ISO 27001 belgesi için kurum ve kuruluşların öncelikle ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına göre sistem kurmaları ve uygulamaları gerekmektedir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurumların risk yönetimi ve risk işleme planlarını, görev ve sorumlulukları, iş devamlılığı planlarını, acil durum olay yönetimi prosedürleri hazırlamasını ve uygulamada bunların kayıtlarını tutmasını gerektirir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi, şirketlerin finansal verilerini, fikri mülkiyetlerini ve hassas müşteri bilgilerini korumalarına yardımcı olan uluslararası bir çerçevedir. ISO 27001 sayesinde şirketler risklerini tanımlayabilir, gizli bilgileri konusundaki riskleri yönetebilir veya azaltabilir. Ayrıca bu doğrultuda gerekli güvenlik önlemlerini yerine getirirler. Bu, yalnızca bugün değil, gelecek için de uyguladığınız yöntemleri sürekli olarak incelemenize ve hassaslaştırmanıza yardımcı olur. ISO 27001, işinizin saygınlığını ve şirket itibarınızı korur. Müşterilerinize ve tüm paydaşlarınıza güven vererek işinize değer katar.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına göre sistem kuran firmaların uluslararası boyutta tanınan ve ISO 27001 Bilgi Güvenliği Yönetim Sistemi hususunda akredite olmuş kuruluşlardan denetim yaptırması ve bu denetimlerden başarı ile geçmesi gerekmektedir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurulurken, sistemin gereği olarak çok sayıda doküman üretilmiş olacaktır. Bu dokümanlar sistemin olmazsa olmazlarıdır. Dolayısıyla Bilgi Güvenliği Yönetim Sistemi’nin kuran ve çalıştıran bir kuruluş, aynı zamanda ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi almak istediğinde, hazırladığı bu dokümanları ilgili belgelendirme kuruluşuna vermek durumundadır. Çünkü belgelendirme kuruluşu çalışmalarına başladığında ilk incelemelerini bu belgeler üzerinden yapacak, akabinde denetçiler firmanın bulunduğu yere giderek, hazırlanan dokümanlarla gerçek uygulamaların ne kadar örtüştüğünü yerinde gözleyeceklerdir.
İncelemelerin yapılması için gereken dökümanlar;
Bilgi Güvenliği Yönetim Sistemi El Kitabı. Kuruluşun neden bu sisteme gereksinim duyduğu, bilginin korunmasına yönelik risklerin neler olduğu, olası güvenlik açıkları, buna karşılık risk yönetiminin nasıl yapılacağı, bilgi güvenlik politikalarının oluşturulması burada açıklanmaktadır.
Bilgi Güvenliği Yönetim Sistemi Politikaları. Politikalar kuruluş üst yönetiminin kararları doğrultusunda hazırlanmaktadır. Kuruluşun faaliyet alanı ile doğrudan ilişkili olan bu politikalar içinde belli başlıları şunlardır: Genel Politika, Bilgiye Erişim Politikası, Şifre Güvenliği Politikası, Bilgi Sistemleri Yedekleme Politikası, Sunucu Güvenliği Politikası, Veri İmha Politikası, Personel Güvenlik Politikası, Ziyaretçi Kabul Politikası, Fiziksel Güvenlik Politikası, Bilgi Varlıklarına Yönelik Sorumluluk Politikası.
Bilgi Güvenliği Yönetim Sistemi Prosedürleri. Kuruluşun sistemin gereği olarak hazırlamak zorunda olduğu, Risk Yönetim Prosedürü, Olay İhlal Prosedürü, Disiplin Prosedürü, İş Sürekliliği Prosedürü ve benzeri prosedürlerdir.
Görev Tanımları. Çalışanların, bilgi güvenliğine yönelik yetki ve sorumlulukları, görev tanımları içine ilave edilmiş olmalıdır.
Bilgi Güvenliği Talimatları. Yukarıda bahsedilen prosedürler ile uyumlu olmak üzere, Sistem Odası Kullanma Talimatı, VPN Güvenliği Talimatı, Sunucu Bakım Talimatı ve benzeri uygulama talimatları hazır olmalıdır.
Formlar. Sistemin düzgün ve sistematik bir şekilde yürümesini sağlamak üzere yeni birçok form uygulamaya alınmış olmalıdır.
