ISO 27001 belgesini almak isteyen kuruluşlar ne yapmaları gerektiğini ve nereden başlamaları gerektiğini bilmiyorlarsa ISO 27001 belgesini almak için aşağıdaki adımları uygulayabilir.
- Bir ISO 27001 danışmanlık ve Eğitim Şirketinden, ISO 27001 Bilgi Güvenliği Yönetim Sistemi Danışmanlık ve Eğitim Hizmeti alabilir ve bire bir uygulamalı olarak ISO 27001 Standardının maddelerine göre sistem kurma çalışması yapabilirler.
- ISO 27001 Danışmanlık ve Eğitim şirketinden hizmet almak istemeyen firmalar, sistem kurma çalışmasında bulunacak personellerine Bilgi Güvenliği Yönetim Sitemlerine ait Eğitimleri aldırarak kendileri sistem kurmayı tercih edebilirler. Fakat bu seçenekte, ISO 27001 Belgesi alması, ISO 27001 Eğitim ve Danışmanlık firmasından hizmet almaya göre zor ve tercih edilmeyen bir seçenektir.
- Birinci veya ikinci maddeye göre hareket eden kuruluşlar ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardına göre sistemi kurup dokümante ettikten sonra uygulamaları gerekmektedir.
- Sistem kurulup uygulamalar ile ilgili kayıtlar oluştuktan sonra akredite olmuş ISO 27001 belgelendirme kuruluşlarına başvuru yapılır.
- Kurum veya kuruluşlar ISO 27001 Bilgi Güvenliği standardına uygun olarak kurdukları Bilgi Güvenliği Yönetim Sisteminin uygulandığını bağımsız belgelendirme kuruluşlarına kanıtladıkları taktirde; Bağımsız belgelendirme kuruluşları adına denetim yapan denetçiler, kurulan sistemin standart ve şartlara göre yeterli olgunlukta olduğunu ve tüm kurum bileşenleri tarafından uygulandığını tespit ettikleri taktirde; Belgelendirme kuruluşuna ISO 27001 belgesinin verilmesini tavsiye ederler.
