ISO 27001:2022 İç Tetkikçi Eğitimi

ISO 27001:2022 İÇ TETKİKÇİ EĞİTİMİ

BGYS bilgisini iç denetim pratiğine dönüştüren uygulamalı eğitim.

Secure Fors ISO 27001 İç Tetkikçi Eğitimi; ISO 27001, bilgi güvenliği, risk yönetimi ve Annex A kontrollerini ele aldıktan sonra kurum içinde etkin iç denetçi yetiştirmeye odaklanır. Katılımcılar yalnızca standardı öğrenmez; tetkik planı hazırlama, kanıt toplama, soru sorma, uygunsuzluk yazma ve raporlama pratiği yapar.

Eğitim Akışını İncele Eğitim Planı Talep Et
ISO 27001:2022 BGYS Temelleri ISO 19011 Yaklaşımı Uygulamalı Tetkik Raporlama Pratiği
Eğitim Kazanım Haritası
UYGULAMALI
Standart bilgisi
madde 4-10
Kontrol anlayışı
Annex A
Tetkik pratiği
kanıt
93 Annex A kontrolü
4 kontrol teması
5 tetkik aşaması
2022 ISO/IEC 27001 standardının güncel gereklilikleri ve Annex A yapısı üzerinden eğitim.
93 Annex A kontrolünü ezberlemek yerine denetlenebilir kanıta dönüştürme yaklaşımı.
ISO 19011 Tetkik prensipleri, denetim programı, denetim yürütme ve tetkikçi yetkinliği yaklaşımı.
Pratik Vaka çalışması, kontrol listesi, mülakat, bulgu yazımı ve raporlama egzersizleri.
EĞİTİMİN AMACI

Bu eğitim neden yalnızca standart anlatımı değildir?

ISO 27001 İç Tetkikçi Eğitimi, katılımcının bilgi güvenliği yönetim sistemi mantığını anlamasını ve bu sistemi kurum içinde objektif şekilde denetleyebilmesini hedefler. Bu nedenle eğitim, ISO 27001 maddelerini ve bilgi güvenliği temel kavramlarını anlattıktan sonra iç tetkik planlama, kanıt toplama, gözlem yapma, bulgu sınıflandırma ve raporlama pratiğine geçer.

Bir iç tetkikçi yalnızca “kontrol var mı?” diye bakmaz. Kontrolün kapsamla ilişkisini, riskle bağlantısını, uygulanma kanıtını, etkinliğini ve sürekli iyileştirmeye katkısını değerlendirir. Eğitim bu bakış açısını kuruma kazandırmak için tasarlanmıştır.

Hedef: Kurum içinde ISO 27001 gerekliliklerini bilen, denetim etiğine uygun çalışan, uygulanabilir bulgu yazabilen ve yönetim sistemine değer katan iç tetkikçiler yetiştirmek.
ISO 27001 sertifikası sürdürülebilir bir BGYS ister. Belgelendirme öncesi ve sonrasında iç tetkikler, BGYS'nin gerçekten işletilip işletilmediğini ve iyileştirme döngüsünün çalışıp çalışmadığını gösterir.
İç denetçi standardı iş süreçlerine çevirmelidir. Madde 4-10 ve Annex A kontrolleri, kurumun gerçek süreçleri, varlıkları, riskleri, tedarikçileri ve kullanıcı davranışlarıyla ilişkilendirilmelidir.
Denetim kanıtı yorumlama becerisi ister. Politika dokümanı, kayıt, log, eğitim katılımı, risk kaydı, erişim listesi veya tedarikçi sözleşmesi tek başına yeterli olmayabilir; tetkikçi etkinliği değerlendirmelidir.
İyi yazılmış bulgu iyileştirme üretir. Belirsiz ve genelleyici bulgular aksiyona dönüşmez. Eğitimde uygunsuzluk, gözlem ve iyileştirme fırsatı ayrımı pratik örneklerle çalışılır.
KAZANIMLAR

Katılımcılar eğitim sonunda iç tetkik döngüsünü baştan sona uygulayabilecek seviyeye gelir.

Eğitim, ISO 27001 bilgisiyle tetkikçi davranışını birleştirir. Katılımcı; standardı yorumlama, denetim sorusu üretme, kanıt değerlendirme ve bulgu raporlama konusunda pratik yapar.

BGYS VE ISO 27001

Yönetim sistemi mantığını kavrar.

Katılımcılar ISO 27001'in yalnızca teknik kontrollerden ibaret olmadığını; kapsam, liderlik, risk, destek, operasyon, performans ve iyileştirme döngüsüyle yaşayan bir BGYS olduğunu öğrenir.

  • Madde 4-10 gereklilikleri
  • PUKÖ yaklaşımı ve sürekli iyileştirme
  • Risk tabanlı BGYS bakış açısı
ANNEX A KONTROLLERİ

Kontrolleri kanıta çevirmeyi öğrenir.

93 kontrol, organizasyonel, insan, fiziksel ve teknolojik tema yapısıyla ele alınır; her kontrolün nasıl denetlenebilir hale geleceği örneklerle işlenir.

  • Kontrol amacı ve uygulama kanıtı
  • Risk ve kontrol ilişkisinin kurulması
  • Uygulanabilirlik Bildirgesi mantığı
TETKİK PLANLAMA

Denetim kapsamı ve programı oluşturur.

Eğitim, tetkik hedefi, kapsamı, kriteri, yöntemleri, örnekleme yaklaşımı, takvim ve katılımcı planlamasını uygulamalı olarak gösterir.

  • İç tetkik programı hazırlama
  • Denetim kapsamı ve kriter belirleme
  • Risk odaklı örnekleme yaklaşımı
MÜLAKAT VE KANIT

Doğru soruyu sorar, doğru kanıtı arar.

Katılımcılar süreç sahipleriyle görüşme yapma, açık uçlu soru sorma, kayıt inceleme, çelişki yakalama ve objektif kanıtı ayırt etme pratiği yapar.

  • Tetkik soru teknikleri
  • Doküman, kayıt ve uygulama kanıtı
  • Objektiflik ve tarafsızlık ilkeleri
BULGU YAZIMI

Uygunsuzluğu net ve aksiyona dönük yazar.

Majör/minör uygunsuzluk, gözlem ve iyileştirme fırsatı ayrımı; kriter, durum, kanıt ve etki bağlantısıyla uygulamalı olarak çalışılır.

  • Bulgu sınıflandırma
  • Kriter-durum-kanıt-etki yapısı
  • Düzeltici faaliyet mantığı
RAPORLAMA VE TAKİP

Yönetilebilir tetkik raporu üretir.

İç tetkik raporunun yalnızca eksik listesi değil, yönetim sisteminin performansını ve iyileştirme alanlarını gösteren karar dokümanı olması hedeflenir.

  • Yönetici özeti hazırlama
  • Aksiyon planı ve sorumlu atama
  • Takip tetkiki ve kapanış kontrolü
EĞİTİM AKIŞI

ISO 27001 bilgisinden uygulamalı iç tetkik simülasyonuna uzanan yapılandırılmış program.

Program, kurumun ihtiyacına göre bir veya iki günlük formatta planlanabilir. Kurum içi örnekler, süreçler ve kontrol listeleri kullanılarak uygulama ağırlığı artırılabilir.

01 Bilgi güvenliği ve BGYS temelleri Gizlilik, bütünlük, erişilebilirlik, varlık, tehdit, zafiyet, risk ve kontrol kavramları ortaklaştırılır.
02 ISO 27001:2022 madde yapısı Kurum bağlamı, liderlik, planlama, destek, operasyon, performans değerlendirme ve iyileştirme gereklilikleri ele alınır.
03 Risk, SoA ve Annex A kontrolleri Risk değerlendirme, risk işleme, Uygulanabilirlik Bildirgesi ve 93 kontrolün denetim bakışıyla yorumlanması çalışılır.
04 ISO 19011 ve tetkik prensipleri Etik davranış, tarafsızlık, kanıta dayalı yaklaşım, mesleki özen, gizlilik ve risk tabanlı tetkik yaklaşımı anlatılır.
05 Tetkik planı ve kontrol listesi Örnek bir BGYS kapsamı için tetkik planı, soru seti, kontrol listesi ve doküman talep listesi hazırlanır.
06 Uygulamalı tetkik simülasyonu Katılımcılar süreç sahibi rolüyle görüşme yapar, kanıt ister, not alır ve bulgu adaylarını değerlendirir.
07 Bulgu yazımı ve raporlama Uygunsuzluk, gözlem ve iyileştirme fırsatları; kriter, kanıt, etki ve öneri yapısıyla rapora dönüştürülür.
08 Ölçme ve kapanış Ölçme sınavı, vaka değerlendirmesi, soru-cevap ve kurum içi iç tetkik olgunluğu için gelişim önerileriyle program tamamlanır.
EĞİTİM MODÜLLERİ

Kapsam, denetim ve uygulama dengesini birlikte kuran içerik.

M1
ISO 27001 ve bilgi güvenliği yönetimi BGYS amacı, risk tabanlı yönetim sistemi yaklaşımı, kapsam belirleme, paydaş beklentileri ve yönetim taahhüdü.
M2
Standart maddeleri ve denetim kriterleri Madde 4-10 gerekliliklerinin iç tetkik kriterine çevrilmesi, doküman ve kayıt örnekleri.
M3
Annex A, risk ve Uygulanabilirlik Bildirgesi Organizasyonel, insan, fiziksel ve teknolojik kontrollerin risk, SoA ve kanıt ilişkisi.
M4
İç tetkik yönetimi ve ISO 19011 yaklaşımı Tetkik prensipleri, tetkik programı, planlama, denetçi yetkinliği, gizlilik ve tarafsızlık.
M5
Kanıt toplama ve görüşme teknikleri Süreç sahibi mülakatı, açık uçlu soru, örnekleme, kayıt inceleme, gözlem ve kanıt değerlendirme.
M6
Bulgu, raporlama ve düzeltici faaliyet Uygunsuzluk yazımı, etki analizi, yönetici özeti, aksiyon planı, takip tetkiki ve kapanış doğrulama.
UYGULAMALI PRATİKLER

Katılımcıların gerçek iç tetkik ortamında ihtiyaç duyacağı beceriler eğitim içinde çalışılır.

Secure Fors, eğitimi yalnızca slayt anlatımı olarak konumlandırmaz. Katılımcıların karar verdiği, soru sorduğu, kanıt yorumladığı ve bulgu yazdığı pratiklerle öğrenme kalıcı hale getirilir.

VAKA ÇALIŞMASI Örnek kurum BGYS kapsamı Katılımcılar örnek bir kurum senaryosu üzerinden kapsam, süreç, varlık ve risk ilişkisini değerlendirir.
KONTROL LİSTESİ Tetkik soru seti hazırlama Madde ve Annex A kontrolleri için denetlenebilir, açık ve kanıt odaklı soru setleri oluşturulur.
MÜLAKAT Süreç sahibi görüşmesi Katılımcılar süreç sahibiyle görüşme simülasyonu yapar; soru sorma, dinleme ve not alma pratiği kazanır.
KANIT ANALİZİ Doküman ve kayıt inceleme Politika, risk kaydı, erişim listesi, eğitim kaydı ve log örnekleri üzerinden objektif kanıt değerlendirilir.
BULGU YAZIMI Uygunsuzluk oluşturma Kriter, durum, kanıt ve etki bağlantısıyla aksiyon alınabilir uygunsuzluk ifadeleri yazılır.
RAPORLAMA Tetkik raporu taslağı Yönetici özeti, bulgu listesi, risk önceliği ve düzeltici faaliyet takip tablosu hazırlanır.
KİMLER KATILMALI

BGYS'nin işletilmesinde, denetlenmesinde veya sertifikasyon hazırlığında rol alan ekipler için uygundur.

Bilgi Güvenliği Yöneticileri
BGYS Sorumluları
İç Denetim Ekipleri
Risk ve Uyum Ekipleri
BT ve Siber Güvenlik Ekipleri
Kalite Yönetim Temsilcileri
Süreç Sahipleri
ISO 27001 Proje Ekipleri
ÇIKTILAR

Eğitim sonunda kurum içi iç tetkik programını destekleyecek somut materyaller oluşur.

Katılımcı kazanımları

  • ISO 27001:2022 gerekliliklerini denetim bakışıyla yorumlama
  • Annex A kontrolleri için objektif kanıt arama
  • İç tetkik planı ve kontrol listesi hazırlama
  • Görüşme, soru sorma ve örnekleme tekniği kullanma
  • Uygunsuzluk, gözlem ve iyileştirme fırsatı ayrımı yapma
  • Tetkik raporu ve aksiyon takip yaklaşımı oluşturma

Kurum çıktıları

  • Eğitim katılım ve ölçme kayıtları
  • Örnek iç tetkik planı
  • Örnek kontrol listesi ve soru seti
  • Vaka çalışması ve bulgu örnekleri
  • Tetkik raporu taslak yapısı
  • Sertifikasyon hazırlığı için iç denetim olgunluğu katkısı

Kurum içinde ISO 27001'i denetleyebilen yetkin ekipler yetiştirin.

Secure Fors ile ISO 27001 İç Tetkikçi Eğitimini kurumunuza özel vaka, kontrol listesi ve uygulamalı raporlama pratiğiyle planlayın.

Eğitim Planı Talep Et

Metodoloji referansları: ISO/IEC 27001:2022 Information Security Management Systems, ISO 19011:2018 Guidelines for Auditing Management Systems.

ISO 27001:2022 İç Tetkikçi Eğitimi

ISO/IEC 27001:2022 standardı, bilgi güvenliği yönetim sistemi (ISMS) için gereken şartları belirler. İç tetkikçi eğitimi, organizasyonun kendi içinde ISO 27001 standardının gerekliliklerini nasıl değerlendireceğini, doğrulayacağını ve iyileştireceğini öğreten önemli bir süreçtir. Bu eğitim, iç tetkikçilerin belirli bilgi ve becerilerle donatılmasını sağlar ve organizasyonun sürekli gelişimini sağlamak için değerli bir katkı sağlar. Bu eğitim kapsamında kurumunuzdaki ilgili personele  standardın yeni isterlerine uygun eğitim veriyoruz.

Hizmetimiz Hakkında Temel Bilgiler

Siber güvenlik GAP analizimiz ile güvenlik düzeyinizi zirveye taşıyın.

 

    • Bilgi Güvenliği ve Temel İlkeler

    • ISMS Yönetim Sistemi Modeli ve Süreçleri

 

    • Kapsamın Belirlenmesi

    • Liderlik ve Taahhütler

    • Politikalar ve Planlama

    • Risk Değerlendirmesi ve İş Sürekliliği

    • Kaynak Yönetimi

    • Bilgi Güvenliği Eğitimi ve Farkındalık

    • İzleme ve İyileştirme

 

    • Tetkik Planlaması ve Hazırlığı

    • Tetkik Uygulama ve Veri Toplama

    • Bulguların Değerlendirilmesi ve Raporlama

    • Doğrulama ve İzleme 

    • İç Tetkik Kavramı ve Amacı

 

    • İletişim ve Soru Sorma Teknikleri

    • Objektif ve Tarafsız Değerlendirme

    • Raporlama ve Sonuçların İletimi

    • Etik İlkeler ve Çatışma Durumları

 

    • Gerçek Hayat Senaryolarında İç Tetkik Simülasyonları

    • Örnek Tetkik Raporları ve İyileştirme Önerileri

 

    • Tetkik Sonuçlarının Analizi

    • Hata ve Eksikliklerin Giderilmesi

    • İyileştirme Fırsatlarının Belirlenmesi

Ölçme Sınavı 

Markanızı Güvende Kılın!

Bizimle hemen çalışmaya başlayabilirsiniz bu sayede markanız ve ağlarınız güvende kalsın.

Hemen Teklİf Al!

Bize Güvenen REFERANSLARIMIZ

Hem güvenlik hem de eğitim süreçlerinde bize güvenen onlarca markamızı inceleyebilirsiniz.

Sizde Aramıza Katılın

Sizi Geliştirecek EĞİTİMLERİMİZ

Sektörde öne çıkmanızı sağlayacak olan güncel eğitimlerimiz ile fark yaratın.

ISO 27001:2013’ten ISO 27001:2022’ye Geçiş Eğitimi

ISO 27001:2013 versiyonuna göre Bilgi Güvenliği Yönetim Sistemi (BGYS) kurmuş şirketler için, ISO 27001:2022 versiyonuna geçiş yapmak büyük bir adımdır. Bu eğitimin amacı, bu geçiş sürecini kolaylaştırmak ve kuruluşların yeni standartlara uyum sağlamalarına yardımcı olmaktır.

Bilgi Al
SECURE FORS

Beyaz Şapkalı Hacker Eğitimi

CEH v11 içerik planına uygun hazırlanan eğitimimiz 20 modülde 125 konu başlığını ele almaktadır. Eğitimin amacı, katılımcılara etik ve legal sınırlar içinde siber saldırıların gerçekleşme yöntemleri aktarılırken, bu saldırılardan nasıl korunacağı bilgisini öğretilmektedir. Sizde gelişimiz için Secure Fors eğitimlerine başlayın.

Bilgi Al
SECURE FORS

Tabletop Exercise

Kurumlar saldırganlar tarafından hacklendikten sonra birimler arası iletişim ve acil müdahale noktasında krizler çıkabilmekte. Hacklenme durumunda kriz yönetimi yüksek seviyede stres içerdiği için karmaşa ve kaos kaçınılmaz olmakta. Bu tür durumlarda, birimler arasında uyumlu bir ekip çalışması yapılması gerekir.

Bilgi Al
SECURE FORS

Bilgi Güvenliği Farkındalık Eğitimi

Kurum çalışanlarınızın bilgi güvenliği konusundaki olgunluğu kritik rol oynamaktadır. Bir maildeki linke tıklama ya da sosyal mühendislik senaryolarına maruz kalma sonucu şirketiniz hem para hem de itibar kaybı yaşayabilir. Basit ama oldukça etkili tekniklerle hackerlar şirket çalışanlarınızı hedef alabilir. Klasik bir eğitimin dışına çıkarak insan beyninin çalışma prensiplerinden güncel atak senaryolarına kadar geniş bir eğitim programı hazırladık. Bu eğitim sayesinde çalışanlarınızı ve şirketinizi saldırganlardan koruyabilirsiniz.

Bilgi Al
SECURE FORS

KVKK Eğitimi

6698 sayılı kanununa aykırı hareket etmemek için, KVKK (Kişisel Verilerin Korunması Kanunu) eğitimi, kişisel veriye temas eden şirketlerin çalışanlarına veri koruma bilinci kazandırmak amacıyla verilen bir eğitimdir. Bu eğitimde, KVKK’nın amaçları, ilkeleri ve kuralları gibi temel konular ele alınır. Secure Fors olarak hazırladığımız KVKK eğitimi içeriğinde, veri güvenliği, kişisel verilerin toplanması, işlenmesi, saklanması, aktarılması ve imha edilmesiyle ilgili yasal zorunlulukları kapsar.

Bilgi Al
SECURE FORS

Eğitimlerimiz Hakkında Detaylı Bilgi Almak İçin Bize Ulaşın