Category Archives: ISO27001

Standard

Posted by

Posted on

November 22, 2011

Posted under

ISO27001

Comments

Leave a comment

ISO 27001 HAKKINDA HERŞEY

ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ BELGESİ NEDİR?

Büyüklüğü ne olursa olsun, ihtiyaç duyan tüm kurumların, kuruluşların bilgilerinin gizlilik, bütünlük ve erişebilirliklerini sağlamak amacı ile kurdukları bilgi güvenliği yönetim sistemini belgelendirmek, üçüncü taraflara kanıtlamak amacı ile aldıkları;
Bağımsız belgelendirme kuruluşlarının yaptıkları denetim sonucu düzenledikleri ve kurumdaki bilgilerin güvenliklerinin sağlanmasına yönelik sistematik bir uygulamanın olduğunun kanıtını sağlamak üzere “kurum” adına düzenlenen sertifikaya veya belgeye ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi veya ISO 27001 Bilgi Güvenliği Yönetim Sistemi Sertifikası denir.

ISO 27001 belgesi için kurum ve kuruluların öncelikle ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına göre sistem kurmaları uygulamaları gerekmektedir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına göre sistem kuran firmaların uluslar arası boyutta tanınan ve ISO 27001 Bilgi Güvenliği Yönetim Sistemi hususunda akredite olmuş kuruluşlardan denetim yaptırması ve bu denetimlerden başarı ile geçmesi gerekmektedir.

Bilgi güvenliğine önem veren kurum ve kuruluşların illa belgelendirilmeleri gerekmez ISO 27001 standardına göre ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurmaları da yeterlidir. Fakat hiçbir sistem ve uygulama üçüncü taraf bir gözle kontrol edilmedikten ve denetlenmedikten sonra o sistemin etkinliğinden bahsedilemez.

ISO 27001 Bilgi Güvenliği Yönetim Sistemlerini belgelendirme isteyen kuruluşlar özellikle uluslar arası akreditasyon kuruluşlarından akredite olmuş belgelendirme kuruluşlarından ISO 27001 belgesini almalıdırlar. Akreditasyonsuz olarak verilen ISO 27001 belgesininhiçbir geçerliliği yoktur.

Piyasada ISO 27001 Belgesi bazen ISO 27000 belgesi şeklinde de adlandırılmaktadır. Bu durum aynen ISO 9000 belgesi veya ISO 9001 belgesi şeklinde adlandırıldığı gibidir. Gerçek ismi ISO 27001 belgesi veya ISO 27001 sertifikası olan bu belgenin ISO 27000 sertifikasıveya ISO 27000 belgesi şeklinde adlandırılması Bilgi güvenliği yönetim sistemi standartlar bölümünde de göreceğiniz üzere Bilgi Güvenliği Yönetim Sistemi standart ailesinin isminin ISO 27000 standartları geçmesi nedeni iledir. Bu söylemlerin doğrusu hangistandarda göre belgelendirme yapılıyorsa o standart adı ile belgenin söylenmesidir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurmak ve belgelendirmek bir firmaya şirkete veya kuruluşa Bilgi Güvenliği kavramının temel ilkelerini sağlamaktadır.

Bilgi Güvenliği kavramının temel ilkelerini kısaca G-B-U (C-I-A) kısaltması ile gösterebiliriz:

• Gizliliğin korunması (Bilgiye ulaşımın, sadece yetki sahibi kişilerce olabildiğinin garanti altına alınması),
• Bütünlük (Bilginin ve bilgi işleme yöntemlerinin, doğruluğunun ve eksiksizliğinin korunması)
• Ulaşılabilirlik (Gereken durumlarda yetkili personelin, bilgiye ve ilgili varlıklara ulaşımının garanti edilmesi)

ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ BELGESİ NASIL ALINIR?

Bir firmanın veya kurumun ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alması ile ilgili detaylar aşağıdaki konularda geniş olarak anlatılacaktır.

ISO 27001 belgesini almak isteyen kuruluşlar nereden başlayacaklarını bilmiyorlarsa ISO 27001 belgesi nasıl alınır sorusunun cevabı özetle

• Bir ISO 27001 danışmanlık ve Eğitim Şirketinden ISO 27001 Bilgi Güvenliği Yönetim Sistemi Danışmanlık ve Eğitim Hizmetialarak Danışmanlık firmasından eğitimleri alırlar ve bire bir uygulamalı olarak ISO 27001 Standardının maddelerine göre sistem kurma çalışması yapabilirler.
• ISO 27001 Danışmanlık Eğitim şirketinden böyle bir hizmet almak istemeyen firmalar sistem kurma çalışmasında bulunacak personellerine Bilgi Güvenliği Yönetim Sitemlerine ait Eğitimleri aldırarak kendileri sistem kurmayı tercih edebilirler.
• Birinci veya ikinci maddeye göre hareket eden kuruluşlar ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardına göre sistemi kurup dokümante ettikten sonra uygulamaları gerekmektedir.
• Sistem kurulup uygulanmalar ile ilgili kayıtlar oluştuktan sonra akredite olmuş ISO 27001 belgelendirme kuruluşlarına müracaat ederler.
• Kurum veya kuruluşlar ISO 27001:2005 standardına uygun olarak kurdukları Bilgi Güvenliği Yönetim Sisteminin uygulandığını bağımsızbelgelendirme kuruluşlarına kanıtladıkları taktirde; Bağımsız belgelendirme kuruluşları adına denetim yapan denetçiler, kurulan sisteminstandart ve şartlara göre yeterli olgunlukta olduğunu ve tüm kurum bileşenleri tarafından uygulandığını tespit ettikleri taktirde; Belgelendirme kuruluşuna ISO 27001 belgenin verilmesini tavsiye ederler.
Not: Belgelendirme kuruluşu ISO 27006 standardına göre hazırlanan denetim raporu üzerinden uygun bulması halinde ISO 27001 belgesinidüzenleyerek kuruma verir. Belgenin üzerinde “Uygulanabilirlik Bildirgesi” yayın tarihi ve revizyon durumu özellikle belirtilir.

ISO 27000 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ STANDARTLARI NELERDİR?

ISO 27000 standartları her geçen gün büyüyen ISO/IEC ISMS standart ailesinin bir parçasıdır. ISO 27000 standart serisi; ISO 27001,ISO 27002 ISO 27003 …vb Bilgi teknolojisi- Güvenlik teknikleri- Bilgi güvenliği yönetimi sistemleri-genel bakış ve tanımlarbaşlıklarını kapsayan uluslararası standartları içeren bir standart ailedir.

ISO 27000 Bilgi güvenliği standartları, diğer pek çok teknik konuda olduğu gibi karmaşık bir terminoloji ağı geliştirmektedir. Nispeten az sayıda yazar bu terimlerin tam olarak ne anlama geldiğini belirleme zahmetine katlanmakta ve bu da standartlar konusunda kabul edilemez, karışıklığa yol açabilecek değerlendirme ve belgelendirme sürecinin değerini azaltıcı bir yaklaşım olmaktadır. ISO 9000 ISO 14000 de olduğu gibi, ‘000’ temelli standartlar bu durumun önemini ortaya koymayı amaçlamaktadırlar.

ISO 27000 standartları, Uluslararası Standardizasyon Örgütü’nün ve Uluslararası Elektroteknik Komisyonu’nun ortaklığında kurulan Birleşik Teknik Komite’ye bağlı bir alt komite tarafından geliştirilmektedir. Şimdi bu standartları tanıyalım.

ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ BELGESİNİ ALMAK ZORUNLU MU?

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesinin alınması zorunluluğu kamu ve özel sektör olarak incelenebilir.

Özel Sektör de ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alınması zorunluluğu ?

Özel sektörde bazı ihalelerde kamu ihale kanununa göre ihale açan kurum ve kuruluşlar ihale şartnamelerinde ıso 27001 bilgi güvenliği yönetim sistemi belgesi istenmektedir. Bu zorunluluk yapılan projenin gizliliği güvenliği üst düzeyde ise ihaleyi açan kuruluş ıso 27001 belgesini özellikle istemektedir. Örneğin savunma sanayi projelerine yönelik açılan ihalelerde gerek yazılım hizmeti veren gerekse ürün üreten satışını yapan firmalardan bu belge istenmektedir.

Ayrıca Telekomünikasyon Kurumu tarafından yapılan bir yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketlerin kurumların 20.07.2010 tarihine kadar ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alması zorunlu hale getirilmiştir.
Elektronik Haberleşme Yönetmeliğinin ilgili maddesi; 11. maddesi ÜÇÜNCÜ BÖLÜM

İşletmecilerin Yükümlülükleri
Elektronik haberleşme güvenliğini sağlama yükümlülüğü

MADDE 11 – (1) İşletmeci, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluğu sağlamakla yükümlüdür. Yetkilendirilen işletmeciler yetkilendirme tarihinden itibaren bir yıl içerisinde söz konusu standarda uygunluğu sağlar. Belirtilen süre içerisinde söz konusu standarda uygunluğu sağlayamayan işletmecilere Kurul tarafından gerekli görülmesi halinde ilave süre verilebilir.

Özel sektörde gerek kamu ihalelerinde gerekse kamu ile stratejik alanlarda iş birliği yapan kurum kuruluşların ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmalarını ve belgelendirme denetimine girerek ISO 27001 belgesini almaları gerekmektedir.

 Kamu Kurumlarında ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alınması zorunluluğu ?

Kamu kurumlarında genellikle özel sektörden farklı olarak ISO 27001 belgesinin alınması zorunlu değildir fakat aşağıda anlatılan bazı kanun ve yasalara göre her ne kadar belgelendirme zorunluluğu yok ise de ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmaları zorunludur.

Bilgi Güvenliği Yönetim sistemi Kurmak için kamu kurumlarına dair çerçeve yasalar

10.12.2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunuyla kamu malî yönetim sistemi tüm kamu kurumlarında uluslararası standartlar ve Avrupa Birliği uygulamalarına uygun bir şekilde yeniden düzenlenmesi ve bu kapsamda etkin bir iç kontrol sisteminin oluşturulması için Maliye Bakanlığı tarafından hazırlanan ve 26.12.2007 tarihli ve 26738 sayılı Resmi Gazetede yayımlanan Kamu İç Kontrol Standartları Tebliği ile kamu idarelerinde iç kontrol sisteminin oluşturulması, uygulanması, izlenmesi ve Geliştirilmesi amacıyla (18) standart ve bu standartlar için gerekli (79) genel şart belirlendi. Bu 79 genel şarttan en az 10 şart bilgi güvenliği sisteminin kurumlarda oluşturulmasını hedeflemektedir.

2003 / 48 sayılı Başbakanlık Genelgesi ile yürürlüğe giren e-Dönüşüm Türkiye Projesinin 4.1.1.’ inci maddesinde Bilgi Güvenliği Yönetim Sisteminin (BGYS) tüm kurumlarda kurulmasının hedeflendiği belirtilmektedir.

05/08/2005 tarihli ve 25897 sayılı Resmi Gazete’de yayımlanan, 2005/20 sayılı Başbakanlık Genelgesi ile çıkarılan Birlikte Çalışabilirlik Esasları Rehberinde elektronik ortamda sunulan hizmetlerde başarı, güven ortamının sağlanmasına bağlı olduğu vurgulanmıştır. Bu da, güvenlikle ilgili politika ve düzenlemelerin geliştirilmesini gerektirir.

2006 / 38 sayılı Yüksek Planlama Kurulu Kararı’yla onaylanan ve 28/07/2006 tarihli ve 26242 sayılı Resmi Gazete’de yayımlanan Bilgi Toplumu Stratejisi Belgesinde stratejik öncelikler arasında yer alan bilgi güvenliğinin ülke genelinde ve kamu kurumlarında bilgi sistemleri ile elektronik iletişim ve ağ bağlantılarında güvenliğin sağlanması ve sürdürülmesi için gerekli organizasyonel düzenlemelerin gerçekleştirileceğinden bahsedilmektedir. Ayrıca, bilgi güvenliğinin sağlanması için yasal düzenlemelerin yapılacağı da vurgulanmaktadır.

ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ DANIŞMANLIK VE EĞİTİM HİZMETLERİ NEDİR NASIL ALINIR DANIŞMANLIK VE EĞİTİM FİRMASINDA ARANACAK ÖZELLİKLER

 iso 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi almak İsteyen kuruluşlar için Danışmanlık Hizmeti gerekli mi?

ISO 27001 danışmanlık firmasından danışmanlık almak zorunlu değildir Ancak ıso 27001 standardın şartlarını uygun bir çerçevede yerine getirmek, sistemi hızlı kurmak ve ıso 27001 standart gereklerini uyarlamak için danışmanlık alınması tavsiye edilir.

Hiçbir standart kendisinin kurulması için danışmanlık alınması gerekliliğini bir zorunluluk olarak ortaya koymaz. Fakat ISO 27001 Bilgi Güvenliği Standardına göre sistem kurmak kolay bir iş değildir Bu konuda profesyonel olan danışmanlık şirketlerinden hizmet almak çok akıllıca bir harekettir. Çünkü Bilgi güvenliği hususunda iyi bir danışman firma ise kuruluşunuzuISO 27001 standardının zorunlu olmadığız halde uygulamaya maruz bırakılacağınız bir çok maddesi ile ilgili maliyetten kurtarabilir veya sisteminizin daha kısa sürede ve etkin bir biçimde işlemesini sağlayabilir. Danışmanlık firmasında ISO 27001 bilgi güvenliği sistemini kurma için ödeyeceğiniz ücret sizin zorunlu olmadığınız halde veya riski üstlenebileceğiniz durumlar için harcayacağız ücret ve zamanın yanında çok küçük meblağlara tekabül etmektedir.

Örnek : 
Örneğin sistem kurarken yangın da bilgilerinizin bütünlülüğü ve ulaşılabilirliği ile ilgili risklerinizin olduğunu varsayalım mevcutta da bir manuel şekilde işleyen bir yangın söndürme sisteminizin olduğunun düşünelim size ISO 27001 bilgi güvenliği yönetim sisteminin bir şartı olarak otomatik yangın sistemi oluşturmanız gerektiği söylenebilir. Halbuki bazı riskler vardır ki üst yönetim bu konuda riski üstlenebilir ve riskin getirdiği tehlikelere katlanabilir. Riski üstlenme ve katlanma maliyetleri otomatik yangın sistemini kurmaktan daha az maliyet içerebilir.

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi kurulumunda Şirketiniz Sürecin neresinden Başlamalı?

ISO 27001 Bilgi Güvenliği Yönetim Sistemine neden ihtiyaç duyuyorum, sorusuna yanıt aranmalıdır.
Bu soruya “ihtiyaç duyuyorum, çünkü … “ deniyorsa kurumun bilgi varlıklarının durumu değerlendirilmelidir.
Üst yönetim “bu yönetim sistemi benim için …” gereklidir diyorsa standardı karşılama yeteneklerine bakmalıdır.
Standardı karşılama yeteneklerini etkin / verimli / hızlı biçimde yerine getirme imkanlarını araştırmalıdır. Danışmanlık hizmeti bu aşamada gündeme gelebilir.
Konunun uzmanlarından veya bu alanda yazılmış rehberlerden, dokümanlardan, bu alanda verilen eğitimlerden yararlanılmadan yönetim sisteminin kurulumuna gidilmesi halinde süreçlerin istenildiğinden daha uzun zaman içinde ortaya çıkacağı kabul edilmelidir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Danışmanlık Hizmetlerinde ne tür hizmetler alınır?

ISO 27001 danışmanlık firmasından ne tür hizmetler alınır sorusunun cevabı ISO 27001 danışmanlık firması asgari olarak aşağıdaki hizmetleri verir.

Bu hizmetlerin neler olduğuna geçmeden önce kuruluşun Üst yönetimin veya yönetim kurulunun ISO 27001 bilgi güvenliği sistemininkurulması için karar alması gerekmektedir.

Bu karar bağlamında eğer ihtiyaç duyuluyorsa sistemin kurulumu konusunda danışmanlık alınabilecek kişi / firmalarla bağlantıya geçecek, teklifleri toplayarak bu aşamayı kurumun kendi iç süreçleri ve prosedürleri içinde sonuçlandırmalıdır.

Danışmanlık firması seçiminde dikkat edilmesi gereken en önemli husus en ucuz fiyatı veren değil size daha az maliyette sistem kurmanızı sağlayacak referansları güçlü bir danışman firma ile çalışmanız tavsiyesinde bulunuyoruz. Danışman Firmanın bünyesinde en 1 adet ISO 27001 Baş Denetçi Sertifikasına sahip danışman bulunmalıdır.

ISO 27001 Danışmanlık firmasına karar verildikten sonra kurumunuz danışmanlık firması ile ISO 27001 Bilgi Güvenliği Danışmanlık hizmeti alımı anlaşması yapmalıdır. Danışmanlık hizmeti sözleşmesinde ISO 27001 bilgi güvenliği sistemi kurulum sürecin genel takvimi karşılıklı mutabakatla çıkartılmalı ve karara bağlanmalıdır.

Danışmanlık Firması ISO 27001 Bilgi güvenliği Yönetim Sistemi için aşağıdaki akış genel olarak yürütmektedir:

1. Bilgi Güvenlik Yönetim Sistemi Forumunun kurulması:
Danışman ve kurum içinde bir “ Bilgi Güvenliği Koordinasyon Grubu (BGKG)- Forumu”nun oluşturacaktır. Bu forum kendi içinde yaptığı görüşmeler sonucu takvimi ve görev paylaşımını yapacaktır. Eğitimler bu çalışmalar içinde kararlaştırılarak takvime bağlanacaktır.

2. Kurumun Mevcut Sistem ve Dokümantasyon Analizi:
Kurumda ISO 9001 KYS kurulu değil ise öncelikle temel ISO 9001 ve ISO 27001 standardının zorunlu tuttuğu ve ancak ISO 9001 tarafından sağlanması gereken prosedür ve süreçler yapılandırılacaktır. Bu süreç ISO 27001 bilgi güvenliği için temel yönetim omurgasını yapılandırmış olacaktır.
Eğer kurumda ISO 9001 kalite yönetim sistemi kurulu ise ISO 27001 bilgi güvenliği standardının istediği kimi prosedürler, proses ve talimatlar bu standart dokümantasyonun etkinliği kontrol edilecek ve eksiklikler belirlenecektir.

3. Bilgi Güvenliği Yönetim Sistemi kapsam ve sınırlarının belirlenmesi :
Temel ISO 9001 Kalite Yönetim sistemi yapılanmasının ardından kuruma dair ISO 27001 Bilgi Güvenliği Yönetim Sistemi kapsamı ve sınırları belirlenmesi aşaması gelmektedir. Özellikle belgelendirme aşamasında kapsam ve sınırlar denetimin en önemli unsurları olarak karşımıza çıkmaktadır.

4. BGYS Temel politikası ve diğer politikaların oluşturulması:
Yine ilk oturum içinde belirlenen kapsama bağlı olarak kurumun temel Bilgi Güvenliği Yönetim Sistemi Politikası hazırlanacaktır.ISO 27001 Temel Bilgi Güvenliği Yönetim Sistemi Politikası Forumun bir oturumunda karar bağlanacaktır ve Üst yönetim bu politikayı onaylayarak tüm kuruma duyuracaktır. Diğer politikalar sistem kurulumu aşamasında yapılandırılacaktır.

5. Varlıkların Belirlenmesi ve Sınıflandırılması :
Kurumdaki tüm varlık envanterinin çıkartılması gerekmektedir. Varlık envanteri çıkartılırken etkileme yapılarak varlıların sınıflandırılması sağlanacaktır. Varlıklar sınıflandırıldıktan sonra puanlama yapılarak kritik varlıkların belirlenmesi sağlanacaktır.

6. Risk Analizi ve Değerlendirmesi Çalışmasının Yapılması:
Bilgi güvenliği politikalarını temel alan sistematik bir risk değerlendirme yaklaşımının belirlenerek risk belirleme çalışmaları başlatılacaktır. Tespit edilen risklerin analizi ve derecelendirilmesinin yapılması ve raporlanması yapılacaktır. Risk değerlendirme sonuç raporundan yola çıkılarak uygun risk işleme (risk treatment) yöntemlerinin belirlenecektir. Risk analizine esas olacak bir penetrasyon test raporu ya kurum içinde ya da bağımsız kuruluşlarca hazırlatılmalıdır. Dahili ve harici saldırı senaryoları, felaket yönetimi senaryoları çalışılmalıdır. Buna bağlı olarak oluşturulan rapor risk analizi için temel teşkil etmelidir.

7. Hazırlanan risk raporu üst yönetime sunulması:
Risk analiz raporu üst yönetime sunularak risklerle ilgili kararı verilecektir. Üst yönetimin risk üstlenme dokümanından sonra ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurulum çalışmalarına geçilecektir.

8. Risk işleme süreci sonuçlarına uygun TS ISO IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardının ekinde yer alan Ek-A kontrol Kriterleri’nin seçilmesi ve kontrol hedeflerinin belirlenmesi:
Bu aşamada sistemin kurulması çalışmaları başlamaktadır. Kapsam, sınırlar, politikalar ve risk analizine bağlı olarak seçilen kontrol kriterleri yapılandırılacaktır.

9. Uygulanabilirlik Bildirgesinin hazırlanması:
Ek – A kontrol kriterlerinin seçilmesi ve kontrol hedeflerinin belirlenmesinden sonra standardın istediği Uygulanabilirlik bildirgesihazırlanacaktır.

10. Sistem iç tetkiki ve Yönetimin gözden geçirilmesi yapılması:
Bu aşamada uygulamaya alınır. en az 30 günlük bir uygulama süresinden sonra sistemin iç tetkiki gerçekleştirilir. İç tetkik raporları Yönetimin Gözden Geçirilmesi Toplantısında karar bağlanır.

11. Belgelendirme Kuruluşuna Müracaatın Yapılması :
Sistemin istenilen düzeyde çalışıyorsa Belgelendirme amaçlı Aşama-1 (Stage-1) sürecine gelinmiş olur ve bu aşamada kurumunuzu akredite olmuş belgelendirme kuruluşlarına müracaat etmesi fiyat teklifi alması gerekir.

12. Birinci Aşama Belgelendirme Denetiminin Yapılması :
Birinci Aşama Belgelendirme denetimi Belgelendirme kuruluşu tarafından yapılır ve var ise eksiklikler ve uygunsuzluklar tespit edilir. Yapılan başvuru sonucu belgelendirmeci kuruluşun saptadığı eksikliklerinin ve uygunsuzlukların tamamlanması için verilecek hizmetdanışmanlık hizmeti kapsamındadır. Eksiklikler ve uygunsuzlukların tamamlanması veya hiç eksiklik ve uygunsuzluk bulunmaması durumunda2. Aşama Belgelendirme Denetimine geçilir.

13. İkinci Aşama Belgelendirme Denetiminin Yapılması :
İkinci aşama belgelendirme denetimi asıl denetimdir ve sistem bütün yönleri ile ve uygulamaları ile incelenir. Belgelendirme kuruluşu denetçileri tarafından ISO 27001 standardına göre mevcut durum, Gözlem, Tavsiye, uygunsuzluklar tespit edilir. Danışmanlık firması 1. Aşama denetimde olduğu gibi eksiklikleri ve uygunsuzlukları giderir ve Belgelendirme kuruluşuna yapılan düzeltici faaliyetler gönderilir.

14. ISO 27001 Belgesinin Sertifikasının Basılması:
Denetimlerden başarı ile geçmesi durumunda Belgelendirme kuruluşu ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesini firmanıza gönderir.

15. ISO 27001 Danışmanlık Firması Teknik Destek Danışmanlık Hizmeti:
Aslında bu durum ilk başta tekliflerin alınması sözleşmenin yapılması aşamasında karara bağlanmalıdır. ISO 27001 Bilgi Güvenliği Yönetim Sisteminin sürekliliğinin sağlanması ve iyileştirilmesi sistemin tam olarak anlaşılması için danışman firmanın bir sonraki gözetim denetimine kadar teknik destek danışmanlık hizmeti vermesi gerekir. Bu hizmeti almak tamamen kuruluşunuza bağlıdır.

Kaynak: http://www.isobelgesi.gen.tr/iso_27000_27001_belgesi_nedir.htm