ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurulurken, sistemin gereği olarak çok sayıda doküman üretilmiş olacaktır. Bu dokümanlar sistemin olmazsa olmazlarıdır. Dolayısıyla Bilgi Güvenliği Yönetim Sistemi’nin kuran ve çalıştıran bir kuruluş, aynı zamanda ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi almak istediğinde, hazırladığı bu dokümanları ilgili belgelendirme kuruluşuna vermek durumundadır. Çünkü belgelendirme kuruluşu çalışmalarına başladığında ilk incelemelerini bu belgeler üzerinden yapacak, akabinde denetçiler firmanın bulunduğu yere giderek, hazırlanan dokümanlarla gerçek uygulamaların ne kadar örtüştüğünü yerinde gözleyeceklerdir.

Şimdi bu incelemelerin yapılabilmesi için belgelendirme kuruluşuna verilecek gerekli dokümanların neler olduklarına bakalım kısaca:

  • Bilgi Güvenliği Yönetim Sistemi El Kitabı. Kuruluşun neden bu sisteme gereksinim duyduğu, bilginin korunmasına yönelik risklerin neler olduğu, olası güvenlik açıkları, buna karşılık risk yönetiminin nasıl yapılacağı, bilgi güvenlik politikalarının oluşturulması burada açıklanmaktadır.
  • Bilgi Güvenliği Yönetim Sistemi Politikaları. Politikalar kuruluş üst yönetiminin kararları doğrultusunda hazırlanmaktadır. Kuruluşun faaliyet alanı ile doğrudan ilişkili olan bu politikalar içinde belli başlıları şunlardır: Genel Politika, Bilgiye Erişim Politikası, Şifre Güvenliği Politikası, Bilgi Sistemleri Yedekleme Politikası, Sunucu Güvenliği Politikası, Veri İmha Politikası, Personel Güvenlik Politikası, Ziyaretçi Kabul Politikası, Fiziksel Güvenlik Politikası, Bilgi Varlıklarına Yönelik Sorumluluk Politikası.
  • Bilgi Güvenliği Yönetim Sistemi Prosedürleri. Kuruluşun sistemin gereği olarak hazırlamak zorunda olduğu, Risk Yönetim Prosedürü, Olay İhlal Prosedürü, Disiplin Prosedürü, İş Sürekliliği Prosedürü ve benzeri prosedürlerdir.
  • Görev Tanımları. Çalışanların, bilgi güvenliğine yönelik yetki ve sorumlulukları, görev tanımları içine ilave edilmiş olmalıdır.
  • Bilgi Güvenliği Talimatları. Yukarıda bahsedilen prosedürler ile uyumlu olmak üzere, Sistem Odası Kullanma Talimatı, VPN Güvenliği Talimatı, Sunucu Bakım Talimatı ve benzeri uygulama talimatları hazır olmalıdır.
  • Formlar. Sistemin düzgün ve sistematik bir şekilde yürümesini sağlamak üzere yeni birçok form uygulamaya alınmış olmalıdır.

Bu sayılan dokümanlar olmadan bir kuruluşta belgelendirme çalışmasının başlatılması mümkün değildir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi almak için hangi evrakın gerekli olduğu konusunda, TURCERT belgelendirme kuruluşunun deneyimli yöneticilerine ve çalışanlarına başvurabilirsiniz.