STANDARTLA KURULAN GÜVENLİK SİSTEMİ

Bilgi Güvenliği Yönetim Sistemleri

ISO 27001 ve ISO 20000 yönetim sistemlerini kurar ve denetime hazırlar; kontrol boşluklarını ve tekrar eden denetim bulgularını sistematik çerçeveyle kapatırız.

ISO 27001ISO 27701KVKKDORA
01 Mevcut durum Topoloji, trafik ve bağımlılık görünürlüğü.
02 Hedef mimari Segmentasyon, kapasite ve erişilebilirlik tasarımı.
03 Kontrollü geçiş Değişiklik penceresi, doğrulama ve geri dönüş planı.
04 Hypercare İzleme, ince ayar ve operasyon devri.
KONUM

Bu hizmet portföy içinde nerede duruyor

Bilgi Güvenliği Yönetim Sistemleri için yetenek kartı infografiği
HİZMET KAPSAMI

Bu hizmet neyi ele alır

Bu hizmetin ele aldığı kritik başlıklar ve her birinde teslim ettiğimiz sonuç.

Standarda hizalı yönetim sistemi

sözleşme kapsamı

ISO 27001 (BGYS) ve ISO 20000 (ITSM) gereksinimlerine hizalı bir yönetim sistemi kurmanıza yardımcı oluruz; belgelendirme kararı akredite kuruluşa aittir.

Belgelendirmeye hazır kanıt seti

kanıt hazırlığı

Annex A kontrolleri ve SoA dahil doküman setini, belgelendirme denetçisinin incelemesine hazır kanıt dosyası olarak düzenleriz.

Ölçülebilir SLA ve dayanıklılık hedefleri

ölçülen hedef

BT hizmet kalitesini ve müdahale göstergelerini ölçülebilir SLA hedefleri ve kabul kriterlerine bağlarız.

Denetim sahipliği ve düzeltici faaliyet

onay sonrası yayınlanır

İç denetim ve düzeltici faaliyetleri sahiplenip kanıtlarız; belgelendirme kuruluşu seçimi ve nihai karar sizde kalır.

Teslim modeli

Yaklaşım modeli

Hizmeti teslim modeli, yönetişim ve ilgili hizmet alanları açısından nasıl fazladığımızın özeti.

  1. Mevcut durum ve kapsam belirlemeyle başlar, varlık envanterini çıkarır ve risk değerlendirme workshop'larıyla kontrol ihtiyaçlarını netleştiririz.

  2. ISO 27001 ve ISO 20000 ortak yönetim sistemi yapısını (HLS) kullanarak süreçleri birleştirir, kontrol implementasyonunu teknik yapılandırmayla destekleriz.

  3. İç denetim programı ve yönetim gözden geçirmesiyle sistemi yaşatır, gözetim denetimi öncesi hazırlık desteğini sürdürürüz.

Kullanım bağlamları

Örnek uygulama bağlamları

Bu hizmetin en sık devreye girdiği örnek operasyon yüzeyleri.

BT hizmet sağlayıcı

ISO 27001 ve ISO 20000'i entegre yönetim sistemiyle birlikte kurmak isteyen hizmet sağlayıcı.

Tekrar eden denetim bulguları

Sistematik çerçeve eksikliğinden kaynaklanan kontrol boşluklarını ve tekrar eden bulguları kapatma.

Müşteri güvence talebi

Kurumsal müşterilerin bilgi güvenliği güvence beklentisini standarda hizalı kanıtla karşılama.

DERİNLİK

Teknik ve uyum derinliği

Bu hizmetin sektöre özgü teknik ve uyum başlıklarındaki derinliği.

Risk değerlendirme ve SoA

ISO 27005, OCTAVE veya FAIR metodolojisiyle riskleri değerlendirir, 93 kontrolü özelleştirilmiş bir uygulanabilirlik bildirimine bağlarız.

Doküman ve workshop seti

40'tan fazla politika ve 60'tan fazla prosedürü workshop'larla geliştirip bilgi transferi ve sahiplenmeyi destekleriz.

Denetim döngüsü desteği

Yılda iki iç denetim ve bir gözetim denetimi ritmiyle hazırlığı sürdürür, düzeltici faaliyetleri takip ederiz.

Neyi Çözer

Bilgi güvenliği yönetiminin sistematik bir çerçeve olmadan yürütülmesi; kontrol boşlukları, tekrar eden denetim bulguları ve sertifikasyon başarısızlıklarına yol açar. ISO 27001 (BGYS) ve ISO 20000 (ITSM) Yönetim Sistemleri hizmeti; uluslararası standartlara uygun yönetim sistemi kurarak bilgi varlıklarını korur, BT hizmet kalitesini ölçülebilir SLA hedeflerine bağlar ve belgelendirme hazırlığını kanıtlı bir programa dönüştürür.

ISO 27001 BGYS kurulumu ve belgelendirme desteği
ISO 20000 BT Hizmet Yönetim Sistemi entegrasyonu
Risk değerlendirme ve kontrol seçimi (Annex A / SoA)
İç denetim programı ve yönetim gözden geçirme

Kazanımlar

Fayda

Operasyonel süre ve dayanıklılık hedeflerini sözleşmeli kapsam ve kabul kriterleriyle ölçülebilir hale getirir

Fayda

Risk ve müdahale göstergelerini ölçülebilir hedefler ve kanıt dosyasıyla görünür kılar

Fayda

BT hizmet kalitesini ölçülebilir SLA hedeflerine bağlar

Kriter
ISO/IEC 27001:2022, ISO/IEC 20000-1:2018
Kriter
ISO 27005, OCTAVE, FAIR
Kriter
93 kontrol (Annex A), özelleştirilmiş SoA
Kriter
Yılda 2 iç denetim + 1 gözetim denetimi

Kapsam

Hizmet kapsamı; mevcut durum analizi, kapsam belirleme, risk değerlendirme, kontrol tasarımı ve implementasyonu, dokümantasyon, personel eğitimi, iç denetim ve belgelendirme denetimi desteğini içerir. Entegre yönetim sistemi yaklaşımıyla ISO 27001 ve ISO 20000 ortak süreçleri birleştirilir.

Kapsam belirleme ve varlık envanteri
Risk değerlendirme workshop'ları
Kontrol implementasyonu ve teknik yapılandırma
Dokümantasyon (politika, prosedür, iş talimatı, form)

Kazanımlar

Fayda

Maliyet ve kaynak kullanımını başlangıç ölçümü, hedef ve gözden geçirme ritmiyle yönetilebilir hale getirir

Fayda

Workshop formatıyla bilgi transferi ve sahiplenme sağlar

Fayda

Denetim ve uyum hazırlığını doğrulanabilir kanıt dosyasıyla destekler

Kriter
40+ politika, 60+ prosedür, 100+ kayıt formu
Kriter
8-12 oturum (risk, kontrol, denetim)
Kriter
CMDB entegrasyonlu otomatik keşif
Kriter
HLS (High Level Structure) ortak çerçeve

Teslimatlar

Proje sonunda sertifikasyona hazır yönetim sistemi dokümantasyonu, eğitim kayıtları, iç denetim raporları ve belgelendirme denetimi destek paketi teslim edilir. Post-sertifikasyon dönemde gözetim denetimi hazırlık desteği de sunulur.

Yönetim sistemi doküman paketi (dijital)
İç denetim raporları ve düzeltici faaliyet takibi
Belgelendirme denetimi hazırlık ve eşlik desteği
Yıllık gözetim denetimi hazırlık programı

Kazanımlar

Fayda

Anahtar teslim doküman paketiyle denetim hazırlık süresini minimize eder

Fayda

Düzeltici faaliyetlerin zamanında kapanmasını takip edilebilir hale getirir

Fayda

Sertifika yenileme döngüsünde sürekli destek sağlar

Kriter
Dijital (SharePoint/Confluence), PDF arşiv
Kriter
Belgelendirme + yıllık gözetim + 3 yıllık yenileme
Kriter
30 gün kapatma hedefi, haftalık takip
Kriter
Katılım + sınav bazlı yetkinlik belgeleri

Sıkça Sorulan Sorular

ISO 27001 sertifikası ne kadar sürede alınır?

Takvim; kapsam, entegrasyon karmaşıklığı, mevcut olgunluk ve kabul kriterlerine göre keşif aşamasında netleştirilir. Proje planı onaylı kapsam ve bağımlılıklar üzerinden hazırlanır.

ISO 27001 ve ISO 20000 birlikte mi kurulmalı?

BT hizmet sağlayıcıları için entegre kurulum önerilir. Her iki standart ortak yönetim sistemi yapısını (HLS) paylaştığından, birlikte kurulum kapsam ve olgunluğa göre kanıt dosyasıyla yönetilir.

Mevcut süreçlerimizi tamamen değiştirmemiz gerekir mi?

Hayır. Mevcut süreçleriniz gap analizi ile değerlendirilir ve standart gereksinimleriyle eşleştirilir. Eksik veya yetersiz alanlar iyileştirilir, çalışan süreçler korunur.

Hangi departmanlar kapsama dahil edilmeli?

Minimum IT ve güvenlik departmanları dahil edilmelidir. Ancak full-scope sertifikasyon için tüm bilgi işleyen departmanlar (HR, finans, operasyon) kapsama alınması önerilir.

Sertifika aldıktan sonra destek devam eder mi?

Evet. Sertifika 3 yıl geçerlidir ve her yıl gözetim denetimi yapılır. Her gözetim denetimi öncesi hazırlık desteği ve sürekli iyileştirme danışmanlığı sunulur.

Belgelendirme kuruluşunu biz mi seçiyoruz?

Evet. TÜRKAK veya uluslararası akredite kuruluşlar arasından tercih sizindir. Hedef pazarlarınıza göre en uygun belgelendirme kuruluşu konusunda danışmanlık sağlarız.

BAŞLAMA NOKTASI

Konuşmaya nereden başlayalım?

Kısa form, talebinizi doğru destek hattına taşır. Önce bağlamı netleştirir, sonra güvenli paylaşım yöntemini belirleriz.

  1. Bağlamı alırız
  2. Güvenli kanalı seçeriz
  3. İlk yönü netleştiririz

KVKK uyumlu ilk temas; gerekirse güvenli paylaşım akışı; satış baskısı yok.

Talebin ana konusu