ISO 27001 Belgesi Nereden Alınır?
ISO 27001 Belgesi almak isteyen kuruluşların en çok merak ettiği konuların başında belgenin hangi kuruluş tarafından düzenlendiği gelir. Danışmanlık firması, belgelendirme kuruluşu ve akreditasyon kurumu arasındaki farkları öğrenerek doğru bilgi güvenliği yönetim sistemi belgelendirme sürecini güvenle planlayabilirsiniz.
ISO 27001 Belgesi hiçbir danışmanlık firması tarafından verilmez. Danışmanlık firmaları kuruluşun Bilgi Güvenliği Yönetim Sistemini hazırlamasına destek olur. Belge ise yalnızca bağımsız denetim gerçekleştiren ve ilgili kapsamda akredite olan belgelendirme kuruluşları tarafından düzenlenebilir.
ISO 27001 Belgesi Nereden Alınır?
ISO 27001 Belgesi, kuruluşun Bilgi Güvenliği Yönetim Sisteminin ilgili standart şartlarını karşıladığının bağımsız olarak doğrulanması sonucunda düzenlenen uluslararası kabul gören bir yönetim sistemi belgesidir. Bu nedenle belgeyi düzenleyen kuruluş ile danışmanlık hizmeti veren kuruluşların görevleri birbirinden tamamen farklıdır.
Belgelendirme sürecinde ilk adım, kuruluşun bilgi varlıklarının, bilgi güvenliği risklerinin, yasal ve sözleşmesel yükümlülüklerinin ve yönetim sistemi ihtiyaçlarının analiz edilmesidir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi kuruluşa uygun şekilde kurulduktan ve uygulama kayıtları oluşturulduktan sonra akredite bir belgelendirme kuruluşu tarafından bağımsız denetim gerçekleştirilir. Denetimin olumlu sonuçlanması halinde ISO 27001 Belgesi düzenlenir.
Bu süreçte danışmanlık firması, belgelendirme kuruluşu ve akreditasyon kurumu farklı sorumluluklara sahiptir. Bu görevlerin doğru anlaşılması, hem doğru kuruluşlarla çalışılması hem de belgelendirme sürecinin sağlıklı şekilde yürütülmesi açısından büyük önem taşır.
ISO (International Organization for Standardization), ISO 27001 standardını yayımlayan uluslararası kuruluştur. ISO doğrudan belgelendirme faaliyeti yürütmez ve herhangi bir kuruluşa ISO 27001 Belgesi düzenlemez.
ISO 27001 Belgelendirme Sürecinde Kim, Ne Yapar?
ISO 27001 Belgesi alma sürecinde farklı görev ve sorumluluklara sahip kuruluşlar yer alır. Bu kuruluşların görevlerinin doğru anlaşılması, hem doğru hizmet alınması hem de belgelendirme sürecinin sağlıklı yürütülmesi açısından önemlidir.
Aşağıdaki tablo, süreçte yer alan temel kuruluşların görevlerini özetlemektedir.
| Kuruluş | Görevi |
|---|---|
| ISO | ISO 27001 standardını hazırlar, yayımlar ve günceller. Belgelendirme faaliyeti yürütmez. |
| Danışmanlık Firması | Kuruluşun ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmasına, uygulamasına ve belgelendirme denetimine hazırlanmasına destek olur. |
| Belgelendirme Kuruluşu | Bilgi güvenliği yönetim sistemini bağımsız olarak denetler. Uygun bulunması halinde ISO 27001 Belgesini düzenler. |
| Akreditasyon Kurumu | Belgelendirme kuruluşlarının uluslararası kurallara uygun çalıştığını değerlendirir ve yetkilendirir. |
Belgelendirme Sürecinde Yer Alan Kuruluşlar
Her kuruluşun görev alanı farklıdır. Bu ayrımın doğru anlaşılması, ISO 27001 Belgesi alma sürecinin doğru planlanmasını sağlar.
Akreditasyon Neden Önemlidir?
ISO 27001 Belgesinin güvenilirliği yalnızca belgenin varlığıyla değil, belgeyi düzenleyen kuruluşun yetkinliğiyle de ilişkilidir. Bu nedenle belgelendirme kuruluşunun ilgili faaliyet alanında akredite olması büyük önem taşır.
Akreditasyon; belgelendirme kuruluşunun tarafsız, bağımsız ve uluslararası kabul görmüş kurallar çerçevesinde faaliyet gösterdiğinin göstergesidir. Böylece düzenlenen belgelerin ulusal ve uluslararası düzeyde kabul görmesi desteklenir.
Belgelendirme kuruluşu seçerken yalnızca fiyatı değil; akreditasyon durumunu, faaliyet gösterdiğiniz sektöre uygun kapsam yetkisini ve ISO 27001 belgesinin kullanılacağı pazarlardaki tanınırlığını da mutlaka değerlendirin.
ISO 27001 Belgesi Alma Süreci Nasıl İlerler?
ISO 27001 Belgesi alma süreci, yalnızca bir başvuru yapılarak tamamlanan bir işlem değildir. Başarılı bir belgelendirme süreci; bilgi güvenliği yönetim sisteminin kurulması, uygulanması, risklerin yönetilmesi ve bağımsız olarak doğrulanması aşamalarından oluşur.
Aşağıdaki süreç, ISO 27001 Belgelendirme yolculuğunu genel hatlarıyla göstermektedir.
İhtiyaç analizi yapılır.
Kuruluşun faaliyet kapsamı, bilgi güvenliği kapsamı, bilgi varlıkları, risk profili ve belgelendirme ihtiyacı değerlendirilir.
Danışmanlık süreci planlanır.
Bilgi Güvenliği Yönetim Sisteminin kurulması için gerekli yol haritası hazırlanır.
Sistem uygulamaya alınır.
Hazırlanan dokümantasyon, risk analizleri, kontroller ve kayıt yapısı kuruluş içinde uygulanmaya başlanır.
İç tetkik gerçekleştirilir.
Sistemin etkinliği belgelendirme denetimi öncesinde kuruluş içinde değerlendirilir.
Belgelendirme denetimi yapılır.
Bağımsız belgelendirme kuruluşu, sistemin ISO 27001 şartlarına uygunluğunu değerlendirir.
ISO 27001 Belgesi düzenlenir.
Uygunluğun doğrulanması sonrasında belge düzenlenir ve gözetim süreci başlar.
Belgelendirme Sonrasında Süreç Tamamlanır mı?
ISO 27001 Belgesi alındıktan sonra bilgi güvenliği yönetim sistemi sona ermez. Belgenin geçerliliğinin sürdürülebilmesi için sistemin etkin şekilde uygulanmaya devam etmesi, risklerin güncel tutulması, bilgi güvenliği performansının izlenmesi ve belirli aralıklarla gerçekleştirilen gözetim denetimlerinden başarıyla geçilmesi gerekir.
Bu nedenle ISO 27001 Belgesi, tek seferlik bir proje değil; bilgi güvenliği risklerinin yönetilmesi ve sürekli iyileştirme esasına dayanan uzun vadeli bir yönetim yaklaşımıdır.
Denetimlerde en sık karşılaşılan yanlışlardan biri, danışmanlık hizmeti ile belgelendirme hizmetinin aynı süreç olarak değerlendirilmesidir. Oysa danışmanlık kuruluşu sistemi kurar ve hazırlar; belgelendirme kuruluşu ise bu sistemi bağımsız olarak değerlendirir. Tarafsızlığın korunabilmesi için bu iki rolün birbirinden ayrılması temel bir ilkedir.
Danışmanlık verdiğimiz kuruluşlarda en sık karşılaşılan sorunlardan biri, belgelendirme kuruluşu seçilmeden önce faaliyet kapsamının, bilgi güvenliği risklerinin ve akreditasyon kapsamının yeterince değerlendirilmemesidir. Projenin başlangıcında doğru planlama yapılması, hem zaman kaybını hem de ilerleyen aşamalarda yaşanabilecek kapsam değişikliklerini büyük ölçüde önlemektedir.
Belgelendirme kuruluşu seçmeden önce faaliyet alanınıza uygun kapsam yetkisine sahip olup olmadığını, akreditasyon durumunu ve uluslararası tanınırlığını mutlaka doğrulayın. Sürecin en başında yapılacak bu kontrol, ileride belge geçerliliğiyle ilgili yaşanabilecek birçok sorunun önüne geçebilir.
Doğru danışmanlık desteği ile doğru belgelendirme kuruluşunun bir araya gelmesi, ISO 27001 sürecinin hem daha verimli hem de daha güvenilir şekilde tamamlanmasını sağlar. Amaç yalnızca belge almak değil; kuruluşunuzun bilgi varlıklarını ve bilgi güvenliği risklerini sistematik şekilde yöneten sürdürülebilir bir bilgi güvenliği yönetim sistemi oluşturmaktır.
ISO 27001 Belgesi Alırken Yapılan Yaygın Hatalar
ISO 27001 Belgesi alma sürecinde kuruluşların karşılaştığı sorunların önemli bir bölümü, yanlış bilgilendirme veya eksik araştırma nedeniyle ortaya çıkmaktadır. Aşağıdaki yanlış inanışlar, belgelendirme sürecinde en sık karşılaşılan örnekler arasındadır.
Belgelendirme Kuruluşu Seçerken Nelere Dikkat Edilmelidir?
Doğru belgelendirme kuruluşunun seçilmesi, ISO 27001 Belgesinin güvenilirliği ve uluslararası kabulü açısından büyük önem taşır.
Belgelendirme kuruluşunu değerlendirirken aşağıdaki kriterleri göz önünde bulundurmanız önerilir.
Kimler Bu Rehberden Faydalanabilir?
Bu içerik özellikle aşağıdaki kuruluşlar için yol gösterici olacaktır.
Bu Konular da İlginizi Çekebilir
ISO 27001 Belgelendirme süreci hakkında daha kapsamlı bilgi edinmek için aşağıdaki rehberlerimizi de inceleyebilirsiniz.
Sık Sorulan Sorular
ISO 27001 Belgesini kim verir?
ISO 27001 Belgesi, ilgili kapsamda akredite olan bağımsız belgelendirme kuruluşları tarafından gerçekleştirilen denetimler sonucunda düzenlenir. Danışmanlık firmaları veya ISO doğrudan belge düzenlemez.
ISO doğrudan ISO 27001 Belgesi verir mi?
Hayır. ISO (International Organization for Standardization), yalnızca standartları hazırlayan ve yayımlayan uluslararası kuruluştur. Belgelendirme faaliyeti yürütmez ve herhangi bir kuruluşa ISO 27001 Belgesi düzenlemez.
Danışmanlık firması ISO 27001 Belgesi verebilir mi?
Hayır. Danışmanlık firmalarının görevi, kuruluşun ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmasına ve belgelendirme denetimine hazırlanmasına destek olmaktır. Belgelendirme yetkisi yalnızca bağımsız belgelendirme kuruluşlarına aittir.
TÜRKAK ISO 27001 Belgesi verir mi?
Hayır. TÜRKAK bir akreditasyon kurumudur. Belgelendirme kuruluşlarının uluslararası kurallara uygun çalıştığını değerlendirir ve yetkilendirir. ISO 27001 Belgesini düzenleyen kuruluş TÜRKAK değil, akredite belgelendirme kuruluşudur.
Her belgelendirme kuruluşu her sektörde ISO 27001 Belgesi verebilir mi?
Hayır. Belgelendirme kuruluşları yalnızca akreditasyon kapsamlarında yer alan faaliyet alanları için belgelendirme yapabilir. Bu nedenle faaliyet alanınıza uygun kapsam yetkisine sahip olup olmadıkları kontrol edilmelidir.
Faaliyet kapsamı neden önemlidir?
Belgelendirme kuruluşunun kuruluşunuzun faaliyet alanında akredite olması, belgenin geçerliliği ve kabul edilebilirliği açısından önem taşır. ISO 27001 projelerinde faaliyet kapsamı, bilgi güvenliği kapsamı, bilgi varlıkları ve lokasyon yapısı birlikte değerlendirilmelidir.
Yabancı akreditasyonlu ISO 27001 belgeleri geçerli midir?
Uluslararası karşılıklı tanınma anlaşmalarına taraf olan akreditasyon kurumları tarafından akredite edilmiş belgelendirme kuruluşlarının düzenlediği belgeler birçok ülkede kabul görmektedir. Belgelendirme kuruluşunun akreditasyon durumu ve kapsamı mutlaka kontrol edilmelidir.
ISO 27001 Belgesi almak için danışmanlık zorunlu mudur?
Hayır. Standart danışmanlık alınmasını zorunlu tutmaz. Kuruluş isterse sistemi kendi kaynaklarıyla kurabilir. Ancak özellikle ilk kez belgelendirme sürecine girecek işletmeler için profesyonel danışmanlık süreci daha planlı ve verimli hale getirebilir.
Belgelendirme süreci ne kadar sürer?
Süre; kuruluşun büyüklüğüne, faaliyet alanına, bilgi güvenliği kapsamına, mevcut yönetim sistemine ve hazırlık seviyesine göre değişebilir. Sürecin sağlıklı planlanması için ön değerlendirme yapılması önerilir.
Belgelendirme kuruluşu seçerken nelere dikkat edilmelidir?
Akreditasyon durumu, kapsam yetkisi, uluslararası tanınırlık, tarafsızlık ilkesi, sektör deneyimi ve bilgi güvenliği yönetim sistemi denetim yetkinliği değerlendirilmesi gereken temel kriterlerdir.
ISO 27001 Belgelendirme Sürecinizi Doğru Planlayın
ISO 27001 Belgesi alma sürecinde doğru danışmanlık desteği ve doğru belgelendirme kuruluşunun seçimi büyük önem taşır. TOEM Kalite olarak kuruluşunuza uygun yol haritasını birlikte oluşturuyor, bilgi güvenliği yönetim sistemi belgelendirme sürecinizi güvenilir ve sürdürülebilir şekilde planlamanıza destek oluyoruz.
ISO belgesi fiyatı ve teklif
Ön teklif almak için butona tıklayarak teklif sayfamıza geçebilir, talebinizi orada iletebilirsiniz; ekibimiz değerlendirdikten sonra size dönüş yapar.