2. 4.3.3 Kayıtların Kontrolü Kayıtlar korunmalı ve kontrol edilmelidir. ¥
4.3.3 Kayıtların Kontrolü BGYS, ilgili her yasal ve düzenleyici gereksinimi dikkate almalıdır. ¥
4.3.3 Kayıtların Kontrolü Kayıtlar, okunabilir, hemen tanınabilir ve geri alınabilir halde tutulmalıdır. ¥
4.3.3 Kayıtların Kontrolü
Kayıtların
tanınması, saklanması, korunması, geri alınması, tutulma ve düzenleme zamanları
için gereken kontroller
dokümante edilmelidir.
¥
4.3.3 Kayıtların Kontrolü
Kayıtlar, Madde 4.2’de belirtildi¤i gibi proses performansına ve BGYS ile ilgili tüm
güvenlik ihlal olaylarının
olu£umlarına ili£kin tutulmalıdır.
Örnek
Kayıtlara ili£kin örnek olarak, ziyaretçi defteri, denetim kayıtları ve tamamlanmı£
eri£im yetkilendirme formları
verilebilir.
¥
5 Yönetim Sorumlulu¢u
5.1 Yönetimin Ba¢lılı¢ı
5,1
Yönetim BGYS’nin kurulumuna, gerçekle£tirilmesine, i£letimine, izlenmesine,
gözden geçirilmesine,
bakımına ve iyile£tirilmesine olan ba¤lılı¤ını a£a¤ıdakileri gerçekle£tirerek
kanıtlamalıdır:
- ¥
5.1 (a) Bir BGYS politikası kurma, - ¥
5.1 (b) BGYS amaçlarının ve planlarının kurulmu£ olmasını sa¤lama, - ¥
5.1 (c) Bilgi güvenli¤i için rolleri ve sorumlulukları kurma, - ¥
5.1 (d)
Kurulu£a, bilgi güvenli¤i amaçlarını kar£ılamanın ve bilgi güvenli¤i
politikalarına uyumun önemini,
yasaya kar£ı sorumluluklarını ve sürekli iyile£tirmeye olan gereksinimi bildirme,
- ¥
5.1 (e)
BGYS’yi kurmak, gerçekle£tirmek, i£letmek, izlemek, gözden geçirmek,
sürdürmek ve iyile£tirmek için
yeterli kaynak sa¤lama (Madde 5.2.1),
- ¥
5.1 (f) Riskleri kabul etme ölçütlerini ve kabul edilebilir risk seviyelerini belirleme, - ¥
5.1 (g) ¨ç BGYS denetimlerinin gerçekle£tirilmi£ olmasını sa¤lama (Madde 6) ve - ¥
5.1 (h) BGYS’nin yönetim gözden geçirmelerini gerçekle£tirme (Madde 7). - ¥
5.2 Kaynak Yönetimi
5.2.1 Kaynakların Sa¢lanması
5.2.1
Kurulu£ a£a¤ıdakiler için gereken kaynaklara karar vermeli ve bunları
sa¤lamalıdır:
- ¥
5.2.1 (a)
Bir BGYS’yi kurma, gerçekle£tirme, i£letme, izleme, gözden geçirme,
süreklili¤ini sa¤lama ve iyile£tirme,
- ¥
5.2.1 (b) Bilgi güvenli¤i prosedürlerinin i£ gereksinimlerini desteklemesini sa¤lama, - ¥
5.2.1 (c)
Yasal ve düzenleyici gereksinimleri ve sözle£meden do¤an güvenlik
yükümlülüklerini tanımlama ve
ifade etme,
- ¥
5.2.1 (d)
Gerçekle£tirilen tüm kontrollerin do¤ru uygulanmasıyla uygun güvenli¤i
sürdürme,
- ¥
5.2.1 (e)
Gerekti¤inde gözden geçirmeleri gerçekle£tirme ve bu gözden geçirme
sonuçlarına uygun olarak
hareket etme
- ¥
5.2.1 (f) ¨htiyaç oldu¤unda, BGYS’nin etkinli¤ini iyile£tirme. - ¥
5.2.2 E¢itim, Farkında olma ve Yeterlilik -
5.2.2
Kurulu£, BGYS’de tanımlanan sorumluluklara atanan tüm personelin istenen
görevleri gerçekle£tirmeye
yeterli oldu¤unu, a£a¤ıda belirtilenlerle sa¤lamalıdır:
- ¥
5.2.2 (a)
BGYS’yi etkileyecek i£ler gerçekle£tiren personel için gerekli yeterlilikleri
belirleme,
- ¥
5.2.2 (b)
E¤itim sa¤lama veya bu ihtiyaçları kar£ılamak için di¤er eylemleri (örne¤in,
yeterli uzmanlı¤a sahip
personel istihdam etme) gerçekle£tirme,
- ¥
5.2.2 (c) Alınan önlemlerin etkinli¤ini de¤erlendirme - ¥
5.2.2 (d)
E¤itim, ö¤retim, beceriler, deneyim ve niteliklere ili£kin kayıtlar tutma (Madde
4.3.3).
- ¥
5.2.2
Kurulu£ aynı zamanda, ilgili tüm personelin bilgi güvenli¤i faaliyetlerinin yarar
ve öneminin ve BGYS
amaçlarına ula£ılmasına nasıl katkı sa¤layaca¤ının farkında olmasını
sa¤lamalıdır.
- ¥
6 BGYS ç Denetimleri
6
Kurulu£ BGYS iç denetimlerini, BGYS kontrol amaçlarının, kontrollerinin,
proseslerinin ve prosedürlerinin
a£a¤ıdakileri gerçekle£tirip gerçekle£tirmedi¤ini belirlemek için planlanan
aralıklarda gerçekle£tirmelidir:
- ¥
6 (a) Bu standardın gerekleri ve ilgili yasa ya da düzenlemelere uyum, - ¥
6 (b) Tanımlanan bilgi güvenli¤i gereksinimelerine uyum, - ¥
6 (c) Etkin olarak gerçekle£tirilip sürdürüldü¤ü, - ¥
6 (d) Beklendi¤i gibi i£leyip i£lemedi¤i. - ¥
6
Bir denetleme programı, bir önceki denetim sonuçlarının yanı sıra
denetlenecek proseslerin ve alanların
durumu ve önemi dikkate alınarak planlanmalıdır. Denetim kriterleri, kapsamı,
sıklık ve yöntemler
tanımlanmalıdır. Denetmenlerin seçiminde ve denetimlerin
gerçekle£tirilmesinde, denetim prosesinin nesnel
ve tarafsız olarak i£lemesi sa¤lanmalıdır. Denetmenler kendi çalı£malarını
denetlememelidirler.
Denetimlerin planlanması ve gerçekle£tirilmesindeki ve sonuçların
raporlanması ve kayıtların tutulmasındaki
(Madde 4.3.3) sorumluluklar ve gereksinimler, dokümante edilmi£ bir prosedür
içinde tanımlanmalıdır.
Denetlenen alandan sorumlu olan yönetim, saptanan uygunsuzlukların ve
bunların nedenlerinin giderilmesi
için, gereksiz gecikmeler olmaksızın önlemlerin alınmasını sa¤lamalıdır. ¨zleme
faaliyetleri, alınan önlemlerin
do¤rulanmasını ve do¤rulama sonuçlarının raporlanmasını (Madde 8)
içermelidir.
Not - ISO 19011:2002, Guidelines for quality and/or environmental
management systems auditing, BGYS iç
denetimlerini gerçekle£tirmek için yardımcı bir kılavuzluk sa¤layabilir.
- ¥
7 BGYS'yi Yönetimin Gözden Geçirmesi
7.1 Genel Gereksinimler
7.1 Genel Gereksinimler
Yönetim, kurulu£un BGYS’sini planlanan aralıklarla (en az yılda bir kez), sürekli
uygunlu¤unu, do¤rulu¤unu
ve etkinli¤ini sa¤lamak için gözden geçirmelidir. Bu gözden geçirme, bilgi güvenli¤i
politikası ve bilgi
güvenli¤i amaçları dahil BGYS’nin iyile£tirilmesi ve gereken de¤i£ikliklerin yapılması
için fırsatların
de¤erlendirilmesini içermelidir. Gözden geçirme sonuçları açıkça dokümante edilmeli
ve kayıtlar tutulup
saklanmalıdır (Madde 4.3.3).
¥
7.2 Gözden Geçirme Girdisi
7,2 Yönetimin gözden geçirmesinin girdileri a£a¤ıdakileri içermelidir: - ¥ 7,2 Yönetimin gözden geçirmesinin girdileri a£a¤ıdakileri içermelidir: - ¥
7.2 (a) BGYS denetimleri ve gözden geçirmelerinin sonuçları, - ¥
7.2 (b) ¨lgili taraflardan edinilen geri bildirimler, - ¥
7.2 (c)
Kurulu£ta BGYS’nin performansını ve etkinli¤i artırmak için kullanılabilecek
teknikler, ürünler ya da
prosedürler,
- ¥
7.2 (d) Önleyici ve düzeltici faaliyetlerin durumu, - ¥
7.2 (e)
Önceki risk de¤erlendirmede uygun olarak ifade edilmeyen açıklıklar ya da
tehditler,
- ¥
7.2 (f) Etkinlik ölçümlerinin sonuçları, - ¥
7.2 (g) Önceki yönetim gözden geçirmelerinden izleme eylemleri, - ¥
7.2 (h) BGYS’yi etkileyebilecek herhangi bir de¤i£iklik ve - ¥
7.2 (i) ¨yile£tirme için öneriler. - ¥
7.3 Gözden Geçirme Çıktısı
7,3
Yönetimin gözden geçirmesinin çıktıları, a£a¤ıdakilerle ilgili her kararı ve eylemi
içermelidir:
- ¥
7.3 (a) BGYS etkinli¤ini iyile£tirme. - ¥
7.3 (b) Risk de¤erlendirme ve risk i£leme planını güncelle£tirme. - ¥
7.3 (c)
Gerekti¤inde, BGYS üzerinde etkisi olabilecek iç ya da dı£ olaylara kar£ılık
vermek için bilgi güvenli¤ini
etkileyen prosedür ve kontrol de¤i£iklikleri, a£a¤ıdakilere de¤i£iklikleri içerir:
1) ¨£ gereksinimleri,
2) Güvenlik gereksinimleri,
3) Mevcut i£ gereksinimlerini etkileyen i£ prosesleri,
4) Düzenleyici ya da yasal gereksinimler,
5) Anla£ma yükümlülükleri ve
6) Risk seviyeleri ve/veya risk kabul kriterleri.
¥
7.3 (d) Kaynak ihtiyaçları. - ¥
7.3 (e) Kontrollerin etkinli¤inin nasıl ölçüldü¤ünü iyile£tirme. - ¥
8 BGYS yile¡tirme
8.1 Sürekli yile¡tirme
8.1
Kurulu£, bilgi güvenlik politikasını, güvenlik amaçlarını, denetim sonuçlarını,
izlenen olayların analizini,
düzeltici ve önleyici faaliyetleri ve yönetimin gözden geçirmelerini (Madde 7)
kullanarak BGYS etkinli¤ini
sürekli iyile£tirmelidir.
- ¥
8.2 Düzeltici Faaliyet
8,2
Kurulu£ tekrarları engellemek için, BGYS gereksinimleriyle uygunsuzlukların
nedenlerini gidermek üzere
önlemler almalıdır. Düzeltici faaliyet için dokümante edilmi£ prosedür a£a¤ıdaki
gereksinimleri
tanımlamalıdır:
- ¥
8.2 (a) Uygunsuzlukları tanımlama, - ¥
8.2 (b) Uygunsuzlukların nedenlerini belirleme, - ¥
8.2 (c)
Uygunsuzlukların tekrarlanmamasını sa¤lamak için ihtiyaç duyulan faaliyetleri
de¤erlendirme,
- ¥
8.2 (d) Gereken düzeltici faaliyetleri belirleme ve gerçekle£tirme, - ¥
8.2 (e) Gerçekle£tirilen faaliyetlerin sonuçlarını kaydetme (Madde 4.3.3) - ¥
8.2 (f) Gerçekle£tirilen düzeltici faaliyetleri gözden geçirme - ¥
8.3 Önleyici Faaliyet