Kuruluşunuzun en değerli varlıklarından birisi de sahip olduğu bilgidir. ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi, kuruluşunuzda mevcut kurumsal bilgiler, gizliliği olan bilgiler, müşteri bilgileri gibi bilgilerin korunmasına yönelik uluslararası geçerli ve uygulanabilir bir sistem ve metot sağlar. 

 

ISO 27001:2013 Bilgi Güvenliği Yönetim Sisteminin kuruluşunuz açısından kazanımları:

 

• İhracat yapıyor iseniz “yetkili yükümlü statüsü” kazanır ve gümrükleme işlemlerinizi kolay ve ekonomik kılarsınız. 

• Bilgi ile ilgili varlıklar hakkında kuruluşunuzun tamamında farkındalık artışı sağlanır. 

• Bilgi ile ilgili varlıkların korunmasında etkin bir metot ve sisteme kavuşursunuz. 

• Bilginizi koruyarak ve muhafaza ederek, herhangi bir olumsuz kayıp durumunu bertaraf eder, iş sürekliliği sağlarsınız. 

• Müşterileriniz ve diğer ilgili tarafların size duyduğu güveni artırırsınız. 

• Kuruluş imajınızı güçlendirirsiniz. 

• Tüm taraflarca yapılabilecek bilgi tacizleri, bilgi saklama hataları ve belki de suiistimallerini önlersiniz. 

 

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi danışmanlık faaliyetlerimiz 10 aşamalıdır: 

 

1- Durum tespiti ve raporlama: Kuruluşunuzda uygun bilgi güvenliği sistemi kurulabilmesi için altyapı koşulları, mevcut işleyişi, dokümantasyon, kaynak yönetimi, sorun giderme ve iyileştirme mekanizması, bilgi güvenliğine yönelik tedbirler, prosesler ve faaliyetler incelenerek değerlendirme ve ihtiyaçlar bir rapor halinde kuruluş yönetimine sunulur. 

2- Proje programı ve organizasyon planlaması: Proje boyunca gerçekleştirilecek faaliyetler ve bunların sorumluları bir zaman programı üzerinde belirlenir ve karşılıklı onaylanır. Bir proje ekibi kurulur ve bir lider ataması yapılması sağlanır. 

3- Temel eğitimlerin verilmesi: 

• ISO 27001:2013 Temel Eğitimi (Exclusive) – Yöneticilere 

• ISO 27001:2005 Temel Eğitimi – mavi yaka personele 

4- Dokümantasyonun hazırlanması – sistem kurulumu: 

a. Bilgi güvenlik politikası belirleme ve bilgi güvenliği organizasyonunun yapılması 

b. Varlık yönetiminin kurulması:

• İnsan kaynakları ve diğer tüm varlıkların açıkça tanımlaması (yazılımlar, bilgi güvenliği ile ilgili iletişim araçları dahil tüm donanım, bilgisayar ve iletişim hizmetleri, personel, itibar ve imaj) 

• Varlık envanterinin hazırlanması,

• Varlık risk gruplamaları ve risk değerlendirmelerinin yapılması, 

• Veri Tabanı, sözleşme ve anlaşmalar, sistem dokümantasyonu ve diğer bilgilerin düzenlenmesi  

c. Herhangi bir sorun, afet ya da saldırıdan sonra normal çalışma şartlarına dönmek için gereken tüm bilgilerin hazırlanması ve yönetim planlarının yapılması.

d. Bilgi güvenliği için insan kaynakları yönetimi (işe alma, işe geliş çıkış, işten çıkartılma şartları) ve yönetimi.

e. Çevre ve fiziksel güvenlik tedbirleri ve yönetimi: 

• Tesis sınır güvenliği ve tesislerinin yönetimi (giriş, kart kontrollü giriş, izleme, duvar, ziyaretçiler için giriş çıkış altyapısı ve uygulamaları v.b.) 

• Kuruluş içi yetkili personel girişi düzenlemesi ve kontrol mekanizması kurulması ve yönetimi. 

• Hassas bilgilerin bulunduğu alanlar (kimlik doğrulama kartı ve PIN koruması gibi yöntemlerle) yetkisiz erişime kapatılması.

• Ofis ve odaların fiziksel güvenlik önlemleri 

• Bilgi işlem ile ilgili merkez ve alanların içsel ve dışsal iletişim ağının düzenlenmesi ve yönetimi.

• Tabii afetler, saldırı, toplumsal kargaşa gibi tehditlere karşı fiziksel koruma tedbirlerinin düzenlenmesi ve yönetimi.

• Yedeklenmiş bilgi ve yedekleme sistemlerin kontrolü, güvenliği ve yönetimi.

• Kayıt cihazlarının kontrolü ve yönetimi.

• Kötü niyetli girişimlere engel olma çalışmaları ve yönetimi.

• Elektrik şebekesine bağlantı, yedek bağlantı, kesintisiz güç kaynağı gibi elektrik arızalarından koruma tedbirleri ve yönetimi.

• Güç ve iletişim kablolarının fiziksel etki ve dinleme faaliyetlerine karşı korunması, kontrolü ve yönetimi. 

• Bağlantı panellerine kontrollü erişim. 

• Sistem çalıştırma/durdurma 

• Kötü niyetli yazılımlara karşı bulma, önleme ve düzeltme tedbirleri ve yönetimi. 

• Yabancı ağlardan ve diğer medyadan dosya veya yazılım alınmasına ilişkin risklerden korunma yönetimi. 

• Ağ üstünden veya diğer ara yüzlerden masaüstü bilgisayarlara veya sunuculara giren dosyalar, eposta ekleri ve bağlanılan internet sayfalarının içeriklerinin kontrolleri yönetimi ve politikalarının oluşturulması.

• Yedekleme ve kötü amaçlı yazılımlar için  testler. 

• Ağ ve servislere yetkisiz erişimin engellenmesi.

• Uzaktan erişim yazılım ve donanımının kontrolü, sorumluluklar ve yönetimi. 

• Fiziksel veri taşıyıcılarının kontrolü ve yönetimi.

• Maillere ve mesajlara eklenmiş hassas bilgilerin korunması ve yönetimi.

• Arşivleme, arşivdeki bilgilerin imhası ve yönetimi.

• Fotokopi makinesi, yazıcı ve faks cihazlarında hassas bilgi içeren belgelerin yönetimi.

• Elektronik mesajların harici posta kutularına iletilmemesi için yapılacak düzenlemeler.

• Personelin iç ve dış iletişim yönetimi.

• Otomatik cevap sistemlerinin yönetimi.

• Bilgi güvenliği denetimlerin yapılması ve yönetimi.

• Kurum dışına çıkan donanımın, yazılımın ve kişilerin denetlenmesi, personel ve sistem aktivitelerinin takibi, bilgisayar ortamındaki kaynak kullanımının izlenmesi ve yönetimi

• Lisans anlaşmaları. 

• Kurulum öncesi kod araması ve yönetimi.

f. Bilgi güvenliği ihlal olayları önleme, kontrol altına alma ve yönetimi.

g. Erişim güvenliği, kontrol altında tutulması ve yönetimi.

h. LOG Yönetimi

i. Kullanıcı Erişim Yönetimi

j. Ağ Güvenliği ve Yönetimi

k. Tedarikçi Yönetimi 

l. İş Sürekliliği Yönetimi

 

Kurulacak olan Bilgi Güvenliği Yönetim Sistemleri çalışmaları sırasında hazırlanacak dokümanların başlıkları:

• Bilgi Güvenliği Yönetim Sistemi El Kitabı,

• Varlık Envanterleri,

• Risk değerlendirme metodolojisi,

• Risk değerlendirme raporları,

• Risk işleme planları,

• Uygulanabilirlik Bildirgesi,

• Varlık Yönetimi,

• Politikaların oluşturulması,

• Sistem Prosedürlerinin hazırlanması

• Görev tanımları ve yetkilendirmeler

• Sistem Talimatlarının hazırlanması

• Sistem Planların Hazırlanması 

• Sistem uygulamasının yapılması ve kontroller

5- Sistemin yürürlüğe alınması: Dokümante edilmiş sistem, onay sonrası yürürlüğe alınır ve uygulamalar organize edilir.  

6- İç Denetçi Eğitimi 

. Kuruluşunuzda sisteminizin doğru ve uygun olup olmadığını, sistemin etkin olup olmadığını tetkik etmeniz zorunludur. Bunun için gerekli bilgi ve ön deneyimi kazandırıcı bir eğitim programı düzenlenmektedir (ISO 19011 referans alınmaktadır). 

7- Düzeltmeler ve düzeltici faaliyetler: İç Tetkikler ve uygulamalardan elde edilen veriler doğrultusunda gerekli düzeltme ve düzeltici faaliyetler organize edilir. 

8- Yönetimin Gözden Geçirmesi Organizasyonu: Gerekli veri analizi faaliyetleri de gerçekleştirildikten sonra mevcut durum ve gelecek dönemin planlanmasına yönelik olarak Yönetimin Gözden Geçirmesi toplantısı organize edilir ve gerçekleştirilir. 

9- İsteniyorsa belgelendirme sürecine nezaret 

10- Sistem kurma danışmanlığının sonlandırılması

Detaylı bilgi ve başvuru için lütfen bilgi@erkoglobal.com.tr adresine konu başlığını belirterek mail atınız, yada BAŞVURU VE DANIŞMA HATTI''mızdan bize ulaşabilirsiniz. Danıışmanlarımız en kısa sürede size dönüş yapacaklardır.