ISO 27001 Bilgi Güvenliği Yönetim Sertifikasına sahip olmanız için sistemlerinizin Sertifikanın gerekli gördüğü şartlarla uyumlu olması gerekir.
Uluslararası yetkinlik sertifikalarına sahip uzmanlarca gerçekleştirilen ISO 27001 Danışmanlığı kapsamında, yeterli ve orantılı güvenliğin tasarlanması için süreç ve çalışma döngüsü göz önüne alınarak, kurumunuzun en verimli bilgi güvenliğine sahip olması amaçlanır. İşlemler ve süreçler bu doğrultuda yürütülür. Prosedürler ISO 27001 belgeleme çalışmasının, sorunsuz ve en hızlı şekilde yürütülmesi prensibine dayalı olarak bilimsel veriler ışığında tanımlanmıştır.
Anahtar Teslimi ISO 27001 Projesi için Hizmet Adımları
Anahtar teslimi proje danışmanlığı kapsamında, belgelendirme başvurusu dahil tüm aşamalar (risk analizi, dokümantasyon, fark analizi, operasyonun yönetimi ve öğretilmesi, iç denetim, kontrol, iyileştirme, dış denetim, sertifikalandırma) aşağıda tanımlanmıştır.
• Süreçlerin İncelenmesi
• Eğitim
• Proje Yönetimi
• Risk Metodolojisi
• Risk Analizi
• Varlık Envanteri
• Raporlama
• Risk İşleme Yönetimi
• Doküman Kontrolü
• Dokümantasyon Hazırlanması
• Gerekli Süreçlerin Hazırlanması
• Fark Analizi
• ISO 27001 Operasyonunun Öğretilmesi
• Kayıtların Belirlenmesi
• İç Denetim
• Kontrol
• Dış Denetim/Akrediteli Kuruluşun Davet Edilmesi
• Sertifikalandırma
Proje İmplementasyon Adımları:
• Proje Dosyasının Hazırlanması
• Proje Kapsamının Tanımlanması
• BGYS Politikalarının Yazılması
• Risk Değerlendirme Metodolojisinin Tanımlanması
• Risk Değerlendirme ve Risk Yönetiminin Gerçekleştirilmesi
• Uygulanabilirlik Bildirgesinin Yazılması
• Kontrol ve Zorunlu Prosedürlerin Uygulanması
• Eğitim ve Bilinçlendirme Programlarının Uygulanması
• BGYS’nin Yönetilmesi
• BGYS’nin İzlenmesi
• İç Denetim
• Yönetimin Gözden Geçirmesi
• Düzeltici ve Önleyici Faaliyetler
BGYS Uygulama İçerisinde Bulunacak Proje Belgeleri
• BGYS Uygulama ve Belgelendirme Süreci Akış Şeması
• PUKÖ Faaliyetleri ve Belgelerini Gösteren Akış Şeması
• BGYS Uygulanabilirliği Tablosu
• Boşluk (GAP Analizi) Analizinin BGYS ve Kontroller ile İfade Edilmesi
• Boşluk (GAP Analizi) Analizi Raporlarının Sunulması
• BGYS Uygulama Önerisi–Örnek Operasyon (Vaka Çalışması)
• BGYS Uygulama Planı
• Risk Tedavi Planı
• Uygulanabilirlik (SOA) Tablosu (Örnek)
• Bilgi Güvenliği Forumu Onayları/Dakika/Girişimler
• Risk Değerlendirme Metodolojisi/Yaklaşım/Risk Yönetim Stratejisi
• BGYS Organizasyon ve Şemasının Hazırlanması
• BGYS SSS (online) Uygulamasının Hazırlanması
• Bilgi Güvenliği Terimleri Sözlüğü (online)
• BGYS Uygulama Rehberlik ve Ölçümleri (ISO/IEC 27002 ile Uyumluluk)
• Bilgi Güvenliği Bilinci ve Kavram Sunumu
• Yol ve Belgelendirme Haritalarının Belirlenmesi
• BGYS Uygulama ve Belgelendirme Süreci Sunumu
ISO 27001 Kapsamında Hazırlanacak BGYS ve Bilgi Güvenliği Politikaları
• Genel Kapsayıcı BGYS Politikaları
• Erişim Kontrol Politikaları
• İş Sürekliliği Politikaları
• Değişim Yönetimi ve Kontrol Politikaları
• Temiz Masa ve Temiz Ekran Politikaları
• Veri Arşivleme ve Yedekleme Politikaları
• Bilginin İmhası/Medya/Ekipman Politikaları
• E-Ticaret Güvenlik Politikaları
• E-Posta Güvenliği/Kabul Edilebilir Kullanım Politikaları
• Bilgi Sınıflandırma Politikaları
• Bilgi Güvenliği Risk Değerlendirmesi Politikaları
• Dizüstü PC Güvenlik Politikaları
• Zararlı/Kötü Yazılım Politikaları
• Taşınabilir/Mobil Bilgisayar Politikaları
• Dış Kaynak Kullanımı Güvenlik Politikaları
• Şifre Politikaları
• Penetrasyon Test İlkesi ve Politikaları
• Personel Güvenlik Politikaları
• Fiziksel Güvenlik Politikaları
• Gizlilik Politikaları
• Yazılım Telif Hakkı Politikaları
• Mail Güvenliği ve Spam Politikaları
• Sistem/Veri Yedekleme ve Kurtarma Politikaları
• Sistem Kullanımı İzleme Politikaları
ISO 27001 Kapsamında Hazırlanacak Temel Teknik Güvenlik Standartları
• Uygulama Sunucuları
• Veri tabanları
• DCS (Dağıtılmış Kontrol Sistemleri) ve SCADA (Supervisory Control And Data Acquisition)
• Masaüstü Bilgisayarlar/İş İstasyonları/Dizüstü Bilgisayarlar/Taşınabilirler, PDA’lar
• Geliştirme ve Test Sistemleri (üretim sistemleri önemli farklılıklar ortaya koyar)
• DMZ (De-militarize Bölgesi’nde kurulu internet alanında kalan sistemler ve cihazlar)
• Firewall, Router, Switch, Load Balancer vb. Anahtar Cihazlar
• Ana Bilgisayarlar
• Ağlar, Kablolu ve Kablosuz (LAN ve WAN, WiFi, vb), Uzak Ağ Erişimi
• İşletim Sistemleri
• Fiziksel ve Çevresel Koruma
• Telefonlar PBX, VoIP ve Cep Telefonları, Faks, Video Konferans vb.
• Üçüncü Parti Sistemler
Bilgi Güvenliği ile İlgili Usul ve Yönergeler
• Uygunluk Değerlendirme ve Denetleme Prosedürleri
• Veri Yedekleme ve Restorasyon Prosedürü
• Veri Arşivleme Prosedürü
• Dijital Adli Tıp Prosedürü
• FMEA (Hata Türleri ve Etkileri Analizi) Risk Analizi Elektronik Tablo Prosedürleri
• Bilgi Güvenliği Risk Analizi Elektronik Tablosu
• Log Yönetimi ve İnceleme Prosedürü
• Mantıksal Erişim Hakları İnceleme ve Bakım Prosedürü
• Ağ Güvenlik Prosedürleri
• Personel Varlık Değerleme Kılavuzu
• Fiziksel Varlık Değerleme Kılavuzu
• Güvenlik Yönetim Usulleri
• Güvenlik Olayı Usul Raporlama
• Güvenlik Yamaları ve Teknik Güvenlik Açığı Yönetimi Prosedürü
• Güvenli Sistem Döngüsü Prosedürleri
• Güvenlik Testleri Prosedürleri
Yönetim Sistemi Usul ve Yönergeleri
• Düzeltici Faaliyet Prosedürü
• Düzeltici/Önleyici Faaliyet Formu
• Belge ve Kayıt Kontrol Prosedürü
• Muafiyetler Prosedürü
• BGYS Denetim Rehberi ve Raporlama Şablonu
• BGYS İç Denetim Prosedürü
• Önleyici Faaliyet Prosedürü
Bilgi Güvenliği ile İlgili İş Tanımları
• Acil Durum Planlaması ve Afet Kurtarma Rolleri ve Sorumlulukları
• Genel Olarak Çalışanların Rolleri ve Sorumlulukları
• Uygulama Kuralları ve Kabul Edilebilir Kullanım Politikaları
• Çalışan El Kitabı
• BGYS’nin Çalıştırması için Genel Sorumluluk
• Bilgi Güvenliği Analisti İş Tanımı
• Bilgi Güvenliği Mimari İş Tanımı
• Bilgi Güvenliği Görevlisi İş Tanımı
• Bilgi Güvenliği Testi İş Tanımı
• BGYS ve/veya BT Denetçisi İş Tanımı
• Güvenlik Yöneticisi İş Tanımı
• Üçüncü Tarafların İş Tanımı
BGYS Operasyonel Çıktıları
• İş Sürekliliği Planı ve Test/Tatbikat Raporları
• İş Etki Değerlendirme Kontrol Listesi ve Raporlar
• Veri Restorasyon Formu
• Afet Kurtarma Planları (IT servis restorasyon odaklı) ve Felaket Kurtarma Raporları
• Bilgi Güvenliği Olay Rapor Formları ve Raporları
• Çözüm Tasarım ve Mimarlık Listesi (yazılım geliştirme)
• Tehdit ve Güvenlik Açığı Denetim Listeleri/Anketler ve Raporlar
BGYS Kayıtları
• Yedekleme ve Arşiv Kaydı
• İş Sürekliliği Planı Kayıt
• Bilgi Varlık Envanteri
• Bilgi Güvenliği Risk Kaydı
• Bilgi Güvenliği Olay Kayıt Tablosu
• Ayrıcalık/Yönetici Erişim ve Yetkilendirme Listesi
• Yazılım Lisans Kayıtları
• Standart Masaüstü Yazılımı Listesi
• Sistem Yama ve Antivirüs Durum Kaydı
• Üçüncü Şahıs Erişim Kayıtları
Kaynak : https://www.linkedin.com/pulse/iso-27001-bilgi-g%25C3%25BCvenli%25C4%259Fi-y%25C3%25B6netim-sertifikas%25C4%25B1-ve-ibrahim-aslanbakan/?trackingId=uOmAVGGcQTeTKzHoSp99YQ%3D%3D