ISO 27001 Standardı ISO tarafından yayınlanan yönetim sistemi yaklaşımlarından bilginin ve bilgi varlıklarının korunması amacı ile yayımlanmış olan uluslar arası bir dil oluşturma düşüncesidir. Gelişen dünya düzeni ve ekonomik düzen Organizasyonların fiziki varlıkları kadar bilgi varlıklarının da korunması ve üçüncü tarafların erişimine karşı önlem alınmasını zorunlu hale getirmiştir. Bu bilgi ve bilgi varlıklarının korunmasını hedefleyen ve bu hedefe ulaşmak için dokumantasyon yapısı oluşturulmasını ön gören standart ISO 7001:2013 Bilgi Güvenliği Yönetim Sistemi Standardıdır. Bu standardın belgelendirmesi ISO 27001:2013 Belgesi ile gerçekleştirilmektedir. ISO/IEC 27001:2013 organizasyonların faaliyet kapsamı içerisinde ISO 27001 bilgi güvenliği yönetim sisteminin kurulumu, uygulanması, sistemin devamlılığı ve ISO 27001 siteminin sürekli geliştirilmesi için gereklilikleri tanımlamaktadır. Ayrıca, Organizasyonların ihtiyaçlarıyla bağlantılı olan bilgi güvenliği risklerinin değerlendirilmesi ve iyileştirilmesi için gereklilikleri de içermektedir. ISO/IEC 27001:2013 ’ te verilen gereklilikler geneldir ve kuruluşların tipine, büyüklüğüne ve doğasına bağlı olmaksızın hepsi için uygulanabilir olması amaçlanmıştır.
ISO 27001 TARİHÇESİ NEDİR?
ISO 27001 Bilgi Güvenliği Yönetim Sistemi ISO (Uluslar arası Standartlar Örgütü ) Tarafından yayımlanmış Bilgi Güvenliği Yönetim Sistemi yaklaşımı olarak 2005 yılında yayımlanmıştır. ISO 27001 Standardının temeli BS 7799 standardına dayanmaktadır. BS 7799 BSI (British Standards Institution) 1995 yılında yayınlanmış ve ISO tarafından 2000 yılında bu standart baz alınarak ISO 17799 Bilgi Teknolojisi - Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri olarak yayınlanmıştır. ISO 27001 Standardı sürecine geçiş ise 2005 Yılında Geçekleşmiş ve ISO 27001:2005 Bilgi Güvenliği Yönetim Sistemi Standardı organizasyonların kullanımına sunulmuştur. ISO 27001 standardının ilk revizyonu standardın yayın tarihinden 8 yıl sonra gerçekleşmiş ve bu revizyon ile ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardı halini almıştır. ISO 27001:2005 Standardı ISO 27001:2005 Belgesi ile belgelendirilirken ISO 27001:2013 e geçiş ile birlikte ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi Belgesi bu belgenin yerini almıştır. ISO 27001:2013 Standardın Ekim 2013 yılında yayınlanmış ve geçiş için 2 yıllık bir süreç belirlenmiştir. Ekim 2015 Tarihi itibari ile ISO 27001:2005 Belgesi tamamen geçersiz olarak 27001 tarihçesinde ki yerini almıştır.
ISO 27001:2013 STANDARDI MADDELERİ NELERDİR?
0 Giriş
1 Kapsam
2 Atıf yapılan standartlar ve/veya dokümanlar
3 Tanımlar ve terimler
4 Kuruluşun Yapısı
4.1 Kuruluşu ve yapısını anlama
4.2 İlgili tarafların ihtiyaç ve beklentilerini anlamak
4.3 Bilgi Güvenliği Yönetim Sistemi kapsamının belirlenmesi
4.4 Bilgi Güvenliği Yönetim Sistemi
5 Liderlik
5.1 Liderlik ve taahhüt
5.2 Politika
5.3 Görev, sorumluluk ve yetki
6 Planlama
6.1 Risklere ve Fırsatlara Yönelik Eylemler
6.2 Bilgi Güvenliği Hedefleri ve Planlama
7 Destek
7.1 Kaynaklar
7.2 Yetkinlik
7.3 Farkındalık
7.4 İletişim
7.5 Dokümante Bilgi
8 Operasyon
8.1 Operasyonel planlama ve kontrol
8.2 Bilgi güvenliği risk değerlendirmesi
8.3 Bilgi güvenliği risk işleme
9 Performans değerlendirme
9.1 İzleme, ölçme, analiz ve değerlendirme
9.2 İç denetim
9.3 Yönetimin gözden geçirmesi
10 İyileştirme
10.1 Uygunsuzluk ve düzeltici faaliyet
10.2 Sürekli iyileştirme
Ek A Kontrol amaçları ve kontroller
ISO 27001 BELGESİ NASIL ALINIR?
ISO 27010 BGYS belgesi ile belgelendirilmek isteyen organizasyonlar için ilk adım ISO 27001:2013 standardı için gerekli olan dokumantasyon yapısının oluşturulmasıdır. ISO 7001 Standardı 10 maddesi ve bu maddelere bağlı alt maddelerin istediği dokümantasyon yapısı oluşturulması sürecinde Prodan Kalite Danışmanlık kuruluşumuz danışmanlık hizmeti Sunmaktadır.
ISO 27001 Belgesi ile belgelendirilmek için hazırlanan ISO 27001 Dokumanları uygulamaları gerçekleştiridikten sonra Akredite bir İSO 27001 Belgelendirme kuruluşu tarafından yapılacak olan ISO 27001 Belgesi denetimi sonucu organizasyon ISO 27001 Belgesi sahibi olur.
TURKAK AKREDİTASYONLU ISO 27001 BELGESİ VAR MIDIR ?
TURKAK yani Tük Akreditasyon Kurumu ve akreditasyon nedir bunu ana sayfamızda ki yazılarımızda açıklamıştık . Bu yazımızda TURKAK akreditasyonu markası taşıyan ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi Belgesi Belgelendirme Kuruluşlarından bahsedeceğiz.
ISO 27001 Standardı Akreditasyon kuralları doğrultusunda belgelendirmesi gerçekleştirilen bir standarttır. Bu standardın belgelendirmesi için TURKAK tarafından akredite edilmiş belgelendirme kuruluşları bulunmaktadır. Bu belgelendirme kuruluşları yapmış oldukları ISO 27001 Bilgi Güvenliği Yönetim Sistemi Denetimi sonucu TURKAK akrediteli diğer bir değişle TURKAK Logolu ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi Belgesi düzenlemektedirler.
ISO 27001 BELGESİ GEÇERLİLİK SÜRESİ NE KADARDIR?
ISO 27001 Standardı diğer yönetim sistemi standartlarında olduğu gibi akreditasyon kuralları doğrultusunda üç yıllık bir süreç için belgelendirmesi yapılan standarttır. ISO 27001:2013 Belgesi geçerlilik süresi olan üç yıl içerisinde yılda en az bir defa olmak üzere organizasyonlar gözetim denetiminden geçerler ve ISO 27001 sisteminin kuruluşta uygulanmaya devam edip etmediğinin gözlemlendiği denetimi tamamlayarak ISO 27001 Belgesi sürekliliğini sağlarlar.
ISO 27001 BELGESİ FİYATI ÜCRETİ NEDİR ?
ISO 27001 :2013 Bilgi Güvenliği Yönetim Sistemi belgesi ile belgelendirilmek isteyen kuruluşların belgelendirme sürecinde karşılaşacakları maliyetler ;
- ISO 27001 Sistem Kurulumu için Danışmanlık ücreti
- ISO 27001 Standardı gereksinimleri doğrultusunda alt yapı maliyetleri
- ISO 27001 Belgelendirme denetimi Ücreti
Olarak sıralanabilir. Bunun dışında ISO 27001 Belgesi ne kadara alınır kaç para bu İSO 27001 Belgesi gibi fiyat belirten konuşmalar tamamen afaki konuşmalar olacaktır. ISO 27001 Belgesi para karşılığı hazırlanan bir evrak ve ya yetki belgesi değildir.