ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ ZORUNLU DOKÜMANLARI
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı bir sistem standardıdır,bu standardı diğer standarttan ayıran temel özelliklerinden birisi de teknik bir standart olmasıdır. Stadardın mevcut istediklerinin yanı sıra personel, altyapı, ağ, server gibi birçok güvenlik önlemlerinin de uygulanması gereken bir Ek -A , ayrıca uyması gereken bir internet üzerinden işlenen suçlarla mücadele edebilmemiz için , aslında kullanıcılarımızın internette bir suç işlememesi için alınan tedbirleri, log kayıtlarının alınmasını içeren 5651 numaralı kanuna uyulması gerekmektedir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardının istediği bazı zorunlu dokümanlar da bulunmaktadır.Bu dokümanların hazırlanmasındaki mantık Bilginin Gizliliği ile alakalı uygulamaları sistematik ve muntazam kayıt altına almamızın isteniyor olmasıdır.
Bu dokümanlar:
1-BİLGİ GÜVENLİĞİ POLİTİKASI ,Her ne kadar bir politkaymış gibi görünüyor olsa da sistemin sürekliliği için bir politika oluşturmamızın yanı sıra Erişimden, personelin güvenlik ihlaline , Server alt yapısı ve güvenliğinden ağ yönetimine pek çok uygulama ve gizlilik şartları ile ilgili politikalar oluşturmamız istenmektedir.İşleyişi nasıl devam ettirdiğimizi görmek istemektedirler.
2-RİSK DEĞERLENDİRME VE SÜREKLİLİĞİNİ SAĞLAMAK İLE İLGİLİ DOKÜMANLAR, Her süreç, iç ve dış bağlamlar dikkate alınarak Riskler değerlendirilmeli ve kabul edilebilir ya da risk düzeyi yüksek olarak değerlendirilerek gerekli önlemler ve uygulamalar yürütülmelidir.
3-UYGULANABİLİRLİK BİLDİRGESİ, Ek A ‘nın maddelerinde istenen uygulamaların nasıl ve ne şekilde uygulanıp uygulanmadığını , Uygulanıyorsa nasıl gerçekleştirildiğinin nerede bahsedildiğini , bizden bir doküman halinde oluşturmamız beklenmektedir.
4-PERSONELİN GÖREV YETKİ VE SORUMLULUKLARI, Personelin Görevleri, işleyişte neler yapması gerektiği, hangi proseste görev aldığı, Bilgi Güvenliği yönetim sisteminde hangi görevleri üstlenmesi gerektiği bir doküman ile belirtilmesi gerekmektedir.
5-VARLIK ENVANTERLERİ, Kuruluşun sahip olduğu İnsan, doküman , yazılım, donanım, her türlü varlığının listesi ve kimin sorumlu olduğu belirtilmelidir.
6-TEDARİKÇİLER VE PERSONEL İLE İMZALANACAK GİZLİLİK SÖZLEŞMELERİ, Bilgi Güvenliği ihlallerni engellemek amacıyla personel ve tedarikçiler ile sözleşmeler imzalanması zorunludur.
7-İŞ SÜREKLİLİĞİ VE OLAY İHLAL KAYITLARI, Sürecin İşleyişinde oluşabilecek potansiyel sorunların farkına vararak bu durumların yaşanması durumunda neler yapılması gerektiğinin ve süreçte oluşturabileceği aksamaların nasıl olacağı değerlendirilir,tatbikatlar gerçekleştirilerek, işleyişin sürekliliğinin nasıl sağlanacağı konusunda uygulamalar yapılmalıdır.Firma bu durumlara hazırlıklı olmalıdır.Bir ihlal olayı yaşanması durumunda kayıtların tutularak bu ihlaller ile ilgili gerekli işlemlerin ve kayıtların tutulması gerekir.
8-İZLEME VE ÖLÇÜM UYGULAMALARI, Süreçlerin, Personellerin ve İşleyişin Performansı, Müşteri memnuniyeti ve geri dönüşlerin sistematik takibi ve değerlendirmeleri, Taşeron , tedarikçi ve dış kaynak kullanımı durumunda takipleri ve değerlendirmeleri, her türlü iç ve dış bağlamların değerlendirilmesi ve sıkı takip edilmesi gerekmektedir.
9-ÖLÇÜM CİHAZLARININ KALİBRASYONU, Kullanılan Ölçüm cihazları var ise bu cihazların Düzenli periyotlarla kalibre edilmeli ve kayıtlarının saklanması gerekmektedir.
10-PERSONEL YETKİNLİĞİNİN DEĞERLENDİRİLMESİ VE PERSONEL ÖZLÜK DOSYALARI, Personelin yetkinliği ve yeterliliği düzenli periyotlarla takip edilerek , eksiklikler görülmesi durumunda gerek duyulan eğitimlerin aldırılması ya da bu eğitimlere ve yeterliliğe sahip elemanların alınması, Personel özlük dosyalarının oluşturulması.
11-İÇ TETKİKLERİN UYGULANMASI, Belli periyotlar ile bağımsız kişiler tarafından süreçlerin ve birimlerin işleyişlerinin kontrolü,eksikliklerin ve gerekliliklerin uygulamaya geçirilmesi için çalışmalar yapılmalıdır.
12-DÜZELTİCİ FAALİYETLER, İç Tetkikler sonucunda saptanan eksikliklerin kök nedeninin tespiti ve bu uygunsuzlukların bir daha yaşanmaması için neler yapılması gerektiğini belirleyen çalışmalar bütünüdür.
13-YÖNETİMİN GÖZDEN GEÇİRMESİ, Belli periyotlar ile yönetimin işleyişten haberdar olması, ihtiyaç duyula kaynakların belirlenmesi, bir önceki yıllara göre değerlendirmelerin yapılması ve farkında olunması için iç tetkikler yapılmalı ve kayıtları tutulmalıdır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı ve Belgelendirmesi Hakkında daha fazla bilgi almak için bize ulaşın:
0 312 504 74 05 – 0 507 759 68 64