Iso 9001 Ve Iso 27001 Nasıl Entegre Edilir?

fthtncl

Orgeneral
Moderatör
ISO 9001 ve ISO 27001 Nasıl Entegre Edilir?

ISO 27001, dünyadaki en hızlı büyüyen standartlardan biridir ve birçok şirketin bilgi teknolojisinin, bulutların, vb. kullanımının artmasıyla bilgi güvenliğine ihtiyaç duyduğunu görüyorum. Eğer zaten ISO 9001 uyguladıysanız ve ISO 27001'i uygulamak istiyorsanız, ya da her iki standardı bir kerede uygulamayı planlıyorsanız, en iyi yaklaşım her iki standartın gereksinimlerini karşılayacak bir Entegre Yönetim Sistemi (EYS) oluşturmaktır. Bu, uygulamada çok fazla zaman kazandıracak ve aynı zamanda sistemi sürdürme ve her iki standart ile sürekli uyumu sağlama çabasını da azaltacaktır.

Ortak zeminle başlayın

Zaman ve emek tasarrufu için anahtar, iyi bir planlamadır. Uygulamayı hızlandırabileceğiniz en önemli yerlerden bazıları, her iki standardın aşağıdaki ortak gereksinimleridir:


Örgütün Bağlamı - Her iki standart da şirketle ilgili iç ve dış konuların tanımlanmasını gerektirir, ancak farklı perspektiflerden. ISO 9001, kaliteye odaklanır ve ISO 27001 bilgi güvenliğine odaklanır.

İlgili Taraflar ve Gereksinimleri - Kuruluşun, ilgili tarafları ve bunların kalite ve bilgi güvenliği ile ilgili gerekliliklerini belirlemesi gerekecektir. Bu gereksinimler aynı süreçle ele alınabilir ve ilgili tarafların entegre bir listesi oluşturulabilir.

Tanımlanacak Sorumluluk ve Yetki - KYS ve EYS içindeki rol ve sorumluluklar farklıdır, ancak yine de tanımlanmalıdır. Bu aynı şekilde yapılabilir.

Yetkinlik, Farkındalık, İletişim, Sistem Belgelerinin ve Kayıtlarının Kontrolü - Tüm bu gereklilikler sadece ISO 9001 ve ISO 27001 için değil, diğer standartlar için de geçerlidir - ve aynı şekilde ve aynı zamanda ele alınabilirler.

İç Denetim ve Yönetimin Gözden Geçirilmesi - Tabii ki, denetlenecek olan gereksinimler ve gözden geçirme girdileri ve çıktıları farklıdır, ancak sürecin gerçekleştirilme şekli aynıdır. Şirketin ve süreçlerinin büyüklüğüne ve karmaşıklığına bağlı olarak, iç denetim veya yönetimin gözden geçirilmesi aynı zamanda veya ayrı ayrı yapılabilir.

Her ikisi de uyumsuzluk ve düzeltici eylemler için sistemlere ihtiyaç duyar - Uygunsuzluk ve düzeltici eylemleri ele alma süreci her iki standart için de aynı olabilir ve bunları ayırmak için bir neden yoktur.

Tüm bu ortak unsurlarla, her ortak unsur için bir sistemi sürdürmek mantıklı görünebilir. Bazı gereksinimlerin aynı görünmesine ve aynı süreçle ele alınmasına rağmen, bunun her iki standart için de aynı sonuçları alacağı anlamına gelmediğini unutmayın. ISO 9001'in odak noktası kaliteli ürün ve hizmetler ile müşteri memnuniyeti üzerinedir, ISO 27001 ise bilgi güvenliğine odaklıdır; Bu nedenle, yönetim değerlendirmesinin sonuçları ve girdiler farklı olacaktır ve aynı şey yukarıda belirtilen genel hükümlerin çoğuyla aynı olacaktır.

ISO 27001'in ek gereksinimleri

Standartlar arasındaki farklar, birbirini tamamlayan, birbirini tamamlayan, iş başarısının artmasına katkıda bulunan katkılar: bilgi güvenliği, şirketin potansiyelini güvence altına alır ve kalite yönetimi bunu yaratır. Standartların ortak gerekliliklerini ele aldıktan sonra, şirket çoğunlukla 6 ve 8. maddelerde bulunan farklılıkları ele almalıdır. ISO 27001, EYS'ye aşağıdakileri ekler:

Bilgi güvenliği risk değerlendirmesi - Kuruluşun bilgi güvenliği risklerinin belirlenmesi ve değerlendirilmesi için bir metodoloji geliştirmesi gerekmektedir. Bu süreç ISO 9001'teki riskleri ve fırsatları ele almakla karıştırılmamalıdır, çünkü ikincisi çok daha az zorunluluğa sahiptir ve aynı metodolojiyi uygulamak ISO 9001'de bunaltıcı ve verimsiz olabilir.

Bilgi güvenliği risk yönetimi - Bu sürecin ISO 9001'de bir eşi yok, bu yüzden bağımsız olarak yapılabilir. Temel olarak kuruluşun, ISO 27001 Ek A'da listelenen bir veya daha fazla bilgi güvenliği kontrolünü uygulamaya koymasını gerektirmektedir.

Faydaları

İki yönetim sistemini bütünleştirerek, kombine kaynakların yönetim sistemini korumak ve iyileştirmek için zamandan ve paradan tasarruf etmesini sağlayan çok sayıda sinerji vardır.

Uluslararası en iyi uygulamayı kapsayan bütünsel bir yönetim sistemi yaklaşımıyla, kuruluşlar hem ISO 27001 hem de ISO 9001 standartlarına müşterilere, belgelendirme kuruluşlarına ve düzenleyici kurumlara uygunluğu gösterebilir. Buna ek olarak, kalite ve bilgi güvenliği yönetimini bütünleştirerek, organizasyonlar süreçlerinin kalitesini ve güvenliğini gösterebilir, ayrıca gelişmiş kurumsal performans, azalan risk, daha iyi müşteri memnuniyeti, gelişmiş itibar ve pazarlanabilirlik sayesinde önemli bir rekabet avantajı elde edebilirler.
 
Merhaba, ISO 27001 ve 9001 entegre sistemimiz kurulu.Sıkıntım 27001 denetiminde yana. 27001 standardına göre denetimde nelere bakılmakta? EK-A Uygulanabilirlik Bildirgesi her yıl yenilenmelidir? Envanter listesi, iş sürekliliği tatbikatı, ihlal kayıtları, yapılan testler ile ilgili verileri kayıt altına aldık. Denetim geçiren arkadaşlar var ise konu hakkında aydınlatılmak isterim.Teşekkürler.
 
Merhabalar,

2018 denetiminde bakılan konulardan aklımda kaldığı kadarını yazıyorum;

- Varlık envanterinde varlık sahibi ve risk sahiplerine bakıldı. Her ikisinin de ayrı kişiler olması istendi.
- Varlık envanteri ve bilgi envanterine bakıldı, incelendi. ( İkisinin ayrı olmasına dikkat edildi.)
- Bilgi etiketlemelerine öneride bulunuldu; Çok gizli, gizli, şirkete özel vs.
- Etiketlemeler ile ilgili çalışanların daha fazla bilgilendirilmesi istendi,
- Yaşanan ihlala kayıtlarına bakıldı ve değerlendirildi.
- İhlal olayı ile ilgili çalışanların bilgilendirilmesi istendi,
- Sistem odasına bakıldı, düzen değerlendirildi,
- Risk değerlendirmelerinin EkA ile eşleştirilmesi istendi.
- İş sürekliliği planları ve testlerine bakıldı, incelendi.
- Ofis gezilerinde ise çöplere varana kadar bakıldı. Masa üstü düzeni, kağıtların öğütücüye mi çöpe mi atıldığına bakıldı. Kişilerin yerlerinden bilgisayarlarını kilitleyerek kalkıp kalkmadığını gözlemlediler.
 

Online ISO Standart Eğitimleri

Geri
Üst