ISO 27001 Bilgi Güvenliği Sertifikamızı aldık!

Bildiğiniz üzere, 20/07/2009 tarih ve 26942 sayılı Resmi Gazete’de yayımlanarak yürülüğe giren Elektronik Haberleşme Güvenliği Yönetmeliği ile; 20/07/2008 tarihinden önce yetkilendirilen işletmecilere, söz konusu yönetmeliğin yayımı tarihinden itibaren bir yıl içerisinde; TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluk sağlama yükümlülüğü getirilmiştir. Fakat daha sonra Bilgi Teknolojileri ve iletişim Kurulu’nun kararı ile 20/07/2008 tarihinden önce yetkilendirilmiş işletmecilere söz konusu standarda uygunluğu sağlamak için tanınan sürenin 20/07/2010 tarihine kadar uzatılması ve bu süre sonunda işletmecilerin standarda uygunluklarını bu konuda akredite edilmiş kuruluşlardan alacakları uygunluk sertifikası ile belgelendirmeleri hususuna yer verilmiştir.

Grid Telekom olarak ISO 27001 standardına uygunluk konusunda 1 seneyi aşkın süredir çalışıyoruz ve en sonunda çalışmalarımızın sonucunu aldık. 15 Haziran’da UKAS’tan akredite olmuş bir kuruluştan 1. Seviye olan dökümantasyon kontrolü, 13 Temmuz’da ise 2. Seviye olan saha denetiminden geçtik ve artık ISO 27001 Bilgi Güvenliği Yönetim Sistemine sahip bir firma haline geldik.

ISO 27001 hakkında…

ISO 27001 Bilgi Güvenliği Yönetim Sistemine sahip olmak aslında firmanın risklerinin tamamen farkında olması ve bu risklere karşı önlem almasıdır. Firmaların tabiki hiçbir zaman yüzde yüz güvenlik seviyesine ulaşmaları mümkün değildir fakat burada başarı tehlikenin nereden gelebileceğini bilmekte saklıdır. Tehlikenin nereden geleceğini bilirseniz buna karşı önlem alabilirsiniz.
Bilgi güvenliği yönetim sistemi , firmanızdaki tüm bilgi varlıklarınızın değerlendirilmesi ve bu çalışma ile bilgi varlıklarına ait tüm zafiyet ve tehditleri göz önüne alan bir risk analizi yapılmasını kapsar. Bu durumda risk analizi yapılır ve risk işleme planı hazırlanır.

“Herhangi bir kuruluşun başarısı ve sürekliliği için etkin bir risk yönetimi prosesinin işliyor olması hayati önem taşımaktadır.” DAS TÜRKİYE
Son 1 yılda neler yaptık? Nasıl hazırlandık?

Bu konuda ilk olarak danışmanımız Bülent Coşkun’a teşekkür etmek istiyorum.

Çalışmalarımıza ilk olarak firma içi ISO 27001 bilinçlendirme eğitimleri ile başladık; ISO 27001 nedir ve ne işe yarar sorusunun cevabını personelimizin zihninde oluşması bizim için önemliydi. Sonrasında politika oluşturma çalışmalarımız başladı, ardından standartlar, kayıtlar, formlar derken kendimizi ciddi bir dokumantasyon işinin ortasında bulduk. Bu noktada dokuman yönetimi bizim için önem kazandı ve bu noktada danışmanımızın önerisi ile Quaserv sistemini kullanmaya başladık. Bu sistemin özelliği sadece döküman yönetimi değil, aslında en cezbedici taraf olan ve bu tip standartların yaşaması için gerekli olan düzeltici önleyici faaliyetlerin sistem üzerinden takibine imkan vermesi idi. Bu şekilde açtığımız düzeltici faaliyet ve önleyici faaliyetlere bir sorumlu atayabiliyor, vade girebiliyor ve takip edebiliyoruz.

Diğer taraftan dokumantasyon çalışmalırımıza varlık envanteri, risk analiz ve risk işleme planları ile devam ettik…Sonunda 13 Haziran’da girdiğimiz denetimden anlımızın akı ile çıkarak 26 Temmuz 2010 itibari ile artık Bilgi Güvenliği Yönetim sistemini hayata geçiren ISO 27001 sertifikasına sahip bir firma haline geldik.

Bu süreçteki kazanımlarımız;

• Daha etkin bir yönetim yapısı
• Çalışanların kalite bilincinin artması
• Daha iyi dokümantasyon
• Sistematik çalışma
• Standardizasyon ve tutarlılık
• Etkinlik ve verimliliği arttırmak
• Giderlerin azaltılması
• Daha kurumsal bir yapı