Bir kuruluş, bünyesinde ISO 27001 Bilgi Güvenliği Yönetim Sistemi’ni kurduktan sonra doğal olarak bunu kanıtlayacak bir belgeye de sahip olmak isteyecektir. Ancak uzun ve zahmetli bir çabanın sonunda Bilgi Güvenliği Yönetim Sistemi’ni kurmakla iş bitmiyor. Çünkü bu sistemin kurulmasındaki amaç sadece belge almak olmamalıdır. Sistem kurulduktan sonra çalıştırılmalı ve izlenmelidir ki sistemden beklenen yararlar uzun vadede kendini göstermeye başlasın.

Kalite sistemlerindeki döngü burada da hep olacaktır. Belirlenen kontrol esaslarına göre, bilginin korunmasına yönelik olası riskler her zaman kontrol altında tutulmalı, riski ortadan kaldıracak veya en azından etkisini düşürecek önlemler alınmalı, yeni riskler ortaya çıkmışsa bu riskler değerlendirilmeli, bu riskler içinde önlenemeyen ve kabul edilebilir riskler üst yönetimin onayından geçirilmelidir. Bu süreç hep var olacaktır.

ISO 27001 standartlarının tüm gereklerini yerine getiren kuruluş artık bir belgelendirme kuruluşuna başvurarak belge talep edebilir. Belgelendirme kuruluşunun akredite bir kuruluş olması gerekmektedir. Bu kuruluş talebi aldığında, önce talep edeceği sistem dokümanları üzerinden bir inceleme başlatır. Gözden geçirilecek dokümanlar arasında, kuruluşun bilgi güvenlik politikası, risk değerlendirme raporları, risk eylem planları, uygunluk beyanları, güvenlik süreç tanımları ve uygulama talimatları mutlaka olmak zorundadır.

Belgelendirme kuruluşundaki denetçiler, bu dokümanlar üzerindeki ilk incelemelerini tamamladıktan sonra, belge talep eden firmaya giderek, bu defa yerinde denetim çalışmalarına başlarlar. Bu denetim sırasında, firmanın faaliyet alanına bağlı olarak belirlediği bilgi güvenlik kontrollerinin, standartlara uygun olarak yapılıp yapılmadığı gözlenir.

Denetçilerin hazırladığı rapor üzerine, eğer denetim başarı ile sonuçlanmışsa belgelendirme kuruluşu ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi’ni hazırlayarak firmaya teslim eder.

Bu belge verildikten sonra da, firmanın talebine bağlı olarak yılda bir veya iki kez belgelendirme kuruluşu tarafından yenilemeye yönelik gözden geçirme incelemeleri yapılır. ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi’nin geçerlik süresi üç yıldır. Bu sürenin sonunda belgelendirme çalışmalarının yeniden yapılması ve belgenin yenilenmesi gerekmektedir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi belgelendirme süreci konusunda bilgi almak, hatta bu sistemi kurmak ve belge sahibi olmak için, TURCERT belgelendirme kuruluşunun deneyimli yöneticilerine ve çalışanlarına başvurabilirsiniz.