ISO 27001 Bilgi Güvenliği Yönetim Sistemi


1. GERÇEKLEŞTİRİLECEK FAALİYETLER

 1.1. Mevcut Sistemin Analizi

Şu anda kurumda sunulan hizmetler, iş akışı, dokümantasyon ve bilgi akışı incelenecek ve süreçlerle ilgili bilgiler toplanacaktır. Yazılı ve elektronik ortamdaki iş ve bilgi akışı incelenecektir.

1.2. Organizasyon Yapısının İncelenmesi

Kuruluşta yönetim kademeleri ile birlikte yapılacak ortak çalışma ile Kuruluşunuzun Organizasyon şeması revize edilecek ve bilgi güvenliği sistemine uyumlu hale getirilecektir. Bilgi güvenliği ile ilgili görev tanımları yetki ve sorumluluklar bu yapı içerisinde tanımlanacak ve dokümante edilecektir. Bu çalışma kalite ve ilgi güvenliği sisteminin kontrolü açısından son derece önemlidir.

1.3. Bilgi Güvenliği Sisteminin Kurulması

Sürdürülen tüm faaliyetlerin bilgi güvenliği şartlarının belirlenmesi, yasal gereklilikler, hizmet gereklilikleri yanında uluslar arası kalite ve bilgi güvenliği standartları doğrultusunda kurumsal bir yapının temeli oluşturulacaktır.

 2. SÜRE

Söz konusu projenin 3 ayda tamamlanarak sistemin hem standart şartları, hem de ilgili pratik uygulamalar açısından yeterli duruma getirilmesi planlanmaktadır. Bu süre çalışmalarımızın performansına göre kısalabilir veya uzayabilir. Bu bir ekip çalışmasıdır. Çalışmaların başarısı çalışanların katılımı ve paylaşımcılığı ile doğrudan ilgilidir.

3. UYGULAMA PLANININ DETAYLARI

3.1 Bilgi Güvenliği Politikası – Politikaları:

Bilgi güvenliği için politikalar, çalışmalarınızda vazgeçilmez prensipleri ortaya koyan dokümanlardır. Taşınabilir ortamlar, basılı kopyalar, sabit bilgiler, çalışanlar, değişken proje bazlı personel konularında bilgi güvenliği yaklaşımını ortaya koyan temel dokümanlar politika beyanlarıdır.

Yapılacak detaylı süreç analizi ardından tanımlanacak bilgi güvenliği süreçlerine ilişkin güvenlik politikaları oluşturulup ilgili taraflarla paylaşılacaktır.

 3.2 Çalışma Talimatları Kalite ve Bilgi Güvenliği Planlaması

İç tertip düzeni sağlamak, çalışan personeli kuralara yöneltmek ve işleyişi belirli kriterler doğrultusunda kontrol etmeye yönelik talimat ve çalışma planları oluşturulacaktır. Techizat kullanımı, bilgi yönetimi, bilgi paylaşımı, üçüncü taraflar, standart dışı izin ve risk yönetimi ile ilgili talimatlar politikalar doğrultusunda oluşturulacaktır

 3.3 Bilgi Güvenliği Yöntem Sistemi dokümanlarında

 Ne Yapılacak

 Ne Zaman Yapılacak

 Nerede Yapılacak

 Kim Tarafından

 Nasıl Yapılacak

 Performans Ölçme (Süreç Ölçme Faktörleri).

Sorularına cevap verilecektir.

 3.4 Müşteri ve yasal otoriteler ile bilgi iletişim sistemi kurulacaktır

3.5 Bilgi güvenliği zafiyetlerinin önüne geçme ve sistem güvenlik performansı ölçümü ile ilgili bir değerlendirme metodolojisi geliştirilecektir.

3.6 Kuruluştaki Bilgi Güvenliği sisteminin genel görünüşünü ortaya koyan ve gerektiğinde bir tanıtım aracı olarak da sunulabilen Bilgi Güvenliği el kitabı yeniden yapılandırılacaktır. Bilgi Güvenliği El Kitabı Kuruluşunuzun misyonu ve farklılığını ortaya koyan bir tanıtım dokümanıdır

3.7 Sistem kurulumu sırasında personele Bilgi Güvenliği, dokümantasyon, politika ve hedefler, risk yönetimi gibi konularda eğitimler verilecektir. Ortaya çıkan gereksinimlere göre farklı eğitimler de planlanıp gerçekleştirilebilir.

3.8 Kalite ve bilgi güvenliği, ifade ettiği değer, varlıklar ve riskler, tehlikeler ve maruz kalınabilecek durumlarla ilgili risk değerlendirmeleri yapılacak ve gerekli eylem planları oluşturulacaktır. Risk değerlendirme faaliyeti ve ilgili raporun hazırlanması, bilgi güvenliği yönetim sisteminin en önemli uygulamalarından biridir.

3.9 Fiziksel ortam yönetimi, ofislerin düzenlenmesi, arşiv yönetimi, netvork yapılanması, gerekli yazılım ve donanımın belirlenmesi, bina ve techizatın dışarıdan gelecek tehlikelere karşı korunmasına ilişkin önlemler belirlenecek ve en optimum çözüm önerileri geliştirilecektir

3.10 Sistemin işlerliği görülüp proje tamamlandığında gerekli değerlendirmeler de yapılarak iç tetkikler gerçekleştirilecek ve iç tetkik uygulama mantığı oluşturulacak ekibe aktarılacaktır.

3.11 ISO 9001 Kalite Yönetim Sisteminin Prosedür ve Dokümanlarının SCIENTA Yönetim sistemine göre yeniden güncellenmesi sağlanacaktır.