Belgelendirme Rehberi

ISO 27001 Belgesi Nereden Alınır?

ISO 27001 Belgesi almak isteyen kuruluşların en çok merak ettiği konuların başında belgenin hangi kuruluş tarafından düzenlendiği gelir. Danışmanlık firması, belgelendirme kuruluşu ve akreditasyon kurumu arasındaki farkları öğrenerek doğru bilgi güvenliği yönetim sistemi belgelendirme sürecini güvenle planlayabilirsiniz.

ISO 27001 Belgesi nereden alınır
Ana Konu Belgelendirme Süreci
Temel Unsur Akredite Kuruluş
Odak Noktası Doğru Belgelendirme
TOEM Uzmanından Not

ISO 27001 Belgesi hiçbir danışmanlık firması tarafından verilmez. Danışmanlık firmaları kuruluşun Bilgi Güvenliği Yönetim Sistemini hazırlamasına destek olur. Belge ise yalnızca bağımsız denetim gerçekleştiren ve ilgili kapsamda akredite olan belgelendirme kuruluşları tarafından düzenlenebilir.

ISO 27001 Belgesi Nereden Alınır?

ISO 27001 Belgesi, kuruluşun Bilgi Güvenliği Yönetim Sisteminin ilgili standart şartlarını karşıladığının bağımsız olarak doğrulanması sonucunda düzenlenen uluslararası kabul gören bir yönetim sistemi belgesidir. Bu nedenle belgeyi düzenleyen kuruluş ile danışmanlık hizmeti veren kuruluşların görevleri birbirinden tamamen farklıdır.

Belgelendirme sürecinde ilk adım, kuruluşun bilgi varlıklarının, bilgi güvenliği risklerinin, yasal ve sözleşmesel yükümlülüklerinin ve yönetim sistemi ihtiyaçlarının analiz edilmesidir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi kuruluşa uygun şekilde kurulduktan ve uygulama kayıtları oluşturulduktan sonra akredite bir belgelendirme kuruluşu tarafından bağımsız denetim gerçekleştirilir. Denetimin olumlu sonuçlanması halinde ISO 27001 Belgesi düzenlenir.

Bu süreçte danışmanlık firması, belgelendirme kuruluşu ve akreditasyon kurumu farklı sorumluluklara sahiptir. Bu görevlerin doğru anlaşılması, hem doğru kuruluşlarla çalışılması hem de belgelendirme sürecinin sağlıklı şekilde yürütülmesi açısından büyük önem taşır.

Bilgi

ISO (International Organization for Standardization), ISO 27001 standardını yayımlayan uluslararası kuruluştur. ISO doğrudan belgelendirme faaliyeti yürütmez ve herhangi bir kuruluşa ISO 27001 Belgesi düzenlemez.

ISO 27001 Belgelendirme Sürecinde Kim, Ne Yapar?

ISO 27001 Belgesi alma sürecinde farklı görev ve sorumluluklara sahip kuruluşlar yer alır. Bu kuruluşların görevlerinin doğru anlaşılması, hem doğru hizmet alınması hem de belgelendirme sürecinin sağlıklı yürütülmesi açısından önemlidir.

Aşağıdaki tablo, süreçte yer alan temel kuruluşların görevlerini özetlemektedir.

KuruluşGörevi
ISOISO 27001 standardını hazırlar, yayımlar ve günceller. Belgelendirme faaliyeti yürütmez.
Danışmanlık FirmasıKuruluşun ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmasına, uygulamasına ve belgelendirme denetimine hazırlanmasına destek olur.
Belgelendirme KuruluşuBilgi güvenliği yönetim sistemini bağımsız olarak denetler. Uygun bulunması halinde ISO 27001 Belgesini düzenler.
Akreditasyon KurumuBelgelendirme kuruluşlarının uluslararası kurallara uygun çalıştığını değerlendirir ve yetkilendirir.

Belgelendirme Sürecinde Yer Alan Kuruluşlar

Her kuruluşun görev alanı farklıdır. Bu ayrımın doğru anlaşılması, ISO 27001 Belgesi alma sürecinin doğru planlanmasını sağlar.

Danışmanlık Firması
Danışmanlık firmaları; kuruluşun mevcut durumunu değerlendirir, ISO 27001 Bilgi Güvenliği Yönetim Sisteminin kurulmasına destek olur, bilgi varlığı envanteri, risk analizi, risk işleme planı, SoA, erişim kontrolleri, dokümantasyon, eğitimler ve denetim hazırlıkları konusunda rehberlik eder. Danışmanlık firmaları ISO 27001 Belgesi düzenlemez.
Belgelendirme Kuruluşu
Belgelendirme kuruluşları, bağımsız denetimler gerçekleştirir. Denetim sonucunda kuruluşun ISO 27001 standardının şartlarını karşıladığı doğrulanırsa ISO 27001 Belgesi düzenlenir.
Akreditasyon Kurumu
Akreditasyon kurumları, belgelendirme kuruluşlarının uluslararası kurallara uygun çalıştığını değerlendirerek belirli kapsamlar için yetkilendirir. TÜRKAK, DAkkS, UKAS ve CAI gibi kuruluşlar bu alanda faaliyet gösteren ulusal akreditasyon kurumlarına örnektir.
ISO
ISO, uluslararası standartları hazırlayan ve yayımlayan kuruluştur. ISO 27001 standardının sahibidir ancak hiçbir kuruluşa ISO 27001 Belgesi düzenlemez ve belgelendirme hizmeti vermez.

Akreditasyon Neden Önemlidir?

ISO 27001 Belgesinin güvenilirliği yalnızca belgenin varlığıyla değil, belgeyi düzenleyen kuruluşun yetkinliğiyle de ilişkilidir. Bu nedenle belgelendirme kuruluşunun ilgili faaliyet alanında akredite olması büyük önem taşır.

Akreditasyon; belgelendirme kuruluşunun tarafsız, bağımsız ve uluslararası kabul görmüş kurallar çerçevesinde faaliyet gösterdiğinin göstergesidir. Böylece düzenlenen belgelerin ulusal ve uluslararası düzeyde kabul görmesi desteklenir.

TOEM Uzmanından Not

Belgelendirme kuruluşu seçerken yalnızca fiyatı değil; akreditasyon durumunu, faaliyet gösterdiğiniz sektöre uygun kapsam yetkisini ve ISO 27001 belgesinin kullanılacağı pazarlardaki tanınırlığını da mutlaka değerlendirin.

ISO 27001 Belgesi Alma Süreci Nasıl İlerler?

ISO 27001 Belgesi alma süreci, yalnızca bir başvuru yapılarak tamamlanan bir işlem değildir. Başarılı bir belgelendirme süreci; bilgi güvenliği yönetim sisteminin kurulması, uygulanması, risklerin yönetilmesi ve bağımsız olarak doğrulanması aşamalarından oluşur.

Aşağıdaki süreç, ISO 27001 Belgelendirme yolculuğunu genel hatlarıyla göstermektedir.

1

İhtiyaç analizi yapılır.

Kuruluşun faaliyet kapsamı, bilgi güvenliği kapsamı, bilgi varlıkları, risk profili ve belgelendirme ihtiyacı değerlendirilir.

2

Danışmanlık süreci planlanır.

Bilgi Güvenliği Yönetim Sisteminin kurulması için gerekli yol haritası hazırlanır.

3

Sistem uygulamaya alınır.

Hazırlanan dokümantasyon, risk analizleri, kontroller ve kayıt yapısı kuruluş içinde uygulanmaya başlanır.

4

İç tetkik gerçekleştirilir.

Sistemin etkinliği belgelendirme denetimi öncesinde kuruluş içinde değerlendirilir.

5

Belgelendirme denetimi yapılır.

Bağımsız belgelendirme kuruluşu, sistemin ISO 27001 şartlarına uygunluğunu değerlendirir.

6

ISO 27001 Belgesi düzenlenir.

Uygunluğun doğrulanması sonrasında belge düzenlenir ve gözetim süreci başlar.

Belgelendirme Sonrasında Süreç Tamamlanır mı?

ISO 27001 Belgesi alındıktan sonra bilgi güvenliği yönetim sistemi sona ermez. Belgenin geçerliliğinin sürdürülebilmesi için sistemin etkin şekilde uygulanmaya devam etmesi, risklerin güncel tutulması, bilgi güvenliği performansının izlenmesi ve belirli aralıklarla gerçekleştirilen gözetim denetimlerinden başarıyla geçilmesi gerekir.

Bu nedenle ISO 27001 Belgesi, tek seferlik bir proje değil; bilgi güvenliği risklerinin yönetilmesi ve sürekli iyileştirme esasına dayanan uzun vadeli bir yönetim yaklaşımıdır.

Denetçi Bakış Açısı

Denetimlerde en sık karşılaşılan yanlışlardan biri, danışmanlık hizmeti ile belgelendirme hizmetinin aynı süreç olarak değerlendirilmesidir. Oysa danışmanlık kuruluşu sistemi kurar ve hazırlar; belgelendirme kuruluşu ise bu sistemi bağımsız olarak değerlendirir. Tarafsızlığın korunabilmesi için bu iki rolün birbirinden ayrılması temel bir ilkedir.

Sahadan Deneyim

Danışmanlık verdiğimiz kuruluşlarda en sık karşılaşılan sorunlardan biri, belgelendirme kuruluşu seçilmeden önce faaliyet kapsamının, bilgi güvenliği risklerinin ve akreditasyon kapsamının yeterince değerlendirilmemesidir. Projenin başlangıcında doğru planlama yapılması, hem zaman kaybını hem de ilerleyen aşamalarda yaşanabilecek kapsam değişikliklerini büyük ölçüde önlemektedir.

Denetçi Tavsiyesi

Belgelendirme kuruluşu seçmeden önce faaliyet alanınıza uygun kapsam yetkisine sahip olup olmadığını, akreditasyon durumunu ve uluslararası tanınırlığını mutlaka doğrulayın. Sürecin en başında yapılacak bu kontrol, ileride belge geçerliliğiyle ilgili yaşanabilecek birçok sorunun önüne geçebilir.

TOEM Uzmanından Not

Doğru danışmanlık desteği ile doğru belgelendirme kuruluşunun bir araya gelmesi, ISO 27001 sürecinin hem daha verimli hem de daha güvenilir şekilde tamamlanmasını sağlar. Amaç yalnızca belge almak değil; kuruluşunuzun bilgi varlıklarını ve bilgi güvenliği risklerini sistematik şekilde yöneten sürdürülebilir bir bilgi güvenliği yönetim sistemi oluşturmaktır.

ISO 27001 Belgesi Alırken Yapılan Yaygın Hatalar

ISO 27001 Belgesi alma sürecinde kuruluşların karşılaştığı sorunların önemli bir bölümü, yanlış bilgilendirme veya eksik araştırma nedeniyle ortaya çıkmaktadır. Aşağıdaki yanlış inanışlar, belgelendirme sürecinde en sık karşılaşılan örnekler arasındadır.

Yanlış:
ISO 27001 Belgesini ISO düzenler.Doğrusu: ISO yalnızca standardı yayımlar ve günceller. ISO 27001 Belgesi ise akredite belgelendirme kuruluşları tarafından gerçekleştirilen bağımsız denetim sonucunda düzenlenir.
Yanlış:
Danışmanlık firması belge verir. Doğrusu: Danışmanlık firmaları bilgi güvenliği yönetim sisteminin kurulmasına destek olur. Belge düzenleme yetkisi yalnızca belgelendirme kuruluşlarına aittir.
Yanlış:
Her belgelendirme kuruluşu her sektörde belge verebilir. Doğrusu: Belgelendirme kuruluşlarının yetkileri akreditasyon kapsamları ile sınırlıdır. Faaliyet alanınıza uygun kapsam yetkisine sahip olup olmadıkları mutlaka kontrol edilmelidir.
Yanlış:
Belge alındıktan sonra sistemi uygulamaya gerek yoktur. Doğrusu: ISO 27001 sürekli uygulanması gereken bir bilgi güvenliği yönetim sistemidir. Gözetim denetimleri, risk değerlendirmeleri, kontroller ve sürekli iyileştirme yaklaşımı standardın temel unsurlarındandır.

Belgelendirme Kuruluşu Seçerken Nelere Dikkat Edilmelidir?

Doğru belgelendirme kuruluşunun seçilmesi, ISO 27001 Belgesinin güvenilirliği ve uluslararası kabulü açısından büyük önem taşır.

Belgelendirme kuruluşunu değerlendirirken aşağıdaki kriterleri göz önünde bulundurmanız önerilir.

Akreditasyon Durumu
Belgelendirme kuruluşunun geçerli bir akreditasyona sahip olması ve ilgili kapsamda yetkilendirilmiş olması önemlidir.
Kapsam Yetkisi
Faaliyet gösterdiğiniz sektörde ve bilgi güvenliği yönetim sistemi kapsamınıza uygun belgelendirme yapma yetkisinin bulunup bulunmadığı kontrol edilmelidir.
Uluslararası Tanınırlık
Belgenin kullanılacağı pazarlar, müşteri şartnameleri ve tedarik zinciri beklentilerine göre akreditasyonun uluslararası tanınırlığı değerlendirilmelidir.
Deneyim ve Tarafsızlık
Belgelendirme kuruluşunun sektör deneyimi, bilgi güvenliği yönetim sistemi denetim yetkinliği, tarafsızlık ilkesi ve denetim yaklaşımı da seçim sürecinde dikkate alınmalıdır.

Kimler Bu Rehberden Faydalanabilir?

Bu içerik özellikle aşağıdaki kuruluşlar için yol gösterici olacaktır.

İlk Kez ISO 27001 Belgesi Alacak Kuruluşlar
Belgelendirme sürecini doğru planlamak isteyen işletmeler.
Belgelendirme Kuruluşu Araştıran Firmalar
Akreditasyon ve kapsam konusunda doğru seçim yapmak isteyen kuruluşlar.
İhracat Yapan İşletmeler
Uluslararası kabul gören bilgi güvenliği yönetim sistemi belgelendirme süreci hakkında bilgi edinmek isteyen firmalar.
Kamu ve Özel Sektör İhalelerine Hazırlanan Kuruluşlar
ISO 27001 Belgesi gerekliliği bulunan projelere hazırlanan işletmeler.

Bu Konular da İlginizi Çekebilir

ISO 27001 Belgelendirme süreci hakkında daha kapsamlı bilgi edinmek için aşağıdaki rehberlerimizi de inceleyebilirsiniz.

Sık Sorulan Sorular

ISO 27001 Belgesini kim verir?

ISO 27001 Belgesi, ilgili kapsamda akredite olan bağımsız belgelendirme kuruluşları tarafından gerçekleştirilen denetimler sonucunda düzenlenir. Danışmanlık firmaları veya ISO doğrudan belge düzenlemez.

ISO doğrudan ISO 27001 Belgesi verir mi?

Hayır. ISO (International Organization for Standardization), yalnızca standartları hazırlayan ve yayımlayan uluslararası kuruluştur. Belgelendirme faaliyeti yürütmez ve herhangi bir kuruluşa ISO 27001 Belgesi düzenlemez.

Danışmanlık firması ISO 27001 Belgesi verebilir mi?

Hayır. Danışmanlık firmalarının görevi, kuruluşun ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmasına ve belgelendirme denetimine hazırlanmasına destek olmaktır. Belgelendirme yetkisi yalnızca bağımsız belgelendirme kuruluşlarına aittir.

TÜRKAK ISO 27001 Belgesi verir mi?

Hayır. TÜRKAK bir akreditasyon kurumudur. Belgelendirme kuruluşlarının uluslararası kurallara uygun çalıştığını değerlendirir ve yetkilendirir. ISO 27001 Belgesini düzenleyen kuruluş TÜRKAK değil, akredite belgelendirme kuruluşudur.

Her belgelendirme kuruluşu her sektörde ISO 27001 Belgesi verebilir mi?

Hayır. Belgelendirme kuruluşları yalnızca akreditasyon kapsamlarında yer alan faaliyet alanları için belgelendirme yapabilir. Bu nedenle faaliyet alanınıza uygun kapsam yetkisine sahip olup olmadıkları kontrol edilmelidir.

Faaliyet kapsamı neden önemlidir?

Belgelendirme kuruluşunun kuruluşunuzun faaliyet alanında akredite olması, belgenin geçerliliği ve kabul edilebilirliği açısından önem taşır. ISO 27001 projelerinde faaliyet kapsamı, bilgi güvenliği kapsamı, bilgi varlıkları ve lokasyon yapısı birlikte değerlendirilmelidir.

Yabancı akreditasyonlu ISO 27001 belgeleri geçerli midir?

Uluslararası karşılıklı tanınma anlaşmalarına taraf olan akreditasyon kurumları tarafından akredite edilmiş belgelendirme kuruluşlarının düzenlediği belgeler birçok ülkede kabul görmektedir. Belgelendirme kuruluşunun akreditasyon durumu ve kapsamı mutlaka kontrol edilmelidir.

ISO 27001 Belgesi almak için danışmanlık zorunlu mudur?

Hayır. Standart danışmanlık alınmasını zorunlu tutmaz. Kuruluş isterse sistemi kendi kaynaklarıyla kurabilir. Ancak özellikle ilk kez belgelendirme sürecine girecek işletmeler için profesyonel danışmanlık süreci daha planlı ve verimli hale getirebilir.

Belgelendirme süreci ne kadar sürer?

Süre; kuruluşun büyüklüğüne, faaliyet alanına, bilgi güvenliği kapsamına, mevcut yönetim sistemine ve hazırlık seviyesine göre değişebilir. Sürecin sağlıklı planlanması için ön değerlendirme yapılması önerilir.

Belgelendirme kuruluşu seçerken nelere dikkat edilmelidir?

Akreditasyon durumu, kapsam yetkisi, uluslararası tanınırlık, tarafsızlık ilkesi, sektör deneyimi ve bilgi güvenliği yönetim sistemi denetim yetkinliği değerlendirilmesi gereken temel kriterlerdir.

Akredite Belgelendirme

ISO 27001 Belgelendirme Sürecinizi Doğru Planlayın

ISO 27001 Belgesi alma sürecinde doğru danışmanlık desteği ve doğru belgelendirme kuruluşunun seçimi büyük önem taşır. TOEM Kalite olarak kuruluşunuza uygun yol haritasını birlikte oluşturuyor, bilgi güvenliği yönetim sistemi belgelendirme sürecinizi güvenilir ve sürdürülebilir şekilde planlamanıza destek oluyoruz.

ISO belgesi fiyatı ve teklif

Ön teklif almak için butona tıklayarak teklif sayfamıza geçebilir, talebinizi orada iletebilirsiniz; ekibimiz değerlendirdikten sonra size dönüş yapar.