ISO 27001 Uyum Yaklaşımı

End.STP, bu sayfada "ISO 27001 sertifikalıdır" şeklinde bir iddia içermez. Bu sayfanın amacı; bilgi güvenliği yaklaşımımızı, ISO/IEC 27001 standardının ortaya koyduğu prensiplerle nasıl hizaladığımızı şeffaf biçimde açıklamaktır.

Resmi bir denetim ve belgelendirme sürecine başlandığında veya tamamlandığında, bu sayfa güncel durumu yansıtacak şekilde değiştirilecektir.

ISO/IEC 27001; bilgi güvenliği yönetim sistemi (BGYS) için uluslararası kabul görmüş bir standarttır. Riskleri tanımlamak, uygun kontrolleri uygulamak ve bu kontrolleri sürekli iyileştirmek için bir çerçeve sunar.

Standart; gizlilik (confidentiality), bütünlük (integrity) ve erişilebilirlik (availability) temel ilkeleri etrafında şekillenir. Hangi kontrollerin uygulanacağı, hangi sıklıkla denetleneceği ve hangi belgelerin tutulacağı gibi konularda kuruluşlara yapılandırılmış bir rehber sağlar.

Güvenlik uygulamalarımızı, ISO 27001'in temel prensiplerinden ilham alarak yapılandırıyoruz:

Risk Temelli Düşünme

Sistemlerimizdeki potansiyel riskleri tanımlar, etkilerini değerlendirir ve uygun kontrolleri buna göre seçeriz. Önemsiz olarak değerlendirilen alanlarda gereksiz karmaşıklıktan kaçınır, kritik alanlara odaklanırız. Risk değerlendirmesi düzenli olarak güncellenir.

Politika ve Süreç

Erişim kontrolü, veri saklama, yedekleme, olay yönetimi ve tedarikçi değerlendirmesi gibi alanlarda dahili politikalarımız mevcuttur. Bu politikalar düzenli olarak gözden geçirilir ve revizyon kayıtları tutulur.

Teknik Kontroller

Şifreleme, kimlik doğrulama, en az yetki prensibine dayalı erişim, denetim kayıtları ve düzenli güvenlik güncellemeleri standart uygulamalarımızdır. Detaylar için Veri Güvenliği sayfasına bakabilirsiniz.

İnsan Faktörü

Bilgi güvenliği yalnızca teknik bir konu değildir. Ekip üyelerinin farkındalığı, gizlilik yükümlülükleri ve güvenli geliştirme uygulamaları sürecin ayrılmaz parçasıdır.

Sürekli İyileştirme

ISO 27001'in özünde yer alan 'Planla – Uygula – Kontrol Et – Önlem Al' (PDCA) döngüsünü pratik bir disiplin olarak benimseriz. Olaylardan, denetimlerden ve geri bildirimlerden öğrenir; süreçleri ona göre güncelleriz.

ISO/IEC 27001:2022; Annex A başlığı altında bilgi güvenliği kontrolleri için tematik bir rehber sunar. End.STP olarak bu kontrol alanlarına aşağıdaki şekilde yaklaşırız:

• Organizasyonel kontroller: Bilgi güvenliği rolleri, sorumluluklar, politikalar ve tedarikçi yönetimi tanımlıdır.
• Kişisel kontroller: İşe alım, gizlilik yükümlülükleri ve güvenlik farkındalığı süreçlerimiz mevcuttur.
• Fiziksel kontroller: Altyapı sağlayıcılarımızın tesis güvenliği değerlendirmemizin parçasıdır; doğrudan fiziksel veri merkezi işletmiyoruz.
• Teknolojik kontroller: Şifreleme, erişim yönetimi, ağ güvenliği, sistem izleme ve güvenli yazılım geliştirme süreçlerimiz uygulanır.

Bu yaklaşım, standardın resmi denetim sürecinden geçmemiş olsa da, kontrollerin ruhunu pratik biçimde uygulamayı hedefler.

Resmi ISO 27001 belgesi; akredite bir belgelendirme kuruluşu tarafından yürütülen bağımsız denetim sonucunda verilir. End.STP henüz bu süreci tamamlamamıştır.

Belgelendirme süreci; iç hazırlık, dokümantasyon, ön denetim, ana denetim ve sertifika sonrası gözetim aşamalarından oluşur. Bu sürecin başlatıldığı veya tamamlandığı durumlarda kullanıcılarımıza şeffaf biçimde bildireceğiz.

O güne kadar; "uyum" terimini sertifika eşdeğeri bir iddia olarak değil, prensiplerle hizalanma olarak kullanırız. Bu ayrım önemlidir.

End.STP; ISO 27001 prensipleriyle uyumlu bir bilgi güvenliği yönetim yaklaşımını gönüllü olarak benimser. Mevcut durumumuz şudur:

• Standardın temel prensiplerine ve kontrol alanlarına dair iç uygulamalar mevcuttur.
• Resmi belgelendirme süreci başlatılmamıştır.
• Hizmet ölçeğimiz büyüdükçe ve kurumsal müşteri ihtiyaçları doğdukça resmi belgelendirme yol haritasına alınabilir.
• Bu sayfa, durum değiştiğinde güncellenecektir.

Güvenlik anlatılan değil, gösterilen bir konudur. Mimarimiz, süreçlerimiz veya güvenlik uygulamalarımız hakkında daha ayrıntılı bilgi almak isteyen kurumsal kullanıcılarımız için ek dokümantasyonu, talep üzerine ve uygun gizlilik çerçevesinde paylaşabiliriz.

Kurumsal due diligence değerlendirmeleri için bilgi güvenliği soru listelerine (örn. SIG, CAIQ veya kuruluşunuzun kendi formatında) yanıt verebiliriz.

Bilgi güvenliği yaklaşımımız veya ISO 27001 yol haritamız hakkında sorularınız için iletisim@endstp.com adresine yazabilirsiniz.