01. AÇILIS TOPLANTISI
Organizasyon şemasının anlaşılması, üst yönetim farkındalığının sağlanması, BGYS kapsamının belirlenmesi hususları, yasal mevzuat, boşluk analizi, varlık yönetimi yaklaşımı, risk işleme planları, kullanıcı eğitimleri, iç tetkik süreçleri, dokümantasyon, kuruluş kapsamı ve bağlamının belirlenmesi ISO 27001 4.1’e göre kurumda yer alan birimlerin, kapsam ve süreçlerinin belirlenmesi çalışmaları yapılır. Ardından verilecek olan eğitimlerden ve yönetim gözden geçirmesi toplantısı ile süreç başlamış olur.
02. SAHA ANALİZİ
Kurumdaki sürecin anlaşılması için gözetim, soru-cevap, mülakat gibi yöntemlerle işleyişin anlaşılması hedeflenir.
Kurumdaki yazılım, donanım, sistem-network topolojisinin ve organizasyonun anlaşılması ve topolojinin temin edilmesi ile saha analizi çalışmaları yapılır.
03. BGYS YÖNETİM TEMSİLCİSİ ATANMASI SÜRECİ
BGYS komisyonu kurulması için resmi yazı/kurum içi yazı süreçleri, BGYS yönetim temsilcisinin atanması ve komisyon üyelerinin belirlenmesi çalışmaları regülasyonda yer aldığı şekliyle hizmet alan tarafa aktarılır.
04. GÖREV TANIMLARININ HAZIRLANMASI
Yönetim Temsilcisi, BGYS Komisyonu ve bilgi işlem personelleri için görev tanımları (tekniker, uzman, uzman yardımcısı, mühendis, programcı, şef, müdür, daire başkanı) hazırlanır.
05. MEVCUT DURUM ANALİZİ
Proje hedefleri doğrultusunda, mevcut durum incelenerek, hedeflerle mevcut durum arasındaki farklar tespit edilir. Mevcut durum analizi sonrası proje amaç, kapsam ve hedefleri gerek görülürse güncellenir.
06. PROJE PLANLAMA
Mevcut durum analizi sonrasında belirlenen eksiklerin giderilmesi için yapılması gereken faaliyetler, sorumlular ve temrin planlanır. Bu aşamada kurum için ihtiyaç olarak belirlenecek SIEM, WAF, CDN, NETWORK, SİSTEM iyileştirme gibi çalışmalar söz konusu olursa talep edilecek olan hizmetler için teklif ayrıca yapılır.
07. BİLGİ GÜVENLİĞİ EĞİTİMLERİNİN VERİLMESİ
Proje amaç, kapsam ve hedefleri doğrultusunda tüm proje ekibine ve ilgili tüm personele temel bilgi güvenliği farkındalık eğitim ve sunumları yapılacaktır. Bu eğitim Temel Bilgi Güvenliği, Siber Güvenlik ve Farkındalık başlıklarında çevrimiçi olarak 1 kez tüm kurum personellerine verilir.
Ayrıca proje ekibine ISO 27001:2022 Temel, Dokümantasyon, İç Tetkik Eğitimi verilecektir.
08. VARLIK ENVANTERİNİN BELİRLENMESİ
Bilgi varlıklarının hassasiyetlerine göre sınıflandırma yapılması, varlık envanterinin çıkartılması ve ISO 27001 BGYS standardına uygun hale getirilmesi varlıklara göre risklerin hesaplanabilmesi yönleriyle gerekli olan danışmanlık yapılacaktır.
09. UYGULANABİLİRLİK BİLDİRGESİ
ISO 27001 standardının gereği olarak risklere karşı seçilen kontrolleri içeren bir Uygulanabilirlik Bildirgesi hazırlanmalıdır. Uygulanabilirlik Bildirgesi seçilen kontrollerin neler olduğu ve bunların hangi gerekçelerle seçildiğini anlatmalıdır. ISO 27001 EK-A’dan seçilmeyen kontrollerin neler olduğu ile bunların seçilmeme gerekçeleri de Uygulanabilirlik Bildirgesinde verilir.
10. DOKÜMANTASYON SÜRECİ
ISO 27001:2022 standardı için gerekli olan tüm dokümantasyon sürecinin oluşturulması konusunda danışmanlık yapılacaktır. Yapılacak çalışmada bilgi güvenliği yönetim sistemi kapsamında ihtiyaç duyulan; Politikalar, İş Akışı, Kılavuz, Form, Plan, Prosedür, Talimat, Hedef, El Kitapları, Listeler, Görev Tanımları, Dış Kaynaklı Dokümanlar, Organizasyon Şeması, Süreçler, Düzeltici Faaliyet Formları, İç Tetkik Formları, İç Tetkik Soru Listeleri, YGG yer alacaktır.
Uygulanabilirlik bildirgesinde seçilmiş olan kontrollere yönelik dokümanlar ile ISO 27001 standardının tüm şartlarını karşılayan dokümanlar hazırlanmalıdır.
Oluşturulması muhtemel politika ve prosedürlere konu olacak başlıklara örnekler aşağıdaki gibidir:
İnsan Kaynakları Güvenliği
Fiziksel ve Çevresel Güvenlik
Haberleşme ve İşletim Güvenliği
Erişim Kontrolü
BT Edinim Bakım ve Geliştirme
Bilgi Güvenliği Olay Yönetimi
İş Sürekliliği Planı
Yasal Uyum
İç Denetim
Yönetimin Gözden Geçirmesi
Doküman Kontrol Prosedürü
Kayıt Kontrol Prosedürü
Sürekli İyileştirme
Kontrol Etkinliği Ölçme
Düzeltici ve Önleyici Faaliyetler
11. İLGİLİ TARAFLARIN BEKLENTİLERİ, PAYDAŞ ANALİZİ
Kurumun Bilgi İşlem biriminden beklentileri ve kurumun paydaşlardan beklentilerine yönelik paydaş analizi yapılacaktır.
12. RİSK PLANI
ISO 27001’in bir şartı olarak belirlenmiş risklerden yola çıkılarak uygun risk işleme (risk treathment) yöntemleri belirlenmelidir.
Belli bir risk karşısında dört farklı tavır alınabilir:
Uygun kontroller uygulanarak riskin ortadan kaldırılması veya kabul edilebilir seviyeye düşürülmesi
Riskin oluşmasına neden olan faktörleri ortadan kaldırarak riskten kaçınılması
Riskin sigorta şirketleri veya tedarikçiler gibi kurum dışındaki taraflara aktarılması
Kurum politikalarına ve risk kabul ölçütlerine uyması şartıyla riskin objektif bir biçimde ve bilerek kabul edilmesi
Bu çalışma sonucunda belirlenmiş riskler için risk işleme planı oluşturulmalıdır. Risk işleme süreci sonrasında geriye kalan riske artık risk (Residual Risk) denir. Bunlar kabul edilen riskler veya tamamen ortadan kaldırılamayan riskler olabilir. Kurum üst yönetimi artık riskler için onay vermelidir. Bu adım sonunda artık risk onay belgesi oluşturulmalıdır.
13. RİSK BELİRLEME
ISO 27001 standardına göre korunması gereken varlıkların taşıdığı riskler belirlenen yaklaşım kullanılarak tespit edilmelidir. Daha önce oluşturulmuş olan bilgi varlık envanteri bu çalışmaya girdi oluşturmaktadır. Risk belirleme çalışması kapsamında varlık envanterinde bulunan bilgi varlıklarının sahip oldukları açıklıklar ve bu açıklıkları kullanarak varlığa, dolayısı ile işletmenize zarar verebilecek olan tehditler belirlenecektir. Sonrasında risk yönetimi yaklaşımında belirlenmiş yönteme uygun olarak riskler ortaya koyulacaktır. Açıklıkların belirlenmesi sırasında teknik açıklıkların belirlenmesi çalışması da gerçekleştirilmelidir. Risk belirleme çalışmasına destek sağlamak amacı ile teknik açıklıkların tespit edilmesi için gerekli analiz faaliyetleri gerçekleştirilmelidir. Bulgular risk yönetimi yaklaşımına uygun olarak dokümante edilmelidir. İşletmenizin bilgi varlıklarının taşıdığı riskler varlık sahipleri ile görüşmeler yapılarak toplanmalıdır.
14. ACİL DURUM YÖNETİMİ VE İLETİŞİM PLANININ HAZIRLANMASI
Acil durum olarak kaydedilecek olan durumlarda iletişimin ne şekilde işleyeceği ile ilgili olarak acil durum yönetimi belirlenecek ve buna bağlı iş akışlarına göre iletişim planı hazırlanacaktır.
15. İÇ TETKİK PLANININ HAZIRLANMASI VE İÇ TETKİK EĞİTİMİ
ISO 27001 Bilgi güvenliği yönetim sisteminin hayata geçirilmesinin bir parçası olarak bağımsız şekilde iç denetim faaliyeti gerçekleştirilmelidir. Bu kapsamda iç denetim prosedürü, iç denetim programını ve planını, iç denetim kontrol listesi hazırlanır. İç denetim gerçekleştirilerek uygunsuzluklar tespit edilir. Denetimde tespit edilen tüm uygunsuzluklar için kök sebep analizi, düzeltici faaliyet planlama çalışmaları gerçekleştirilir.
16. YGG YAPILMASI
ISO 27001 gereğince üst yönetim kurulan Bilgi Güvenliği Yönetim Sistemi’ni periyodik olarak gözden geçirmelidir. Gözden geçirme faaliyeti yönetimin bulunduğu bir toplantı ile gerçekleştirilmektedir. Toplantının girdileri ve muhtemel çıktıları ISO 27001 standardında belirtilmektedir.
ISO 27001 standardının bir gereği olarak YGG çıktıları dokümante edilmelidir.
17. BELGELENDİRME SÜRECİNE DESTEK
Yönetimin gözden geçirme çalışmasını takiben ISO 27001 belgelendirme denetimine girilebilir.
ISO 27001 belgelendirme denetimi sırasında bir uygunsuzluk çıkması halinde söz konusu uygunsuzluğun giderilmesi için gerekli çalışmalar vakit kaybetmeden gerçekleştirilerek ISO 27001 belgesinin edinilmesi sağlanır.