ISO 27001:2017 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ CEN/CNENELEC DEĞİŞİKLİĞİ
Bilgi güvenliği ile ilgili yaklaşımlar uzun yıllardır vardı fakat ISO/IEC 27001:2005 standardı yayımlandığında sonra bilişim dünyasında tartışmalar vardı çünkü standart çok karmaşık bir yapıya ve standart atıf yapılan ek belgelere sahipti. Bu standardın Türkçeleştirilmesi 1 yıl sonra gerçekleşti ve TS ISO/IEC 27001:2006 yılında yayımlandı. Bilgi Güvenliği Yönetim sistemi BGYS aslında son derece yalın bir yönetim sistemidir. Çoğu zaman dış denetçilerin veya iç denetçilerin konuya hakim olmaması ya da farklı beklentiler içinde olması nedeniyle sahada sorunlar yaşanır. ISO standartlarının bu tartışmalarla ilgili de çözüm metotları vardı siz iç denetçi ya da dış denetçinin yazdığı uygunsuzluklara itiraz edebilirsiniz. VMİ Danışmanlık olarak yaptığımız projelerde gördüğümüz bazı eksiklikleri ya da bazı gereksinimleri kendi aramızda ve meslektaşlarımızla konuşuyorduk. Bu standardın isteklerimiz doğrultusunda revize edilmesi iyi olacağını belirtiyorduk. Türkiye’de ISO 27001 2013 yılında revizyonu kabul edilmişti. Son olarak Avrupa Standartlar Komitesi isteğiyle(CEN/CNENELEC) ISO 27001 2016 yılında revize edildi. Bu blog yazısı ISO 27001 danışmanlığı yapan kişi ve kurumların veya ISO 27001 danışmanlık hizmeti sırasında faydalanması amacıyla yazılmıştır.
27001:2017 DE HANGİ DEĞİŞİKLİKLER OLDU?
Şimdi soru aklınıza gelebilir. CEN/CNENELEC isteğiyle yapılan bu düzenlemede standart üzerinde hangi maddeler değişmiştir? Bu maddeler ISO 27001 standardını almak isteyen kurum ve kuruluşlara neler getirmiştir? ISO 27001:2017 Danışmanlığı yapan danışmanlar ne yapacak? Bu soruları şöyle cevaplamak mümkündür. CEN/CNENELEC) ISO 27001:2017 revizyonunda iki maddede değişiklik yapılmıştır. Standardın bu maddeleri 6.1.3 ve EK A Kontrol Maddelerinden 8.1 değişikliğe uğramıştır. Peki, CEN/CNENELEC değişikliği bizi neden ilgilendiriyor? Çünkü Türkiye de bir Avrupa Birliği çalışma grubu olan CEN/CNENELEC üyesidir. TÜRKAK henüz bu değişim ile ilgili bir akreditasyon değişikliği istememiştir. Yani elinizde var olan ISO 27001:2013 Bilgi Güvenliği Yönetim Standardı hala geçerliliğini korumaktadır. VMİ Danışmalık ISO 27001 danışmanlığı, siber güvenlik danışmanlığı, bilgi yönetimi sistemi danışmanlığı ve entegre raporlama konularında çalışmalar yürütmektedir.
BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ BGYS KURUMDAN KURUMA DEĞİŞİR Mİ?
TS EN ISO/IEC 27001:2017 Bilgi Güvenliği Yönetim Sistemi Standardı hazırlanan danışmanlık firmaları ve TS EN ISO/IEC 27001:2017 uygulacı kuruluşlar için panikleyecek bir durum yoktur. TS EN ISO/IEC 27001:2017 Bilgi Güvenliği belgelendirme denetimi esnasında CEN/CNENELEC değişimini dikkate almaları gerekmektedir. Görmüş olduğunuz gibi Bilgi Güvenliği Yönetim Sistemi BGYS 2005’te başlayan yolculuğuna 2016 ve 2017 yılında değişime uğrayarak devam etmektedir. 2017 yılının Mayıs ayında güncellenen TS EN ISO/IEC 27001:2017 standardının değişime uğrayan maddelerini sizler için açıklamaya devam ediyoruz. Elbette denetçilerin farklı yorumları olabilir fakat bu yorumlar CEN/CNENELEC değişiminin amacını sarsmayacak noktada olmalıdır. TS EN ISO/IEC 27001:2017 değişim amacı doğru okunmalıdır. VMİ Danışmanlık olarak tecrübelerimiz bize gösteriyor ki ISO 27001 standartı uygulamaları kurumdan kuruma değişiyor. Bunu da normal karşılamak gerekir çünkü bazı kurumların ihtiyaçları daha geniş iken bazı kurumlar daha dar alanda çalıştıklarından hazırlayacakları dokümanlar, politikalar, prosedürler, formlar ve yönetim dokümanları da farklılık içermektedir. Fakat danışmanlığını yaptığımız projelerde gördük ki bu yorumlama çoğu zaman dış denetimlerde gerçekleşiyor. Çünkü standardın gereklilikleri ile kurumların gereklilikleri çoğu zaman örtüşüyor. Örtüşmeyen durumların çok istisnai olduğuna şahit olduk.
ISO 27001 danışmanlık hizmetimiz sırasında gördük ki çoğu zaman bilgi teknolojileri, bilgi işlem veya IT bölümleri BGYS’nin gerekliliklerini tam olarak uygulamakta zorluklar çekiyorlar. Çoğu zaman ISO 27001 Danışmanlık hizmetinin gereksiz olduğunu düşünseler de bir süre sonra pes edip danışmanlık hizmetinin gerekli olduğunu anlıyorlar. Çünkü olay sadece doküman hazırlamak değil. Önemli olan kuruma, kuruluşa uygun terzi gibi bir Bilgi Güvenliği Yönetim Sistemi kurmak daha önemlidir. TS EN CEN/CNENELEC değişiminin ardından ISO/IEC 27001:2017 BGYS’nin Türkçesi var ben bunları okur ona göre yorumlar aksiyon alır, dokümanımı da standarda uygun olacak şekilde uygularım diyenler için ISO 27001:2017 Danışmanlığı hizmetine gerek yoktur. Unutmayalım ki her şeyin kendine has bir teknik dili vardır. ISO 27001 danışmanlığı alırsanız bu arkadaşlar sizin kılavuzunuz, rehberiniz, yol arkadaşınız olur ve ISO 27001 belgesini, ISO 27001 standardını kolayca alabilirsiniz. Standardın belgelendirme çalışması kapsamında hazırlanması gereken uygulanabilirlik bildirgesinin hazırlanması dahi çok önemli bir teknik çalışma ister. Kapsamı, bağlamı, prosedür ile talimat arasındaki farkı bilmeden dokümantasyon doğru ve uygun bir dokümantasyon yapısı oluşturulamaz. Bu blog yazımızda size yardımcı olması amacıyla TS EN ISO/IEC 27001:2017 Bilgi Güvenliği Yönetim Standardı çalışmalarını yürüten kuruluşlara yönelik bilgilendirici bir yazı olmasını hedefledik.
ISO 27001 DANIŞMANLIĞI HİZMETİ VEREN KURUMLARIN DİKKAT ETMESİ GEREKEN DEĞİŞİKLİKLER
CEN/CNENELEC tarafından yapılan değişiklik Türk Standartları Enstitüsü TSE tarafından da kabul edildi ve standart revize edildi TS EN ISO / IEC 27001:2017 Bilgi Güvenliği Yönetim Sistemi Standardı şeklinde yayımlandı. Burada “01.Genel” bölümüne bakıldığında şu değişiklik dikkati çekiyor: “Bilgi güvenliği yönetim sistemi, bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini risk yönetimi prosesini uygulayarak muhafaza eder ve ilgili taraflara risklerin doğru bir şekilde yönetildiğine dair güvence verir” ifadesi dikkat çekmektedir. Dikkatimizi çeken bir nokta ISO’nun her standardında risk yönetimi ve risk değerlendirmesine çok önem vermesi ve standartlarında bunu istemesidir. Risklerin geniş bir kadro ile belirlenmesi, belirlenen risklerin mantıklı bir risk yönetimi hesaplaması ile risk hesaplamasının yapılması, risklerin kabul edilebilir seviyelerinin belirlenmesi, belirlenen risklere karşı aksiyon planlarının oluşturulması gerekmektedir.
CEN/CNENELEC değişiminin ardından ISO 27001 kurum ve kuruluşları etkileyen standardın İç Kontrol Maddeleri ve Dış Kontrol Maddeleri şeklinde sınıfladığı hususları standardın 4.1 Kuruluş Bağlamının Anlaşılması maddesinde ISO 31001 Risk Management, ISO 31001:2009 Risk Yönetimi standardının 5.3 maddesinden faydalanabileceğini belirtmektedir. Buradan da anlayabileceğimiz gibi artık risk yönetimi faaliyetleri öncellikli gündemimiz olmalıdır. VMİ Danışmanlık olarak ISO 27001:2017 versiyonunda Risk Yönetimi ile ilgili olarak atıf yapılan ISO 31000 standardının risk yönetimi ile ilgili olarak: İç hususlar ve dış hususlar kısmında şunlar dikkate alınmalıdır. İç kontrol maddeleri için; kuruluşun yapısı, görev ve sorumluluklar, iş stratejileri, amaçları, kurumun kültürü, bilgi sistemleri, süreçleri ve tedarikçi sözleşmeleri dikkate alınmalıdır. Dış kontrol maddeleri için; ekonomik, kültürel, teknolojik, politik ve rekabetçi ortamın dikkate alınması gerekmektedir. ISO 27001 Danışmanları bu iç kontrol ve dış kontrol maddelerini, hususlarını belirledikten sonra proje ekiplerine anlatmaları ve ortaklaşa yapılan çalışmalarla kurumu etkileyecek olan hususların nasıl kontrol edileceğinin belirlenmesi ve bunların bir süreç yönetimine tabi tutulması gerekmektedir.
TS EN ISO/IEC 27001:2017 EK.A.16 BİLGİ GÜVENLİĞİ İHLAL OLAYI YÖNETİMİ
Siber güvenlik açısından da çok büyük önem taşıyan Bilgi Güvenliği Olayları, Bilgi Güvenliği İhlal Olayları ve Bilgi Güvenliği İhali Uygunsuzlukları ISO 27001:2017 de dikkat çeken başka kavramlar olarak önümüze çıkar. CEN/CNENELEC değişiminin ardından yayımlanan TS EN ISO/IEC 27001:2017’de bilgi güvenliği ihlal olaylarına farklı bir yaklaşım getirilmiştir. Şöyle ki: Standardın EK.A.16 Bilgi Güvenliği İhlal Olayı Yönetimi; Bilgi Güvenliği Olaylarının Raporlanması; Bilgi Güvenliği Açıklarının Raporlanması; Olası Bilgi Güvenliği İhlali Olaylarının önceden belirlenmesini; Bilgi Güvenliği Olaylarına Yanıt Verme; ve en önemlisi Bilgi Güvenliği Olaylarından Ders Çıkarma şeklinde çok doğru değişimler getirmiştir. Aslında var olan standart iyileştirilmiş desek daha yerinde olur. KÖK nedenlerin belirlenmesi ve uygunsuzluklarda tekrar eden uygunsuzlukların belirlenmesi başka bir bu standartta yer alan başka bir husustur.
TS ISO/IEC 27001:2017 VE SÜREKLİ İYİLEŞTİRME FAALİYELERİ
Bugün yönetişim hayatımızda çok iki kavram “sürdürülebilirlik” ve “sürekli iyileştirme” dir. Aslında herkesi kapsayan sürekli iyileştirme KAIZEN yaklaşımı ile literatüre girmiştir. Japoncada Kai “değişim” Zen ise “daha iyi” anlamına gelmektedir. Bilgi güvenliği yönetimi sistemi açısından bilgi güvenliğini kurumsal kültür haline getirmek ve sürekli iyileştirmek son derece yararlıdır. CEN/CNENELEC iyileştirmesinin ardından ISO 27001:2017 10.2. Sürekli İyileştirme başlığı yer almaktadır. Daha önce var olan DÖFİ’ler, İç ve Dış tetkikler, Uygunsuzlukların yanında “Sürekli İyileştirme” için ayrı bir başlık açılması son derece yerindedir. Çünkü 6.2 de Bilgi güvenliği amaçları ve bu amaçların başarılması için planlama maddesi oluşturulmuştur. ISO’nun mottosu haline gelmiş Planla, Uygula, Kontrol et, Önlem al, Ölç, Raporla, İyileştir yaklaşımını her zaman aklımızın bir kenarında tutmalıyız. Bilgi güvenliğinde amacın belirlenmesi, bu amaçların gerçekleştirebilmesi için aksiyon planlarının yapılması, planların hayata geçirilmesi, uygunsuzluklara karşı önlem alınması, faaliyelerin raporlanması, ölçülmesi, sonuçlardan ders çıkarılması hedeflenmiştir. Plan yapmak yetmez bunu uygula ve uygulaman ne kadar başarılı bunu ölç ve raporla diyor standart. Çünkü ölçemediğiniz şeyi kontrol edemezsiniz.
TS ISO/IEC 27001:2017 UYGULANABİLİRLİK BİLDİRGESİNİN YAPISI
Uygulanabilirlik bildirgesi: Kurum ve kuruluşların Bilgi Güvenliği Yönetim Sistemi-BGYS ilgili olarak kontrol amaçları ve kontrolleri açıklayan o kurumun BGYS yapısını gösteren rehber bir dokümandır. ISO 9001’deki kalite el kitabına benzeyen bu doküman daha işlevsel ve kontroller açısından daha yalın bir tablodur. Belgelendirme öncesinde veya belgelendirme denetimleri esnasında dahil edilen ve hariç tutulan kontrollerin belirlenmesinde önemli fayda sağlar. ISO 27001:2017’de 6.1.3 maddesinin “d” bendinde uygulanabilirlik bildirgesinin hazırlanması tavsiye edilmiştir.
BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ TS ISO/IEC 27001:2017 STANDARDI MADDE 4 KURULUŞUN BAĞLAMI
ISI 27001:2017 Standart maddesi: 4.1 Kuruluş bağlamı ve bağlamının anlaşılması; Kuruluşun iç faktör ve dış faktörlerinin analiz edilmesi. Risk analizlerinin yapılması, risklerin yanında fırsatlarında belirlenmesi ve yapılan risk analizinin belirli aralıklarla güncellenmesi.
ISI 27001:2017 Standart maddesi: 4.2 İlgili taraflarının ihtiyaçlarının belirlenmesi: Regülasyonlar, tedarikçiler, paydaşlar ve onların beklentilerinin belirlenmesi ve analiz edilmesi. Dış kaynaklı doküman olarak yasal mevzuatın listesinin yapılması, tedarikçilerin listelenmesi, varsa tedarikçi değerlendirme sistemlerinin kontrolü analizi bu kapsamdadır. Burada zorlu bir kayıt olmamakla birlikte ikna edici delileri de oluşturmanız lazımdır.
ISI 27001:2017 Standart maddesi: 4.3 Bilgi Güvenliği Yönetim Sistemi Kapsamının belirlenmesi: Kuruluşun kapsam sınırlarının belirlenmesi; bağlam ifadesi; varsa hariç tutmalar ve nedenleri; kurumun fiziksel sınırları, faaliyet alanı, faaliyet konusu, bağımlılıklar bu kapsamdadır.
ISI 27001:2017 Standart maddesi: 4.4 Bilgi Güvenliği Yönetim Sistemi; BGYS’nin operasyonel boyutları, BT yapısı, teknolojik unsurlar, altyapısı, fiziksel sınırlar, kalite yönetimi yapısı ve güvenlik incelenmektedir. Burada altyapının incelenmesi önemlidir çünkü elektriğin datanın olmadığı yerde bilgiden söz etmek bugünün şartlarında zordur.
BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ TS ISO/IEC 27001:2017 STANDARDI MADDE 5 LİDERLİK
Liderlik kavramı ile başlayalım. Liderlik nedir? Liderlik, çalıştığım kuruma, kuruluşa, topluma yarar sağlayan değişimi yöneten, yönetişimiyle değer üreten kişi ya da gruba denir. Lider tek olmak zorunda değildir. Yönetim kurulları bir liderlik müessesesidir.
ISO 27001:2017 Standart maddesi: 5.1 ISO 27001:2017’de liderlik maddesi ile ilgili yapılması gerekenleri şöyle sıralamak mümkündür. Yönetimin sisteme katılımı ibraz edilebiliyor mu? Yönetimin gözden geçirme toplantısı amaca uygun yapılıp kayda alınmış mı? BGYS için kaynak tesis edilmiş mi? Risk yönetimine liderliğin katkısı var mı?
ISO 27001:2017 Standart maddesi: 5.2 Bilgi Güvenliği Politikası; Burada çok büyük bir değişiklik gözükmemektedir. Politikanın içselleştirilmesi, görünür kılınması, politikanın amaç ve bağlama uygun olması, sürekli iyileştirme vaadi önemli bulunuyor.
ISO 27001:2017 Standart maddesi: 5.3 Kurumsal Roller, Yetki ve Sorumluluklar: Bilgi güvenliği yönetim sistemini yönetenler, denetleyenler, raporlayanların yetki ve sorumluluklarının belirlenmesi. İyileştirme imkânlarının kimler tarafından nasıl yapıldığının belirtilmesi gerekmektedir.
BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ TS ISO/IEC 27001:2017 STANDARDI MADDE 6 PLANLAMA
Planlama: Belirli bir amacı veya amaçları gerçekleştirmek amacıyla kaynakların planlanması, izlenecek yol ve süreçlerin geçmiş veriler, tecrübeler, öngörüler, trendler ışığında ele alınarak hedefleri gerçekleştirmek amacıyla uygulamaya konulmasıdır. BGYS 2017 de risk ve fırsatlarla ele alınması planlama açısından önemlidir.
ISO 27001:2017 Standart maddesi: 6.1 Risk ve Fırsatları Ele Alan Faaliyetler: Burada bilgi güvenliği risklerinin belirlenmesi, risklerin işlenmesi, denetlenmesi, ölçülüp raporlanarak gerekli öğrenmelerin sağlanması kastedilmektedir. Riskler kadar fırsatların da dokümante edilmesine dikkat etmek gerekir. Riskler, Fırsatlar, İyileştirme faliyetleri ve bunlarla ilgili aksiyonlar kontrol edilecektir. Riskler, risk seviyeleri, risklerin nerede olduğu, risk sahipleri belirlenmiş olması gerekir.
ISO 27001:2017 Standart maddesi: 6.1.2 Bilgi Güvenliği Risk Değerlendirmesi: Kurumdaki riskleri belirle, riskleri sınıflandır, riskleri seviyelendir, riskleri önceliklendir, riskleri hesapla, risk işleme faaliyetleri gerçekleştir. Riskleri önlemek için plan yap, riskleri önleyici faaliyetleri hayata geçir. Ölç, raporla, denetle, iyileştir.
ISO 27001 Standart maddesi: 6.1.3 Bilgi Güvenliği Risk İşleme: Risk planını yap, riskleri işle, çok önemli olan riskleri, yani yüksek seviyeli riskleri belirle ve bunlarla ilgili aksiyon al. Bu risklerini takip et, düzenli aralıklarla ölç ve raporla. Risk planını güncel tut. Riskleri sürekli takip et.
ISO 27001 Standart maddesi: 6.2 Bilgi Güvenliği Amaçları ve Bunlara Ulaşmak için Planlama: BGYS amaçlarını belirle, bu amaçlarına nasıl ulaşacağını planla, bu planların uygulanabilir olsun. Ölçülebilir olsun, denetlenebilir olsun. Kaynaklarını belirle. Risk analizi yap. Sürekli iyileştir.
BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ TS ISO/IEC 27001:2017 STANDARDI MADDE 7 DESTEK
Bilgi Güvenliği Yönetim Sistemi’nin uygulanması, iyileştirilmesi, denetlenmesi, ölçülmesi için gerekli olan kaynaklar destek faaliyetleri içinde yer almaktadır. Bu kaynakları sıralayacak olursak: Altyapı kaynakları, finansal kaynaklar, insan kaynakları, yazılımlar, teknolojik kaynaklar ve dış kaynaklar.
ISO 27001 Standart maddesi: 7.1 Kaynaklar: Uygun insan kaynağı, altyapı fonksiyonları, lisanslar, yazılımlar kontrol edilecek. Burada önemli olan iş sürekliliğinin sağlanması.
ISO 27001 Standart maddesi: 7.2 Yeterlilik: Bilgi güvenliğinin yönetilebilmeis için BGYS performansını etkileyen çalışanlarının yetkinliklerinin ve rollerinin belirlenmesi. BGYS Sorumlusu, IT Müdürü, BT Daire Başkanı, IT Uzmanı, İç Denetçiler…vs
ISO 27001 Standart maddesi: 7.3 Farkındalık: Bilgi güvenliği yönetim sistemi ile ilgili çalışanların bilgi sahibi olması. Bilgi güvenliği politikasına uygun hareket edilmesi gerekir. Çalışanlar BGYS hakkında bilgi sahibi olduğunu ispat etmeliler.
ISO 27001 Standart maddesi: 7.3 İletişim: Bilgi güvenliği yönetim sistemi ile ilgili olarak iletişimin etkili bir şekilde yapılması. İç iletişim, dış iletişimin etkili bir şekilde sağlanması.
ISO 27001 Standart maddesi: 7.5 Dokümante Edilmiş Bilgi: BGYS’nin zorunlu dokümantasyon yapısının en uygun şekilde oluşturulması. Dokumantasyonun uygun şekilde bir ortamda bulundurulması gerekir. Var olan dokümanın uygun ortamda bulundurulması, arşivlenmesi, güncellenmesi bu kapsamdadır.
BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ TS ISO/IEC 27001:2017 STANDARDI MADDE 8 OPERASYON
Bilgi Güvenliği Yönetim Sistemi faaliyetlerinin güvenli bir şekilde uygulanabilmesi için operasyonel faaliyetler bu kapsamda değerlendirilmektedir. BGYS süreçleri Bilgi güvenliğini sağlayacak şekilde süreç yönetimine tabi tutulmalıdır.
ISO 27001 Standart maddesi: 8.1 İşletimsel Planlama ve Kontrol; ISO 27001 Standart maddesi: 8.2 Bilgi Güvenliği Risk Değerlendirmesi; ISO 27001 Standart maddesi: 8.3 Bilgi güvenliği, risk işleme, 8. Madde operasyon kapsamında ele alınmaktadır.
BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ TS ISO/IEC 27001:2017 STANDARDI MADDE 9 PERFORMANS DEĞERLENDİRME
Bu maddede bilgi güvenliği yönetim sisteminin performansını izlemek, değerlendirmek ve ölçmek amaçlanmaktadır. Uygunsuzluklar, DÖFİ’ler, İç denetimler, dış denetimler, sızma testleri, zafiyet taramaları, sosyal mühendislik çalışmaları, bilgi güvenliği eğitimleri ve yönetimin gözden geçirme toplantısı, fırsatların tespiti, ölçme değerlendirme peformans değerlendirme içindendir.
BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ TS ISO/IEC 27001:2017 STANDARDI MADDE 10 İYİLEŞTİRME
Kalite yönetim sistemlerin en önemli kavramlarından biri de sürekli iyileştirmedir. Sürekli iyileştirme işyerinde çalışma kalitesini artırmak amacıyla yapılan iyileştirme ve geliştirme faaliyetleridir. İyileştirme ile kalite artar, müşteri memnuniyeti oluşur, hatasızlık hizmet üretimi gibi fayda sağlar. Bu kapsamda ISO 27001 Standart maddesi: 10.1 Uygunsuzluk ve Düzeltici Faaliyet; ISO 27001 Standart maddesi: 10.2 Sürekli İyileştirme maddeleri iyileştirme faaliyetleri kapsamında yer almaktadır. Uygunsuzlukları kaydet, Hatalardan ders al, riskleri kontrol et, iyileştirmelerin sonuçlarını değerlendir.
VMI Danışmanlık Hakkında
VMİ Danışmanlık, Entegre Raporlama, Üçüncü Göz Danışmanlık Hizmeti, Bilgi Yönetimi, Bilgi Güvenliği, Siber Güvenlik, Sürdürülebilir Kalkınma ve dijital iletişim alanlarında faaliyet gösteren bir danışmanlık firmasıdır. VMI, danışmanlık hizmetlerinde uygulamacı danışmanlık faaliyetleriyle öne çıkar. Amacımız Bilgi Çağı’na uygun hizmetler sunarak çalıştığımız kurumlara değer katmaktır. VMI Consulting olarak, bilgi güvenliği danışmanlığı hizmetlerimiz altında ISO 27001:2017 Danışmanlığı, COBIT5 denetimleri, ITIL, PCI DSS Veri Güvenliği Standardı hizmetlerimiz bulunmaktadır.