ISO 27001 Danışmanlığı

ISO 27001 Danışmanlığı

ISO 27001 Nedir?

ISO / IEC 27001, açık bir şekilde yönetim kontrolünde bilgi güvenliğini sağlamayı amaçlayan bir yönetim sisteminin resmi yansıması olarak belirtilir. Resmi bir şartname olması, belirli şartları yerine getirmesi anlamına gelir. Bu nedenle, ISO / IEC 27001'i kabul ettiğini iddia eden kuruluşlar, standartla uyumlu olarak resmi olarak denetlenip sertifikalandırılabilirler. ISO / IEC 27001 bu yapıya sahip yönetimlerin doğal bir sonucudur:

  • Tehditleri, açıkları ve etkileri göz önüne alarak kuruluşun bilgi güvenliği risklerini sistematik olarak inceler.
  • Kabul edilemez olarak belirlenen bu riskleri ele almak için tutarlı ve kapsamlı bir bilgi güvenliği denetimi seti ve / veya diğer risk yönetimi (riskten kaçınma veya risk transferi gibi) paketi tasarlar ve uygular.
  • Bilgi güvenliği denetimlerinin, kuruluşun bilgi güvenliği ihtiyaçlarını sürekli olarak karşılamaya devam etmesini sağlamak için kapsamlı bir yönetim süreci benimser.

ISO 27001 Neden Bu Kadar Önemli ve Ne Gibi Ticari Faydalar Sunuyor?

ISO 27001 sertifikasından elde edilen iş avantajları önemlidir. Standartlar bir işletmenin güvenlik risklerinin maliyet-etkin bir şekilde yönetildiğinden emin olmakla kalmaz, aynı zamanda tanınmış standartlara uymak müşterilere ve iş ortaklarına değerli ve önemli bir mesaj gönderir: bu iş, işleri doğru şekilde yapar. ISO 27001, bir şirketin bilgi güvenliği yönetim sistemini izlemek, gözden geçirmek, sürdürmek ve geliştirmek için paha biçilmez bir değerdir. Ortak organizasyonlara ve müşterilere işinizle etkileşime giden yolda kendilerine daha fazla güven verirler. ISO 27001, Bilgi Güvenliği Yönetimi için fiili olarak uluslararası standarttır.

  • Bilgi Güvenliği Yönetimine üçüncü kişilere ve paydaşlara açıkça bağlı olduğunu gösterir.
  • Ticari, sözleşmeli ve yasal sorumlulukların yerine getirilmesini sağlamak için bir çerçeve sağlayabilir.
  • Önemli bir rekabet avantajı sağlar ve etkili bir biçimde belirli düzenlenmiş sektörlerdeki şirketlerle ticaret lisansı olabilir.
  • Bir kuruluştaki kuruluşlar veya gruplar arasında birlikte çalışabilirlik sağlar.
  • İdare tarafından, durum tespiti göstermek için sıklıkla kullanılabilen, kabul edilmiş bir dış standartla uyumluluk veya sertifikasyon sağlayabilir.

ISO 27001 Uyumluluğuna MyDISK Yaklaşımı

Bilgi Güvenliği, ISO 27001 standardında “Doğruluk, açıklanabilirlik, inkâr edememe ve güvenilirlik gibi özellikleri kapsayan, bilginin gizliliği, bütünlüğü ve kullanılabilirliğinin korunması” olarak tanımlanmıştır.

Müşterilerle olan ISO 27001 sözleşmelerinin çoğunluğundaki yaklaşımımız, öncelikle kuruluşun standart boşluklarına ve denetimlerine karşı bir Gap Analizi (işletmeyi tam potansiyele ulaştırmak için yapılan gerekli incelemeler) gerçekleştirmektir. Bu, şirketlerin standartlara uyduğu alanların, bazı uygulama denetimleri yapıldığı alanların net bir şekilde resmiyetini sağlar; ancak alanlarda iyileştirme yapmak için kontrollerin eksik olduğu yerlerde uygulanması gereken yaptırımlar vardır. Bazı kuruluşlar için bu gerekli yardımın kapsamı geniş olacaktır. Bununla birlikte herhangi bir dış sertifika için, Gap Analizi ve raporundan sonra, standartları karşılayıp gerekli belgelere ulaşmak için hazırlık aşamasında uygun kontrollerin uygulanmasında tavsiye, rehberlik ve proje yönetimi yolu ile tarafmızca ek yardım sağlamanız gerekli olabilir.

Hackerlar sistemlere birçok değişik noktadan sızma denemesi yapmakta önlem alınmamış sistemlerde çoğunlukla başarılı bir şekilde sızma gerçekleştirmektedirler. Son güncel olaylardan bir kaç tanesi aşağıda sıralanmıştır.

  1. Banka sistemlerinin DDoS atakları ile çalışamaz hale getirilmesi
  2. Birçok firmanın verilerinin cryptolocker ile veri tabanı dosyalarının şifrelenmesi
  3. Firmaların sunucularına sızılarak web sitelerinin zararlı içerik yayması
  4. Firmaların sunucularına sızılarak zararlı e-mailler bu sunucular tarafından gönderilmesi
  5. Firmaların sunucularına sızılarak FTP bilgilerinin çalınması ve alanların istemleri dışındda kullanılması

Firmanızın yukarda saydığımız durumlara maruz kalması ya da minimize etmesi için ISO 27001 bilgi güvenliği yönetim sisteminin kurulması ve işletilmesi gerekmektedir. ISO 27001 bilgi güvenliği danışmanlığında sunulacak hizmetler aşağıda sıralanmıştır.

  • Bilgi Güvenliği bağlamının belirlenmesi
  • İlgili taraf ihtiyaç ve beklentilerinin anlaşılması
  • Kapsamın belirlenmesi
  • Varlık Envanteri hazırlanması
  • Varlıklar üzerindeki risklerin tespit edilmesi
  • Bulunan risklerin risk analizinin oluşturulması
  • Risk işleme kayıtlarının oluşturulması
  • Hedefler ve amaçların oluşturulması
  • Politika ve prosedürlerin oluşturulması
  • Uygulanabilirlik bildirgesi ile risk analizinin bağlantısı
  • Uygulanabilirlik bildirgesnin oluşturulması
  • Farkındalık ve iç tetkik eğitimlerinin gerçekleştirilmesi
  • Yönetimin gözden geçirme toplantısı gerçekleştirilmesi
  • Düzeltici ve Önleyici Faaliyetlerin oluşturulması
  • İç Tetkik gerçekleştirilmesi
  • Penetrasyon Testi Gerçekleştirilmesi
  • Belgelendirme Faaliyeti 
MyDISK Logo