Bilginin öneminin her geçen gün arttığı günümüzde özellikle kurumlar için bilgi güvenliği kavramı çok daha kritik bir öneme sahip olmuştur. Bu nedenle, birçok kuruluş, ISO 27001 Belgelendirme hizmeti alarak işletme içindeki ve paydaşları ile paylaştığı bilgilerin güvenliğini sağlamaya çalışmaktadır. Tüm dünyada kabul görmüş bir standart olan ISO 27001, TSE (Türk Standartları Enstitüsü) tarafından da uyumlaştırılmıştır. Bilgi Güvenliği Yönetim Sistemi günümüzde tüm kamu ve özel sektör kuruluşları için uygulanabilmektedir.
ISO 27001, bir kuruluştaki tüm bilgilerin korunmasını, yönetilmesini ve güvenlik denetimlerinin yapılmasını sağlayacak bir kılavuz niteliğindedir. ISO 27001 belgelendirme sayesinde bilgi güvenliğinin daha sürdürülebilir hale gelmesi ve bu güvenlik metadolojisinin bir sistem olarak çalışması sağlanmaktadır.
ISO 27001, günümüzde faaliyet alanı, bulunduğu sektör ve büyüklüğü farketmeksizin her işletme için uygulanabilmektedir. Bu standardın gerekliliklerini yerine getiren işletmeler, bir bilgi için tanımlanan gizlilik, bütünlük ve erişebilirlik niteliklerini koruma altına almaktadır. ISO 27001 belgelendirme hizmeti ile de yaptığı tüm çalışmaları sistematik hale getirip bağımsız üçüncü taraf akredite sertifikasyon kuruluşlarına onaylatmaktadır.
ISO 27001, her ne kadar sadece bilgi güvenliğ odaklı bir standart olsa da, bir kurumun bütün süreçlerini, birimlerini; kurumun hedef ve politikalarını etkilemektedir. Bu nedenle, ISO 27001 belgelendirme süreci sadece kişi veya belirli birimleri değil, kurumun üst yönetiminden başlayarak her bölümü ve çalışan herkesi kapsamaktadır.
Bilgi güvenliğinin sağlanması konusunda gerekli şartları sağlayıp ISO 27001 belgelendirme hizmeti için başvuruda bulunan işletmeler, doğrudan ve dolaylı olarak birçok avantaj sağlamaktadır. Bunlardan bazıları şu şekildedir:
- ISO 27001 belgelendirme bir işletmede tüm dünyada tanınan ve geçerliliği olan bir standardın uygulanmasını sağlamaktadır. Standartta, en güncel ve etkili bilgi güvenliği teknikleri yer almaktadır.
- Bilgilerin güvenliği sağlanırken gizlilik, bütünlük ve erişebilirlik ilkelerine uygun prosedürler izlenmektedir.
- İşletmede çalışan tüm personellerin bilgi güvenliği konusundaki farkındalığı ve motivasyonu artmaktadır.
- Kurumsal prestij korunmakta ve marka değeri artmaktadır.
- ISO 27001 belgelendirme ile bilgi güvenliği ile ilgili yasal mevzuatlara uyum da sağlanmaktadır.
- İşletmede iş düzeni ve sürekliliği sağlanmaktadır. Bilgilerin bir yerden başka bir aktarılması; müşteri, tedarikçi, çalışan ve diğer paydaşlar ile paylaşılması konusunda doğru yöntemler uygunlanmaktadır.
- ISO 27001 belgelendirme , bir kurumun bilgi güvenliği ile ilgili risklerini ortaya koymakta ve bu risklerin yönetilmesi için yapılması gerekenleri sunmaktadır.
- Sektördeki diğer firmalara karşı rekabet avantajı elde edilmektedir.
ISO 27001 belgelendirme hizmeti alıp süreç sonunda ISO 27001 sertifikasına sahip olmak isteyen kuruluşlar için atılması gereken adımları şu şekilde özetleyebiliriz:
- Belge sahibi olmak isteyen kurum, öncelikle bir akredite belgelendirme kuruluşu ile iletişime geçmelidir.
- Sertifikasyon kuruluşu bunun için bir fiyat teklifi sunmaktadır.
- Başvuru ve gerekli ödeme işlemleri tamamlandıktan sonra ISO 27001 belgelendirme sürecinde doküman kontrolü adımına geçilmektedir. Bu adıma işletmeden bazı belgeler talep edilmektedir.
- İşletmede halihazırda bulunmuyor ise bazı dokümanların hazırlanması istenmektedir. Aşağıda bunun için bazı örnekler verilmiştir:
o Bilgi güvenliği yedekleme talimatı
o Bilgisayar ve e-posta kullanım talimatı
o İnternet ve mobil cihaz kullanım talimatı
o Acil eylem planı
o Risk analizi ve risk yönetimi iş akışı
o Görev tanımlamaları
o Bilgi güvenliği eğitim raporları
- ISO 27001 belgelendirme sürecinde bazı işletmelere ön denetim de yapılmaktadır. Bunun amacı, iyileştirilmesi veya geliştirilmesi gereken konuları daha iyi tespit etmek ve işletmenin ISO 27001 belgelendirme sürecini hızlandırmaktır.
- Bir sonraki adımda işletme sahalarında bilgi güvenliği ile ilgili konuları yerinde tetkik etmek için denetimler düzenlenmektedir. Bu denetimler, ISO 27001 belgelendirme sürecinin en önemli adımlarından biridir. Denetimlerde başarılı olan işletmeler genellikle sertifika sahibi olmaya büyük ölçüde hak kazanmaktadır.
- Denetim raporları sertifikasyon kuruluşu yönetimi tarafından incelendikten belgelendirme süreci tamamlanmakta ve işletmeye ISO 27001 Belgesi verilmektedir.
Belgelendirme tamamlandıktan sonra periyodik denetimler yapılmaya devam etmektedir. Bu denetimlerde de işletmenin ISO 27001’de belirtilen kurallara uyması ve Bilgi Güvenliği Yönetim Sistemi’ni doğru bir şekilde çalıştırması takip edilmektedir. Herhangi bir uyumsuzluk olması durumunda belge askıya alınabilmekte veya tamamen iptal edilebilmektedir.