ISO 27001, bilgi güvenliği yönetim sistemi (BGYS) için uluslararası standart. Sertifikasyon sadece denetim geçmek değil, kurumun güvenlik disiplinini kökten değiştirmek demek.
Aşama 1: Gap analizi
Mevcut durumunuzu ISO 27001 gereksinimleriyle karşılaştırın. Hangi kontroller var, hangileri eksik, hangileri kısmen uygulanıyor? Bu aşama 2–4 hafta sürer.
Aşama 2: Kapsam ve politika
Sertifikasyon kapsamınızı belirleyin (tüm kurum mu, belli departmanlar mı?) ve üst seviye BGYS politikası ile alt seviye prosedürleri yazın. Yönetim desteği kritik.
Aşama 3: Kontrol uygulaması
- Risk değerlendirme ve SoA (Statement of Applicability)
- Fiziksel ve çevresel güvenlik kontrolleri
- Erişim kontrolü — kimlik yönetimi ve yetkilendirme
- Tedarikçi yönetimi ve sözleşmeler
- Olay yönetimi ve iş sürekliliği
Aşama 4: İç denetim ve sertifikasyon
İç denetim sonrası tespit edilen uygunsuzlukları kapatın, sonra akredite sertifikasyon kuruluşuna başvurun. Denetim iki aşamalıdır: Stage 1 (dokümantasyon) ve Stage 2 (uygulama). Toplam proje süresi tipik olarak 6–9 ay.
Okumaya devam edin