Firmanızın büyüklüğüne bağlı olarak zorluklar değişebilir. Sürecin sağlıklı yürümesi için öncelikle 27001'in kapsamını belirlemeniz gerekecektir. Kapsam içerisinde yer alan bilgi varlıklarınızı belirleyip bu varlıkların değerlerini belirlemeniz (Örneğin 1-5 arası bir değer aralığı belirleyebilirsiniz) gerekmektedir. Değer ataması yapmış olduğunuz varlıklarını risk değerlendirmesi yapıp daha önceden belirlediğiniz kabul edilebilir risk değerinizin üstünde kalan riskleriniz için tedbirler almanız gerekecek. Risklerin tekrarlanması veya ortadan kaldırılmadığı durumlarda düzenleyici önleyici faaliyet formları ile düzenlemeler yapmanız gerekebilir.
Bunun yanında kapsam dahilindeki bilgi varlıklarınız yönetimi ve kullanılmaları ile ilgili politikalar geliştirmeniz gerekir. Örneğin; e-posta politikası, İnternet kullanım politikası, ağ cihazları kullanım politikası vb. Denetim kısmı ise 2 şekilde oluyor genelde; 1- İç denetim 2- Dış denetim İç denetim kurum içerisinden birileri tarafından belirtmiş olduğunuz periyotlarda yapılır. Örneğin yılda bir kez. Dış denetim ise tarafsız kuruluşlara tarafından yapılır. Denetimlerde dikkat etmeniz gereken en önemli nokta standartın ana maddelerinden bir uygunsuzluk almamanızdır. Bu uygunsuzluğa major uygunsuzluk demekte ve major uygunsuzlugunuz var ise denetimden kalıyorsunuz. Bunun dışında standartın Ek-A bölümünde bir uygunsuzluk görülmüş ise minor uygunsuzluk olur. Bu uygunsuzluk sertifika almanıza engel değildir. Bu uygunsuzluklar için termin tarihleri belirlenir ve bu tarihlere kadar bunların giderilmesi beklenir. Kısaca aklıma gelenler bunlar karışık olduysa kusura bakmayın. İyi Çaılışmalar.. 14 Haziran 2016 08:44 tarihinde Ercan ALACA <[email protected]> yazdı: > Arkadaşlar Merhaba; > > > > Kurumsallaşmakta olan firmamız için İSO27001 Bilgi güvenliği yönetim > sistemleri standartları için bir çalışma yapıyoruz. Daha önce iso27001 > sürecine dahil olanınız vardır diye düşünüyorum. Sürecin ilerleyişiyle > ilgili, zorlukları, engelleri, denetimlerin nasıl yapıldığını, toplam süreç > ile ilgili kısaca bilgi verirseniz sevinirim. > > > > İyi çalışmalar … > > > > ------------------- > Siber Güvenlik Yaz Kampı > > 24 - 31 Temmuz 2016 tarihlerinde İzmir Yüksek Teknoloji Enstitüsü > > http://www.siberkamp.org/ > ------------------- > -- FEYYAZ ATEŞ
------------------- Siber Güvenlik Yaz Kampı 24 - 31 Temmuz 2016 tarihlerinde İzmir Yüksek Teknoloji Enstitüsü http://www.siberkamp.org/ -------------------
