ISO 27001, Bilgi Güvenliği Yönetim Sistemi (BGYS) için gereklilikleri tanımlayan uluslararası yönetim sistemi standardıdır. Standart, riskleri yönetmek ve hafifletmek üzere denetimleri tanımlamak, analiz etmek ve uygulamak için en iyi uygulama çerçevesini sağlayarak, bilgi güvenliği ihlali olasılığını azaltır. Boyutu ve sektörü ne olursa olsun her kuruluş, bağımsız olarak belgelendirilebilecek etkin bir BGYS'yi uygulamak için ISO 27001 içindeki gerekliliklerden ve kontrollerden yararlanabilir. Tanınmış ve bağımsız bir belgelendirme kuruluşu tarafından sağlanan akredite ISO 27001 belgelendirmesi, BGYS'nizin sağlamlığı ve etkinliği konusunda tarafsız bir görüş sağlayarak bilgi güvenliğine yönelik bir taahhüt sergiler. Bu, sözleşmeden doğan yükümlülüklerin yerine getirilmesine yardımcı olur ve çoğu durumda ticaret için bir lisans görevi görür.

ISO 27001 standardının yararları nelerdir ve neden bu kadar önemlidir?

Verilerinizi ve itibarınızı koruyun ISO 27001 belgelendirmesi, bilgi güvenliği için aşağıdaki konularda en iyi uygulamaları yürüten sistematik, risk tabanlı bir yaklaşım oluşturduğunuzu gösterir: Bilgi ve siber güvenlik risklerini tanımlama Riskleri, etki ve olasılığa dayanarak analiz etme Riskleri değerlendirme ve işinizle ilgili faktörlere bağlı olarak ele alındıklarında önceliklendirme Riskleri işleme seçeneklerini belirleme Yasalara, yönetmeliklere ve sözleşme gerekliliklerine yasal uyumu kanıtlayın ISO 27001 belgesini edinmek, yürürlükte olan mevzuatı tanımlamanızı gerektirir, örneğin EU GDPR veya HIPAA gibi yönetmelikler. Bunun risk yönetimi ve kurumsal yönetişim üzerinde olumlu bir etkisi vardır, yasal uyumu kanıtlamanıza ve sözleşme gerekliliklerini yerine getirmenize yardımcı olur. Rekabet avantajı LRQA'nın belgelendirme hizmetleri, müşterilere ve paydaşlara -BT, insan, fiziksel çevre ve iş sürekliliği ile ilgili olabilecek- güvenlik risklerinin, bilgilerini korumak için uygun biçimde ele alındığına dair güven verir. ISO 27001 belgelendirmesi, kapasitenize ilişkin net bir beyan sağlayarak ve uluslararası alanda kabul görmüş en iyi uygulamalarla uyumlu faaliyet gösterdiğinizi kanıtlayarak, yeni işler kazanmanıza yardımcı olur.

ISO 27001 denetimleri nasıl çalışır?

ISO 27001 denetimleri, diğer Ek SL tabanlı yönetim sistemleri ile aynı yaklaşımı izler. Eğitim ve boşluk analizi ile başlayabilirsiniz ancak resmi süreç BGYS tasarımının denetimini (Aşama 1) ve işleyişinin denetimini (Aşama 2) içerir. Bu denetimlerin çıktıları, tutarlılığı ve akreditörler tarafından tanımlanan en iyi uygulamalara olan bağlılığımızla uyumu sağlamak için LRQA'daki nitelikli, bağımsız bir yetkili tarafından teknik olarak incelenir. ISO 27001 belgeniz onaylandıktan sonra, üç yıl süren -ve daha sonraki üç yılı tekrar oluşturacak bir yenileme denetimine zemin hazırlayan- ara kontrol denetimleri döngüsüne başlarsınız. Ara kontrol hem LRQA'nın hem de şirketinizin değişiklikleri yönetmesini ve denetimlerin güncel sektör gereksinimleri ile ilgili olmasını sağlar.

ISO 27001 belgelendirmesi ne kadar sürer?

Belge, onaylandıktan sonra ara kontrol programı ile kanıtlanan etkin sistem bakımına bağlı olarak üç yıl boyunca geçerlidir.

Tipik bir BGYS kapsamı ve uygulanabilirlik beyanına neler dahildir?

Tipik bir Bilgi Güvenliği Yönetim Sistemi/BGYS (Information Security Management System/ISMS) sertifikasının kapsamına, ürün ve hizmetlerin sağlanmasıyla ilgili faaliyetler dahildir. Şirket içi faaliyetlerin veya BGYS proseslerinin dahil edilmesi gerekmez. Amaç, okuyucunun ürün veya hizmetin alınması sırasında sağlanan bilgilerin korunduğundan emin olmasını sağlamaktır. "Uygulanabilirlik" ifadesi, seçilen kontrollerin listesi ile ilgilidir. Bu kontrollerin ayrıntılarını sağlamasa da, son ISO 27001 denetiminin temeli olarak kullanılan bir kontrol beyanına izlenebilir bir referans sağlar. Bazen şirketler ISO 27001 Ek A'dan seçilen kontrolleri listeleyen, paylaşılabilir bir genel versiyona sahiptir; ancak bu zorunlu bir koşul değildir.

ISO 27001 belgesini almanın maliyeti nedir?

Maliyet, BGYS kapsamında çalışan kişi sayısı ile bağlantılı olarak belirlenecek olan denetim günlerinin sayısına bağlıdır. Denetim günlerinin sayısı, akreditasyon standardı ISO 27006'da yayınlanır ve herkes tarafından görüntülenebilir. LRQA gibi akredite bir belgelendirme kuruluşu ile çalışmak, en iyi sektör uygulamalarına dayanan ve diğer tüm akredite belgelendirme kuruluşları ile karşılaştırılabilecek, önerilen bir denetim süresi sağlar. Örneğin, 100 Tam Zamanlı Çalışana (TZÇ) sahip bir kuruluş, faaliyet gösterdiği sektöre, çalışma ortamının karmaşıklığına, yazılım geliştirme sürecine dahil olup olmadıklarına veya ürüne güvenlik eklemeleri gerekip gerekmediğine bağlı olarak 8 ila 12 gün arasında bir ilk denetim süresi (Aşama 1 + Aşama 2) beklemelidir. Sonraki ara kontrol programı yılda 3-4 gün ve yenileme 6-8 gün gerektirecektir.

ISO 9001'e zaten sahibim. Onu ISO 27001 ile entegre edebilir miyim?

Evet; hem ISO 9001 hem de ISO 27001 yönetim sistemlerine yönelik en iyi genel uygulama modeli olan Ek SL'e dayandığından, temel yönetim süreçleri her iki standardın da gerekliliklerini karşılayacak şekilde optimize edilebilir. Aslında, her ikisini de ele alacak bir sistem tasarlamak, kurumsal yönetişimin etkinliğini artırır. Örneğin, büyüme gibi iş hedefleri genellikle güvenliğin tipik olarak pazar beklentilerine uygun bir kalite standardı olarak kabul edildiği yeni ürünlerin geliştirilmesini gerektirir. Entegrasyon, yinelemeyi en aza indirerek denetim süresini kısaltabilen uygun maliyetli bir seçenek de olabilir.

Tipik bir ISO 27001 belgelendirme süreci nedir?

Kuruluşunuzun ISO 27001 belgesini elde etmek için uyguladığı yol, diğer faktörlerin yanı sıra, genellikle şirketinizin bilgi güvenliği ve daha geniş risk yönetimi ile ilgili olgunluk düzeyine bağlıdır. Ancak ISO 27001 belgesini almak için tipik süreç 3 ana adımdan oluşur. 1. Aşama Denetim - belge incelemesi ve planlama: Denetçiniz yönetim sisteminizin tasarımını ve dokümantasyonunu inceleyecektir - bu süreç çoğu durumda uzaktan gerçekleştirilir. 2. Aşama Denetim - uygulamanızın değerlendirilmesi: Denetçiniz, BGYS'nizin ISO 27001 gerekliliklerine uygun şekilde uygulanmasını ve etkinliğini değerlendirecektir. Herhangi bir uygunsuzluk tespit edilmezse, belgenizi alırsınız. Bu aşama uzaktan veya yerinde gerçekleştirilebilir. ISO 27001 belgelendirmenizi duyurun: Belgelendirmeniz, uluslararası alanda kabul görmüş en iyi uygulamalara ve sürekli gelişmeye olan bağlılığınızı kanıtlayarak, yeni işler kazanmanıza ve müşteri taleplerini karşılamanıza yardımcı olur.

ISO 27002:2022 nedir ve etkisi nedir?

ISO 27002:2022 düzenlemesi, 2013'e kadar uzanan ISO 27001'de bulunan kontrollerin listesini günceller. Gözden geçirilmiş kontroller, hem tehditlere hem de güncel en iyi uygulamalara ilişkin gelişmeleri yansıtır ve ISO 27002'nin genişletilmiş kapsamı, risk yönetimi önlemlerinin geniş kapsamlı ve etkili olmasını sağlamaya yardımcı olur. Şirketler, tespit ettikleri riskleri ele almak veya potansiyel boşlukları keşfetmek için kapsamlı kontrol listesini kullanabilirler. Bu da, şirketlerin günümüzde karşı karşıya kaldığı karmaşık ve gelişen tehdit manzarasının bir adım önünde kalmalarına yardımcı olur.

ISO 27001'in yeni bir sürümü geliştiriliyor mu?

25 Ekim 2022'de yeni bir ISO 27001 sürümü yayınlandı. ISO 27002:22 tarafından özetlenen yeni kontrolleri içeren şirketlerin, risk değerlendirmelerini yeniden gözden geçirmeleri ve yeni risk iyileştirmelerinin uygulanmasının gerekip gerekmediğini belirlemeleri gerekecektir.

Bilgi Güvenliği Yönetimi için ISO/IEC 27001 (ISMS) Belgelendirmesi

LRQA uzmanlarından sertifikalı eğitim alın

Fiyat Teklifi İsteyin ISO 27001 eğitimi

Bu hizmet hakkında daha fazla bilgi edinin

Bizimle iletişime geçin

Boyutu ya da sektörü ne olursa olsun her kuruluş için ISO/IEC 27001, kapsamlı bilgi ve siber güvenlik stratejisi için güçlü bir temel sağlar. Standart; riskleri azaltmak ve işletme açısından kritik önem taşıyan verileri tanımlamak, analiz etmek ve eyleme geçirilebilir kontrollerle korumak için, BGYS'nin en iyi uygulama çerçevesini ana hatlarıyla açıklamaktadır. Akredite ISO 27001 belgelendirmesi, şirketinizin -ve müşterilerinizin- bilgilerini giderek daha karmaşık hale gelen bir tehdit durumuna karşı savunmak için yerleşik süreç ve kontrollere sahip olduğunuzu kanıtlar. Standart ve hizmetlerimiz ile ilgili Sık Sorulan Sorular'a göz atın.

ISO/IEC 27001 hizmetlerimiz

Belgelendirme ve eğitim hizmetlerimiz yerinde, uzaktan veya karma bir yaklaşımla sunulabilir ve size ihtiyaçlarınıza uygun esnekliği ve servis modelini sağlar.

Eğitim

Birçok farklı öğrenim yöntemi ile sunulan ve farklı deneyim seviyeleri için tasarlanmış bir dizi kursla ISO 27001 bilginizi geliştirin.

Mevcut Durum Analizi

Resmi ISO 27001 denetiminizden önce, uzman denetçilerimizden birinin sisteminizin kritik, yüksek riskli veya zayıf alanlarını belirlemenize yardımcı olacağı, isteğe bağlı bir hizmet.

Akredite belgelendirme

Yeni işler kazanmanıza ve paydaşlarla güven oluşturmanıza yardımcı olarak yeteneklerinizi net bir şekilde ortaya koyan bağımsız iki aşamalı bir süreç.

Entegre denetimler

Eğer birden fazla yönetim sistemini uyguladıysanız, daha verimli ve uygun maliyetli entegre bir denetim ve ara kontrol programından yararlanabilirsiniz.

Bilgi ve siber güvenlik konusuna 360⁰'lik bir yaklaşım

Kapsamlı siber güvenlik portföyümüz tarafından desteklenen köklü teknik içgörü ve uzmanlığımız şirketiniz ile işbirliği içinde çalışmamıza olanak sağlayarak, karşılaştığınız belirli tehditleri azaltmak için çözümler sunmadan önce tespit etmenize yardımcı olur. Sistemlerinizi onaylayarak belgelendirebilir, güvenlik açıklarını tanımlayabilir ve marka bütünlüğünüzü, finansmanınızı ve operasyonlarınızı etkileyebilecek saldırıları ve olayları önlemeye yardımcı olabiliriz.

LRQA'dan bilgi güvenliği ve siber hizmetler - 360 view.png

Neden bizimle çalışmalısınız?

Yerel ve küresel uzmanlık

Siz neredeyseniz, biz de oradayız. Dünya genelinde 300'den fazla yüksek nitelikli denetçi ve 250'den fazla özel siber güvenlik uzmanı ile mükemmelliğe küresel boyutta tutarlı bir kararlılık sergileyerek, yerel hizmet sağlayabiliriz. Çalışanlarımız, bilgi ve siber güvenlik riskleri, zorlukları, standartları, yönetmelikleri ve çerçeveleri hakkında derinlemesine bilgi sahibi teknik uzmanlardır.

Esnek hizmet

Çoğu durumda, tüm ISO 27001 eğitim ve belgelendirme hizmetlerimiz güvenli ve emniyetli bir teknoloji kullanılarak yerinde veya uzaktan sunulabilir. Uzaktan hizmet yöntemlerimizi tercih ederseniz, esneklik, hızlı teslimat ve küresel uzmanlığa erişim gibi çeşitli ek avantajları da içeren, aynı yüksek kaliteli hizmeti alacaksınız.

İlklerle dolu bir geçmiş

Dünyanın dört bir yanında çeşitli standartlara yönelik belgelendirme hizmetleri sunmak için UKAS akreditasyonunu alan ilk firmayız. Farklı sektörlerde çeşitli özel standartlar ve çerçeveler geliştirme konusunda etkili olmaya devam ediyoruz.

Yasal uyumun ötesinde

Ödüllü siber güvenlik şirketimiz Nettitude ile birlikte, tüm tehditlere ve güvenlik açıklarına karşı ilk savunma hattını ve müdahaleyi sağlayan gelişmiş hizmetlerle, çok yönlü siber tehditlerden bir adım önde olmanıza yardımcı olabiliriz.

Sık Sorulan Sorular

ISO 27001 nedir?

ISO 27001, Bilgi Güvenliği Yönetim Sistemi (BGYS) için gereklilikleri tanımlayan uluslararası yönetim sistemi standardıdır. Standart, riskleri yönetmek ve hafifletmek üzere denetimleri tanımlamak, analiz etmek ve uygulamak için en iyi uygulama çerçevesini sağlayarak, bilgi güvenliği ihlali olasılığını azaltır.
Boyutu ve sektörü ne olursa olsun her kuruluş, bağımsız olarak belgelendirilebilecek etkin bir BGYS'yi uygulamak için ISO 27001 içindeki gerekliliklerden ve kontrollerden yararlanabilir.

Tanınmış ve bağımsız bir belgelendirme kuruluşu tarafından sağlanan akredite ISO 27001 belgelendirmesi, BGYS'nizin sağlamlığı ve etkinliği konusunda tarafsız bir görüş sağlayarak bilgi güvenliğine yönelik bir taahhüt sergiler. Bu, sözleşmeden doğan yükümlülüklerin yerine getirilmesine yardımcı olur ve çoğu durumda ticaret için bir lisans görevi görür.
ISO 27001 standardının yararları nelerdir ve neden bu kadar önemlidir?
Verilerinizi ve itibarınızı koruyun

ISO 27001 belgelendirmesi, bilgi güvenliği için aşağıdaki konularda en iyi uygulamaları yürüten sistematik, risk tabanlı bir yaklaşım oluşturduğunuzu gösterir:
- Bilgi ve siber güvenlik risklerini tanımlama
- Riskleri, etki ve olasılığa dayanarak analiz etme
- Riskleri değerlendirme ve işinizle ilgili faktörlere bağlı olarak ele alındıklarında önceliklendirme
- Riskleri işleme seçeneklerini belirleme
Yasalara, yönetmeliklere ve sözleşme gerekliliklerine yasal uyumu kanıtlayın

ISO 27001 belgesini edinmek, yürürlükte olan mevzuatı tanımlamanızı gerektirir, örneğin EU GDPR veya HIPAA gibi yönetmelikler. Bunun risk yönetimi ve kurumsal yönetişim üzerinde olumlu bir etkisi vardır, yasal uyumu kanıtlamanıza ve sözleşme gerekliliklerini yerine getirmenize yardımcı olur.

Rekabet avantajı

LRQA'nın belgelendirme hizmetleri, müşterilere ve paydaşlara -BT, insan, fiziksel çevre ve iş sürekliliği ile ilgili olabilecek- güvenlik risklerinin, bilgilerini korumak için uygun biçimde ele alındığına dair güven verir.

ISO 27001 belgelendirmesi, kapasitenize ilişkin net bir beyan sağlayarak ve uluslararası alanda kabul görmüş en iyi uygulamalarla uyumlu faaliyet gösterdiğinizi kanıtlayarak, yeni işler kazanmanıza yardımcı olur.
ISO 27001 denetimleri nasıl çalışır?

ISO 27001 denetimleri, diğer Ek SL tabanlı yönetim sistemleri ile aynı yaklaşımı izler. Eğitim ve boşluk analizi ile başlayabilirsiniz ancak resmi süreç BGYS tasarımının denetimini (Aşama 1) ve işleyişinin denetimini (Aşama 2) içerir. Bu denetimlerin çıktıları, tutarlılığı ve akreditörler tarafından tanımlanan en iyi uygulamalara olan bağlılığımızla uyumu sağlamak için LRQA'daki nitelikli, bağımsız bir yetkili tarafından teknik olarak incelenir.

ISO 27001 belgeniz onaylandıktan sonra, üç yıl süren -ve daha sonraki üç yılı tekrar oluşturacak bir yenileme denetimine zemin hazırlayan- ara kontrol denetimleri döngüsüne başlarsınız. Ara kontrol hem LRQA'nın hem de şirketinizin değişiklikleri yönetmesini ve denetimlerin güncel sektör gereksinimleri ile ilgili olmasını sağlar.
ISO 27001 belgelendirmesi ne kadar sürer?

Belge, onaylandıktan sonra ara kontrol programı ile kanıtlanan etkin sistem bakımına bağlı olarak üç yıl boyunca geçerlidir.
Tipik bir BGYS kapsamı ve uygulanabilirlik beyanına neler dahildir?

Tipik bir Bilgi Güvenliği Yönetim Sistemi/BGYS (Information Security Management System/ISMS) sertifikasının kapsamına, ürün ve hizmetlerin sağlanmasıyla ilgili faaliyetler dahildir. Şirket içi faaliyetlerin veya BGYS proseslerinin dahil edilmesi gerekmez. Amaç, okuyucunun ürün veya hizmetin alınması sırasında sağlanan bilgilerin korunduğundan emin olmasını sağlamaktır.

"Uygulanabilirlik" ifadesi, seçilen kontrollerin listesi ile ilgilidir. Bu kontrollerin ayrıntılarını sağlamasa da, son ISO 27001 denetiminin temeli olarak kullanılan bir kontrol beyanına izlenebilir bir referans sağlar. Bazen şirketler ISO 27001 Ek A'dan seçilen kontrolleri listeleyen, paylaşılabilir bir genel versiyona sahiptir; ancak bu zorunlu bir koşul değildir.
ISO 27001 belgesini almanın maliyeti nedir?

Maliyet, BGYS kapsamında çalışan kişi sayısı ile bağlantılı olarak belirlenecek olan denetim günlerinin sayısına bağlıdır. Denetim günlerinin sayısı, akreditasyon standardı ISO 27006'da yayınlanır ve herkes tarafından görüntülenebilir. LRQA gibi akredite bir belgelendirme kuruluşu ile çalışmak, en iyi sektör uygulamalarına dayanan ve diğer tüm akredite belgelendirme kuruluşları ile karşılaştırılabilecek, önerilen bir denetim süresi sağlar.

Örneğin, 100 Tam Zamanlı Çalışana (TZÇ) sahip bir kuruluş, faaliyet gösterdiği sektöre, çalışma ortamının karmaşıklığına, yazılım geliştirme sürecine dahil olup olmadıklarına veya ürüne güvenlik eklemeleri gerekip gerekmediğine bağlı olarak 8 ila 12 gün arasında bir ilk denetim süresi (Aşama 1 + Aşama 2) beklemelidir. Sonraki ara kontrol programı yılda 3-4 gün ve yenileme 6-8 gün gerektirecektir.
ISO 9001'e zaten sahibim. Onu ISO 27001 ile entegre edebilir miyim?

Evet; hem ISO 9001 hem de ISO 27001 yönetim sistemlerine yönelik en iyi genel uygulama modeli olan Ek SL'e dayandığından, temel yönetim süreçleri her iki standardın da gerekliliklerini karşılayacak şekilde optimize edilebilir. Aslında, her ikisini de ele alacak bir sistem tasarlamak, kurumsal yönetişimin etkinliğini artırır. Örneğin, büyüme gibi iş hedefleri genellikle güvenliğin tipik olarak pazar beklentilerine uygun bir kalite standardı olarak kabul edildiği yeni ürünlerin geliştirilmesini gerektirir. Entegrasyon, yinelemeyi en aza indirerek denetim süresini kısaltabilen uygun maliyetli bir seçenek de olabilir.
Tipik bir ISO 27001 belgelendirme süreci nedir?
Kuruluşunuzun ISO 27001 belgesini elde etmek için uyguladığı yol, diğer faktörlerin yanı sıra, genellikle şirketinizin bilgi güvenliği ve daha geniş risk yönetimi ile ilgili olgunluk düzeyine bağlıdır. Ancak ISO 27001 belgesini almak için tipik süreç 3 ana adımdan oluşur.
- 1. Aşama Denetim - belge incelemesi ve planlama: Denetçiniz yönetim sisteminizin tasarımını ve dokümantasyonunu inceleyecektir - bu süreç çoğu durumda uzaktan gerçekleştirilir.
- 2. Aşama Denetim - uygulamanızın değerlendirilmesi: Denetçiniz, BGYS'nizin ISO 27001 gerekliliklerine uygun şekilde uygulanmasını ve etkinliğini değerlendirecektir. Herhangi bir uygunsuzluk tespit edilmezse, belgenizi alırsınız. Bu aşama uzaktan veya yerinde gerçekleştirilebilir.
- ISO 27001 belgelendirmenizi duyurun: Belgelendirmeniz, uluslararası alanda kabul görmüş en iyi uygulamalara ve sürekli gelişmeye olan bağlılığınızı kanıtlayarak, yeni işler kazanmanıza ve müşteri taleplerini karşılamanıza yardımcı olur.
ISO 27002:2022 nedir ve etkisi nedir?

ISO 27002:2022 düzenlemesi, 2013'e kadar uzanan ISO 27001'de bulunan kontrollerin listesini günceller. Gözden geçirilmiş kontroller, hem tehditlere hem de güncel en iyi uygulamalara ilişkin gelişmeleri yansıtır ve ISO 27002'nin genişletilmiş kapsamı, risk yönetimi önlemlerinin geniş kapsamlı ve etkili olmasını sağlamaya yardımcı olur. Şirketler, tespit ettikleri riskleri ele almak veya potansiyel boşlukları keşfetmek için kapsamlı kontrol listesini kullanabilirler. Bu da, şirketlerin günümüzde karşı karşıya kaldığı karmaşık ve gelişen tehdit manzarasının bir adım önünde kalmalarına yardımcı olur.
ISO 27001'in yeni bir sürümü geliştiriliyor mu?

25 Ekim 2022'de yeni bir ISO 27001 sürümü yayınlandı. ISO 27002:22 tarafından özetlenen yeni kontrolleri içeren şirketlerin, risk değerlendirmelerini yeniden gözden geçirmeleri ve yeni risk iyileştirmelerinin uygulanmasının gerekip gerekmediğini belirlemeleri gerekecektir.

İlgili diğer belgelendirmeleri inceleyin

Yönetim sistemleri belgelendirmeleri ve eğitimlerinden, yönetişim, risk ve yasal uyuma kadar, 360⁰ hizmet sunuyoruz