Ana Sayfa /

ISO 27001 sertifikası nasıl alınır?

ISO 27001 sertifikası nasıl alınır?

Bir uzmanla konuşun

+90 (212) 951 0703
İLETİŞİM
İLETİŞİM

ISO 27001 sertifikası nasıl alınır?

Sertifikasyonunuzu elde etmek, ISO 27001 standartlarını karşılayan bir BGYS için gerekli süreçleri uygulamaya koyduğunuzu göstermeyi içerir.

Bunun bir kısmı, denetçinize bu süreçlerin belgelenmiş kanıtlarını sağlamanızdır. Bu belgeler şunları içerir:

  • Bilgi Güvenliği Yönetim Sistemi Kapsamı,
  • Bilgi güvenliği politikası ve hedefleri,
  • Risk değerlendirmesi ve risk işleme metodolojisi,
  • Uygulanabilirlik Beyanı,
  • Risk Tedavi Planı,
  • Risk değerlendirmesi ve risk tedavi raporu,
  • Güvenlik rol ve sorumluluklarının tanımlanması,
  • Varlık envanteri,
  • Varlıkların kabul edilebilir kullanımı,
  • Erişim kontrol politikası,
  • BT yönetimi için işletim prosedürleri,
  • Güvenli sistem mühendisliği ilkeleri,
  • Tedarikçi güvenlik politikası,
  • Olay yönetimi prosedürü,
  • İş sürekliliği prosedürleri,
  • Yasal, düzenleyici ve sözleşmesel gereklilikler,
  • Eğitim, beceri, deneyim ve niteliklerin kayıtları,
  • Sonuçların izlenmesi ve ölçülmesi,
  • İç denetim programı ve sonuçları,
  • Yönetim gözden geçirmesinin sonuçları,
  • Uygunsuzluklar ve düzeltici faaliyetlerin sonuçları,
  • Kullanıcı etkinliklerinin, istisnaların ve güvenlik olaylarının günlükleri.

Bu göz korkutucu bir liste gibi görünüyorsa endişelenmeyin. Çoğu kuruluş, halihazırda ne kadar çok şeye sahip olduklarına şaşırır. Bu belgelerden herhangi biri hakkında daha fazla bilgi edinmek istiyorsanız, burada ISO 27001’in belge gereksinimleri hakkında daha fazla ayrıntıya girdik.

Ayrıca, ISO 27001’e başvurmadan önce tüm bu belgelere sahip olma konusunda endişelenmenize gerek yok çünkü belgelendirme sürecimiz, süreçlerinizdeki eksiklikleri ortaya çıkaracak ve belgelendirmenizi elde etmek için yapmanız gerekenleri ana hatlarıyla belirtecektir.

ISO 27001 belgelendirme süreci

ISO 27001 belgelendirme süreci iki değerlendirme içerir: biri mevcut süreçlerinizi değerlendirmek ve herhangi bir iyileştirme alanı hakkında rapor vermek; ve bu alanların iyileştirilip geliştirilmediğini ve BGYS’nizin ISO 27001 standartlarını karşılayıp karşılamadığını belirlemek.

  1. Aşama değerlendirmesi

İlk değerlendirmeyi “Aşama 1” değerlendirmesi olarak adlandırıyoruz. Bu, kuruluşunuzun ISO 27001 gereksinimlerini ne kadar karşıladığını belirlemek için belgelenmiş süreçlerinizin gözden geçirilmesini içerir.

Değerlendirmenin uzunluğu, kuruluşunuzun büyüklüğüne ve içinde bulunduğunuz sektöre bağlıdır. Değerlendirmenizin ne kadar süreceğini önceden size bildireceğiz.

Aşama 1 değerlendirmesi tamamlandıktan sonra, bulguları tamamlamak için bir kapanış toplantısı yapılacaktır. ISO 27001’e ulaşmak için geliştirmeniz gereken alanlara genel bir bakışla birlikte, değerlendirme sırasında neler olduğunu detaylandıran bir rapor size sunulacaktır. Bunları “uygunsuzluklar” olarak adlandırıyoruz.

Uygunsuzluklar küçük ve büyük değişkenlere ayrılır (major ve minor). Büyük uygunsuzluklar üzerinde hemen harekete geçilmesi gerekirken, küçük uygunsuzluklar bir sonraki değerlendirmede gözden geçirilebilir.

Bu uygunsuzlukları ele aldığınızı bize onayladığınızda Aşama 2 değerlendirmesine geçeceksiniz.

  1. Aşama değerlendirmesi

Bu değerlendirme, önceki değerlendirmede tanımlanan tüm uygunsuzlukları ele aldığınızı onaylayacaktır. Denetçiniz aynı zamanda süreçlerinizi çalışırken de inceleyecektir.

Bu, hem yöneticiler hem de personel ile görüşmeyi içerecek ve denetçiniz ayrıca iç denetimlerinize ve yönetim incelemelerinize ilişkin kanıtları görmek isteyecektir.

Bu, denetçinin süreçlerinizin yerinde ve anlaşılır olup olmadığını belirlemesine ve ISO 27001 tarafından zorunlu kılınan bir veri güvenliği ihlali risklerini azaltmak için uygun kontrollere sahip olduğunuzdan emin olmasına olanak tanır.

Her şey yolundayken, denetçiniz sizi sertifikasyon için önerecektir. Uyum departmanımız, tavsiyelerini UKAS’ın gerektirdiği şekilde gözden geçirecektir. Denetçiniz başka herhangi bir uygunsuzluk tespit ederse, bunlar tam bir rapora dahil edilecek ve sertifikasyonunuzu almadan önce harekete geçmeniz gerekecektir.

Uyum departmanımız herhangi bir endişe alanı bulamazsa, BGYS’nizin gerekli standartları karşıladığını onaylayacaktır.

Tebrikler; ISO 27001 sertifikasına ulaştınız!

ISO 27001 sertifikası ne kadar sürer?

ISO 27001 sertifikanız üç yıl boyunca geçerli kalacaktır. Sertifikasyonunuzu sürdürmek, yıllık değerlendirmeler gerektirecek ve üç yıl sonra, ISO 27001 sertifikanızı almaya devam etmek için BGYS’nizi yeniden sertifikalandıracaksınız.

Yıllık Değerlendirmeler

ISO 27001’in bu kadar mükemmel bir itibara sahip olmasının nedenlerinden biri, sürekli iyileştirme gerekliliğidir. Bunun bir parçası olarak, BGYS’nizin ISO 27001 standartlarını karşılamaya devam etmesini sağlamak için yıllık değerlendirmeler yapacağız.

Denetçilerimiz, Aşama 2 değerlendirmesi sırasında baktıkları tüm alanları kapsayacak ve aynı zamanda BGYS’nizdeki değişiklikleri veya yeni unsurları inceleyecektir.

Yeniden Sertifikalandırma

Bu yıllık değerlendirmeler, ISO 27001 sertifikanızı yenilemek ve müşterilerinize UKAS onaylı sertifikanızın düzenli olarak gözden geçirildiğini ve sürdürüldüğünü teyit etmek için her üç yılda bir geçeceğiniz bir süreç olan yeniden sertifikalandırmaya hazırlanmanıza yardımcı olur.

ISO 27001 sertifikasyonunun maliyeti nedir ve ne kadar sürer?

ISO 27001 sertifikasyonunun maliyeti, nihai olarak denetçinizin kuruluşunuzu değerlendirmesi için geçen süreden etkilenir. Bu süre, aşağıdakileri dikkate alan, endüstri tarafından kabul edilen bir hesap makinesinden türetilmiştir:

  • Personel sayısı
  • Sektör/faaliyet alanı
  • Karmaşıklık ve risk durumu
  • Firma lokasyon sayısı

Bu nedenle, hizmet sektöründeki küçük bir şirket, süreçlerinin göreceli basitliği sayesinde, tüm sertifikasyon süreci için sadece birkaç günlük değerlendirme gerektirebilir. Öte yandan, büyük, çok tesisli kuruluşların bu süreç için daha uzun süre gerektirmesi muhtemeldir, bu da günlerce değerlendirme anlamına gelebilir.

Kuruluşun endüstri sektörü ve karmaşıklığının, yalnızca belirli denetçilerin değerlendirmek için uygun bilgi, deneyim ve niteliklere sahip olduğu anlamına geleceğini belirtmek önemlidir.

Daha küçük KOBİ işletmeleri kesinlikle ISO 27001 sertifikasını dışarıdan yardım almadan uygulayabilir ve elde edebilir, bu da sonuç olarak paradan tasarruf sağlayacaktır. Ancak, sertifika almak için gereken kaynakların etkisini değerlendirmek önemlidir; Bir maliyet-fayda değerlendirmesi, sertifikasyon maliyetlerini kuruluşun yapabileceği diğer potansiyel girişimler ve yatırımlar ile dengelemek için hayati önem taşır.

Bir işletmenin ISO 27001 sertifikası almak istemesi, ancak gerekli kaynakları tahsis edememesi durumunda, işletmenin üçüncü taraf uzmanlığını kullanmayı düşünmesi tavsiye edilebilir.

Son olarak, bazı Sertifikasyon Kuruluşlarının gizli ve devam eden maliyetlerine dikkat edin. Bazıları ilk tekliflerine yönetim ve seyahat ücretleri ekleyecek. Bir sözleşmenin uzunluğunu kontrol etmek de önemlidir; üç yılın tipik olduğu durumlarda, üç yıllık sertifikasyon döngüsüyle bağlantılı olduğundan, bazıları uzun bir sözleşme karşılığında daha düşük bir fiyat teklifi sunabilir ve sizi belirli bir Sertifikasyon Kuruluşuna gereğinden fazla bağlayabilir.

ISO 27001 sertifikam için bir danışman kullanmalı mıyım?

Bir danışman, kuruluşun büyüklüğüne bağlı olarak genellikle çok farklı nedenlerle kullanılır. Örneğin, küçük bir işletme, sınırlı şirket içi kaynağa sahip olması nedeniyle çok fazla yardıma ihtiyaç duyabilir. Daha büyük bir kuruluş gerekli insan gücüne sahip olabilir, ancak verimlilik fırsatlarını en üst düzeye çıkarmak ve kuruluşun daha karmaşık yasal gereksinimleri karşıladığından emin olmak için üçüncü taraf yardımına başvurabilir.

Üçüncü taraflara güvenmenin tehlikeleri vardır. Bir danışman kısa vadeli zorlukların üstesinden gelmeye yardımcı olabilirken, uzun vadeli bağımlılığın ISO 27001’i uygulamanın maliyet-faydasını ortadan kaldırma riski vardır.

Danışmanınızın bilgi güvenliği yönetimiyle ilgili her şeyi halletmesine izin vermek kolay gibi görünse de, bu, kuruluşunuzu dezavantajlı durumda bırakabilir. Standardın gereksinimlerini karşılayabilirsiniz, ancak ekip katılımı eksikliği ve siber güvenlik en iyi uygulamalarının çekirdek personelin zihniyetlerine uygun şekilde uyum sağlayamamaları size bir dezavantaj olabilir.

Bir danışman aramaya karar verirseniz, sektöre özgü deneyim, iş için en uygun kişiyi seçmede kilit faktör olabilir. Etkileyici bir özgeçmiş ve bir dizi referans ile birlikte, danışmanın denetim deneyimine sahip olması kayda değer bir avantajdır.

ISO 27001’in bazı gerekliliklerinin yoruma indirgenmesi, sizin adınıza hareket etmek, Sertifikasyon Kuruluşunuzun denetçisi tarafından itiraz edildiğinde güven duyabileceğiniz anlamına gelir.

Deneyimli ISO danışmanlarının bir listesini tutuyoruz ve size bazı tavsiyelerde bulunmaktan mutluluk duyarız.

ISO 9001 KYS

ISO 9001, kuruluşların bir Kalite Yönetim Sistemi (QMS) uygulamasına yardımcı olmak için tasarlanmış uluslararası standarttır.

 Daha Fazla Bilgi Alın
Hakkımızda Belgelendirme Hizmetler Süreç Etkinlikler UKAS Accreditation IAS Accreditation CPD Accreditation Bize Ulaşın
cfe cert linkedin
iso 27001 certification iso 22301 certification iso 37001 certification iso 20000 certification bs 10012 certification gdpr certification
© 2021 - CFECERT | Tüm hakları saklıdır
Çerez Politikası Gizlilik Sözleşmesi Şartlar ve Koşullar
Hakkımızda Belgelendirme Hizmetler Süreç Etkinlikler UKAS Accreditation IAS Accreditation CPD Accreditation Bize Ulaşın Çerez Politikası Gizlilik Sözleşmesi Şartlar ve Koşullar
cfe cert linkedin
© 2021 - CFECERT | Tüm hakları saklıdır
iso 27001 certification iso 22301 certification iso 37001 certification
iso 20000 certification bs 10012 certification gdpr certification