ISO 27001 Nedir?
Bilgi bir kurumun iş sürekliliğini sağlamasında en önemli değerlerinden birisidir. Birçok varlığın kaybedilmesi durumunda telafisi mümkün iken kaybedilen bilginin parasal bir karşılığı yoktur. Bu sebeple değişen ve gelişen günümüz koşullarında bilginin önemi ve korunması gerekliliği de giderek artmaktadır. Bilgi; yazı ile elektronik ortamlarda, sözle, çalışanların hafızalarında ve daha birçok biçimde kullanılabilir ve saklanabilir. Teknolojik gelişmeler sebebi ile de bu kullanım biçimlerinin birçoğu zamanla kullanılmayabilir ya da değişebilir. İşte bu değişim ve gelişimden dolayı sürekli olarak bilginin güvenliğinin sorgulanması ve kontrol edilmesi gerekmektedir. Bilgi güvenliği, bilginin gizliliğinin, bütünlüğünün, kullanılabilirliğinin korunmasıdır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi, kurumsal bilgi güvenliğinin sağlanmasında insanları, süreçleri ve bilgi sistemlerini içine alan ve üst yönetim tarafından desteklenen bir yönetim sistemidir. Bilgi varlıklarını korumak ve ilgili taraflara güven veren, yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmıştır. ISO 27001 Bilgi Güvenliği Yönetim Sistemi, kurumsal yapıyı, politikaları, planlama faaliyetlerini, sorumlulukları, uygulamaları, prosedürleri, prosesleri ve kaynakları içerir.
ISO 27001 Neden Gereklidir?
Bir kuruluşun sadece teknik önlemlerle bilgi güvenliğini ve iş sürekliliğini korumasının mümkün olmadığı, bunun yanı sıra BGYS gibi bir takım önlem ve denetimlerin sağlanması gerektiği konusu tüm dünyada kabul edilmiş bir yaklaşımdır. BGYS çerçevesinde oluşturulacak güvenlik politikalarına üst yönetim ve tüm çalışanların destek vermesi ve şekilde uygulaması gerekmektedir. Ayrıca işbirliğinde bulunulan tüm kişi ve kuruluşların da bu politikalara uygun davranması güvenliği artırıcı bir faktördür.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin Faydaları
Kuruluşa ve müşterilerine ait bilgilerin güvenliğini arttırma.
Kuruluşun piyasada itibar ve güvenilirliğini arttırma.
Bilgi ve dokümanların güvenliği, yedeklenmesi, izinli tekrar ulaşılabilirliği, 3. tarafların izinsiz ulaşmasının engellenmesini sağlamak.
Bilgi sızması halinde kuruluşun veya müşterisinin yaşayabileceği maddi ve manevi zararların engellenmesi.
Gerekli bilgilerin düzenli bir şekilde arşivlenip gerektiği zaman güvenli ve izinli bir şekilde ulaşılabilirliğini sağlamak.
Müşteri ilişkilerinin kuvvetlenmesini ve hizmet kalitesinin arttılımasını sağlamak.
Kuruluş için ekonomik piyasa gözünde büyük itibar ve prestij sağlamak.
Kuruluş içinde veri güvenliği konusunda kullanıcıların yetki ve sorumluluklarının belirlenmesini sağlamak.
Veri depolama sistem donanımlarının bakımlarının düzenli yapılmasını sağlamak.
Belgelendirme Prosedürü – Belgelendirme İş Akışı
Müracat
Belgelendirilmek isteyen kuruluş 444 3 105 yada info@akredite.com.tr yolu ile müracaat edebilir.
Kuruluşunuzun Akredite Belgelendirme’ye tanıtımı için broşür, katalog vb tanıtım materyallerinizi müracaat esnasında göndermeniz belgelendirme kapsamınızın belirlenmesi ve bu konuda tetkikler öncesi karşılıklı mutabakat sağlanması için kolaylaştırıcı olacaktır.
Belgelendirme müracaatınız Akredite Belgelendirme tarafından gözden geçirilecek sizinle iletişime geçilecektir.
Müracaatınızın kabul edilmesi ile teklif aşamasına geçilir.
Teklif hazırlanması
Belgelendirme müracaatınızın kabul edilmesi sonucunda müracaat formunda beyan ettiğiniz resmi evraklarınızda doğruladığınız bilgilere göre size belgelendirme teklifi sunulacaktır. Teklif hazırlanırken belgelendirilecek farklı lokasyonlar var ise bu lokasyonların birbirine yakınlığı, çalışan sayısı, kuruluşunuzun faaliyet alanı, risk derecesi gibi Akredite Belgelendirme Ücretlendirme talimatında da belirtilen kıstaslara göre fiyatlandırma yapılarak teklif tarafınıza sunulur.
Sözleşme
Teklifin kuruluş tarafından onaylanarak Akredite Belgelendirme ye ulaştırılması neticesinde sözleşme aşamasına geçilir. Sözleşme teklif referans numarasını içermekle birlikte fiyat içermemektedir. Sözleşme; akreditasyon kuralları ve yasal yükümlükler de dahil olmak üzere taraflar arası karşılıklı görev ve yükümlülükleri içeren beyanlarının olduğu bağlayıcı bir dokümandır.
1.aşama denetimi
Teklif ve sözleşme sonrasında Akredite Belgelendirme ve Kuruluş arasında belirlenen takvim ve kuruluş tarafından onaylanan tetkik planı çerçevesinde 1. aşama denetimi gerçekleştirilir. 1. aşama denetiminin amacı kuruluşun 2. aşama (belgelendirme denetimi) denetimine hazır olup olmadığının yerinde tespit edilmesidir. Kuruluşun 2. aşama denetimine hazır olup olmadığı ancak standardın tüm maddelerinin en az 1 kez uygulanmış olduğu ve neticesinde en az 1 kez iç tetkik yapıldıktan sonra üst yönetimin gözden geçirmesinin de sağlanmış olması, bunun kanıtlarının varlığı ile mümkündür. Kısacası standardın uygulanma derecesinin olgunluğu analiz edilir ve kuruluşa raporlanır.
Not: 1. aşama denetiminin amacı sadece iç tetkiklerin ve üst yönetimin gözden geçirmesinin sağlanmış olması anlamına gelmez. Standardın bir bütün olduğu unutulmamalıdır.
- Aşama denetiminin sonuçlarına göre 2. aşama denetimin yapılıp yapılmayacağı, yapılacaksa tarihi ancak 1. aşama denetiminde çıkabilecek uygunsuzlukların ortadan kaldırılması (kapatılması) sonucunda gerçekleşir. Uygunsuzluk tanımları ve uygunsuzluk örnekleri için lütfen 2. aşama denetimine bakınız.
- aşama denetiminin kuruluş sahasında yapılmasına gerek olmayabilir, bu durumda kuruluştan 2. aşama denetimine hazır olup olmadığının tespiti için kanıtlar istenecektir. Bu kanıtlara örnek olarak; El kitabı, İç tetkik, Yönetimin Gözden Geçirme kayıtları gibi örnekler verilebilir, Baş denetçi kayıtlar/ kanıtlar dan kuruşun 2. aşama denetimine hazır olup olmadığı konusunda bir kanıya varamaması halinde 1. aşama denetiminin kuruluşta yapılmasını talep edebilir.
1.Aşama denetimi ve 2. Aşama denetimi arasındaki süre 3 ay geçemez, eğer bu süre aşılırsa 1. Aşama denetimi tekrar edilmek durumundadır.
2.aşama denetimi
2.Aşama (belgelendirme denetimi) kuruluşun belgelendirilecek adreslerinde (Belgelendirilecek Lokasyonlar) ve eğer gerekiyorsa (kuruluşun faaliyet alanına bağlı olarak) projelerinde / şantiyelerinde gerçekleştirilir. Bazen faaliyetler kuruluşların adreslerinde değil projelerinde / şantiyelerinde ancak standarda uygunluğu açısından denetlenebilir. Bu durumlarda faaliyetlerin görülebileceği – denetlenebileceği adreslerde de denetim kapsamındadır.
-Uygunsuzlukların sınıflandırılması, takibi ve kapatılması
Denetimlerde karşılaşılan uygunsuzluklar belgelendirme kuruluşlarına göre farklı isimlendirilse de içerikleri akreditasyon kuralları gereğince aynıdır.
Kritik Uygunsuzluk = Büyük Uygunsuzluk = Majör Uygunsuzluk; Standardın bir ya da birkaç temel gereksiniminin karşılanmamış olması (Örnek 1) ve/veya uygunsuzluğun sistemin bütününü etkileyecek düzeyde olması (Örnek 2), Yasal bir zorunluluğun karşılanmaması yada eksik karşılanmış olması (Örnek 3),
Örnek 1 Yasal limitlerin üzerinde emisyon salınımı
Örnek 2 Risk oranı yüksek olan bir tehlike için acil durum planı yapılmamış olması. (Deprem bölgesinde bulunan fabrika için deprem acil durumu hazırlanmamış olması) vb.
Kritik olmayan uygunsuzluk = Küçük Uygunsuzluk = Minör Uygunsuzluk;
Standardın bir ya da birkaç maddesinin yönetim sisteminin bütününü etkilemeyecek şekilde eksik uygulanması
Ör: Yönetim sisteminde kullanılan bir formun tanımlanmamış olması vb.
>>Kritik uygunsuzlukların giderildiğinin doğrulanması 3 ay içerisinde bir “takip denetimi” ile mümkündür.
>>Kritik olmayan uygunsuzluklar giderildiklerine dair kanıtların 21 işgünü içersinde Başdenetçiye gönderilmesi ile kapatılabilir.
Uygunsuzlukların giderildiğine dair kanıtların doğrulanması neticesinde Başdenetçi denetim raporunu düzenler belgelendirme ofisine gönderir.
-Belgelendirme Kararı ve Sertifikanın düzenlenmesi
Belgelendirme kararı. Başdenetçi raporunda belgelendirmenin yapılması ya da yapılmaması konusunda tavsiye kararını bildirir. Belgelendirme ile ilgili karar ancak Bağımsız Belgelendirme Komitesi tarafından verilebilir. Belgelendirme kararı verilmemesi durumunda bu durum yazılı olarak kuruluşa gerekçeleri ile bildirilir. Bu karara karşı kuruluşun itirazı mümkündür.
Şimdi Ara
