BĠLGĠ GÜVENLĠĞĠ ve YÖNETĠMĠ

Ebat: px
Şu sayfadan göstermeyi başlat:

Download "BĠLGĠ GÜVENLĠĞĠ ve YÖNETĠMĠ"

Transkript

1 BĠLGĠ GÜVENLĠĞĠ ve YÖNETĠMĠ Türkiye Bilişim Derneği Ankara Şubesi Eğitim Etkinliği 26 Mayıs 2009 Salı, 09:30-12:30 Eğitimci : Neşe SAYARI ODTÜ Mezunları Derneği Vişnelik Tesisi 1/76

2 GÜNDEM Bilgi Güvenliği Nedir? Neden Önemlidir? Bilgi Güvenliği Yönetim Sistemi (BGYS) Nedir? Bilgi Güvenliği Nasıl Sağlanır? Bilgi Güvenliği Gereksinimlerinin Belirlenmesi BGYS Süreçleri Risk Yönetimi Koruyucu Önlemler BGYS Standartları ISO Standardının Tanıtımı BGYS Başarı Faktörleri BGYS Dokümantasyon Gereksinimi Bilgi Güvenliği Denetim Süreci Genel Değerlendirme ve Kapanış 2/76

3 BĠLGĠ GÜVENLĠĞĠ NEDĠR? NEDEN ÖNEMLĠDĠR? 3/76

4 KURUMSAL BĠLGĠ: Bilgi bir kurumun iş yapabilmesi için sahip olduğu önemli varlıkların en başında gelir. Kurum sahip olduğu bilgiyi derler, üretir, işler, saklar, satar, diğer kişi ve kurumlarla paylaşır. Bilgi; Basılı halde kağıtlarda Elektronik dosyalarda Veritabanlarında Telefon konuşmalarında Faks mesajlarında Masalarda, dolaplarda, Ġletim hatlarında, en önemlisi de kurum çalıģanlarının akıllarında bulunur. Bilgi hangi ortamda olursa olsun gerektiği Ģekilde korunmalıdır. 4/76

5 BĠLGĠ GÜVENLĠĞĠ NEDĠR? Bilgi güvenliği bilginin tehditlere karşı uygun şekilde korunması demektir. Bilginin korunması; gizliliğinin gözetilmesi, bütünlüğünün garanti altında tutulması ve lazım olduğunda erişilebilir durumda olması anlamına gelir. Bütünlük Gizlilik Erişilebilirlik 5/76

6 BĠLGĠNĠN GĠZLĠLĠĞĠ Bilgi gizliliğinin gözetilmesi Bilginin sadece yetkili kişiler tarafından erişilebilir durumda olması, Yetkisiz kişilerin erişiminin engellenmesidir. GİZLİLİK Bütünlük Erişilebilirlik 6/76

7 BĠLGĠNĠN BÜTÜNLÜĞÜ Bilginin bütünlüğü; Ġçeriğinin doğru, Güncel ve geçerli olduğu, Yetkisiz kişiler tarafından değiştirilmediği anlamına gelir. Gizlilik BÜTÜNLÜK Erişilebilirlik 7/76

8 BĠLGĠNĠN ERĠġĠLEBĠLĠRLĠĞĠ Bilginin erişilebilirliği; Bilginin olması gereken yerde ve gerektiğinde kullanıma hazır olduğunun güvence altında tutulmasıdır. Gizlilik Bütünlük ERİŞİLEBİLİRLİK 8/76

9 BĠLGĠ GÜVENLĠĞĠ NEDEN ÖNEMLĠDĠR? Bilgi uygun şekilde korunmazsa; Gizli bilgiler açığa çıkabilir Bilginin içeriğinde yetkisiz kişiler tarafından değişiklik yapılabilir Bilgiye erişim mümkün olmayabilir. Kullanıcı hataları veya kötü niyetli girişimler bu sonuçları doğurabilir. Bu olayların izlenebilirliği de önemli bir konudur. 9/76

10 BĠLGĠ GÜVENLĠĞĠ NEDEN ÖNEMLĠDĠR? Bilgi uygun şekilde korunmazsa; Kuruma ait gizli ve hassas bilgiler Kurum işlerliğini sağlayan bilgi ve süreçler Kurumun ismi, güvenilirliği, itibarı Üçüncü şahıslar tarafından emanet edilen bilgiler Ticari, teknolojik, adli bilgiler Ġş sürekliliği zarar görebilir. 10/76

11 BĠLGĠ GÜVENLĠĞĠ NEDEN ÖNEMLĠDĠR? Bilgi uygun şekilde korunmazsa; Ülke çıkarının zarar görmesi, İş sürekliliğinin aksaması Kaynak tüketimi Müşteri mağduriyeti, memnuniyetsizliği Üçüncü şahıslara yapılan saldırılardan sorumlu tutulma Ulusal / kurumsal itibar kaybı Yasal yaptırımlar ve tazminatlar gibi olumsuz sonuçlarla karşılaşılabilir. 11/76

12 NE TÜR TEHDĠTLER VAR? Servis dışı bırakma saldırıları Kimlik bilgilerinizin ele geçirilerek kötü amaçla kullanılması Virus, kurtcuk, trojan saldırıları Bilgisayarınızın başkası tarafından ele geçirilerek suç işlenmesi Bilgisayarınızın kurum ağına giriş kapısı olarak kullanılması Web sayfası içeriğini değiştirme Ġzinsiz kaynak kullanımı Kuruma ait bilgisayardan dışarıya yapılabilecek saldırılar 12/76

13 KURUMSAL BĠLGĠ GÜVENLĠĞĠ NASIL SAĞLANIR? Kurum çapında bilgi güvenliği farkındalığının yaratılması Uygun kullanım, politikalar, prosedürler... Kurum organizasyonu; kişiler, roller, uygun atamalar ve iş dağılımı, Güvenlik yazılım ve donanımları Bilgi güvenliği, kurum gereksinimleriyle örtüşecek şekilde ve sistematik bir yaklaşımla ele alınmalıdır. 13/76

14 BĠLGĠ GÜVENLĠĞĠNDE KURUMSAL SORUMLULUK NEDĠR? Bilgi güvenliği yönetiminin de diğer yönetsel süreçlerden biri olarak kurgulanması, Gerekli atamaların yapılması ve kaynak tahsisinin sağlanması, Kurum çapında farkındalık ve bilinç yaratılması, Güvenlik ihlallerinin değerlendirilmesi, Yaptırımların uygulanmasıdır. 14/76

15 BĠLGĠ GÜVENLĠĞĠ GEREKSĠNĠMLERĠ NASIL BELĠRLENĠR? 15/76

16 BĠLGĠ GÜVENLĠĞĠ GEREKSĠNĠMLERĠ Kurumsal güvenlik gereksinimleri belirlenirken bazı temel kaynaklara başvurulur: Risk Analizi Sonuçları Yasal yükümlülükler, yurt içi ve yurt dışı ticari iş bağlantıları nedeniyle yapılan sözleşmeler, devlet kurumlarıyla karşılıklı anlaşmalar vs. Kurumun işlevlerini destekleyen bilişim sistemleri ile ilgili prensipler ve gereksinimler. Kurumun daha önce yaşadığı güvenlik olayları 16/76

17 BĠLGĠ GÜVENLĠĞĠ GEREKSĠNĠMLERĠ: -Risk Analizi- Bilgi varlıklarına yönelik tehditler belirlenir Bilgi varlıklarının zayıflıkları (korunmasızlık) gözden geçirilir, tehditlerin bu zayıflıklardan yararlanarak zarar verme olasılığı değerlendirilir Tehditlerin varlıklara olası etkisi değerlendirilir. Bu veriler risk hesaplamak için kullanılır ve riskler listelenir. Bu çalışma kurumun risk ortamını yansıttığı için kuruma özgü sonuçlar verir 17/76

18 BĠLGĠ GÜVENLĠĞĠ GEREKSĠNĠMLERĠ : -Yasa ve SözleĢmelerle Ġlgili Yükümlülükler- Kurumun devlete, diğer kuruluşlara, müşterilerine karşı taahhütleri nelerdir? Yasalar ve sözleşmeler neler gerektirmektedir? Bilgi güvenliği kontrolleri belirlenirken bu gereksinimler göz önüne alınmalıdır. (Uluslararası sözleşmeler, ortaklık anlaşmaları, sigorta kanunu, elektronik imza kullanma gerekliliği, 5651 sayılı yasa, kişisel verilerin gizliliği, hasta bilgilerinin gizliliği, şifreli saklama ve iletim gerekliliği vb...) 18/76

19 BĠLGĠ GÜVENLĠĞĠ GEREKSĠNĠMLERĠ : -BT ile ilgili prensipler ve gereksinimler- Bilgi işlem faaliyetleri ve BT altyapısının kurumsal iş hedeflerini karşılamaya uygun olması Uygunluk sağlanması gereken BT standartları ve prensipleri BT donanım ve yazılımının yaratacağı yeni güvenlik açıkları (COBIT, PCI, ITIL vb standartlar, veritabanı şifreleme, kimlik yönetimi, log yönetimi gibi..) 19/76

20 GÜVENLĠK GEREKSĠNĠMLERĠ: -Daha önce yaģanan güvenlik sorunları- Kurumda daha önce yaşanan güvenlik olayları, gözlenen güvenlik açıkları, Bu olaylardan öğrenerek, tekrarını engellemek için önlemler. 20/76

21 KURUM GEREKSĠNĠMLERĠNĠN ĠNCELENMESĠ Ġş gereksinimleri Kurum yapısı Güvenlik riskleri Bütçe Diğer koşullar Gizlilik Bütünlük EriĢilebilirlik Bilgi güvenliği sistemi, bu denge gözetilerek kurulur. 21/76

22 BGYS SÜREÇLERĠ NELERDĠR? 22/76

23 BĠLGĠ GÜVENLĠĞĠ YÖNETĠMĠ NEDĠR? Kurumsal iş süreçlerindeki bilgi güvenliği risklerinin tespit edilmesi ve uygun önlemlerle indirgenmesi çalışmasıdır. Bilgi güvenliği yönetimi sistematik ve döngüsel bir yaklaşımla gerçekleştirilir. 23/76

24 BĠLGĠ GÜVENLĠĞĠ YÖNETĠM SĠSTEMĠ (BGYS) SÜREÇLERĠ PLAN (Planla) BGYS nin planlanması ve kurulmasıdır. ACT DO (Uygula) Seçilen kontrollerin uygulanması ve BGYS nin politika ve prosedürlere uygun olarak işletilmesidir. PLAN DO CHECK CHECK (Kontrol et) Uygulamanın politikaya uygunluğunun denetlenmesidir. ACT (ĠyileĢtir) BGYS işletiminin sürekli iyileşmesi için düzeltici ve önleyici faaliyetlerin gerçekleştirilmesidir. 24/76

25 BGYS Diğer yönetim sistemleriyle etkileşimli olarak ele alınması gereken bir yönetim sistemidir. Kurumsal bilgi güvenliği süreçlerinin planlanması, uygulanması, denetlenmesi ve iyileştirilmesi ile ilgili yöntemler içerir. Dokümante edilmiş, işlerliği ve sürekliliği garanti altına alınmış olmalıdır. Bilgi Güvenliği teknik değil, yönetsel bir konudur. Bu nedenle BGYS bir IT (Bilgi Teknolojileri) sistemi değildir. Bir Yönetim Sistemidir. Kurumsal bir Bilgi Güvenliği Yönetimi Sistemi nin uluslararası standartlara uygun oluşturulması tavsiye edilir. Standartlara uygun oluşturulan sistemler belge almaya adaydır. 25/76

26 Güvenlik Vizyonu ve Stratejisi BGYS VE TEMEL BĠLEġENLERĠ Üst Yönetim Desteği Teknoloji Strateji ve Kullanım Uygulama Prosesleri ĠĢ Süreçleri Politika Güvenlik Mimarisi ve Teknik Standartlar Yönetsel ve Son Kullanıcı ile Ġlgili Standartlar ve Prosedürler Ġzleme Prosesleri Risk ve Zafiyet Değerlendirmesi ĠyileĢtirme Prosesleri Eğitim ve Farkındalık Programı Bilgi Güvenliği Yönetim Sistemi 26/76

27 RĠSK YÖNETĠMĠ 27/76

28 RĠSK YÖNETĠMĠ NEDEN ÖNEMLĠDĠR? %100 güvenlik mümkün değildir! Sıfır risk ortamı yoktur ve her zaman yönetilmesi gereken riskler vardır. Risk analiziyle ortama özgü riskler anlaşılır. Gerekli önlemler (kontroller) bu analiz ışığında belirlenir. Kontroller uygulanarak riskler kabul edilir seviyeye indirilir. ISO risk yönetimi tabanlı bir yaklaşımı benimsemiştir.. 28/76

29 RĠSK YÖNETĠMĠ NEDEN ÖNEMLĠDĠR Önemli bir karar verme aracıdır. Üst yönetime mevcut güvenlik seviyesi ve hedefe yakınlığı ile ilgili bilgi sağlar, bilgi güvenliği kararlarının verilmesine ışık tutar. Kontrolün maliyeti ve faydası arasındaki dengenin kurulabilmesi için yol gösterir. 29/76

30 RĠSK ANALĠZĠ TERMĠNOLOJĠSĠ: Varlık : Kurum için değer taşıyan ve korunması gereken herşey varlık olarak tanımlanır. Varlıklar süreç akışları incelenerek belirlenir. Çeşitli ortamlardaki bilgiler İnsanlar Kayıtlar Donanımlar Yazılımlar Tesisler İmaj Süreçler İşlemler 30/76

31 RĠSK ANALĠZĠ TERMĠNOLOJĠSĠ: Varlık Sahibi: İş Sahibi Varlığın değerini ve risklerini en iyi bilen ve risk analizi sürecinde bu kararları veren, korunma gereksinimini belirleyen birim veya kişidir. Teknik Sahibi Varlığı belirlenen gereksinimine uygun olarak korunmasından sorumlu olan birim veya kişidir. 31/76

32 RĠSK ANALĠZĠ TERMĠNOLOJĠSĠ: Tehdit : Bir varlığa zarar verme olasılığı olan olaylar tehdit olarak tanımlanır. Sabotaj Hırsızlık Yangın Deprem Su baskını Donanım arızaları Ġnsan hataları Kötü niyetli girişimler vb. 32/76

33 RĠSK ANALĠZĠ TERMĠNOLOJĠSĠ: Zafiyet: Bir varlığın bir tehditten zarar görmesine yol açacak zayıflıklar, varlığın korunmasız olma halidir. Eğitimsiz insanlar Zayıf şifreler Hatalı kurulan cihazlar Kilitsiz kapılar Yetkisiz erişilebilen sistemler, odalar vb. 33/76

34 RĠSK ANALĠZĠ TERMĠNOLOJĠSĠ: Kontrol: Zafiyeti veya tehditlerin etkisini azaltma yeteneği olan, sistemler ve süreçlerdir. Kartlı giriş sistemleri Antivirüs sistemleri Alarm sistemleri Güçlü şifreler İzleme sistemleri Politika ve prosedürler 34/76

35 VARLIK TEHDĠT ZAFĠYET KONTROL Risk analizi bu kavramlar arasındaki ilişkiyi inceleyerek, mevcut risk durumunu ortaya çıkarır. Risk analizi sonuçları sadece yapıldığı anı gösteren bir fotoğraf gibidir. Varlıklar, tehditler, zafiyetler ve kontroller sürekli değişkenlik gösterir. 35/76

36 BĠLGĠ GÜVENLĠĞĠNĠ SAĞLAMAK ĠÇĠN... Risklerin farkında olmamız ve Varlıklar Tehditler Zafiyetler Kontroller arasındaki ilişkiyi bilmemiz gerekir. RĠSKLERĠN FARKINDA OLMAK BĠLGĠ GÜVENLĠĞĠNĠ SAĞLAMANIN ĠLK ADIMIDIR! 36/76

37 RĠSK YÖNETĠMĠ TERMĠNOLOJĠSĠ: Risk Yönetimi : Bir kurumu riskleri açısından kontrol etmek ve yönlendirmek için yapılan koordinasyon altındaki çalışmalardır. Risk yönetimi, risk analizi, risk işleme, risk kabulü ve riskin duyurulması faaliyetlerinin tümünü kapsar. Risk ĠĢleme : Risk seviyelerini düşürmek için önlemlerin seçimi, planlanması ve uygulanması gibi etkinlikleridir. 37/76

38 RĠSK YÖNETĠMĠ TERMĠNOLOJĠSĠ: Kalan Risk : Risk işleme sürecinden sonra artakalan risktir. Alınan tüm önlemler, mevcut tehdit ve zafiyet seviyeleri göz önüne alınarak düşünülür. Risk Kabulü : Yönetimin riski göze alma kararıdır. Bu noktadan sonra yeni kontroller gerekli değildir. Risk Kabul Kriteri : Yönetimin kabul edilebilir olarak açıkladığı risk seviyesi ve bunu karşılayan kontrollerdir. 38/76

39 UYGUN ÖNLEMLERĠN (KONTROLLERĠN) BELĠRLENMESĠ Kontroller, tehdide yol açan zafiyetleri azaltacak veya tehdidin gerçekleşme olasılığını düşürecek önlemlerdir. ISO standardında tavsiye niteliğinde yaklaşık 130 tane kontrol bulunmaktadır. Her varlık-tehdit çifti için uygun kontroller bu tavsiyeler arasından seçilir. Yeterli olmadığı durumlarda, yeni önlemler de seçilebilir. 39/76

40 UYGUN ÖNLEMLERĠN (KONTROLLERĠN) BELĠRLENMESĠ Bu aşamada, atanan yeni kontrollerle risk değerleri kabul edilebilir seviyeye çekilmiş olur. Bir kontrolün neden seçildiğini, daha önce belirlenen varlık-tehdit atamaları ile ilişkilendirebilmek önemlidir. Böylece risk analizinin sağlıklı bir şekilde yapıldığından emin olabiliriz. Kontroller teknik veya yönetsel olabilir. Seçilen kontroller, hazırlanacak olan politika dokümanları, standartlar ve prosedürler içinde yer alır. 40/76

41 RĠSK ĠYĠLEġTĠRME ALTERNATĠFLERĠ Üst yönetimin risklerin kabul edilmesiyle ilgili yaklaşımını, hangi seviyedeki ve/veya ne tür riskleri kabul edeceğini bir diğer deyişle risk kabul kriterlerini kararlaştırması gerekir. Her risk için kabul kriterlerine uygunluk baz alınarak ele alma yöntemi belirlenir. Riskin; Kabul edilmesi Transfer edilmesi Yönetilmesi Önlenmesi kararları verilebilir 41/76

42 RĠSK KARARLARI Riskler yönetilirken aşağıdaki kararları verebiliriz: Riski göze almak (Kapı giriş kontrolü yapmamak, antivirüs sistemi kullanmamak, eğitime önem vermemek..) Risklerimizi başkasına aktarmak (yangın sigortası, mesleki sorumluluk sigortası, hırsızlık sigortası yaptırmak, PCI), Risklerin olasılığını düşürecek önlemler almak (Çelik kapılar, alarm sistemleri, temiz masa, temiz ekran, izleme sistemleri, yangın detektörü) Risklerin etkisini azaltacak önlemler almak (Yangın söndürücü, antivirüs sistemleri, güvenlik testleri). Riskten sakınmak (Belli bir uygulamayı devreye almamak..) 42/76

43 BĠLGĠ GÜVENLĠĞĠ YÖNETĠM SĠSTEMĠ STANDARTLARI 43/76

44 BĠLGĠ GÜVENLĠĞĠ YÖNETĠMĠ STANDARTLARI Endüstrinin çeşitli kesimlerinden yükselen ortak bir güvenlik modeli talebi standartlaşma gereğini gündeme getirmiştir. Kuruluşlar, birlikte iş yaptıkları taraflara karşı ortak bir asgari güvenlik seviyesi sağladıklarını kanıtlamak istemişler ve bunun için bir referansa gereksinim duymuşlardır. Bilgi Güvenliği Yönetimi konusundaki ilk standart BSI (British Standard Institute), tarafından geliştirilmiştir: BS /76

45 BĠLGĠ GÜVENLĠĞĠ YÖNETĠMĠ STANDARTLARI 1993 te Bilgi Güvenliği Yönetimi için Kural Rehberi olarak yayınlandı te Ġngiliz Standardı olarak kabul edildi: BS de sertifikasyon gerekleri tanımlandı, BS yayınlandı 1999 da BS ve 2 güncellendi 2000 de ISO (BS7799-1) yayınlandı 2002 de BS güncellendi ISO 17799:2005 yayınlandı 2005 de ISO 27001:2005, BS yerine geçti 2006 da TSE tarafından TS ISO/IEC ve TS ISO/IEC isimleriyle yayımlandı de ISO 27002, BS yerine geçti 2008 de ISO/IEC 27005:2008 (Information security risk management ) yayınlandı TSE tarafından TS ISO/IEC ismiyle yayımlandı. 45/76

46 BĠLGĠ GÜVENLĠĞĠ YÖNETĠMĠ STANDARTLARI ISO 27002: Bilişim Güvenliği için sistem oluşturma kuralları tanımlanır. 11 bölümde gerekli kontroller tanımlanmıştır. ISO 27001: Bilgi Güvenliği Yönetim Sistemleri sertifika kriterlerini içerir. 46/76

47 ISO KONTROL ALANLARI 47/76

48 27001 Güvenlik Kontrolleri (Annex) A.5 Güvenlik Politikası A.6 Bilgi Güvenliği rganizasyonu A.7 Varlık Yönetimi A.8 Ġnsan kaynakları yönetimi A.9 Fiziksel ve çevresel güvenlik A.10 Haberleşme ve işletim yönetimi A.11 Erişim Kontrolü A.12 Bilgi sistemleri edinim, geliştirme ve bakımı A.13 Bilgi güvenliği ihlal olayı yönetimi A.14 Ġş sürekliliği yönetimi A.15 Yasal Uyumluluk 48/76

49 A.5 Güvenlik Politikası A.5.1 BĠLGĠ GÜVENLĠĞĠ POLĠTĠKASI Amaç: Bilgi güvenliği için, iş gereksinimleri ve ilgili yasa ve düzenlemelere göre yönetim yönlendirmesi ve desteği sağlamak Bilgi güvenliği politika dokümanı Bilgi güvenliği politikasını gözden geçirme 49/76

50 A.6 Bilgi Güvenliği Organizasyonu A.6.1 Ġç Organizasyon Amaç: Kuruluş içerisindeki bilgi güvenliğini yönetmek Yönetimin bilgi güvenliğine bağlılığı Bilgi güvenliği koordinasyonu Bilgi güvenliği sorumluluklarının tahsisi Bilgi işleme tesisleri için yetki prosesi Gizlilik anlaşmaları Otoritelerle iletişim Özel ilgi grupları ile iletişim Bilgi güvenliğinin bağımsız gözden geçirmesi A.6.2 Dış Taraflar Amaç: Kuruluşun dış taraflarca erişilen, işlenen, iletişim kurulan veya yönetilen bilgi ve bilgi işleme olanaklarının güvenliğini sağlamak Dış taraflarla ilgili riskleri tanımlama Müşterilerle ilgilenirken güvenliği ifade etme Üçüncü taraf anlaşmalarında güvenliği ifade etme 50/76

51 A.7 Varlık Yönetimi A.7.1 Varlıkların Sorumluluğu Amaç: Kurumsal varlıkların uygun korumasını sağlamak ve sürdürmek Varlıkların envanteri Varlıkların sahipliği Varlıkların kabul edilebilir kullanımı A.7.2 Bilgi Sınıflandırması Amaç: Bilgi varlıklarının uygun seviyede koruma almalarını sağlamak Sınıflandırma kılavuzu Bilgi etiketleme ve işleme 51/76

52 A.8 Ġnsan Kaynakları Güvenliği A.8.1 Ġstihdam Öncesi Amaç: Çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların kendi sorumluluklarını anlamalarını ve düşünüldükleri roller için uygun olmalarını sağlamak ve hırsızlık, sahtecilik ya da olanakların yanlış kullanımı risklerini azaltmak Roller ve sorumluluklar Tarama Ġstihdam koşulları A.8.2 Çalışma Esnasında Amaç: Tüm çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların bilgi güvenliğine ilişkin tehditler ve kaygıların ve kendi sorumluluklarının farkında olmalarını ve normal çalışmaları sırasında kurumsal güvenlik politikasını desteklemek ve insan hatası riskini azaltmak üzere donatılmalarını sağlamak Yönetim sorumlulukları Bilgi güvenliği farkındalığı, eğitim ve öğretimi Disiplin prosesi 52/76

53 A.9.1 Güvenli Alanlar A.9 Fiziksel ve Çevresel Güvenlik Amaç: Kuruluş binalarına, ünitelerine ve bilgilerine yetki dışı fiziksel erişimi, hasarı ve müdahaleyi engellemek Fiziksel güvenlik çevresi Fiziksel giriş kontrolleri Ofisler, odalar ve olanakları korumaya alma Dış ve çevresel tehditlere karşı koruma Güvenli alanlarda çalışma Açık erişim, dağıtım ve yükleme alanları A.9.2 Teçhizat Güvenliği Amaç: Varlıkların kaybını, hasarını, çalınmasını ya da tehlikeye girmesini ve kuruluşun faaliyetlerinin kesintiye uğramasını engellemek Teçhizat yerleştirme ve koruma Destek hizmetleri Kablolama güvenliği Teçhizat bakımı Kuruluş dışındaki teçhizatın güvenliği Teçhizatın güvenli olarak elden çıkarılması ya da tekrar kullanımı Mülkiyet çıkarımı 53/76

54 A.10 Haberleşme ve Ġşletim Yönetimi A.10.1 Operasyonel Prosedürler Ve Sorumluluklar Amaç: Bilgi işleme olanaklarının doğru ve güvenli işletimini sağlamak Dokümante edilmiş işletim prosedürleri Değişim yönetimi Görev ayrımları Geliştirme, test ve işletim olanaklarının ayrımı A.10.2 Üçüncü Taraf Hizmet Sağlama Yönetimi Amaç: Üçüncü taraf hizmet sağlama anlaşmalarıyla uyumlu olarak uygun bilgi güvenliği ve hizmet dağıtımı seviyesi gerçekleştirmek ve sürdürmek Hizmet sağlama Üçüncü taraf hizmetleri izleme ve gözden geçirme Üçüncü taraf hizmetlerdeki değişiklikleri yönetme A.10.3 Sistem Planlama Ve Kabul Amaç: Sistem başarısızlıkları riskini en aza indirmek Kapasite planlama Sistem kabulü A.10.4 Kötü Niyetli Ve Mobil Koda Karşı Koruma Amaç: Yazılım ve bilginin bütünlüğünü korumak Kötü niyetli koda karşı kontroller Mobil koda karşı kontroller 54/76

55 A.10 Haberleşme ve Ġşletim Yönetimi - Devam A.10.5 Yedekleme Amaç: Bilgi ve bilgi işleme olanaklarının bütünlüğünü ve kullanılabilirliğini sağlamak Bilgi yedekleme A.10.6 Ağ Güvenliği Yönetimi Amaç: Ağdaki bilginin ve destekleyici alt yapının korunmasını sağlamak Ağ kontrolleri Ağ hizmetleri güvenliği A.10.7 Ortam Ġşleme Amaç: Varlıkların yetkisiz ifşa edilmesi, değiştirilmesi, kaldırılması veya yok edilmesini ve iş faaliyetlerinin kesintiye uğramasını önlemek Taşınabilir ortam yönetimi Ortamın yok edilmesi Bilgi işleme prosedürleri Sistem dokümantasyonu güvenliği 55/76

56 A.10 Haberleşme ve Ġşletim Yönetimi - Devam A.10.8 Bilgi Değişimi Amaç: Bir kuruluş içindeki ve herhangi bir dış varlık ile değiştirilen bilgi ve yazılımın güvenliğini sağlamak Bilgi değişim politikaları ve prosedürleri Değişim anlaşmaları Aktarılan fiziksel ortam Elektronik mesajlaşma Ġş bilgi sistemleri A.10.9 Elektronik Ticaret Hizmetleri Amaç: Elektronik ticaret hizmetlerinin güvenliğini ve bunların güvenli kullanımını sağlamak Elektronik ticaret Çevrimiçi işlemler Herkese açık bilgi A Ġzleme Amaç: Yetkisiz bilgi işleme faaliyetlerini algılamak Denetim kaydetme Sistem kullanımını izleme Kayıt bilgisinin korunması Yönetici ve operatör kayıtları Hata kaydı Saat senkronizasyonu 56/76

57 A.11 Erişim Kontrolü A.11.1 Erişim Kontrolü Ġçin Ġş Gereksinimleri Amaç: Bilgiye erişimi kontrol etmek Erişim kontrolü politikası A.11.2 Kullanıcı Erişim Yönetimi Amaç: Bilgi sistemlerine yetkili kullanıcı erişimini sağlamak ve yetkisiz erişimi önlemek Kullanıcı kaydı Ayrıcalık yönetimi Kullanıcı parola yönetimi Kullanıcı erişim haklarının gözden geçirilmesi A.11.3 Kullanıcı Sorumlulukları Amaç: Yetkisiz kullanıcı erişimini ve bilgi ve bilgi işleme olanaklarının tehlikeye atılmasını ya da çalınmasını önlemek Parola kullanımı Gözetimsiz kullanıcı teçhizatı Temiz masa ve temiz ekran politikası 57/76

58 A.11 Erişim Kontrolü - Devam A.11.4 Ağ Erişim Kontrolü Amaç: Ağ bağlantılı hizmetlere yetkisiz erişimi önlemek Ağ hizmetlerinin kullanımına ilişkin politika Dış bağlantılar için kullanıcı kimlik doğrulama Ağlarda teçhizat tanımlama Uzak tanı ve yapılandırma portu koruma Ağlarda ayrım Ağ bağlantı kontrolü Ağ yönlendirme kontrolü A.11.5 Ġşletim Sistemi Erişim Kontrolü Amaç: Ġşletim sistemine yetkisiz erişimi önlemek Güvenli oturum açma prosedürleri Kullanıcı kimlik tanımlama ve doğrulama Parola yönetim sistemi Yardımcı sistem programlarının kullanımı Oturum zaman aşımı Bağlantı süresinin sınırlandırılması 58/76

59 A.11 Erişim Kontrolü - Devam A.11.6 Uygulama Ve Bilgi Erişim Kontrolü Amaç: Uygulama sistemlerinde tutulan bilgilere yetkisiz erişimi önlemek Bilgi erişim kısıtlaması Hassas sistem yalıtımı A.11.7 Mobil Bilgi Ġşleme Ve Uzaktan Çalışma Amaç: Mobil bilgi işleme ve uzaktan çalışma hizmetlerini kullanırken bilgi güvenliğini sağlamak Mobil bilgi işleme ve iletişim Uzaktan çalışma 59/76

60 A.12 Bilgi Sistemleri Edinim, Geliştirme Ve Bakım A.12.1 Bilgi Sistemlerinin Güvenlik Gereksinimleri Amaç: Güvenliğin bilgi sistemlerinin dahili bir parçası olmasını sağlamak Güvenlik gereksinimleri analizi ve belirtimi A.12.2 Uygulamalarda Doğru Ġşleme Amaç: Uygulamalardaki bilginin hatalarını, kaybını, yetkisiz değiştirilmesini ve kötüye kullanımını önlemek Giriş verisi geçerleme Ġç işleme kontrolü Mesaj bütünlüğü Çıkış verisi geçerleme A.12.3 Kriptografik Kontroller Amaç: Bilginin gizliliğini, aslına uygunluğunu ya da bütünlüğünü kriptografik yöntemlerle korumak Kriptografik kontrollerin kullanımına ilişkin politika Anahtar yönetimi 60/76

61 A.12 Bilgi Sistemleri Edinim, Geliştirme Ve Bakım - Devam A.12.4 Sistem Dosyalarının Güvenliği Amaç: Sistem dosyalarının güvenliğini sağlamak Operasyonel yazılımın kontrolü Sistem test verisinin korunması Program kaynak koduna erişim kontrolü A.12.5 Geliştirme Ve Destekleme Proseslerinde Güvenlik Amaç: Uygulama sistem yazılımı ve bilgisinin güvenliğini sağlamak Değişim kontrol prosedürleri Ġşletim sistemindeki değişikliklerden sonra teknik gözden geçirme Yazılım paketlerindeki değişikliklerdeki kısıtlamalar Bilgi sızması Dışarıdan sağlanan yazılım geliştirme A.12.6 Teknik Açıklık Yönetimi Amaç: Yayınlanmış teknik açıklıkların istismarından kaynaklanan riskleri azaltmak Teknik açıklıkların kontrolü 61/76

62 A.13 Bilgi Güvenliği Olay Yönetimi A.13.1 Bilgi Güvenliği Olayları Ve Zayıflıklarının Rapor Edilmesi Amaç: Bilgi sistemleri ile ilişkili bilgi güvenliği olayları ve zayıflıklarının zamanında düzeltici önlemlerin alınabilmesine izin verecek şekilde bildirilmesini sağlamak Bilgi güvenliği olaylarının rapor edilmesi Güvenlik zayıflıklarının rapor edilmesi A.13.2 Bilgi Güvenliği Ġhlal Olayları Ve Ġyileştirmelerinin Yönetilmesi Amaç: Bilgi güvenliği ihlal olaylarının yönetimine tutarlı ve etkili bir yaklaşımın uygulanmasını sağlamak Sorumluluklar ve prosedürler Bilgi güvenliği ihlal olaylarından öğrenme Kanıt toplama 62/76

63 A.14 Ġş Sürekliliği Yönetimi A.14.1 Ġş Sürekliliği Yönetiminde Bilgi Güvenliği Hususları Amaç: Ġş faaliyetlerindeki kesilmeleri önlemek ve önemli iş proseslerini büyük bilgi sistemleri başarısızlıklarından ya da felaketlerden korumak ve bunların zamanında devam etmesini sağlamak Bilgi güvenliğini iş sürekliliği yönetim prosesine dahil etme Ġş sürekliliği ve risk değerlendirme Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme Ġş sürekliliği planlama çerçevesi Ġş sürekliliği planlarını test etme, sürdürme ve yeniden değerlendirme 63/76

64 A.15.1 Yasal Gereksinimlere Uyum A.15 Uyum Amaç: Her türlü hukuka, yasal, düzenleyici ya da sözleşmeye tabi yükümlülüklere ve her türlü güvenlik gereksinimlerine ilişkin ihlalleri önlemek Uygulanabilir yasaları tanımlanma Fikri mülkiyet hakları (IPR) Kurumsal kayıtların korunması Veri koruma ve kişisel bilgilerin gizliliği Bilgi işleme olanaklarının kötüye kullanımını önleme Kriptografik kontrolleri düzenleme A.15.2 Güvenlik Politikaları Ve Standartlarla Uyum Ve Teknik Uyum Amaç: Sistemlerin kurumsal güvenlik politikaları ve standartlarıyla uyumunu sağlamak Güvenlik politikaları ve standartlarla uyum Teknik uyum kontrolü A.15.3 Bilgi Sistemleri Denetim Hususları Amaç: Sistemlerin kurumsal güvenlik politikaları ve standartlarıyla uyumunu sağlamak Bilgi sistemleri denetim kontrolleri Bilgi sistemleri denetim araçlarının korunması 64/76

65 BGYS ĠÇĠN KRĠTĠK BAġARI FAKTÖRLERĠ Bilgi güvenliği politikasının iş gereksinimleriyle bağlantılı olması, BGYS nin kurum kültürüyle tutarlı bir yaklaşımla uygulanması, Üst yönetim desteğinin ve kararlılığının gözle görülür seviyede olması, Güvenlik gereksinimlerinin, risk tespit ve yönetiminin iyi anlaşılmış olması, Güvenlik konusunun yönetici ve çalışanlara iyi benimsetilmesi Güvenlik politika ve standartlarının kurum içinde ve dışındaki ilgili taraflara dağıtılarak duyurulması, Gerekli eğitim ve bilinçlendirmenin sürekli olarak sağlanması, BGYS performansının değerlendirilebilmesi için kapsamlı bir ölçüt mekanizmasının kurulması ve iyileştirme için çalışanların önerilerinin değerlendirmeye alınması 65/76

66 BGYS DOKÜMANTASYONU BGYS dokümantasyonu aşağıdaki bileşenlerden oluşmalıdır: Bilgi güvenliği politika dokümanı BGYS nin kapsamı Politikalar ve destekleyici dokümanlar Risk değerlendirme metodolojisi Risk değerlendirme raporu Risk iyileştirme planı BGYS prosedürü Kontrolün etkinliğin nasıl ölçüleceğine dair yöntem Uygunluk Beyanı (Statement of Applicability Report) 66/76

67 BĠLGĠ GÜVENLĠĞĠ POLĠTĠKASI Kurumsal Bilgi Güvenliği Politikası, Bilgi Güvenliği Yönetimi Sistemi nin temelini oluşturur. Politika, kurumsal bilgi güvenliği stratejilerini belirler. Stratejiye uygun güvenlik hedeflerini oluşturmak için yol gösterir. Kurumsal iş hedefleriyle mutlaka ilişkilendirilmiş olmalıdır. Kurum çapında katkı ve katılımı özendirici olmalıdır. Kurumun üst düzey yönetiminin desteğini ve konuya verdiği önemi açıkça yansıtmalı ve kurum içinde gerekli yetkilendirmeyi, yaptırımları tanımlamalıdır. Politikanın gözden geçirilmesi ve etkinliğinin ölçülebilmesi için gerekli adımlar ve denetim mekanizması tanımlı olmalıdır. 67/76

68 BĠLGĠ GÜVENLĠĞĠ ORGANĠZASYON YAPISI Güvenlik Politikası Bildirisi ISMS Bilgi Güvenliği Yönetim Sistemi Güvenlik Yönetimi Üst Yönetim Temsilcisi İş Sürekliliği Bilgi Güvenliği Komitesi Felaketlerden Kurtarma Ekibi Güvenlik Müdahale Güvenlik Sürekliliği Güvenlik Altyapısı Güvenlik Analizi Uyumluluk Güvenlik Eğitimleri Olaylara Müdahale Ekibi Güvenlik ihlallerinin izlenmesi Değişikliklerin kontrol altında tutulması Politikalar Planlar/ Programlar Risk Değerlendirmesi Sistem denetimi ve uygunluk değerlendirmesi Güvenlik Bilgilendirme Programı İlgili dış taraflar Standartlar Güvenlik Kontrollerinin Seçimi Kılavuzlar GüvenlikSüreçleri Prosedürler Güvenlik Süreçleri ile ilgili Fonksiyonlar, Bileşenler Bilgi Güvenliği Yönetimi için yukarıdaki süreçlerin birlikte çalışabilirliği sağlanmalıdır. Bu amaçla, fonksiyonları yerine getirmek için uygun atamaların yapılması gerekir. Aynı kişi birden çok fonksiyonu üstlenebilir. 68/76

69 SERTĠFĠKASYON KRĠTERLERĠ ISO Madde 4-8 ile uyumluluk sertifikasyon için VAZGEÇĠLMEZ maddelerdir. MADDE 4: Bilgi güvenliği yönetim sistemi 4.1 Genel gereksinimler 4.2 BGYS nin kurulması ve yönetilmesi 4.3 Dokümantasyon gereksinimleri MADDE 5: Yönetim sorumluluğu 5.1 Yönetimin bağlılığı 5.2 Kaynak yönetimi MADDE 6: BGYS iç denetimleri 69/76

70 SERTĠFĠKASYON KRĠTERLERĠ ISO Madde 4-8 ile uyumluluk sertifikasyon için VAZGEÇĠLMEZ maddelerdir. MADDE 7: BGYS ni yönetimin gözden geçirmesi 7.1 Genel 7.2 Gözden geçirme girdisi 7.3 Gözden geçirme çıktısı MADDE 8: BGYS iyileģtirme 8.1 Sürekli iyileştirme 8.2 Düzeltici faaliyet 8.3 Önleyici faaliyet 70/76

71 SERTĠFĠKASYON KRĠTERLERĠ BGYS dokümantasyonu aşağıdakileri içermelidir: Bilgi güvenliği politika dokümanı BGYS nin kapsamı Politikalar ve destekleyici dokümanlar Risk değerlendirme metodolojisi Risk değerlendirme raporu Risk iyileştirme planı BGYS prosedürü Kontrolün etkinliğin nasıl ölçüleceğine dair yöntem Uygunluk Beyanı (Statement of Applicability Report) 71/76

72 SERTĠFĠKASYON KRĠTERLERĠ ISO Annex de tanımlanan tüm kontroller uygulanmış olmalı ve kanıtları sunulmalıdır. Hariç tutulan kontroller risk analizi ve risk kabul kriterleriyle ilişkilendirilerek gerekçelendirilebilmelidir. 72/76

73 Araştırma / Başvuru DENETĠM SÜRECĠ Ön-Denetim (isteğe bağlı) Sertifikasyon Denetimi 1. Aşama: Dokümantasyon Denetimi 2. Aşama: Uygulama Denetimi Belgelendirme Her 3 yılda 1. aşamanın bir bölümü ve 2. aşamanın tamamı 73/76

74 1. AġAMA DENETĠM - Dokumantasyon ISO Madde 4 ün karşılandığının nesnel kanıtlarla gösterilmesi gerekir: Güvenlik politikası Kapsam Risk değerlendirme Risk çözümleme ve derecelendirme Risk işleme Kontrol seçimleri Onaylama Uygulanabilirlik Bildirgesi BGYS nin gözden geçirme ve iyileştirme aşamaları Kontrol etkinliğinin ölçülmesi Dokümantasyon gereksinimleri Kayıtlar 74/76

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ T. C. TÜRK STANDARDLARI ENSTİTÜSÜ TS ISO/IEC 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ, TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Sunucu: Gürol GÖKÇİMEN 25.10.2014 Türk Standardları Enstitüsü 1 Güvenlik;

Detaylı

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ T. C. TÜRK STANDARDLARI ENSTİTÜSÜ BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ, TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Sunucu: Gürol GÖKÇİMEN 1 Bilgi Güvenliği Yönetim Sistemi Bilgi : anlamlı veri, (bir kurumun

Detaylı

Bilgi Güvenliği Farkındalık Eğitimi

Bilgi Güvenliği Farkındalık Eğitimi NECMETTİN ERBAKAN Ü N İ V E R S İ T E S İ Meram Tıp Fakültesi Hastanesi Bilgi Güvenliği Farkındalık Eğitimi Ali ALAN Necmettin Erbakan Üniversitesi Meram Tıp Fakültesi Hastanesi Bilgi İşlem Merkezi 444

Detaylı

Cahide ÜNAL Mart 2011

Cahide ÜNAL Mart 2011 Cahide ÜNAL Mart 2011 Bilgi, bir kurumun en önemli değerlerinden birisidir ve sürekli korunması gerekir. TS ISO IEC 17799:2005 2 BİLGİ TÜRLERİ Kağıt üzerine basılmış, yazılmış Elektronik olarak saklanan

Detaylı

UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5

UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5 UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5 1. AMAÇ Türksat İnternet ve İnteraktif Hizmetler Direktörlüğü nün bilgi güvenliğini yönetmekteki amacı; bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında

Detaylı

POL.01 Rev.Tar/No:22.02.2012/1.0 HĠZMETE ÖZEL

POL.01 Rev.Tar/No:22.02.2012/1.0 HĠZMETE ÖZEL SAYFA 1 / 6 1. AMAÇ TÜRKSAT ın bilgi güvenliğini yönetmekteki amacı; bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirilerek içeriden ve/veya dışarıdan gelebilecek, kasıtlı veya kazayla

Detaylı

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ BT Strateji Yönetimi BT Hizmet Yönetim Politikası Sürüm No: 6.0 Yayın Tarihi: 26.02.2015 444 0 545 2012 Kamu İhale Kurumu Tüm hakları

Detaylı

ANET Bilgi Güvenliği Yönetimi ve ISO 27001. Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011

ANET Bilgi Güvenliği Yönetimi ve ISO 27001. Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011 ANET Bilgi Güvenliği Yönetimi ve ISO 27001 2011 Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011 ISO 27001 AŞAMA 1 BGYS Organizasyonu BGYS kapsamının belirlenmesi Bilgi güvenliği politikasının oluşturulması BGYS

Detaylı

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kapsam - Terimler

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kapsam - Terimler Kapsam - Terimler K A P A M Kapsam u standard kuruluşun bağlamı dâhilinde bir bilgi güvenliği yönetim sisteminin kurulması, uygulanması,sürdürülmesi ve sürekli iyileştirilmesi için şartları kapsar. u standard

Detaylı

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri o MerSis Danışmanlık Hizmetleri Çalışanlarınız, tesisleriniz, üretim araçlarınız koruma altında! Bilgileriniz? danışmanlık hizmetlerimiz, en değerli varlıklarınız arasında yer alan bilgilerinizin gizliliğini,

Detaylı

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ İş Sürekliliği İş Sürekliliği Yönetim Sistemi Politikası Sürüm No: 5.0 Yayın Tarihi: 11.05.2014 444 0 545 2012 Kamu İhale Kurumu

Detaylı

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ Bilgi Güvenliği Bilgi Güvenliği Yönetim Sistemi Politikası Sürüm No: 4.0 Yayın Tarihi:11.05.2014 444 0 545 2012 Kamu İhale Kurumu

Detaylı

BİLGİ GÜVENLİĞİ POLİTİKASI

BİLGİ GÜVENLİĞİ POLİTİKASI Doküman No: EBG-GPOL-01 Revizyon No: 01 Tarih:01.08.2011 Sayfa No: 1/5 Amaç: Bu Politikanın amacı E-TUĞRA EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. nin ve hizmet sunduğu birimlerin sahip olduğu bilgi

Detaylı

ITMS DAYS www.itmsdays.com. Information Technologies Management Systems Days

ITMS DAYS www.itmsdays.com. Information Technologies Management Systems Days ITMS DAYS Information Technologies Management Systems Days FİNANS PİYASALARINDA BİLGİ GÜVENLİĞİ VE ISO 27001 Dr. İzzet Gökhan ÖZBİLGİN Bilişim Uzmanı, SPK Finansal Piyasalar TAKASBANK Aracı Kuruluşlar

Detaylı

BİLGİ GÜVENLİĞİ POLİTİKASI

BİLGİ GÜVENLİĞİ POLİTİKASI Bilgi Güvenliği Politikası Sayfa : 1/9 BİLGİ GÜVENLİĞİ POLİTİKASI Doküman Bilgileri Adı: Doküman No: Revizyon No: Doküman Tarihi: Referans / Gerekçe Onaylayan Bilgi Güvenliği Politikası İlk yayındır Ödeme

Detaylı

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001 İstanbul Bilişim Kongresi Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması COBIT ve ISO 27001 Merve Saraç, CISA merve@mersis.com.tr MerSis Bilgi Teknolojileri Danışmanlık

Detaylı

COBIT Bilgi Sistemleri Yönetimi. Şubat 2009

COBIT Bilgi Sistemleri Yönetimi. Şubat 2009 COBIT Bilgi Sistemleri Yönetimi Şubat 2009 Gündem Bilgi Sistemleri Yönetimi Bilgi Sistemleri Süreçleri Bilgi Sistemleri Yönetimi Uygulama Yol Haritası Bilgi Sistemleri (BS) Yönetimi Bilgi Sistemleri Yönetimi,

Detaylı

ISO/IEC 27001 Özdeğerlendirme Soru Listesi

ISO/IEC 27001 Özdeğerlendirme Soru Listesi ISO/IEC 27001 Özdeğerlendirme Soru Listesi Bu soru listesindeki sorular, kurduğunuz/kuracağınız yönetim sistemdeki belirli alanlara daha fazla ışık tutmak, tekrar değerlendirerek gözden geçirmek ve denetime

Detaylı

ISO 27001 Kurumsal Bilgi Güvenliği Standardı. Şenol Şen

ISO 27001 Kurumsal Bilgi Güvenliği Standardı. Şenol Şen ISO 27001 Kurumsal Bilgi Güvenliği Standardı Şenol Şen Bilgi Güvenliği Kavramı Bilgi güvenliği, bir varlık türü olarak bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme,

Detaylı

ISO/27001 EK-A MADDELERİ

ISO/27001 EK-A MADDELERİ A.5 politikaları A.5.1 için yönetimin yönlendirmesi Amaç: için, iş gereksinimleri ve ilgili yasalar ve düzenlemelere göre yönetimin yönlendirmesi ve desteğini sağlamak. A.5.1.1 A.5.1.2 için politikalar

Detaylı

DOK-004 BGYS Politikası

DOK-004 BGYS Politikası DOK-004 BGYS Politikası 1/7 Hazırlayanlar İsim Şule KÖKSAL Ebru ÖZTÜRK Döndü Çelik KOCA Unvan Defterdarlık Uzmanı Defterdarlık Uzmanı Çözümleyici Onaylayan İsim Mustafa AŞÇIOĞLU Unvan Genel Müdür Yardımcısı

Detaylı

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi KURUMLAR İÇİN SİBER GÜVENLİK ÖNLEMLERİNİ ÖLÇME TESTİ DOKÜMANI Kurumlar İçin Siber Güvenlik Önlemlerini Ölçme Testi Dokümanı, kamu kurum ve kuruluşları ile özel sektör temsilcilerinin siber güvenlik adına

Detaylı

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ BT Strateji Yönetimi BT Hizmet Yönetim Politikası Sürüm No: 5.0 Yayın Tarihi: 14.07.2014 444 0 545 2012 Kamu İhale Kurumu Tüm hakları

Detaylı

BİLGİ GÜVENLİĞİ VE BİLGİ İŞLEM PROSEDÜRÜ

BİLGİ GÜVENLİĞİ VE BİLGİ İŞLEM PROSEDÜRÜ 1.AMAÇ: Kurumun otomasyon üzerindeki tüm bilgilerinin yönetimini, korunmasını, dağıtımını ve önemli işlevlerinin korunmasını düzenleyen kuralları ve uygulamaları belirlemeyi amaçlar. 2. KAPSAM: Bu talimat,

Detaylı

ISO/IEC 27001:2013 REVİZYONU GEÇİŞ KILAVUZU

ISO/IEC 27001:2013 REVİZYONU GEÇİŞ KILAVUZU ISO/IEC 27001 in son versiyonu 01 Ekim 2013 tarihinde yayınlanmıştır. Standardın 2013 versiyonu, farklı sektör ve büyüklükteki firmaların gelişen bilgi güvenliği ve siber güvenlik tehditleri konularına

Detaylı

ĠSYS KURULUMU ve KRĠTĠK BAġARI FAKTÖRLERĠ. Ali DĠNÇKAN,CISA, Tübitak UEKAE dinckan@uekae.tubitak.gov.tr Tel: 0 262 648 15 67

ĠSYS KURULUMU ve KRĠTĠK BAġARI FAKTÖRLERĠ. Ali DĠNÇKAN,CISA, Tübitak UEKAE dinckan@uekae.tubitak.gov.tr Tel: 0 262 648 15 67 ĠSYS KURULUMU ve KRĠTĠK BAġARI FAKTÖRLERĠ Ali DĠNÇKAN,CISA, Tübitak UEKAE dinckan@uekae.tubitak.gov.tr Tel: 0 262 648 15 67 SUNU PLANI Giriş İş Sürekliliği İş Sürekliliğinin Tarihi Gelişimi Dünyadaki ve

Detaylı

BİLGİ GÜVENLİĞİ POLİTİKASI

BİLGİ GÜVENLİĞİ POLİTİKASI Birliği liği B.G. PO.1 1/8 BGYS POLİTİKASI 2 1. AMAÇ.. 2 2.KAPSAM.. 2 3. TANIMLAR ve KISALTMALAR... 2 4. BİLGİ GÜVENLİĞİ HEDEFLERİ VE PRENSİPLERİ.. 3 5. BİLGİ GÜVENLİĞİ YAPISI VE ORGANİZASYONU... 3 BGYS

Detaylı

ISO-BGYS-PL-02 Bilgi Güvenliği Politikası

ISO-BGYS-PL-02 Bilgi Güvenliği Politikası ISO-BGYS-PL-02 Bilgi Güvenliği Politikası İlk Yayın Tarihi : 08.10.2015 *Tüm şirket çalışanlarının görebileceği, şirket dışı kişilerin görmemesi gereken dokümanlar bu sınıfta yer alır. ISO-BGYS-PL-02 08.10.2015

Detaylı

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Planlama - Destek

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Planlama - Destek Planlama - Destek Risk ve fırsatları ele alan faaliyetler enel ilgi güvenliği yönetim sistemi planlaması yaparken, kuruluş Madde 4.1 de atıf yapılan hususları ve Madde 4.3. de atıf yapılan şartları göz

Detaylı

İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ

İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ Ali Dinçkan, BTYÖN Danışmanlık İş sürekliliği, kurumun kritik süreçlerinin belirlenmesi, bu süreçlerin sürekliliği için gerekli çalışmaların

Detaylı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı Formal Doküman Detayları Hazırlanma Tarihi 20 Eylül 2012 Yayın Taslak Hazırlayan Ersun Ersoy

Detaylı

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ igur@gelirler.gov.tr Kaynak: GIB ÖZEL ENTEGRASYON NEDİR? Başka mükelleflerin faturalarını göndermek ve almak amacıyla bilgi işlem sisteminin Başkanlık sistemiyle

Detaylı

TÜRK STANDARDI TURKISH STANDARD

TÜRK STANDARDI TURKISH STANDARD TÜRK STANDARDI TURKISH STANDARD TS ISO/IEC 27001 Mart 2006 ICS 35.040 BİLGİ TEKNOLOJİSİ GÜVENLİK TEKNİKLERİ - BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMLERİ GEREKSİNİMLER Information technology Security techniques

Detaylı

ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ. Terimler Ve Tarifler. www.sisbel.biz

ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ. Terimler Ve Tarifler. www.sisbel.biz ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ Terimler Ve Tarifler 1 Kapsam 1.1 Genel Terimler Ve Tarifler Bu standart, bir hizmet yönetimi sistem (HYS) standardıdır. Bir HYS

Detaylı

KKTC MERKEZ BANKASI. BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ

KKTC MERKEZ BANKASI. BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ KKTC MERKEZ BANKASI BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ İçindekiler Giriş... 1 1 Amaç... 1 2 Bilgi Güvenliği Politikaları... 1

Detaylı

TS EN ISO 14001: 2005 AC: Haziran 2010

TS EN ISO 14001: 2005 AC: Haziran 2010 TÜRK STANDARDI TURKISH STANDARD Sayfa 1/5 ICS 13.020.10 TS EN ISO 14001: 2005 AC: Haziran 2010 Bu ek, CEN tarafından kabul edilen EN ISO 14001: 2004/AC: 2009 eki esas alınarak TSE Çevre İhtisas Grubu nca

Detaylı

EKLER. EK 12UY0106-4/A5-2: Yeterlilik Biriminin Ölçme ve Değerlendirmesinde Kullanılacak Kontrol Listesi

EKLER. EK 12UY0106-4/A5-2: Yeterlilik Biriminin Ölçme ve Değerlendirmesinde Kullanılacak Kontrol Listesi EKLER EK 12UY0106-4/A5-1: nin Kazandırılması için Tavsiye Edilen Eğitime İlişkin Bilgiler Bu birimin kazandırılması için aşağıda tanımlanan içeriğe sahip bir eğitim programının tamamlanması tavsiye edilir.

Detaylı

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ ÖZEL ENTEGRASYON YÖNTEMİ NEDİR? Elektronik faturalamada uzmanlaşmış bir kurumun, başka mükelleflerin faturalarını göndermek ve almak amacıyla kendi sistemini

Detaylı

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kontrol Amaçları ve Kontroller

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kontrol Amaçları ve Kontroller Amaçları ve ler ilgi güvenliği politikaları ilgi güvenliği için yönetimin yönlendirmesi Amaç: ilgi güvenliği için, iş gereksinimleri ve ilgili yasalar ve düzenlemelere göre yönetimin yönlendirmesi ve desteğini

Detaylı

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri MerSis Bağımsız Denetim Hizmetleri risklerinizin farkında mısınız? bağımsız denetim hizmetlerimiz, kuruluşların Bilgi Teknolojileri ile ilgili risk düzeylerini yansıtan raporların sunulması amacıyla geliştirilmiştir.

Detaylı

Bilgi Sistemleri Risk Yönetim Politikası

Bilgi Sistemleri Risk Yönetim Politikası POLİTİKASI Sayfa :1/7 Bilgi Sistemleri Risk Yönetim Politikası Doküman Bilgileri Adı: Bilgi Sistemleri Risk Yönetim Politikası Doküman No: 01 Revizyon No: İlk yayındır Doküman Tarihi: 01.10.2014 Referans

Detaylı

Acil Durum Yönetim Sistemi ICS 785 - NFPA 1600

Acil Durum Yönetim Sistemi ICS 785 - NFPA 1600 Acil Durum Yönetim Sistemi ICS 785 - NFPA 1600 Başlarken Acil Durum Yönetim Sistemi Kendilerini acil durumlarda da çalışmaya hedeflemiş organizasyon ve kurumların komuta, kontrol ve koordinasyonunu sağlama

Detaylı

İş Sürekliliği Yönetimi ve İşe Etki Analizi için bir uygulama örneği

İş Sürekliliği Yönetimi ve İşe Etki Analizi için bir uygulama örneği İş Sürekliliği Yönetimi ve İşe Etki Analizi için bir uygulama örneği Zeki Yazar, Siemens Sanayi ve Ticaret A.Ş. Sayfa 1 Bir uygulama örneği olarak Siemens İş Sürekliliği Yönetimi İşe Etki Analizi Sayfa

Detaylı

İŞ YATIRIM MENKUL DEĞERLER A.Ş. İŞ SÜREKLİLİĞİ PLANLAMASI A. AMAÇ

İŞ YATIRIM MENKUL DEĞERLER A.Ş. İŞ SÜREKLİLİĞİ PLANLAMASI A. AMAÇ Sayfa No: 1/7 A. AMAÇ Bu politika, nin deprem, yangın, fırtına, sel gibi doğal afetler ile sabotaj, donanım veya yazılım hatası, elektrik ve telekomünikasyon kesintileri gibi önceden tahmin edilebilen

Detaylı

ISO 27001:2013 BGYS BAŞTETKİKÇİ EĞİTİMİ

ISO 27001:2013 BGYS BAŞTETKİKÇİ EĞİTİMİ 1.Tetkik Gün Sayısı İle İlgili Tanımlar Tetkik Süresi: Bir tetkikte harcanan toplam zaman. Her tür tetkikte, tetkik zamanı bina turlarında geçen süreleri, planın dışında geçen süre, dokümanların gözden

Detaylı

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR.

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR. 13.07.2014 tarih ve 29059 sayılı resmi gazete ile yürürlüğe giren Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği ile Bilgi Teknolojileri ve İletişim Kurumu (BTK) elektronik haberleşme

Detaylı

TÜRKĠYE BĠLĠMSEL VE TEKNOLOJĠK ARAġTIRMA KURUMU BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI ÇALIġMA USUL VE ESASLARI

TÜRKĠYE BĠLĠMSEL VE TEKNOLOJĠK ARAġTIRMA KURUMU BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI ÇALIġMA USUL VE ESASLARI TÜRKĠYE BĠLĠMSEL VE TEKNOLOJĠK ARAġTIRMA KURUMU BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI ÇALIġMA USUL VE ESASLARI BĠRĠNCĠ BÖLÜM Amaç ve Kapsam, Dayanak ve Tanımlar Amaç ve kapsam MADDE 1- (1) Bu Usul ve Esasların

Detaylı

İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ

İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ Ohsas 18001 Endüstrinin değişik dallarında faaliyet gösteren kuruluşların, faaliyet konularını yerine getirirken, İş Sağlığı ve Güvenliği konusunda da, faaliyet

Detaylı

KALİTE EL KİTABI PERSONEL BELGELENDİRME

KALİTE EL KİTABI PERSONEL BELGELENDİRME Sayfa Sayısı 1/5 1. KAPSAM TS EN ISO/IEC 17024 Personel belgelendirme kuruluşları için geliştirme ve sürdürebilirlik programları da dahil belirli şartlara göre personeli belgelendiren kuruluşlar için genel

Detaylı

TARİH :06/08/2007 REVİZYON NO: 3. www.marelektrik.com KALİTE EL KİTABI : YÖNETİM TEMSİLCİSİ. Sayfa 1 / 6

TARİH :06/08/2007 REVİZYON NO: 3. www.marelektrik.com KALİTE EL KİTABI : YÖNETİM TEMSİLCİSİ. Sayfa 1 / 6 TARİH :06/08/2007 REVİZYON NO: 3 KALİTE EL KİTABI HAZIRLAYAN ONAYLAYAN : YÖNETİM TEMSİLCİSİ : YÖN. KURUL BŞK. Sayfa 1 / 6 TARİH :06/08/2007 REVİZYON NO:3 İÇİNDEKİLER : 1. TANITIM, 2. KALİTE POLİTİKASI

Detaylı

ENTEGRE YÖNETİM SİSTEMİ YAZILIMI

ENTEGRE YÖNETİM SİSTEMİ YAZILIMI ENTEGRE YÖNETİM SİSTEMİ YAZILIMI QSA ENTEGRE YÖNETİM SİSTEMİ YAZILIMI Entegre Yönetim Sistemi; yönetim sistemlerinin tek çatı altında toplandığı ve gereklerin aynı anda karşılandığı bütünsel uygulanan

Detaylı

Siber Güvenlik Hizmetleri Kataloğu

Siber Güvenlik Hizmetleri Kataloğu Siber Güvenlik Hizmetleri Kataloğu Güvenli kurumlar, sistematik yapılar! Yetkinliklerimiz İhtiyacınız olan adımları planlayın! Bilgi Güvenliği Yönetim Sistemi Temel Eğitimi (ISO/IEC 27001:2013) Eğitim

Detaylı

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI KOD BY. PO.01 YAY. TRH 16.12.2015 REV. TRH REV. NO SAYFA NO 1/7 1. Amaç BGYS politikası, T.C. Sağlık Bakanlığı, TKHK İstanbul Anadolu Kuzey Genel Sekreterliği bünyesinde yürütülen bilgi güvenliği yönetim

Detaylı

Altyapımızı Yeni TTK ile uyumlu hale getirmek...

Altyapımızı Yeni TTK ile uyumlu hale getirmek... Altyapımızı Yeni TTK ile uyumlu hale getirmek... Yeni TTK ya uyum, mevzuatı kavrayarak tamamlayabileceğimiz bir sürecin ötesinde; önemli altyapısal değişiklikler getirecek bir dönüşümdür Dış Paydaşlar

Detaylı

Elektrik Altyapılarında Bilgi Güvenliği Riskleri ve Çözümler

Elektrik Altyapılarında Bilgi Güvenliği Riskleri ve Çözümler Elektrik Altyapılarında Bilgi Güvenliği Riskleri ve Çözümler M. Fikret OTTEKİN 27 Nisan 2013 Akıllı Şebekeler Sempozyumu, Ankara Elektrik Altyapı Sistemlerinde Hiyerarşi Çeşitli ürünler Diğer kullanıcılar

Detaylı

İSYS Süreçleri ve Yönetim Sistemleri İçindeki Yeri. Burak Bayoğlu (CISM, CISA, CISSP) TÜBİTAK UEKAE. bayoglu@uekae.tubitak.gov.tr

İSYS Süreçleri ve Yönetim Sistemleri İçindeki Yeri. Burak Bayoğlu (CISM, CISA, CISSP) TÜBİTAK UEKAE. bayoglu@uekae.tubitak.gov.tr İSYS Süreçleri ve Yönetim Sistemleri İçindeki Yeri Burak Bayoğlu (CISM, CISA, CISSP) TÜBİTAK UEKAE bayoglu@uekae.tubitak.gov.tr Sunu Planı İSYS Yaşam Döngüsü ve Motivasyon COBIT 4.1 (TS) ISO/IEC 27001

Detaylı

İSTANBUL ÜNİVERSİTESİ DÖNER SERMAYE İŞLETME MÜDÜRLÜĞÜ HİZMET İÇİ EĞİTİM SUNUMU 02 MAYIS 2014

İSTANBUL ÜNİVERSİTESİ DÖNER SERMAYE İŞLETME MÜDÜRLÜĞÜ HİZMET İÇİ EĞİTİM SUNUMU 02 MAYIS 2014 İSTANBUL ÜNİVERSİTESİ DÖNER SERMAYE İŞLETME MÜDÜRLÜĞÜ HİZMET İÇİ EĞİTİM SUNUMU 02 MAYIS 2014 İÇ KONTROL SİSTEMİ VE KAMU İÇ KONTROL STANDARTLARI DERLEYEN CUMALİ ÇANAKÇI Şube Müdürü SUNUM PLANI İç Kontrol

Detaylı

Enerji Yönetimi 11 Aralık 2015. Ömer KEDİCİ

Enerji Yönetimi 11 Aralık 2015. Ömer KEDİCİ Enerji Yönetimi 11 Aralık 2015 Ömer KEDİCİ Tanım Enerji yönetimi ; Planlama, Koordinasyon ve Kontrol gibi birbirinden bağımsız olduklarında etkisiz kalabilecek işlevlerin bir araya gelerek oluşturdukları

Detaylı

DOKÜMAN KODU YAYINLANMA TARİHİ REVİZYON NO REVİZYON TARİHİ SAYFA NO. BG-RH-01 01.03.2015 00 Sayfa 1 / 6

DOKÜMAN KODU YAYINLANMA TARİHİ REVİZYON NO REVİZYON TARİHİ SAYFA NO. BG-RH-01 01.03.2015 00 Sayfa 1 / 6 BG-RH-01 01.03.2015 00 Sayfa 1 / 6 BGYS Politikası Rehberi; T.C. Sağlık Bakanlığı Aydın Kamu Hastaneleri Birliği Genel Sekreterliği bünyesinde yürütülen bilgi güvenliği yönetim sistemi çalışmalarının kapsamını,

Detaylı

AĞ ve SİSTEM GÜVENLİĞİ

AĞ ve SİSTEM GÜVENLİĞİ AĞ ve SİSTEM GÜVENLİĞİ Burak DAYIOĞLU ve Burç YILDIRIM {bd,by}@dikey8.com Bilişim Güvenliği ve Sorunlar Bilişim sistemlerine bağımlılığımız artıyor Güvenlik ihlalleri her yıl en azından ikiye katlanıyor

Detaylı

Yöneticiler için Bilgi Güvenliği

Yöneticiler için Bilgi Güvenliği Yöneticiler için Bilgi Güvenliği GÜVENLİĞİ SAĞLAMAK İÇİN EN KRİTİK ROL YÖNETİM ROLÜDÜR 11.2.2015 1 Tanışma Çağan Cebe Endüstri Mühendisi Barikat Profesyonel Hizmetler - Yönetim Sistemleri Uzmanı 4 Yıl

Detaylı

TÜRK AKREDİTASYON KURUMU R20.08

TÜRK AKREDİTASYON KURUMU R20.08 R20.08 LABORATUVARLARDA YÖNETİMİN GÖZDEN GEÇİRME FAALİYETİ Rev.00 03-2002 1. GİRİŞ 1.1 TS EN ISO/IEC 17025 (2000) Deney ve Kalibrasyon Laboratuvarlarının Yeterliliği için Genel Şartlar standardında bir

Detaylı

ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU Dünyada en çok kullanılan yönetim sistemi standardı ISO 9001 Kalite Yönetim Sistemi Standardının son revizyonu 15 Eylül 2015 tarihinde yayınlanmıştır.

Detaylı

Yazılım-donanım destek birimi bulunmalıdır.

Yazılım-donanım destek birimi bulunmalıdır. BİLGİ YÖNETİMİ Yazılım-donanım destek birimi bulunmalıdır. o Yazılım-donanım destek birimi 24 saat kesintisiz hizmet sunmalı, o Yazılım-donanım destek birimi çalışanlarının güncel iletişim bilgileri santralde

Detaylı

Plan. Kalite ve Kalite Güvence Sistemi. ISO ve Temel Kavramlar. ISO ve Kalite El Kitabı. ODTÜ Kalite Yönetim Sistemi

Plan. Kalite ve Kalite Güvence Sistemi. ISO ve Temel Kavramlar. ISO ve Kalite El Kitabı. ODTÜ Kalite Yönetim Sistemi ODTÜ Kütüphanesi Plan Kalite ve Kalite Güvence Sistemi ISO ve Temel Kavramlar ISO ve Kalite El Kitabı ODTÜ Kalite Yönetim Sistemi Kalite Yönetim Sistemi Kapsamı ve Örnek Dokümanlar Kalite Günlük kullanım?

Detaylı

Tetkik Gün Sayısı Tespiti www.sisbel.biz

Tetkik Gün Sayısı Tespiti www.sisbel.biz ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ Tetkik Gün Sayısı Tespiti 1.Tetkik Gün Sayısı İle İlgili Tanımlar Tetkik Süresi: Bir tetkikte harcanan toplam zaman. Her tür tetkikte,

Detaylı

www.pwc.com.tr/siberguvenlik Dijital geleceğinizi güven altına almak için Bilgi Güvenliği ve Siber Güvenlik Hizmetlerimiz

www.pwc.com.tr/siberguvenlik Dijital geleceğinizi güven altına almak için Bilgi Güvenliği ve Siber Güvenlik Hizmetlerimiz www.pwc.com.tr/sibergunlik Dijital geleceğinizi gün altına almak için Bilgi Günliği Siber Günlik Hizmetlerimiz Günli bir gelecek için Herşeyi günli hale getirmek mümkün değil. Kurumsal Öncelikleriniz kurumunuz

Detaylı

HATAY SAĞLIK MÜDÜRLÜĞÜ HATAY SAĞLIK MÜDÜRLÜĞÜ RİSK DEĞERLENDİRME PROSEDÜRÜ

HATAY SAĞLIK MÜDÜRLÜĞÜ HATAY SAĞLIK MÜDÜRLÜĞÜ RİSK DEĞERLENDİRME PROSEDÜRÜ RİSK DEĞERLENDİRME PROSEDÜRÜ.AMAÇ Bu prosedürün, Hatay İl Sağlık Müdürlüğü, İl Ambulans Servisi Başhekimliği, İlçe Sağlık Müdürlükleri bünyesinde faaliyetleri sırasında oluşabilecek potansiyel tehlikelerin

Detaylı

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ SİBER GÜVENLİK FARKINDALIĞI 01.11.2013 Koray ATSAN korayatsan@kamusgd.org.tr Derneğimiz hakkında Kamu Siber Güvenlik Derneği 2013 yılında kuruldu. Temel Amaç : Ülkemizde

Detaylı

Kalite Sistem Dokümantasyonu ve Örnek Uygulamalar

Kalite Sistem Dokümantasyonu ve Örnek Uygulamalar Kalite Sistem Dokümantasyonu ve Örnek Uygulamalar - 1 Standardizasyon; Standart Nedir? Belirli bir faaliyetle ilgili olarak ekonomik yarar sağlamak üzere bütün ilgili tarafların yardım ve işbirliği ile

Detaylı

Bilişim Teknolojileri Test ve Belgelendirme Hizmetleri. Mustafa YILMAZ mustafayilmaz@tse.org.tr

Bilişim Teknolojileri Test ve Belgelendirme Hizmetleri. Mustafa YILMAZ mustafayilmaz@tse.org.tr Bilişim Teknolojileri Test ve Belgelendirme Hizmetleri Mustafa YILMAZ mustafayilmaz@tse.org.tr Türk Standardları Enstitüsü tarafından yapılan Bilişim Teknolojileri Test ve Belgelendirme Hizmetleri Yazılım

Detaylı

ANKARA ŞUBESİ YAZ SEMĠNERLERĠ

ANKARA ŞUBESİ YAZ SEMĠNERLERĠ ANKARA ŞUBESİ YAZ SEMĠNERLERĠ 1 KALĠTE YÖNETĠMĠ Bayram ERTEM Makine Mühendisi 2 TEMEL KALĠTE KAVRAMLARI Kalite nedir? Müşteri beklentilerini karşılayabilme derecesi, Bir ürün veya hizmetin belirlenen veya

Detaylı

BT DENETİMİ EĞİTİMİ BÖLÜM 1 Bilgi Teknolojilerinin Hayatımızdaki Yeri

BT DENETİMİ EĞİTİMİ BÖLÜM 1 Bilgi Teknolojilerinin Hayatımızdaki Yeri BT DENETİMİ EĞİTİMİ BÖLÜM 1 Bilgi Teknolojilerinin Hayatımızdaki Yeri Kağan Temel CISA, ISO27001LA 27.5.2016 www.tebit.com.tr 1 EĞİTİMİN AMACI Eğitim Amaçları, Bu eğitim, genel BT denetim konuları, kontrolleri

Detaylı

YAZILIM KALİTE STANDARTLARI

YAZILIM KALİTE STANDARTLARI YAZILIM KALİTE STANDARTLARI MEHMET KEKLĠKÇĠ ĠREM UYGUN KEREM GAZĠOĞLU LEZGĠN AKSOY CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY COBIT NEDİR? Tanım olarak CobiT, Control Objectives for Information

Detaylı

Kontrol: Gökhan BİRBİL

Kontrol: Gökhan BİRBİL Doküman Adı: YÖNETİMİN GÖZDEN GEÇİRMESİ PROSEDÜRÜ Doküman No.: Revizyon No: 06 Yürürlük Tarihi: 08.01.2011 Hazırlayan: Tekin ALTUĞ Kontrol: Gökhan BİRBİL Onay: H. İrfan AKSOY Sayfa 2 / 7 1. AMAÇ Bu prosedürün

Detaylı

ÖZ DEĞERLENDİRME SORU LİSTESİ

ÖZ DEĞERLENDİRME SORU LİSTESİ T.C TÜRKİYE KAMU HASTANELERİ KURUMU BURSA İLİ KAMU HASTANELERİ BİRLİĞİ GENEL SEKRETERLİĞİ ORHANELİ İLÇE DEVLET HASTANESİ VE RAPORU BİLGİ YÖNETİMİ ÖZDEĞERLENDİRME SORU LİSTESİ TARİH: Doküman Kodu Yayın

Detaylı

BDDK-Bilgi Sistemlerine İlişkin Düzenlemeler. Etkin ve verimli bir Banka dan beklenenler Bilgi Teknolojilerinden Beklenenler

BDDK-Bilgi Sistemlerine İlişkin Düzenlemeler. Etkin ve verimli bir Banka dan beklenenler Bilgi Teknolojilerinden Beklenenler Gündem Bilgi Sistemlerine İlişkin Yasal Düzenlemeler & COBIT AB Seminer 2009 Bankacılıkta Bilgi Sistemlerine İlişkin Düzenlemeler Etkin ve verimli bir Banka dan beklenenler Bilgi Teknolojilerinden Beklenenler

Detaylı

KASTAMONU HALK SAĞLIĞI MÜDÜRLÜĞÜ BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ POLİTİKASI. Kodu Yayınlama Tarihi Revizyon Tarihi Revizyon No Sayfa

KASTAMONU HALK SAĞLIĞI MÜDÜRLÜĞÜ BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ POLİTİKASI. Kodu Yayınlama Tarihi Revizyon Tarihi Revizyon No Sayfa BGYS POLİTİKASI...2 1. AMAÇ...2 2.KAPSAM...2 3. TANIMLAR ve KISALTMALAR...3 4. BİLGİ GÜVENLİĞİ HEDEFLERİ VE PRENSİPLERİ.3 5. BİLGİ GÜVENLİĞİ YAPISI VE ORGANİZASYONU...3 5.1.BGYS TAKIMI VE YETKİLERİ.....

Detaylı

EKLER EK 12UY0106-5/A5-1:

EKLER EK 12UY0106-5/A5-1: Yayın Tarihi: 26/12/2012 Rev. :01 EKLER EK 12UY0106-5/A5-1: nin Kazandırılması için Tavsiye Edilen Eğitime İlişkin Bilgiler Bu birimin kazandırılması için aşağıda tanımlanan içeriğe sahip bir eğitim programının

Detaylı

Veri(Data), sayısal veya mantıksal her değer bir veridir. Bilgi(Information), verinin işlenmiş, anlamlı hale gelmişşekline bilgi denir.

Veri(Data), sayısal veya mantıksal her değer bir veridir. Bilgi(Information), verinin işlenmiş, anlamlı hale gelmişşekline bilgi denir. Gündem Bilgi Güvenliği Farkındalık Eğitim Örneği AB Seminer 2009 Ender ŞAHİNASLAN 00:00 00:05 Tanışma / Takdim 00:05 00:08 Temel Bilgi Kavramları 00:08 00:20 Bilgi Nerelerde Bulunur? 00:20 00:25 Temiz

Detaylı

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER Dr. Hayrettin Bahşi bahsi@uekae.tubitak.gov.tr 11 Mart 2010 Gündem Bulut Hesaplama Sistemleri ve Bilgi Güvenliği Güvenli Yazılım Geliştirme Hayat Döngüsü

Detaylı

ŞİKAYET VE İTİRAZLARIN DEĞERLENDİRİLMESİ PROSEDÜRÜ

ŞİKAYET VE İTİRAZLARIN DEĞERLENDİRİLMESİ PROSEDÜRÜ 1. AMAÇ INSPEGO da verilen muayene hizmetinin kalitesini ve güvenilirliğini arttırmak, müşterilerinden ve diğer ilgililerden gelen şikayetlerin, itirazların ve memnuniyetlerin araştırılması, değerlendirilmesi,

Detaylı

BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015

BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015 BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015 Ders- 14 Bilgisayar Güvenliği Yrd. Doç. Dr. Burcu Can Buğlalılar Bilgisayar Mühendisliği Bölümü İçerik Bilgi güvenliği Tehdit türleri Dahili tehdit unsurları

Detaylı

İSG (OHSAS 18001) İSE Faktörleri ve Şartlar

İSG (OHSAS 18001) İSE Faktörleri ve Şartlar İSG (OHSAS 18001) Çalışanların, geçici işçilerin, müteahhid personelin, ziyaretçilerin ve çalışma alanındaki diğer insanların refahını etkileyen faktörler ve şartlar. ISO 18001 Awareness Training Ders

Detaylı

Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu

Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu Mart, 2010 İçerik Veri Kaçağı Önleme Nedir? Dünyada ve Türkiye de Veri Kaçağı Teknoloji Ne Durumda?

Detaylı

Prosedür. Kalite Yönetim Sisteminde Neden gerçekleştirilecek?

Prosedür. Kalite Yönetim Sisteminde Neden gerçekleştirilecek? Prosedür Bir faaliyeti veya bir bir amaca ulaşmak için izlenen yol ve yöntem (TDK) Prosesi icra etmek için belirlenen yol (ISO 9000) Faaliyetleri yeterli kontrolü sağlayacak detayda tarif eden dokümanlardır

Detaylı

BGYS ve BGYS Kurma Deneyimleri

BGYS ve BGYS Kurma Deneyimleri BGYS ve BGYS Kurma Deneyimleri 6. Kamu Kurumları BT Güvenliği Konferansı - 8 Haziran 2011 Fikret Ottekin Bilişim Sistemleri Güvenliği Grubu ISO 9001 ve ISO 27001 Süreç tabanlı sistemler (örnek): ISO 9001

Detaylı

KALİTE YÖNETİM SİSTEMLERİ YAZILIMI

KALİTE YÖNETİM SİSTEMLERİ YAZILIMI KALİTE YÖNETİM SİSTEMLERİ YAZILIMI QSAP KALİTE YÖNETİM SİSTEMLERİ YAZILIMI Yönetim Sistemi; Politika ve hedefleri oluşturmak ve bunları gerçekleştirmek için kullanılan sistemdir. QSAP; ISO Yönetim Sistemleri

Detaylı

Farkındalılık ISO 9001 Kalite Yönetim Sistemi Eğitimi. Uygulama ve başarımın anahtarları

Farkındalılık ISO 9001 Kalite Yönetim Sistemi Eğitimi. Uygulama ve başarımın anahtarları ISO 9001 Kalite Yönetim Sistemi Eğitimi Uygulama ve başarımın anahtarları 1 Genel Eğitim Hakkında Kalite ve Yönetim Sistemi Kavramlar ve amaçlar TKY ve Kalite Yönetim Sistemi Standart maddeleri Fayda sağlamanın

Detaylı

MEHMET ŞİRİN DENETİM STANDARTLARI DAİRESİ BAŞKANI

MEHMET ŞİRİN DENETİM STANDARTLARI DAİRESİ BAŞKANI MEHMET ŞİRİN DENETİM STANDARTLARI DAİRESİ BAŞKANI Bağımsız Denetim Standartları 1. Kilit Terimlerin Belirlenmesi 2. Metnin Çevrilmesi 3. İlk Uzman Kontrolü 4. Çapraz Kontrol İkinci Uzman Kontrolü 5. Metnin

Detaylı

MerSis. Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri

MerSis. Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri MerSis Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri Bilgi Teknolojileri risklerinize karşı aldığınız önlemler yeterli mi? Bilgi Teknolojileri Yönetimi danışmanlık hizmetlerimiz, Kuruluşunuzun Bilgi

Detaylı

Prosedür El Kitabı. İtiraz ve Şikayetleri Değerlendirme Prosedürü A - TS EN ISO / IEC 17020 Kapsamındaki İtiraz ve Şikayetler

Prosedür El Kitabı. İtiraz ve Şikayetleri Değerlendirme Prosedürü A - TS EN ISO / IEC 17020 Kapsamındaki İtiraz ve Şikayetler AMAÇ : Şikayet ve itirazların nasıl ele alındığına dair proseslerin tanımlanması. OMEKS Sertifikasyon bünyesinde TS EN ISO / IEC 17020 standardı kapsamında gerçekleştirilen muayene ve deney sonuçlarına

Detaylı

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ POLİTİKASI

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ POLİTİKASI BG.PO.01 01.10.2013 1/15 BGYS... 2 1. AMAÇ... 2 2. KAPSAM... 2 Kurumun Bilgi Güvenliği kapsam alanı yazılacak.... 2 3. TANIMLAR ve KISALTMALAR... 2 4. BİLGİ GÜVENLİĞİ HEDEFLERİ VE PRENSİPLERİ... 3 5. BİLGİ

Detaylı

Kısaca. Müşteri İlişkileri Yönetimi. Nedir? İçerik. Elde tutma. Doğru müşteri 01.06.2011. Genel Tanıtım

Kısaca. Müşteri İlişkileri Yönetimi. Nedir? İçerik. Elde tutma. Doğru müşteri 01.06.2011. Genel Tanıtım Kısaca Müşteri İlişkileri Yönetimi Genel Tanıtım Başar Öztayşi Öğr. Gör. Dr. oztaysib@itu.edu.tr 1 MİY Genel Tanıtım 2 MİY Genel Tanıtım İçerik Müşteri İlişkileri Yönetimi Nedir? Neden? Tipleri Nelerdir?

Detaylı

YÖNETİM SİSTEMLERİ. Alev ACAR Çevre Mühendisi Yönetim Sistemleri Uzmanı

YÖNETİM SİSTEMLERİ. Alev ACAR Çevre Mühendisi Yönetim Sistemleri Uzmanı YÖNETİM SİSTEMLERİ Alev ACAR Çevre Mühendisi Yönetim Sistemleri Uzmanı Genel Bilgilendirme Çevre Yönetim Sistemi (ISO 14001) İş Sağlığı ve Güvenliği Yönetim Sistemi (OHSAS 18001) Sosyal Sorumluluk Standardı

Detaylı

ISO27001, PCI-DSS, ADSIC İÇİN ENTEGRE TEK ÇÖZÜM

ISO27001, PCI-DSS, ADSIC İÇİN ENTEGRE TEK ÇÖZÜM Tek Hamlede Bilgi Güvenliği Security Unified Management for Governance, Risk Management and Compliance Security Unified Management for Governance, Risk Management and Compliance ISO27001, PCI-DSS, ADSIC

Detaylı

MARMARA ÜNİVERİSTESİ TEKNİK EĞİTİM FAKÜLTESİ ISO 9001:2000 KALİTE EL KİTABI

MARMARA ÜNİVERİSTESİ TEKNİK EĞİTİM FAKÜLTESİ ISO 9001:2000 KALİTE EL KİTABI KEK 00.00.08 00 1 / 10 MARMARA ÜNİVERİSTESİ TEKNİK EĞİTİM FAKÜLTESİ ISO 90012000 KALİTE EL KİTABI 23 SAYFADIR 00.00.2008 HAZIRLAYAN KONTROL EDEN ONAYLAYAN DEKAN Prof.Dr.Mehmet AKALIN REVİZYON SAYFASI MARMARA

Detaylı

Mikro Bilgi Kayıt ve Dağıtım A.Ş Kalite Yönetim Temsilcisi. Şenay KURT senay.kurt@mikrobilgi.com.tr

Mikro Bilgi Kayıt ve Dağıtım A.Ş Kalite Yönetim Temsilcisi. Şenay KURT senay.kurt@mikrobilgi.com.tr Mikro Bilgi Kayıt ve Dağıtım A.Ş Kalite Yönetim Temsilcisi Şenay KURT senay.kurt@mikrobilgi.com.tr Standart Nedir? Standardizasyon; belirli bir faaliyetle ilgili olarak ekonomik yarar sağlamak üzere bütün

Detaylı

BAŞ DENETÇİ PROGRAMLARI

BAŞ DENETÇİ PROGRAMLARI BAŞ DENETÇİ PROGRAMLARI İçindekiler ISO 9001:2008 Baş Denetçi Eğitimi... ISO 14001:2004 Baş Denetçi Eğitimi... OHSAS 18001:2007 Baş Denetçi Eğitimi... ISO 22000:2005 Baş Denetçi Eğitimi... ISO 9001:2008

Detaylı