- ISO/IEC 27001:2013’in zorunlu bir dokümanı olarak, seçilen ve seçilmeyen kontrollerin gerekçeleri ile listelendiği Uygulanabilirlik Bildirgesi (SoA) SiberSAN ve Firma tarafından hazırlanmaktadır. Uygulanabilirlik Bildirgesi, esas olarak ISO27001 Ek A’daki kontroller içerisinden hangilerinin Firmada uygulandığı, hangilerinin uygulanmadığı ve bunun nedenleri ve benzeri bilgileri içermektedir,
- Doküman hazırlama kapsamında tüm birimlerin uyması gereken, Bilgi Güvenliği Yönetim Sisteminin gerektirdiği prosedür, talimat, kayıt vb dokümanlar Firmanın denetiminde SİBERSAN ve ŞİRKET tarafından hazırlanmaktadır,
- Hazırlanacak dokümanlar en az aşağıdakileri konuları içermektedir. Dokümanın seviyesi (Politika, Standart, Prosedür, Talimat) risk değerlendirmesi sonrası iş ihtiyacına uygun olarak belirlenmektedir,
- Bilgi Güvenliği politikası,
- Erişim kontrol,
- Parola yönetim,
- Temiz masa temiz ekran,
- Kabul edilebilir kullanım,
- İnsan kaynakları güvenliği,
- İç denetim,
- Teknik açıklık yönetimi,
- Fiziksel güvenlik,
- Kablosuz mobil cihaz kullanım,
- Antivirüs,
- Yama yönetimi,
- Bilgi sistemleri kayıt ve doküman yönetim sistemi,
- İş sürekliliği,
- E-posta kullanımı,
- Bilgi güvenliği bilinçlendirme,
- Doküman ve donanım imha yönetimi,
- Bunların dışında kalan, ilgili dokümanlar ISO27001 Ek A’daki tüm kontrol hedeflerini içermektedir,
- Söz konusu dokümanlar, kurumsal güvenlik gereksinimlerinin belirlenmesi amacıyla yapılan testler, risk analizi, güvenlik önlemlerinin belirlenmesi çalışmalarının yanı sıra, kullanıcılardan gelen geri bildirimler, iç denetim raporları ve “BGYS İşletimi Prosedürü”nün gereği olan Güvenlik Komitesi toplantılarının kararları doğrultusunda, Firma ve SiberSAN birlikte yaptığı gözden geçirmelerde tespit etmektedir.
- Tarama raporları, İç denetim raporları, yönetim gözden geçirme toplantıları iş sürekliliği raporlarının sonucunda oluşacak olan uygunsuzlukların ve sorunların giderilmesi, tekrarlanmaması ve benzer şekilde olası sorunların oluşmaması için düzeltici faaliyet planları hazırlanacak ve bunların uygulanması için iş adımları, zamanlama planı, roller ve sorumluluklar SiberSAN ve Firma tarafından tanımlanmaktadır.