daha fazla farkındalık
- Artan müşteri memnuniyeti
Üst yönetimin katılımıyla yapılan iç denetimler ve yönetim incelemeleri, bunu başarının iç araçlarıdır.
Diğer olumlu yönler; denetim makamları, sigorta şirketleri, bankalar, ortak şirketler gibi ilgili tarafların şirketinize yönelik daha yüksek bir güven düzeyi oluşturmasıdır. Bunun nedeni, sertifikalı bir yönetim sisteminin, kuruluşunuzun risklerle yapılandırılmış bir şekilde ilgilendiğini ve sürekli iyileştirmeye (CIP) odaklandığını ve böylece onu istenmeyen etkilere karşı daha dirençli hale getirdiğini göstermesidir.
Uluslararası ISO/IEC 27001 standardı, ISO 9001 (kalite yönetimi) veya ISO 14001 (çevre yönetimi) gibi diğer yönetim sistemlerinden bağımsız olarak da uygulanabilir ve sertifikalandırılabilir.

Hangi şirketler ISO 27001 belgelendirme konusunda yetkilidir?
Ek olarak, ISO/IEC 27006, ISO 27001 bilgi güvenliği yönetim sistemini sertifikalandırmak için belgelendirme kuruluşlarının uyması gereken katı gereksinimleri tanımlar.
Şunları içerir:
- Belirtilen denetim çabasının kanıtı
- Denetçilerin nitelikleri için gereklilikler.
DQS, ulusal Alman akreditasyon kuruluşu DakkS (Deutsche Akkreditierungsstelle GmbH) tarafından akredite edilmiştir ve ISO 27001'e göre denetim ve sertifikalandırma yetkisine sahiptir.
Şirketinizin faaliyet gösterdiği sektör ne olursa olsun, DQS denetçilerinin ayırt edici uzmanlığına güvenebilirsiniz. Denetçilerimiz çeşitli sektörlerde bilgi güvenliği yönetim sistemlerinin değerlendirilmesinde uzun yıllara dayanan deneyime sahiptirler.

ISO 27001 sertifikası nasıl alınır?
ISO 27001'in tüm gereklilikleri yerine getirildikten sonra yönetim sisteminizi sertifikalandırabilirsiniz. DQS'te çok aşamalı bir belgelendirme sürecinden geçersiniz. Şirketinizde halihazırda sertifikalı bir yönetim sistemi kurulmuşsa süreç kısaltılabilir.
İlk adımda sizlerle şirketiniz ve ISO 27001 belgelendirme hedefleriniz hakkında görüşürüz. Bu temelde, şirketinizin özgün ihtiyaçlarına göre hazırlanmış ayrıntılı bir teklif tarafınıza sunulur.
Sertifikasyon denetimi, bilgi güvenliği yönetim sisteminizin analizi ve değerlendirmesiyle başlar (1. aşama denetimi). Burada denetçiniz, yönetim sisteminizin yeterince gelişmiş ve belgelendirmeye hazır olup olmadığını belirler. Bir sonraki adımda (2. aşama sistem denetimi) denetçiniz, ISO 27001 standardını uygulayarak sahadaki tüm yönetim süreçlerinin etkinliğini değerlendirir. Denetim sonucu nihai bir toplantıda sunulur. Gerekirse, aksiyon planları üzerinde anlaşmaya varılır.
Sertifikasyon denetiminden sonra sonuçlar, DQS'in bağımsız sertifikasyon kurulu tarafından değerlendirilir. Tüm standart gereksinimlerinin karşılanması halinde, ISO 27001 sertifikanız düzenlenir.
Başarılı bir sertifikasyondan sonra, sürekli iyileştirmeyi sağlamak için bilgi güvenliği yönetim sisteminizin temel bileşenleri yılda en az bir kez yeniden yerinde denetlenir.
ISO 27001 sertifikası en fazla üç yıl geçerlidir. Yeniden belgelendirme, geçerli standart gerekliliklerine sürekli uyumu sağlamak için sertifika geçerliliği sona ermeden önce gerçekleştirilir. Uygunluk üzerine, yeni bir sertifika düzenlenir.

ISO 27001 belgelendirme maliyeti nedir?
ISO 27001 belgelendirme maliyetleri, temel olarak aşağıdaki dört kritere göre belirlenir:
1. Bilgi güvenliği yönetim sisteminizin karmaşıklığı.
Şirketinizin kritik değerleri (örneğin patentler, kişisel veriler, tesisler, süreçler) dikkate alınır. Sertifikanın maliyeti, öncelikle bilgi güvenliği gereksinimlerine ve bundan etkilenecek bilgilerin gizliliği, bütünlüğü ve ulaşılabilirliğinin derecesine bağlıdır.
2. Bilgi güvenliği yönetim sistemi kapsamında firmanızın ana faaliyet alanı
Bu noktada özellikle iş süreçlerinizle ilgili riskler, gerekli denetim çalışmasının belirlenmesinde önemli rol oynamaktadır. Karmaşık, özgün müşteri gereksinimlerinin yanı sıra yasal gereksinimler de dikkate alınır.
3. Bilgi güvenliği yönetim sisteminizde kullanılan ana teknolojiler ve bileşenler
Denetim sırasında, bilgi güvenliği yönetim sisteminizin özgün bileşenlerinin yanı sıra teknoloji de incelenir. Bunlar, BT platformlarını, sunucuları, veri tabanlarını, uygulamaları ve ayrıca ağları içerir. Buradaki temel kural şudur: Standart sistemlerin oranı ne kadar yüksekse ve BT'nizin karmaşıklığı ne kadar düşükse, denetim için harcanan çaba o kadar az olur. ISO 27001 sertifikasının maliyetleri de buna bağlıdır.
4. Bilgi güvenliği yönetim sisteminizdeki kurum içi gelişmelerin oranı
Eğer iç gelişme yoksa ve özellikle standart yazılım platformlarını kullanırsanız, bir değerlendirmenin çabası daha düşüktür. Bilgi güvenliği yönetim sisteminiz kendi kendini geliştiren yazılımın yoğun kullanımı ile karakterize edildiğinde ve bu yazılım merkezi iş alanları için kullanıldığında, sertifikasyon çabası daha yüksek olacaktır.
Bilgi güvenliği yönetim sistemi belgelendirmesi için maliyet konusunda size genel bir bakış sunabilmemiz için, iş modeliniz ve uygulama alanı hakkında kesin bilgilere ihtiyacımız var. Bu şekilde size özel bir teklif sağlayabiliriz.

DQS size neler sunabilir?
ISO 27001 Denetim Kılavuzu
"ISO 27001 Uygulama kılavuzu - Ek A" ile belirli önlemlerin kendi kuruluşunuzda uygulanıp uygulanmadığını ve/veya nasıl uygulandığını kontrol edebilir ve aksiyon gerekliliklerini belirleyebilirsiniz.