- ISO 9001 : 2008
- ISO 14001:2004
- OHSAS 18001
- ISO 22000:2005
- ISO 9000 - ISO / TS 16949
- CE Marking
- ISO 13485:2003
- ISO 27001
Siz değerli müşterilerine her zaman daha iyiyi vermeyi hedef edinen ÇANKAYA DANIŞMANLIK olarak biz kendimize yıllar önce çizdiğimiz ufukda kararlılıkla yürümeye devam ediyoruz.
REFERANSLARIMIZ >>
ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ
Bilgi, diğer önemli ticari faaliyetler gibi, bir işletmenin faaliyetleri ve belki de devamı için büyük önem taşıdığından korunması gereken bir varlıktır. Bilgi birçok biçimde bulunabilir. Kâğıt üzerine yazılmış ve basılmış olabilir, elektronik olarak saklanmış olabilir, posta yoluyla veya elektronik imkânlar kullanılarak gönderilebilir, filmlerde gösterilebilir veya karşılıklı konuşma sırasında sözlü olarak ifade edilebilir. Bilgi hangi biçimi almış olursa olsun her zaman uygun bir şekilde korunmalıdır. Bilgi güvenliği bilgiyi, ticari sürekliliği sağlamak, ticari kayıpları en aza indirmek ve ticari fırsatların ve yatırımların dönüşünü en üst seviyeye çıkartmak için geniş tehlike ve tehdit alanlarından korur. ISO 27001 Bilgi Güvenliği Yönetim Sistemi değerli bilgi varlıklarınızı yönetmenize ve korumanıza yardımcı olur.
Bilgi Güvenliği Yönetim Sistemi
Bilgi güvenliği standardı BS 7799-2’nin revize edilip 2005’in sonlarında ISO 27001:2005 olarak değiştirilmesiyle yürürlüğe giren bu standart kurumların bilgi güvenliği yönetim sistemi kurmaları için gereklilikleri tanımlamaktadır. Bunun yanı sıra ISO 17799:2002 numaralı standart ISO 17799:2005 bilgi teknolojileri güvenlik teknikleri en iyi uygulamalar rehberi olarak revize edilip yayınlanmıştır. ISO 27001, Bilgi Güvenliği Yönetimi Sistemi gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır ve ISO 27001’e göre kurulacak bir Bilgi Güvenliği Yönetim Sistemi’nin nasıl gerçekleştirilebileceğine dair açıklamaları içerir. Bilgi Güvenliği Yönetim Sistemi, kurumunuzdaki tüm bilgi varlıklarının değerlendirilmesi ve bu varlıkların sahip oldukları zayıflıkları ve karşı karşıya oldukları tehditleri göz önüne alan bir risk analizi yapılmasını gerektirir. Kurum kendine bir risk yönetimi metodu seçmeli ve risk işleme için bir plan hazırlamalıdır. Risk işleme için standartta öngörülen kontrol hedefleri ve kontrollerden seçimler yapılmalı ve uygulanmalıdır. Planla-uygula-kontrol et-önlem al çevrimi uyarınca risk yönetimi faaliyetlerini yürütmeli ve varlığın risk seviyesi kabul edilebilir bir seviyeye geriletilene kadar çalışmayı sürdürmelidir. Bilgi güvenliği, politikalar, uygulamalar, yöntemler, örgütsel yapılar ve yazılım fonksiyonları gibi bir dizi uygun denetimi gerçekleştirme aracılığıyla sağlanır. Bu denetimler, işletmenin belirli güvenlik hedeflerinin karşılandığını garanti altına almak için kurulmalıdır.
ISO 27001 Hangi Kuruluşlar İçin Uygundur?
ISO 27001, dünyanın hangi ülkesinden veya hangi sektörden olursa olsun büyük küçük tüm kuruluşlara uygundur. Bu standart, finans, sağlık, kamu ve bilgi teknolojileri sektörleri gibi bilginin korunmasının büyük öneme sahip olduğu alanlarda özellikle gereklidir. Ayrıca bilgiyi başkaları adına yöneten kuruluşlar için de oldukça önemlidir, müşterilere bilgilerinin koruma altında olduğu güvencesini vermek için kullanılabilir. Belirli bir üretici, ürün veya servis kısıtlaması yoktur.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Faydaları
• Kuruluş, hangi bilgi varlıklarının olduğunu ve değerlerinin farkına varır. • Kuruluş, varlıklarını koruma metodları ile kontrol eder ve korur. • Kuruluş, iş sürekliliğine sahip olur ve uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olur. • Kuruluş, başta tedarikçileri olmak üzere, bilgileri korunacağından ilgili tarafların güvenini kazanır. • Kuruluş, bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz. • Müşteri bilgilerinin güvenliğine gösterdiğiniz özen sayesine müşteri memnuniyetini arttırır. • Düzenli değerlendirme işlemi performansınızı sürekli izlemenize ve geliştirmenize yardımcı olarak çalışanların motivasyonunu arttırır. • Geçerli yasa ve düzenlemelere uygun davranıldığından yasal takipleri önler. • İç denetimlerinizin bağımsız bir şekilde sağlandığı için yüksek prestij sağlar. • Rekabet avantajı kazandırır.
ISO 27001 Bilgi Güvenliği Sistemi Kurma Aşamaları
• Varlıkların sınıflandırılması, • Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi, • Risk analizi, • Risk analizi çıktılarına göre uygulanacak kontrolleri belirleme, • Dokümantasyon oluşturma, • Kontrolleri uygulama, • İç tetkik, • Kayıtları tutma, • Yönetimin gözden geçirmesi, • Belgelendirme.
ISO 27001 İle İlgili Terim ve Kavramlar
Risk analizi: Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik kullanımı.
Risk değerlendirme: Risk analizi ve risk derecelendirmesini kapsayan tüm prosesler.
Risk derecelendirme: Riskin önemini tayin etmek amacıyla tahmin edilen riskin verilen risk kriterleri ile karşılaştırılması prosesi.
Risk yönetimi: Bir kuruluşu risk ile ilgili olarak kontrol etmek ve yönlendirmek amacıyla kullanılan koordineli faaliyetler. Risk işleme: Riski değiştirmek için alınması gerekli önlemlerin seçilmesi ve uygulanması prosesi.
Uygulanabilirlik bildirgesi: Kuruluşun Bilgi Güvenliği Yönetim Sistemi ile ilgili ve uygulanabilir kontrol amaçlarını ve kontrolleri açıklayan dokümante edilmiş bildiri.