SlideShare a Scribd company logo

ISO 27001 BGYS DOKÜMANTASYON EĞİTİMİ

Ferhat CAMGÖZ
Ferhat CAMGÖZ

ISO 27001 BGYS DOKÜMANTASYON EĞİTİMİ

Education
1 of 61
ISO 27001 BGYS DOKUMANTASYON EĞİTİMİ
EĞİTİMİNDEN KİMLER YARARLANABİLİR www.ictsert.com.tr2 Çalı tı ı i yerinde ISO 27001 Bilgi Güvenli i Yönetimş ğ ş ğ Sistemi kurmak isteyen kullanıcıların ve bu i yerlerineş danı manlık hizmetinde bulunacak danı manlarş ş 14/04/14
EĞİTİMİN AMACI www.ictsert.com.tr3 Sistem kurucularının ISO 27001 Bilgi Güvenli i Yönetimğ Sistemi standardı ile ilgili dokümantasyon nedir? neler dokümante edilir ? nasıl edilir ? sorularının cevaplarını ö renmesi için hazırlanmı tır.ğ ş 14/04/14
EĞİTİM İÇERİĞİ 14/04/14www.ictsert.com.tr4 • Bölüm 1: Tanımlar • Bölüm 2: ISO 27001 Standardına Göre Doküman Ve Kayıtlar •Bölüm 3: Doküman Oluşturma
www.ictsert.com.tr5 TANIMLAR 14/04/14 BÖLÜM 1
DOKÜMANTASYON www.ictsert.com.tr6 Doküman : Ürün veya hizmeti, istenilen kalite artlarındaş sa layabilmek için ürünün veya hizmetin özelliklerini açıklayanğ basılı kopya veya elektronik medya ortamında olabilen yazılı bilgilerdir. 14/04/14
TANIMLAR www.ictsert.com.tr7 Kontrollü : En son güncel nüshalarının kullanıcısında bulundurulması zorunlu olan dokümanlardır. Kontrolsüz : Genellikle bilgi amacıyla verilen ve yapılan de i ikliklerin kullanıcısına bildirilmedi i dokümanlardır.ğ ş ğ 14/04/14
www.ictsert.com.tr8 Veri : Ürün veya hizmet özellikleri, proses bilgileri ve firma ile ilgili problemleri tanımlama, kaydetme, analiz etme, problemlerin çözümü gibi konularda, statistiksel Teknikleri uygulayabilmekİ amacıyla kurulu la ilgili gerekli olan her türlü bilgidir.ş Kayıt: Firmanın prosedüründe tanımlanmı ve belirtilen süreş içerisinde saklanması zorunlu olan, basılı kopya veya elektronik medya ortamında bulunabilen, üzerinde veri bulunan dokümanlardır. 14/04/14 TANIMLAR
www.ictsert.com.tr9 Dı Kaynaklı Dokümanş : Hazırlama onaylama ve de i ikliklerin günceliklerin dı kurum veya kurulu larğ ş ş ş tarafından yapılan bilgi olarak yararlanılan dokümanlara denir. 14/04/14 TANIMLAR
DOKÜMAN TİPLERİ VE ORTAMLARI www.ictsert.com.tr10 Tipleri: Yazılı, resim, proje, ses, görüntü Ortamları Ka ıt, manyetik ve elektronikğ 14/04/14
KAYIT NEDİR? www.ictsert.com.tr11  Kayıt Nedir? Elde edilen sonuçları beyan eden veya gerçekle tirilen faaliyetin delilini sa layan veriş ğ i lenmi dokümanlara denir.ş ş  Kayıtlarda bir dokümandır fakat standartta belirtildi iğ gibi özel dokümanlardır. Dokümanlarda oldu u gibiğ Yazılı, resim, proje, ses, görüntü tipinde Ka ıt,ğ manyetik ve elektronik ortamlarda olabilir. 14/04/14
Doküman ile Kayıt arasındaki fark nedir? www.ictsert.com.tr12 Doküman bir faaliyetin ne zaman, kim tarafından ve nasıl yapılaca ını tarif eder. Kayıtğ ise yapılan faaliyetin delilini sa lar. Yani kayıtğ lenmi bir dokümandırİş ş Dokümanlar revize edilir fakat kayıtlar revize edilemezler. 14/04/14
www.ictsert.com.tr13 ISO 27001 STANDARDINA GÖRE DOKUMAN VE KAYITLAR 14/04/14 BÖLÜM 2
www.ictsert.com.tr14 4.2 BGYS’nin kurulması ve yönetilmesi A) Herhangi bir dı arda bırakmanın ayrıntıları ve açıklamasını daş ekleyerek, BGYS kapsamını ve sınırlarını tanımlama B)Bir BGYS Politikası Tanımlama C)Risk Yakla ımının Tanımlanmasış D)Riskleri Tanımlama E) Risk Derecelendirme F) Risklerin lenmesiİş G) Kotrol Maddelerinin Belirlenmesi 14/04/14 DOKÜMAN VE KAYITLAR
www.ictsert.com.tr15 4.2 BGYS’nin kurulması ve yönetilmesi H) Artık Riskin Dokümante Edilmesi J) Uygulanabilirlik Bildirgesinin Hazırlanması 14/04/14 DOKÜMAN VE KAYITLAR
www.ictsert.com.tr16 4.3 Dokümantasyon gereksinimleri c) BGYS’yi destekleyici prosedürler ve kontroller, e) Risk de erlendirme raporu (Madde 4.2.1c)- 4.2.1g)),ğ g) Kurulu tarafından, bilgi güvenli i proseslerinin etkinş ğ planlanlanmasını, i letilmesini ve kontrolünü sa lamak için ihtiyaçş ğ duyulan dokümante edilmi prosedürler ve kontrollerin etkinli ininş ğ nasıl ölçülece ini tanımlama (Madde 4.2.3c)).ğ 14/04/14 DOKÜMAN VE KAYITLAR
www.ictsert.com.tr17 4.3 Dokümantasyon gereksinimleri 4.3.2 Dokümanların kontrolü g) Dı kaynaklı dokümanların tanınmasını sa lama,ş ğ 14/04/14 DOKÜMAN VE KAYITLAR
www.ictsert.com.tr18 5 Yönetim sorumlulu uğ 5.2.2 E itim, farkında olma ve yeterlilikğ d) E itim, ö retim, beceriler, deneyim ve niteliklere ili kin kayıtlarğ ğ ş tutma (Madde 4.3.3). 14/04/14 DOKÜMAN VE KAYITLAR
www.ictsert.com.tr19 6 BGYS iç denetimleri Denetimlerin planlanması ve gerçekle tirilmesindeki ve sonuçlarınş raporlanması ve kayıtların tutulmasındaki (Madde 4.3.3) sorumluluklar ve gereksinimler, dokümante edilmi bir prosedürş içinde tanımlanmalıdır. Denetlenen alandan sorumlu olan yönetim, saptanan uygunsuzlukların ve bunların nedenlerinin giderilmesi için, gereksiz gecikmeler olmaksızın önlemlerin alınmasını sa lamalıdır. zleme faaliyetleri,ğ İ alınan önlemlerin do rulanmasını ve do rulamağ ğ sonuçlarının raporlanmasını (Madde 8) içermelidir. 14/04/14 DOKÜMAN VE KAYITLAR
www.ictsert.com.tr20 7 BGYS’yi yönetimin gözden geçirmesi Yönetim, kurulu un BGYS’sini planlanan aralıklarla (en az yılda birş kez), sürekli uygunlu unu, do rulu unu ve etkinli ini sa lamak içinğ ğ ğ ğ ğ gözden geçirmelidir. Bu gözden geçirme, bilgi güvenli i politikası veğ bilgi güvenli i amaçları dahil BGYS’nin iyile tirilmesi ve gerekenğ ş de i ikliklerin yapılması için fırsatların de erlendirilmesiniğ ş ğ içermelidir. Gözden geçirme sonuçları açıkça dokümante edilmeli ve kayıtlar tutulup saklanmalıdır (Madde 4.3.3). 14/04/14 DOKÜMAN VE KAYITLAR
www.ictsert.com.tr21 8 BGYS iyile tirmeş 8.2 Düzeltici faaliyet Kurulu tekrarları engellemek için, BGYS gereksinimleriyleş uygunsuzlukların nedenlerini gidermek üzere önlemler almalıdır. Düzeltici faaliyet için dokümante edilmi prosedürş a a ıdakiş ğ gereksinimleri tanımlamalıdır 14/04/14 DOKÜMAN VE KAYITLAR
www.ictsert.com.tr22 8 BGYS iyile tirmeş 8.3 Önleyici faaliyet Kurulu tekrar ortaya çıkmalarını önlemek için, BGYSş gereksinimleriyle olası uygunsuzlukların nedenlerini gidermek üzere alınacak önlemleri belirlemelidir. Gerçekle tirilen önleyici faaliyetler,ş olası sorunların yapaca ı etkiye uygun olmalıdır.ğ Önleyici faaliyetler için dokümante edilmi prosedürş a a ıdaki gereksinimleriş ğ tanımlamalıdır: 14/04/14 DOKÜMAN VE KAYITLAR
www.ictsert.com.tr23  BGYS POL T KASIİ İ  KURULU , BGYS YÖNET M S STEM N N KAPSAMIŞ İ İ İ İ  R SK YAKLA IMI VE DE ERLEND RMEİ Ş Ğ İ  ARTIK R SKİ  UYGULANAB L RL K B LD RGESİ İ İ İ İ İ  R SK DE ERLEND RME RAPORUİ Ğ İ  KONTROLLER N ETK NL N N ÖLÇÜLMESİ İ İĞİ İ İ  E T M KAYITLARIĞİ İ  Ç DENET M PROSEDÜRÜ VE KAYITLARIİ İ  YGG TOPLANTI DOKÜMANTASYONU VE KAYITLARI  DÜZELT C FAAL YET PROSEDÜRÜİ İ İ  ÖNLEY C FAAL YET PROSEDÜRÜİ İ İ 14/04/14 ÖZET OLARAK DOKÜMAN VE KAYITLAR
www.ictsert.com.tr24 A.7 Varlık yönetimi A.7.1.1 Varlıkların envanteri Kontrol Tüm varlıklar açıkça tanımlanmalı ve önemli varlıkların bir envanteri hazırlanmalı ve tutulmalıdır. A.7.1.3 Varlıkların kabul edilebilir kullanımı Kontrol Bilgi i leme olanakları ile ili kili bilgi ve varlıkların kabul edilebilirş ş kullanım kuralları tanımlanmalı, dokümante edilmeli ve gerçekle tirilmelidir.ş 14/04/14 EK-A DOKÜMAN VE KAYITLARI
www.ictsert.com.tr25 A.8 nsan kaynakları güvenli iİ ğ A.8.1.1 Roller ve sorumluluklar Kontrol Çalı anlar, yükleniciler ve üçüncü taraf kullanıcıların güvenlik rolleriş ve sorumlulukları kurulu un bilgi güvenli i politikasına uygun olarakş ğ tanımlanmalı ve dokümante edilmelidir. A.8.1.3 stihdam ko ullarıİ ş Kontrol  özle me yükümlülüklerinin parçası olarak, çalı anlar, yüklenicilerŞ ş ş ve üçüncü taraf kullanıcılar, kendilerinin ve kurulu un bilgi güvenli iş ğ sorumluluklarını belirten kendi i e alım sözle melerinin ko ullarınaş ş ş katılmalı ve bunu imzalamalıdırlar. 14/04/14 EK-A DOKÜMAN VE KAYITLARI
www.ictsert.com.tr26 A.10 Haberle me ve i letim yönetimiş ş A.10.1.1 Dokümante edilmi i letim prosedürleriş ş Kontrol  letim prosedürleri dokümante edilmeli, sürdürülmeli ve ihtiyacıİş olan tüm kullanıcılara kullanılabilir yapılmalıdır. A.10.2 Üçüncü taraf hizmet sa lama yönetimiğ A.10.2.2 Üçüncü taraf hizmetleri izleme ve gözden geçirme Kontrol Üçüncü tarafa sa lanan hizmetler, raporlar ve kayıtlar düzenli olarakğ izlenmeli, gözden geçirilmeli ve düzenli olarak denetimler gerçekle tirilmelidir.ş 14/04/14 EK-A DOKÜMAN VE KAYITLARI
www.ictsert.com.tr27 A.10.3 Sistem planlama ve kabul A.10.3.2 Sistem kabulü Kontrol Yeni bilgi sistemleri, sistem yükseltmeleri ve yeni sürümler için kabul kriterleri kurulmalı ve geli tirme esnasında ve kabul öncesindeş sistem(ler)e ili kinş uygun testler gerçekle tirilmelidirş . A.10.5 Yedekleme A.10.5.1 Bilgi yedekleme Kontrol Bilgi ve yazılımlara ait yedekleme kopyaları alınmalı ve anla ılanş yedekleme politikasına uygun ekildeş düzenli olarak test edilmelidir. 14/04/14 EK-A DOKÜMAN VE KAYITLARI
www.ictsert.com.tr28 A.10.8 Bilgi de i imiğ ş A.10.8.1 Bilgi de i im politikaları ve prosedürleriğ ş Kontrol Tüm ileti im olana ı türlerinin kullanımıyla bilgi de i imini korumakş ğ ğ ş için resmi de i im politikaları, prosedürleri ve kontrolleri mevcutğ ş olmalıdır. A.10.8.2 De i im anla malarığ ş ş Kontrol Kurulu ve dı taraflar arasındaş ş bilgi ve yazılımın de i imi içinğ ş anla malar yapılmalıdır.ş 14/04/14 EK-A DOKÜMAN VE KAYITLARI
www.ictsert.com.tr29  A.10.10 zlemeİ  A.10.10.1 Denetim kaydetme  Kontrol  Kullanıcı faaliyetleri, ayrıcalıkları ve bilgi güvenli i olaylarını kaydeden denetimğ kayıtları üretilmeli ve ileride yapılabilecek soru turmalar ve eri im kontrolüş ş izlemeye yardımcı olmak için anla ılmı bir süre tutulmalıdır.ş ş  A.10.10.4 Yönetici ve operatör kayıtları  Kontrol  Sistem yöneticisi ve operatör faaliyetleri kaydedilmelidir.  A.10.10.5 Hata kaydı  Kontrol  Hatalar kaydedilmeli, çözümlenmeli ve uygun önlem alınmalıdır. 14/04/14 EK-A DOKÜMAN VE KAYITLARI
www.ictsert.com.tr30 A.11 Eri im kontrolüş A.11.1.1 Eri im kontrolü politikasış Kontrol Eri im için i ve güvenlik gereksinimlerini temel alan bir eri imş ş ş kontrol politikası kurulmalı, dokümante edilmeli ve gözden geçirilmelidir. A.11.2 Kullanıcı eri im yönetimiş A.11.2.1 Kullanıcı kaydı Kontrol Tüm bilgi sistemlerine ve hizmetlerine eri im izni vermek ve bunuş kaldırmak için resmi bir kullanıcı kaydetme ve kayıttan çıkarma prosedürü olmalıdır. 14/04/14 EK-A DOKÜMAN VE KAYITLARI
www.ictsert.com.tr31 A.11.3.3 Temiz masa ve temiz ekran politikası Kontrol Ka ıtlar ve ta ınabilir depolama ortamları için bir temiz masağ ş politikası ve bilgi i leme olanakları için bir temiz ekran politikasış benimsenmelidir. 14/04/14 EK-A DOKÜMAN VE KAYITLARI
www.ictsert.com.tr32 A.11.7 Mobil bilgi i leme ve uzaktan çalı maş ş A.11.7.2 Uzaktan çalı maş Kontrol Uzaktan çalı ma faaliyetleri için bir politika, operasyonel planlar veş prosedürler geli tirilmeli ve gerçekle tirilmelidir.ş ş A.12.3 Kriptografik kontroller A.12.3.1 Kriptografik kontrollerin kullanımına ili kin politikaş Kontrol Bilginin korunması için kriptografik kontrollerin kullanımına ili kinş bir politika geli tirilmeli ve gerçekle tirilmelidir.ş ş 14/04/14 EK-A DOKÜMAN VE KAYITLARI
www.ictsert.com.tr33 A.12.5 Geli tirme ve destekleme proseslerinde güvenlikş A.12.5.1 De i im kontrol prosedürleriğ ş Kontrol De i ikliklerin gerçekle tirilmesi, resmi de i im kontrolğ ş ş ğ ş prosedürlerinin kullanımı ile kontrol edilmelidir. A.12.5.2 letim sistemindeki de i ikliklerden sonra teknik gözdenİş ğ ş geçirme Kontrol  letim sistemleri de i tirildi inde, kurumsal i lemlere ya daİş ğ ş ğ ş güvenli e hiçbir kötü etkisi olmamasını sa lamak amacıyla i içinğ ğ ş kritik uygulamalar gözden geçirilmeli ve test edilmelidir. 14/04/14 EK-A DOKÜMAN VE KAYITLARI
www.ictsert.com.tr34 A.13 Bilgi güvenli i ihlal olayı yönetimiğ A.13.1.1 Bilgi güvenli i olaylarının rapor edilmesiğ Kontrol Bilgi güvenli i olayları uygun yönetim kanalları aracılı ıyla mümkünğ ğ oldu u kadar hızlı biçimde rapor edilmelidir.ğ A.13.1.2 Güvenlik zayıflıklarının rapor edilmesi Kontrol Bilgi sistemleri ve hizmetlerinin tüm çalı anları, yüklenicileri veş üçüncü taraf kullanıcılarından, sistemler ve hizmetlerdeki gözlenen veya üphelenilen herhangi bir güvenlik zayıflı ını dikkat etmeleri veş ğ rapor etmeleri istenmelidir. 14/04/14 EK-A DOKÜMAN VE KAYITLARI
www.ictsert.com.tr35 A.13.2.3 Kanıt toplama Kontrol Bir bilgi güvenli i ihlal olayından sonra bir ki i veya kurulu a kar ığ ş ş ş alınan takip önlemi yasal eylem (ya sivil hukuk ya da ceza hukuku) içerdi inde, ilgili yargılama kurallarında belirlenmi olan kanıtğ ş kuralları ile uyumlu ekilde kanıt toplanmalı, tutulmalı veş sunulmalıdır. A.14 süreklili i yönetimiİş ğ A.14.1.5 süreklili i planlarını test etme, sürdürme ve yenidenİş ğ de erlendirmeğ Kontrol  süreklili i planları, güncel ve etkili olmalarını sa lamak için,İş ğ ğ düzenli olarak test edilmeli ve güncelle tirilmelidir.ş 14/04/14 EK-A DOKÜMAN VE KAYITLARI
www.ictsert.com.tr36 A.15 Uyum A.15.1.1 Uygulanabilir yasaları Tanımlanma Kontrol  lgili tüm yasal, düzenleyici ve sözle meden do an gereksinimleri veİ ş ğ kurulu un bu gereksinimleri kar ılama yakla ımı her bilgi sistemi veş ş ş kurulu içinş açıkça tanımlanmalı, dokümante edilmeli ve güncel tutulmalıdır. 14/04/14 EK-A DOKÜMAN VE KAYITLARI
14/04/14www.ictsert.com.tr37 DOKÜMANTASYON OLUŞTURMA BÖLÜM 3
DOKÜMANTASYON OLUŞTURMA www.ictsert.com.tr38  Mevcut Durum Analizi ve Planlama  Listeleme ve Sınıflandırma  Doküman Hazırlama Onaylama Yayınlama  Gözden Geçirme PÜKO FELSEFES UYGULANIR!İ 14/04/14
Mevcut Durum Analizi ve Planlama www.ictsert.com.tr39  Elimizde hangi dokümanlar var kurum içi kurum dı ış  Bu dokümanlardan BGYS’yi etkileyenleri ayrılır  BGYS’yi etkileyenler kullanımı avantajlı mı .  Bu dokümanlar ISO 27001 standardının istedi i dokümanlarığ kar ılıyor mu?ş  Bunlar dı ında ISO 27001 standardına göre olması gerekenş dokümanlar neler. 14/04/14
Listeleme ve Sınıflandırma www.ictsert.com.tr40  Öncelikle dokümanların sınıflandırılması yapılır. Örnek Prosedür i talimatı görev tanımış  Kodlama sistemi belirlenir. P-01 , PL-01, G-02, BGEK-00 vb FRM-34  Dokümanı hazırlayan onaylayan ve de i iklikleri yapacaklarğ ş belirlenir.  Listelenir. 14/04/14
Doküman Hazırlama Onaylama Yayınlama www.ictsert.com.tr41  Mevcut elimizde olanların güncellemesi yapılır.  Elimizde olmayanlar hazırlanır  Dokümanların birbiri ile ili kileri tanımlanır.ş  Onaylama makamlarına sunulur.  Yayınlanır. 14/04/14
Gözden Geçirme www.ictsert.com.tr42  Hazırlanan dokümanlar uygulanır  Aksayan yönler belirlenir. 14/04/14
Güncellenmesi www.ictsert.com.tr43  Bir sistematik içerisinde dokümanlarda aksayan noktalar de i tirilir ve tekrar uygulanır.ğ ş 14/04/14
Dokümantasyonda Etken Olan Dış Faktörler www.ictsert.com.tr44  Mü teri Talepleriş  Tedarikçi ve ürün gerekleri  Yasal artlarş  Pazar artlarında olu turulan firma politikasış ş  Ulusal / Uluslararası Standartlar  Yönetmelikler, kurallar  ISO 27001 standardı 14/04/14
ÖNEMLİ! www.ictsert.com.tr45 Sistemin dokümante edilmesi a amasında mevcut sistemin;ş  olması gerekti i gibi de il,ğ ğ  oldu u gibiğ dokümante edilmesi unutulmamalıdır. 14/04/14
ÖNEMLİ! www.ictsert.com.tr46 BGYS Dokümantasyonu’ nun en önemli özelli i güncel olanı, yani oğ günün uygulamalarını yansıtıyor olmasıdır. Burada dikkat edilmesi gereken husus mevcut durumu me rula tırmakş ş de il dokümantasyonu hazırlamadan önce yapılan faaliyetleri BGYSğ kriterlerine göre düzenlemek ve ondan sonra dokümantasyonu hazırlamaktır. 14/04/14
BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ DOKÜMANTASYON YAPISI www.ictsert.com.tr47 BGYS POLİTİKASI BGYS EL KİTABI BGSY POLİTİKALARI VE PROSEDÜRLERİ SİSTEM TALİMATLARI VE PLANLARI DESTEK DOKÜMANLAR Görev Tanımları, Formlar, Planlar, Raporlar, Dış Kaynaklı Dokümanlar (Standartlar yönetmelikler kanunlar) 14/04/14
www.ictsert.com.tr48 Dokümanların zlenebilirli i ve birbiriden ayırt edilebilmesiİ ğ çin:İ  Kurulu un Adı,ş  Dokümanın Adı,  Yürürlülü e Girdi i Tarih,ğ ğ  Revizyon Tarihi  Hazırlayan,  Onay, 14/04/14 DOKÜMAN ŞABLONLARI
www.ictsert.com.tr49 Örnek doküman ablonuş 14/04/14 DOKÜMAN ŞABLONLARI
ÖRNEK BGYS POLİTİKASI www.ictsert.com.tr50  "Rekabet ortamının sa lanması, korunması ve geli tirilmesi amacıyla mal ve hizmet piyasalarındaki rekabetiğ ş engelleyici, bozucu veya kısıtlayıcı anla ma, karar ve uygulamalar ile piyasaya hâkim olan te ebbüslerin buş ş hâkimiyetlerini kötüye kullanmalarını önlemek, bunun için gerekli düzenleme ve denetlemeleri yaparak rekabetin korunmasını sa lamak" için yürütülen faaliyetlerde,ğ  Bilgi Güvenli inin üç temel ö esi olanğ ğ Gizlilik, Bütünlük ve Eri ilebilirli inş ğ süreklili ini sa lamak,ğ ğ  Bilgi varlıklarını yönetmek, varlıkların güvenlik de erlerini, ihtiyaçlarını ve risklerini belirlemek, risklereğ yönelik kontrolleri geli tirmek ve uygulamak,ş  Bilgi varlıklarını, de erleri, güvenlik ihtiyaçlarını, zafiyetleri, varlıklara yönelik tehditleri ve tehditlerinğ sıklıklarının saptanması için yöntemleri tanımlamak,  Risklerin i lenmesi için çalı ma esaslarını ortaya koymak,ş ş  Hizmet verilen kapsam ba lamında teknolojik beklentileri gözden geçirerek riskleri sürekli takip etmek,ğ  süreklili ine yönelik bilgi güvenli i tehditlerinin etkisini azaltmak ve süreklili e katkıda bulunmak,İş ğ ğ ğ  Gerçekle ebilecek bilgi güvenli i olaylarına hızla müdahale edebilecek ve olayın etkisini minimize edecekş ğ yetkinli e sahip olmak,ğ  Maliyet etkin bir kontrol altyapısı ile bilgi güvenli i seviyesini zaman içinde korumak ve iyile tirmek,ğ ş  Kurum itibarını geli tirmek, bilgi güvenli i temelli olumsuz etkilerden korumak,ş ğ  Yasal mevzuat ve düzenleyici yapıların artlarına uyumu sa lamak,ş ğ  Kar ılıklı sözle me, protokol ve benzeri anla maların içerdi i yükümlülüklere uyumu temin etmektir.ş ş ş ğ 14/04/14
Prosedürler www.ictsert.com.tr51 Prosedürler NE gerçekle tirilecekş Etkinlik NEDEN gerçekle ecekş Etkinlik NEREDE gerçekle ecekş NASIL gerçekle ecek (talimatlar)ş NE ZAMAN gerçekle ecek (olu sırası)ş ş Etkinlikten K Mİ sorumludur PROSEDÜRLER, N Z S Z N KADAR Y B LMEYENLER NİŞİ İ İ İ İ İ İ İ İ DE ANLAYAB LECE EK LDE YAZILMALIDIR.!!!İ Ğİ Ş İ 14/04/14
Prosedürler www.ictsert.com.tr52 Örnek cümle Süreçten belli aralıklarla numune alınarak gerekli deneyler yapılır. (Yanlı )ş Operatör, x sürecinden 3 saatte bir y miktarda numune alır ve pH ile konsantrasyonunu ölçer. (Do ru)ğ 14/04/14
Prosedürler yazılırken www.ictsert.com.tr53 Basit sözcükler kullanılmalı  Pasif cümle kullanmaktan kaçınılmalı  Prosedürü yazan ki i kendini okuyucunun yerine koymalı veş onun prosedürü okuyunca hiç bir sorunla kar ıla mamasınış ş sa lamalı.ğ Cümle ve paragraflar en kısa ekilde olmalı;ş  bir cümle bir eylemi, bir paragraf ise bir konuyu anlatmalıdır. Noktalama i aretleri etkili bir prosedür yazmada di er önemli birş ğ konudur. Yapılan kısaltmalar mutlaka tanımlanmalıdır. 14/04/14
PROSEDÜRÜN İÇERİĞİ www.ictsert.com.tr54  1.0.AMAÇ : (3 satırla sınırlı tutmaya çalı ın)ş  Bu prosedürün amacı için yöntem, yetki ve sorumlulukları tanımlamaktadır.   2.0.UYGULAMA ALANI : (prosedürün etkiledi i bölümler, faaliyetler, dokümanlar)ğ   3.0. TANIMLAR : (varsa özel terim ve deneyimlerin, kavramların açıklamaları)   4.0. KAYITLAR : (prosedürün uygulanması sırasında tutulması gereken kayıtlar için düzenlenen formların numara ve adları)  5.0.REFERANSLAR : (bu prosedürlerle ili kili olan prosedürlerin adı ve numarası)ş   6.0.SORUMLULUKLAR : (bu prosedürün uygulanmasından sorumlu bölüm müdürlerin ünvanları ve uygulama ile ilgili sorumlulukları)  6.1 Müdürü   7.0 .UYGULAMA : (Yapılan i in i akı sırasına göre tanımlanması. NE yapılıyor, K M(ler)ş ş ş İ tarafından, NE ZAMAN, NE LE, NASIL, HANG KAYITLAR tutuluyor. Geni zaman kipiniİ İ ş kullanın) 14/04/14
TALİMATLAR www.ictsert.com.tr55 Sorumlusu belirlenir. Yapılacak i i ayrıntısıyla anlatır.ş Okuyanın i i daha önce hiç yapmadı ı varsayılır.ş ğ Açık, yalın, anla ılabilir ifadeler kullanılabilir.ş Foto raf, ema, akı diyagramı gibi görsel malzeme ile desteklenebilir.ğ ş ş  lgili bilgi kaynaklarına (Kullanım kılavuzu vb.) gönderme yapılabilir.İ Ana prosedürü destekler. Olmadı ında i in ya da ürünün kalitesi olumsuz yönde etkilenebilecekğ ş i ler detaylı olarak anlatılır.ş 14/04/14
www.ictsert.com.tr56  talimatları yazılırken, bunların operasyonel düzeyde oldu uİş ğ unutulmamalı, bu nedenle de kısa ve emir kipinde yazılmalıdır.  talimatları yapılırken, i i daha önce yapan ki i ile mutlakaİş ş ş görü ülmeli ve böylece “yapılma ekli” ile “olması gereken”ş ş ortaya çıkarılmalıdır. Örnek Talimatlar Sistem Kontrolleri Güvenlik Talimatları Sunucu Bakım Talimatları VPN Güvenli i Talimatığ Active Directory Talimatı 14/04/14 TALİMATLAR
Örnek TALİMATLAR www.ictsert.com.tr57 UYGULAMA Bilgi Yönetimi Dairesi ilgili personeli sistem odasından birinci derecede sorumlu ki ilerdir.ş Sistem odası ile ilgili olarak yapılacak tüm i ler Bilgi Yönetimi Dairesi ilgiliş personelinin bilgisi dâhilinde yapılacaktır. Yapılacak i lerle ilgili olarak tüm eri im yetkileri Bilgi Yönetimi Dairesi ilgili personeliş ş tarafından açılır ve kapatılır. Sistem Odasının temizli i ve düzeni, Bilgi Yönetimi Dairesi ilgili personeliğ sorumlulu unda olacaktır.ğ Sistem odasına giri ler biyometrik kontrol yöntemiyle (avuç içi damar tarama)ş yapılacaktır. Sistem odasına sadece yetkilendirilmi personelin eri im izni vardır. Sistem odasınaş ş bakım/onarım, temizlik ya da di er nedenlerle üçüncü ahısların eri imi sadeceğ ş ş yetkilendirilmi ki ilerin nezaretinde yapılacaktır.ş ş 14/04/14
GÖREV TANIMLARI www.ictsert.com.tr58 Görev tanımları yaptı ı faaliyet kaliteyi etkileyen bütün organizasyonğ elemanları için hazırlanmalıdır. Görev tanımlarında görevler sorumluluklar ve yetkiler belirlenir ve i düzeninde karma ıklı ı ortadanş ş ğ kaldırır. Görev yetki ve payla ımlar yapılmaz ise bir i bir andaş ş herkesinde olabilir hiç kimsenin de olmayabilir. 14/04/14
www.ictsert.com.tr59 Görev tanımları diye ayrı bir doküman hazırlamak art de ildir görevş ğ yetki ve sorumluluklar prosedürlerin içerisinde talimatların içerisinde anlatılabilir fakat BGYS dokümantasyonun da bir disiplin içerisinde hazırlanmasında fayda vardır. Büyük organizasyonlarda Organizasyon el kitabı eklinde organizasyon eması ile birlikte bütün personelin görevş ş yetki ve sorumlulukları kalite el kitabı gibi verilebilir. 14/04/14 GÖREV TANIMLARI
Örnek Görev Tanımı www.ictsert.com.tr60 BGYS Ekibi Bilgi güvenli i yönetim sistemi dokümanlarını hazırlamak, güncel tutmak veğ teknik standartlara uyumu sa lamak.ğ Risk analizi ile Bilgi güvenli i önceliklerinin tespiti çalı malarını koordine etmek.ğ ş Bilgi güvenlik ihlalleri ile ilgili kayıtlara dayanarak, ihlali gerçekle tiren ki i,ş ş ki iler ya da uygulamalar hakkında ilgili birimlerle koordinasyonu sa lamak veş ğ karar için yönetim temsilcisine raporlamak. Birim yönetimlerinin de katkısıyla, Bilgi güvenli inin sa lanması ve artırılmasınağ ğ yönelik olarak, planlanan çalı ma ve projelerin önceliklerini belirlemek ve bunaş göre Bilgi Güvenlik bütçesini hazırlamak ve yönetim temsilcisine raporlamak. Bilgi Güvenli i yönetim sistemlerinin uygulanabilmesi ve izlenebilmesi içinğ gerekli formları olu turmak.ş Geli meleri izleyip gerekli revizyonları ve da ıtımları yapmak.ş ğ 14/04/14
14/04/1461 www.ictsert.com.tr

Recommended

BTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMUBTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
ISO 27001 RİSK DEĞERLENDİRME EĞİTİMİ
ISO 27001 RİSK DEĞERLENDİRME EĞİTİMİISO 27001 RİSK DEĞERLENDİRME EĞİTİMİ
ISO 27001 RİSK DEĞERLENDİRME EĞİTİMİ
Ferhat CAMGÖZ
 
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi SunumuBTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
ISO 27001 BGYS TEMEL EĞİTİMİ
ISO 27001 BGYS TEMEL EĞİTİMİISO 27001 BGYS TEMEL EĞİTİMİ
ISO 27001 BGYS TEMEL EĞİTİMİ
Ferhat CAMGÖZ
 
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi EğitimiISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
BTYÖN Danışmanlık
 
BTRWATCH ISO27001 Yazılımı
BTRWATCH ISO27001 YazılımıBTRWATCH ISO27001 Yazılımı
BTRWATCH ISO27001 Yazılımı
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032
PECB
 
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
PECB
 

Recommended

BTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMUBTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
ISO 27001 RİSK DEĞERLENDİRME EĞİTİMİ
ISO 27001 RİSK DEĞERLENDİRME EĞİTİMİISO 27001 RİSK DEĞERLENDİRME EĞİTİMİ
ISO 27001 RİSK DEĞERLENDİRME EĞİTİMİ
Ferhat CAMGÖZ
 
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi SunumuBTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
ISO 27001 BGYS TEMEL EĞİTİMİ
ISO 27001 BGYS TEMEL EĞİTİMİISO 27001 BGYS TEMEL EĞİTİMİ
ISO 27001 BGYS TEMEL EĞİTİMİ
Ferhat CAMGÖZ
 
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi EğitimiISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
BTYÖN Danışmanlık
 
BTRWATCH ISO27001 Yazılımı
BTRWATCH ISO27001 YazılımıBTRWATCH ISO27001 Yazılımı
BTRWATCH ISO27001 Yazılımı
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032
PECB
 
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
PECB
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001 - three years of lessons learned
ISO 27001 - three years of lessons learnedISO 27001 - three years of lessons learned
ISO 27001 - three years of lessons learned
Jisc
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Why ISO27001 For My Organisation
Why ISO27001 For My OrganisationWhy ISO27001 For My Organisation
Why ISO27001 For My Organisation
Vigilant Software
 
Implementing ISO27001 2013
Implementing ISO27001 2013Implementing ISO27001 2013
Implementing ISO27001 2013
scttmcvy
 
Come conformarsi al Regolamento DORA sulla cybersecurity
Come conformarsi al Regolamento DORA sulla cybersecurityCome conformarsi al Regolamento DORA sulla cybersecurity
Come conformarsi al Regolamento DORA sulla cybersecurity
Giulio Coraggio
 
ISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdf
ControlCase
 
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim SistemiISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
Emre ERKIRAN
 
Understanding the Risk Management Framework & (ISC)2 CAP Module 1: Exam
Understanding the Risk Management Framework & (ISC)2 CAP Module 1: Exam Understanding the Risk Management Framework & (ISC)2 CAP Module 1: Exam
Understanding the Risk Management Framework & (ISC)2 CAP Module 1: Exam
Donald E. Hester
 
Siber güvenlik kampı sunumu
Siber güvenlik kampı sunumuSiber güvenlik kampı sunumu
Siber güvenlik kampı sunumu
BGA Cyber Security
 
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and DifferencesCMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
PECB
 
Ossec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit SistemiOssec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit Sistemi
BilgiO A.S / Linux Akademi
 
ISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process OverviewISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process Overview
Shankar Subramaniyan
 
ISO 27001_2022 Standard_Presentation.pdf
ISO 27001_2022 Standard_Presentation.pdfISO 27001_2022 Standard_Presentation.pdf
ISO 27001_2022 Standard_Presentation.pdf
SerkanRafetHalil1
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresa
ESET Brasil
 
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Iso 27001 in images - sample slides from different levels of training, e.g. F...
Iso 27001 in images - sample slides from different levels of training, e.g. F...Iso 27001 in images - sample slides from different levels of training, e.g. F...
Iso 27001 in images - sample slides from different levels of training, e.g. F...
Stratos Lazaridis
 
NQA - ISO 27001 Implementation Guide
NQA - ISO 27001 Implementation GuideNQA - ISO 27001 Implementation Guide
NQA - ISO 27001 Implementation Guide
NA Putra
 
Information Security Management Systems(ISMS) By Dr Wafula
Information Security Management Systems(ISMS) By Dr WafulaInformation Security Management Systems(ISMS) By Dr Wafula
Information Security Management Systems(ISMS) By Dr WafulaDiscover JKUAT
 
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018
Schellman & Company
 
Iso27001 2005
Iso27001 2005Iso27001 2005
Iso27001 2005
mfmurat
 
Hastane Poliklinik Otomasyonu
Hastane Poliklinik OtomasyonuHastane Poliklinik Otomasyonu
Hastane Poliklinik Otomasyonu
Resul Rıza Dolaner
 

More Related Content

What's hot

ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001 - three years of lessons learned
ISO 27001 - three years of lessons learnedISO 27001 - three years of lessons learned
ISO 27001 - three years of lessons learned
Jisc
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Why ISO27001 For My Organisation
Why ISO27001 For My OrganisationWhy ISO27001 For My Organisation
Why ISO27001 For My Organisation
Vigilant Software
 
Implementing ISO27001 2013
Implementing ISO27001 2013Implementing ISO27001 2013
Implementing ISO27001 2013
scttmcvy
 
Come conformarsi al Regolamento DORA sulla cybersecurity
Come conformarsi al Regolamento DORA sulla cybersecurityCome conformarsi al Regolamento DORA sulla cybersecurity
Come conformarsi al Regolamento DORA sulla cybersecurity
Giulio Coraggio
 
ISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdf
ControlCase
 
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim SistemiISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
Emre ERKIRAN
 
Understanding the Risk Management Framework & (ISC)2 CAP Module 1: Exam
Understanding the Risk Management Framework & (ISC)2 CAP Module 1: Exam Understanding the Risk Management Framework & (ISC)2 CAP Module 1: Exam
Understanding the Risk Management Framework & (ISC)2 CAP Module 1: Exam
Donald E. Hester
 
Siber güvenlik kampı sunumu
Siber güvenlik kampı sunumuSiber güvenlik kampı sunumu
Siber güvenlik kampı sunumu
BGA Cyber Security
 
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and DifferencesCMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
PECB
 
Ossec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit SistemiOssec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit Sistemi
BilgiO A.S / Linux Akademi
 
ISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process OverviewISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process Overview
Shankar Subramaniyan
 
ISO 27001_2022 Standard_Presentation.pdf
ISO 27001_2022 Standard_Presentation.pdfISO 27001_2022 Standard_Presentation.pdf
ISO 27001_2022 Standard_Presentation.pdf
SerkanRafetHalil1
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresa
ESET Brasil
 
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Iso 27001 in images - sample slides from different levels of training, e.g. F...
Iso 27001 in images - sample slides from different levels of training, e.g. F...Iso 27001 in images - sample slides from different levels of training, e.g. F...
Iso 27001 in images - sample slides from different levels of training, e.g. F...
Stratos Lazaridis
 
NQA - ISO 27001 Implementation Guide
NQA - ISO 27001 Implementation GuideNQA - ISO 27001 Implementation Guide
NQA - ISO 27001 Implementation Guide
NA Putra
 
Information Security Management Systems(ISMS) By Dr Wafula
Information Security Management Systems(ISMS) By Dr WafulaInformation Security Management Systems(ISMS) By Dr Wafula
Information Security Management Systems(ISMS) By Dr WafulaDiscover JKUAT
 
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018
Schellman & Company
 

What's hot (20)

ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
ISO 27001 - three years of lessons learned
ISO 27001 - three years of lessons learnedISO 27001 - three years of lessons learned
ISO 27001 - three years of lessons learned
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
 
Why ISO27001 For My Organisation
Why ISO27001 For My OrganisationWhy ISO27001 For My Organisation
Why ISO27001 For My Organisation
 
Implementing ISO27001 2013
Implementing ISO27001 2013Implementing ISO27001 2013
Implementing ISO27001 2013
 
Come conformarsi al Regolamento DORA sulla cybersecurity
Come conformarsi al Regolamento DORA sulla cybersecurityCome conformarsi al Regolamento DORA sulla cybersecurity
Come conformarsi al Regolamento DORA sulla cybersecurity
 
ISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdf
 
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim SistemiISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
 
Understanding the Risk Management Framework & (ISC)2 CAP Module 1: Exam
Understanding the Risk Management Framework & (ISC)2 CAP Module 1: Exam Understanding the Risk Management Framework & (ISC)2 CAP Module 1: Exam
Understanding the Risk Management Framework & (ISC)2 CAP Module 1: Exam
 
Siber güvenlik kampı sunumu
Siber güvenlik kampı sunumuSiber güvenlik kampı sunumu
Siber güvenlik kampı sunumu
 
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and DifferencesCMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
 
Ossec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit SistemiOssec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit Sistemi
 
ISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process OverviewISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process Overview
 
ISO 27001_2022 Standard_Presentation.pdf
ISO 27001_2022 Standard_Presentation.pdfISO 27001_2022 Standard_Presentation.pdf
ISO 27001_2022 Standard_Presentation.pdf
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresa
 
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
 
Iso 27001 in images - sample slides from different levels of training, e.g. F...
Iso 27001 in images - sample slides from different levels of training, e.g. F...Iso 27001 in images - sample slides from different levels of training, e.g. F...
Iso 27001 in images - sample slides from different levels of training, e.g. F...
 
NQA - ISO 27001 Implementation Guide
NQA - ISO 27001 Implementation GuideNQA - ISO 27001 Implementation Guide
NQA - ISO 27001 Implementation Guide
 
Information Security Management Systems(ISMS) By Dr Wafula
Information Security Management Systems(ISMS) By Dr WafulaInformation Security Management Systems(ISMS) By Dr Wafula
Information Security Management Systems(ISMS) By Dr Wafula
 
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018
 

Similar to ISO 27001 BGYS DOKÜMANTASYON EĞİTİMİ

Iso27001 2005
Iso27001 2005Iso27001 2005
Iso27001 2005
mfmurat
 
Hastane Poliklinik Otomasyonu
Hastane Poliklinik OtomasyonuHastane Poliklinik Otomasyonu
Hastane Poliklinik Otomasyonu
Resul Rıza Dolaner
 
Okyanus: Tehlike Analizi - HACCP Planı Kontrol Soru Listesi (Okyanus Danışman...
Okyanus: Tehlike Analizi - HACCP Planı Kontrol Soru Listesi (Okyanus Danışman...Okyanus: Tehlike Analizi - HACCP Planı Kontrol Soru Listesi (Okyanus Danışman...
Okyanus: Tehlike Analizi - HACCP Planı Kontrol Soru Listesi (Okyanus Danışman...
Murat Özdemir
 
MedicReS BeGMR TITCK IKU KALITE YONETIMI
MedicReS BeGMR TITCK IKU KALITE YONETIMIMedicReS BeGMR TITCK IKU KALITE YONETIMI
MedicReS BeGMR TITCK IKU KALITE YONETIMI
MedicReS
 
ISO 27001:2013 versiyonu ile gelen değişiklikler
ISO 27001:2013 versiyonu ile gelen değişikliklerISO 27001:2013 versiyonu ile gelen değişiklikler
ISO 27001:2013 versiyonu ile gelen değişiklikler
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Çevre Standartları
Çevre StandartlarıÇevre Standartları
Çevre StandartlarıMuratDuman13
 
e-kütüphane projesi
e-kütüphane projesie-kütüphane projesi
e-kütüphane projesi
cgoze
 
ISO 22000 GIDA GÜVENLİĞİ Karar destek sistemi
ISO 22000 GIDA GÜVENLİĞİ Karar destek sistemiISO 22000 GIDA GÜVENLİĞİ Karar destek sistemi
ISO 22000 GIDA GÜVENLİĞİ Karar destek sistemiufuk cebeci
 
MedicReS BeGMR TITCK IKU IZLEYICI VE IZLEME FAALIYETI
MedicReS BeGMR TITCK IKU IZLEYICI VE IZLEME FAALIYETIMedicReS BeGMR TITCK IKU IZLEYICI VE IZLEME FAALIYETI
MedicReS BeGMR TITCK IKU IZLEYICI VE IZLEME FAALIYETI
MedicReS
 
MedicReS BeGMR TITCK IKU ARASTIRMA PROTOKOLU
MedicReS BeGMR TITCK IKU ARASTIRMA PROTOKOLUMedicReS BeGMR TITCK IKU ARASTIRMA PROTOKOLU
MedicReS BeGMR TITCK IKU ARASTIRMA PROTOKOLU
MedicReS
 
EREACADEMY Bilisim Egitimleri Katalogu
EREACADEMY Bilisim Egitimleri KataloguEREACADEMY Bilisim Egitimleri Katalogu
EREACADEMY Bilisim Egitimleri Katalogu
EREACADEMY
 
TURCOM ISO 27001 DANIŞMANLIK HİZMETİ
TURCOM ISO 27001 DANIŞMANLIK HİZMETİTURCOM ISO 27001 DANIŞMANLIK HİZMETİ
TURCOM ISO 27001 DANIŞMANLIK HİZMETİ
MEB Adalar Halk Eğitim Merkezi
 
Malzeme Yönetimi _CII - IR7.pdf
Malzeme Yönetimi _CII - IR7.pdfMalzeme Yönetimi _CII - IR7.pdf
Malzeme Yönetimi _CII - IR7.pdf
HilmiCoskun
 
System validation
System validationSystem validation
System validation
Cüneyt Çetintaş
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
Alperen Albayrak
 
Sunucu işletim sistemi 4
Sunucu işletim sistemi 4Sunucu işletim sistemi 4
Sunucu işletim sistemi 4Erol Dizdar
 
proses (2).ppt
proses (2).pptproses (2).ppt
proses (2).ppt
FilizGLE
 
Veri Madenciliği (Data Mining)
Veri Madenciliği (Data Mining)Veri Madenciliği (Data Mining)
Veri Madenciliği (Data Mining)
Murat Azimli
 

Similar to ISO 27001 BGYS DOKÜMANTASYON EĞİTİMİ (20)

Iso27001 2005
Iso27001 2005Iso27001 2005
Iso27001 2005
 
Hastane Poliklinik Otomasyonu
Hastane Poliklinik OtomasyonuHastane Poliklinik Otomasyonu
Hastane Poliklinik Otomasyonu
 
Okyanus: Tehlike Analizi - HACCP Planı Kontrol Soru Listesi (Okyanus Danışman...
Okyanus: Tehlike Analizi - HACCP Planı Kontrol Soru Listesi (Okyanus Danışman...Okyanus: Tehlike Analizi - HACCP Planı Kontrol Soru Listesi (Okyanus Danışman...
Okyanus: Tehlike Analizi - HACCP Planı Kontrol Soru Listesi (Okyanus Danışman...
 
MedicReS BeGMR TITCK IKU KALITE YONETIMI
MedicReS BeGMR TITCK IKU KALITE YONETIMIMedicReS BeGMR TITCK IKU KALITE YONETIMI
MedicReS BeGMR TITCK IKU KALITE YONETIMI
 
Iso 9001 2008
Iso 9001 2008Iso 9001 2008
Iso 9001 2008
 
ISO 27001:2013 versiyonu ile gelen değişiklikler
ISO 27001:2013 versiyonu ile gelen değişikliklerISO 27001:2013 versiyonu ile gelen değişiklikler
ISO 27001:2013 versiyonu ile gelen değişiklikler
 
Çevre Standartları
Çevre StandartlarıÇevre Standartları
Çevre Standartları
 
e-kütüphane projesi
e-kütüphane projesie-kütüphane projesi
e-kütüphane projesi
 
ISO 22000 GIDA GÜVENLİĞİ Karar destek sistemi
ISO 22000 GIDA GÜVENLİĞİ Karar destek sistemiISO 22000 GIDA GÜVENLİĞİ Karar destek sistemi
ISO 22000 GIDA GÜVENLİĞİ Karar destek sistemi
 
MedicReS BeGMR TITCK IKU IZLEYICI VE IZLEME FAALIYETI
MedicReS BeGMR TITCK IKU IZLEYICI VE IZLEME FAALIYETIMedicReS BeGMR TITCK IKU IZLEYICI VE IZLEME FAALIYETI
MedicReS BeGMR TITCK IKU IZLEYICI VE IZLEME FAALIYETI
 
MedicReS BeGMR TITCK IKU ARASTIRMA PROTOKOLU
MedicReS BeGMR TITCK IKU ARASTIRMA PROTOKOLUMedicReS BeGMR TITCK IKU ARASTIRMA PROTOKOLU
MedicReS BeGMR TITCK IKU ARASTIRMA PROTOKOLU
 
Cevre
CevreCevre
Cevre
 
EREACADEMY Bilisim Egitimleri Katalogu
EREACADEMY Bilisim Egitimleri KataloguEREACADEMY Bilisim Egitimleri Katalogu
EREACADEMY Bilisim Egitimleri Katalogu
 
TURCOM ISO 27001 DANIŞMANLIK HİZMETİ
TURCOM ISO 27001 DANIŞMANLIK HİZMETİTURCOM ISO 27001 DANIŞMANLIK HİZMETİ
TURCOM ISO 27001 DANIŞMANLIK HİZMETİ
 
Malzeme Yönetimi _CII - IR7.pdf
Malzeme Yönetimi _CII - IR7.pdfMalzeme Yönetimi _CII - IR7.pdf
Malzeme Yönetimi _CII - IR7.pdf
 
System validation
System validationSystem validation
System validation
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Sunucu işletim sistemi 4
Sunucu işletim sistemi 4Sunucu işletim sistemi 4
Sunucu işletim sistemi 4
 
proses (2).ppt
proses (2).pptproses (2).ppt
proses (2).ppt
 
Veri Madenciliği (Data Mining)
Veri Madenciliği (Data Mining)Veri Madenciliği (Data Mining)
Veri Madenciliği (Data Mining)
 

ISO 27001 BGYS DOKÜMANTASYON EĞİTİMİ

  • 1. ISO 27001 BGYS DOKUMANTASYON EĞİTİMİ
  • 2. EĞİTİMİNDEN KİMLER YARARLANABİLİR www.ictsert.com.tr2 Çalı tı ı i yerinde ISO 27001 Bilgi Güvenli i Yönetimş ğ ş ğ Sistemi kurmak isteyen kullanıcıların ve bu i yerlerineş danı manlık hizmetinde bulunacak danı manlarş ş 14/04/14
  • 3. EĞİTİMİN AMACI www.ictsert.com.tr3 Sistem kurucularının ISO 27001 Bilgi Güvenli i Yönetimğ Sistemi standardı ile ilgili dokümantasyon nedir? neler dokümante edilir ? nasıl edilir ? sorularının cevaplarını ö renmesi için hazırlanmı tır.ğ ş 14/04/14
  • 4. EĞİTİM İÇERİĞİ 14/04/14www.ictsert.com.tr4 • Bölüm 1: Tanımlar • Bölüm 2: ISO 27001 Standardına Göre Doküman Ve Kayıtlar •Bölüm 3: Doküman Oluşturma
  • 6. DOKÜMANTASYON www.ictsert.com.tr6 Doküman : Ürün veya hizmeti, istenilen kalite artlarındaş sa layabilmek için ürünün veya hizmetin özelliklerini açıklayanğ basılı kopya veya elektronik medya ortamında olabilen yazılı bilgilerdir. 14/04/14
  • 7. TANIMLAR www.ictsert.com.tr7 Kontrollü : En son güncel nüshalarının kullanıcısında bulundurulması zorunlu olan dokümanlardır. Kontrolsüz : Genellikle bilgi amacıyla verilen ve yapılan de i ikliklerin kullanıcısına bildirilmedi i dokümanlardır.ğ ş ğ 14/04/14
  • 8. www.ictsert.com.tr8 Veri : Ürün veya hizmet özellikleri, proses bilgileri ve firma ile ilgili problemleri tanımlama, kaydetme, analiz etme, problemlerin çözümü gibi konularda, statistiksel Teknikleri uygulayabilmekİ amacıyla kurulu la ilgili gerekli olan her türlü bilgidir.ş Kayıt: Firmanın prosedüründe tanımlanmı ve belirtilen süreş içerisinde saklanması zorunlu olan, basılı kopya veya elektronik medya ortamında bulunabilen, üzerinde veri bulunan dokümanlardır. 14/04/14 TANIMLAR
  • 9. www.ictsert.com.tr9 Dı Kaynaklı Dokümanş : Hazırlama onaylama ve de i ikliklerin günceliklerin dı kurum veya kurulu larğ ş ş ş tarafından yapılan bilgi olarak yararlanılan dokümanlara denir. 14/04/14 TANIMLAR
  • 10. DOKÜMAN TİPLERİ VE ORTAMLARI www.ictsert.com.tr10 Tipleri: Yazılı, resim, proje, ses, görüntü Ortamları Ka ıt, manyetik ve elektronikğ 14/04/14
  • 11. KAYIT NEDİR? www.ictsert.com.tr11  Kayıt Nedir? Elde edilen sonuçları beyan eden veya gerçekle tirilen faaliyetin delilini sa layan veriş ğ i lenmi dokümanlara denir.ş ş  Kayıtlarda bir dokümandır fakat standartta belirtildi iğ gibi özel dokümanlardır. Dokümanlarda oldu u gibiğ Yazılı, resim, proje, ses, görüntü tipinde Ka ıt,ğ manyetik ve elektronik ortamlarda olabilir. 14/04/14
  • 12. Doküman ile Kayıt arasındaki fark nedir? www.ictsert.com.tr12 Doküman bir faaliyetin ne zaman, kim tarafından ve nasıl yapılaca ını tarif eder. Kayıtğ ise yapılan faaliyetin delilini sa lar. Yani kayıtğ lenmi bir dokümandırİş ş Dokümanlar revize edilir fakat kayıtlar revize edilemezler. 14/04/14
  • 13. www.ictsert.com.tr13 ISO 27001 STANDARDINA GÖRE DOKUMAN VE KAYITLAR 14/04/14 BÖLÜM 2
  • 14. www.ictsert.com.tr14 4.2 BGYS’nin kurulması ve yönetilmesi A) Herhangi bir dı arda bırakmanın ayrıntıları ve açıklamasını daş ekleyerek, BGYS kapsamını ve sınırlarını tanımlama B)Bir BGYS Politikası Tanımlama C)Risk Yakla ımının Tanımlanmasış D)Riskleri Tanımlama E) Risk Derecelendirme F) Risklerin lenmesiİş G) Kotrol Maddelerinin Belirlenmesi 14/04/14 DOKÜMAN VE KAYITLAR
  • 15. www.ictsert.com.tr15 4.2 BGYS’nin kurulması ve yönetilmesi H) Artık Riskin Dokümante Edilmesi J) Uygulanabilirlik Bildirgesinin Hazırlanması 14/04/14 DOKÜMAN VE KAYITLAR
  • 16. www.ictsert.com.tr16 4.3 Dokümantasyon gereksinimleri c) BGYS’yi destekleyici prosedürler ve kontroller, e) Risk de erlendirme raporu (Madde 4.2.1c)- 4.2.1g)),ğ g) Kurulu tarafından, bilgi güvenli i proseslerinin etkinş ğ planlanlanmasını, i letilmesini ve kontrolünü sa lamak için ihtiyaçş ğ duyulan dokümante edilmi prosedürler ve kontrollerin etkinli ininş ğ nasıl ölçülece ini tanımlama (Madde 4.2.3c)).ğ 14/04/14 DOKÜMAN VE KAYITLAR
  • 17. www.ictsert.com.tr17 4.3 Dokümantasyon gereksinimleri 4.3.2 Dokümanların kontrolü g) Dı kaynaklı dokümanların tanınmasını sa lama,ş ğ 14/04/14 DOKÜMAN VE KAYITLAR
  • 18. www.ictsert.com.tr18 5 Yönetim sorumlulu uğ 5.2.2 E itim, farkında olma ve yeterlilikğ d) E itim, ö retim, beceriler, deneyim ve niteliklere ili kin kayıtlarğ ğ ş tutma (Madde 4.3.3). 14/04/14 DOKÜMAN VE KAYITLAR
  • 19. www.ictsert.com.tr19 6 BGYS iç denetimleri Denetimlerin planlanması ve gerçekle tirilmesindeki ve sonuçlarınş raporlanması ve kayıtların tutulmasındaki (Madde 4.3.3) sorumluluklar ve gereksinimler, dokümante edilmi bir prosedürş içinde tanımlanmalıdır. Denetlenen alandan sorumlu olan yönetim, saptanan uygunsuzlukların ve bunların nedenlerinin giderilmesi için, gereksiz gecikmeler olmaksızın önlemlerin alınmasını sa lamalıdır. zleme faaliyetleri,ğ İ alınan önlemlerin do rulanmasını ve do rulamağ ğ sonuçlarının raporlanmasını (Madde 8) içermelidir. 14/04/14 DOKÜMAN VE KAYITLAR
  • 20. www.ictsert.com.tr20 7 BGYS’yi yönetimin gözden geçirmesi Yönetim, kurulu un BGYS’sini planlanan aralıklarla (en az yılda birş kez), sürekli uygunlu unu, do rulu unu ve etkinli ini sa lamak içinğ ğ ğ ğ ğ gözden geçirmelidir. Bu gözden geçirme, bilgi güvenli i politikası veğ bilgi güvenli i amaçları dahil BGYS’nin iyile tirilmesi ve gerekenğ ş de i ikliklerin yapılması için fırsatların de erlendirilmesiniğ ş ğ içermelidir. Gözden geçirme sonuçları açıkça dokümante edilmeli ve kayıtlar tutulup saklanmalıdır (Madde 4.3.3). 14/04/14 DOKÜMAN VE KAYITLAR
  • 21. www.ictsert.com.tr21 8 BGYS iyile tirmeş 8.2 Düzeltici faaliyet Kurulu tekrarları engellemek için, BGYS gereksinimleriyleş uygunsuzlukların nedenlerini gidermek üzere önlemler almalıdır. Düzeltici faaliyet için dokümante edilmi prosedürş a a ıdakiş ğ gereksinimleri tanımlamalıdır 14/04/14 DOKÜMAN VE KAYITLAR
  • 22. www.ictsert.com.tr22 8 BGYS iyile tirmeş 8.3 Önleyici faaliyet Kurulu tekrar ortaya çıkmalarını önlemek için, BGYSş gereksinimleriyle olası uygunsuzlukların nedenlerini gidermek üzere alınacak önlemleri belirlemelidir. Gerçekle tirilen önleyici faaliyetler,ş olası sorunların yapaca ı etkiye uygun olmalıdır.ğ Önleyici faaliyetler için dokümante edilmi prosedürş a a ıdaki gereksinimleriş ğ tanımlamalıdır: 14/04/14 DOKÜMAN VE KAYITLAR
  • 23. www.ictsert.com.tr23  BGYS POL T KASIİ İ  KURULU , BGYS YÖNET M S STEM N N KAPSAMIŞ İ İ İ İ  R SK YAKLA IMI VE DE ERLEND RMEİ Ş Ğ İ  ARTIK R SKİ  UYGULANAB L RL K B LD RGESİ İ İ İ İ İ  R SK DE ERLEND RME RAPORUİ Ğ İ  KONTROLLER N ETK NL N N ÖLÇÜLMESİ İ İĞİ İ İ  E T M KAYITLARIĞİ İ  Ç DENET M PROSEDÜRÜ VE KAYITLARIİ İ  YGG TOPLANTI DOKÜMANTASYONU VE KAYITLARI  DÜZELT C FAAL YET PROSEDÜRÜİ İ İ  ÖNLEY C FAAL YET PROSEDÜRÜİ İ İ 14/04/14 ÖZET OLARAK DOKÜMAN VE KAYITLAR
  • 24. www.ictsert.com.tr24 A.7 Varlık yönetimi A.7.1.1 Varlıkların envanteri Kontrol Tüm varlıklar açıkça tanımlanmalı ve önemli varlıkların bir envanteri hazırlanmalı ve tutulmalıdır. A.7.1.3 Varlıkların kabul edilebilir kullanımı Kontrol Bilgi i leme olanakları ile ili kili bilgi ve varlıkların kabul edilebilirş ş kullanım kuralları tanımlanmalı, dokümante edilmeli ve gerçekle tirilmelidir.ş 14/04/14 EK-A DOKÜMAN VE KAYITLARI
  • 25. www.ictsert.com.tr25 A.8 nsan kaynakları güvenli iİ ğ A.8.1.1 Roller ve sorumluluklar Kontrol Çalı anlar, yükleniciler ve üçüncü taraf kullanıcıların güvenlik rolleriş ve sorumlulukları kurulu un bilgi güvenli i politikasına uygun olarakş ğ tanımlanmalı ve dokümante edilmelidir. A.8.1.3 stihdam ko ullarıİ ş Kontrol  özle me yükümlülüklerinin parçası olarak, çalı anlar, yüklenicilerŞ ş ş ve üçüncü taraf kullanıcılar, kendilerinin ve kurulu un bilgi güvenli iş ğ sorumluluklarını belirten kendi i e alım sözle melerinin ko ullarınaş ş ş katılmalı ve bunu imzalamalıdırlar. 14/04/14 EK-A DOKÜMAN VE KAYITLARI
  • 26. www.ictsert.com.tr26 A.10 Haberle me ve i letim yönetimiş ş A.10.1.1 Dokümante edilmi i letim prosedürleriş ş Kontrol  letim prosedürleri dokümante edilmeli, sürdürülmeli ve ihtiyacıİş olan tüm kullanıcılara kullanılabilir yapılmalıdır. A.10.2 Üçüncü taraf hizmet sa lama yönetimiğ A.10.2.2 Üçüncü taraf hizmetleri izleme ve gözden geçirme Kontrol Üçüncü tarafa sa lanan hizmetler, raporlar ve kayıtlar düzenli olarakğ izlenmeli, gözden geçirilmeli ve düzenli olarak denetimler gerçekle tirilmelidir.ş 14/04/14 EK-A DOKÜMAN VE KAYITLARI
  • 27. www.ictsert.com.tr27 A.10.3 Sistem planlama ve kabul A.10.3.2 Sistem kabulü Kontrol Yeni bilgi sistemleri, sistem yükseltmeleri ve yeni sürümler için kabul kriterleri kurulmalı ve geli tirme esnasında ve kabul öncesindeş sistem(ler)e ili kinş uygun testler gerçekle tirilmelidirş . A.10.5 Yedekleme A.10.5.1 Bilgi yedekleme Kontrol Bilgi ve yazılımlara ait yedekleme kopyaları alınmalı ve anla ılanş yedekleme politikasına uygun ekildeş düzenli olarak test edilmelidir. 14/04/14 EK-A DOKÜMAN VE KAYITLARI
  • 28. www.ictsert.com.tr28 A.10.8 Bilgi de i imiğ ş A.10.8.1 Bilgi de i im politikaları ve prosedürleriğ ş Kontrol Tüm ileti im olana ı türlerinin kullanımıyla bilgi de i imini korumakş ğ ğ ş için resmi de i im politikaları, prosedürleri ve kontrolleri mevcutğ ş olmalıdır. A.10.8.2 De i im anla malarığ ş ş Kontrol Kurulu ve dı taraflar arasındaş ş bilgi ve yazılımın de i imi içinğ ş anla malar yapılmalıdır.ş 14/04/14 EK-A DOKÜMAN VE KAYITLARI
  • 29. www.ictsert.com.tr29  A.10.10 zlemeİ  A.10.10.1 Denetim kaydetme  Kontrol  Kullanıcı faaliyetleri, ayrıcalıkları ve bilgi güvenli i olaylarını kaydeden denetimğ kayıtları üretilmeli ve ileride yapılabilecek soru turmalar ve eri im kontrolüş ş izlemeye yardımcı olmak için anla ılmı bir süre tutulmalıdır.ş ş  A.10.10.4 Yönetici ve operatör kayıtları  Kontrol  Sistem yöneticisi ve operatör faaliyetleri kaydedilmelidir.  A.10.10.5 Hata kaydı  Kontrol  Hatalar kaydedilmeli, çözümlenmeli ve uygun önlem alınmalıdır. 14/04/14 EK-A DOKÜMAN VE KAYITLARI
  • 30. www.ictsert.com.tr30 A.11 Eri im kontrolüş A.11.1.1 Eri im kontrolü politikasış Kontrol Eri im için i ve güvenlik gereksinimlerini temel alan bir eri imş ş ş kontrol politikası kurulmalı, dokümante edilmeli ve gözden geçirilmelidir. A.11.2 Kullanıcı eri im yönetimiş A.11.2.1 Kullanıcı kaydı Kontrol Tüm bilgi sistemlerine ve hizmetlerine eri im izni vermek ve bunuş kaldırmak için resmi bir kullanıcı kaydetme ve kayıttan çıkarma prosedürü olmalıdır. 14/04/14 EK-A DOKÜMAN VE KAYITLARI
  • 31. www.ictsert.com.tr31 A.11.3.3 Temiz masa ve temiz ekran politikası Kontrol Ka ıtlar ve ta ınabilir depolama ortamları için bir temiz masağ ş politikası ve bilgi i leme olanakları için bir temiz ekran politikasış benimsenmelidir. 14/04/14 EK-A DOKÜMAN VE KAYITLARI
  • 32. www.ictsert.com.tr32 A.11.7 Mobil bilgi i leme ve uzaktan çalı maş ş A.11.7.2 Uzaktan çalı maş Kontrol Uzaktan çalı ma faaliyetleri için bir politika, operasyonel planlar veş prosedürler geli tirilmeli ve gerçekle tirilmelidir.ş ş A.12.3 Kriptografik kontroller A.12.3.1 Kriptografik kontrollerin kullanımına ili kin politikaş Kontrol Bilginin korunması için kriptografik kontrollerin kullanımına ili kinş bir politika geli tirilmeli ve gerçekle tirilmelidir.ş ş 14/04/14 EK-A DOKÜMAN VE KAYITLARI
  • 33. www.ictsert.com.tr33 A.12.5 Geli tirme ve destekleme proseslerinde güvenlikş A.12.5.1 De i im kontrol prosedürleriğ ş Kontrol De i ikliklerin gerçekle tirilmesi, resmi de i im kontrolğ ş ş ğ ş prosedürlerinin kullanımı ile kontrol edilmelidir. A.12.5.2 letim sistemindeki de i ikliklerden sonra teknik gözdenİş ğ ş geçirme Kontrol  letim sistemleri de i tirildi inde, kurumsal i lemlere ya daİş ğ ş ğ ş güvenli e hiçbir kötü etkisi olmamasını sa lamak amacıyla i içinğ ğ ş kritik uygulamalar gözden geçirilmeli ve test edilmelidir. 14/04/14 EK-A DOKÜMAN VE KAYITLARI
  • 34. www.ictsert.com.tr34 A.13 Bilgi güvenli i ihlal olayı yönetimiğ A.13.1.1 Bilgi güvenli i olaylarının rapor edilmesiğ Kontrol Bilgi güvenli i olayları uygun yönetim kanalları aracılı ıyla mümkünğ ğ oldu u kadar hızlı biçimde rapor edilmelidir.ğ A.13.1.2 Güvenlik zayıflıklarının rapor edilmesi Kontrol Bilgi sistemleri ve hizmetlerinin tüm çalı anları, yüklenicileri veş üçüncü taraf kullanıcılarından, sistemler ve hizmetlerdeki gözlenen veya üphelenilen herhangi bir güvenlik zayıflı ını dikkat etmeleri veş ğ rapor etmeleri istenmelidir. 14/04/14 EK-A DOKÜMAN VE KAYITLARI
  • 35. www.ictsert.com.tr35 A.13.2.3 Kanıt toplama Kontrol Bir bilgi güvenli i ihlal olayından sonra bir ki i veya kurulu a kar ığ ş ş ş alınan takip önlemi yasal eylem (ya sivil hukuk ya da ceza hukuku) içerdi inde, ilgili yargılama kurallarında belirlenmi olan kanıtğ ş kuralları ile uyumlu ekilde kanıt toplanmalı, tutulmalı veş sunulmalıdır. A.14 süreklili i yönetimiİş ğ A.14.1.5 süreklili i planlarını test etme, sürdürme ve yenidenİş ğ de erlendirmeğ Kontrol  süreklili i planları, güncel ve etkili olmalarını sa lamak için,İş ğ ğ düzenli olarak test edilmeli ve güncelle tirilmelidir.ş 14/04/14 EK-A DOKÜMAN VE KAYITLARI
  • 36. www.ictsert.com.tr36 A.15 Uyum A.15.1.1 Uygulanabilir yasaları Tanımlanma Kontrol  lgili tüm yasal, düzenleyici ve sözle meden do an gereksinimleri veİ ş ğ kurulu un bu gereksinimleri kar ılama yakla ımı her bilgi sistemi veş ş ş kurulu içinş açıkça tanımlanmalı, dokümante edilmeli ve güncel tutulmalıdır. 14/04/14 EK-A DOKÜMAN VE KAYITLARI
  • 38. DOKÜMANTASYON OLUŞTURMA www.ictsert.com.tr38  Mevcut Durum Analizi ve Planlama  Listeleme ve Sınıflandırma  Doküman Hazırlama Onaylama Yayınlama  Gözden Geçirme PÜKO FELSEFES UYGULANIR!İ 14/04/14
  • 39. Mevcut Durum Analizi ve Planlama www.ictsert.com.tr39  Elimizde hangi dokümanlar var kurum içi kurum dı ış  Bu dokümanlardan BGYS’yi etkileyenleri ayrılır  BGYS’yi etkileyenler kullanımı avantajlı mı .  Bu dokümanlar ISO 27001 standardının istedi i dokümanlarığ kar ılıyor mu?ş  Bunlar dı ında ISO 27001 standardına göre olması gerekenş dokümanlar neler. 14/04/14
  • 40. Listeleme ve Sınıflandırma www.ictsert.com.tr40  Öncelikle dokümanların sınıflandırılması yapılır. Örnek Prosedür i talimatı görev tanımış  Kodlama sistemi belirlenir. P-01 , PL-01, G-02, BGEK-00 vb FRM-34  Dokümanı hazırlayan onaylayan ve de i iklikleri yapacaklarğ ş belirlenir.  Listelenir. 14/04/14
  • 41. Doküman Hazırlama Onaylama Yayınlama www.ictsert.com.tr41  Mevcut elimizde olanların güncellemesi yapılır.  Elimizde olmayanlar hazırlanır  Dokümanların birbiri ile ili kileri tanımlanır.ş  Onaylama makamlarına sunulur.  Yayınlanır. 14/04/14
  • 42. Gözden Geçirme www.ictsert.com.tr42  Hazırlanan dokümanlar uygulanır  Aksayan yönler belirlenir. 14/04/14
  • 43. Güncellenmesi www.ictsert.com.tr43  Bir sistematik içerisinde dokümanlarda aksayan noktalar de i tirilir ve tekrar uygulanır.ğ ş 14/04/14
  • 44. Dokümantasyonda Etken Olan Dış Faktörler www.ictsert.com.tr44  Mü teri Talepleriş  Tedarikçi ve ürün gerekleri  Yasal artlarş  Pazar artlarında olu turulan firma politikasış ş  Ulusal / Uluslararası Standartlar  Yönetmelikler, kurallar  ISO 27001 standardı 14/04/14
  • 45. ÖNEMLİ! www.ictsert.com.tr45 Sistemin dokümante edilmesi a amasında mevcut sistemin;ş  olması gerekti i gibi de il,ğ ğ  oldu u gibiğ dokümante edilmesi unutulmamalıdır. 14/04/14
  • 46. ÖNEMLİ! www.ictsert.com.tr46 BGYS Dokümantasyonu’ nun en önemli özelli i güncel olanı, yani oğ günün uygulamalarını yansıtıyor olmasıdır. Burada dikkat edilmesi gereken husus mevcut durumu me rula tırmakş ş de il dokümantasyonu hazırlamadan önce yapılan faaliyetleri BGYSğ kriterlerine göre düzenlemek ve ondan sonra dokümantasyonu hazırlamaktır. 14/04/14
  • 47. BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ DOKÜMANTASYON YAPISI www.ictsert.com.tr47 BGYS POLİTİKASI BGYS EL KİTABI BGSY POLİTİKALARI VE PROSEDÜRLERİ SİSTEM TALİMATLARI VE PLANLARI DESTEK DOKÜMANLAR Görev Tanımları, Formlar, Planlar, Raporlar, Dış Kaynaklı Dokümanlar (Standartlar yönetmelikler kanunlar) 14/04/14
  • 48. www.ictsert.com.tr48 Dokümanların zlenebilirli i ve birbiriden ayırt edilebilmesiİ ğ çin:İ  Kurulu un Adı,ş  Dokümanın Adı,  Yürürlülü e Girdi i Tarih,ğ ğ  Revizyon Tarihi  Hazırlayan,  Onay, 14/04/14 DOKÜMAN ŞABLONLARI
  • 50. ÖRNEK BGYS POLİTİKASI www.ictsert.com.tr50  "Rekabet ortamının sa lanması, korunması ve geli tirilmesi amacıyla mal ve hizmet piyasalarındaki rekabetiğ ş engelleyici, bozucu veya kısıtlayıcı anla ma, karar ve uygulamalar ile piyasaya hâkim olan te ebbüslerin buş ş hâkimiyetlerini kötüye kullanmalarını önlemek, bunun için gerekli düzenleme ve denetlemeleri yaparak rekabetin korunmasını sa lamak" için yürütülen faaliyetlerde,ğ  Bilgi Güvenli inin üç temel ö esi olanğ ğ Gizlilik, Bütünlük ve Eri ilebilirli inş ğ süreklili ini sa lamak,ğ ğ  Bilgi varlıklarını yönetmek, varlıkların güvenlik de erlerini, ihtiyaçlarını ve risklerini belirlemek, risklereğ yönelik kontrolleri geli tirmek ve uygulamak,ş  Bilgi varlıklarını, de erleri, güvenlik ihtiyaçlarını, zafiyetleri, varlıklara yönelik tehditleri ve tehditlerinğ sıklıklarının saptanması için yöntemleri tanımlamak,  Risklerin i lenmesi için çalı ma esaslarını ortaya koymak,ş ş  Hizmet verilen kapsam ba lamında teknolojik beklentileri gözden geçirerek riskleri sürekli takip etmek,ğ  süreklili ine yönelik bilgi güvenli i tehditlerinin etkisini azaltmak ve süreklili e katkıda bulunmak,İş ğ ğ ğ  Gerçekle ebilecek bilgi güvenli i olaylarına hızla müdahale edebilecek ve olayın etkisini minimize edecekş ğ yetkinli e sahip olmak,ğ  Maliyet etkin bir kontrol altyapısı ile bilgi güvenli i seviyesini zaman içinde korumak ve iyile tirmek,ğ ş  Kurum itibarını geli tirmek, bilgi güvenli i temelli olumsuz etkilerden korumak,ş ğ  Yasal mevzuat ve düzenleyici yapıların artlarına uyumu sa lamak,ş ğ  Kar ılıklı sözle me, protokol ve benzeri anla maların içerdi i yükümlülüklere uyumu temin etmektir.ş ş ş ğ 14/04/14
  • 51. Prosedürler www.ictsert.com.tr51 Prosedürler NE gerçekle tirilecekş Etkinlik NEDEN gerçekle ecekş Etkinlik NEREDE gerçekle ecekş NASIL gerçekle ecek (talimatlar)ş NE ZAMAN gerçekle ecek (olu sırası)ş ş Etkinlikten K Mİ sorumludur PROSEDÜRLER, N Z S Z N KADAR Y B LMEYENLER NİŞİ İ İ İ İ İ İ İ İ DE ANLAYAB LECE EK LDE YAZILMALIDIR.!!!İ Ğİ Ş İ 14/04/14
  • 52. Prosedürler www.ictsert.com.tr52 Örnek cümle Süreçten belli aralıklarla numune alınarak gerekli deneyler yapılır. (Yanlı )ş Operatör, x sürecinden 3 saatte bir y miktarda numune alır ve pH ile konsantrasyonunu ölçer. (Do ru)ğ 14/04/14
  • 53. Prosedürler yazılırken www.ictsert.com.tr53 Basit sözcükler kullanılmalı  Pasif cümle kullanmaktan kaçınılmalı  Prosedürü yazan ki i kendini okuyucunun yerine koymalı veş onun prosedürü okuyunca hiç bir sorunla kar ıla mamasınış ş sa lamalı.ğ Cümle ve paragraflar en kısa ekilde olmalı;ş  bir cümle bir eylemi, bir paragraf ise bir konuyu anlatmalıdır. Noktalama i aretleri etkili bir prosedür yazmada di er önemli birş ğ konudur. Yapılan kısaltmalar mutlaka tanımlanmalıdır. 14/04/14
  • 54. PROSEDÜRÜN İÇERİĞİ www.ictsert.com.tr54  1.0.AMAÇ : (3 satırla sınırlı tutmaya çalı ın)ş  Bu prosedürün amacı için yöntem, yetki ve sorumlulukları tanımlamaktadır.   2.0.UYGULAMA ALANI : (prosedürün etkiledi i bölümler, faaliyetler, dokümanlar)ğ   3.0. TANIMLAR : (varsa özel terim ve deneyimlerin, kavramların açıklamaları)   4.0. KAYITLAR : (prosedürün uygulanması sırasında tutulması gereken kayıtlar için düzenlenen formların numara ve adları)  5.0.REFERANSLAR : (bu prosedürlerle ili kili olan prosedürlerin adı ve numarası)ş   6.0.SORUMLULUKLAR : (bu prosedürün uygulanmasından sorumlu bölüm müdürlerin ünvanları ve uygulama ile ilgili sorumlulukları)  6.1 Müdürü   7.0 .UYGULAMA : (Yapılan i in i akı sırasına göre tanımlanması. NE yapılıyor, K M(ler)ş ş ş İ tarafından, NE ZAMAN, NE LE, NASIL, HANG KAYITLAR tutuluyor. Geni zaman kipiniİ İ ş kullanın) 14/04/14
  • 55. TALİMATLAR www.ictsert.com.tr55 Sorumlusu belirlenir. Yapılacak i i ayrıntısıyla anlatır.ş Okuyanın i i daha önce hiç yapmadı ı varsayılır.ş ğ Açık, yalın, anla ılabilir ifadeler kullanılabilir.ş Foto raf, ema, akı diyagramı gibi görsel malzeme ile desteklenebilir.ğ ş ş  lgili bilgi kaynaklarına (Kullanım kılavuzu vb.) gönderme yapılabilir.İ Ana prosedürü destekler. Olmadı ında i in ya da ürünün kalitesi olumsuz yönde etkilenebilecekğ ş i ler detaylı olarak anlatılır.ş 14/04/14
  • 56. www.ictsert.com.tr56  talimatları yazılırken, bunların operasyonel düzeyde oldu uİş ğ unutulmamalı, bu nedenle de kısa ve emir kipinde yazılmalıdır.  talimatları yapılırken, i i daha önce yapan ki i ile mutlakaİş ş ş görü ülmeli ve böylece “yapılma ekli” ile “olması gereken”ş ş ortaya çıkarılmalıdır. Örnek Talimatlar Sistem Kontrolleri Güvenlik Talimatları Sunucu Bakım Talimatları VPN Güvenli i Talimatığ Active Directory Talimatı 14/04/14 TALİMATLAR
  • 57. Örnek TALİMATLAR www.ictsert.com.tr57 UYGULAMA Bilgi Yönetimi Dairesi ilgili personeli sistem odasından birinci derecede sorumlu ki ilerdir.ş Sistem odası ile ilgili olarak yapılacak tüm i ler Bilgi Yönetimi Dairesi ilgiliş personelinin bilgisi dâhilinde yapılacaktır. Yapılacak i lerle ilgili olarak tüm eri im yetkileri Bilgi Yönetimi Dairesi ilgili personeliş ş tarafından açılır ve kapatılır. Sistem Odasının temizli i ve düzeni, Bilgi Yönetimi Dairesi ilgili personeliğ sorumlulu unda olacaktır.ğ Sistem odasına giri ler biyometrik kontrol yöntemiyle (avuç içi damar tarama)ş yapılacaktır. Sistem odasına sadece yetkilendirilmi personelin eri im izni vardır. Sistem odasınaş ş bakım/onarım, temizlik ya da di er nedenlerle üçüncü ahısların eri imi sadeceğ ş ş yetkilendirilmi ki ilerin nezaretinde yapılacaktır.ş ş 14/04/14
  • 58. GÖREV TANIMLARI www.ictsert.com.tr58 Görev tanımları yaptı ı faaliyet kaliteyi etkileyen bütün organizasyonğ elemanları için hazırlanmalıdır. Görev tanımlarında görevler sorumluluklar ve yetkiler belirlenir ve i düzeninde karma ıklı ı ortadanş ş ğ kaldırır. Görev yetki ve payla ımlar yapılmaz ise bir i bir andaş ş herkesinde olabilir hiç kimsenin de olmayabilir. 14/04/14
  • 59. www.ictsert.com.tr59 Görev tanımları diye ayrı bir doküman hazırlamak art de ildir görevş ğ yetki ve sorumluluklar prosedürlerin içerisinde talimatların içerisinde anlatılabilir fakat BGYS dokümantasyonun da bir disiplin içerisinde hazırlanmasında fayda vardır. Büyük organizasyonlarda Organizasyon el kitabı eklinde organizasyon eması ile birlikte bütün personelin görevş ş yetki ve sorumlulukları kalite el kitabı gibi verilebilir. 14/04/14 GÖREV TANIMLARI
  • 60. Örnek Görev Tanımı www.ictsert.com.tr60 BGYS Ekibi Bilgi güvenli i yönetim sistemi dokümanlarını hazırlamak, güncel tutmak veğ teknik standartlara uyumu sa lamak.ğ Risk analizi ile Bilgi güvenli i önceliklerinin tespiti çalı malarını koordine etmek.ğ ş Bilgi güvenlik ihlalleri ile ilgili kayıtlara dayanarak, ihlali gerçekle tiren ki i,ş ş ki iler ya da uygulamalar hakkında ilgili birimlerle koordinasyonu sa lamak veş ğ karar için yönetim temsilcisine raporlamak. Birim yönetimlerinin de katkısıyla, Bilgi güvenli inin sa lanması ve artırılmasınağ ğ yönelik olarak, planlanan çalı ma ve projelerin önceliklerini belirlemek ve bunaş göre Bilgi Güvenlik bütçesini hazırlamak ve yönetim temsilcisine raporlamak. Bilgi Güvenli i yönetim sistemlerinin uygulanabilmesi ve izlenebilmesi içinğ gerekli formları olu turmak.ş Geli meleri izleyip gerekli revizyonları ve da ıtımları yapmak.ş ğ 14/04/14