Blog / MEVCUT YAPINIZDA NE KADAR GÜVENLİ SAYILIRSINIZ??????
MEVCUT YAPINIZDA NE KADAR GÜVENLİ SAYILIRSINIZ??????
KURULUŞLARIN EN BÜYÜK SERMAYESİ BİLGİDİR
ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ ISMS
Bilgi güvenliği yönetim standardı veya daha bilinen adıyla ilk defa 1998 yılında İngiliz standart enstitüsü tarafından yayınlanan BS 7799-2 standardında kullanılmıştır. ISO 27001 standardı uluslararası standartlar kurumu tarafından kabul edildikten sonra İLK OLARAK ISO 27001:2005te yayınlanmıştır.
ISO/IEC 27001, 01 Ekim 2013 yılında revize edilmiştir. Standardın 2013 versiyonu, farklı sektör ve büyüklükteki firmaların gelişen bilgi güvenliği ve siber güvenlik tehditleri konularına uyum sağlamalarını destekleyecek şekilde düzenlenmiştir.
BİLGİ YÖNETİM SİSTEMİ NEYİ AMAÇLAMAKTADIR???
· Kurumsal yönetim
· Bilgi güvenliğinin geliştirilmiş etkinliği
· Piyasada farklılaşma
· Üst yönetim ve müşteri gereksinimlerinin karşılanması
· Küresel kabul görmüş tek standart
· Bilgi güvenliği bilinci ile odaklanmış çalışanlar
· Yasal şartlara uyum
· Yeni gelişen tehdit ve açıklıklara hazırlıklı durma
MÜŞTERİ MENNUNİYETİ ÖNEMLİ!!!!
ISO 27001in sunduğu hizmet sizden daha çok müşterilerinizin bilgilerinin korunmasına katkı sağlayacaktır. Bunun nedeni ise; sizin kendi firmanızı iyi biliyor olmanız ancak müşterilerinizin bilmiyor olmasıdır. ISO 27001 size ve müşterilerinize bu güveni kayıt altına alarak vermektedir.
PEKİ BİLGİ DERKEN DERKEN NE KASTEDİLİYOR?
Kâğıt üzeride basılmış, yazılmış, elektronik olarak saklanmış, elektronik imzalı ya da posta yolu ile gönderilen, ikili ilişkilerde sözlü olarak ya da videolarda gösterilen tüm bilgiler, kurum çalışanlarının özlük bilgisi.
O HALDE BİLGİ GÜVENLİĞİ NEDİR?
ISO 27001 Yönetim Sistemi içerisinde bilgi güvenliği, bilgilerin izinsiz ve uygunsuz kullanımıyla izinsiz şekil, biçim ve yöntemlerle ifşa edilmesi 3.kişilerle paylaşılması, izinsiz yok edilmesi silinmesi veya ortadan kaldırılması, izinsiz ve yetkisiz olarak bilgilerin değiştirilmesi, bilgilere hasar verilmesini engellemek amacıyla koruma altına almak veya bilgilere yapılacak olan izinsiz erişimleri gereken tüm tedbirleri alarak engelleme işlemlerinin tümüne "Bilgi Güvenliği" denir.
Gizlilik-Bütünlük-Elverişlilik kavramları çok önemlidir.
Gizlilik: Bilginin sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğunu garanti etmek;
Bütünlük: Bilginin ve işleme yöntemlerinin doğruluğunu ve bütünlüğünü temin etmek;
Elverişlilik: Yetkili kullanıcıların, gerek duyulduğunda bilgiye ve ilişkili kaynaklara erişebileceklerini garanti etmek.
ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ NEDİR?
ISO 27001 Bilgi varlıklarını etkin bir şekilde koruyan , izinsiz ve yasa dışı yollardan erişilme olasılığını en aza indiren ,ilgili taraflara güven veren, yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmış yönetim sistemidir.
STANDART İÇİNDEKİ TANIMLARA DİKKAT!!!
Risk analizi: Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik kullanımı. Risk değerlendirme: Risk analizi ve risk derecelendirmesini kapsayan tüm proses. Risk derecelendirme: Riskin önemini tayin etmek amacıyla tahmin edilen riskin verilen risk kriterleri ile karşılaştırılması prosesi. Risk yönetimi: Bir kuruluşu risk ile ilgili olarak kontrol etmek ve yönlendirmek amacıyla kullanılan koordineli faaliyetler. Risk işleme: Riski değiştirmek için alınması gerekli önlemlerin seçilmesi ve uygulanması prosesi. Uygulanabilirlik bildirgesi: Kuruluşun BGYSsi ile ilgili ve uygulanabilir kontrol amaçlarını ve kontrolleri açıklayan dokümante edilmiş bildir.
YÖNETİM SİSTEMİNİN KAPSAMI NE?
Kurumsal yapıyı, politikaları, planlama faaliyetlerini, sorumlulukları, uygulamaları, prosedürleri, prosesleri ve kaynakları içerir.
· Bilgi transferini kontrol altına alır.
· E-Posta hareketlerini prosedür altına alır.
· Bilginin teknolojik cihazlar ile kopyalanmasını düzenler.
· Paylaşılan bilgilere ait kriterleri ortaya koyar.
· Ticari meta sayılacak tüm verilerin güvenle yönetilmesine yardımcıdır.
ISO 27001 BELGESİNİ NEREDEN ALABİLİRİM???
Kurumlar bir ISO 27001 Danışmanlık ve eğitim Şirketine başvurabilir.
http://www.taksimdanismanlik.com/ internet adresinden TAKSİM DANIŞMANLIK şirketine ulaşabilirsiniz.
Sistemin her aşamasında danışmanlık alıp, personel ve şirket ile ilgili tüm gerekli eğitimleri alabilirsiniz. Gerekli adaptasyonların sağlamasının ardından bağımsız bir belgelendirme kurumuna bunu kanıtlayarak belgeyi almaya hak kazanabilirsiniz.
DANIŞMANLIK AŞAMASI NASIL OLMAKTADIR????
· Proje Ekibinin Kurulması
· Kurum içinde stratejinin belirlenmesi
· Kapsamın Belirlenmesi
· Proje ve İletişim Planının Hazırlanması
· Bilgi Güvenliği Politikası
· Varlıkların Belirlenmesi
· Risklerin Belirlenmesi, Risk Yönetimi
· Değişim Yönetimi
· Olay Yönetimi
· Uygulanabilirlik Bildirgesi
· Doküman ve Kayıt Yönetimi
· Eğitim ve Farkındalık Çalışmaları
· İç denetim
· Yönetimin Gözen Geçirme
· Düzenleyici Önleyici Faaliyetler DÖF
· Belgelendirme Refakati
· Örnek doküman katkısı tasarım katkısı sağlama
ISO 27001 KİMİ İLGİLENDİRİR ?
· Dünyanın tüm ülkelerine ve tüm sektörlerine uygundur.
· Finans, sağlık, kamu ve Bilgisayar teknolojileri sektörleri gibi bilginin korunmasının büyük öneme sahip olduğu alanlarda özellikle gereklidir.
· Taşeron şirketler için de uygundur.
ZORUNLULUĞU OLAN SEKTÖRLER NELER?
· Bilişim sektöründe faaliyet gösteren ve kamu ihalelerine giren yazılım, donanım ve entegratör firmalar
· Elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten firmalar
· Görev sözleşmesi imzalayan firmalar
· İmtiyaz sözleşmesi imzalayan firmalar
· Uydu haberleşme hizmeti veren firmalar
· Altyapı işletmeciliği hizmeti veren firmalar
· Sabit telefon hizmeti veren firmalar
· GMPCS mobil telefon hizmeti veren firmalar
· Sanal mobil şebeke hizmeti veren firmalar
· İnternet servis sağlayıcıları
· Hava taşıtlarında GSM 1800 mobil telefon hizmeti veren firmalar
· E-fatura özel entegratör yetkisi almak isteyen firmalar
· Gümrük işleri kolaylaştırma yetkisi almak isteyen ihracatçı firmalar
EPDK LİSANSLARINDA ISO 27001 BİLGİ GÜVENLİ ZORUNLU
TELEKOMÜNİKASYON KURUMU TARAFINDAN TELEKOM ŞİRKETLERİNE ZORUNLU
STANDARDIN KİME NASIL YARARI VAR?
· Kuruluş hangi bilgi varlıklarının olduğunu, değerinin farkına varır.
· Sahip olduğu varlıkları koruyabilir.
· Uzun yıllar boyunca işini garanti eder.
· Felaket halinde, işe devam etme yeterliliğine sahip olur.
· Başta tedarikçileri olmak üzere, bilgileri korunacağından ilgili tarafların güvenini kazanır.
· Bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz.
· Müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir.
· Çalışanların motivasyonunu arttırır.
· Yüksek prestij sağlar
SİSTEM KURMA AŞAMALARI NASIL OLMAKTADIR?
1. Varlıklar sınıflandırılır.
2. Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilir.
3. Risk analizi yapılır.
4. Risk analizi çıktılarına göre uygulanacak kontroller belirlenir.
5. Dokümantasyon oluşturulur.
6. Kontroller uygulanır.
7. İç tetkik yapılır.
8. Kayıtlar tutulur.
9. Yönetimin gözden geçirme yapılır.
10. Belgelendirme işlemi yapılır.
STANDARDIN YAPISI NASIL??
0 Giriş
1 Kapsam
2 Atıf yapılan standartlar ve/veya dokümanlar
3 Tanımlar ve terimler
4 Kuruluşun Yapısı
4.1 Kuruluşu ve yapısını anlama
4.2 İlgili tarafların ihtiyaç ve beklentilerini anlamak
4.3 Bilgi Güvenliği Yönetim Sistemi kapsamının belirlenmesi
4.4 Bilgi Güvenliği Yönetim Sistemi
5 Liderlik
5.1 Liderlik ve taahhüt
5.2 Politika
5.3 Görev, sorumluluk ve yetki
6 Planlama
6.1 Risklere ve Fırsatlara Yönelik Eylemler
6.2 Bilgi Güvenliği Hedefleri ve Planlama
7 Destek
7.1 Kaynaklar
7.2 Yetkinlik
7.3 Farkındalık
7.4 İletişim
7.5 Dokümante Bilgi
8 Operasyon
8.1 Operasyonel planlama ve kontrol
8.2 Bilgi güvenliği risk değerlendirmesi
8.3 Bilgi güvenliği risk işleme
9 Performans değerlendirme
9.1 İzleme, ölçme, analiz ve değerlendirme
9.2 İç denetim
9.3 Yönetimin gözden geçirmesi
10 İyileştirme
10.1 Uygunsuzluk ve düzeltici faaliyet
10.2 Sürekli iyileştirme
Ek A Kontrol amaçları ve kontroller
PEKİ STANDARTTA ZORUNLU TUTULANLAR NELER?
· Yönetimin sorumluluğu, iç denetim, sürekli iyileştirme, risklere ve fırsatlara yönelik eylemler .zorunludur
· Her işletme sahip olduğu riskler doğrultusunda planlanan denetimlerini uygulamak zorundadır.
YENİ REVİZYON STANDARTTA NE DEĞİŞİKLİKLER MEVCUT?
· Risk değerlendirme şartları ISO 31000 Risk Yönetimi Standardı ile uyumlu hale getirilmiştir.
· Yönetimin Taahhüdü şartları “Liderlik” kavramı üzerine yoğunlaşmıştır.
· Önleyici Faaliyet kavramı “Risklere ve Fırsatlara Yönelik Eylemler” olarak değişmiştir.
STANDART KAPSAMINDA HANGİ SORULARA CEVAP ARANMAKTADIR?
1. Firmanızın kritik hangi “bilgileri” var? Maaşlar, Fiyatlar…
2. Bu bilgilere kimler ulaşabilir,ulaşmaması gereken kişiler kimlerdir?
3. Rakiplerinizin özel bilgilerine sahip olsaydınız bu bilgiler size neler sağlardı
4. Rakipleriniz sizin bu bilgilerinize ulaşabilirse bundan rakibinize hangi faydalar doğar, size ne gibi sorunlar meydana getirirdi?
5. Bilgilerimizin bozulmaması, kaybolmaması ve gizliliğin korunması için aldığınız önlemler yeterli midir?
6. Fabrikanıza,işyerinize kimler girebilir?
7. İstenmeyen ya da ilgisiz kimselerin, bilgilerinize ulaşmaması için hangi önlemleri aldınız? ve bu önlemlerin etkinliği nedir?
8. Bilgi Güvenliği için alınan önlemlerin, yürürlükte olduğu düzenli olarak kontrol edilmekte midir?
ISO 27001 STANDARDI EĞİTİMİNE GİTMEK İSTERSEM EĞİTİM İÇERİĞİNDE NELER MEVCUT???
· Bilgi güvenliği
· Bilgi güvenliğinin önemi
· ISO 27001 gereklilikleri
· Güvenlik tehditlerinin ve zayıf noktaların incelenmesi
· Güvenlik risklerinin yönetimi
· Güvenlik kontrollerinin seçilmesi
· Bilgi Güvenliği Yönetim Sistemini BGYS kurma yöntemi
· ISO 27001 denetleme teknikleri
· Bir ISO 27001 tetkik ekibinin idaresi ve yönetimi
· Görüşme teknikleri
· Tetkikin raporlanması
· Yeterliliği kanıtlayacak sınav
EĞİTİMLE İLGİLİ DİĞER BİLGİLER NELER?
Eğitim sonrasında başarılı olanlara "Başarı Belgesi", diğer katılımcılara Katılım Belgesi verilecektir. “Katılım Belgesi” alan katılımcılar, sınav tarihinden itibaren, en geç 1 sene içerisinde, sınavı 1 kez daha tekrar edebilirler. IRCA kayıtlı eğitimlerde katılımcı sayısı 1 eğitmen için, minimum 4 kişi maksimum 10 kişi ile sınırlıdır.
STANDARDIN MADDELERİNE ÖZETLE BAKACAK OLURSAK;
0. Giriş maddesine göre;
ISO 27001:2005 versiyonuna göre giriş bölümü kısaltılmış ve PUKÖ modeli kaldırılmıştır. Bu değişiklikle birlikte kuruluşun BGYS’ni uygularken PUKÖ yaklaşımı dışında da sürekli iyileştirme için bir model seçmesine fırsat verilmiştir.
1. Kapsam maddesine göre;
Ek A’daki herhangi bir kontrolün dışarıda tutulabileceğine dair atıf kaldırılmıştır.
2. Atıf yapılan standartlar ve/veya dokümanlar maddesine göre;
Sadece ISO/IEC 27000 Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği yönetim sistemleri – Genel bakış ve sözlük standardına atıf yapılmaktadır.
3. Tanım ve Terimler maddesine göre;
Standardın yeni revizyonunda tanım ve terimler bulunmamaktadır. Bu maddede ISO/IEC 27000 standardına atıf yapılmaktadır.
4. Kuruluşun Bağlamı maddesine göre;
BGYS yapısı şartlarına yönelik yeni bir maddedir. Ayrıca yeni versiyon ile değişen bir kavram olan önleyici faaliyete de gönderme yapmaktadır.
Kuruluşun amaçlanan BGYS çıktılarına ulaşmasına etki edebilecek iç ve dış boyutları tanımlamasını ve ilgili tarafların şartlarını göz önünde bulundurarak BGYS kapsamının belirlenmesi gerektiği anlatılmaktadır.
Yeni versiyonun 4.2 maddesiyle BGYS’nin kurulmasında ilgili tarafların şartları, ihtiyaç ve beklentilerinin anlaşılmış olması istenmektedir. Şartlar yasal ve düzenleyici gereksinimler veya sözleşmeden kaynaklanan gereksinimler olabilir.
4.3 maddesi; BGYS kapsamında iç ve dış hususlar belirlemektedir.
Madde 4.4; kuruluşun ISO 27001:2013 standardı gereğince bir Bilgi Güvenliği Yönetim Sistemi kurmasını, uygulamasını, sürdürmesini ve sürekli iyileştirmesini istemektedir.
5. Liderlik maddesine göre;
Bu maddedeki şartlar kuruluşun en üst düzeyde temsil edildiği “Üst Yönetim” kavramı üzerinedir. Bilgi güvenliği politikasının üst yönetim tarafından oluşturulması bu maddenin şartlarından biridir. Standart politikanın içermesi gereken karakteristik ve özellikleri de tanımlamaktadır.
Bu maddede üst yönetimin gerekli atamaları yaparak bilgi güvenliği ile ilgili görev, sorumluk ve yetkileri belirlemesi istenmekte, kuruluş içinde oluşturulan BGYS’nin ISO 27001 standardına uyumunu gözetmek ve BGYS’nin performansının raporlanması olmak üzere görevler üzerinde durulmaktadır.
6. Planlama maddesine göre;
Planlama maddesinin alt maddesi 6.1.1 Genel, 4.1 ve 4.2 maddeleri ile birlikte önleyici faaliyetleri ele alma konusunda yeni bir yaklaşım sunmaktadır. Planlama maddesi risk değerlendirme ve risk işleme ile ilgili şartlar sunmaktadır. 6.1.1’de BGYS risk ve fırsatlarının ele alınması, 6.1.2’de risk değerlendirme ve 6.1.3’te ise bilgi güvenliği risk işleme ile ilgili şartlar yer almaktadır.
Madde 6.1.2, Bilgi Güvenliği Risk Değerlendirmesi: Bu madde özellikli olarak bilgi güvenliği risklerinin değerlendirilmesini ele alır.
ISO 31000 standardıyla uyumlu olarak standardın bu yeni versiyonunda bilgi güvenliği risklerinin belirlenmesi için ön koşul olan varlıkların, tehditlerin ve zayıflıkların tanımlanması şartı kaldırılmıştır. Böylelikle kuruluşlar için risk değerlendirme yöntemi seçenekleri artmıştır. Ayrıca bu maddede risk değerlendirme kabul kriterlerine atıf yapıldığı görülmektedir. Önceki versiyonda yer alan “varlık sahibi” kavramı yerine yeni versiyon “risk sahibi” olarak ele almıştır. Risk sahiplerinin risk işleme planını ve artık riskleri onaylaması istenmektedir. Diğer bir deyişle kuruluşların risklerin sonucunu, olasılıklarını ve seviyelerini değerlendirmesi beklenmektedir.
Madde 6.1.3, Bilgi Güvenliği Risk İşleme: ISO/IEC 27001:2005’ten farklı olarak kontrollerin Ek A’dan seçilmesi yerine risk işleme prosesi sırasında belirlenmesine atıf yapılmaktadır.
Standart herhangi bir gerekli kontrolün göz ardı edilmemesi için bir çapraz kontrol olarak EK Anın kullanımını korur. Uygulanabilirlik Bildirgesi oluşturmak standardın bu versiyonunda da değişmeyen bir şarttır. Risk işleme planının oluşturulması ve onaylanması yine bu maddenin şartıdır.
Madde 6.2, Bilgi Güvenliği Hedefleri ve Ulaşılabilmesi için Planlama: Bu madde kuruluşun ilgili fonksiyon ve seviyelerinde bilgi güvenliği hedeflerinin oluşturulmasını istemektedir.
7. Destek maddesine göre;
Bilgi güvenliği yönetim sisteminin kurulması, uygulaması, sürdürülmesi ve sürekli iyileştirilmesi için gerekli kaynakların sağlanması şartı bu maddede belirtilmiştir. Diğer yönetim sistem standartlarında da olduğu gibi kaynaklar; insan kaynakları, bütçe, ilgili ekipman vb. içermektedir. Kuruluş içerisindeki yetkinlik, farkındalık ve eğitim konularındaki şartlar bu madde içindedir. Standardın bir önceki versiyonundan farklı olarak oluşturulan yeni “dokümante bilgi” kavramı bir önceki versiyonun doküman ve kayıt şartları ile hemen hemen aynıdır. ISO/IEC 27001:2013 standardında istenen dokümante bilgiler;
· BGYS kapsamı
· Bilgi güvenliği politikası
· Risk değerlendirme prosesi
· Risk işleme prosesi
· Uygulanabilirlik Bildirgesi
· Bilgi Güvenliği Hedefleri
· Standardın istediği diğer kayıt ve dokümanlar
8. İşletim maddesine göre;
Bu madde daha çok ‘uygulama’ şartlarını içerir. Önceki maddelerde istenen; bilgi güvenliği hedefleri, risk değerlendirme, risk işleme gibi plan ve proseslerin gerçekleştirilmesi için şartları sıralar.
9. Performans Değerlendirme maddesine göre;
Bu maddede, izleme, ölçme, analiz ve değerlendirme, iç denetim, yönetimin gözden geçirmesi şartları anlatılmaktadır. 9.1 maddesi bilgi güvenliği yönetim sistemini uygulamak isteyen kuruluşların sistemlerinin etkinliğini ve bilgi güvenliği performanslarını izlemelerini gerektirir.
İç denetim şartları bir önceki versiyonla hemen hemen aynı olmakla birlikte iç denetçilerin kendi çalışmalarını denetlememesi gerekliği farklı bir şekilde ifade edilerek “tarafsızlık ve bağımsızlık” kavramlarına gönderme yapılmıştır. 2005 versiyonunda yer alan “Denetlenen alandan sorumlu olan yönetim, saptanan uygunsuzlukların ve bunların nedenlerinin giderilmesi için, gereksiz gecikmeler olmaksızın önlemlerin alınmasını sağlamalıdır” şartı iç denetim maddesinden kaldırılarak, iç denetim sonucu alınması gereken aksiyonlara yönelik şartlar 10.1 uygunsuzluk ve düzeltici faaliyetler maddesi altında belirtilmiştir.
9.3 Yönetimin gözden geçirmesi şartları çoğunlukla aynı kalmakla birlikte gözden geçirmenin yılda bir kez yapılması şartı kaldırılmıştır. Ancak kuruluşların “düzenli ve planlı aralıklarla” gözden geçirme yapması şartı halen geçerliliği sürdürmektedir.
10. İyileştirme maddesine göre;
ISO/IEC 27001:2013 versiyonunun önleyici faaliyetleri ele alış biçimi değiştiğinden yeni versiyonda önleyici faaliyet maddesi kaldırılmıştır. Ancak düzeltici faaliyet şartları devam etmekte ve yeni şartlar sunmaktadır.
Sürekli iyileştirme şartları BGYS’nin etkinliğinin uygunluğu ve yeterliliğini kapsayacak şekilde genişletilmiştir.
EK A Kontroller ve Kontrol Amaçları Ek A’da yer alan kontrol noktalarının sayısı 133’ten 114’e düşmüş, ana kontrol maddeleri 11’den 15’e yükselmiştir. Mevcut kontrollerden bazıları aynı kaldığı gibi, bazıları silinmiştir.
Yeni versiyonda bir önceki versiyonla benzer kontroller bulunmakla birlikte yeni kontrol noktaları da bulunmaktadır. Tekrarların önlenmesi için bazı kontrollerin de yeniden gruplandırıldığı görülmektedir.
ISO 27001 KAPSAMINDA DENETİME GİRECEK OLURSANIZ;
TUBİTAK ULUSAL ELEKTRONİK VE KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ DOKÜMAN NO: BGYS-009 denetim listesindeki soruları inceleyip, sorular kapsamında destek alabilirsiniz.
ISO 27001 LOGOSU ÖNEMLİDİR.
ISO 27001 logosu; ancak ve ancak ASB Logo Kullanım Talimatına uygun olarak kullanılabilir.ISO 27001:2013 logosu sadece ASB tarafından belgelendirilmiş kurum / kuruluşlar tarafından kullanılabilir.
BELGELENDİRME NASIL OLMAKTADIR?
TÜRK STANDARTLARI ENSTİTÜSÜ Bilgi Teknolojileri Belgelendirme Müdürlüğünden destek alabilirsiniz. ISO/IEC 27001:2013 standardı esas alınarak kuruluşlar tarafından başvuru formu doldurulmalı ve Kuruluş yetkilileri tarafından imzalanarak başvuru aşamasında Bilişim Teknolojileri Belgelendirme Müdürlüğüne ekleri ile birlikte teslim etmelidirler.
Kuruluş, başvuru formunda belirtilen Bilgi Güvenliği Yönetim Sistem Dokümanları ve Yönetim Sistemleri Belgelendirme Ücretlendirme Esasları ve Ücret Çizelgelerinde belirtilen ücretlerin yatırıldığını gösteren belgeyi TSE Bilişim Teknolojileri Belgelendirme Müdürlüğüne teslim ederek başvuruyu tamamlamış olur.
"Bilişim Teknolojileri Belgelendirme Müdürlüğü tarafından Belgelendirme tetkiki öncesinde talep edildiğinde Bilgi Güvenliği Yönetim Sistemi ile ilgili ön tetkik hizmeti de sunulmaktadır."
BAŞVURULARA HANGİ İŞLEMLER UYGULANIR?
Başvuru belgelerini, başvuru formunda belirtilen ilgili Müdürlük tarafından ön değerlendirmeden geçirir. Değerlendirme sonunda bir eksiklik tespit edilir ise müracaat formlarında belirtilen kuruluş yetkilileri ile irtibata geçilerek düzeltilmesi sağlanır. Kuruluşun Bilgi Güvenliği Yönetim Sistem dokümanları yeterli bulunur ise belgelendirme için bir hafta belirlenerek teyit için kuruluşa bildirilir. Hafta kesinleşince TSE tarafından "TSE Tetkik Ekibi" belirlenir. Belirlenen ekipteki Tetkik Görevlileri kuruluşa gerçek tetkik programı ve özgeçmişlerini bildirir. Gerekiyorsa tetkikten önce firma ziyareti gerçekleştirilebilir. Kuruluşça teyit edilen tetkik görevlileri bilgi güvenliği yönetim sistemini belirlenen tarihlerde yerinde inceler. Kuruluşun ilgili standart şartlarını karşılaması durumunda, TSE Yürütme Komitesi söz konusu kuruluş adına belge düzenlenmesine karar verir. Eğer bu incelemede kuruluşa belge verilmesine engel teşkil edecek uygunsuzluk söz konusu olursa, eksikliğin giderilmesi için süre tanınarak takip tetkiki yapılmasına karar verilebilir.