iso 27001 şartları

ISO 27001 Şartları Nelerdir? | Sertifikasyon Kriterleri

ISO 27001 Şartları Nelerdir?

Bilgi güvenliğinde standardı yakalamak için belirli kriterler mevcuttur. Öncelikle bu temel gereklilikleri inceleyelim. Nitekim BGYS kurmak, gelişi güzel değil, planlı bir disiplin sürecidir.

BGYS Kurulum Kriterleri ve Temel Şartlar

Öncelikle ISO 27001 şartları bir yönetim iskeletidir. Nitekim resmi standartlar sadece teknik departmanı değil, tüm organizasyonu kapsar. Öncelikle bu, verinin dokunduğu her noktayı disipline etme sürecidir.

Yönetimsel Gereklilikler ve Stratejik Riskler

Buna ek olarak standart ne yapılması gerektiğini net bir dille söyler. Zira bu şartları nasıl uygulayacağınız kurumunuzun yapısına özeldir. Haliyle profesyonel bir ISO 27001 danışmanlık süreciyle operasyonel zafiyetleriniz minimize edilir. Kısacası her kurum, standardın ruhuna uygun kendi özgün çözümlerini üretmelidir.

Dökümantasyon Bütünlüğü ve Denetim Uyumu

Özellikle dökümantasyonun doğruluğu ve uygulanabilirliği çok kritiktir. Zira denetimler, sözlü beyanlar değil, tutulan bu kayıtlar ve prosedürler üzerinden gerçekleştirilir. Nihayetinde uygun maliyetli ve sürdürülebilir bir planlama ile başarıya ulaşılır. Sonuç olarak tüm kurumsal verileriniz uluslararası standartlarda güvence altına alınır.

Ana Standart Maddeleri (Annex SL)

Kuruluşun Bağlamı

Öncelikle firmanızın iç ve dış hususları analiz edilir. Nitekim ilgili tarafların (müşteri, personel, yasalar) beklentileri netleştirilmelidir.

Liderlik ve Taahhüt

Buna ek olarak üst yönetim süreci sahiplenmelidir. Zira liderlik desteği olmayan bir yönetim sisteminin yaşaması mümkün değildir.

Risk Yönetimi Planlama

Özellikle olası tehditler ve fırsatlar önceden saptanır. Haliyle risk iyileştirme planları hızla ve hatasız devreye alınır.

Performans Değerlendirme

Kısacası sistemin başarısı düzenli olarak ölçülür. Sonuç olarak iç tetkikler ve yönetim gözden geçirmeleri ile eksikler anında giderilir.

İnsan Kaynakları Güvenliği

Öncelikle çalışanların güvenlik sorumlulukları sözleşmelerle belirlenir. Nitekim işe alım ve işten ayrılma süreçleri kontrollü yürütülmelidir.

Erişim ve Yetki Kontrolü

Buna ek olarak kullanıcı yetki sınırları keskin hatlarla çizilir. Zira kritik veriye sadece işi gereği "bilmesi gereken" kişiler ulaşabilir.

Varlık ve Envanter Yönetimi

Özellikle kurumdaki tüm donanım ve yazılım listesi çıkarılır. Haliyle sahipsiz kalan ve güvenlik açığı oluşturan hiçbir varlık kalmaz.

Şartlar ve Sertifikasyon Hakkında Merak Edilenler

Öncelikle bu süreç disiplinli bir dökümantasyon ve uygulama aşaması gerektirir. Nitekim doğru bir uzman desteği ile mevcut işleyişinizi bozmadan bu şartları sağlamak oldukça kolaydır. Önemli olan sistemi "evrak üzerinde" değil, yaşayan bir süreç olarak kurmaktır.

Buna ek olarak her madde her kurum için şart değildir. Zira yapılacak "Risk Analizi" sonucunda, işletmeniz için risk teşkil etmeyen veya uygulanabilir olmayan teknik maddeler (örneğin; yazılım geliştirmiyorsanız yazılım güvenliği maddeleri) kapsam dışı bırakılabilir. Haliyle esnek bir yapı söz konusudur.

Özellikle standardın "Yasal Uyum" maddesi, bulunduğunuz ülkenin kanunlarına uymayı zorunlu kılar. Nitekim Türkiye'de faaliyet gösteren bir kurum için KVKK uyumu sağlamak, direkt olarak ISO 27001 şartlarını yerine getirmek demektir. Kısacası her iki süreç birbirini mükemmel şekilde tamamlar.

Zira tüm hazırlıklar bittiğinde akredite bir belgelendirme kuruluşu iki aşamalı denetim yapar. İlk aşamada dökümantasyon, ikinci aşamada ise uygulama kontrol edilir. Haliyle şartları tam olarak sağlayan kurumlar global geçerliliği olan sertifikaya hak kazanır.

Nihayetinde evet. Çalışan sayısı, lokasyon sayısı ve veri yoğunluğu maliyeti etkileyen temel şartlardır. Ancak profesyonel bir danışmanlıkla gereksiz harcamaların önüne geçilir ve sistem en verimli şekilde kurulur.