SlideShare a Scribd company logo

Iso27001 2005

M
mfmurat

ıso 27001 2005 requırements

Automotive
1 of 2
Download to read offline
Ek-A Maddesi Standart Ba¡lı¢ı Açıklama  lgili Birim Durum Referans Dokümanlar Bulgular Denetim Durumu Alınan Aksiyonlar Yeni Durumu Notlar 4 Bilgi Güvenlik Yönetim Sistemi 4.1 Genel Gereksinimler 4.1 Genel Gereksinimler Kurulu£, dokümante edilmi£ bir BGYS’yi, kurulu£un tüm ticari faaliyetleri ve kar£ıla£tı¤ı riskleri ba¤lamında, kurmalı, gerçekle£tirmeli, i£letmeli, izlemeli, gözden geçirmeli, sürdürmeli ve geli£tirmelidir. A ¥ ¦ 4.1 Genel Gereksinimler Bu standardın bir gere¤i olarak, kullanılan proses PUKÖ modeline dayanır. B ¦ § 4.2 BGYS’nin kurulması ve yönetilmesi 4.2.1 BGYS'nin kurulması 4.2.1 (a) ¨£in, kurulu£un, yerle£im yerinin, varlıklarının ve teknolojisinin özelliklerine göre ve kapsamdan herhangi bir dı£arda bırakmanın ayrıntıları ve açıklamasını da ekleyerek, BGYS kapsamını ve sınırlarını tanımlama (Madde 1.2’ye bakılmalıdır). - C ©¥ 4.2.1 (b) ¨£in, kurulu£un, yerle£im yerinin, varlıklarının ve teknolojisinin özelliklerine göre a£a¤ıdaki özelliklere sahip bir BGYS politikası tanımlama: 1) Amaçlarını ortaya koymak için bir çerçeve içeren ve bilgi güvenli¤ine ili£kin bir eylem için kapsamlı bir yön kavramı ve prensipleri kuran, 2) ¨£ ve yasal ya da düzenleyici gereksinimleri ve sözle£meye ili£kin güvenlik yükümlülüklerini dikkate alan, 3)BGYS kurulumu ve sürdürülmesinin yer alaca¤ı stratejik kurumsal ve risk yönetimi ba¤lamını düzenleyen, 4) Riskin de¤erlendirilece¤i kriterleri kuran [Madde 4.2.1c)] ve 5) Yönetim tarafından onaylanmı£ olan. Not - Bu standardın amaçları bakımından, BGYS politikası bilgi güvenli¤i politikasının bir üst kümesi olarak kabul edilir. Bu politikalar bir dokümanda tanımlanabilir. D ¥ © 4.2.1 (c) Kurulu£un risk de¤erlendirme yakla£ımını tanımlama. 1) BGYS’ye ve tanımlanmı£ i£ bilgisi güvenli¤ine, yasal ve düzenleyici gereksinimlere uygun bir risk de¤erlendirme metodolojisi tanımlama. 2) Riskleri kabul etmek için kriterler geli£tirme ve kabul edilebilir risk seviyelerini tanımlama (Madde 5.1f’ye bakılmalıdır). Seçilen risk de¤erlendirme metodolojisi, risk de¤erlendirmelerinin kar£ıla£tırılabilir ve yeniden üretilebilir sonuçlar üretmesini sa¤lamalıdır. E ¥ 4.2.1 (d) Riskleri tanımlama. 1) BGYS kapsamındaki varlıkları ve bu varlıkların sahiplerini2) tanımlama. 2) Bu varlıklar için var olan tehditleri tanımlama. 3) Tehditlerin fayda sa¤layabilece¤i açıklıkları tanımlama. 4) Gizlilik, bütünlük ve kullanılabilirlik kayıplarının varlıklar üzerinde olabilecek etkilerini tanımlama. ¥ 4.2.1 (e) Riskleri çözümleme ve derecelendirme. 1) Varlıkların gizlili¤ine, bütünlü¤üne ya da kullanılabilirli¤ine ili£kin olu£an kayıpların olası sonuçlarını dikkate alarak, güvenlik ba£arısızlıklarından kaynaklanabilecek, kurulu£ üzerindeki i£ etkilerini de¤erlendirme. 2) Mevcut tehditler ve açıklıklar ve bu varlıklarla ili£kili etkiler ı£ı¤ında olu£an güvenlik ba£arısızlıklarının gerçekçi olasılı¤ını ve gerçekle£tirilen mevcut kontrolleri de¤erlendirme. 3) Risk seviyelerini tahmin etme. 4) Risklerin kabul edilebilir mi oldu¤unu yoksa Madde 4.2.1c’de riskleri kabul etmek için belirlenen kriterler kullanılarak iyile£tirme mi gerektirdi¤ini belirleme. ¥ 4.2.1 (f) Risklerin i£lenmesi için seçenekleri tanımlama ve de¤erlendirme. Olası eylemler a£a¤ıdakileri içerir: 1) Uygun kontrollerin uygulanması, 2) Kurulu£un politikalarını ve riskleri kabul etme kriterlerini açıkça kar£ılaması £artıyla, bilerek ve nesnel olarak risklerin kabul edilmesi (Madde 4.2.1c)2)), 3) Risklerden kaçınma ve 4) ¨li£kili i£ risklerini di¤er taraflara, örne¤in, sigorta £irketlerine, tedarikçilere aktarma. ¥ 4.2.1 (g) Risklerin i£lenmesi için kontrol amaçları ve kontrolleri seçme. Kontrol amaçları ve kontroller, risk de¤erlendirme ve risk i£leme proseslerince tanımlanan gereksinimleri kar£ılamak için seçilmeli ve gerçekle£tirilmelidir. Ek A’daki kontrol amaçları ve kontroller, tanımlanan gereksinimleri kapsamak için uygun oldu¤undan bu prosesin bir parçası olarak seçilmelidir. Ek A’da listelenen kontrol amaçları ve kontroller geni£ kapsamlı de¤ildir ve ek kontrol amaçları ve kontroller seçilebilir. Not - Ek A, kurulu£lar için yaygın £ekilde uygun oldu¤u dü£ünülen kapsamlı bir kontrol amaçları ve kontroller listesi içerir. Bu standardın kullanıcıları, hiçbir önemli kontrol seçene¤inin gözden kaçmamasını sa¤lamak amacıyla kontrol seçimi için bir ba£langıç noktası olarak Ek A’yı incelemelidirler. ¥ 4.2.1 (h) Sunulan artık risklere ili£kin yönetim onayı edinme. - ¥ 4.2.1 (i) BGYS’yi gerçekle£tirmek ve i£letmek için yönetim yetkilendirmesi edinme. - ¥ 4.2.1 (j) Uygulanabilirlik Bildirgesi hazırlama. - ¥ 4.2.2 BGYS'nin Gerçekle¡tirilmesi ve yile¡tirilmesi 4.2.2 (a) Bilgi güvenlik risklerini yönetmek için uygun yönetim eylemini, kaynakları, sorumlulukları ve öncelikleri tanımlayan bir risk i£leme planı hazırlama (Madde 5’e bakılmalıdır). - ¥ 4.2.2 (b) Finansman de¤erlendirmesini ve rollerin ve sorumlulukların tahsisini içeren, tanımlanan kontrol amaçlarına ula£mak için risk i£leme planını gerçekle£tirme. - ¥ 4.2.2 (c) Kontrol amaçlarını kar£ılamak için Madde 4.2.1g)’de seçilen kontrolleri gerçekle£tirme. - ¥ 4.2.2 (d) Seçilen kontroller veya kontrol gruplarının etkinli¤inin nasıl ölçülece¤ini tanımlama ve kar£ıla£tırılabilir ve yeniden üretilebilir sonuçlar üretmek amacıyla kontrol etkinli¤ini de¤erlendirmek için bu ölçümlerin nasıl kullanılaca¤ını belirleme (Madde 4.2.3c)’ye bakılmalıdır). Not - Kontrollerin etkinli¤inin ölçülmesi, yöneticiler ve personele kontrollerin planlanan kontrol amaçlarını ne kadar iyi düzeyde ba£ardı¤ına karar verme olana¤ı verir. ¥ 4.2.2 (e) E¤itim ve farkında olma programlarını gerçekle£tirme (Madde 5.2.2). - ¥ 4.2.2 (f) BGYS’nin i£leyi£ini yönetme. - ¥ 4.2.2 (g) BGYS kaynaklarını yönetme (Madde 5.2). - ¥ 4.2.2 (h) Güvenlik olaylarını anında saptayabilme ve güvenlik ihlal olaylarına hemen yanıt verebilme kabiliyetine sahip prosedürleri ve di¤er kontrolleri gerçekle£tirme (Madde 4.2.3a)). - ¥ 4.2.3 BGYS'nin zlenmesi ve Gözden Geçirilmesi ¨£leme sonuçlarındaki hataları anında saptama, 2) Denenen ve ba£arılı olan güvenlik kırılmaları ve ihlal olaylarını anında tanımlama, 3) Yönetimin, ki£ilere devredilen ya da bilgi teknolojisince gerçekle£tirilen güvenlik faaliyetlerinin 4.2.3 (a) ¨zleme ve gözden geçirme prosedürlerini ve di¤er kontrolleri a£a¤ıdakileri gerçekle£tirmek için yürütme: faaliyetlerinin beklenen biçimde çalı£ıp çalı£madı¤ını belirleyebilmesini sa¤lama, 4) Güvenlik olaylarını saptama ve belirteçler kullanarak güvenlik ihlal olaylarını önlemeye yardım etme ve 5) Bir güvenlik kırılmasını çözmek için alınan önlemlerin etkili olup olmadı¤ına karar verme. ¥ 4.2.3 (b) Güvenlik denetimlerinin sonuçları, ihlal olayları, etkinlik ölçümleri sonuçları ve tüm ilgili taraflardan önerileri ve geri bildirimleri dikkate alarak BGYS’nin (BGYS politikası ve amaçlarını kar£ılama ve güvenlik kontrollerini gözden geçirme dahil) etkinli¤inin düzenli olarak gözden geçirilmesini üstlenme. - ¥ 4.2.3 (c) Güvenlik gereksinimlerinin kar£ılandı¤ını do¤rulamak için kontrollerin etkinli¤ini ölçme. - ¥ 4.2.3 (d) A£a¤ıdakilerde olu£acak de¤i£iklikleri dikkate alarak, risk de¤erlendirmeyi planlanmı£ aralıklarda ve artık riskleri ve belirlenmi£ kabul edilebilir risk seviyelerini gözden geçirme: 1) Kurulu£, 2) Teknoloji, 3) ¨£ amaçları ve prosesleri, 4) Tanımlanmı£ tehditler, 5) Gerçekle£tirilen kontrollerin etkinli¤i ve 6) Yasal ve düzenleyici ortamdaki de¤i£iklikler, de¤i£tirilmi£ anla£ma yükümlülükleri ve sosyal iklimdeki de¤i£iklikler gibi dı£ olaylar. ¥ 4.2.3 (e) Planlanan aralıklarda iç BGYS denetimlerini gerçekle£tirme (Madde 6). Not - Bazen ilk taraf denetimleri olarak adlandırılan iç denetimler, iç amaçlarla kurulu£ tarafından veya kurulu£ adına gerçekle£tirilir. ¥ 4.2.3 (f) Kapsamın uygun kalması ve BGYS prosesindeki iyile£tirmelerin tanımlanmasını (Madde 7.1) sa¤lamak için, BGYS’nin yönetim tarafından düzenli olarak gözden geçirilmesini üstlenme. - ¥ 4.2.3 (g) ¨zleme ve gözden geçirme faaliyetlerindeki bulguları dikkate alarak güvenlik planlarını güncelle£tirme. - ¥ 4.2.3 (h) BGYS etkinli¤inde ya da performansında bir etkisi olabilecek eylemleri ve olayları kaydetme (Madde 4.3.3). - ¥ 4.2.4 BGYS'nin süreklili¢inin sa¢lanması ve iyile¡tirilmesi 4.2.4 Belirli aralıklarla kurulu£ a£a¤ıdakileri yapmalıdır: - ¥ 4.2.4 (a) BGYS’deki tanımlanan iyile£tirmeleri gerçekle£tirme. - ¥ 4.2.4 (b) Madde 8.2 ve Madde 8.3’e göre, uygun düzeltici ve engelleyici önlemler alma. Di¤er kurulu£ların ve kurulu£un kendisinin güvenlik deneyimlerinden alınan dersleri uygulama. - ¥ 4.2.4 (c) Eylemler ve iyile£tirmeleri tüm ilgili taraflara duruma uygun ayrıntı seviyesinde bildirme ve gerekirse nasıl ilerlenece¤i konusunda mutabık kalma. - ¥ 4.2.4 (d) ¨yile£tirmelerin tasarlanan amaçlara ula£masını sa¤lama. - ¥ 4.3 Dökümantasyon Gereksinimleri 4.3.1 Genel 4.3.1 Dokümantasyon yönetim kararlarının kayıtlarını içermeli, eylemlerin yönetim kararları ve politikalarına izlenebilir olmasını sa¤lamalı ve kaydedilen sonuçların yeniden üretilebilir olmasını sa¤lamalıdır. Seçilen kontrollerden geriye do¤ru risk de¤erlendirme ve risk i£leme proseslerinin sonuçlarına ve sonra da en geride BGYS politikası ve amaçlarına olan ili£kiyi gösterebilmek önemlidir. BGYS dokümantasyonu a£a¤ıdakileri kapsamalıdır: - ¥ 4.3.1 (a) BGYS politikası (Madde 4.2.1b)) ve kontrol amaçlarının dokümante edilmi£ ifadeleri, - ¥ 4.3.1 (b) BGYS kapsamı (Madde 4.2.1c)), - ¥ 4.3.1 (c) BGYS’yi destekleyici prosedürler ve kontroller, - ¥ 4.3.1 (d) Risk de¤erlendirme metodolojisinin bir tanımı (Madde 4.2.1c)), - ¥ 4.3.1 (e) Risk de¤erlendirme raporu (Madde 4.2.1c)- 4.2.1g)), - ¥ 4.3.1 (f) Risk i£leme planı (Madde 4.2.2b)), - ¥ 4.3.1 (g) Kurulu£ tarafından, bilgi güvenli¤i proseslerinin etkin planlanlanmasını, i£letilmesini ve kontrolünü sa¤lamak için ihtiyaç duyulan dokümante edilmi£ prosedürler ve kontrollerin etkinli¤inin nasıl ölçülece¤ini tanımlama (Madde 4.2.3c)). - ¥ 4.3.1 (h) Bu standard tarafından gerek duyulan kayıtlar (Madde 4.3.3) ve - ¥ 4.3.1 (i) Uygulanabilirlik Bildirgesi. - ¥ 4.3.2 Dökümanların Kontrolü 4.3.2 BGYS tarafından gerek duyulan dokümanlar korunmalı ve kontrol edilmelidir. Dokümante edilmi£ bir prosedür, a£a¤ıdakilere ihtiyaç duyan yönetim eylemlerini belirlemek için kurulmalıdır: - ¥ 4.3.2 (a) Yayınlanmadan önce dokümanları uygunluk açısından onaylama, - ¥ 4.3.2 (b) Gerekti¤inde dokümanları gözden geçirme, güncelleme ve tekrar onaylama, - ¥ 4.3.2 (c) Doküman de¤i£ikliklerinin ve mevcut revizyon durumunun tanınmasını sa¤lama, - ¥ 4.3.2 (d) Uygulanabilir dokümanların ilgili sürümlerinin kullanım noktalarında kullanılabilir olmasını sa¤lama, - ¥ 4.3.2 (e) Dokümanların okunaklı ve hazır olarak tanınabilir olmasını sa¤lama, - ¥ 4.3.2 (f) Dokümanların ihtiyaç duyanlar için kullanılabilir olmasını, aktarılmasını, saklanmasını ve sınıflandırılmalarına uygun prosedürlerle tamamen yok edilmelerini sa¤lama, - ¥ 4.3.2 (g) Dı£ kaynaklı dokümanların tanınmasını sa¤lama, - ¥ 4.3.2 (h) Doküman da¤ıtımının kontrol edilmesini sa¤lama, - ¥ 4.3.2 (i) Yürürlükte olmayan dokümanların istenmeden kullanımını engelleme - ¥ 4.3.2 (j) Herhangi bir amaç için tutuluyorlarsa, bu dokümanlara uygun kimlik uygulama. - ¥ 4.3.3 Kayıtların Kontrolü 4.3.3 Kayıtların Kontrolü Kayıtlar, gereksinimlere uygun oldu¤una ve BGYS’nin etkin i£ledi¤ine dair kanıtlar sa¤lamak için kurulmalı ve sürdürülmelidir. ¥
4.3.3 Kayıtların Kontrolü Kayıtlar korunmalı ve kontrol edilmelidir. ¥ 4.3.3 Kayıtların Kontrolü BGYS, ilgili her yasal ve düzenleyici gereksinimi dikkate almalıdır. ¥ 4.3.3 Kayıtların Kontrolü Kayıtlar, okunabilir, hemen tanınabilir ve geri alınabilir halde tutulmalıdır. ¥ 4.3.3 Kayıtların Kontrolü Kayıtların tanınması, saklanması, korunması, geri alınması, tutulma ve düzenleme zamanları için gereken kontroller dokümante edilmelidir. ¥ 4.3.3 Kayıtların Kontrolü Kayıtlar, Madde 4.2’de belirtildi¤i gibi proses performansına ve BGYS ile ilgili tüm güvenlik ihlal olaylarının olu£umlarına ili£kin tutulmalıdır. Örnek Kayıtlara ili£kin örnek olarak, ziyaretçi defteri, denetim kayıtları ve tamamlanmı£ eri£im yetkilendirme formları verilebilir. ¥ 5 Yönetim Sorumlulu¢u 5.1 Yönetimin Ba¢lılı¢ı 5,1 Yönetim BGYS’nin kurulumuna, gerçekle£tirilmesine, i£letimine, izlenmesine, gözden geçirilmesine, bakımına ve iyile£tirilmesine olan ba¤lılı¤ını a£a¤ıdakileri gerçekle£tirerek kanıtlamalıdır: - ¥ 5.1 (a) Bir BGYS politikası kurma, - ¥ 5.1 (b) BGYS amaçlarının ve planlarının kurulmu£ olmasını sa¤lama, - ¥ 5.1 (c) Bilgi güvenli¤i için rolleri ve sorumlulukları kurma, - ¥ 5.1 (d) Kurulu£a, bilgi güvenli¤i amaçlarını kar£ılamanın ve bilgi güvenli¤i politikalarına uyumun önemini, yasaya kar£ı sorumluluklarını ve sürekli iyile£tirmeye olan gereksinimi bildirme, - ¥ 5.1 (e) BGYS’yi kurmak, gerçekle£tirmek, i£letmek, izlemek, gözden geçirmek, sürdürmek ve iyile£tirmek için yeterli kaynak sa¤lama (Madde 5.2.1), - ¥ 5.1 (f) Riskleri kabul etme ölçütlerini ve kabul edilebilir risk seviyelerini belirleme, - ¥ 5.1 (g) ¨ç BGYS denetimlerinin gerçekle£tirilmi£ olmasını sa¤lama (Madde 6) ve - ¥ 5.1 (h) BGYS’nin yönetim gözden geçirmelerini gerçekle£tirme (Madde 7). - ¥ 5.2 Kaynak Yönetimi 5.2.1 Kaynakların Sa¢lanması 5.2.1 Kurulu£ a£a¤ıdakiler için gereken kaynaklara karar vermeli ve bunları sa¤lamalıdır: - ¥ 5.2.1 (a) Bir BGYS’yi kurma, gerçekle£tirme, i£letme, izleme, gözden geçirme, süreklili¤ini sa¤lama ve iyile£tirme, - ¥ 5.2.1 (b) Bilgi güvenli¤i prosedürlerinin i£ gereksinimlerini desteklemesini sa¤lama, - ¥ 5.2.1 (c) Yasal ve düzenleyici gereksinimleri ve sözle£meden do¤an güvenlik yükümlülüklerini tanımlama ve ifade etme, - ¥ 5.2.1 (d) Gerçekle£tirilen tüm kontrollerin do¤ru uygulanmasıyla uygun güvenli¤i sürdürme, - ¥ 5.2.1 (e) Gerekti¤inde gözden geçirmeleri gerçekle£tirme ve bu gözden geçirme sonuçlarına uygun olarak hareket etme - ¥ 5.2.1 (f) ¨htiyaç oldu¤unda, BGYS’nin etkinli¤ini iyile£tirme. - ¥ 5.2.2 E¢itim, Farkında olma ve Yeterlilik - 5.2.2 Kurulu£, BGYS’de tanımlanan sorumluluklara atanan tüm personelin istenen görevleri gerçekle£tirmeye yeterli oldu¤unu, a£a¤ıda belirtilenlerle sa¤lamalıdır: - ¥ 5.2.2 (a) BGYS’yi etkileyecek i£ler gerçekle£tiren personel için gerekli yeterlilikleri belirleme, - ¥ 5.2.2 (b) E¤itim sa¤lama veya bu ihtiyaçları kar£ılamak için di¤er eylemleri (örne¤in, yeterli uzmanlı¤a sahip personel istihdam etme) gerçekle£tirme, - ¥ 5.2.2 (c) Alınan önlemlerin etkinli¤ini de¤erlendirme - ¥ 5.2.2 (d) E¤itim, ö¤retim, beceriler, deneyim ve niteliklere ili£kin kayıtlar tutma (Madde 4.3.3). - ¥ 5.2.2 Kurulu£ aynı zamanda, ilgili tüm personelin bilgi güvenli¤i faaliyetlerinin yarar ve öneminin ve BGYS amaçlarına ula£ılmasına nasıl katkı sa¤layaca¤ının farkında olmasını sa¤lamalıdır. - ¥ 6 BGYS ç Denetimleri 6 Kurulu£ BGYS iç denetimlerini, BGYS kontrol amaçlarının, kontrollerinin, proseslerinin ve prosedürlerinin a£a¤ıdakileri gerçekle£tirip gerçekle£tirmedi¤ini belirlemek için planlanan aralıklarda gerçekle£tirmelidir: - ¥ 6 (a) Bu standardın gerekleri ve ilgili yasa ya da düzenlemelere uyum, - ¥ 6 (b) Tanımlanan bilgi güvenli¤i gereksinimelerine uyum, - ¥ 6 (c) Etkin olarak gerçekle£tirilip sürdürüldü¤ü, - ¥ 6 (d) Beklendi¤i gibi i£leyip i£lemedi¤i. - ¥ 6 Bir denetleme programı, bir önceki denetim sonuçlarının yanı sıra denetlenecek proseslerin ve alanların durumu ve önemi dikkate alınarak planlanmalıdır. Denetim kriterleri, kapsamı, sıklık ve yöntemler tanımlanmalıdır. Denetmenlerin seçiminde ve denetimlerin gerçekle£tirilmesinde, denetim prosesinin nesnel ve tarafsız olarak i£lemesi sa¤lanmalıdır. Denetmenler kendi çalı£malarını denetlememelidirler. Denetimlerin planlanması ve gerçekle£tirilmesindeki ve sonuçların raporlanması ve kayıtların tutulmasındaki (Madde 4.3.3) sorumluluklar ve gereksinimler, dokümante edilmi£ bir prosedür içinde tanımlanmalıdır. Denetlenen alandan sorumlu olan yönetim, saptanan uygunsuzlukların ve bunların nedenlerinin giderilmesi için, gereksiz gecikmeler olmaksızın önlemlerin alınmasını sa¤lamalıdır. ¨zleme faaliyetleri, alınan önlemlerin do¤rulanmasını ve do¤rulama sonuçlarının raporlanmasını (Madde 8) içermelidir. Not - ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing, BGYS iç denetimlerini gerçekle£tirmek için yardımcı bir kılavuzluk sa¤layabilir. - ¥ 7 BGYS'yi Yönetimin Gözden Geçirmesi 7.1 Genel Gereksinimler 7.1 Genel Gereksinimler Yönetim, kurulu£un BGYS’sini planlanan aralıklarla (en az yılda bir kez), sürekli uygunlu¤unu, do¤rulu¤unu ve etkinli¤ini sa¤lamak için gözden geçirmelidir. Bu gözden geçirme, bilgi güvenli¤i politikası ve bilgi güvenli¤i amaçları dahil BGYS’nin iyile£tirilmesi ve gereken de¤i£ikliklerin yapılması için fırsatların de¤erlendirilmesini içermelidir. Gözden geçirme sonuçları açıkça dokümante edilmeli ve kayıtlar tutulup saklanmalıdır (Madde 4.3.3). ¥ 7.2 Gözden Geçirme Girdisi 7,2 Yönetimin gözden geçirmesinin girdileri a£a¤ıdakileri içermelidir: - ¥ 7,2 Yönetimin gözden geçirmesinin girdileri a£a¤ıdakileri içermelidir: - ¥ 7.2 (a) BGYS denetimleri ve gözden geçirmelerinin sonuçları, - ¥ 7.2 (b) ¨lgili taraflardan edinilen geri bildirimler, - ¥ 7.2 (c) Kurulu£ta BGYS’nin performansını ve etkinli¤i artırmak için kullanılabilecek teknikler, ürünler ya da prosedürler, - ¥ 7.2 (d) Önleyici ve düzeltici faaliyetlerin durumu, - ¥ 7.2 (e) Önceki risk de¤erlendirmede uygun olarak ifade edilmeyen açıklıklar ya da tehditler, - ¥ 7.2 (f) Etkinlik ölçümlerinin sonuçları, - ¥ 7.2 (g) Önceki yönetim gözden geçirmelerinden izleme eylemleri, - ¥ 7.2 (h) BGYS’yi etkileyebilecek herhangi bir de¤i£iklik ve - ¥ 7.2 (i) ¨yile£tirme için öneriler. - ¥ 7.3 Gözden Geçirme Çıktısı 7,3 Yönetimin gözden geçirmesinin çıktıları, a£a¤ıdakilerle ilgili her kararı ve eylemi içermelidir: - ¥ 7.3 (a) BGYS etkinli¤ini iyile£tirme. - ¥ 7.3 (b) Risk de¤erlendirme ve risk i£leme planını güncelle£tirme. - ¥ 7.3 (c) Gerekti¤inde, BGYS üzerinde etkisi olabilecek iç ya da dı£ olaylara kar£ılık vermek için bilgi güvenli¤ini etkileyen prosedür ve kontrol de¤i£iklikleri, a£a¤ıdakilere de¤i£iklikleri içerir: 1) ¨£ gereksinimleri, 2) Güvenlik gereksinimleri, 3) Mevcut i£ gereksinimlerini etkileyen i£ prosesleri, 4) Düzenleyici ya da yasal gereksinimler, 5) Anla£ma yükümlülükleri ve 6) Risk seviyeleri ve/veya risk kabul kriterleri. ¥ 7.3 (d) Kaynak ihtiyaçları. - ¥ 7.3 (e) Kontrollerin etkinli¤inin nasıl ölçüldü¤ünü iyile£tirme. - ¥ 8 BGYS yile¡tirme 8.1 Sürekli yile¡tirme 8.1 Kurulu£, bilgi güvenlik politikasını, güvenlik amaçlarını, denetim sonuçlarını, izlenen olayların analizini, düzeltici ve önleyici faaliyetleri ve yönetimin gözden geçirmelerini (Madde 7) kullanarak BGYS etkinli¤ini sürekli iyile£tirmelidir. - ¥ 8.2 Düzeltici Faaliyet 8,2 Kurulu£ tekrarları engellemek için, BGYS gereksinimleriyle uygunsuzlukların nedenlerini gidermek üzere önlemler almalıdır. Düzeltici faaliyet için dokümante edilmi£ prosedür a£a¤ıdaki gereksinimleri tanımlamalıdır: - ¥ 8.2 (a) Uygunsuzlukları tanımlama, - ¥ 8.2 (b) Uygunsuzlukların nedenlerini belirleme, - ¥ 8.2 (c) Uygunsuzlukların tekrarlanmamasını sa¤lamak için ihtiyaç duyulan faaliyetleri de¤erlendirme, - ¥ 8.2 (d) Gereken düzeltici faaliyetleri belirleme ve gerçekle£tirme, - ¥ 8.2 (e) Gerçekle£tirilen faaliyetlerin sonuçlarını kaydetme (Madde 4.3.3) - ¥ 8.2 (f) Gerçekle£tirilen düzeltici faaliyetleri gözden geçirme - ¥ 8.3 Önleyici Faaliyet

Recommended

BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi SunumuBTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRWATCH ISO27001 Yazılımı
BTRWATCH ISO27001 YazılımıBTRWATCH ISO27001 Yazılımı
BTRWATCH ISO27001 Yazılımı
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
ISO 27001 BGYS DOKÜMANTASYON EĞİTİMİ
ISO 27001 BGYS DOKÜMANTASYON EĞİTİMİISO 27001 BGYS DOKÜMANTASYON EĞİTİMİ
ISO 27001 BGYS DOKÜMANTASYON EĞİTİMİ
Ferhat CAMGÖZ
 
ISO 27001:2013 versiyonu ile gelen değişiklikler
ISO 27001:2013 versiyonu ile gelen değişikliklerISO 27001:2013 versiyonu ile gelen değişiklikler
ISO 27001:2013 versiyonu ile gelen değişiklikler
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMUBTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Ts 18001 eğitimi
Ts 18001 eğitimiTs 18001 eğitimi
Ts 18001 eğitimi
Fatih Ozcan
 
Informacion Actividades segundo periodo
Informacion Actividades segundo periodoInformacion Actividades segundo periodo
Informacion Actividades segundo periodo
Maria Jose Palacio Montoya
 
American Football Handicapping: Betting Expert Preview of SEC East
American Football Handicapping: Betting Expert Preview of SEC EastAmerican Football Handicapping: Betting Expert Preview of SEC East
American Football Handicapping: Betting Expert Preview of SEC East
Joe Duffy
 

Recommended

BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi SunumuBTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRWATCH ISO27001 Yazılımı
BTRWATCH ISO27001 YazılımıBTRWATCH ISO27001 Yazılımı
BTRWATCH ISO27001 Yazılımı
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
ISO 27001 BGYS DOKÜMANTASYON EĞİTİMİ
ISO 27001 BGYS DOKÜMANTASYON EĞİTİMİISO 27001 BGYS DOKÜMANTASYON EĞİTİMİ
ISO 27001 BGYS DOKÜMANTASYON EĞİTİMİ
Ferhat CAMGÖZ
 
ISO 27001:2013 versiyonu ile gelen değişiklikler
ISO 27001:2013 versiyonu ile gelen değişikliklerISO 27001:2013 versiyonu ile gelen değişiklikler
ISO 27001:2013 versiyonu ile gelen değişiklikler
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMUBTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Ts 18001 eğitimi
Ts 18001 eğitimiTs 18001 eğitimi
Ts 18001 eğitimi
Fatih Ozcan
 
Informacion Actividades segundo periodo
Informacion Actividades segundo periodoInformacion Actividades segundo periodo
Informacion Actividades segundo periodo
Maria Jose Palacio Montoya
 
American Football Handicapping: Betting Expert Preview of SEC East
American Football Handicapping: Betting Expert Preview of SEC EastAmerican Football Handicapping: Betting Expert Preview of SEC East
American Football Handicapping: Betting Expert Preview of SEC East
Joe Duffy
 
IMCSummit 2015 - Day 1 - General Session - From Big Data to Fast Data
IMCSummit 2015 - Day 1 - General Session - From Big Data to Fast DataIMCSummit 2015 - Day 1 - General Session - From Big Data to Fast Data
IMCSummit 2015 - Day 1 - General Session - From Big Data to Fast Data
In-Memory Computing Summit
 
Moslem[agt]
Moslem[agt]Moslem[agt]
Moslem[agt]
jose cruz
 
Community Skills Initiative
Community Skills InitiativeCommunity Skills Initiative
Community Skills Initiative
C.P.D.M.S. Ltd
 
Para los michoacanos
Para los michoacanosPara los michoacanos
Para los michoacanos
camisanegra
 
Estructura del conocimiento
Estructura del conocimientoEstructura del conocimiento
Estructura del conocimiento
LIZBETH GARCÍA BARRÓN
 
Reporter 183
Reporter 183Reporter 183
Reporter 183
José Augusto Fiorin
 
Development Toolbox
Development ToolboxDevelopment Toolbox
Development Toolbox
cmahnke
 
A garcia los saberes de mis estudiantes en el uso de las tic y de internet
A garcia los saberes de mis estudiantes en el uso de las tic y de internetA garcia los saberes de mis estudiantes en el uso de las tic y de internet
A garcia los saberes de mis estudiantes en el uso de las tic y de internet
araceli.garciavega
 
Informe de ubuntu tarea 3
Informe de ubuntu tarea 3Informe de ubuntu tarea 3
Informe de ubuntu tarea 3
Elizabeth León
 
Potensial
PotensialPotensial
Potensial
Fajar Ramadhan
 
ISO 27001 BGYS TEMEL EĞİTİMİ
ISO 27001 BGYS TEMEL EĞİTİMİISO 27001 BGYS TEMEL EĞİTİMİ
ISO 27001 BGYS TEMEL EĞİTİMİ
Ferhat CAMGÖZ
 
MedicReS BeGMR TITCK IKU KALITE YONETIMI
MedicReS BeGMR TITCK IKU KALITE YONETIMIMedicReS BeGMR TITCK IKU KALITE YONETIMI
MedicReS BeGMR TITCK IKU KALITE YONETIMI
MedicReS
 
Okyanus: Tehlike Analizi - HACCP Planı Kontrol Soru Listesi (Okyanus Danışman...
Okyanus: Tehlike Analizi - HACCP Planı Kontrol Soru Listesi (Okyanus Danışman...Okyanus: Tehlike Analizi - HACCP Planı Kontrol Soru Listesi (Okyanus Danışman...
Okyanus: Tehlike Analizi - HACCP Planı Kontrol Soru Listesi (Okyanus Danışman...
Murat Özdemir
 
Denetim - Güncel Yaklaşımlar
Denetim - Güncel YaklaşımlarDenetim - Güncel Yaklaşımlar
Denetim - Güncel Yaklaşımlar
Salih Islam
 
ISO 45001
ISO 45001 ISO 45001
ISO 45001
Yahya Kemal KÖSALI
 
Tıbbi cihazlarda yazılım yaşam çevrimi EN 62304
Tıbbi cihazlarda yazılım yaşam çevrimi EN 62304Tıbbi cihazlarda yazılım yaşam çevrimi EN 62304
Tıbbi cihazlarda yazılım yaşam çevrimi EN 62304
S.Oguz Savas
 
Malzeme Yönetimi _CII - IR7.pdf
Malzeme Yönetimi _CII - IR7.pdfMalzeme Yönetimi _CII - IR7.pdf
Malzeme Yönetimi _CII - IR7.pdf
HilmiCoskun
 
ISO 22000 GIDA GÜVENLİĞİ Karar destek sistemi
ISO 22000 GIDA GÜVENLİĞİ Karar destek sistemiISO 22000 GIDA GÜVENLİĞİ Karar destek sistemi
ISO 22000 GIDA GÜVENLİĞİ Karar destek sistemi
ufuk cebeci
 
Iso 9001 2008
Iso 9001 2008Iso 9001 2008
Iso 9001 2008
D_k_r M_r_t
 
Hastane Poliklinik Otomasyonu
Hastane Poliklinik OtomasyonuHastane Poliklinik Otomasyonu
Hastane Poliklinik Otomasyonu
Resul Rıza Dolaner
 

More Related Content

Viewers also liked

Para los michoacanos
Para los michoacanosPara los michoacanos
Para los michoacanos
camisanegra
 
Informe de ubuntu tarea 3
Informe de ubuntu tarea 3Informe de ubuntu tarea 3
Informe de ubuntu tarea 3
Elizabeth León
 

Viewers also liked (10)

IMCSummit 2015 - Day 1 - General Session - From Big Data to Fast Data
IMCSummit 2015 - Day 1 - General Session - From Big Data to Fast DataIMCSummit 2015 - Day 1 - General Session - From Big Data to Fast Data
IMCSummit 2015 - Day 1 - General Session - From Big Data to Fast Data
 
Moslem[agt]
Moslem[agt]Moslem[agt]
Moslem[agt]
 
Community Skills Initiative
Community Skills InitiativeCommunity Skills Initiative
Community Skills Initiative
 
Para los michoacanos
Para los michoacanosPara los michoacanos
Para los michoacanos
 
Estructura del conocimiento
Estructura del conocimientoEstructura del conocimiento
Estructura del conocimiento
 
Reporter 183
Reporter 183Reporter 183
Reporter 183
 
Development Toolbox
Development ToolboxDevelopment Toolbox
Development Toolbox
 
A garcia los saberes de mis estudiantes en el uso de las tic y de internet
A garcia los saberes de mis estudiantes en el uso de las tic y de internetA garcia los saberes de mis estudiantes en el uso de las tic y de internet
A garcia los saberes de mis estudiantes en el uso de las tic y de internet
 
Informe de ubuntu tarea 3
Informe de ubuntu tarea 3Informe de ubuntu tarea 3
Informe de ubuntu tarea 3
 
Potensial
PotensialPotensial
Potensial
 

Similar to Iso27001 2005

ISO 22000 GIDA GÜVENLİĞİ Karar destek sistemi
ISO 22000 GIDA GÜVENLİĞİ Karar destek sistemiISO 22000 GIDA GÜVENLİĞİ Karar destek sistemi
ISO 22000 GIDA GÜVENLİĞİ Karar destek sistemi
ufuk cebeci
 

Similar to Iso27001 2005 (10)

ISO 27001 BGYS TEMEL EĞİTİMİ
ISO 27001 BGYS TEMEL EĞİTİMİISO 27001 BGYS TEMEL EĞİTİMİ
ISO 27001 BGYS TEMEL EĞİTİMİ
 
MedicReS BeGMR TITCK IKU KALITE YONETIMI
MedicReS BeGMR TITCK IKU KALITE YONETIMIMedicReS BeGMR TITCK IKU KALITE YONETIMI
MedicReS BeGMR TITCK IKU KALITE YONETIMI
 
Okyanus: Tehlike Analizi - HACCP Planı Kontrol Soru Listesi (Okyanus Danışman...
Okyanus: Tehlike Analizi - HACCP Planı Kontrol Soru Listesi (Okyanus Danışman...Okyanus: Tehlike Analizi - HACCP Planı Kontrol Soru Listesi (Okyanus Danışman...
Okyanus: Tehlike Analizi - HACCP Planı Kontrol Soru Listesi (Okyanus Danışman...
 
Denetim - Güncel Yaklaşımlar
Denetim - Güncel YaklaşımlarDenetim - Güncel Yaklaşımlar
Denetim - Güncel Yaklaşımlar
 
ISO 45001
ISO 45001 ISO 45001
ISO 45001
 
Tıbbi cihazlarda yazılım yaşam çevrimi EN 62304
Tıbbi cihazlarda yazılım yaşam çevrimi EN 62304Tıbbi cihazlarda yazılım yaşam çevrimi EN 62304
Tıbbi cihazlarda yazılım yaşam çevrimi EN 62304
 
Malzeme Yönetimi _CII - IR7.pdf
Malzeme Yönetimi _CII - IR7.pdfMalzeme Yönetimi _CII - IR7.pdf
Malzeme Yönetimi _CII - IR7.pdf
 
ISO 22000 GIDA GÜVENLİĞİ Karar destek sistemi
ISO 22000 GIDA GÜVENLİĞİ Karar destek sistemiISO 22000 GIDA GÜVENLİĞİ Karar destek sistemi
ISO 22000 GIDA GÜVENLİĞİ Karar destek sistemi
 
Iso 9001 2008
Iso 9001 2008Iso 9001 2008
Iso 9001 2008
 
Hastane Poliklinik Otomasyonu
Hastane Poliklinik OtomasyonuHastane Poliklinik Otomasyonu
Hastane Poliklinik Otomasyonu
 

Iso27001 2005

  • 1. Ek-A Maddesi Standart Ba¡lı¢ı Açıklama  lgili Birim Durum Referans Dokümanlar Bulgular Denetim Durumu Alınan Aksiyonlar Yeni Durumu Notlar 4 Bilgi Güvenlik Yönetim Sistemi 4.1 Genel Gereksinimler 4.1 Genel Gereksinimler Kurulu£, dokümante edilmi£ bir BGYS’yi, kurulu£un tüm ticari faaliyetleri ve kar£ıla£tı¤ı riskleri ba¤lamında, kurmalı, gerçekle£tirmeli, i£letmeli, izlemeli, gözden geçirmeli, sürdürmeli ve geli£tirmelidir. A ¥ ¦ 4.1 Genel Gereksinimler Bu standardın bir gere¤i olarak, kullanılan proses PUKÖ modeline dayanır. B ¦ § 4.2 BGYS’nin kurulması ve yönetilmesi 4.2.1 BGYS'nin kurulması 4.2.1 (a) ¨£in, kurulu£un, yerle£im yerinin, varlıklarının ve teknolojisinin özelliklerine göre ve kapsamdan herhangi bir dı£arda bırakmanın ayrıntıları ve açıklamasını da ekleyerek, BGYS kapsamını ve sınırlarını tanımlama (Madde 1.2’ye bakılmalıdır). - C ©¥ 4.2.1 (b) ¨£in, kurulu£un, yerle£im yerinin, varlıklarının ve teknolojisinin özelliklerine göre a£a¤ıdaki özelliklere sahip bir BGYS politikası tanımlama: 1) Amaçlarını ortaya koymak için bir çerçeve içeren ve bilgi güvenli¤ine ili£kin bir eylem için kapsamlı bir yön kavramı ve prensipleri kuran, 2) ¨£ ve yasal ya da düzenleyici gereksinimleri ve sözle£meye ili£kin güvenlik yükümlülüklerini dikkate alan, 3)BGYS kurulumu ve sürdürülmesinin yer alaca¤ı stratejik kurumsal ve risk yönetimi ba¤lamını düzenleyen, 4) Riskin de¤erlendirilece¤i kriterleri kuran [Madde 4.2.1c)] ve 5) Yönetim tarafından onaylanmı£ olan. Not - Bu standardın amaçları bakımından, BGYS politikası bilgi güvenli¤i politikasının bir üst kümesi olarak kabul edilir. Bu politikalar bir dokümanda tanımlanabilir. D ¥ © 4.2.1 (c) Kurulu£un risk de¤erlendirme yakla£ımını tanımlama. 1) BGYS’ye ve tanımlanmı£ i£ bilgisi güvenli¤ine, yasal ve düzenleyici gereksinimlere uygun bir risk de¤erlendirme metodolojisi tanımlama. 2) Riskleri kabul etmek için kriterler geli£tirme ve kabul edilebilir risk seviyelerini tanımlama (Madde 5.1f’ye bakılmalıdır). Seçilen risk de¤erlendirme metodolojisi, risk de¤erlendirmelerinin kar£ıla£tırılabilir ve yeniden üretilebilir sonuçlar üretmesini sa¤lamalıdır. E ¥ 4.2.1 (d) Riskleri tanımlama. 1) BGYS kapsamındaki varlıkları ve bu varlıkların sahiplerini2) tanımlama. 2) Bu varlıklar için var olan tehditleri tanımlama. 3) Tehditlerin fayda sa¤layabilece¤i açıklıkları tanımlama. 4) Gizlilik, bütünlük ve kullanılabilirlik kayıplarının varlıklar üzerinde olabilecek etkilerini tanımlama. ¥ 4.2.1 (e) Riskleri çözümleme ve derecelendirme. 1) Varlıkların gizlili¤ine, bütünlü¤üne ya da kullanılabilirli¤ine ili£kin olu£an kayıpların olası sonuçlarını dikkate alarak, güvenlik ba£arısızlıklarından kaynaklanabilecek, kurulu£ üzerindeki i£ etkilerini de¤erlendirme. 2) Mevcut tehditler ve açıklıklar ve bu varlıklarla ili£kili etkiler ı£ı¤ında olu£an güvenlik ba£arısızlıklarının gerçekçi olasılı¤ını ve gerçekle£tirilen mevcut kontrolleri de¤erlendirme. 3) Risk seviyelerini tahmin etme. 4) Risklerin kabul edilebilir mi oldu¤unu yoksa Madde 4.2.1c’de riskleri kabul etmek için belirlenen kriterler kullanılarak iyile£tirme mi gerektirdi¤ini belirleme. ¥ 4.2.1 (f) Risklerin i£lenmesi için seçenekleri tanımlama ve de¤erlendirme. Olası eylemler a£a¤ıdakileri içerir: 1) Uygun kontrollerin uygulanması, 2) Kurulu£un politikalarını ve riskleri kabul etme kriterlerini açıkça kar£ılaması £artıyla, bilerek ve nesnel olarak risklerin kabul edilmesi (Madde 4.2.1c)2)), 3) Risklerden kaçınma ve 4) ¨li£kili i£ risklerini di¤er taraflara, örne¤in, sigorta £irketlerine, tedarikçilere aktarma. ¥ 4.2.1 (g) Risklerin i£lenmesi için kontrol amaçları ve kontrolleri seçme. Kontrol amaçları ve kontroller, risk de¤erlendirme ve risk i£leme proseslerince tanımlanan gereksinimleri kar£ılamak için seçilmeli ve gerçekle£tirilmelidir. Ek A’daki kontrol amaçları ve kontroller, tanımlanan gereksinimleri kapsamak için uygun oldu¤undan bu prosesin bir parçası olarak seçilmelidir. Ek A’da listelenen kontrol amaçları ve kontroller geni£ kapsamlı de¤ildir ve ek kontrol amaçları ve kontroller seçilebilir. Not - Ek A, kurulu£lar için yaygın £ekilde uygun oldu¤u dü£ünülen kapsamlı bir kontrol amaçları ve kontroller listesi içerir. Bu standardın kullanıcıları, hiçbir önemli kontrol seçene¤inin gözden kaçmamasını sa¤lamak amacıyla kontrol seçimi için bir ba£langıç noktası olarak Ek A’yı incelemelidirler. ¥ 4.2.1 (h) Sunulan artık risklere ili£kin yönetim onayı edinme. - ¥ 4.2.1 (i) BGYS’yi gerçekle£tirmek ve i£letmek için yönetim yetkilendirmesi edinme. - ¥ 4.2.1 (j) Uygulanabilirlik Bildirgesi hazırlama. - ¥ 4.2.2 BGYS'nin Gerçekle¡tirilmesi ve yile¡tirilmesi 4.2.2 (a) Bilgi güvenlik risklerini yönetmek için uygun yönetim eylemini, kaynakları, sorumlulukları ve öncelikleri tanımlayan bir risk i£leme planı hazırlama (Madde 5’e bakılmalıdır). - ¥ 4.2.2 (b) Finansman de¤erlendirmesini ve rollerin ve sorumlulukların tahsisini içeren, tanımlanan kontrol amaçlarına ula£mak için risk i£leme planını gerçekle£tirme. - ¥ 4.2.2 (c) Kontrol amaçlarını kar£ılamak için Madde 4.2.1g)’de seçilen kontrolleri gerçekle£tirme. - ¥ 4.2.2 (d) Seçilen kontroller veya kontrol gruplarının etkinli¤inin nasıl ölçülece¤ini tanımlama ve kar£ıla£tırılabilir ve yeniden üretilebilir sonuçlar üretmek amacıyla kontrol etkinli¤ini de¤erlendirmek için bu ölçümlerin nasıl kullanılaca¤ını belirleme (Madde 4.2.3c)’ye bakılmalıdır). Not - Kontrollerin etkinli¤inin ölçülmesi, yöneticiler ve personele kontrollerin planlanan kontrol amaçlarını ne kadar iyi düzeyde ba£ardı¤ına karar verme olana¤ı verir. ¥ 4.2.2 (e) E¤itim ve farkında olma programlarını gerçekle£tirme (Madde 5.2.2). - ¥ 4.2.2 (f) BGYS’nin i£leyi£ini yönetme. - ¥ 4.2.2 (g) BGYS kaynaklarını yönetme (Madde 5.2). - ¥ 4.2.2 (h) Güvenlik olaylarını anında saptayabilme ve güvenlik ihlal olaylarına hemen yanıt verebilme kabiliyetine sahip prosedürleri ve di¤er kontrolleri gerçekle£tirme (Madde 4.2.3a)). - ¥ 4.2.3 BGYS'nin zlenmesi ve Gözden Geçirilmesi ¨£leme sonuçlarındaki hataları anında saptama, 2) Denenen ve ba£arılı olan güvenlik kırılmaları ve ihlal olaylarını anında tanımlama, 3) Yönetimin, ki£ilere devredilen ya da bilgi teknolojisince gerçekle£tirilen güvenlik faaliyetlerinin 4.2.3 (a) ¨zleme ve gözden geçirme prosedürlerini ve di¤er kontrolleri a£a¤ıdakileri gerçekle£tirmek için yürütme: faaliyetlerinin beklenen biçimde çalı£ıp çalı£madı¤ını belirleyebilmesini sa¤lama, 4) Güvenlik olaylarını saptama ve belirteçler kullanarak güvenlik ihlal olaylarını önlemeye yardım etme ve 5) Bir güvenlik kırılmasını çözmek için alınan önlemlerin etkili olup olmadı¤ına karar verme. ¥ 4.2.3 (b) Güvenlik denetimlerinin sonuçları, ihlal olayları, etkinlik ölçümleri sonuçları ve tüm ilgili taraflardan önerileri ve geri bildirimleri dikkate alarak BGYS’nin (BGYS politikası ve amaçlarını kar£ılama ve güvenlik kontrollerini gözden geçirme dahil) etkinli¤inin düzenli olarak gözden geçirilmesini üstlenme. - ¥ 4.2.3 (c) Güvenlik gereksinimlerinin kar£ılandı¤ını do¤rulamak için kontrollerin etkinli¤ini ölçme. - ¥ 4.2.3 (d) A£a¤ıdakilerde olu£acak de¤i£iklikleri dikkate alarak, risk de¤erlendirmeyi planlanmı£ aralıklarda ve artık riskleri ve belirlenmi£ kabul edilebilir risk seviyelerini gözden geçirme: 1) Kurulu£, 2) Teknoloji, 3) ¨£ amaçları ve prosesleri, 4) Tanımlanmı£ tehditler, 5) Gerçekle£tirilen kontrollerin etkinli¤i ve 6) Yasal ve düzenleyici ortamdaki de¤i£iklikler, de¤i£tirilmi£ anla£ma yükümlülükleri ve sosyal iklimdeki de¤i£iklikler gibi dı£ olaylar. ¥ 4.2.3 (e) Planlanan aralıklarda iç BGYS denetimlerini gerçekle£tirme (Madde 6). Not - Bazen ilk taraf denetimleri olarak adlandırılan iç denetimler, iç amaçlarla kurulu£ tarafından veya kurulu£ adına gerçekle£tirilir. ¥ 4.2.3 (f) Kapsamın uygun kalması ve BGYS prosesindeki iyile£tirmelerin tanımlanmasını (Madde 7.1) sa¤lamak için, BGYS’nin yönetim tarafından düzenli olarak gözden geçirilmesini üstlenme. - ¥ 4.2.3 (g) ¨zleme ve gözden geçirme faaliyetlerindeki bulguları dikkate alarak güvenlik planlarını güncelle£tirme. - ¥ 4.2.3 (h) BGYS etkinli¤inde ya da performansında bir etkisi olabilecek eylemleri ve olayları kaydetme (Madde 4.3.3). - ¥ 4.2.4 BGYS'nin süreklili¢inin sa¢lanması ve iyile¡tirilmesi 4.2.4 Belirli aralıklarla kurulu£ a£a¤ıdakileri yapmalıdır: - ¥ 4.2.4 (a) BGYS’deki tanımlanan iyile£tirmeleri gerçekle£tirme. - ¥ 4.2.4 (b) Madde 8.2 ve Madde 8.3’e göre, uygun düzeltici ve engelleyici önlemler alma. Di¤er kurulu£ların ve kurulu£un kendisinin güvenlik deneyimlerinden alınan dersleri uygulama. - ¥ 4.2.4 (c) Eylemler ve iyile£tirmeleri tüm ilgili taraflara duruma uygun ayrıntı seviyesinde bildirme ve gerekirse nasıl ilerlenece¤i konusunda mutabık kalma. - ¥ 4.2.4 (d) ¨yile£tirmelerin tasarlanan amaçlara ula£masını sa¤lama. - ¥ 4.3 Dökümantasyon Gereksinimleri 4.3.1 Genel 4.3.1 Dokümantasyon yönetim kararlarının kayıtlarını içermeli, eylemlerin yönetim kararları ve politikalarına izlenebilir olmasını sa¤lamalı ve kaydedilen sonuçların yeniden üretilebilir olmasını sa¤lamalıdır. Seçilen kontrollerden geriye do¤ru risk de¤erlendirme ve risk i£leme proseslerinin sonuçlarına ve sonra da en geride BGYS politikası ve amaçlarına olan ili£kiyi gösterebilmek önemlidir. BGYS dokümantasyonu a£a¤ıdakileri kapsamalıdır: - ¥ 4.3.1 (a) BGYS politikası (Madde 4.2.1b)) ve kontrol amaçlarının dokümante edilmi£ ifadeleri, - ¥ 4.3.1 (b) BGYS kapsamı (Madde 4.2.1c)), - ¥ 4.3.1 (c) BGYS’yi destekleyici prosedürler ve kontroller, - ¥ 4.3.1 (d) Risk de¤erlendirme metodolojisinin bir tanımı (Madde 4.2.1c)), - ¥ 4.3.1 (e) Risk de¤erlendirme raporu (Madde 4.2.1c)- 4.2.1g)), - ¥ 4.3.1 (f) Risk i£leme planı (Madde 4.2.2b)), - ¥ 4.3.1 (g) Kurulu£ tarafından, bilgi güvenli¤i proseslerinin etkin planlanlanmasını, i£letilmesini ve kontrolünü sa¤lamak için ihtiyaç duyulan dokümante edilmi£ prosedürler ve kontrollerin etkinli¤inin nasıl ölçülece¤ini tanımlama (Madde 4.2.3c)). - ¥ 4.3.1 (h) Bu standard tarafından gerek duyulan kayıtlar (Madde 4.3.3) ve - ¥ 4.3.1 (i) Uygulanabilirlik Bildirgesi. - ¥ 4.3.2 Dökümanların Kontrolü 4.3.2 BGYS tarafından gerek duyulan dokümanlar korunmalı ve kontrol edilmelidir. Dokümante edilmi£ bir prosedür, a£a¤ıdakilere ihtiyaç duyan yönetim eylemlerini belirlemek için kurulmalıdır: - ¥ 4.3.2 (a) Yayınlanmadan önce dokümanları uygunluk açısından onaylama, - ¥ 4.3.2 (b) Gerekti¤inde dokümanları gözden geçirme, güncelleme ve tekrar onaylama, - ¥ 4.3.2 (c) Doküman de¤i£ikliklerinin ve mevcut revizyon durumunun tanınmasını sa¤lama, - ¥ 4.3.2 (d) Uygulanabilir dokümanların ilgili sürümlerinin kullanım noktalarında kullanılabilir olmasını sa¤lama, - ¥ 4.3.2 (e) Dokümanların okunaklı ve hazır olarak tanınabilir olmasını sa¤lama, - ¥ 4.3.2 (f) Dokümanların ihtiyaç duyanlar için kullanılabilir olmasını, aktarılmasını, saklanmasını ve sınıflandırılmalarına uygun prosedürlerle tamamen yok edilmelerini sa¤lama, - ¥ 4.3.2 (g) Dı£ kaynaklı dokümanların tanınmasını sa¤lama, - ¥ 4.3.2 (h) Doküman da¤ıtımının kontrol edilmesini sa¤lama, - ¥ 4.3.2 (i) Yürürlükte olmayan dokümanların istenmeden kullanımını engelleme - ¥ 4.3.2 (j) Herhangi bir amaç için tutuluyorlarsa, bu dokümanlara uygun kimlik uygulama. - ¥ 4.3.3 Kayıtların Kontrolü 4.3.3 Kayıtların Kontrolü Kayıtlar, gereksinimlere uygun oldu¤una ve BGYS’nin etkin i£ledi¤ine dair kanıtlar sa¤lamak için kurulmalı ve sürdürülmelidir. ¥
  • 2. 4.3.3 Kayıtların Kontrolü Kayıtlar korunmalı ve kontrol edilmelidir. ¥ 4.3.3 Kayıtların Kontrolü BGYS, ilgili her yasal ve düzenleyici gereksinimi dikkate almalıdır. ¥ 4.3.3 Kayıtların Kontrolü Kayıtlar, okunabilir, hemen tanınabilir ve geri alınabilir halde tutulmalıdır. ¥ 4.3.3 Kayıtların Kontrolü Kayıtların tanınması, saklanması, korunması, geri alınması, tutulma ve düzenleme zamanları için gereken kontroller dokümante edilmelidir. ¥ 4.3.3 Kayıtların Kontrolü Kayıtlar, Madde 4.2’de belirtildi¤i gibi proses performansına ve BGYS ile ilgili tüm güvenlik ihlal olaylarının olu£umlarına ili£kin tutulmalıdır. Örnek Kayıtlara ili£kin örnek olarak, ziyaretçi defteri, denetim kayıtları ve tamamlanmı£ eri£im yetkilendirme formları verilebilir. ¥ 5 Yönetim Sorumlulu¢u 5.1 Yönetimin Ba¢lılı¢ı 5,1 Yönetim BGYS’nin kurulumuna, gerçekle£tirilmesine, i£letimine, izlenmesine, gözden geçirilmesine, bakımına ve iyile£tirilmesine olan ba¤lılı¤ını a£a¤ıdakileri gerçekle£tirerek kanıtlamalıdır: - ¥ 5.1 (a) Bir BGYS politikası kurma, - ¥ 5.1 (b) BGYS amaçlarının ve planlarının kurulmu£ olmasını sa¤lama, - ¥ 5.1 (c) Bilgi güvenli¤i için rolleri ve sorumlulukları kurma, - ¥ 5.1 (d) Kurulu£a, bilgi güvenli¤i amaçlarını kar£ılamanın ve bilgi güvenli¤i politikalarına uyumun önemini, yasaya kar£ı sorumluluklarını ve sürekli iyile£tirmeye olan gereksinimi bildirme, - ¥ 5.1 (e) BGYS’yi kurmak, gerçekle£tirmek, i£letmek, izlemek, gözden geçirmek, sürdürmek ve iyile£tirmek için yeterli kaynak sa¤lama (Madde 5.2.1), - ¥ 5.1 (f) Riskleri kabul etme ölçütlerini ve kabul edilebilir risk seviyelerini belirleme, - ¥ 5.1 (g) ¨ç BGYS denetimlerinin gerçekle£tirilmi£ olmasını sa¤lama (Madde 6) ve - ¥ 5.1 (h) BGYS’nin yönetim gözden geçirmelerini gerçekle£tirme (Madde 7). - ¥ 5.2 Kaynak Yönetimi 5.2.1 Kaynakların Sa¢lanması 5.2.1 Kurulu£ a£a¤ıdakiler için gereken kaynaklara karar vermeli ve bunları sa¤lamalıdır: - ¥ 5.2.1 (a) Bir BGYS’yi kurma, gerçekle£tirme, i£letme, izleme, gözden geçirme, süreklili¤ini sa¤lama ve iyile£tirme, - ¥ 5.2.1 (b) Bilgi güvenli¤i prosedürlerinin i£ gereksinimlerini desteklemesini sa¤lama, - ¥ 5.2.1 (c) Yasal ve düzenleyici gereksinimleri ve sözle£meden do¤an güvenlik yükümlülüklerini tanımlama ve ifade etme, - ¥ 5.2.1 (d) Gerçekle£tirilen tüm kontrollerin do¤ru uygulanmasıyla uygun güvenli¤i sürdürme, - ¥ 5.2.1 (e) Gerekti¤inde gözden geçirmeleri gerçekle£tirme ve bu gözden geçirme sonuçlarına uygun olarak hareket etme - ¥ 5.2.1 (f) ¨htiyaç oldu¤unda, BGYS’nin etkinli¤ini iyile£tirme. - ¥ 5.2.2 E¢itim, Farkında olma ve Yeterlilik - 5.2.2 Kurulu£, BGYS’de tanımlanan sorumluluklara atanan tüm personelin istenen görevleri gerçekle£tirmeye yeterli oldu¤unu, a£a¤ıda belirtilenlerle sa¤lamalıdır: - ¥ 5.2.2 (a) BGYS’yi etkileyecek i£ler gerçekle£tiren personel için gerekli yeterlilikleri belirleme, - ¥ 5.2.2 (b) E¤itim sa¤lama veya bu ihtiyaçları kar£ılamak için di¤er eylemleri (örne¤in, yeterli uzmanlı¤a sahip personel istihdam etme) gerçekle£tirme, - ¥ 5.2.2 (c) Alınan önlemlerin etkinli¤ini de¤erlendirme - ¥ 5.2.2 (d) E¤itim, ö¤retim, beceriler, deneyim ve niteliklere ili£kin kayıtlar tutma (Madde 4.3.3). - ¥ 5.2.2 Kurulu£ aynı zamanda, ilgili tüm personelin bilgi güvenli¤i faaliyetlerinin yarar ve öneminin ve BGYS amaçlarına ula£ılmasına nasıl katkı sa¤layaca¤ının farkında olmasını sa¤lamalıdır. - ¥ 6 BGYS ç Denetimleri 6 Kurulu£ BGYS iç denetimlerini, BGYS kontrol amaçlarının, kontrollerinin, proseslerinin ve prosedürlerinin a£a¤ıdakileri gerçekle£tirip gerçekle£tirmedi¤ini belirlemek için planlanan aralıklarda gerçekle£tirmelidir: - ¥ 6 (a) Bu standardın gerekleri ve ilgili yasa ya da düzenlemelere uyum, - ¥ 6 (b) Tanımlanan bilgi güvenli¤i gereksinimelerine uyum, - ¥ 6 (c) Etkin olarak gerçekle£tirilip sürdürüldü¤ü, - ¥ 6 (d) Beklendi¤i gibi i£leyip i£lemedi¤i. - ¥ 6 Bir denetleme programı, bir önceki denetim sonuçlarının yanı sıra denetlenecek proseslerin ve alanların durumu ve önemi dikkate alınarak planlanmalıdır. Denetim kriterleri, kapsamı, sıklık ve yöntemler tanımlanmalıdır. Denetmenlerin seçiminde ve denetimlerin gerçekle£tirilmesinde, denetim prosesinin nesnel ve tarafsız olarak i£lemesi sa¤lanmalıdır. Denetmenler kendi çalı£malarını denetlememelidirler. Denetimlerin planlanması ve gerçekle£tirilmesindeki ve sonuçların raporlanması ve kayıtların tutulmasındaki (Madde 4.3.3) sorumluluklar ve gereksinimler, dokümante edilmi£ bir prosedür içinde tanımlanmalıdır. Denetlenen alandan sorumlu olan yönetim, saptanan uygunsuzlukların ve bunların nedenlerinin giderilmesi için, gereksiz gecikmeler olmaksızın önlemlerin alınmasını sa¤lamalıdır. ¨zleme faaliyetleri, alınan önlemlerin do¤rulanmasını ve do¤rulama sonuçlarının raporlanmasını (Madde 8) içermelidir. Not - ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing, BGYS iç denetimlerini gerçekle£tirmek için yardımcı bir kılavuzluk sa¤layabilir. - ¥ 7 BGYS'yi Yönetimin Gözden Geçirmesi 7.1 Genel Gereksinimler 7.1 Genel Gereksinimler Yönetim, kurulu£un BGYS’sini planlanan aralıklarla (en az yılda bir kez), sürekli uygunlu¤unu, do¤rulu¤unu ve etkinli¤ini sa¤lamak için gözden geçirmelidir. Bu gözden geçirme, bilgi güvenli¤i politikası ve bilgi güvenli¤i amaçları dahil BGYS’nin iyile£tirilmesi ve gereken de¤i£ikliklerin yapılması için fırsatların de¤erlendirilmesini içermelidir. Gözden geçirme sonuçları açıkça dokümante edilmeli ve kayıtlar tutulup saklanmalıdır (Madde 4.3.3). ¥ 7.2 Gözden Geçirme Girdisi 7,2 Yönetimin gözden geçirmesinin girdileri a£a¤ıdakileri içermelidir: - ¥ 7,2 Yönetimin gözden geçirmesinin girdileri a£a¤ıdakileri içermelidir: - ¥ 7.2 (a) BGYS denetimleri ve gözden geçirmelerinin sonuçları, - ¥ 7.2 (b) ¨lgili taraflardan edinilen geri bildirimler, - ¥ 7.2 (c) Kurulu£ta BGYS’nin performansını ve etkinli¤i artırmak için kullanılabilecek teknikler, ürünler ya da prosedürler, - ¥ 7.2 (d) Önleyici ve düzeltici faaliyetlerin durumu, - ¥ 7.2 (e) Önceki risk de¤erlendirmede uygun olarak ifade edilmeyen açıklıklar ya da tehditler, - ¥ 7.2 (f) Etkinlik ölçümlerinin sonuçları, - ¥ 7.2 (g) Önceki yönetim gözden geçirmelerinden izleme eylemleri, - ¥ 7.2 (h) BGYS’yi etkileyebilecek herhangi bir de¤i£iklik ve - ¥ 7.2 (i) ¨yile£tirme için öneriler. - ¥ 7.3 Gözden Geçirme Çıktısı 7,3 Yönetimin gözden geçirmesinin çıktıları, a£a¤ıdakilerle ilgili her kararı ve eylemi içermelidir: - ¥ 7.3 (a) BGYS etkinli¤ini iyile£tirme. - ¥ 7.3 (b) Risk de¤erlendirme ve risk i£leme planını güncelle£tirme. - ¥ 7.3 (c) Gerekti¤inde, BGYS üzerinde etkisi olabilecek iç ya da dı£ olaylara kar£ılık vermek için bilgi güvenli¤ini etkileyen prosedür ve kontrol de¤i£iklikleri, a£a¤ıdakilere de¤i£iklikleri içerir: 1) ¨£ gereksinimleri, 2) Güvenlik gereksinimleri, 3) Mevcut i£ gereksinimlerini etkileyen i£ prosesleri, 4) Düzenleyici ya da yasal gereksinimler, 5) Anla£ma yükümlülükleri ve 6) Risk seviyeleri ve/veya risk kabul kriterleri. ¥ 7.3 (d) Kaynak ihtiyaçları. - ¥ 7.3 (e) Kontrollerin etkinli¤inin nasıl ölçüldü¤ünü iyile£tirme. - ¥ 8 BGYS yile¡tirme 8.1 Sürekli yile¡tirme 8.1 Kurulu£, bilgi güvenlik politikasını, güvenlik amaçlarını, denetim sonuçlarını, izlenen olayların analizini, düzeltici ve önleyici faaliyetleri ve yönetimin gözden geçirmelerini (Madde 7) kullanarak BGYS etkinli¤ini sürekli iyile£tirmelidir. - ¥ 8.2 Düzeltici Faaliyet 8,2 Kurulu£ tekrarları engellemek için, BGYS gereksinimleriyle uygunsuzlukların nedenlerini gidermek üzere önlemler almalıdır. Düzeltici faaliyet için dokümante edilmi£ prosedür a£a¤ıdaki gereksinimleri tanımlamalıdır: - ¥ 8.2 (a) Uygunsuzlukları tanımlama, - ¥ 8.2 (b) Uygunsuzlukların nedenlerini belirleme, - ¥ 8.2 (c) Uygunsuzlukların tekrarlanmamasını sa¤lamak için ihtiyaç duyulan faaliyetleri de¤erlendirme, - ¥ 8.2 (d) Gereken düzeltici faaliyetleri belirleme ve gerçekle£tirme, - ¥ 8.2 (e) Gerçekle£tirilen faaliyetlerin sonuçlarını kaydetme (Madde 4.3.3) - ¥ 8.2 (f) Gerçekle£tirilen düzeltici faaliyetleri gözden geçirme - ¥ 8.3 Önleyici Faaliyet