ISO 27001 & İç Denetim Danışmanlığı

ISO 27001, Bilgi Güvenliği Yönetimi Sistemi gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır.

Yeterli ve orantılı güvenlik denetimleri seçilmesini sağlamak için tasarlanmıştır. ISO 27001 değerli bilgi varlıklarının yönetilmesine ve korunmasına yardımcı olur.

ISO 27001, kurumların veya kuruluşların risk yönetimi ve risk işleme planlarını, görev ve sorumlulukları, iş devamlılığı planlarını, acil durum olay yönetimi prosedürleri hazırlamasını ve uygulamada bunların kayıtlarını tutmasını gerektirir. ISO 27001 sürecinde tüm bu gereksinimleri, kontrolleri ve faaliyetleri tanımlayan bilgi güvenliği politikası yayınlamalı ve personel bilgi güvenliği ve tehditler hakkında bilinçlendirmelidir.

Bugünün dünyasında bilgi güvenliği olmadan hiçbir kuruluş BAŞARILI BİR BİÇİMDE İŞLETİLEMEZ.

ISO 27001 sertifikası ile kurum ve kuruluşlar, bilgi güvenliğini dikkate aldığını ve kurumsal risklerini gerektiği gibi tanımlayarak, etkin risk yönetimi ile bilgi güvenliğini sağladığını, geçerli yasa ve düzenlemelere uygun davrandığını bağımsız bir şekilde göstermektedir.

ISO 27001 sertifikalı kurum ve kuruluşlar hem bilgi güvenliği açısından yaşanabilecek birçok iç/dış olumsuzluk riskini geride bırakırlar hem de rakipleri ile kıyaslandığında güven avantajı elde ederler.

ISO 27001, dünyada ülke ve sektör gözetmeksizin her türlü kuruluş için uygundur. Bu standart ile;

• Sektör bağımsız olup, her türlü büyüklükteki kurum için uygulanabilir.
• İç denetimlerin bağımsızlığının ve etkinliğinin sağlanması ile kurumsal yönetişim ve iş sürekliliği ihtiyaçlarını karşılar.
• Regülasyonlara uyumun sağlandığını gösterir.
• Müşteri bilgilerinin güvenliğine gösterilen önem ile rekabet avantajı ve kurumsal itibarı güçlendirir.
• Kurumsal risklerin ön görüldüğünü ve bu riskleri en aza indirgemek için çalışma yapıldığını gösterir.
• Teknik ve teknoloji bağımlı bir standart değildir. Belli bir ürün ve ya bilgi teknolojisi ile ilgilenmez.

Fordefence Adli Bilişim Laboratuvarı, ISO 27001 standartlarına uyumlu Bilgi Güvenliği Yönetim Sistemi kurulması için kurum ve kuruluşlara danışmanlık hizmetleri sunmaktadır. Risk analizlerinin yapılması, uygun kontrol ve önlemlerin belirlenmesi, politika, standart ve prosedürlerin geliştirilmesi, dokümante edilmesi gibi bileşenlerden oluşan bu çalışmalar, standartta belirtilen metodolojilere uygun şekilde yürütülmektedir.

Uluslararası alanda akredite edilmiş BGYS Sertifikası verebilen kurumumuz, ISO 27001 Denetim ve Belgelendirilmesini de sağlamaktadır. Fordefence, ISO 27001 baş denetçi personelleri ile ISO 27001 denetimleri gerçekleştirmektedir.

ISO 27001 Bilgi Güvenliği Yönetim Sisteminin faydaları;

• Kurumun ve kuruluşun hangi bilgi varlıklarına sahip olduğunu ve bunların değerlerinin anlaşılması sağlanır.
• Kontroller ile koruma metotları belirlenir ve uygulayarak korunur.
• Uzun yıllar boyunca iş süreci garanti edilir. Ayrıca bir felaket halinde, işe devam etme yeterliliğine sahip olunur.
• Başta tedarikçileri olmak üzere, bilgileri korunacağından ilgili tarafların güveni kazanılır.
• Bilgi sistem sayesinde korunur, kişilere ve tesadüfe bırakılmaz.
• Çalışanların sorumlulukları düzen içine sokulur ve bu sayede motivasyon yükseltilir.
• Yasal takipler ve sorunlar önlenir.
• Yüksek iş prestiji sağlanır.

Kurum ve kuruluşlar için “Bilgi Teknolojileri (BT) İç Denetimine” yönelik ihtiyaçlar her geçen gün artmaktadır. Çünkü BT denetimi, finansal ve finansal olmayan elektronik ortamda işlem gören ve saklanan her türden kritik verinin güvenliği ve tüm sistemin sorunsuz çalışması için anahtar rol oynamaktadır.

İç denetim, organizasyonların mevcut kontrol ortamları ve kurumsal yönetişim süreçlerinin etkinliğinin değerlendirilerek potansiyel risk ve kontrol eksikliklerinin belirlenmesine, organizasyonların stratejik hedeflerine ulaşmasına, sürdürülebilirliğine ve büyümesine yardımcı olmaktadır.

Bilgi teknolojilerinin kötüye kullanımı, kişisel/gizli verilerin açığa çıkma riski, kritik veri kayıplarının organizasyona yaratacağı finansal, operasyonel, itibar ve yasal uyum etkileri, bilişim suçları, bilgi teknolojilerinde meydana gelebilecek hataların yüksek maliyeti, bilgi teknolojileri alanındaki sürekli değişim ve güncellemeler gibi risk ve olumsuzluklar organizasyonların iç denetim faaliyetleri kapsamına bilgi teknolojileri denetim faaliyetlerinin de entegre edilmesini kaçınılmaz hale getirmektedir.

Ülkemizde bazı sektörlerde bilgi teknolojileri denetimi ZORUNLUDUR.

BT kaynaklarının ekonomik ve verimli bir şekilde kullanılmasında ve beklenen faydaların elde edilmesinde de BT iç denetimi büyük önem taşımaktadır. Kurumsal kaynak planlaması (enterprise resource planning - ERP) sistemleri, bir organizasyonun tüm süreç ve verilerinin bütünleşik bir yapıya getirilmesine yardımcı olmayı hedefleyen sistemlerdir. Yeni geliştirilecek bir ERP uyarlama projesi kapsamında, proje geliştirme aşamasına geçmeden önce organizasyonda görev alan personele ilişkin rol, sorumluluklar ve yetki matrisleri etkin olarak analiz edilmeden ve tasarlanmadan, projenin tamamlanarak sistemin kullanıma açılması durumunda kritik yetki açıkları oluşabilir. Bu doğrultuda, kapsamlı sistem kurulumları (Örnek: SAP kurulumu) gibi projeler öncesinde BT iç denetim kapsamına giren temel başlıklara ilişkin ön analiz ve değerlendirme çalışmalarının yürütülmesi organizasyonlara fayda sağlamaktadır. Aksi takdirde, üretim ortamında çalışan uygulamaların yeni uyarlamalara tabi tutulması ve düzenlenmesi hem maliyet hem zaman açısından olumsuz etkiler oluşturur ve eksikliklerin giderilmesine kadar geçen süre zarfında organizasyonu kontrol eksikliklerinden kaynaklanabilecek potansiyel risklere maruz bırakır.

İç denetimin temel başlıkları;

• Yetkilendirme
• Değişiklik yönetimi
• Kalite ve risk yönetimi
• Üçüncü parti hizmet yönetimi
• Operasyon yönetimi

Fordefence, iş uygulamalarınızın, bilgi teknolojileri altyapı ve süreçlerinizin mevzuat, standart ve en iyi uygulamalara uyumluluğunu değerlendirmek amacıyla bağımsız bilgi teknolojileri iç denetim desteği vermektedir.

Fordefence olarak iç denetim faaliyetleri kapsamında periyodik olarak gerçekleştirmeleri gereken BT denetimlerinin; gizlilik, bütünlük, erişilebilirlik gibi bilgi kriterleri ve CobIT, ISO27001 ve ITIL gibi dünyaca kabul görmüş yönetişim standartlarına uygun bir şekilde gerçekleştirilmesi, bilgi teknolojileri ve iş süreçlerinde meydana gelebilecek potansiyel risklerin en kısa zaman ve uygun bir şekilde giderilmesine yönelik hizmetler sunuyoruz.

İç denetim çalışmalarımız sonunda mevcut zayıflıklar, riskleri ve risklerinizi indirgemeye, mevcut kontrollerinizi ve BT yönetişim yapınızı güçlendirmeye yönelik uygulanabilir iyileştirme önerileri sunuyoruz.