Bilgi Güvenliği Yönetim Sistemleri

ISO 27001 Bilgi Güvenliği Yönetim Sistemi , ISO 22301 İş Sürekliliği Yönetim Sistemleri Danışmanımız Sn. Cemal Erdem'in bilgilendirme yazısını sizlerle paylaşmak istedik. Bütünsel iyileştirme ve sürdürülebilirlik kapsamında dijital dönüşüm çalışmalarına başlayan yada tamamlayan firmaların bilgi güvenliği şartlarını yerine getirmeleri kaçınılmaz olmuştur.

Bütünsel iyileştirme ve sürdürülebilirliğin gereklerinden dolayı BDM İş Geliştirme Ajansı olarak bu konularda hatırlatma ve bilgilendirmelerimiz blog konularımızın bir bölümünü

oluşturacaktır.

Bilgi Yönetim Sistemi ISO 27001, şirketlerin kendilerine özel, hassas ve şirket içinde kalması elzem olan bilgilerini korumaya yönelik “Bilgi Güvenliği Yönetim Sistemi (BGYS)” kurulmasını amaçlayan, standardize eden ve sertifikalayan sistematik bir yaklaşımdır. BGYS sisteminin temeli firma içindeki varlıkların ve bilgilerin sınıflandırılması ve hassasiyetlerinin belirlenmesi üzerine kurulur. Varlıklar; fiziksel, gerçek ve tüzel kişiler (çalışanlar, müşteriler, tedarikçiler, firmanın imajı), yazılımlar, bilgiler ve alınan hizmetler olarak sınıflanır. Bu sınıflandırma ile BGYS; firma için çalışanları, kritik her türlü bilgi varlıklarını, kurum için önemli ve gizli yazılı ya da elektronik ortamdaki her türlü dokümanı, iş süreçlerini, iş sürekliliğini  ve bilgi teknolojilerini kapsar. 2022 yılından itibaren ISO/IEC 27001:2022 versiyonu kullanılmakta ve sertifikalandırılmaktadır.

ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ KURMAK

ISO 27001 dünya üzerinde geçerliliği olan ve gitgide birçok alanda zorunlu hale getirilmeye çalışılan bir standarttır. Bu standart, kurumlara genel anlamda bilgi güvenliğini nasıl yapabileceklerini anlatmaktadır.

ISO 27001 standardını uygulayan ve sertifikasını alan bir şirketin, dünyanın güvenliği en yüksek firması olması gerekmez. Ancak güvenliğin ne seviyede olduğu o kurumun yöneticileri tarafından bilinir ve onların kararı ölçüsünde ortaya konmuş durumda olup zaman içinde artan bir güvenlik seviyesi vardır.

Özellikle, elektronik imza servis sağlayıcıları, bankalar, hastaneler, sigorta şirketleri, e-ticaret ile uğraşan şirketlerde BGYS’nin uygulanması önemli bir ihtiyaçtır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurumunuza Hangi Faydaları Sağlar ?

Günümüzde etkili işleyen bir “Bilgi Güvenliği” alt yapısı olmadan hiçbir kurum veya kuruluş imajını, piyasadakini güvenini ve dolayısıyla varlığını uzun süre koruyamaz. BGYS aracılığı ile ilgili tarafların, özellikle de müşterilerinizin ve önemli tedarikçilerinizin bilgi güvenliği konusunda size duydukları güveni teminat altına alırsınız. En önemlisi de “Bilgi Güvenliğini” iş süreçlerinizin önemli bir parçası olarak gördüğünüzü ve uygulamaya almış olduğunuzu belgelersiniz. “Bilgi Güvenliği Sisteminizi” firmanızda her kademede ve iş süreçlerinizde önemser ve yaşatırsınız. 

Bu kapsamda BGYS sisteminin faydalarını özetleyecek olursak ; 

• Şirketinizdeki değerli bilgi varlıklarının neler olduğu netleşir, her çalışan tarafından bilgi varlıkları en yüksek derecede korunmaya başlar. 

• Bu bilgi varlıkları ister yazılı döküman olsun ister elektronik ortamda olsun, korunması için yapılacaklar belirlenir. Gerekli tedbirler en üst seviyede alınır. 

• Kritik bilgilerin gizli ve koruma altında olması, sizleri, çalışanlarınız, müşterilerinizi ve tedarikçilerinizi rahatlatır. İşbirliğinizi, sinerjisini geliştirir ve dolayısıyla verimliliğinizi arttırır. 

• Kişilerin bilinçli veya bilinçsiz olarak sebep olabileceği bilgi güvenliği ihlal durumları için senaryolar ve seviyelendirilmiş yaptırımlar belirlenir, paylaşılır ve uygulanır. 

• Kurumunuzun kritik bilgi varlıkları belirlenmiş tehditler altında gizlilik, bütünlük ve erişilebilirlik açısından ayrı ayrı değerlendirilir ve gerekli önlemlerin alınmasını sağlanır. 

• Kurumunuzdaki süreçler, bilgilerin bütünlüğü ve iş sürekliği ile ilgili tüm yapılanlar denetlenir. Felaket senaryoları hazırlanır ve tatbikatlar uygulanır. Bu senaryolar kapsamında  iş sürekliliği denetlenir. Yapılması gerekenler ve eksiklikler belirlenir. Bunlar tamamlanarak iyileştirme sağlanır. 

• Şirketinizin piyasadaki güvenilirliği ve değeri artar. 

    Bu sistem sayesinde bilgileriniz güvence altına alınır. Kesinlikle hiçbir ayrıntı şansa

bırakılmayıp riske atılamaz böylelikle her türlü felaket senaryolarına hazırlıklı olunur.

TC Gümrük ve Ticaret Bakanlığı’nın yayınladığı “Yetkilendirilmiş Yükümlü

Uygulaması” ile firmanızın gümrük işlemlerinizi rahatça kendinizin yapabilmesini

sağlayan uygulamalara hazır hale gelirsiniz.  Gümrük ve Ticaret Bakanlığı

“Yetkilendirilmiş Yükümlü Uygulaması” için ISO 27001’i ön şart olarak belirlemiştir. 

• Kamu kurumları ya da özel sektör ihalelerinde diğer firmalardan bir adım önde olursunuz. Günümüzde “Bilgi Güvenliği” altyapısını ilgilendiren birçok iş kolundaki önemli ihalelerde ISO 27001 standardına sahip olmak önemli bir ön koşul olarak aranmaktadır.

• Bilgi varlıklarının farkına varma: Kuruluş hangi bilgi varlıklarının olduğunu, değerinin farkına varır.

•  Sahip olduğu varlıkları koruyabilme: Kuracağı kontroller ile koruma metotlarını belirler ve uygulayarak korur.

• İş sürekliliği: Uzun yıllar boyunca işini garanti eder. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olur.

• İlgili taraflar ile barış halinde olma: Başta tedarikçileri olmak üzere, bilgileri korunacağından ilgili tarafların güvenini kazanır.

• Bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz.

• Müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir.

• Çalışanların motivasyonunu arttırır.

• Yasal takipleri önler.

• Yüksek prestij sağlar .

Kritik Başarı Faktörleri;

• İş hedefini yansıtan güvenlik politikası,

• Uygulama yaklaşımının şirket kültürü ile tutarlı olması

• Yönetimin görülür desteği ve bağlılığı

• Güvenlik gereksinimlerinin, risk değerlendirmesinin ve risk yönetiminin iyi anlaşılması

• Güvenliğin tüm yöneticilere ve çalışanlara etkili bir biçimde pazarlanması

• Bilgi güvenliği politikası ve standartları ile ilgili kılavuzların tüm çalışanlara ve sözleşmelilere dağıtılması

• Uygun eğitim ve öğretimin sağlanması

• Bilgi güvenliği yönetimi performansının ve iyileştirme için geri bildirimlerle sunulan önerileri değerlendirilmek için kullanılan kapsamlı ve dengeli bir ölçüm sistemi

ISO 22301 İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ

İş Sürekliliği Yönetimi (Business Continuity Management), organizasyonların kritik fonksiyon ve süreçlerini etkileyecek olaylara karşı hazırlıklı olmasının ve herhangi bir olaya, önceden planlandığı ve test edildiği şekilde yanıt verilebilmesinin sağlanmasıdır.

İş Sürekliliği Yönetimi, şirketlerin iş süreçlerinin tanımlanması, kritik süreçlerin belirlenmesi, iş sürekliliğini etkileyebilecek yangın, deprem, sistemlerde arıza, bilgi kaybı, bilgi sızıntısı vb.. her türlü iç ve dış etmenleri ele alan, bu etmenler dikkate alınarak “Risk Yönetimi” yapan  ve tüm bu bileşenler doğrultusunda “Kurum İş Sürekliliği” altyapısını  standardize eden ve sertifikalayan sistematik bir yaklaşımdır. 

İş sürekliliği planlaması, bir kuruluşun sahip olduğu varlıkları herhangi bir felaket anında korumasını amaçlayan ve işletmenin, müşterilerine, kendisinden mal alanlara ve diğer iş ortaklarına her ne olursa olsun, kabul edilebilir bir seviyede hizmet vermeye devam etmesini sağlayabilmek için yürütmesi gereken bir süreçtir.

İş Sürekliliği Planlaması Nedir?

İş sürekliliği planlaması, bir kuruluşun sahip olduğu aşağıda belirtilen varlıkları herhangi bir felaket anında korumasını amaçlayan ve işletmenin, müşterilerine, kendisinden mal alanlara ve diğer iş ortaklarına her ne olursa olsun, kabul edilebilir bir seviyede hizmet vermeye devam etmesini sağlayabilmek için yürütmesi gereken bir süreçtir.

 İşletmenin görevini yapabilme gücü,

 Faaliyetine devam edebilme gücü,

 Şöhreti, imajı,

 Müşteri portföyü, Pazar payı,

 Karlılığı

İş Sürekliliği Planlaması şöyle tarif edilebilir;

“İş hacmini, kabul edilebilir bir seviyede tutmak için gerekli olan iş süreçlerini ve kaynakları tanımlamak ve muhafaza etmek; işlerin kötüye gittiği zamanlarda, kaynakları korumak ve kuruluşun ayakta kalmasını güvenlik altına almak için bir takım prosedürler oluşturmak.” (System Management Methodology-Disaster Contingency Planning,1992, Price Waterhouse)

İş sürekliliği planı teknik bir plandan çok yönetim planıdır. Dolayısıyla, beklenmedik olaylara karşı, planlama yapılırken öncelikle organizasyonun ve işletme faaliyetlerini destekleyen araçların tanımlanması, bu tip araçların kayba uğraması halinde ortaya çıkacak etkilerin değerlendirilmesi, kriz durumunu kimin yöneteceği ve bu yönetimin nasıl yapılacağı hususlarının açıklığa kavuşması gerekir.

Bugünkü iş ortamında, bir kuruluşun, işler normal seyri içinde yürürken, bir krizle karşılaşması halinde neler yapması gerektiğini muhakkak bilmesi gerekir. Zira küçük, büyük veya katastrofik felaketler, bir işletmeye çok ciddi kayıplar getirebilir. Felaketten kurtulma ve işletme sürekliliğinin sağlanması bu amaçla hazırlanacak bir İş Sürekliliği Planı ile mümkündür. Info Security dergisinde yayınlanan bir makalede etkin iş sürekliliği planlarının, kayıpları %90 oranında azalttığını belirtiyor. Bunun yanı sıra olağanüstü bir durum yaşamış firmaların her beş tanesinden ikisinin faaliyetlerini sürdüremediği, sürdürebilenlerden üç tanesinden birinin iki yılsonunda faaliyetini durdurduğu Gartner’in yapmış olduğu araştırma sonucunda belirlenmiş.

Firmanızın iş sürekliliğinin en üst düzeyde sağlanmasının rekabet gücünüzün ve müşterilerinize sunduğunuz yüksek hizmet kalitesinin en önemli göstergesi olarak görmekteyiz. 

Bu amaçla tüm kritik iş süreçlerinizi titizlikle ele alıyor, süreçlerinizin hangi tehtidler altında ne şiddette kesintiye uğrama riski olduğunu analiz ediyor ve bütçeniz ve ihtiyaçlarınız doğrultusunda size özel projeler geliştiriyor, uyguluyoruz. 

Özellikle IT, Telekomünikasyon, Bankacılık, Finans gibi neredeyse tüm işleri elektronik ortamda yürüyen şirketler, ayrıca Lojistik, Kargo, perakende gibi operasyonel süreçleri önemli şirketler için “İş Sürekliliği” olmazsa olmaz bir kavramdır. Bunun için oldukça yüklü maliyetlerde yatırımlar yapılır. Halbuki çoğu zaman bu yatırımlar bütünü görmekten uzak, sadece o anki ihtiyaca yönelik olabilmektedir. İş Sürekliliği tüm iş süreçlerinizi ele alıp, aralarında kritik olanları belirleyip, risk yönetimi ile bunları sınıflandırıp size bütünsel bir bakış kazandıracaktır.

İş Sürekliliğini gerçekleştirerek kurumunuzda;

• Kritik iş süreçlerinin farkındalığı artar. 

• Yaşanması muhtemel ya da mevcut her türlü tehdit belirlenir. Etkileri belirlenir ve tehditlerin maksimum oranda önüne geçilir. 

• Sistemlerde veya süreçlerde yaşanabilecek duraksamaların olası etkileri minimize edilir. 

• Yangın, deprem, sistemlerde arıza, bilgi kaybı, bilgi sızıntısı vb.. her türlü iç ve dış etmenlerde ya da felaket durumlarında, kritik iş süreçlerinin ya da fonksiyonlarının doğru çalışmasını garanti eder. 

Bütünsel iyileştirme ve sürdürülebilirlik çalışmalarınızda her daim yanınızdayız...

İlgili danışmanlık ve belgelendirme destekleri için bizimle iletişime geçebilirsiniz.

e-mail : info@bdmajans.com

whats app : 0546 101 49 09