Bilgi Güvenliği Yönetim Sistemi’nin kurma aşamaları oldukça zahmetli bir süreçtir. Yine de bilgi güvenliğinin sağlanması ve bilginin daha iyi nasıl korunacağı konusunda standartların belirlenmiş olması, o kuruluş için çok önemli bir sonuçtur.

Bilgi Güvenliği Yönetim Sistemi kurulurken her kuruluşun izleyeceği yol hemen hemen aynıdır.

Bilgi güvenliği çalışmasının kapsamı

İlk yapılması gereken, çalışmanın kapsamı ve sınırlarını belirlemektir. Bir kuruluşun tamamı için veya belli bir bölümü için sistem kurulabilir. Her durumda çalışmanın sınırları eksiksiz ve doğru şekilde tanımlanmış olmalıdır. Kapsam, üst yönetimin kararı ve kuruluşun bilgi güvenliği hedefleri paralelinde belirlenmelidir.

Bilgi güvenliği politikası

Bu politika, üst yönetim tarafından tespit edilir ve çalışmanın hedeflerini ortaya koyar ve hangi risklerin değerlendirmeye alınacağını ve nasıl risk yönetimi yapılacağının kriterlerini belirler. Üst yönetim bilgi güvenliği politikasının her zaman arkasında durmalıdır.

Risk değerlendirme yöntemi

Bilgi güvenliği politikasına uygun şekilde bir risk değerlendirme yöntemi belirlenmelidir. Buna göre kabul edilebilecek risk seviyeleri tespit edilmeli ve kıstaslar konulmalıdır. Bir risk haritası çıkarılarak korunması gereken bilgiler, etkileme derecesine ve riskin gerçekleşme ihtimaline göre belirlenmelidir.

Risklerin tespit edilmesi

Belirlenecek risk değerlendirme yöntemi kullanılarak bilgi varlığını tehdit eden riskler ortaya çıkarılmalıdır. Bu çalışmada bilgi varlıklarının bir envanteri de çıkarılmış olacaktır. Bilgi Güvenliği Yönetim Sistemi içine alınacak bilgi varlıkları, türlerine ve önem derecelerine göre listelenecektir. Çok gizli bir bilginin ortaya çıkması kuruluşa büyük zarar verebilir, ama aynı bilginin kullanılamaz hale gelmesi daha az zarar veriyor olabilir.

Risklerin değerlendirilmesi

Belirlenecek riskler için alınacak önlemlerin neler olacağına bu adımda karar verilir. Uygun kontroller yapılarak risk ortadan kaldırılabilir veya kabul edilebilir seviyeye çekilebilir. Ya da risk doğuran faktörler ortadan kaldırılarak riskten kaçınılır.

Üst yönetimin onayı

Risk yönetimi çalışması tamamlandıktan sonra uygulamaya geçmek için üst yönetimden onay almak gerekmektedir.

Eğer bir risk tamamen ortadan kaldırılamıyorsa, bu da üst yönetimin kararına bağlı, kabul edilebilir bir risk olabilir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi’ne sahip olmak isteyen kuruluşlar, danışmanlık hizmetleri için, TURCERT belgelendirme kuruluşunun deneyimli yöneticilerine ve çalışanlarına başvurabilirler.