ISO 27001 için başlangıç rehberi

ISO 27001 projeleri genelde iki şekilde başlar. Birincisi, bir müşteri gerekliliği olarak — yani kurum bir ihaleye girmek için sertifikaya ihtiyaç duyar. İkincisi, bir güvenlik olayının ardından — yönetim kurulu 'bunu nasıl önleriz' sorusuna verdiği cevap. İlk senaryoda ekip stresli, ikincisinde panik halindedir. İkisi de iyi başlangıç değildir.

Sertifika kâğıt değil, süreçtir

Sertifika almak için ihtiyacınız olan şey belge değil, belgelerin arkasındaki işler süreç. Denetçi, politika dokümanınızı okumaz — politikanın operasyona nasıl yansıdığını sorar. 'Bu politika var mı?' değil 'bu politikaya göre bu ay kaç olay yakalandı?' sorulur. Sadece politika yazmak işi bitirmez.

İlk altı ayın yapısı

1. Ay: kapsam ve varlık envanteri

Sertifikanın kapsamını net çiz — hangi iş birimi, hangi lokasyon, hangi hizmet? Ardından tüm bilgi varlıklarını listeleyin: uygulamalar, veritabanları, bulut kiracıları, yetki sistemleri, fiziksel ortamlar. Bu liste, geri kalan işin temeli.

2-3. Ay: risk analizi

Her varlık için hangi tehditlere açık olduğunu ve hangi kontrollerin zaten var olduğunu işleyin. Yüzlerce varlıkta risk skoru üretmek için iyi bir matris şarttır. Tek başına Excel sürüklememek için modern GRC araçları kullanın; ama Excel'in varlığını da küçümsemeyin.

4-5. Ay: kontrollerin uygulanması

ISO 27001 Annex A'daki 93 kontrolün hangileri kapsamınız için geçerli, bunu Statement of Applicability (SOA) dokümanında gerekçeli yazın. Uygulanacakları bir sahip atayın. Her kontrolün ölçülebilir bir kanıtı olmalı — erişim logu, yedek test raporu, farkındalık eğitim katılım listesi.

6. Ay: iç denetim ve pre-audit

Dış denetime girmeden önce kendi iç denetiminizi yapın. Bu, soğuk bir gözle sisteminize bakmaktır. İç denetçi kurum içi başka bir ekipten veya dışarıdan tarafsız bir danışmandan olabilir. Bulguları çoktan kapatmış olarak dış denetime girerseniz başarı oranı çok yüksektir.