a8ca0c1d12cd64bb28c4aa418b395258befcc808

ISO 27001 Sertifikasına Neden İhtiyaç Var?

ISO 27001 Sertifikasına Neden İhtiyaç Var?

ISO 27001, bilgi güvenliği yönetimi sistemlerinin yaratımı, bakımı ve geliştirilmesine yönelik gerekliliklere sahip uluslararası bir standarttır. Özünde, bilgileri korumak ve müşterileri verilerinin korunmasını güvence altına almak için güvenlik yönetimi önlemlerinin en iyi örneklerinin bir araya toplanmış halidir.

ISO 27001 sertifikasyonu, tüm bilgi güvenliği süreçlerinin ve elemanların detaylıca denetimini gerektirir.

Sertifikayı vermek için bağımsız bir oluşum, temel amaçları siber güvenlik sağlayan işlemlerin en iyi örneklerle uyumlu olup olmadığını kontrol etmek olan denetimciler gönderir. Denetim sırasında İK, BT, Ar-Ge ve Güvenlik de dahil olmak üzere çeşitli departmanlardaki süreci inceleyip kapsamlı bir rapor hazırlarlar. Ardından, bağımsız uzmanlar, denetçilerin tarafsızlığını analiz eder. Son olarak, bağımsız kuruluş bir sertifika verir. Bilgi güvenliği yönetimi sistemimizin en iyi örneklerle uyumlu olduğunu doğrularlar.

ISO 27001 Sertifikalı olmak ne anlama gelir?

Herhangi bir işlemin güvenliğini birçok faktör aynı anda etkiler; bilgi güvenliği yönetimi sistemleri ise bu faktörleri belirlemeye ve zamanında önlem almaya yardımcı olabilir. Siber güvenlik alanında pek çok soru kritik önemde kabul edilebilir. Bilgi sistemlerine ve kritik bilgilere kimlerin erişimi var? İş süreçleri nasıl ilerliyor? Çalışanlar, belgelerle ve bilgi sistemleriyle ne şekilde iş yapıyorlar? Bir çalışan işten çıktığında güvenlik ekibi erişim haklarını geri çekme konusunu nasıl ele alıyor? Çalışanlar olası siber tehditler ve bunlara karşı korunmanın yolları konusunda ne kadar bilinçli? Yöneticiler, kritik operasyonlar yürüten bilgisayarlarla nasıl çalışıyor?

  • Denetçiler yukarıdakileri de göz önünde bulundurarak çeşitli departmanlardan çalışanlarla konuşur ve veri korumasının teknik ve işe alım, işten çıkarma ve eğitim gibi organizasyonel taraflarını analiz eder. BT servisinin kurumsal ağa nasıl bakım uyguladığını incelerler ve veri merkezini ziyaret ederler.

Tüm bunlara ek olarak çalışanların işlerini nasıl yaptığını da gözlemlerler; basılı belgeleri veya çıkarılabilir cihazları ofiste ortada bırakıp bırakmadıklarını, masalarından uzaklaşırken bilgisayarlarını kilitleyip kilitlemediklerini, monitörlerinin ve kontrol panellerinin neyi görüntülediğini ve çalışırken ne tür programlar kullandıklarını kontrol ederler. Diğer bir deyişle, bilgi güvenliği yönetimi sistemi süreçlerini doğrulamaya özel olarak dikkat ederken, tüm şirketi ilgilendiren şu pratikleri de analiz ederler: Yönetimin güvenlik analizi, risk yönetimi, vaka yönetimi, düzeltmeye yönelik eylemler, denetimler, çalışanların siber güvenlik bilincine sahip olmalarını sağlama ve iş devamlılığını sürdürme.