ISO 27001 Belgesi BGYS Kapsamı Nedir?

Blog - 22OCAK'20

ISO 27001 Belgesi BGYS Kapsamı Nedir?

Hasan Şahap

ISO 27001 Belgesi standart kriterlere uyumluluğunun bir parçası, Bilgi Güvenliği Yönetim Sisteminin (BGYS) kapsadığı kapsamı oluşturmaktır.


ISO 27001 Standart gereksinimlerin bu kısmı, BGYS kapsamına giren ve bunun dışındaki alanların tam olarak iletişimini sağlar.


ISQ Belgelendirme denetçileri bir kuruluşun yürürlükte olan politikalara uyup uymadığını görmek için kapsam bilgi ve belgelerine başvururlar.


Bilgi Güvenliği Yönetim Sistemi gereksinimler


Kuruluşlar, bilgi güvenliği yönetim sistemleri için kapsamlarını oluşturmaları, kapsam dışında kalan alanlarını da belirlemeleri gerekir. Çoğu durumda, işletmelerin güvenli bilgilerle çalışma şeklini ve ilgili paydaşları ilgilendiren her şey belirlenen bu kapsam çerçevesinde geçerli olacaktır.


ISO 27001 Kapsamı 4 Aşamada Nasıl Belirlenir?


ISO 27001 Yönetim sisteminin zorunlu ve zor bir süreci olan BGYS Kapsamı’ nın belirlenmesini kolaylaştıran 4 aşamayı aşağıda paylaşalım;


1.Aşama; sisteme dahil olabilecek tüm olasılıkları içeren ön kapsamın geliştirilmesi,


2.Aşama; her bir parametrenin kapsamda olmasının gerekip gerekmediğini görmek için değerlendirmeler yaparak kapsamın uygun şekilde daraltılması,


3.BGYS için uygun şekilde daraltılmış nihai kapsamı oluşturarak belgeleyin,


4.Kapsamı üst yönetime onaylatın.


İşte bu kadar…


Belirlenmiş ISO 27001 Kapsamın Faydaları Nelerdir?


BGYS Kapsam Faydaları


Kapsamı belirledik ne olacak?


Belirlenmiş bir kapsam, işin BGYS tarafından kapsanan kısımları hakkında soru işareti bırakmaz. Müşteriler, dış taraflar ve çalışanlar, mevcut bilgi güvenliği yönetimini anlamak için belirlenmiş ve onaylanmış BGYS kapsamına başvurabilirler.


Tüm taraflar, kapsamı inceleyebilir ve bilgilerin potansiyel riskler için yürürlükte olan sistemler, politikalar, prosedürler, uygulamalar ve iyileştirmeler için korunup korunmadığını açık şekilde anlayacaklar.


Kapsam Gereksinimleri Nedir?

ISO 27001 Belgesi için Bilgi Güvenliği Yönetim Sistemi, organizasyonel, fiziksel ve teknolojik kapsamını kapsamalıdır. Örgütün ve dış bağlamın ara yüzleri ve bağımlılıkları da kapsam dahilinde olmalıdır.


ISO 27001 kapsamında olan ilgili dış taraflar arasında müşteriler, düzenleyiciler, yatırımcılar, endüstri birlikleri ve hissedarlar bulunmalıdır. İlgili taraflar üst yönetim, bilgi güvenliği analistleri, varlık sahipleri ve son kullanıcılar olmalıdır.


İş faaliyetleri, BGYS’ nin genel kapsamını etkileyebilir ve bu faaliyetleri değiştiren işlevleri destekleyebilir. Bir örnekle açıklayacak olursak; IT yazılım uygulamaları bu prosedürler için gereklidir. Dış kaynaklı fonksiyonlar hem iç tarafları hem de üçüncü taraf tedarikçileri kapsar ve bu şartlarda göz önünde bulundurulmalıdır.


ISO 27001 Kapsamı, kuruluşlara BGYS’ nin kapsamını ve bu kapsamın dışında kalan alanları gösterir. Kuruluşlar, güvenli verileri korumak için olması gereken güvenlik önlemlerini değerlendirirken üst yönetim ve bilgi güvenliği ekiplerinin kararlarını yönlendirebilirler.


ISO 27001 Belgesi ve ilgili diğer yazılara, bloğumuzdan ya da sitemizin ISO 27001 Belgesi bölümünden ulaşabilirsiniz.Her ay güncellenen blog içeriklerimizle yeni bilgiler edineceğinizi umuyoruz…