ISO/IEC 27001, etkin bilgi güvenliği yönetimi için uluslararası kabul görmüş bir standarttır. ISO 27001 Fark Analizi/Uyumluluk hizmeti, ISO 27001 sertifikası almak için yapmanız gerekenler konusunda size üst düzey bir genel bakış sağlayacak bilgi güvenliği rejiminizin özel, yüz yüze bir incelemesidir.

ISO 27001’in uygulanabilirliğinin genişliği, kuruluşların Standardı etkin ve ekonomik olarak nasıl uygulayacaklarını belirlemelerini zorlaştırabilir.

Danışmanlık ekibimiz, birçok şirketin ISO 27001 sertifikasyonuna hazırlanmalarına yardımcı olmuştur. ISO 27001 Fark Analizi/Uyumluluk ve Denetim hizmetimizle deneyimli ISO27001 uygulama uzmanlarımızdan özelleştirilmiş, kişisel tavsiye alın.

Yeni gizlilik yasaları ve mahremiyet ihlalleri, kimlik hırsızlığı ve kişisel bilgilerin yanlış yönetimi, kişisel olarak tanımlanabilir ve hassas bilgilerin ifşa edilmesini veya ifşa edilmesini önlemek için düzenleyici ve tüketici baskısını artırdı. Başarısızlığın; hem uzun vadeli ilişkiler hem de değer üzerindeki ticari etkileri, birçok şirkette mahremiyet, güvenlik ve bilgi riski yönetimi konularını yönetim kurulu ve üst düzey yönetici seviyesine yükseltti. Gizlilik konularını küresel bazda, tutarlı ve uygun maliyetli bir şekilde ele almak, günümüzün küresel ekonomisinde rekabet avantajını sürdürmek için çok önemlidir.

Secureway, çeşitli gizlilik ve veri koruma hizmetleri ile size yardımcı olabilir;

• Veri Koruma gerekliliklerine uygun entegre, gizlilik uyumluluğu ve risk çerçevesi oluşturun
• Gizlilik, güvenlik ve/veya kimlik hırsızlığı önleme değerlendirmeleri yapın
• Yüksek riskli veya düzenleyici hassas bilgileri işleyen iş süreçleri ve konumların kişisel bilgi envanterlerini gerçekleştirin
• Gizlilik programınız için iş planları, bütçeler ve yol haritaları oluşturun
• Ana Risk Göstergeleri ve uyumsuzluk alanlarını ele almak için çözümler tasarlayın ve uygulayın; veri sınıflandırma şemasını ve teknik ve fiziksel güvenlik önlemlerini geliştirin; küresel veri akışlarını yeniden tasarlayın; otomatik satıcı gizliliği ve güvenlik gözetim programları tasarlayın
• ISO27001 ve ISO27018’in uygulanmasıyla KVKK, GDPR ve diğer küresel veri koruma çözümlerine hazırlanın
• Sürekli uyumluluk için bir hizmet olarak Veri Koruma Sorumlusu / DPO hizmeti alın

Kamu kurumları ve kritik altyapı hizmeti veren işletmelerce uyulması gereken Bilgi ve İletişim Güvenliği tedbirlerini içeren 06.07.2019 tarih ve 2019/12 sayılı Cumhurbaşkanlığı Genelgesi kapsamında Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda başlatılan “Bilgi ve İletişim Güvenliği Rehberi” hazırlama çalışmaları tamamlanmış ve 24.07.2020 tarihinde onaylanmıştır.

Bilgi sistemlerinde karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla, kamu kurumları ve kritik altyapı hizmeti veren işletmelerce uyulması gereken Bilgi ve İletişim Güvenliği tedbirlerini içeren Genelge, yasal düzenleme boyutunda ülke çapında bilgi güvenliği seviyesini artırmaya yönelik önemli bir adım olmuştur.

Tüm kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerde bulunan mevcut ve yeni kurulacak bilgi sistemlerinde, Rehberde yer verilen tedbirlere uyulması zorunludur. Mevcut bilgi teknolojisi altyapıları, güvenlik seviyesi öncelikleri dikkate alınarak Rehberde yer alan plan çerçevesinde kademeli olarak bu esaslara uyumlu hale getirilecektir.

Kritik altyapı sektörleri 2020 – 2023 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı’nda “Elektronik Haberleşme”, “Enerji”, “Su Yönetimi”, “Kritik Kamu Hizmetleri”, “Ulaştırma”, “Bankacılık ve Finans” olarak yer almaktadır.

Bilgi ve İletişim Güvenliği Rehberi kapsamındaki kurum, kuruluş ve işletmeler için Rehber’de bir uyum planı* oluşturulmuştur.
Rehber uyum planı kapsamında yapılacak çalışmalara aşağıda yer verilmiştir:

1 – 6 ay arasında: Varlık Grubu Kritiklik Derecesi Belirleme ve Boşluk Analizi Çalışmaları
6 – 18 ay arasında: 1. Seviye Tedbirlerin Uygulanması
6 – 21 ay arasında: 2. Seviye Tedbirlerin Uygulanması
6 – 24 ay arasında: 3. Seviye Tedbirlerin Uygulanması
Kapsam dâhilindeki kurum, kuruluş ve işletmelerin uyum planındaki takvimi dikkate alması, uyum sürecinin planlı yürütülmesi ve zamanında tamamlanması bakımından önem arz etmektedir.

Varlık Grupları

Rehber’de yer alan varlık grupları altı temel başlık altında tanımlanmıştır ve ilgili başlıklar aşağıda yer almaktadır.

• Ağ ve Sistemler
• Uygulamalar
• Taşınabilir Cihaz ve Ortamlar
• IoT Cihazları
• Personel
• Fiziksel Mekânlar

Varlıkların kritiklik derecesini belirlemek için öncelikli olarak varlık grupları Rehber’in 22. sayfasında yer alan hususlara uygun olarak tanımlanmalıdır. Her bir varlık grubu başlığı özelinde birden çok varlık grubu tanımlanabilmektedir.

Denetim Kapsamı

Denetimin başarılı bir şekilde sonuçlandırılması için doğru bir planlama önem taşımaktadır. Bu yüzden Secureway, Kurumun üst düzey yönetimi ve ilgili birim yöneticilerinin katıldığı bir proje başlangıç toplantısı ile denetime konu olan servis, altyapı ve lokasyonları belirleyecek ve her BIG kontrol maddesinin bu yapıya uygulanabilirliğini değerlendirecektir.

Secureway, Kurumun ilgili birimleri ile görüşerek BIG uyumluluğu ve denetimine esas olacak kapsamın doğru bir şekilde belirlenmesini sağlayacaktır. Kapsam belirlenirken Kurumun iş süreçleri, yerleşkeleri, veri merkezleri, sistemleri, çalışanları, hizmet sağlayan tedarikçileri, bilgilerin iletimi, işleyişi, saklanması, imhası ile ilgili olan ve Kurum altyapısının güvenliğini etkileyen tüm süreç ve bileşenler dikkate alınacaktır.

Metodoloji

Rehber uyum denetiminde uygulanacak metodoloji; denetimin planlanması, denetim prosedürlerinin uygulanması ve denetim sonuçlarının raporlanması olmak üzere üç ana süreç ekseninde ilerlemektedir. Denetimin temel hedefi aşağıda yer verilen kriterlerin ölçülmesidir.