ISO 27001:2013 BGYS Amacı Nedir?

ISO 27001:2013 BGYS sertifikası şirket bilgilerinin gizliliği, güvenliği korunması ve kullanılabilirliğini sağlamak amacı ile kullanılıyor. Bilgi güvenliği ve gizliliğini sağlarken, firmanın bütün bilgilerini, çalışanlarını   ve iş süreçlerini kapsar ve üst yönetim tarafından yönetilir. Kurumsal alt yapı, planlama faaliyetleri iş politikaları, prosedürleri, uygulamaları, sorumlulukları, prosesleri ve iş kaynaklarını kapsamaktadır.

ISO 27001 BGYS Sertifikası Hangi Firmalar İçin Zorunludur?

ISO 27001:2013 BGYS sertifikasını büyük ya da küçük ölçekli bütün firmaların almasında sakınca yoktur. Ancak bazı firmalar da bu sertifika yasa gereğince zorunlu haline gelmiştir. Görev ve imtiyaz sözleşmesi olan kuruluşların ise altyapı, haberleşme, uydu, internet ve mobil telefon hizmeti gibi faaliyetlerle hizmet veren sektörde faaliyet gösteren şirketler mutlaka ISO 27001:2013 sertifikasının mutlaka alması gerekir. Ayrıca, petrol, doğal gaz, elektrik gibi alanlarda faaliyet gösteren firmalar için de ISO 27001 Belgesi zorunlu hale getirilmiştir.

ISO 27001 Belgesi Nereden Alınıyor?

ISO 27001 sertifikası Proxy danışmanlık şirketi gibi yetki almış kuruluşlardan alınmaktadır. Bunun için bu kuruluşlara başvuru yapıp, öncesinde ISO 27001:2013 BGYS Sertifikası eğitimlerine katılmanız gerekmektedir. Eğitimleri tamamladıktan sonra bu sertifikayı almaya hak kazanacaktır. Eğitim süreçleri sertifikayı alacak olan firmanın büyüklüğü, hizmet türü ve eksikliklerine göre değişiklik göstermektedir.

 ISO 27001 Bilgi Güvenliği Yönetim Sistemi Sertifikası Nedir?

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı; ISO 27000 bir parçası olup, bir tür güvenlik standardıdır. Kuruluşunuza ait bilgi varlıklarınızı risk altına girmemesi, ihlal edilmemesi faaliyetleriniz ve iş verimliliğiniz açısından oldukça önemli bir yere sahiptir.  Son birkaç döneme baktığımızda ise bilgi varlıklarınızın teknoloji ve iletişim ile iç içe girdiğini ve kullanımının hızla artığını görüyoruz. Bu hızlı artış sonucunda ise bilgi varlıklarınızı dijital pazarlama da kullanılıyor ve kuruluşunuz için bir tehdit unsuru oluşturuyor. Bunun için bilgi güvenliğinizi oluşturan unsura ihtiyaç duyuyorsunuz.  ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikası kuruluşunuza ait bilgi varlıklarınızı korunması denetlenmesi ve kontrol edilmesi gibi bütün sorumlulukları üstlenmektedir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Sertifikası Nasıl Alınır?

Eğer kuruluşunuza ISO 27001 Bilgi Güvenliği Yönetim Sistemi Sertifikası almak istiyorsanız, bunun için bu konuda hizmet veren danışmanlık şirketlerine başvuru yaparak, öncelikle danışmanlık ve eğitim hizmeti almanız gerekmektedir. Daha sonrasında eğitim veren danışmanlık şirketleri, uygulamalı olarak ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasını maddelerine uygun sistem kurarak çalışmaları başlatırlar. ISO 27001 Belgesi danışmanlık ve eğitim almak istemiyorsanız, bu sistemi kuran personellere gerekli eğitimleri almasını sağlayarak, sistemin kendilerini kurmasını tercih edebilirsiniz.

ISO 27001 Belgesi Neden Gereklidir?

ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikası kuruluşunuzun bilgi varlıklarına ait bütün risk ve tehditleri belirleyip, etkin bir şekilde risk yönetimini de sağlamaktadır. Aynı zamanda iş sürekliliğinizi ve veriliğini artıma yolunda da en etkili unsurdur. Bilgi varlıklarınızın doğruluğunu ve bütünlüğünü sağlayıp, gizliliğinizi korur.

ISO 27001:2013 standardında Varlık Yönetimi kavramı süreç bazlı sistemle dikkatli yönetilmesi gereken bir adım olarak ele alınmaktadır. ISO 27001 standardındaki Ek-A’da bulunan 8. Maddede Varlık Yönetimi ile ilgili konuyu bu yazımızda ele alacağız. Varlık Envanteri nasıl oluşturulur, Varlıkların Sahipliği, Varlıkların Kabul Edilebilir Kullanımı ve Varlıkların İadesi, konularında bir değerlendirme yapacağız.

Varlık Envanteri Nasıl oluşturulur?

Varlık Envanteri oluşturulurken varlık olarak neleri belirleyeceğimiz önem arzetmektedir. Bu noktada bize en büyük yardımı kapsamımız yapacaktır. Kapsam dâhilindeki tüm varlıkların düzgün bir şekilde envanteri çıkarılmalıdır.

Oluşturulan envanter varsa şirketler içerisindeki diğer envanterler ile uyumlu olmalı ve sürekli olarak güncel tutulmalıdır. Düzgün oluşturulmuş bir varlık envanteri ile çok detaylı bir risk değerlendirme işlemi gerçekleştirebilirsiniz. Her ne kadar piyasada risk değerlendirmenin varlık üzerinden yapılmayacağı konuşulsa da, standardın hiçbir yerinde Varlık bazlı risk değerlendirme yapılamaz yazmıyor.

Varlıkların Sahipliği

Varlık envanterindeki tüm varlıklar için bir sahip belirlenmelidir. Bu sahipler bir kişi veya bir birim olabilir. Önemli olan bu varlık sahibinin  sahip olduğu varlıklar için gereken sorumluluklarını biliyor olmasıdır.

Varlık sahipleri; “Varlıkların envantere kayıtlı olduğundan, uygun sınıflandırıldığından, korunduğundan, erişim kontrol politikasını dikkate alarak erişim kısıtlamalarının uygulandığına ve periyodik olarak gözden geçirmekten sorumludurlar.”

Varlık sahibi olarak tanımlanan kişi veya birimin varlık üzerinde herhangi bir mülkiyeti yoktur. Sahipler belirlendikten sonra varlıklara refakat edecek kişi olarak emanetçileri de belirlenmelidir. Emanetçiler varlıklara günlük olarak bile bakabilirler. Fakat bu durumda da sorumluluk yine varlık sahibindedir.

Varlıkların kabul edilebilir kullanımı

Kuruluşlar içerisindeki varlıkların kullanımını gerçekleştiren iç veya dış taraf kullanıcılar için varlıkların nasıl kullanacağına dair bir politika geliştirmeli ve tüm bu iç ve dış tarafların farkında olmasını sağlamalı ve bu politikaya uymalarından emin olmalıdırlar. Bu belirlenen politika doğrultusunda da çalışanlar veya dış kullanıcılar yaptıkları tüm kullanımlardan sorumlu olacaklardır.

Peki nelerin kurallarını belirlemeliyiz? İnternet kullanımı, e-posta kullanımı, yazılım kullanımı, taşınabilir cihazlar ile ilgili kurallar, telekomünikasyon cihazları ile ilgili kullanım, ofis içerisindeki printer, fax vb. ofis cihazlarının kullanımı ile ilgili kuralları belirleyebilirsiniz.

Bu politika kuruluş içerisinde düzgün bir şekilde duyurulmalı ve içerisindeki kuralların gerçekleştirilmemesi durumunda bir Disiplin Sürecinin devreye gireceği tüm çalışanlara ve üçüncü taraf kullanıcılara bildirilmelidir.

Varlıkların iadesi

Varlıkların İadesi süreci ağırlık olarak İnsan Kaynakları Birimleri tarafından gerçekleştirilen bir süreçtir. Bu madde de istihdamın sonlandırılması veya değiştirilmesi sürecinde kullanıcılar üzerindeki varlıkların iade edilmesi ile ilgili süreci anlatmaktadır. Ülkemizde genel olarak bu süreç zimmet tutanakları ile takip edilmektedir. Proxy Danışmanlık olarak eksik gördüğümüz durumlar ise işten çıkarılma durumunda zimmet tutanaklarının düzgün tutulduğu fakat görev değişikliği sırasında bu özenin pek gösterilmediğidir. Şirket çalışanlar ile ilgili süreci insan kaynakları birimi dış kullanıcılar ile ilgili durumlarda ise sözleşme şartlarına göre durum gözden geçirilmelidir.