Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
ISO 27001 BGYS DOKUMANTASYON
EĞİTİMİ
EĞİTİMİNDEN KİMLER
YARARLANABİLİR
www.ictsert.com.tr2
Çalı tı ı i yerinde ISO 27001 Bilgi Güvenli i Yönetimş ğ ş ğ
Sistem...
EĞİTİMİN AMACI
www.ictsert.com.tr3
Sistem kurucularının ISO 27001 Bilgi Güvenli i Yönetimğ
Sistemi standardı ile ilgili d...
EĞİTİM İÇERİĞİ
14/04/14www.ictsert.com.tr4
• Bölüm 1: Tanımlar
• Bölüm 2: ISO 27001 Standardına Göre Doküman
Ve Kayıtlar
•...
www.ictsert.com.tr5
TANIMLAR
14/04/14
BÖLÜM 1
DOKÜMANTASYON
www.ictsert.com.tr6
Doküman : Ürün veya hizmeti, istenilen kalite artlarındaş
sa layabilmek için ürünün vey...
TANIMLAR
www.ictsert.com.tr7
Kontrollü : En son güncel nüshalarının kullanıcısında
bulundurulması zorunlu olan dokümanlar...
www.ictsert.com.tr8
Veri : Ürün veya hizmet özellikleri, proses bilgileri ve firma ile
ilgili problemleri tanımlama, kayd...
www.ictsert.com.tr9
Dı Kaynaklı Dokümanş : Hazırlama onaylama ve
de i ikliklerin günceliklerin dı kurum veya kurulu larğ ...
DOKÜMAN TİPLERİ VE ORTAMLARI
www.ictsert.com.tr10
Tipleri:
Yazılı, resim, proje, ses, görüntü
Ortamları
Ka ıt, manyetik ...
KAYIT NEDİR?
www.ictsert.com.tr11
 Kayıt Nedir? Elde edilen sonuçları beyan eden veya
gerçekle tirilen faaliyetin delilin...
Doküman ile Kayıt arasındaki fark
nedir?
www.ictsert.com.tr12
Doküman bir faaliyetin ne zaman, kim
tarafından ve nasıl ya...
www.ictsert.com.tr13
ISO 27001 STANDARDINA
GÖRE DOKUMAN VE
KAYITLAR
14/04/14
BÖLÜM 2
www.ictsert.com.tr14
4.2 BGYS’nin kurulması ve yönetilmesi
A) Herhangi bir dı arda bırakmanın ayrıntıları ve açıklamasın...
www.ictsert.com.tr15
4.2 BGYS’nin kurulması ve yönetilmesi
H) Artık Riskin Dokümante Edilmesi
J) Uygulanabilirlik Bildi...
www.ictsert.com.tr16
4.3 Dokümantasyon gereksinimleri
c) BGYS’yi destekleyici prosedürler ve kontroller,
e) Risk de erl...
www.ictsert.com.tr17
4.3 Dokümantasyon gereksinimleri
4.3.2 Dokümanların kontrolü
g) Dı kaynaklı dokümanların tanınması...
www.ictsert.com.tr18
5 Yönetim sorumlulu uğ
5.2.2 E itim, farkında olma ve yeterlilikğ
d) E itim, ö retim, beceriler, d...
www.ictsert.com.tr19
6 BGYS iç denetimleri
Denetimlerin planlanması ve gerçekle tirilmesindeki ve sonuçlarınş
raporlanma...
www.ictsert.com.tr20
7 BGYS’yi yönetimin gözden geçirmesi
Yönetim, kurulu un BGYS’sini planlanan aralıklarla (en az yıld...
www.ictsert.com.tr21
8 BGYS iyile tirmeş
8.2 Düzeltici faaliyet
Kurulu tekrarları engellemek için, BGYS gereksinimleriy...
www.ictsert.com.tr22
8 BGYS iyile tirmeş
8.3 Önleyici faaliyet
Kurulu tekrar ortaya çıkmalarını önlemek için, BGYSş
ger...
www.ictsert.com.tr23
 BGYS POL T KASIİ İ
 KURULU , BGYS YÖNET M S STEM N N KAPSAMIŞ İ İ İ İ
 R SK YAKLA IMI VE DE ERLEN...
www.ictsert.com.tr24
A.7 Varlık yönetimi
A.7.1.1 Varlıkların envanteri
Kontrol
Tüm varlıklar açıkça tanımlanmalı ve ön...
www.ictsert.com.tr25
A.8 nsan kaynakları güvenli iİ ğ
A.8.1.1 Roller ve sorumluluklar
Kontrol
Çalı anlar, yükleniciler...
www.ictsert.com.tr26
A.10 Haberle me ve i letim yönetimiş ş
A.10.1.1 Dokümante edilmi i letim prosedürleriş ş
Kontrol
...
www.ictsert.com.tr27
A.10.3 Sistem planlama ve kabul
A.10.3.2 Sistem kabulü
Kontrol
Yeni bilgi sistemleri, sistem yüks...
www.ictsert.com.tr28
A.10.8 Bilgi de i imiğ ş
A.10.8.1 Bilgi de i im politikaları ve prosedürleriğ ş
Kontrol
Tüm ileti...
www.ictsert.com.tr29
 A.10.10 zlemeİ
 A.10.10.1 Denetim kaydetme
 Kontrol
 Kullanıcı faaliyetleri, ayrıcalıkları ve bi...
www.ictsert.com.tr30
A.11 Eri im kontrolüş
A.11.1.1 Eri im kontrolü politikasış
Kontrol
Eri im için i ve güvenlik gere...
www.ictsert.com.tr31
A.11.3.3 Temiz masa ve temiz ekran politikası
Kontrol
Ka ıtlar ve ta ınabilir depolama ortamları i...
www.ictsert.com.tr32
A.11.7 Mobil bilgi i leme ve uzaktan çalı maş ş
A.11.7.2 Uzaktan çalı maş
Kontrol
Uzaktan çalı ma...
www.ictsert.com.tr33
A.12.5 Geli tirme ve destekleme proseslerinde güvenlikş
A.12.5.1 De i im kontrol prosedürleriğ ş
K...
www.ictsert.com.tr34
A.13 Bilgi güvenli i ihlal olayı yönetimiğ
A.13.1.1 Bilgi güvenli i olaylarının rapor edilmesiğ
Ko...
www.ictsert.com.tr35
A.13.2.3 Kanıt toplama
Kontrol
Bir bilgi güvenli i ihlal olayından sonra bir ki i veya kurulu a ka...
www.ictsert.com.tr36
A.15 Uyum
A.15.1.1 Uygulanabilir yasaları Tanımlanma
Kontrol
 lgili tüm yasal, düzenleyici ve söz...
14/04/14www.ictsert.com.tr37
DOKÜMANTASYON
OLUŞTURMA
BÖLÜM 3
DOKÜMANTASYON OLUŞTURMA
www.ictsert.com.tr38
 Mevcut Durum Analizi ve Planlama
 Listeleme ve Sınıflandırma
 Doküman Haz...
Mevcut Durum Analizi ve Planlama
www.ictsert.com.tr39
 Elimizde hangi dokümanlar var kurum içi kurum dı ış
 Bu dokümanla...
Listeleme ve Sınıflandırma
www.ictsert.com.tr40
 Öncelikle dokümanların sınıflandırılması yapılır. Örnek
Prosedür i talim...
Doküman Hazırlama Onaylama
Yayınlama
www.ictsert.com.tr41
 Mevcut elimizde olanların güncellemesi yapılır.
 Elimizde olm...
Gözden Geçirme
www.ictsert.com.tr42
 Hazırlanan dokümanlar uygulanır
 Aksayan yönler belirlenir.
14/04/14
Güncellenmesi
www.ictsert.com.tr43
 Bir sistematik içerisinde dokümanlarda aksayan noktalar
de i tirilir ve tekrar uygula...
Dokümantasyonda Etken Olan Dış
Faktörler
www.ictsert.com.tr44
 Mü teri Talepleriş
 Tedarikçi ve ürün gerekleri
 Yasal a...
ÖNEMLİ!
www.ictsert.com.tr45
Sistemin dokümante edilmesi a amasında mevcut sistemin;ş
 olması gerekti i gibi de il,ğ ğ
...
ÖNEMLİ!
www.ictsert.com.tr46
BGYS Dokümantasyonu’ nun en önemli özelli i güncel olanı, yani oğ
günün uygulamalarını yansı...
BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ
DOKÜMANTASYON YAPISI
www.ictsert.com.tr47
BGYS POLİTİKASI
BGYS EL KİTABI
BGSY POLİTİKALARI...
www.ictsert.com.tr48
Dokümanların zlenebilirli i ve birbiriden ayırt edilebilmesiİ ğ
çin:İ
 Kurulu un Adı,ş
 Dokümanın A...
www.ictsert.com.tr49
Örnek doküman ablonuş
14/04/14
DOKÜMAN ŞABLONLARI
ÖRNEK BGYS POLİTİKASI
www.ictsert.com.tr50
 "Rekabet ortamının sa lanması, korunması ve geli tirilmesi amacıyla mal ve hi...
Prosedürler
www.ictsert.com.tr51
Prosedürler
NE gerçekle tirilecekş
Etkinlik NEDEN gerçekle ecekş
Etkinlik NEREDE gerç...
Prosedürler
www.ictsert.com.tr52
Örnek cümle
Süreçten belli aralıklarla numune alınarak gerekli deneyler
yapılır. (Yanlı...
Prosedürler yazılırken
www.ictsert.com.tr53
Basit sözcükler kullanılmalı
 Pasif cümle kullanmaktan kaçınılmalı
 Prosedü...
PROSEDÜRÜN İÇERİĞİ
www.ictsert.com.tr54
 1.0.AMAÇ : (3 satırla sınırlı tutmaya çalı ın)ş
 Bu prosedürün amacı
için yönte...
TALİMATLAR
www.ictsert.com.tr55
Sorumlusu belirlenir.
Yapılacak i i ayrıntısıyla anlatır.ş
Okuyanın i i daha önce hiç y...
www.ictsert.com.tr56
 talimatları yazılırken, bunların operasyonel düzeyde oldu uİş ğ
unutulmamalı, bu nedenle de kısa ve...
Örnek TALİMATLAR
www.ictsert.com.tr57
UYGULAMA
Bilgi Yönetimi Dairesi ilgili personeli sistem odasından birinci derecede...
GÖREV TANIMLARI
www.ictsert.com.tr58
Görev tanımları yaptı ı faaliyet kaliteyi etkileyen bütün organizasyonğ
elemanları i...
www.ictsert.com.tr59
Görev tanımları diye ayrı bir doküman hazırlamak art de ildir görevş ğ
yetki ve sorumluluklar prosed...
Örnek Görev Tanımı
www.ictsert.com.tr60
BGYS Ekibi
Bilgi güvenli i yönetim sistemi dokümanlarını hazırlamak, güncel tutm...
14/04/1461 www.ictsert.com.tr
Upcoming SlideShare
Loading in …5
×

ISO 27001 BGYS DOKÜMANTASYON EĞİTİMİ

ISO 27001 BGYS DOKÜMANTASYON EĞİTİMİ

ISO 27001 BGYS DOKÜMANTASYON EĞİTİMİ

  1. 1. ISO 27001 BGYS DOKUMANTASYON EĞİTİMİ
  2. 2. EĞİTİMİNDEN KİMLER YARARLANABİLİR www.ictsert.com.tr2 Çalı tı ı i yerinde ISO 27001 Bilgi Güvenli i Yönetimş ğ ş ğ Sistemi kurmak isteyen kullanıcıların ve bu i yerlerineş danı manlık hizmetinde bulunacak danı manlarş ş 14/04/14
  3. 3. EĞİTİMİN AMACI www.ictsert.com.tr3 Sistem kurucularının ISO 27001 Bilgi Güvenli i Yönetimğ Sistemi standardı ile ilgili dokümantasyon nedir? neler dokümante edilir ? nasıl edilir ? sorularının cevaplarını ö renmesi için hazırlanmı tır.ğ ş 14/04/14
  4. 4. EĞİTİM İÇERİĞİ 14/04/14www.ictsert.com.tr4 • Bölüm 1: Tanımlar • Bölüm 2: ISO 27001 Standardına Göre Doküman Ve Kayıtlar •Bölüm 3: Doküman Oluşturma
  5. 5. www.ictsert.com.tr5 TANIMLAR 14/04/14 BÖLÜM 1
  6. 6. DOKÜMANTASYON www.ictsert.com.tr6 Doküman : Ürün veya hizmeti, istenilen kalite artlarındaş sa layabilmek için ürünün veya hizmetin özelliklerini açıklayanğ basılı kopya veya elektronik medya ortamında olabilen yazılı bilgilerdir. 14/04/14
  7. 7. TANIMLAR www.ictsert.com.tr7 Kontrollü : En son güncel nüshalarının kullanıcısında bulundurulması zorunlu olan dokümanlardır. Kontrolsüz : Genellikle bilgi amacıyla verilen ve yapılan de i ikliklerin kullanıcısına bildirilmedi i dokümanlardır.ğ ş ğ 14/04/14
  8. 8. www.ictsert.com.tr8 Veri : Ürün veya hizmet özellikleri, proses bilgileri ve firma ile ilgili problemleri tanımlama, kaydetme, analiz etme, problemlerin çözümü gibi konularda, statistiksel Teknikleri uygulayabilmekİ amacıyla kurulu la ilgili gerekli olan her türlü bilgidir.ş Kayıt: Firmanın prosedüründe tanımlanmı ve belirtilen süreş içerisinde saklanması zorunlu olan, basılı kopya veya elektronik medya ortamında bulunabilen, üzerinde veri bulunan dokümanlardır. 14/04/14 TANIMLAR
  9. 9. www.ictsert.com.tr9 Dı Kaynaklı Dokümanş : Hazırlama onaylama ve de i ikliklerin günceliklerin dı kurum veya kurulu larğ ş ş ş tarafından yapılan bilgi olarak yararlanılan dokümanlara denir. 14/04/14 TANIMLAR
  10. 10. DOKÜMAN TİPLERİ VE ORTAMLARI www.ictsert.com.tr10 Tipleri: Yazılı, resim, proje, ses, görüntü Ortamları Ka ıt, manyetik ve elektronikğ 14/04/14
  11. 11. KAYIT NEDİR? www.ictsert.com.tr11  Kayıt Nedir? Elde edilen sonuçları beyan eden veya gerçekle tirilen faaliyetin delilini sa layan veriş ğ i lenmi dokümanlara denir.ş ş  Kayıtlarda bir dokümandır fakat standartta belirtildi iğ gibi özel dokümanlardır. Dokümanlarda oldu u gibiğ Yazılı, resim, proje, ses, görüntü tipinde Ka ıt,ğ manyetik ve elektronik ortamlarda olabilir. 14/04/14
  12. 12. Doküman ile Kayıt arasındaki fark nedir? www.ictsert.com.tr12 Doküman bir faaliyetin ne zaman, kim tarafından ve nasıl yapılaca ını tarif eder. Kayıtğ ise yapılan faaliyetin delilini sa lar. Yani kayıtğ lenmi bir dokümandırİş ş Dokümanlar revize edilir fakat kayıtlar revize edilemezler. 14/04/14
  13. 13. www.ictsert.com.tr13 ISO 27001 STANDARDINA GÖRE DOKUMAN VE KAYITLAR 14/04/14 BÖLÜM 2
  14. 14. www.ictsert.com.tr14 4.2 BGYS’nin kurulması ve yönetilmesi A) Herhangi bir dı arda bırakmanın ayrıntıları ve açıklamasını daş ekleyerek, BGYS kapsamını ve sınırlarını tanımlama B)Bir BGYS Politikası Tanımlama C)Risk Yakla ımının Tanımlanmasış D)Riskleri Tanımlama E) Risk Derecelendirme F) Risklerin lenmesiİş G) Kotrol Maddelerinin Belirlenmesi 14/04/14 DOKÜMAN VE KAYITLAR
  15. 15. www.ictsert.com.tr15 4.2 BGYS’nin kurulması ve yönetilmesi H) Artık Riskin Dokümante Edilmesi J) Uygulanabilirlik Bildirgesinin Hazırlanması 14/04/14 DOKÜMAN VE KAYITLAR
  16. 16. www.ictsert.com.tr16 4.3 Dokümantasyon gereksinimleri c) BGYS’yi destekleyici prosedürler ve kontroller, e) Risk de erlendirme raporu (Madde 4.2.1c)- 4.2.1g)),ğ g) Kurulu tarafından, bilgi güvenli i proseslerinin etkinş ğ planlanlanmasını, i letilmesini ve kontrolünü sa lamak için ihtiyaçş ğ duyulan dokümante edilmi prosedürler ve kontrollerin etkinli ininş ğ nasıl ölçülece ini tanımlama (Madde 4.2.3c)).ğ 14/04/14 DOKÜMAN VE KAYITLAR
  17. 17. www.ictsert.com.tr17 4.3 Dokümantasyon gereksinimleri 4.3.2 Dokümanların kontrolü g) Dı kaynaklı dokümanların tanınmasını sa lama,ş ğ 14/04/14 DOKÜMAN VE KAYITLAR
  18. 18. www.ictsert.com.tr18 5 Yönetim sorumlulu uğ 5.2.2 E itim, farkında olma ve yeterlilikğ d) E itim, ö retim, beceriler, deneyim ve niteliklere ili kin kayıtlarğ ğ ş tutma (Madde 4.3.3). 14/04/14 DOKÜMAN VE KAYITLAR
  19. 19. www.ictsert.com.tr19 6 BGYS iç denetimleri Denetimlerin planlanması ve gerçekle tirilmesindeki ve sonuçlarınş raporlanması ve kayıtların tutulmasındaki (Madde 4.3.3) sorumluluklar ve gereksinimler, dokümante edilmi bir prosedürş içinde tanımlanmalıdır. Denetlenen alandan sorumlu olan yönetim, saptanan uygunsuzlukların ve bunların nedenlerinin giderilmesi için, gereksiz gecikmeler olmaksızın önlemlerin alınmasını sa lamalıdır. zleme faaliyetleri,ğ İ alınan önlemlerin do rulanmasını ve do rulamağ ğ sonuçlarının raporlanmasını (Madde 8) içermelidir. 14/04/14 DOKÜMAN VE KAYITLAR
  20. 20. www.ictsert.com.tr20 7 BGYS’yi yönetimin gözden geçirmesi Yönetim, kurulu un BGYS’sini planlanan aralıklarla (en az yılda birş kez), sürekli uygunlu unu, do rulu unu ve etkinli ini sa lamak içinğ ğ ğ ğ ğ gözden geçirmelidir. Bu gözden geçirme, bilgi güvenli i politikası veğ bilgi güvenli i amaçları dahil BGYS’nin iyile tirilmesi ve gerekenğ ş de i ikliklerin yapılması için fırsatların de erlendirilmesiniğ ş ğ içermelidir. Gözden geçirme sonuçları açıkça dokümante edilmeli ve kayıtlar tutulup saklanmalıdır (Madde 4.3.3). 14/04/14 DOKÜMAN VE KAYITLAR
  21. 21. www.ictsert.com.tr21 8 BGYS iyile tirmeş 8.2 Düzeltici faaliyet Kurulu tekrarları engellemek için, BGYS gereksinimleriyleş uygunsuzlukların nedenlerini gidermek üzere önlemler almalıdır. Düzeltici faaliyet için dokümante edilmi prosedürş a a ıdakiş ğ gereksinimleri tanımlamalıdır 14/04/14 DOKÜMAN VE KAYITLAR
  22. 22. www.ictsert.com.tr22 8 BGYS iyile tirmeş 8.3 Önleyici faaliyet Kurulu tekrar ortaya çıkmalarını önlemek için, BGYSş gereksinimleriyle olası uygunsuzlukların nedenlerini gidermek üzere alınacak önlemleri belirlemelidir. Gerçekle tirilen önleyici faaliyetler,ş olası sorunların yapaca ı etkiye uygun olmalıdır.ğ Önleyici faaliyetler için dokümante edilmi prosedürş a a ıdaki gereksinimleriş ğ tanımlamalıdır: 14/04/14 DOKÜMAN VE KAYITLAR
  23. 23. www.ictsert.com.tr23  BGYS POL T KASIİ İ  KURULU , BGYS YÖNET M S STEM N N KAPSAMIŞ İ İ İ İ  R SK YAKLA IMI VE DE ERLEND RMEİ Ş Ğ İ  ARTIK R SKİ  UYGULANAB L RL K B LD RGESİ İ İ İ İ İ  R SK DE ERLEND RME RAPORUİ Ğ İ  KONTROLLER N ETK NL N N ÖLÇÜLMESİ İ İĞİ İ İ  E T M KAYITLARIĞİ İ  Ç DENET M PROSEDÜRÜ VE KAYITLARIİ İ  YGG TOPLANTI DOKÜMANTASYONU VE KAYITLARI  DÜZELT C FAAL YET PROSEDÜRÜİ İ İ  ÖNLEY C FAAL YET PROSEDÜRÜİ İ İ 14/04/14 ÖZET OLARAK DOKÜMAN VE KAYITLAR
  24. 24. www.ictsert.com.tr24 A.7 Varlık yönetimi A.7.1.1 Varlıkların envanteri Kontrol Tüm varlıklar açıkça tanımlanmalı ve önemli varlıkların bir envanteri hazırlanmalı ve tutulmalıdır. A.7.1.3 Varlıkların kabul edilebilir kullanımı Kontrol Bilgi i leme olanakları ile ili kili bilgi ve varlıkların kabul edilebilirş ş kullanım kuralları tanımlanmalı, dokümante edilmeli ve gerçekle tirilmelidir.ş 14/04/14 EK-A DOKÜMAN VE KAYITLARI
  25. 25. www.ictsert.com.tr25 A.8 nsan kaynakları güvenli iİ ğ A.8.1.1 Roller ve sorumluluklar Kontrol Çalı anlar, yükleniciler ve üçüncü taraf kullanıcıların güvenlik rolleriş ve sorumlulukları kurulu un bilgi güvenli i politikasına uygun olarakş ğ tanımlanmalı ve dokümante edilmelidir. A.8.1.3 stihdam ko ullarıİ ş Kontrol  özle me yükümlülüklerinin parçası olarak, çalı anlar, yüklenicilerŞ ş ş ve üçüncü taraf kullanıcılar, kendilerinin ve kurulu un bilgi güvenli iş ğ sorumluluklarını belirten kendi i e alım sözle melerinin ko ullarınaş ş ş katılmalı ve bunu imzalamalıdırlar. 14/04/14 EK-A DOKÜMAN VE KAYITLARI
  26. 26. www.ictsert.com.tr26 A.10 Haberle me ve i letim yönetimiş ş A.10.1.1 Dokümante edilmi i letim prosedürleriş ş Kontrol  letim prosedürleri dokümante edilmeli, sürdürülmeli ve ihtiyacıİş olan tüm kullanıcılara kullanılabilir yapılmalıdır. A.10.2 Üçüncü taraf hizmet sa lama yönetimiğ A.10.2.2 Üçüncü taraf hizmetleri izleme ve gözden geçirme Kontrol Üçüncü tarafa sa lanan hizmetler, raporlar ve kayıtlar düzenli olarakğ izlenmeli, gözden geçirilmeli ve düzenli olarak denetimler gerçekle tirilmelidir.ş 14/04/14 EK-A DOKÜMAN VE KAYITLARI
  27. 27. www.ictsert.com.tr27 A.10.3 Sistem planlama ve kabul A.10.3.2 Sistem kabulü Kontrol Yeni bilgi sistemleri, sistem yükseltmeleri ve yeni sürümler için kabul kriterleri kurulmalı ve geli tirme esnasında ve kabul öncesindeş sistem(ler)e ili kinş uygun testler gerçekle tirilmelidirş . A.10.5 Yedekleme A.10.5.1 Bilgi yedekleme Kontrol Bilgi ve yazılımlara ait yedekleme kopyaları alınmalı ve anla ılanş yedekleme politikasına uygun ekildeş düzenli olarak test edilmelidir. 14/04/14 EK-A DOKÜMAN VE KAYITLARI
  28. 28. www.ictsert.com.tr28 A.10.8 Bilgi de i imiğ ş A.10.8.1 Bilgi de i im politikaları ve prosedürleriğ ş Kontrol Tüm ileti im olana ı türlerinin kullanımıyla bilgi de i imini korumakş ğ ğ ş için resmi de i im politikaları, prosedürleri ve kontrolleri mevcutğ ş olmalıdır. A.10.8.2 De i im anla malarığ ş ş Kontrol Kurulu ve dı taraflar arasındaş ş bilgi ve yazılımın de i imi içinğ ş anla malar yapılmalıdır.ş 14/04/14 EK-A DOKÜMAN VE KAYITLARI
  29. 29. www.ictsert.com.tr29  A.10.10 zlemeİ  A.10.10.1 Denetim kaydetme  Kontrol  Kullanıcı faaliyetleri, ayrıcalıkları ve bilgi güvenli i olaylarını kaydeden denetimğ kayıtları üretilmeli ve ileride yapılabilecek soru turmalar ve eri im kontrolüş ş izlemeye yardımcı olmak için anla ılmı bir süre tutulmalıdır.ş ş  A.10.10.4 Yönetici ve operatör kayıtları  Kontrol  Sistem yöneticisi ve operatör faaliyetleri kaydedilmelidir.  A.10.10.5 Hata kaydı  Kontrol  Hatalar kaydedilmeli, çözümlenmeli ve uygun önlem alınmalıdır. 14/04/14 EK-A DOKÜMAN VE KAYITLARI
  30. 30. www.ictsert.com.tr30 A.11 Eri im kontrolüş A.11.1.1 Eri im kontrolü politikasış Kontrol Eri im için i ve güvenlik gereksinimlerini temel alan bir eri imş ş ş kontrol politikası kurulmalı, dokümante edilmeli ve gözden geçirilmelidir. A.11.2 Kullanıcı eri im yönetimiş A.11.2.1 Kullanıcı kaydı Kontrol Tüm bilgi sistemlerine ve hizmetlerine eri im izni vermek ve bunuş kaldırmak için resmi bir kullanıcı kaydetme ve kayıttan çıkarma prosedürü olmalıdır. 14/04/14 EK-A DOKÜMAN VE KAYITLARI
  31. 31. www.ictsert.com.tr31 A.11.3.3 Temiz masa ve temiz ekran politikası Kontrol Ka ıtlar ve ta ınabilir depolama ortamları için bir temiz masağ ş politikası ve bilgi i leme olanakları için bir temiz ekran politikasış benimsenmelidir. 14/04/14 EK-A DOKÜMAN VE KAYITLARI
  32. 32. www.ictsert.com.tr32 A.11.7 Mobil bilgi i leme ve uzaktan çalı maş ş A.11.7.2 Uzaktan çalı maş Kontrol Uzaktan çalı ma faaliyetleri için bir politika, operasyonel planlar veş prosedürler geli tirilmeli ve gerçekle tirilmelidir.ş ş A.12.3 Kriptografik kontroller A.12.3.1 Kriptografik kontrollerin kullanımına ili kin politikaş Kontrol Bilginin korunması için kriptografik kontrollerin kullanımına ili kinş bir politika geli tirilmeli ve gerçekle tirilmelidir.ş ş 14/04/14 EK-A DOKÜMAN VE KAYITLARI
  33. 33. www.ictsert.com.tr33 A.12.5 Geli tirme ve destekleme proseslerinde güvenlikş A.12.5.1 De i im kontrol prosedürleriğ ş Kontrol De i ikliklerin gerçekle tirilmesi, resmi de i im kontrolğ ş ş ğ ş prosedürlerinin kullanımı ile kontrol edilmelidir. A.12.5.2 letim sistemindeki de i ikliklerden sonra teknik gözdenİş ğ ş geçirme Kontrol  letim sistemleri de i tirildi inde, kurumsal i lemlere ya daİş ğ ş ğ ş güvenli e hiçbir kötü etkisi olmamasını sa lamak amacıyla i içinğ ğ ş kritik uygulamalar gözden geçirilmeli ve test edilmelidir. 14/04/14 EK-A DOKÜMAN VE KAYITLARI
  34. 34. www.ictsert.com.tr34 A.13 Bilgi güvenli i ihlal olayı yönetimiğ A.13.1.1 Bilgi güvenli i olaylarının rapor edilmesiğ Kontrol Bilgi güvenli i olayları uygun yönetim kanalları aracılı ıyla mümkünğ ğ oldu u kadar hızlı biçimde rapor edilmelidir.ğ A.13.1.2 Güvenlik zayıflıklarının rapor edilmesi Kontrol Bilgi sistemleri ve hizmetlerinin tüm çalı anları, yüklenicileri veş üçüncü taraf kullanıcılarından, sistemler ve hizmetlerdeki gözlenen veya üphelenilen herhangi bir güvenlik zayıflı ını dikkat etmeleri veş ğ rapor etmeleri istenmelidir. 14/04/14 EK-A DOKÜMAN VE KAYITLARI
  35. 35. www.ictsert.com.tr35 A.13.2.3 Kanıt toplama Kontrol Bir bilgi güvenli i ihlal olayından sonra bir ki i veya kurulu a kar ığ ş ş ş alınan takip önlemi yasal eylem (ya sivil hukuk ya da ceza hukuku) içerdi inde, ilgili yargılama kurallarında belirlenmi olan kanıtğ ş kuralları ile uyumlu ekilde kanıt toplanmalı, tutulmalı veş sunulmalıdır. A.14 süreklili i yönetimiİş ğ A.14.1.5 süreklili i planlarını test etme, sürdürme ve yenidenİş ğ de erlendirmeğ Kontrol  süreklili i planları, güncel ve etkili olmalarını sa lamak için,İş ğ ğ düzenli olarak test edilmeli ve güncelle tirilmelidir.ş 14/04/14 EK-A DOKÜMAN VE KAYITLARI
  36. 36. www.ictsert.com.tr36 A.15 Uyum A.15.1.1 Uygulanabilir yasaları Tanımlanma Kontrol  lgili tüm yasal, düzenleyici ve sözle meden do an gereksinimleri veİ ş ğ kurulu un bu gereksinimleri kar ılama yakla ımı her bilgi sistemi veş ş ş kurulu içinş açıkça tanımlanmalı, dokümante edilmeli ve güncel tutulmalıdır. 14/04/14 EK-A DOKÜMAN VE KAYITLARI
  37. 37. 14/04/14www.ictsert.com.tr37 DOKÜMANTASYON OLUŞTURMA BÖLÜM 3
  38. 38. DOKÜMANTASYON OLUŞTURMA www.ictsert.com.tr38  Mevcut Durum Analizi ve Planlama  Listeleme ve Sınıflandırma  Doküman Hazırlama Onaylama Yayınlama  Gözden Geçirme PÜKO FELSEFES UYGULANIR!İ 14/04/14
  39. 39. Mevcut Durum Analizi ve Planlama www.ictsert.com.tr39  Elimizde hangi dokümanlar var kurum içi kurum dı ış  Bu dokümanlardan BGYS’yi etkileyenleri ayrılır  BGYS’yi etkileyenler kullanımı avantajlı mı .  Bu dokümanlar ISO 27001 standardının istedi i dokümanlarığ kar ılıyor mu?ş  Bunlar dı ında ISO 27001 standardına göre olması gerekenş dokümanlar neler. 14/04/14
  40. 40. Listeleme ve Sınıflandırma www.ictsert.com.tr40  Öncelikle dokümanların sınıflandırılması yapılır. Örnek Prosedür i talimatı görev tanımış  Kodlama sistemi belirlenir. P-01 , PL-01, G-02, BGEK-00 vb FRM-34  Dokümanı hazırlayan onaylayan ve de i iklikleri yapacaklarğ ş belirlenir.  Listelenir. 14/04/14
  41. 41. Doküman Hazırlama Onaylama Yayınlama www.ictsert.com.tr41  Mevcut elimizde olanların güncellemesi yapılır.  Elimizde olmayanlar hazırlanır  Dokümanların birbiri ile ili kileri tanımlanır.ş  Onaylama makamlarına sunulur.  Yayınlanır. 14/04/14
  42. 42. Gözden Geçirme www.ictsert.com.tr42  Hazırlanan dokümanlar uygulanır  Aksayan yönler belirlenir. 14/04/14
  43. 43. Güncellenmesi www.ictsert.com.tr43  Bir sistematik içerisinde dokümanlarda aksayan noktalar de i tirilir ve tekrar uygulanır.ğ ş 14/04/14
  44. 44. Dokümantasyonda Etken Olan Dış Faktörler www.ictsert.com.tr44  Mü teri Talepleriş  Tedarikçi ve ürün gerekleri  Yasal artlarş  Pazar artlarında olu turulan firma politikasış ş  Ulusal / Uluslararası Standartlar  Yönetmelikler, kurallar  ISO 27001 standardı 14/04/14
  45. 45. ÖNEMLİ! www.ictsert.com.tr45 Sistemin dokümante edilmesi a amasında mevcut sistemin;ş  olması gerekti i gibi de il,ğ ğ  oldu u gibiğ dokümante edilmesi unutulmamalıdır. 14/04/14
  46. 46. ÖNEMLİ! www.ictsert.com.tr46 BGYS Dokümantasyonu’ nun en önemli özelli i güncel olanı, yani oğ günün uygulamalarını yansıtıyor olmasıdır. Burada dikkat edilmesi gereken husus mevcut durumu me rula tırmakş ş de il dokümantasyonu hazırlamadan önce yapılan faaliyetleri BGYSğ kriterlerine göre düzenlemek ve ondan sonra dokümantasyonu hazırlamaktır. 14/04/14
  47. 47. BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ DOKÜMANTASYON YAPISI www.ictsert.com.tr47 BGYS POLİTİKASI BGYS EL KİTABI BGSY POLİTİKALARI VE PROSEDÜRLERİ SİSTEM TALİMATLARI VE PLANLARI DESTEK DOKÜMANLAR Görev Tanımları, Formlar, Planlar, Raporlar, Dış Kaynaklı Dokümanlar (Standartlar yönetmelikler kanunlar) 14/04/14
  48. 48. www.ictsert.com.tr48 Dokümanların zlenebilirli i ve birbiriden ayırt edilebilmesiİ ğ çin:İ  Kurulu un Adı,ş  Dokümanın Adı,  Yürürlülü e Girdi i Tarih,ğ ğ  Revizyon Tarihi  Hazırlayan,  Onay, 14/04/14 DOKÜMAN ŞABLONLARI
  49. 49. www.ictsert.com.tr49 Örnek doküman ablonuş 14/04/14 DOKÜMAN ŞABLONLARI
  50. 50. ÖRNEK BGYS POLİTİKASI www.ictsert.com.tr50  "Rekabet ortamının sa lanması, korunması ve geli tirilmesi amacıyla mal ve hizmet piyasalarındaki rekabetiğ ş engelleyici, bozucu veya kısıtlayıcı anla ma, karar ve uygulamalar ile piyasaya hâkim olan te ebbüslerin buş ş hâkimiyetlerini kötüye kullanmalarını önlemek, bunun için gerekli düzenleme ve denetlemeleri yaparak rekabetin korunmasını sa lamak" için yürütülen faaliyetlerde,ğ  Bilgi Güvenli inin üç temel ö esi olanğ ğ Gizlilik, Bütünlük ve Eri ilebilirli inş ğ süreklili ini sa lamak,ğ ğ  Bilgi varlıklarını yönetmek, varlıkların güvenlik de erlerini, ihtiyaçlarını ve risklerini belirlemek, risklereğ yönelik kontrolleri geli tirmek ve uygulamak,ş  Bilgi varlıklarını, de erleri, güvenlik ihtiyaçlarını, zafiyetleri, varlıklara yönelik tehditleri ve tehditlerinğ sıklıklarının saptanması için yöntemleri tanımlamak,  Risklerin i lenmesi için çalı ma esaslarını ortaya koymak,ş ş  Hizmet verilen kapsam ba lamında teknolojik beklentileri gözden geçirerek riskleri sürekli takip etmek,ğ  süreklili ine yönelik bilgi güvenli i tehditlerinin etkisini azaltmak ve süreklili e katkıda bulunmak,İş ğ ğ ğ  Gerçekle ebilecek bilgi güvenli i olaylarına hızla müdahale edebilecek ve olayın etkisini minimize edecekş ğ yetkinli e sahip olmak,ğ  Maliyet etkin bir kontrol altyapısı ile bilgi güvenli i seviyesini zaman içinde korumak ve iyile tirmek,ğ ş  Kurum itibarını geli tirmek, bilgi güvenli i temelli olumsuz etkilerden korumak,ş ğ  Yasal mevzuat ve düzenleyici yapıların artlarına uyumu sa lamak,ş ğ  Kar ılıklı sözle me, protokol ve benzeri anla maların içerdi i yükümlülüklere uyumu temin etmektir.ş ş ş ğ 14/04/14
  51. 51. Prosedürler www.ictsert.com.tr51 Prosedürler NE gerçekle tirilecekş Etkinlik NEDEN gerçekle ecekş Etkinlik NEREDE gerçekle ecekş NASIL gerçekle ecek (talimatlar)ş NE ZAMAN gerçekle ecek (olu sırası)ş ş Etkinlikten K Mİ sorumludur PROSEDÜRLER, N Z S Z N KADAR Y B LMEYENLER NİŞİ İ İ İ İ İ İ İ İ DE ANLAYAB LECE EK LDE YAZILMALIDIR.!!!İ Ğİ Ş İ 14/04/14
  52. 52. Prosedürler www.ictsert.com.tr52 Örnek cümle Süreçten belli aralıklarla numune alınarak gerekli deneyler yapılır. (Yanlı )ş Operatör, x sürecinden 3 saatte bir y miktarda numune alır ve pH ile konsantrasyonunu ölçer. (Do ru)ğ 14/04/14
  53. 53. Prosedürler yazılırken www.ictsert.com.tr53 Basit sözcükler kullanılmalı  Pasif cümle kullanmaktan kaçınılmalı  Prosedürü yazan ki i kendini okuyucunun yerine koymalı veş onun prosedürü okuyunca hiç bir sorunla kar ıla mamasınış ş sa lamalı.ğ Cümle ve paragraflar en kısa ekilde olmalı;ş  bir cümle bir eylemi, bir paragraf ise bir konuyu anlatmalıdır. Noktalama i aretleri etkili bir prosedür yazmada di er önemli birş ğ konudur. Yapılan kısaltmalar mutlaka tanımlanmalıdır. 14/04/14
  54. 54. PROSEDÜRÜN İÇERİĞİ www.ictsert.com.tr54  1.0.AMAÇ : (3 satırla sınırlı tutmaya çalı ın)ş  Bu prosedürün amacı için yöntem, yetki ve sorumlulukları tanımlamaktadır.   2.0.UYGULAMA ALANI : (prosedürün etkiledi i bölümler, faaliyetler, dokümanlar)ğ   3.0. TANIMLAR : (varsa özel terim ve deneyimlerin, kavramların açıklamaları)   4.0. KAYITLAR : (prosedürün uygulanması sırasında tutulması gereken kayıtlar için düzenlenen formların numara ve adları)  5.0.REFERANSLAR : (bu prosedürlerle ili kili olan prosedürlerin adı ve numarası)ş   6.0.SORUMLULUKLAR : (bu prosedürün uygulanmasından sorumlu bölüm müdürlerin ünvanları ve uygulama ile ilgili sorumlulukları)  6.1 Müdürü   7.0 .UYGULAMA : (Yapılan i in i akı sırasına göre tanımlanması. NE yapılıyor, K M(ler)ş ş ş İ tarafından, NE ZAMAN, NE LE, NASIL, HANG KAYITLAR tutuluyor. Geni zaman kipiniİ İ ş kullanın) 14/04/14
  55. 55. TALİMATLAR www.ictsert.com.tr55 Sorumlusu belirlenir. Yapılacak i i ayrıntısıyla anlatır.ş Okuyanın i i daha önce hiç yapmadı ı varsayılır.ş ğ Açık, yalın, anla ılabilir ifadeler kullanılabilir.ş Foto raf, ema, akı diyagramı gibi görsel malzeme ile desteklenebilir.ğ ş ş  lgili bilgi kaynaklarına (Kullanım kılavuzu vb.) gönderme yapılabilir.İ Ana prosedürü destekler. Olmadı ında i in ya da ürünün kalitesi olumsuz yönde etkilenebilecekğ ş i ler detaylı olarak anlatılır.ş 14/04/14
  56. 56. www.ictsert.com.tr56  talimatları yazılırken, bunların operasyonel düzeyde oldu uİş ğ unutulmamalı, bu nedenle de kısa ve emir kipinde yazılmalıdır.  talimatları yapılırken, i i daha önce yapan ki i ile mutlakaİş ş ş görü ülmeli ve böylece “yapılma ekli” ile “olması gereken”ş ş ortaya çıkarılmalıdır. Örnek Talimatlar Sistem Kontrolleri Güvenlik Talimatları Sunucu Bakım Talimatları VPN Güvenli i Talimatığ Active Directory Talimatı 14/04/14 TALİMATLAR
  57. 57. Örnek TALİMATLAR www.ictsert.com.tr57 UYGULAMA Bilgi Yönetimi Dairesi ilgili personeli sistem odasından birinci derecede sorumlu ki ilerdir.ş Sistem odası ile ilgili olarak yapılacak tüm i ler Bilgi Yönetimi Dairesi ilgiliş personelinin bilgisi dâhilinde yapılacaktır. Yapılacak i lerle ilgili olarak tüm eri im yetkileri Bilgi Yönetimi Dairesi ilgili personeliş ş tarafından açılır ve kapatılır. Sistem Odasının temizli i ve düzeni, Bilgi Yönetimi Dairesi ilgili personeliğ sorumlulu unda olacaktır.ğ Sistem odasına giri ler biyometrik kontrol yöntemiyle (avuç içi damar tarama)ş yapılacaktır. Sistem odasına sadece yetkilendirilmi personelin eri im izni vardır. Sistem odasınaş ş bakım/onarım, temizlik ya da di er nedenlerle üçüncü ahısların eri imi sadeceğ ş ş yetkilendirilmi ki ilerin nezaretinde yapılacaktır.ş ş 14/04/14
  58. 58. GÖREV TANIMLARI www.ictsert.com.tr58 Görev tanımları yaptı ı faaliyet kaliteyi etkileyen bütün organizasyonğ elemanları için hazırlanmalıdır. Görev tanımlarında görevler sorumluluklar ve yetkiler belirlenir ve i düzeninde karma ıklı ı ortadanş ş ğ kaldırır. Görev yetki ve payla ımlar yapılmaz ise bir i bir andaş ş herkesinde olabilir hiç kimsenin de olmayabilir. 14/04/14
  59. 59. www.ictsert.com.tr59 Görev tanımları diye ayrı bir doküman hazırlamak art de ildir görevş ğ yetki ve sorumluluklar prosedürlerin içerisinde talimatların içerisinde anlatılabilir fakat BGYS dokümantasyonun da bir disiplin içerisinde hazırlanmasında fayda vardır. Büyük organizasyonlarda Organizasyon el kitabı eklinde organizasyon eması ile birlikte bütün personelin görevş ş yetki ve sorumlulukları kalite el kitabı gibi verilebilir. 14/04/14 GÖREV TANIMLARI
  60. 60. Örnek Görev Tanımı www.ictsert.com.tr60 BGYS Ekibi Bilgi güvenli i yönetim sistemi dokümanlarını hazırlamak, güncel tutmak veğ teknik standartlara uyumu sa lamak.ğ Risk analizi ile Bilgi güvenli i önceliklerinin tespiti çalı malarını koordine etmek.ğ ş Bilgi güvenlik ihlalleri ile ilgili kayıtlara dayanarak, ihlali gerçekle tiren ki i,ş ş ki iler ya da uygulamalar hakkında ilgili birimlerle koordinasyonu sa lamak veş ğ karar için yönetim temsilcisine raporlamak. Birim yönetimlerinin de katkısıyla, Bilgi güvenli inin sa lanması ve artırılmasınağ ğ yönelik olarak, planlanan çalı ma ve projelerin önceliklerini belirlemek ve bunaş göre Bilgi Güvenlik bütçesini hazırlamak ve yönetim temsilcisine raporlamak. Bilgi Güvenli i yönetim sistemlerinin uygulanabilmesi ve izlenebilmesi içinğ gerekli formları olu turmak.ş Geli meleri izleyip gerekli revizyonları ve da ıtımları yapmak.ş ğ 14/04/14
  61. 61. 14/04/1461 www.ictsert.com.tr

×