Bilgi güvenliğinin maliyeti güvenlik harcamaları ile oluşan güvenlik olaylarının maliyetlerinin toplamından oluşmaktadır. Güvenlik harcamaları ile güvenlik olaylarının maliyetleri arasında ise ters ortantı bulunmaktadır. Ancak harcamaların öncelikli alanlara yapılmaması durumunda olayların optimum miktarda azaltılamaması ile sonuçlanabilir.
ISO27001, bilgi güvenliği problemlerinin ele alınmasını ve yönetilmesini destekleyen bir yönetim sistemi standardıdır. Belgelendirmeye tabi tutulması, düzenleyiciler tarafından düzenlemelere konu edilmesi, bilgi paylaşımını gerektiren tedarik süreçlerinde şartname şartlarından biri haline gelmesi nedeniyle popülerliği gittikçe artan bir standarttır.
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi EğitimiBTYÖN Danışmanlık
Risk yönetimi eğitimi bilgi teknolojileri alanında denetim yapacak kişiler için temel bir eğitimdir. Bilgi teknolojileri ile ilgili olarak tespit edilmiş veya raporlanmış her türlü zayıflığın değerlendirilmesi, gerekli kontrollerin geliştirilmesi ve kontrol etkinliğinin izlenmesi için risk yönetimi süreçlerinin bilinmesi gereklidir. Katılımcılar eğitimi tamamladıklarında temel risk kavramlarını ve bilgi güvenliği risk terminolojisini öğrenmiş, ISO27005 standardına göre bilgi güvenliği risk yönetimi yapabilecek seviyeye ulaşmış, bilgi güvenliğinde bağlam oluşturma, risk değerlendirme, risk işleme, risk kabulü, risk haberleşmesi, risk izleme ve iyileştirme yöntemlerini tanımış, bilgi güvenliği risk yönetimi sürecinin tüm bileşenleri için girdileri, aksiyonları ve uygulama ip uçlarını öğrenmiş, işletmelerinde bilgi güvenliği risk yönetimi süreci kurabilecek, denetleyebilecek, işletebilecek veya mevcut olan süreci iyileştirebilecek seviyeye geleceklerdir.
Improve Cybersecurity posture by using ISO/IEC 27032PECB
Cybersecurity is a universal concern across today’s enterprise and the need for strategic approach is required for appropriate mitigation.
Adopting ISO 27032 will help to:
• Understanding the nature of Cyberspace and Cybersecurity
• Explore Cybersecurity Ecosystem – Roles & Responsibilities
• Achieve Cyber Resilience through implementing defensive and detective cybersecurity controls
Presenter:
Obadare Peter Adewale is a first generation and visionary cyberpreneur. He is a PECB certified Trainer, Fellow Chartered Information Technology Professional, the First Licensed Penetration Tester in Nigeria, second COBIT 5 Assessor in Africa and PCI DSS QSA. He is also an alumnus of Harvard Business School and MIT Sloan School of Management Executive Education.
Link of the recorded session published on YouTube: https://youtu.be/NX5RMGOcyBM
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...PECB
To protect your organization from cyber attacks, you need to implement a robust information security management system (ISMS) and business continuity management system (BCMS) based on international standards, such as ISO/IEC 27001 and ISO 22301.
Amongst others, the webinar covers:
• Why we need a cyber response plan to protect business operations
• Introduction to ISO/IEC 27001 and ISO 22301
• What do we need for a cyber security response plan?
• How do we develop a cyber security response plan?
Presenters:
Nick Frost
Nick Frost is Co-founder and Lead Consultant at CRMG.
Nick’s career in cyber security spanning nearly 20 years. Most recently Nick has held leadership roles at PwC as Group Head of Information Risk and at the Information Security Forum (ISF) as Principal Consultant.
In particular Nick was Group Head of Information Risk for PwC designing and implementing best practice solutions that made good business sense, that prioritise key risks to the organisation and helped minimise disruption to ongoing operations. Whilst at the ISF Nick led their information risk projects and delivered many of the consultancy engagements to help organisations implement leading thinking in information risk management.
Nicks combined experience as a cyber risk researcher and practitioner designing and implementing risk based solutions places him as a leading cyber risk expert. Prior to cyber security and after graduating from UCNW and Oxford Brookes Nick was a geophysicst in the Oil and Gas Industry.
Simon Lacey
Simon is a resourceful, creative Information & Cyber Security professional with a proven track record of instigating change, disrupting the status quo, influencing stakeholders and developing ‘big picture’ vision across business populations. Multiple industry experience; excels in building stakeholder engagement & consensus; and suporting organisations to make sustainable change.
Simon also has considerable experience of risk management, education and awareness, strategy development and consulting to senior management and is a confident and engaging public speaker.
Simon has previously worked within the NHS, Bank of England and BUPA, before setting out as an independent consultan forming Oliver Lacey Limited, supporting clients in multiple business sectors.
When not working, Simon loves to run – currently training for the Berlin Marathon, a Director of Aylesbury United Football Club, records vlogs and is an experienced standup comic.
Date: April 26, 2023
Find out more about ISO training and certification services
Training: https://bit.ly/3AyoyYF
https://bit.ly/3LbBVTx
Webinars: https://pecb.com/webinars
Article: https://pecb.com/article
Whitepaper: https://pecb.com/whitepaper
For more information about PECB:
Website: https://pecb.com/
LinkedIn: https://www.linkedin.com/company/pecb/
Facebook: https://www.facebook.com/PECBInternational/
YouTube video: https://youtu.be/i4qx5mjEqio
Bilgi güvenliğinin maliyeti güvenlik harcamaları ile oluşan güvenlik olaylarının maliyetlerinin toplamından oluşmaktadır. Güvenlik harcamaları ile güvenlik olaylarının maliyetleri arasında ise ters ortantı bulunmaktadır. Ancak harcamaların öncelikli alanlara yapılmaması durumunda olayların optimum miktarda azaltılamaması ile sonuçlanabilir.
ISO27001, bilgi güvenliği problemlerinin ele alınmasını ve yönetilmesini destekleyen bir yönetim sistemi standardıdır. Belgelendirmeye tabi tutulması, düzenleyiciler tarafından düzenlemelere konu edilmesi, bilgi paylaşımını gerektiren tedarik süreçlerinde şartname şartlarından biri haline gelmesi nedeniyle popülerliği gittikçe artan bir standarttır.
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi EğitimiBTYÖN Danışmanlık
Risk yönetimi eğitimi bilgi teknolojileri alanında denetim yapacak kişiler için temel bir eğitimdir. Bilgi teknolojileri ile ilgili olarak tespit edilmiş veya raporlanmış her türlü zayıflığın değerlendirilmesi, gerekli kontrollerin geliştirilmesi ve kontrol etkinliğinin izlenmesi için risk yönetimi süreçlerinin bilinmesi gereklidir. Katılımcılar eğitimi tamamladıklarında temel risk kavramlarını ve bilgi güvenliği risk terminolojisini öğrenmiş, ISO27005 standardına göre bilgi güvenliği risk yönetimi yapabilecek seviyeye ulaşmış, bilgi güvenliğinde bağlam oluşturma, risk değerlendirme, risk işleme, risk kabulü, risk haberleşmesi, risk izleme ve iyileştirme yöntemlerini tanımış, bilgi güvenliği risk yönetimi sürecinin tüm bileşenleri için girdileri, aksiyonları ve uygulama ip uçlarını öğrenmiş, işletmelerinde bilgi güvenliği risk yönetimi süreci kurabilecek, denetleyebilecek, işletebilecek veya mevcut olan süreci iyileştirebilecek seviyeye geleceklerdir.
Improve Cybersecurity posture by using ISO/IEC 27032PECB
Cybersecurity is a universal concern across today’s enterprise and the need for strategic approach is required for appropriate mitigation.
Adopting ISO 27032 will help to:
• Understanding the nature of Cyberspace and Cybersecurity
• Explore Cybersecurity Ecosystem – Roles & Responsibilities
• Achieve Cyber Resilience through implementing defensive and detective cybersecurity controls
Presenter:
Obadare Peter Adewale is a first generation and visionary cyberpreneur. He is a PECB certified Trainer, Fellow Chartered Information Technology Professional, the First Licensed Penetration Tester in Nigeria, second COBIT 5 Assessor in Africa and PCI DSS QSA. He is also an alumnus of Harvard Business School and MIT Sloan School of Management Executive Education.
Link of the recorded session published on YouTube: https://youtu.be/NX5RMGOcyBM
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...PECB
To protect your organization from cyber attacks, you need to implement a robust information security management system (ISMS) and business continuity management system (BCMS) based on international standards, such as ISO/IEC 27001 and ISO 22301.
Amongst others, the webinar covers:
• Why we need a cyber response plan to protect business operations
• Introduction to ISO/IEC 27001 and ISO 22301
• What do we need for a cyber security response plan?
• How do we develop a cyber security response plan?
Presenters:
Nick Frost
Nick Frost is Co-founder and Lead Consultant at CRMG.
Nick’s career in cyber security spanning nearly 20 years. Most recently Nick has held leadership roles at PwC as Group Head of Information Risk and at the Information Security Forum (ISF) as Principal Consultant.
In particular Nick was Group Head of Information Risk for PwC designing and implementing best practice solutions that made good business sense, that prioritise key risks to the organisation and helped minimise disruption to ongoing operations. Whilst at the ISF Nick led their information risk projects and delivered many of the consultancy engagements to help organisations implement leading thinking in information risk management.
Nicks combined experience as a cyber risk researcher and practitioner designing and implementing risk based solutions places him as a leading cyber risk expert. Prior to cyber security and after graduating from UCNW and Oxford Brookes Nick was a geophysicst in the Oil and Gas Industry.
Simon Lacey
Simon is a resourceful, creative Information & Cyber Security professional with a proven track record of instigating change, disrupting the status quo, influencing stakeholders and developing ‘big picture’ vision across business populations. Multiple industry experience; excels in building stakeholder engagement & consensus; and suporting organisations to make sustainable change.
Simon also has considerable experience of risk management, education and awareness, strategy development and consulting to senior management and is a confident and engaging public speaker.
Simon has previously worked within the NHS, Bank of England and BUPA, before setting out as an independent consultan forming Oliver Lacey Limited, supporting clients in multiple business sectors.
When not working, Simon loves to run – currently training for the Berlin Marathon, a Director of Aylesbury United Football Club, records vlogs and is an experienced standup comic.
Date: April 26, 2023
Find out more about ISO training and certification services
Training: https://bit.ly/3AyoyYF
https://bit.ly/3LbBVTx
Webinars: https://pecb.com/webinars
Article: https://pecb.com/article
Whitepaper: https://pecb.com/whitepaper
For more information about PECB:
Website: https://pecb.com/
LinkedIn: https://www.linkedin.com/company/pecb/
Facebook: https://www.facebook.com/PECBInternational/
YouTube video: https://youtu.be/i4qx5mjEqio
, hosted by Alan Calder CEO and founder of Vigilant Software and acknowledged information security risk assessment and management thought leader, explains and discusses what is information security? What is an information security management system (ISMS)? What is ISO 27001? Why should I and my organisation care about ISO 27001?
Come conformarsi al Regolamento DORA sulla cybersecurityGiulio Coraggio
Il Regolamento DORA introduce nuovi obblighi di cybersecurity per banche, assicurazioni, società di servizi di criptovalute, istituzioni finanziarie e i loro fornitori.
In questa infografica, gli avvocati Maria Chiara Meneghetti e Deborah Paracchini dello studio legale DLA Piper danno delle indicazioni su cosa fare per conformarsi agli obblighi previsti dal regolamento. Si tratta di adempimenti sia tecnici che legali che richiedono un approccio integrato alla messa in conformità.
E' possibile leggere un articolo sull'argomento al seguente link https://dirittoaldigitale.com/2022/12/27/regolamento-dora-approvato-cybersecurity/
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and DifferencesPECB
After the last 2020 Global Leading voices webinar, comparing ISO27001 with CCPA and NYC Shield Act, we're taking a look at the next level of information and cybersecurity management.
How can you assess your security management? The CMMI model (using the 1 to 5 grading) is a well-known system. Early 2020 the US DOD launched the CMMC, Cybersecurity Maturity Model Certification which matches the same levels for cybersecurity. This session we'll discuss the maturity evaluation principles for information security, cybersecurity and application security and how you can use it in practice.
The webinar covers:
- What's the CMMI?
- What's the CMMC?
- Maturity in security governance (ISMS, cyber, application)
- Security maturity vs audit cycles
Recorded Webinar: https://youtu.be/9BpETh_nAOw
ISO27001 standard was revised and a new version was published in 2013. ISO27001 is also becoming more common Information Security standard among service providers. This presentation focuses on the recent changes in 2013 version and also the process for implementing and getting certified for ISO27001.
Following are the key objectives of this presentation:
Provide an introduction to ISO27001 and changes in 2013 version
Discuss the implementation approach for an Information Security Management System (ISMS) framework
Familiarize the audience with some common challenges in implementation
Como implementar um SGSI eficiente na empresaESET Brasil
Muitas empresas não sabem como implementar um SGSI ou acreditam que é um esforço excessivo. Este infográfico mostra os elementos essenciais que devem ser considerados.
Iso 27001 in images - sample slides from different levels of training, e.g. F...Stratos Lazaridis
ISO 27001: 2013 Foundation training course in Information Security Management
ISO/IEC 27001 is an international standard on how to manage information security.
The standard was originally published jointly by the International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC) in 2005
The standard was reviewed and then revised in 2013.
A European update of the standard was published in 2017.
Iso 27001 details requirements for establishing, implementing, maintaining, and continually improving an information security management system (ISMS), the aim of which is to help organizations make the information assets they hold more secure.
Organizations that meet the standard's requirements can choose to be certified by an accredited certification body following successful completion of an audit.
The effectiveness of the ISO/IEC 27001 certification process and the overall standard has been addressed in a recent large-scale study.
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018Schellman & Company
ISO 27017 /27018 is the first international code of practice that focuses on protection of personal data in the cloud. It is based on ISO information security standard 27002 and provides implementation guidance on ISO 27002 controls applicable to public cloud Personally Identifiable Information (PII).
Discover:
• Background of ISO 27017 and 27018
• Scope and Purpose
• Comparison with ISO 27001 and 27002
• Future of ISO 27017 with ISO 27018
• Challenges and Benefits
• Certification Process and Next Steps
, hosted by Alan Calder CEO and founder of Vigilant Software and acknowledged information security risk assessment and management thought leader, explains and discusses what is information security? What is an information security management system (ISMS)? What is ISO 27001? Why should I and my organisation care about ISO 27001?
Come conformarsi al Regolamento DORA sulla cybersecurityGiulio Coraggio
Il Regolamento DORA introduce nuovi obblighi di cybersecurity per banche, assicurazioni, società di servizi di criptovalute, istituzioni finanziarie e i loro fornitori.
In questa infografica, gli avvocati Maria Chiara Meneghetti e Deborah Paracchini dello studio legale DLA Piper danno delle indicazioni su cosa fare per conformarsi agli obblighi previsti dal regolamento. Si tratta di adempimenti sia tecnici che legali che richiedono un approccio integrato alla messa in conformità.
E' possibile leggere un articolo sull'argomento al seguente link https://dirittoaldigitale.com/2022/12/27/regolamento-dora-approvato-cybersecurity/
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and DifferencesPECB
After the last 2020 Global Leading voices webinar, comparing ISO27001 with CCPA and NYC Shield Act, we're taking a look at the next level of information and cybersecurity management.
How can you assess your security management? The CMMI model (using the 1 to 5 grading) is a well-known system. Early 2020 the US DOD launched the CMMC, Cybersecurity Maturity Model Certification which matches the same levels for cybersecurity. This session we'll discuss the maturity evaluation principles for information security, cybersecurity and application security and how you can use it in practice.
The webinar covers:
- What's the CMMI?
- What's the CMMC?
- Maturity in security governance (ISMS, cyber, application)
- Security maturity vs audit cycles
Recorded Webinar: https://youtu.be/9BpETh_nAOw
ISO27001 standard was revised and a new version was published in 2013. ISO27001 is also becoming more common Information Security standard among service providers. This presentation focuses on the recent changes in 2013 version and also the process for implementing and getting certified for ISO27001.
Following are the key objectives of this presentation:
Provide an introduction to ISO27001 and changes in 2013 version
Discuss the implementation approach for an Information Security Management System (ISMS) framework
Familiarize the audience with some common challenges in implementation
Como implementar um SGSI eficiente na empresaESET Brasil
Muitas empresas não sabem como implementar um SGSI ou acreditam que é um esforço excessivo. Este infográfico mostra os elementos essenciais que devem ser considerados.
Iso 27001 in images - sample slides from different levels of training, e.g. F...Stratos Lazaridis
ISO 27001: 2013 Foundation training course in Information Security Management
ISO/IEC 27001 is an international standard on how to manage information security.
The standard was originally published jointly by the International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC) in 2005
The standard was reviewed and then revised in 2013.
A European update of the standard was published in 2017.
Iso 27001 details requirements for establishing, implementing, maintaining, and continually improving an information security management system (ISMS), the aim of which is to help organizations make the information assets they hold more secure.
Organizations that meet the standard's requirements can choose to be certified by an accredited certification body following successful completion of an audit.
The effectiveness of the ISO/IEC 27001 certification process and the overall standard has been addressed in a recent large-scale study.
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018Schellman & Company
ISO 27017 /27018 is the first international code of practice that focuses on protection of personal data in the cloud. It is based on ISO information security standard 27002 and provides implementation guidance on ISO 27002 controls applicable to public cloud Personally Identifiable Information (PII).
Discover:
• Background of ISO 27017 and 27018
• Scope and Purpose
• Comparison with ISO 27001 and 27002
• Future of ISO 27017 with ISO 27018
• Challenges and Benefits
• Certification Process and Next Steps
EREACADEMY danışmanları teorik bilgilerini sektörde deneyimlemiş uzman eğitimci ve danışmanlardır. EREACADEMY bilgi teknolojileri konusunda kurumlara teknik eğitimler ve sertifikasyon konusunda eğitimler verir. Eğitim hizmetlerinin yanısıra kurumlara özel çözümler üretmek üzere uzmanlık alanlarında danışmanlık hizmetler sunar.
TURCOM ISO 27001 DANIŞMANLIK HİZMETİ
Turcom ISO 27001 Danışmanlık hizmetini uzun yıllardır kurumlara vermektedir. Bu danışmanlık kapsamında
• ISO 27001 Denetimlerine ve sertifika alımına yönelik süreç danışmanlığı, farkındalık eğitimleri, politika ve prosedürlerin oluşturulması, iç denetim yapılması, ISO 27001 Boşluk Analizi
• ISO 27001 denetiminde önem teşkil edecek kontrol noktaları için gerekli güvenlik altyapısının dizayn edilmesi, gerekiyorsa ürün konumlandırılması, teknik çözüm sunulması,
• İç ve Dış Zaafiyet ve Sızma Testlerinin yapılması,
• ISO 27001 bilgi güvenliği yönetim sisteminin sürekli aktif çalışması ve devamı için, politika ve prosedürlerinin takip edildiği, güncellendiği, düzenleyici ve önleyici faaliyetlerin açıldığı bir yapının kurulması için gerekli bulut tabanlı yazılımın kullandırılması
• ISO 27001 Belgesine Sahip Sistem Entegratör ve ISP
Turcom 2012 yılından beri ISO 27001 Sertifikasına sahiptir.
hizmetlerini vermektedir. Böylece sadece sizleri denetime süreç tarafında hazırlamakla kalmaz, gelecek dönemdeki yapacağınız güvenlik altyapı yatırımlarını da bu sertifikaya yönelik dizayn etmenizi ve bütçelendirmenize de olanak sağlar.
Danışmanlık hizmetimizle ilgili detaylı dökümanı aşağıdak linkte 28-29. sayfalarda detaylı inceleyebilirsiniz.
Arzu ederseniz danışmanımızla birlikte detaylı bir toplantı da yapabiliriz.
Saygılarımızla;
YILDIZ ÇOKCOŞKUN
Turcom BT Güvenlik Çözümleri
security@turcom.com.tr
3. EĞİTİMİN AMACI
www.ictsert.com.tr3
Sistem kurucularının ISO 27001 Bilgi Güvenli i Yönetimğ
Sistemi standardı ile ilgili dokümantasyon nedir? neler
dokümante edilir ? nasıl edilir ? sorularının cevaplarını
ö renmesi için hazırlanmı tır.ğ ş
14/04/14
6. DOKÜMANTASYON
www.ictsert.com.tr6
Doküman : Ürün veya hizmeti, istenilen kalite artlarındaş
sa layabilmek için ürünün veya hizmetin özelliklerini açıklayanğ
basılı kopya veya elektronik medya ortamında olabilen yazılı
bilgilerdir.
14/04/14
7. TANIMLAR
www.ictsert.com.tr7
Kontrollü : En son güncel nüshalarının kullanıcısında
bulundurulması zorunlu olan dokümanlardır.
Kontrolsüz : Genellikle bilgi amacıyla verilen ve yapılan
de i ikliklerin kullanıcısına bildirilmedi i dokümanlardır.ğ ş ğ
14/04/14
8. www.ictsert.com.tr8
Veri : Ürün veya hizmet özellikleri, proses bilgileri ve firma ile
ilgili problemleri tanımlama, kaydetme, analiz etme, problemlerin
çözümü gibi konularda, statistiksel Teknikleri uygulayabilmekİ
amacıyla kurulu la ilgili gerekli olan her türlü bilgidir.ş
Kayıt: Firmanın prosedüründe tanımlanmı ve belirtilen süreş
içerisinde saklanması zorunlu olan, basılı kopya veya elektronik
medya ortamında bulunabilen, üzerinde veri bulunan
dokümanlardır.
14/04/14
TANIMLAR
9. www.ictsert.com.tr9
Dı Kaynaklı Dokümanş : Hazırlama onaylama ve
de i ikliklerin günceliklerin dı kurum veya kurulu larğ ş ş ş
tarafından yapılan bilgi olarak yararlanılan dokümanlara
denir.
14/04/14
TANIMLAR
10. DOKÜMAN TİPLERİ VE ORTAMLARI
www.ictsert.com.tr10
Tipleri:
Yazılı, resim, proje, ses, görüntü
Ortamları
Ka ıt, manyetik ve elektronikğ
14/04/14
11. KAYIT NEDİR?
www.ictsert.com.tr11
Kayıt Nedir? Elde edilen sonuçları beyan eden veya
gerçekle tirilen faaliyetin delilini sa layan veriş ğ
i lenmi dokümanlara denir.ş ş
Kayıtlarda bir dokümandır fakat standartta belirtildi iğ
gibi özel dokümanlardır. Dokümanlarda oldu u gibiğ
Yazılı, resim, proje, ses, görüntü tipinde Ka ıt,ğ
manyetik ve elektronik ortamlarda olabilir.
14/04/14
12. Doküman ile Kayıt arasındaki fark
nedir?
www.ictsert.com.tr12
Doküman bir faaliyetin ne zaman, kim
tarafından ve nasıl yapılaca ını tarif eder. Kayıtğ
ise yapılan faaliyetin delilini sa lar. Yani kayıtğ
lenmi bir dokümandırİş ş
Dokümanlar revize edilir fakat kayıtlar revize
edilemezler.
14/04/14
16. www.ictsert.com.tr16
4.3 Dokümantasyon gereksinimleri
c) BGYS’yi destekleyici prosedürler ve kontroller,
e) Risk de erlendirme raporu (Madde 4.2.1c)- 4.2.1g)),ğ
g) Kurulu tarafından, bilgi güvenli i proseslerinin etkinş ğ
planlanlanmasını, i letilmesini ve kontrolünü sa lamak için ihtiyaçş ğ
duyulan dokümante edilmi prosedürler ve kontrollerin etkinli ininş ğ
nasıl ölçülece ini tanımlama (Madde 4.2.3c)).ğ
14/04/14
DOKÜMAN VE KAYITLAR
18. www.ictsert.com.tr18
5 Yönetim sorumlulu uğ
5.2.2 E itim, farkında olma ve yeterlilikğ
d) E itim, ö retim, beceriler, deneyim ve niteliklere ili kin kayıtlarğ ğ ş
tutma (Madde 4.3.3).
14/04/14
DOKÜMAN VE KAYITLAR
19. www.ictsert.com.tr19
6 BGYS iç denetimleri
Denetimlerin planlanması ve gerçekle tirilmesindeki ve sonuçlarınş
raporlanması ve kayıtların tutulmasındaki (Madde 4.3.3)
sorumluluklar ve gereksinimler, dokümante edilmi bir prosedürş
içinde tanımlanmalıdır.
Denetlenen alandan sorumlu olan yönetim, saptanan uygunsuzlukların
ve bunların nedenlerinin giderilmesi için, gereksiz gecikmeler
olmaksızın önlemlerin alınmasını sa lamalıdır. zleme faaliyetleri,ğ İ
alınan önlemlerin do rulanmasını ve do rulamağ ğ sonuçlarının
raporlanmasını (Madde 8) içermelidir.
14/04/14
DOKÜMAN VE KAYITLAR
20. www.ictsert.com.tr20
7 BGYS’yi yönetimin gözden geçirmesi
Yönetim, kurulu un BGYS’sini planlanan aralıklarla (en az yılda birş
kez), sürekli uygunlu unu, do rulu unu ve etkinli ini sa lamak içinğ ğ ğ ğ ğ
gözden geçirmelidir. Bu gözden geçirme, bilgi güvenli i politikası veğ
bilgi güvenli i amaçları dahil BGYS’nin iyile tirilmesi ve gerekenğ ş
de i ikliklerin yapılması için fırsatların de erlendirilmesiniğ ş ğ
içermelidir. Gözden geçirme sonuçları açıkça dokümante edilmeli ve
kayıtlar tutulup saklanmalıdır (Madde 4.3.3).
14/04/14
DOKÜMAN VE KAYITLAR
21. www.ictsert.com.tr21
8 BGYS iyile tirmeş
8.2 Düzeltici faaliyet
Kurulu tekrarları engellemek için, BGYS gereksinimleriyleş
uygunsuzlukların nedenlerini gidermek üzere önlemler almalıdır.
Düzeltici faaliyet için dokümante edilmi prosedürş a a ıdakiş ğ
gereksinimleri tanımlamalıdır
14/04/14
DOKÜMAN VE KAYITLAR
22. www.ictsert.com.tr22
8 BGYS iyile tirmeş
8.3 Önleyici faaliyet
Kurulu tekrar ortaya çıkmalarını önlemek için, BGYSş
gereksinimleriyle olası uygunsuzlukların nedenlerini gidermek üzere
alınacak önlemleri belirlemelidir. Gerçekle tirilen önleyici faaliyetler,ş
olası sorunların yapaca ı etkiye uygun olmalıdır.ğ Önleyici faaliyetler
için dokümante edilmi prosedürş a a ıdaki gereksinimleriş ğ
tanımlamalıdır:
14/04/14
DOKÜMAN VE KAYITLAR
23. www.ictsert.com.tr23
BGYS POL T KASIİ İ
KURULU , BGYS YÖNET M S STEM N N KAPSAMIŞ İ İ İ İ
R SK YAKLA IMI VE DE ERLEND RMEİ Ş Ğ İ
ARTIK R SKİ
UYGULANAB L RL K B LD RGESİ İ İ İ İ İ
R SK DE ERLEND RME RAPORUİ Ğ İ
KONTROLLER N ETK NL N N ÖLÇÜLMESİ İ İĞİ İ İ
E T M KAYITLARIĞİ İ
Ç DENET M PROSEDÜRÜ VE KAYITLARIİ İ
YGG TOPLANTI DOKÜMANTASYONU VE KAYITLARI
DÜZELT C FAAL YET PROSEDÜRÜİ İ İ
ÖNLEY C FAAL YET PROSEDÜRÜİ İ İ
14/04/14
ÖZET OLARAK DOKÜMAN VE KAYITLAR
24. www.ictsert.com.tr24
A.7 Varlık yönetimi
A.7.1.1 Varlıkların envanteri
Kontrol
Tüm varlıklar açıkça tanımlanmalı ve önemli varlıkların bir envanteri
hazırlanmalı ve tutulmalıdır.
A.7.1.3 Varlıkların kabul edilebilir kullanımı
Kontrol
Bilgi i leme olanakları ile ili kili bilgi ve varlıkların kabul edilebilirş ş
kullanım kuralları tanımlanmalı, dokümante edilmeli ve
gerçekle tirilmelidir.ş
14/04/14
EK-A DOKÜMAN VE KAYITLARI
25. www.ictsert.com.tr25
A.8 nsan kaynakları güvenli iİ ğ
A.8.1.1 Roller ve sorumluluklar
Kontrol
Çalı anlar, yükleniciler ve üçüncü taraf kullanıcıların güvenlik rolleriş
ve sorumlulukları kurulu un bilgi güvenli i politikasına uygun olarakş ğ
tanımlanmalı ve dokümante edilmelidir.
A.8.1.3 stihdam ko ullarıİ ş
Kontrol
özle me yükümlülüklerinin parçası olarak, çalı anlar, yüklenicilerŞ ş ş
ve üçüncü taraf kullanıcılar, kendilerinin ve kurulu un bilgi güvenli iş ğ
sorumluluklarını belirten kendi i e alım sözle melerinin ko ullarınaş ş ş
katılmalı ve bunu imzalamalıdırlar.
14/04/14
EK-A DOKÜMAN VE KAYITLARI
26. www.ictsert.com.tr26
A.10 Haberle me ve i letim yönetimiş ş
A.10.1.1 Dokümante edilmi i letim prosedürleriş ş
Kontrol
letim prosedürleri dokümante edilmeli, sürdürülmeli ve ihtiyacıİş
olan tüm kullanıcılara kullanılabilir yapılmalıdır.
A.10.2 Üçüncü taraf hizmet sa lama yönetimiğ
A.10.2.2 Üçüncü taraf hizmetleri izleme ve gözden geçirme
Kontrol
Üçüncü tarafa sa lanan hizmetler, raporlar ve kayıtlar düzenli olarakğ
izlenmeli, gözden geçirilmeli ve düzenli olarak denetimler
gerçekle tirilmelidir.ş
14/04/14
EK-A DOKÜMAN VE KAYITLARI
27. www.ictsert.com.tr27
A.10.3 Sistem planlama ve kabul
A.10.3.2 Sistem kabulü
Kontrol
Yeni bilgi sistemleri, sistem yükseltmeleri ve yeni sürümler için kabul
kriterleri kurulmalı ve geli tirme esnasında ve kabul öncesindeş
sistem(ler)e ili kinş uygun testler gerçekle tirilmelidirş .
A.10.5 Yedekleme
A.10.5.1 Bilgi yedekleme
Kontrol
Bilgi ve yazılımlara ait yedekleme kopyaları alınmalı ve anla ılanş
yedekleme politikasına uygun ekildeş düzenli olarak test edilmelidir.
14/04/14
EK-A DOKÜMAN VE KAYITLARI
28. www.ictsert.com.tr28
A.10.8 Bilgi de i imiğ ş
A.10.8.1 Bilgi de i im politikaları ve prosedürleriğ ş
Kontrol
Tüm ileti im olana ı türlerinin kullanımıyla bilgi de i imini korumakş ğ ğ ş
için resmi de i im politikaları, prosedürleri ve kontrolleri mevcutğ ş
olmalıdır.
A.10.8.2 De i im anla malarığ ş ş
Kontrol
Kurulu ve dı taraflar arasındaş ş bilgi ve yazılımın de i imi içinğ ş
anla malar yapılmalıdır.ş
14/04/14
EK-A DOKÜMAN VE KAYITLARI
29. www.ictsert.com.tr29
A.10.10 zlemeİ
A.10.10.1 Denetim kaydetme
Kontrol
Kullanıcı faaliyetleri, ayrıcalıkları ve bilgi güvenli i olaylarını kaydeden denetimğ
kayıtları üretilmeli ve ileride yapılabilecek soru turmalar ve eri im kontrolüş ş
izlemeye yardımcı olmak için anla ılmı bir süre tutulmalıdır.ş ş
A.10.10.4 Yönetici ve operatör kayıtları
Kontrol
Sistem yöneticisi ve operatör faaliyetleri kaydedilmelidir.
A.10.10.5 Hata kaydı
Kontrol
Hatalar kaydedilmeli, çözümlenmeli ve uygun önlem alınmalıdır.
14/04/14
EK-A DOKÜMAN VE KAYITLARI
30. www.ictsert.com.tr30
A.11 Eri im kontrolüş
A.11.1.1 Eri im kontrolü politikasış
Kontrol
Eri im için i ve güvenlik gereksinimlerini temel alan bir eri imş ş ş
kontrol politikası kurulmalı, dokümante edilmeli ve gözden
geçirilmelidir.
A.11.2 Kullanıcı eri im yönetimiş
A.11.2.1 Kullanıcı kaydı
Kontrol
Tüm bilgi sistemlerine ve hizmetlerine eri im izni vermek ve bunuş
kaldırmak için resmi bir kullanıcı kaydetme ve kayıttan çıkarma
prosedürü olmalıdır.
14/04/14
EK-A DOKÜMAN VE KAYITLARI
31. www.ictsert.com.tr31
A.11.3.3 Temiz masa ve temiz ekran politikası
Kontrol
Ka ıtlar ve ta ınabilir depolama ortamları için bir temiz masağ ş
politikası ve bilgi i leme olanakları için bir temiz ekran politikasış
benimsenmelidir.
14/04/14
EK-A DOKÜMAN VE KAYITLARI
32. www.ictsert.com.tr32
A.11.7 Mobil bilgi i leme ve uzaktan çalı maş ş
A.11.7.2 Uzaktan çalı maş
Kontrol
Uzaktan çalı ma faaliyetleri için bir politika, operasyonel planlar veş
prosedürler geli tirilmeli ve gerçekle tirilmelidir.ş ş
A.12.3 Kriptografik kontroller
A.12.3.1 Kriptografik kontrollerin kullanımına ili kin politikaş
Kontrol
Bilginin korunması için kriptografik kontrollerin kullanımına ili kinş
bir politika geli tirilmeli ve gerçekle tirilmelidir.ş ş
14/04/14
EK-A DOKÜMAN VE KAYITLARI
33. www.ictsert.com.tr33
A.12.5 Geli tirme ve destekleme proseslerinde güvenlikş
A.12.5.1 De i im kontrol prosedürleriğ ş
Kontrol
De i ikliklerin gerçekle tirilmesi, resmi de i im kontrolğ ş ş ğ ş
prosedürlerinin kullanımı ile kontrol edilmelidir.
A.12.5.2 letim sistemindeki de i ikliklerden sonra teknik gözdenİş ğ ş
geçirme
Kontrol
letim sistemleri de i tirildi inde, kurumsal i lemlere ya daİş ğ ş ğ ş
güvenli e hiçbir kötü etkisi olmamasını sa lamak amacıyla i içinğ ğ ş
kritik uygulamalar gözden geçirilmeli ve test edilmelidir.
14/04/14
EK-A DOKÜMAN VE KAYITLARI
34. www.ictsert.com.tr34
A.13 Bilgi güvenli i ihlal olayı yönetimiğ
A.13.1.1 Bilgi güvenli i olaylarının rapor edilmesiğ
Kontrol
Bilgi güvenli i olayları uygun yönetim kanalları aracılı ıyla mümkünğ ğ
oldu u kadar hızlı biçimde rapor edilmelidir.ğ
A.13.1.2 Güvenlik zayıflıklarının rapor edilmesi
Kontrol
Bilgi sistemleri ve hizmetlerinin tüm çalı anları, yüklenicileri veş
üçüncü taraf kullanıcılarından, sistemler ve hizmetlerdeki gözlenen
veya üphelenilen herhangi bir güvenlik zayıflı ını dikkat etmeleri veş ğ
rapor etmeleri istenmelidir.
14/04/14
EK-A DOKÜMAN VE KAYITLARI
35. www.ictsert.com.tr35
A.13.2.3 Kanıt toplama
Kontrol
Bir bilgi güvenli i ihlal olayından sonra bir ki i veya kurulu a kar ığ ş ş ş
alınan takip önlemi yasal eylem (ya sivil hukuk ya da ceza hukuku)
içerdi inde, ilgili yargılama kurallarında belirlenmi olan kanıtğ ş
kuralları ile uyumlu ekilde kanıt toplanmalı, tutulmalı veş
sunulmalıdır.
A.14 süreklili i yönetimiİş ğ
A.14.1.5 süreklili i planlarını test etme, sürdürme ve yenidenİş ğ
de erlendirmeğ
Kontrol
süreklili i planları, güncel ve etkili olmalarını sa lamak için,İş ğ ğ
düzenli olarak test edilmeli ve güncelle tirilmelidir.ş 14/04/14
EK-A DOKÜMAN VE KAYITLARI
36. www.ictsert.com.tr36
A.15 Uyum
A.15.1.1 Uygulanabilir yasaları Tanımlanma
Kontrol
lgili tüm yasal, düzenleyici ve sözle meden do an gereksinimleri veİ ş ğ
kurulu un bu gereksinimleri kar ılama yakla ımı her bilgi sistemi veş ş ş
kurulu içinş açıkça tanımlanmalı, dokümante edilmeli ve güncel
tutulmalıdır.
14/04/14
EK-A DOKÜMAN VE KAYITLARI
39. Mevcut Durum Analizi ve Planlama
www.ictsert.com.tr39
Elimizde hangi dokümanlar var kurum içi kurum dı ış
Bu dokümanlardan BGYS’yi etkileyenleri ayrılır
BGYS’yi etkileyenler kullanımı avantajlı mı .
Bu dokümanlar ISO 27001 standardının istedi i dokümanlarığ
kar ılıyor mu?ş
Bunlar dı ında ISO 27001 standardına göre olması gerekenş
dokümanlar neler.
14/04/14
40. Listeleme ve Sınıflandırma
www.ictsert.com.tr40
Öncelikle dokümanların sınıflandırılması yapılır. Örnek
Prosedür i talimatı görev tanımış
Kodlama sistemi belirlenir. P-01 , PL-01, G-02, BGEK-00 vb
FRM-34
Dokümanı hazırlayan onaylayan ve de i iklikleri yapacaklarğ ş
belirlenir.
Listelenir.
14/04/14
41. Doküman Hazırlama Onaylama
Yayınlama
www.ictsert.com.tr41
Mevcut elimizde olanların güncellemesi yapılır.
Elimizde olmayanlar hazırlanır
Dokümanların birbiri ile ili kileri tanımlanır.ş
Onaylama makamlarına sunulur.
Yayınlanır.
14/04/14
44. Dokümantasyonda Etken Olan Dış
Faktörler
www.ictsert.com.tr44
Mü teri Talepleriş
Tedarikçi ve ürün gerekleri
Yasal artlarş
Pazar artlarında olu turulan firma politikasış ş
Ulusal / Uluslararası Standartlar
Yönetmelikler, kurallar
ISO 27001 standardı
14/04/14
46. ÖNEMLİ!
www.ictsert.com.tr46
BGYS Dokümantasyonu’ nun en önemli özelli i güncel olanı, yani oğ
günün uygulamalarını yansıtıyor olmasıdır.
Burada dikkat edilmesi gereken husus mevcut durumu me rula tırmakş ş
de il dokümantasyonu hazırlamadan önce yapılan faaliyetleri BGYSğ
kriterlerine göre düzenlemek ve ondan sonra dokümantasyonu
hazırlamaktır.
14/04/14
47. BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ
DOKÜMANTASYON YAPISI
www.ictsert.com.tr47
BGYS POLİTİKASI
BGYS EL KİTABI
BGSY POLİTİKALARI VE
PROSEDÜRLERİ
SİSTEM TALİMATLARI VE PLANLARI
DESTEK DOKÜMANLAR
Görev Tanımları, Formlar, Planlar, Raporlar, Dış Kaynaklı
Dokümanlar (Standartlar yönetmelikler kanunlar)
14/04/14
48. www.ictsert.com.tr48
Dokümanların zlenebilirli i ve birbiriden ayırt edilebilmesiİ ğ
çin:İ
Kurulu un Adı,ş
Dokümanın Adı,
Yürürlülü e Girdi i Tarih,ğ ğ
Revizyon Tarihi
Hazırlayan,
Onay,
14/04/14
DOKÜMAN ŞABLONLARI
50. ÖRNEK BGYS POLİTİKASI
www.ictsert.com.tr50
"Rekabet ortamının sa lanması, korunması ve geli tirilmesi amacıyla mal ve hizmet piyasalarındaki rekabetiğ ş
engelleyici, bozucu veya kısıtlayıcı anla ma, karar ve uygulamalar ile piyasaya hâkim olan te ebbüslerin buş ş
hâkimiyetlerini kötüye kullanmalarını önlemek, bunun için gerekli düzenleme ve denetlemeleri yaparak
rekabetin korunmasını sa lamak" için yürütülen faaliyetlerde,ğ
Bilgi Güvenli inin üç temel ö esi olanğ ğ Gizlilik, Bütünlük ve Eri ilebilirli inş ğ süreklili ini sa lamak,ğ ğ
Bilgi varlıklarını yönetmek, varlıkların güvenlik de erlerini, ihtiyaçlarını ve risklerini belirlemek, risklereğ
yönelik kontrolleri geli tirmek ve uygulamak,ş
Bilgi varlıklarını, de erleri, güvenlik ihtiyaçlarını, zafiyetleri, varlıklara yönelik tehditleri ve tehditlerinğ
sıklıklarının saptanması için yöntemleri tanımlamak,
Risklerin i lenmesi için çalı ma esaslarını ortaya koymak,ş ş
Hizmet verilen kapsam ba lamında teknolojik beklentileri gözden geçirerek riskleri sürekli takip etmek,ğ
süreklili ine yönelik bilgi güvenli i tehditlerinin etkisini azaltmak ve süreklili e katkıda bulunmak,İş ğ ğ ğ
Gerçekle ebilecek bilgi güvenli i olaylarına hızla müdahale edebilecek ve olayın etkisini minimize edecekş ğ
yetkinli e sahip olmak,ğ
Maliyet etkin bir kontrol altyapısı ile bilgi güvenli i seviyesini zaman içinde korumak ve iyile tirmek,ğ ş
Kurum itibarını geli tirmek, bilgi güvenli i temelli olumsuz etkilerden korumak,ş ğ
Yasal mevzuat ve düzenleyici yapıların artlarına uyumu sa lamak,ş ğ
Kar ılıklı sözle me, protokol ve benzeri anla maların içerdi i yükümlülüklere uyumu temin etmektir.ş ş ş ğ
14/04/14
51. Prosedürler
www.ictsert.com.tr51
Prosedürler
NE gerçekle tirilecekş
Etkinlik NEDEN gerçekle ecekş
Etkinlik NEREDE gerçekle ecekş
NASIL gerçekle ecek (talimatlar)ş
NE ZAMAN gerçekle ecek (olu sırası)ş ş
Etkinlikten K Mİ sorumludur
PROSEDÜRLER, N Z S Z N KADAR Y B LMEYENLER NİŞİ İ İ İ İ İ İ İ İ
DE ANLAYAB LECE EK LDE YAZILMALIDIR.!!!İ Ğİ Ş İ
14/04/14
53. Prosedürler yazılırken
www.ictsert.com.tr53
Basit sözcükler kullanılmalı
Pasif cümle kullanmaktan kaçınılmalı
Prosedürü yazan ki i kendini okuyucunun yerine koymalı veş
onun prosedürü okuyunca hiç bir sorunla kar ıla mamasınış ş
sa lamalı.ğ
Cümle ve paragraflar en kısa ekilde olmalı;ş
bir cümle bir eylemi,
bir paragraf ise bir konuyu anlatmalıdır.
Noktalama i aretleri etkili bir prosedür yazmada di er önemli birş ğ
konudur.
Yapılan kısaltmalar mutlaka tanımlanmalıdır.
14/04/14
54. PROSEDÜRÜN İÇERİĞİ
www.ictsert.com.tr54
1.0.AMAÇ : (3 satırla sınırlı tutmaya çalı ın)ş
Bu prosedürün amacı
için yöntem,
yetki ve sorumlulukları tanımlamaktadır.
2.0.UYGULAMA ALANI : (prosedürün etkiledi i bölümler, faaliyetler, dokümanlar)ğ
3.0. TANIMLAR : (varsa özel terim ve deneyimlerin, kavramların açıklamaları)
4.0. KAYITLAR : (prosedürün uygulanması sırasında tutulması gereken kayıtlar için düzenlenen
formların numara ve adları)
5.0.REFERANSLAR : (bu prosedürlerle ili kili olan prosedürlerin adı ve numarası)ş
6.0.SORUMLULUKLAR : (bu prosedürün uygulanmasından sorumlu bölüm müdürlerin
ünvanları ve uygulama ile ilgili sorumlulukları)
6.1 Müdürü
7.0 .UYGULAMA : (Yapılan i in i akı sırasına göre tanımlanması. NE yapılıyor, K M(ler)ş ş ş İ
tarafından, NE ZAMAN, NE LE, NASIL, HANG KAYITLAR tutuluyor. Geni zaman kipiniİ İ ş
kullanın)
14/04/14
55. TALİMATLAR
www.ictsert.com.tr55
Sorumlusu belirlenir.
Yapılacak i i ayrıntısıyla anlatır.ş
Okuyanın i i daha önce hiç yapmadı ı varsayılır.ş ğ
Açık, yalın, anla ılabilir ifadeler kullanılabilir.ş
Foto raf, ema, akı diyagramı gibi görsel malzeme ile desteklenebilir.ğ ş ş
lgili bilgi kaynaklarına (Kullanım kılavuzu vb.) gönderme yapılabilir.İ
Ana prosedürü destekler.
Olmadı ında i in ya da ürünün kalitesi olumsuz yönde etkilenebilecekğ ş
i ler detaylı olarak anlatılır.ş
14/04/14
56. www.ictsert.com.tr56
talimatları yazılırken, bunların operasyonel düzeyde oldu uİş ğ
unutulmamalı, bu nedenle de kısa ve emir kipinde yazılmalıdır.
talimatları yapılırken, i i daha önce yapan ki i ile mutlakaİş ş ş
görü ülmeli ve böylece “yapılma ekli” ile “olması gereken”ş ş
ortaya çıkarılmalıdır.
Örnek Talimatlar
Sistem Kontrolleri
Güvenlik Talimatları
Sunucu Bakım Talimatları
VPN Güvenli i Talimatığ
Active Directory Talimatı
14/04/14
TALİMATLAR
57. Örnek TALİMATLAR
www.ictsert.com.tr57
UYGULAMA
Bilgi Yönetimi Dairesi ilgili personeli sistem odasından birinci derecede sorumlu
ki ilerdir.ş Sistem odası ile ilgili olarak yapılacak tüm i ler Bilgi Yönetimi Dairesi ilgiliş
personelinin bilgisi dâhilinde yapılacaktır.
Yapılacak i lerle ilgili olarak tüm eri im yetkileri Bilgi Yönetimi Dairesi ilgili personeliş ş
tarafından açılır ve kapatılır.
Sistem Odasının temizli i ve düzeni, Bilgi Yönetimi Dairesi ilgili personeliğ
sorumlulu unda olacaktır.ğ
Sistem odasına giri ler biyometrik kontrol yöntemiyle (avuç içi damar tarama)ş
yapılacaktır.
Sistem odasına sadece yetkilendirilmi personelin eri im izni vardır. Sistem odasınaş ş
bakım/onarım, temizlik ya da di er nedenlerle üçüncü ahısların eri imi sadeceğ ş ş
yetkilendirilmi ki ilerin nezaretinde yapılacaktır.ş ş
14/04/14
58. GÖREV TANIMLARI
www.ictsert.com.tr58
Görev tanımları yaptı ı faaliyet kaliteyi etkileyen bütün organizasyonğ
elemanları için hazırlanmalıdır. Görev tanımlarında görevler
sorumluluklar ve yetkiler belirlenir ve i düzeninde karma ıklı ı ortadanş ş ğ
kaldırır. Görev yetki ve payla ımlar yapılmaz ise bir i bir andaş ş
herkesinde olabilir hiç kimsenin de olmayabilir.
14/04/14
59. www.ictsert.com.tr59
Görev tanımları diye ayrı bir doküman hazırlamak art de ildir görevş ğ
yetki ve sorumluluklar prosedürlerin içerisinde talimatların içerisinde
anlatılabilir fakat BGYS dokümantasyonun da bir disiplin içerisinde
hazırlanmasında fayda vardır. Büyük organizasyonlarda Organizasyon el
kitabı eklinde organizasyon eması ile birlikte bütün personelin görevş ş
yetki ve sorumlulukları kalite el kitabı gibi verilebilir.
14/04/14
GÖREV TANIMLARI
60. Örnek Görev Tanımı
www.ictsert.com.tr60
BGYS Ekibi
Bilgi güvenli i yönetim sistemi dokümanlarını hazırlamak, güncel tutmak veğ
teknik standartlara uyumu sa lamak.ğ
Risk analizi ile Bilgi güvenli i önceliklerinin tespiti çalı malarını koordine etmek.ğ ş
Bilgi güvenlik ihlalleri ile ilgili kayıtlara dayanarak, ihlali gerçekle tiren ki i,ş ş
ki iler ya da uygulamalar hakkında ilgili birimlerle koordinasyonu sa lamak veş ğ
karar için yönetim temsilcisine raporlamak.
Birim yönetimlerinin de katkısıyla, Bilgi güvenli inin sa lanması ve artırılmasınağ ğ
yönelik olarak, planlanan çalı ma ve projelerin önceliklerini belirlemek ve bunaş
göre Bilgi Güvenlik bütçesini hazırlamak ve yönetim temsilcisine raporlamak.
Bilgi Güvenli i yönetim sistemlerinin uygulanabilmesi ve izlenebilmesi içinğ
gerekli formları olu turmak.ş
Geli meleri izleyip gerekli revizyonları ve da ıtımları yapmak.ş ğ
14/04/14