ITMS DAYS Information Technologies Management Systems Days

Ebat: px
Şu sayfadan göstermeyi başlat:

Download "ITMS DAYS www.itmsdays.com. Information Technologies Management Systems Days"

Transkript

1 ITMS DAYS Information Technologies Management Systems Days

2 ISO BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ KORAY ATSAN EDUCORE EĞİTİM ve DANIŞMANLIK

3 Gündem 1.Oturum Bilgi Güvenliği Temel Bilgilendirme Bilgi Güvenliği Temel Kavramları Bilgi Güvenliği İhlal Olayları ISO ve ISO Standart Ailesi Standartlar ve Tanımları Standardına Genel Bakış BGYS Temel Bilgilendirme BGYS hazırlık adımları ISO Ana kontroller Kapsam nasıl tanımlanır? Kritik başarı faktörleri Risk Yönetimi Risk Değerlendirme Risk İşleme

4 Gündem 2.Oturum BGYS Kontrolleri Ana Kontroller ve Alt Kontroller İç Denetimler Denetime Hazırlık Denetim Aşaması BGYS Sertifikasyonu Belgelendirme ve Denetim Süreci BGYS ve Otomasyon Yönetim Sistemlerinde Otomasyon İhtiyacı Educore ISO Çözüm Modelleri Core-TkC Core-TrC Core-AC

5 Bilgi Güvenliği Temel Tanım ve Kavramlar Bilgi güvenliği, iş sürekliliğini sağlamak, iş güvenlik risklerini en aza indirgemek ve yatırımın maksimum geri dönüşünü sağlamak için bilginin korunması faaliyetidir. Bilgi, diğer iş varlıkları gibi korunması gereken ve kurum devamlılığı için gerekli olan bir varlıktır. Gelişen ve değişen iş ortamı bilginin çeşitli zayıflıklardan ve tehditlerden etkilenmesi olasılığını arttırmıştır. Sürekli değişen ve gelişen bilgi ile ilgili risklerle mücadele etmek ve işi sürdürmek için gerekli kontroller bilgi güvenliğinin ğ konusudur.

6 Bilgi Güvenliği ğ Temel Tanım ve Kavramlar Varlık Kuruluş ş için değeri ğ olan kuruluşun ş sahip olduğu ğ herhangi bir şey. Erişilebilirlik Yetkili bir varlık tarafından talep edildiğinde erişilebilir ve kullanılabilir olma özelliği. Gizlilik Bilginin yetkisiz kişiler, varlıklar ya da proseslere kullanılabilir yapılmama ya da açıklanmama özelliği. Bütünlük Varlıkların doğruluğunu ve tamlığını koruma özelliği.

7 Bilgi Türleri Yazılı, baskılı tüm belgeler (liste, form,çizim,sözleşme,vb.) Sözlü taşınan veriler (telefon ve sohbetler) Elektronik ortamdaki (PC,CD,Disket,USB,, Bellek) Hafızamızdaki veriler (şirket bilgileri,şifreler vb.)

8 Bilgi Güvenliği İhtiyacı ve Gereksinimler Neden Bilgi Güvenliği Yönetim Sistemi Kurulur? Bilgi şirketimizin en önemli varlıklarından biridir Bilginin gizliliği ve bütünlüğü işin aksamamasını ve verilerin kaybolmamasını sağlar. Bilginin güvenliği kurumun çalışmalarında verim artışı sağlar Bilgi güvenliğinin sağlanması aynı zamanda yasal bir gerekliliktir. Bilii Bilginin yetkisiz i kişilere il ulaşmasını ve beklenmeyen zararları engeller. Temelde BGYS, Bilgi Güvenliği İhlali ve buradan doğacak kayıpların riskini minimize etmek için kurulur.

9 BİLGİ GÜVENLİĞİ İHLAL OLAYLARI Bilgi Güvenliği İhlal Olayı Tanımı Bilgi Güvenliği İhlal Olaylarından Örnekler (Doğal Afet, İhmal Ve Kötü Niyetli İhlaller)

10 Bilgi Güvenliği İhlal Olayı İş operasyonlarını tehlikeye atma ve bilgi güvenliğini tehdit etme olasılığı yüksek olan tek ya da bir dizi istenmeyen ya da beklenmeyen bilgi güvenliği olayı olarak tanımlanabilir. Bilgi Güvenliği İhlal Olaylarının lar n sonuçları, maruz kalan kurumları, az seviyede seiede etkilenmeden, şirketlerin kapanmasına kadar gidebilecek yüksek etki seviyelerinde etkileyebilir.

11 Bilgi Güvenliği İhlal Olayları Bilgi sistemlerine ve bilgilere yetkisiz erişim Politikaya aykırı davranışlar Bilgi teknolojileri ve bilgilerin kullanımında dikkatsizlik ve uygunsuzluk Kıymetli evrakların kaybolması, dolapların kilitli olmaması PC veya laptoplardan veri kaybı veya cihazın kendisinin kaybolması Bilgilerin politikaya aykırı şekilde CD veya USB ile kopyalanması Telefonda şirket bilgilerinin, şifrelerin paylaşılması Masada önemli evrak bırakarak ve bilgisayarları kilitlemeden (oturumu kapatmadan) masayı terk etmek Kimliği olmayan (yaka kartı vb.), veya tanınmayan kişiyi gözlememek ve yetkisiz girişine müdahale etmemek Bilgi işlem cihazları ile ilgili arıza vb. hatalar Bilgi teknolojileri ile ilgili servislerin kesilmesi Uygun olmayan internet ve eposta kullanımı

12 Bilgi Güvenliği İhlal Olayları 5 Eylül 2007 tarihli bir haber : Bir Hastane nin Eski Ağ Mühendisi eski İşverenin bilgisayarlarını hack ediyor ve hasta bilgilerine i hasar veriyor. Öncesinde sisteme girerek veri yedekleme prosesini durduruyor. Bundan birkaç gün sonra ise, tekrar sisteme it girerek, sistematik it tik bir şekilde verileri ve bazı yazılımları siliyor. Kaybolan veriler arasında, hasta ödeme bilgileri, hasta randevuları, hasta geçmişleri i ve hastalık lk bilgileri i ve tedavi planları var. Saldırının Sebebi : Düşük performansdan dolayı işten atılma. Sonuç : Saldırgan 10 yıl hapis cezası ve $ para cezası ile yargılanıyor. Hastahane için ise ağır maddi kayıp, yanlış tedavi riski, prestij ve müşteri kaybı.

13 Bilgi Güvenliği İhlal Olayları 5 Eylül 2007 tarihli bir haber : Bir Hastane çalışanının arabasında bulunan bilgisayar i diskleri i çalınıyor. Disklerde hastanın şifrelenmemiş bilgisi var. Hastane hakkında Savcı kamu davası açıyor ve davada $ lık bir anlaşma sağlanıyor. Daha sonra ise işten atılan çalışan, yasal mercilere durumu bildirdiği için işten atıldığı gerekçesiyle 1 milyon $ tazminat davası açıyor.

14 Bilgi Güvenliğine Olayları 29 Ağustos 2008 tarihli bir haber : Katrina Kasırgasından dersler çıkaran organizasyonlar yeni olaylara karşı nasıl hazırlık yaptıklarını anlatıyor : Katrinada New Orleans da faaliyetini sürdüren Organizasyonlar bir hafta süreyle iş yapamaz halde kalmış. Organizayon Elektrik şebekesi ve Web Sitesi 2 hafta süreyle çalışmamış. Şimdi ise Organizasyonun tüm 50 adet PC si ve Sunucuları bir ana bilgisayarda yedekleniyor ve oradan 1 TB lik bir Harici Disk e aktarılıyor. Felaket durumunda binadan son çıkan çalışan Harici Diski alarak çıkıyor. Aynı zamanda Organizasyonda bir Acil Durum Kutusu da var. Bu kutuda ise bir felaket durumunda yüklenmek üzere sistemin DVD yedekleri bulunuyor.

15 VARLIKLARIMIZI KORUMAYILIYIZ! Yönetimsel ve Teknik anlamda Süreçlerimize Sahip Olmalıyız

16 ISO STANDART AİLESİ Standartları ve Tanımları Standardı Gelişimi Standardına Genel Bakış

17 ISO Standart Ailesi ISO (2005 de yayınlandı) BGYS Spesifikasyonu ISO (2007 de yayınlandı) BGYS Uygulama Pratikleri ve Kontrolleri ISO (Hazırlanıyor) BGYS Risk Yönetimi Uygulama Rehberi ISO (Hazırlanıyor) BGYS Etkinlik Ölçüm Rehberi ISO (2008 de yayınlandı) BGYS Risk Yönetimi Rehberi ISO (2007 de yayınlandı) Belgelendirme l Kurumları İçin i Rhb Rehber

18 Standardın Tarihsel Gelişimi BS > ISO 27001:2005 ISO 17799:2000 -> ISO 17799:2005 BS olarak güncellendi 2001 BS Gözden geçirildi 2000 ISO/IEC 17799: Updated version of BS 7799 Parts 1 and 2 BS 7799 Part BS 7799 Part 1

19 ISO Standardının Yapısı 1. Giriş ş 2. Kapsam 3. Atıf Yapılan Standartlar ve/veya Dokümanlar 4. Terimler ve Tarifleri 5. BGYS 6. Yönetim Sorumluluğu 7. BGYS İç Denetimler 8. BGYS yi Yönetimin Gözden Geçirmesi 9. BGYS İyileştirme 10. EK- A Kontrol Amaçları ve Kontroller 11. OECD Prensipleri ve bu standart 12. ISO 9001, ISO ve bu standard arasındaki benzerlikler

20 ISO BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ ISO Standardı Temel Tanım ve Kavramlar BGYS nin Amaç ve Faydaları Nelerdir? BGYS Temel Bileşenleri ve Unsurları

21 Bilgi güvenliği ğ yönetim sistemi BGYS Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçası. Bir Yönetim Sürecidir. Teknik bir Süreç değildir. Ref : BGYS Rehber Bilgi Güvenliği Yönetim Sistemi

22 ISO in Gereklilikleri Kuruluş, dokümante edilmiş ş bir BGYS yi, y, kuruluşun ş tüm ticari faaliyetleri ve karşılaştığı riskleri bağlamında ; kurmalı, gerçekleştirmeli, işletmeli, izlemeli, li gözden geçirmeli, sürdürmeli ve geliştirmelidir. Bu standardın bir gereği olarak, kullanılan proses, Şekil de gösterilen PUKÖ modeline dayanır.

23 PUKÖ Modeli

24 BGYS nin Amaç ve Faydaları 1 Kuruluş içerisindeki i i bilgi i güvenliğini i yönetmek. Kuruluşun dış taraflarca erişilen, işlenen, iletişim kurulan veya yönetilen bilgi ve bilgi işleme olanaklarının güvenliğini sağlamak. Kurumsal varlıkların uygun korumasını sağlamak ve sürdürmek. Bilgi varlıklarının uygun seviyede koruma almalarını sağlamak. Bilgi güvenliği ihlal olaylarının yönetimine tutarlı ve etkili bir yaklaşımın uygulanmasını sağlamak.

25 BGYS nin Amaç ve Faydaları 2 İş faaliyetlerindeki i kesilmeleri l i önlemek ve önemli iş proseslerini i büyük ük bilgi i sistemleri başarısızlıklarından ya da felaketlerden korumak ve bunların zamanında devam etmesini sağlamak. Her türlü hukuka, yasal, düzenleyici ya da sözleşmeye tabi yükümlülüklere ve her türlü güvenlik gereksinimlerine ilişkin ihlalleri önlemek. Sistemlerin kurumsal güvenlik politikaları ve standardlarıyla uyumunu sağlamak. Bilgi sistemleri denetim prosesinin etkinliğini artırmak ve müdahaleleri azaltmak.

26 BGYS nin Amaç ve Faydaları 3 BGYS, yukarıdan aşağıya ve tutarlı bir yaklaşımla, Bilgi Güvenliği ile ilgili Uyum, Risk ve IT Yönetim konularını ele alır. Faydalar Direkt ve Dolaylı l olarak tanımlanabilir : BGYS i BGYS nin Direkt Faydaları dl : Müşteri bilgilerini koruma konusunda ciddi olduğunuzu göstererek, müşterilerin güvenini kazandırır. Bilgi Sistemlerinin daha yüksek güvenlik ve güvenilirliğini sağlar. Kurumsal Risklerin daha iyi yönetilmesini sağlar. Kurumsal Belirsizliklerin daha iyi yönetilmesini sağlar.

27 BGYS nin Amaç ve Faydaları 4 BGYS nin Dolaylı Faydaları : Daha az maliyetli ve tutarlı bilgi güvenliği uygulamalarını teşvik eder. Firma nın Rekabet gücünün arttırılmasına yardımcı olur. Kurumsal itibar kazandırır. Yönetimin i süreçler üzerinde daha iyii kontrolünü ü sağlar. Daha iyi bir çalışma ortamı kazandırır. Pazarlama faktörü olarak kullanılabilir.

28 BGYS HAZIRLIK ADIMLARIDI 1. Adım : HAZIRLIK 2. Adım : UYGULAMA 3. Adım : ÖN TETKİK (Opsiyonel) 4. Adım : TETKİK İ

29 BGYS Hazırlık Süreci 1 BGYS Takımı kurmak Politikaların yazılması Risk yönetimi Uygulama BGYS bilinçlendirme SOA Hazırlama

30 BGYS Hazırlık Süreci 2 Uygulamada kayıt Düzeltici ltii ve Öl Önleyici ii tutma Faaliyetler İç Tetkikler Tetkike Hazırlık Sürekli İyileştirme Sistem gözden Geçirme / Forumlar ve YGG

31 BGYS Hazırlık Süreci 3 Tetkik talebi Kapsam ve kurum incelemesi Desktop Review Tetkik sonucu Tetkik raporu Tetkik (sahada) SERTİFİKA

32 BGYS Kapsamı Belirleme Kapsam, kuruluşun belli bir kısmı olabileceği gibi (IT departmanı vb.), bağımsızğ bir biçimdei de tanımlanabilir; ya da kapsam tüm kuruluşu ifade edebilir. Uygun olan BGYS kapsamını belirlemek tamamen kuruluşa kalmıştır ancak, her halükârda BGYS kapsamı ve o kapsamın sınırlarının eksiksiz bir biçimde ve iyi tanımlanması gerekir. BGYS nin, kuruluşun diğer bölümleriyle (BGYS kapsamında olmayan), diğer kuruluşlarla, üçüncü şahısh olan tedarikçilerle il l ya da BGYS dışındakid başka varlıklarla l arasındaki ara yüzlerin ve bağımlılıkların da kapsamda dikkate alınması gerekir.

33 Kapsam Tanımlanırken BGYS Kapsamı tanımlanırken aşağıdakilerin belirtilmesi gereklidir: Kurum/Şirket/Organizasyon:Kurum/Şirket/Organizasyon un un adı net şekilde belirtilmelidir. Hedef: ISO/IEC 27001:2005 sertifikasyonunu elde etmek için standarda uyumluluk sağlanması amacında olunduğu gibi bir amaç net bir şekilde belirtilmelidir. Kapsam: Hangi yönetimsel birimlerin ve aktivitelerin bilgi güvenliği yönetim yapısı içerisinde yer alacağı belirtilmelidir. Sınırlar/Limitler: BGYS kapsamının belirtmesi gereken limitler: Organizasyonun özellikleri (büyüklük, çalışma alanları vb.) Organizasyonun mekânı; Varlıklar Teknoloji Arayüzler: Organizasyonun diğer sistem, organizasyon veya tedarikçiler ile olan arayüzleri hesaba katılmalıdır. Bağımlılıklar: Kurulacak BGYS belirli yasal ve ticari zorunluluklara tabi olabilir. Hariç Tutma / Savunma: BGYS tarafından tanımlanan ama herhangi h bir güvenlik politikası veya güvenlik ölçütü tarafından kapsanmayan her bölümün veya elementin neden içerilmediği açıklamasıyla beraber belirtilmelidir.

34 Kapsam Dışı BGYS dışında bırakılanların ayrıntıları belgelenmeli ve gerekçeleri iyi ortaya konulmalıdır. BGYS kapsamından iş bölümleri hariç tutulurken, kuruluşun hariç tutulan bölümleriyle herhangi bir bilgi değişimininğ ş yukarıda bahsedilen ara yüzler ve bağımlıklar kullanılarak tanımlanması ve adreslenmesi gerektiği hususuna özen gösterilmelidir.

35 BGYS Takımı Oluşturma BGYS SPONSORU BGYS YÖNETİCİSİ PROJE LİDERİ PROJE LİDERİ TAKIM ÜYESİ TAKIM ÜYESİ TAKIM ÜYESİ TAKIM ÜYESİ TAKIM ÜYESİ TAKIM ÜYESİ

36 BGYS Sponsoru Görev,Yetki ve Sorumluluklar Kaynakları sağlamak Takımın sunduğu kontrol seçimlerine onay vermek Yatırım ve değişimler için onay vermek Düzenli BGYS-YGG toplantılarına başkanlık etmek Kurum çalışanlarının katılımı için teşvik edici faaliyetler BGYS proje yöneticisini,liderlerini ve takım üyeleri atamak ve yetkilendirmek BGYS risk kabul kriterlerini belirlemek, kabul edilecek riskleri onaylamak

37 BGYS Proje Yöneticisi i i Görev,Yetki ve Sorumluluklar l BGYS hazırlık, işletme, süreklilik ve iyileştirme faaliyetlerinin yönetimi BGYS politikası ve prosedürlerinin incelenmesi ve onaylanması Kayıt sisteminin kurulması ve BGYS nin gerektirdiği kayıtların incelenmesi ve onaylanması Değişim ğ ve konfigürasyon yönetimi faaliyetlerini onaylamak Risk yönetimi faaliyetlerinin sürekli ve düzgün yapılmasını sağlamak Kontrollerin etkinliğini ölçmek YGG toplantılarına katılmak Gerektiğinde seçilen kontrollerle ilgili olarak ve kabul edilecek risklerle ilgili yönetimin onayını almak.

38 BGYS Takım Üyesi Görev,Yetki ve Sorumluluklar l BGYS proje yöneticisi ve proje liderinin vereceği işleri yerine getirmek. BGYS iç tetkiklerine katılmak ve görev almak. BGYS kontrol uygulamalarını hayata geçirmek ve izlemek Acil durum ekibinde yer almak Planlama ve raporlama için BGYS proje liderlerine ve yöneticisine yardımcı olmak

39 Güvenlik Forumu Oluşturma Güvenlik Forumu BGYS nin yönetiminden ve işletiminden sorumlu öncelikli bir komitedir. Düzenli olarak toplanarak BGYS ile ilgili gözden geçirme, tedbirler alma, Güvenlik stratejilerini belirleme gibi işlevleri yerine getirir. Güvenlik Forumunda, ilgili tüm kuruluş birimlerinin karar alıcı üyeleri yer alır ve forumda alınan kararları organizasyon bünyesinde uygulanması işlevini yerine getirirler.

40 Bilgi Güvenliği Politikası Bilgi güvenliği politikası tanımlama Amaç: Bilgi güvenliği için, iş gereksinimleri ve ilgili yasa ve düzenlemelere göre yönetim yönlendirmesi ve desteği sağlamak. Bilgi güvenliği politika dokümanı Bir bilgi güvenliği politika dokümanı, yönetim tarafından onaylanmalı, yayınlanmalı ve tüm çalışanlar ve ilgili dış taraflara bildirilmelidir. Bilgi güvenliği politikasını gözden geçirme Bilgi güvenliği politikası, belirli aralıklarda veya önemli değişiklikler ortaya çıktığında sürekli uygunluğunu, ğ doğruluğunu ğ ğ ve etkinliğini ğ sağlamak ğ için gözden geçirilmelidir.

41 BGYS Politikası Oluşturma İşin, kuruluşun, yerleşim yerinin, varlıklarının ve teknolojisinin özelliklerine göre aşağıdaki özelliklere sahip bir BGYS politikası tanımlama: kapsamlı bir yön kavramı ve prensipleri kuran, İş, yasal gereksinimler ve sözleşmeye ilişkin güvenlik yükümlülüklerini dikkate alan, BGYS kurulumu ve sürdürülmesinin yer alacağı stratejik kurumsal ve risk yönetimi bağlamını düzenleyen, Riskin değerlendirileceği kriterleri kuran ve Yönetim tarafından onaylanmış olan.

42 BGYS Dokümantasyonu BGYS politikası ve kontrol amaçlarının dokümante edilmiş ifadeleri, BGYS kapsamı BGYS yi destekleyici prosedürler ve kontroller, Risk değerlendirme metodolojisinin bir tanımı, Risk değerlendirme raporu, Risk işleme planı, Kuruluş ş tarafından, bilgi güvenliği ğ proseslerinin etkin planlanmasını, işletilmesini ş ve kontrolünü sağlamak için ihtiyaç duyulan dokümante edilmiş prosedürler ve kontrollerin etkinliğinin nasıl ölçüleceğini tanımlama Bu standart tarafından gerek duyulan kayıtlar Uygulanabilirlik Bildirgesi

43 Doküman Oluşturma Kuruma özel bir şablon kullanma ihtiyacı Oluşturulan ş şablonda doküman geçmişi ş bilgisinin yer alması (yazan, revize eden, onaylayan, işlem tarihleri vb.) Dokümanların her birinin bir sahibinin olması ihtiyacı Doküman oluşturma ve yayınlama için i onay mekanizmasına sahip olunması

44 Doküman Yönetim Ortamı Yaşayan bir BGYS sistemi sağlayabilmek ğ için dokümanların yönetilebilmesi faydalı olacaktır. Yönetim Ortamı, karmaşık k bir Doküman Yönetim Sistemi i veya basit bir Versiyon takip uygulaması olabilir. Yönetim ortamından dokümanların oluşturulabilmesi, l i düzenlenebilmesi, sürüm takibinin yapılabilmesi beklenir.

45 Kritik Başarı Faktörleri Yönetimin etkin desteği İş hedeflerine uygun bilgi güvenliği yönetim sistemi politikası Kurum kültürüne uygun bir BGY yaklaşımı benimseme BG gerekliliklerini ve risk yönetimini iyi anlama BG kültürünün kurum içinde yayılmasını sağlama BG rehberlerini,talimatları, prosedürleri kuruma dağıtma BGYS için gerekli bütçenin yönetim tarafından tahsisi Gerekli eğitimlerin sağlanması Güvenlik olay yönetimi sürecinin etkinliği Uygun bir izleme,ölçme ve değerlendirme yönteminin kullanılması

46 BİLGİ GÜVENLİĞİ RİSK YÖNETİMİ ISO Standardı d Temelinde Risk Yönetimine i Giriş i Varlık Listesi Risk Değerlendirme Risk Tanımlama Risk Analizi metodları nelerdir Risk İşleme,Risk İzleme ve Kontrol

47 Bilgi Güvenliğine Giriş Risk Yönetimi Temel Adımları RİSK DEĞERLENDİRME RİSK İŞLEME RİSK İZLEME ve KONTROL

48 Risk Yönetimi RİSK DEĞERLENDİRME RİSK BELİRLEME RİSK ANALİZİ KONTROLLER R.D.PLANI RİSK İŞLEME Riskten Riski Risk Risk Kaçınma Üstlenme Kontrol / Azaltma Transferi RİSK İ İZLEME ve KONTROL Risk Metrikleri Veri toplama Hedeflerle Uyum D.Ö.F

49 Risk Yönetimi Süreci 1.Varlıklar ve süreçlerin tespiti 2.Tehditlerin tespiti 3. Zayıflıkların Tespiti 4. Kontrol Analizi 8. Kontrol Seçimi 7. Risk Tespiti 6. Etki Analizi 5. Olasılık Tespiti 9Ri 9.Risk değerlendirme ğ di ve işleme Risk belirleme dokümantasyonu Risk analizi

50 Risk Yönetimi Süreci Risk Yönetimi Risk analizi süreci girdi ve çıktıları >> Bilgi / Data, Donanım, Yazılım, İletişim cihazları, Dokümanlar, Çevre ekipmanları, Personel, Kurum imajı 1.Varlıklar ve süreçlerin tespiti Sistem sınırları, ve fonksiyonları, kritik varlıklar, riske tabi tüm varlıkların listesi i varlıkların ve süreçlerin sahipleri (Alt süreç) (SLE i l l t T kil k tahmini ) Varlık Değerleme Değer atamada göz önünde bulundurulacak kriterler : a.genel mali değer bv b.varlığın lğ kaybedilmesi i durumunda d uğranılacak mali zarar c. Dolaylı kayıpların hesaplanması (SLE single loss expectancy - Tekil kayıp (ARO Annual Rate of Occurence- Yıllık tekrarlanma oranı ) Yıllık kayıp beklentisi (ALE Annual Loss Expectancy) Kontrol Maliyetlerinin Saptanması

51 Risk Yönetimi Süreci Risk Yönetimi Risk analizi süreci girdi ve çıktıları >> Saldırı kayıtları, uzman görüşleri, güncel açıklar, zararlı faaliyet geçmişi kayıtları, bilgi güvenliği kayıpları kayıtları 2.Tehditlerin tespiti Tehdit Listesi Tehdit örnekleri : Hatalar, işlevsel bozukluklar, arızalar, sahtekarlık, hırsızlık, sabotaj, saldırılar, zararlı yazılımlar

52 Risk Yönetimi Süreci Risk Yönetimi Risk analizi süreci girdi ve çıktıları >> Güvenlik test sonuçları, güvenlik denetim raporları, cihaz güvenlik duyuruları, personel psikolojisi, i yetkilendirmenin kötüye kullanımı 3. Zayıflıkların Tespiti Zayıflık Listesi Zayıflık Örnekleri Karmaşık kullanıcı arabirimi Kontrol edilmemiş kopyalama Kontrol edilmemiş merkezden güncelleme ve yazılım kullanımı Korunmasız bellek Binaya ve odalara fiziksel giriş kontrolünün dikkatsiz kullanımı Dıştan veya temizlik kadrosu tarafından gözetlenemeyen iş Dökümantasyon eksikliği İş istasyonun terk ederken oturumu kapatmamak Isı değişikliklerine karşı kolaylıkla etkilenebilme

53 Risk Yönetimi Süreci Risk Yönetimi Risk analizi süreci girdi ve çıktıları >> Varolan kontroller Planlanan kontroller 4. Kontrol Analizi Seçilmiş uygun ve maliyeti kabul edilebilir kontrollerin listesi KONTROLLER A.5 Güvenlik politikası A.6 Bilgi güvenliği organizasyonu A.7 Varlık yönetimi A.8 İnsan kaynakları güvenliği A.9 Fiziksel ve çevresel güvenlik A.10 Haberleşme ve işletim yönetimi A.11 Erişim kontrolü A.12 Bilgi sistemleri edinim, geliştirme ve bakımı A.13 Bilgi güvenliği ihlal olayı yönetimi A.14 İş sürekliliği yönetimi A.15 Uyum

54 Risk Yönetimi Süreci Risk Yönetimi Risk analizi süreci girdi ve çıktıları >> Tehdit kaynağı motivasyonu Tehditin büyüklüğü ğ Zayıflığın yapısı Varolan kontrollerin etkinliği 5. Olasılık Tespiti Olasılık Sonuçları Olasılık Seviyesi Olasılık Tanımı Yüksek Varolan kontroller, zayıflıkları kapatmaya ve tehditi önlemeye yeterli değil ve tehditin yaşanması çok olası Orta Tehdit ve zayıflıklar dikkate alınacak ölçüde fakat kontrollerin başetmesi mümkün Düşük İncelenen zayıflık ve tehditin kontrolleri aşması kolay değil ve gerçekleşmesi için yüksek bir motivasyon yok

55 Risk Yönetimi Süreci Risk Yönetimi Risk analizi süreci girdi ve çıktıları >> Misyona olan etkinin analizi Varlık kritiklik değerlendirmeleriğ Veri kritiklik değerlendirmeleri 6. Etki Analizi Bütünlük Erişilebilirlik Gizlilik açısından Etki Seviyeleri İş Etki Seviyesi Yüksek Orta Düşük Etki Seviyesi Tanımı İşin durması, iş fonksiyonlarından bazılarının telafisi zor biçimde kesintiye uğraması,önemli gizli bilgi ihlali ve maddi kayıp İşte geçici kesinti, gizli bilgilerin kısmen ifşası, orta derecede maddi ve kurumsal zarar İş üzerinde doğrudan etkisi olmayan durumlar, kabul edilebilir seviyede maddi ve kurumsal zarar

56 Risk Yönetimi Süreci Tehditin gerçeklenme olasılığı Etkinin büyüklüğü Planlanan veya seçilen kontrolün uygunluğu/yeterliliği 7. Risk Tespiti Riskler ve tanımlanmış risk seviyeleri Iş Etkisi * Tehdit Olasılık=Risk Puan Yüksek İş Etkisi Aralığı Olasılık Aralığı Yüksek Yüksek İş Et ki si Orta Orta Orta Düşük Düşük Düşük Risk Puanı Risk Seviyesi Yüksek Orta Düşük Orta Yüksek Düşük Tehdit Olasılığı

57 Risk Yönetimi Süreci Risk Yönetimi Risk analizi süreci girdi ve çıktıları >> Kabul edilebilir risk seviyesinin üstündeki risklerin listesi 8. Kontrol Seçimi Risk sağaltımı için gerekli kontrollerin gerekçeli listesi K l A li i Kontrol Analizi adımından gelen uygulanabilir kontroller listesi

58 Risk Yönetimi Süreci Risk Yönetimi Sistem sınırları, ve fonksiyonları, kritik varlıklar, riske tabi tüm varlıkların listesi varlıkların ve süreçlerin sahipleri Tehdit Listesi Zayıflık Listesi Seçilmiş uygun ve maliyeti kabul edilebilir kontrollerin listesi 9.Risk değerlendirme dokümantasyonu RİSK DEĞERLENDİRME ve İŞLEME PLANI Olasılık Sonuçları Etki Seviyeleri Riskler ve tanımlanmış risk seviyeleri

59 Risk Yönetimi Süreci Risk Yönetimi Risk İşleme Seçenekleri >> RİSK İŞLEME SEÇENEKLERİ Riskten Kaçınma Riski Üstlenme Risk Kontrol / Azaltma Risk Transferi

60 Risk Yönetimi Süreci Risk Yönetimi Risk Önceliklendirme Önerilen Kontrolleri Değerlendirme Maliyet-Fayda Analizi Öncelikli Risk Listesi Öncelikli Risk Listesi Maliyet Fayda Analizi Uygulama Planı Geliştirme Risk Sağaltım Planı Sorumlulukların Atanması Sorumlu Personel Listesi Kontrollerin Seçilmesi Seçilen Kontroller KONTROLLERİN UYGULANMASI ARTIK RİSK

61 Risk Yönetimi Süreci Risk Yönetimi Risk izleme ve kontrol >> Kontrol seçimi Kontrolün uygulanması Risk azaltma/tedavi HAYIR Kalan risk Kabul edilebilir mi Kalan / Artık Risk Riski tekrar değerlendirme EVET Risk İşleme Raporu

62 Risk Yönetimi Süreci Risk Yönetimi Uygulanabilirlik İfadesi >> EK-A da belirtilen kontrollerin listesi Risk Değerlendirme de ve Risk İşleme de EK-A dan Seçilen kontroller Uygulanmayan kontrollerin açıklanması Uygulama açıklamaları (doküman,süreç,plan,sahip vb.) SOA Uygulanabilirlik lik İfadesid i

63 BİLGİ GÜVENLİĞİ KONTROLLERİ Güvenlik Politikası Bilgi Güvenliği Organizasyonu Varlık Yönetimi İnsan Kaynakları Güvenliği Fiziksel Ve Çevresel Güvenlik Haberleşme ve İşletim Yönetimi Erişim Kontrolü Bilgi Sistemleri Edinim, Geliştirme ve Bakımı Bilgi Güvenliği İhlal Olayı Yönetimi İş Sürekliliği Yönetimi Uyum

64 BGYS nin Sertifikasyonu Sertifikasyon Temel Tanımları Belgelendirme ve Denetim Süreci Belgelendirme

65 Sertifikasyon Temel Tanımları Akreditasyon : Yetkili bir kuruluş tarafından, bir kuruluş ya da şahısın belli görevleri yürütmesi için yeterli olduğunun resmi olarak tanındığını gösteren prosedür. Belgelendirme : Üçüncü tarafın bir ürünün, sürecin ya da hizmetin belirtilen gereksinimlere uyduğuna yazılı olarak güvence verdiği prosedür.

66 Sertifikasyon Temel Tanımları Belgelendirme ve Denetim Süreci Akredite BGYS belgelendirmesi, bir krlş kuruluşun BGYS nin ISO/IEC de belirtilen gereksinimlerle uyumunu kontrol edilmesi için BGYS nin durumunun belirlenmesi ve denetim süreçlerini kapsar. Uyumun gösterilmesi ve belirlenmesi BGYS yapılan hazırlıkta kuruluşun, anahatları Madde 3.3 te belirtildiği şekilde, Planla aşaması nda geçen çeşitli faaliyetleri i tamamlamış olmasına ve bu faaliyetlerin i sonuçlarının yazıya dökülmesine ihtiyaç vardır. Kanıtın denetlenmesi Kuruluşun, BGYS yi kurduğunun ve gerçekleştirdiğinin ve bu BGYS nin işletimde olduğunun kanıtını denetçilere gösterme ihtiyacı vardır. Söz konusu kanıt, kuruluşun BGYS nin tanımından başlayarak işin bilgi güvenliği ihtiyaçlarına uygun yönetim prosedürleri ile kontrolleri sisteminin it ii gerçekleştirilmesi il i işlemlerini l i i yaptığını ortaya koymalıdır.

67 Sertifikasyon Temel Tanımları Belgelendirme ve Denetim Süreci (devam) : Hariç tutulan hususlar ve riskin kabul edilmesi Risk kabul ölçütünü karşılaması için gerekli olacağı düşünülerek tesis edilmiş yönetim kontrollerinden id herhangi h birisinin biiii hariç tutulmasının gerekçesi ortaya konulmalıdır. ld Yazıya dökülmüş bir yönetim sisteminin sunumu Kurulan BGYS nin çalışması ve etkin bir biçimde işlemesi; ISO/IEC e uyumlu olduğunu açıkça gösteren ve teyit eden bir dokümantasyon sistemi, ilgili kayıtlar ve başka kanıtlar ile desteklenmesi önemlidir.

68 Denetim Süreci 1 incii aşama denetim 1 inci aşama denetimin bir hedefi, belgelendirme kuruluşunun, kuruluşun güvenlik politika ve hedefleri kapsamındaki BGYS nin anlaşılmasını ve risk yönetim yaklaşımını ortaya konulmasını sağlamaktır. Bu denetim aşaması, kuruluşun denetim için ne kadar hazır olduğunun da kontrol edilmesi dl için de bir fırsat sunar. 1 inci aşama denetimi, 2 nci aşama denetimin başlamasından önce tamamlanması gereken bir belge gözden geçirme sürecini içerir. 2 nci aşama denetim 2 nci aşama denetim, 1 inci aşama denetim raporundaki bulgulara dayanır. Belgelendirme kuruluşu, bu bulgulara göre 2 nci aşama denetimi icra etmek için bir denetim planı yapar. 2 nci aşama denetimi, kuruluşta BGYS nin bulunduğu yerdeyapılır.

69 Denetim Süreci Belgelendirme : Sertifikasyon kuruluşunun denetim sonuçlarının kuruluşa aktarılması için çeşitli raporlama metotlarına ve işlemlerine uyması beklenir. Bu uyum, denetimin sonunda verilen resmî raporlar şeklinde olabileceği gibi,kuruluşun bulunduğu yerde denetim toplantıları sırasında verilen yazılı ve sözlü raporları da içerir. Söz konusu bu raporlar, kuruluşun BGYS nin ISO/IEC teki gereksinimlerine kii i uyum seviyesini ii de gösterir. öt Belgelendirme kararı Bir kuruluşa belge verilip verilmeyeceğinin kararı belgelendirme kuruluşu tarafından verilir. Bu karar, denetim sırasında toplanan bulgu ve bilgiler ışığında ş ğ verilir. Belgelendirme kararını verecek olan kişiler, denetimde yer almayan kişilerdir. Gözlem ve yeniden değerlendirme işlemleri Belgelendirme kuruluşunun, kuruluşun BGYS si üzerinde belli zaman aralıklarıyla gözlem denetimleri i yapması gerekir. Söz konusu bu izleme il denetimlerinin ii sıklığı, ğ belgelendirme l kuruluşunun sorumluluğundadır ve genellikle bir kuruluş altı ayda bir böyle bir denetim için ziyaret edilir.

70 BGYS ve Otomasyon Yönetim Sistemlerinde Otomasyon Otomasyon Araçları ve Yöntemleri ISO Otomasyonu Fayda/Maliyet Analizi

71 Yönetim Sistemlerinde Otomasyon Yönetim Sistemlerinin Otomasyonu, Sistemin etkin ve verimli çalıştırılabilmesi için, çeşitli araçlar ve yöntemler kullanmak yoluyla Yönetim Sistemi görevlerinin i veişleyişlerinin i l i i yürütülmesidir. üütül

72 Yönetim Sistemlerinde Otomasyon Otomasyon Yazılımı Bir Yönetim Sistemi yazılımı kullanmak, BGYS otomasyonu için vazgeçilmez bir unsurdur. Aksi takdirde otomasyonu sağlamak mümkün olmaz. İş Akışları Sadece yazılım kullanmak da kendi başına istenilen verimliliği ğ sağlayamayabilir. ğ BGYS Süreçlerinin İş Akışlarına sokularak, bu şekilde yürütülmesi verimlilik artışı ve önemli bir işgücü kazancı sağlayacaktır. Kağıtsız bir Yönetim Sistemi Otomasyonun uçtan uca olması önemlidir. Kağıt ortamına geçen bir doküman, sistemin otomasyon özelliğini kaybettirebilir. Tamamen kağıtsız bir Yönetim Sistemi uçtan uca otomasyonu sağlayacaktır.

73 ISO Yönetim Sistemi i Formalite Olarak Görülürse I Faydaları Belge alma, Rekabet avantajı sağlama, ihaleye girebilme vb. Maliyetleri Çalışanların Motivasyonsuzluğu Verimsiz çalışma Ekstra iş yükü Gerçek anlamda güvenliğe sahip olmama, daha kötüsü olduğunu sanma

74 ISO Yönetim Sistemi i gerçek anlamda uygulanırsa Faydaları Verimlilik artışı sağlar. Olası işleyiş hatalarını en alt seviyeye indirir. İş Akışlarının doğru ğ ve düzgün şekilde devam ettirilmesine il i katkı k sağlar. Çalışanların motivasyonlarının artmasını sağlar. Bilgi Güvenliği Risklerinin en alt seviyelere indirilmesini sağlar. Maliyetleri i Finansal maliyet getirebilir. Sistemin kurulu olmadığı ortamlara göre serbestliği bir miktar kısıtlayabilir ve çalışanların tepkisini çekebilir.

75 EDUCORE ISO Çözüm Modelleri Compliance Paketleri Core TkC : Toolkit Based Compliance Service Core TrC : Training Based Compliance Service Core AC : Audit Based Compliance Service

76 Core TkC : Toolkit Based Compliance Service Toolkit Uyum Paketi kurulumu şeklinde gerçekleştirilir. Amaç hazır bir uyum paketi yardımıyla sistem kurulumunu tamamlamak ve sistem kurulumu çözümü üretmektir. Kurulum çalışanlarla görüşmeler yapılarak gerçekleştirilir. Kurulum, Kullanıcı Eğitimleri ve Bilgilendirme Faaliyeti Sistem Kullanımı ve Çıktıları İzleme ve İyileştirme Faaliyeti

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kapsam - Terimler

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kapsam - Terimler Kapsam - Terimler K A P A M Kapsam u standard kuruluşun bağlamı dâhilinde bir bilgi güvenliği yönetim sisteminin kurulması, uygulanması,sürdürülmesi ve sürekli iyileştirilmesi için şartları kapsar. u standard

Detaylı

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ T. C. TÜRK STANDARDLARI ENSTİTÜSÜ TS ISO/IEC 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ, TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Sunucu: Gürol GÖKÇİMEN 25.10.2014 Türk Standardları Enstitüsü 1 Güvenlik;

Detaylı

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ T. C. TÜRK STANDARDLARI ENSTİTÜSÜ BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ, TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Sunucu: Gürol GÖKÇİMEN 1 Bilgi Güvenliği Yönetim Sistemi Bilgi : anlamlı veri, (bir kurumun

Detaylı

BİLGİ GÜVENLİĞİ POLİTİKASI

BİLGİ GÜVENLİĞİ POLİTİKASI Birliği liği B.G. PO.1 1/8 BGYS POLİTİKASI 2 1. AMAÇ.. 2 2.KAPSAM.. 2 3. TANIMLAR ve KISALTMALAR... 2 4. BİLGİ GÜVENLİĞİ HEDEFLERİ VE PRENSİPLERİ.. 3 5. BİLGİ GÜVENLİĞİ YAPISI VE ORGANİZASYONU... 3 BGYS

Detaylı

DOKÜMAN KODU YAYINLANMA TARİHİ REVİZYON NO REVİZYON TARİHİ SAYFA NO. BG-RH-01 01.03.2015 00 Sayfa 1 / 6

DOKÜMAN KODU YAYINLANMA TARİHİ REVİZYON NO REVİZYON TARİHİ SAYFA NO. BG-RH-01 01.03.2015 00 Sayfa 1 / 6 BG-RH-01 01.03.2015 00 Sayfa 1 / 6 BGYS Politikası Rehberi; T.C. Sağlık Bakanlığı Aydın Kamu Hastaneleri Birliği Genel Sekreterliği bünyesinde yürütülen bilgi güvenliği yönetim sistemi çalışmalarının kapsamını,

Detaylı

ANET Bilgi Güvenliği Yönetimi ve ISO 27001. Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011

ANET Bilgi Güvenliği Yönetimi ve ISO 27001. Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011 ANET Bilgi Güvenliği Yönetimi ve ISO 27001 2011 Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011 ISO 27001 AŞAMA 1 BGYS Organizasyonu BGYS kapsamının belirlenmesi Bilgi güvenliği politikasının oluşturulması BGYS

Detaylı

KASTAMONU HALK SAĞLIĞI MÜDÜRLÜĞÜ BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ POLİTİKASI. Kodu Yayınlama Tarihi Revizyon Tarihi Revizyon No Sayfa

KASTAMONU HALK SAĞLIĞI MÜDÜRLÜĞÜ BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ POLİTİKASI. Kodu Yayınlama Tarihi Revizyon Tarihi Revizyon No Sayfa BGYS POLİTİKASI...2 1. AMAÇ...2 2.KAPSAM...2 3. TANIMLAR ve KISALTMALAR...3 4. BİLGİ GÜVENLİĞİ HEDEFLERİ VE PRENSİPLERİ.3 5. BİLGİ GÜVENLİĞİ YAPISI VE ORGANİZASYONU...3 5.1.BGYS TAKIMI VE YETKİLERİ.....

Detaylı

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI KOD BY. PO.01 YAY. TRH 16.12.2015 REV. TRH REV. NO SAYFA NO 1/7 1. Amaç BGYS politikası, T.C. Sağlık Bakanlığı, TKHK İstanbul Anadolu Kuzey Genel Sekreterliği bünyesinde yürütülen bilgi güvenliği yönetim

Detaylı

İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ

İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ Ali Dinçkan, BTYÖN Danışmanlık İş sürekliliği, kurumun kritik süreçlerinin belirlenmesi, bu süreçlerin sürekliliği için gerekli çalışmaların

Detaylı

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ BT Strateji Yönetimi BT Hizmet Yönetim Politikası Sürüm No: 6.0 Yayın Tarihi: 26.02.2015 444 0 545 2012 Kamu İhale Kurumu Tüm hakları

Detaylı

ISO/IEC 27001:2013 REVİZYONU GEÇİŞ KILAVUZU

ISO/IEC 27001:2013 REVİZYONU GEÇİŞ KILAVUZU ISO/IEC 27001 in son versiyonu 01 Ekim 2013 tarihinde yayınlanmıştır. Standardın 2013 versiyonu, farklı sektör ve büyüklükteki firmaların gelişen bilgi güvenliği ve siber güvenlik tehditleri konularına

Detaylı

ITMS DAYS www.itmsdays.com. Information Technologies Management Systems Days

ITMS DAYS www.itmsdays.com. Information Technologies Management Systems Days ITMS DAYS Information Technologies Management Systems Days FİNANS PİYASALARINDA BİLGİ GÜVENLİĞİ VE ISO 27001 Dr. İzzet Gökhan ÖZBİLGİN Bilişim Uzmanı, SPK Finansal Piyasalar TAKASBANK Aracı Kuruluşlar

Detaylı

SAMSUN İLİ KAMU HASTANELERİ BİRLİĞİ GENEL SEKRETERLİĞİ GAZİ DEVLET HASTANESİ BİRLİK

SAMSUN İLİ KAMU HASTANELERİ BİRLİĞİ GENEL SEKRETERLİĞİ GAZİ DEVLET HASTANESİ BİRLİK KOD BY.PR.001 YAYIN TARİHİ 01.12.2015 REVİZYON TARİHİ 09.03.2016 REVİZYON NO 01 SAYFA NO/SAYISI 1/8 BGYS POLİTİKASI BGYS politikası, T.C. Sağlık Bakanlığı Türkiye Kamu Hastaneleri Kurumu Samsun Gazi Devlet

Detaylı

Cahide ÜNAL Mart 2011

Cahide ÜNAL Mart 2011 Cahide ÜNAL Mart 2011 Bilgi, bir kurumun en önemli değerlerinden birisidir ve sürekli korunması gerekir. TS ISO IEC 17799:2005 2 BİLGİ TÜRLERİ Kağıt üzerine basılmış, yazılmış Elektronik olarak saklanan

Detaylı

BGYS KAPSAMI BELİRLEME KILAVUZU

BGYS KAPSAMI BELİRLEME KILAVUZU ULUSAL ELEKTRONİK VE KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ Doküman Kodu: BGYS-0002 BGYS KAPSAMI BELİRLEME KILAVUZU SÜRÜM 1.00 21 03 2008 Hazırlayan: Ünal Perendi P.K. 74, Gebze, 41470 Kocaeli, TÜRKİYE Tel: (0262)

Detaylı

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ POLİTİKASI

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ POLİTİKASI BG.PO.01 01.10.2013 1/15 BGYS... 2 1. AMAÇ... 2 2. KAPSAM... 2 Kurumun Bilgi Güvenliği kapsam alanı yazılacak.... 2 3. TANIMLAR ve KISALTMALAR... 2 4. BİLGİ GÜVENLİĞİ HEDEFLERİ VE PRENSİPLERİ... 3 5. BİLGİ

Detaylı

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ İş Sürekliliği İş Sürekliliği Yönetim Sistemi Politikası Sürüm No: 5.0 Yayın Tarihi: 11.05.2014 444 0 545 2012 Kamu İhale Kurumu

Detaylı

ISO/IEC 27001 Özdeğerlendirme Soru Listesi

ISO/IEC 27001 Özdeğerlendirme Soru Listesi ISO/IEC 27001 Özdeğerlendirme Soru Listesi Bu soru listesindeki sorular, kurduğunuz/kuracağınız yönetim sistemdeki belirli alanlara daha fazla ışık tutmak, tekrar değerlendirerek gözden geçirmek ve denetime

Detaylı

ISO 27001:2013 BGYS BAŞTETKİKÇİ EĞİTİMİ

ISO 27001:2013 BGYS BAŞTETKİKÇİ EĞİTİMİ 1.Tetkik Gün Sayısı İle İlgili Tanımlar Tetkik Süresi: Bir tetkikte harcanan toplam zaman. Her tür tetkikte, tetkik zamanı bina turlarında geçen süreleri, planın dışında geçen süre, dokümanların gözden

Detaylı

POL.01 Rev.Tar/No:22.02.2012/1.0 HĠZMETE ÖZEL

POL.01 Rev.Tar/No:22.02.2012/1.0 HĠZMETE ÖZEL SAYFA 1 / 6 1. AMAÇ TÜRKSAT ın bilgi güvenliğini yönetmekteki amacı; bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirilerek içeriden ve/veya dışarıdan gelebilecek, kasıtlı veya kazayla

Detaylı

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri o MerSis Danışmanlık Hizmetleri Çalışanlarınız, tesisleriniz, üretim araçlarınız koruma altında! Bilgileriniz? danışmanlık hizmetlerimiz, en değerli varlıklarınız arasında yer alan bilgilerinizin gizliliğini,

Detaylı

ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ. Terimler Ve Tarifler. www.sisbel.biz

ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ. Terimler Ve Tarifler. www.sisbel.biz ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ Terimler Ve Tarifler 1 Kapsam 1.1 Genel Terimler Ve Tarifler Bu standart, bir hizmet yönetimi sistem (HYS) standardıdır. Bir HYS

Detaylı

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri MerSis Bağımsız Denetim Hizmetleri risklerinizin farkında mısınız? bağımsız denetim hizmetlerimiz, kuruluşların Bilgi Teknolojileri ile ilgili risk düzeylerini yansıtan raporların sunulması amacıyla geliştirilmiştir.

Detaylı

UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5

UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5 UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5 1. AMAÇ Türksat İnternet ve İnteraktif Hizmetler Direktörlüğü nün bilgi güvenliğini yönetmekteki amacı; bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında

Detaylı

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ POLİTİKASI

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ POLİTİKASI BG.PR... 06.02.2015 1 / 11 BOLU HALK SAĞLIĞI MÜDÜRLÜĞÜ BGYS POLİTİKASI... 2 1. AMAÇ... 2 2. KAPSAM... 2 3. TANIMLAR ve KISALTMALAR... 2 4. BİLGİ GÜVENLİĞİ HEDEFLERİ VE PRENSİPLERİ... 3 5. BİLGİ GÜVENLİĞİ

Detaylı

İş Sürekliliği Yönetimi ve İşe Etki Analizi için bir uygulama örneği

İş Sürekliliği Yönetimi ve İşe Etki Analizi için bir uygulama örneği İş Sürekliliği Yönetimi ve İşe Etki Analizi için bir uygulama örneği Zeki Yazar, Siemens Sanayi ve Ticaret A.Ş. Sayfa 1 Bir uygulama örneği olarak Siemens İş Sürekliliği Yönetimi İşe Etki Analizi Sayfa

Detaylı

YÖNETİM SİSTEMLERİ. TS EN ISO 9001-2000 Kalite Yönetim Sistemi TS EN ISO 14001 Çevre Yönetim Sistemi TS (OHSAS) 18001 İSG Yönetim Sistemi

YÖNETİM SİSTEMLERİ. TS EN ISO 9001-2000 Kalite Yönetim Sistemi TS EN ISO 14001 Çevre Yönetim Sistemi TS (OHSAS) 18001 İSG Yönetim Sistemi YÖNETİM SİSTEMLERİ Ülkemiz kuruluşları da Kalite, Çevre ve İş sağlığı ve güvenliği konularına verdikleri önemi göstermek, etkinlik ve verimliliği artırmak amacıyla Yönetim Sistemlerine geçiş için uğraş

Detaylı

Tetkik Gün Sayısı Tespiti www.sisbel.biz

Tetkik Gün Sayısı Tespiti www.sisbel.biz ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ Tetkik Gün Sayısı Tespiti 1.Tetkik Gün Sayısı İle İlgili Tanımlar Tetkik Süresi: Bir tetkikte harcanan toplam zaman. Her tür tetkikte,

Detaylı

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Planlama - Destek

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Planlama - Destek Planlama - Destek Risk ve fırsatları ele alan faaliyetler enel ilgi güvenliği yönetim sistemi planlaması yaparken, kuruluş Madde 4.1 de atıf yapılan hususları ve Madde 4.3. de atıf yapılan şartları göz

Detaylı

Farkındalılık ISO 9001 Kalite Yönetim Sistemi Eğitimi. Uygulama ve başarımın anahtarları

Farkındalılık ISO 9001 Kalite Yönetim Sistemi Eğitimi. Uygulama ve başarımın anahtarları ISO 9001 Kalite Yönetim Sistemi Eğitimi Uygulama ve başarımın anahtarları 1 Genel Eğitim Hakkında Kalite ve Yönetim Sistemi Kavramlar ve amaçlar TKY ve Kalite Yönetim Sistemi Standart maddeleri Fayda sağlamanın

Detaylı

1. AŞAMA TETKİK PROSEDÜRÜ

1. AŞAMA TETKİK PROSEDÜRÜ PR 1 16.4.27 1 / 6 REVİZYON BİLGİSİ REVİZYON NO AÇIKLAMA Rev. İlk yayın BU DOKÜMAN SİSTEM DENETİM BELGELENDİRME NİN ÖZEL DOKÜMANIDIR. İZİNSİZ KOPYALANAMAZ 1. AMAÇ ve KAPSAM: PR 1 16.4.27 2 / 6 Bu prosedür,

Detaylı

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ BT Strateji Yönetimi BT Hizmet Yönetim Politikası Sürüm No: 5.0 Yayın Tarihi: 14.07.2014 444 0 545 2012 Kamu İhale Kurumu Tüm hakları

Detaylı

KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI REHBERİ. Ramazan ŞENER Mali Hizmetler Uzmanı. 1.Giriş

KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI REHBERİ. Ramazan ŞENER Mali Hizmetler Uzmanı. 1.Giriş KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI REHBERİ 1.Giriş Ramazan ŞENER Mali Hizmetler Uzmanı Kamu idarelerinin mali yönetimini düzenleyen 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu 10.12.2003

Detaylı

ISO 27001 Kurumsal Bilgi Güvenliği Standardı. Şenol Şen

ISO 27001 Kurumsal Bilgi Güvenliği Standardı. Şenol Şen ISO 27001 Kurumsal Bilgi Güvenliği Standardı Şenol Şen Bilgi Güvenliği Kavramı Bilgi güvenliği, bir varlık türü olarak bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme,

Detaylı

Laboratuvar Akreditasyonu

Laboratuvar Akreditasyonu Akreditasyon Laboratuvar, muayene ve belgelendirme kuruluşlarının ulusal ve uluslararası kabul görmüş teknik kriterlere göre değerlendirilmesi, yeterliliğin onaylanması ve düzenli aralıklarla denetlenmesi

Detaylı

İSTANBUL ÜNİVERSİTESİ DÖNER SERMAYE İŞLETME MÜDÜRLÜĞÜ HİZMET İÇİ EĞİTİM SUNUMU 02 MAYIS 2014

İSTANBUL ÜNİVERSİTESİ DÖNER SERMAYE İŞLETME MÜDÜRLÜĞÜ HİZMET İÇİ EĞİTİM SUNUMU 02 MAYIS 2014 İSTANBUL ÜNİVERSİTESİ DÖNER SERMAYE İŞLETME MÜDÜRLÜĞÜ HİZMET İÇİ EĞİTİM SUNUMU 02 MAYIS 2014 İÇ KONTROL SİSTEMİ VE KAMU İÇ KONTROL STANDARTLARI DERLEYEN CUMALİ ÇANAKÇI Şube Müdürü SUNUM PLANI İç Kontrol

Detaylı

(2. AŞAMA) SAHA TETKİKİ PROSEDÜRÜ

(2. AŞAMA) SAHA TETKİKİ PROSEDÜRÜ 16.4.27 1 / 6 REVİZYON BİLGİSİ REVİZYON NO AÇIKLAMA Rev. İlk yayın BU DOKÜMAN SİSTEM DENETİM BELGELENDİRME NİN ÖZEL DOKÜMANIDIR. İZİNSİZ KOPYALANAMAZ 1. AMAÇ ve KAPSAM: 16.4.27 2 / 6 Bu prosedür, 2 aşamalı

Detaylı

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ Bilgi Güvenliği Bilgi Güvenliği Yönetim Sistemi Politikası Sürüm No: 4.0 Yayın Tarihi:11.05.2014 444 0 545 2012 Kamu İhale Kurumu

Detaylı

ENTEGRE YÖNETİM SİSTEMİ YAZILIMI

ENTEGRE YÖNETİM SİSTEMİ YAZILIMI ENTEGRE YÖNETİM SİSTEMİ YAZILIMI QSA ENTEGRE YÖNETİM SİSTEMİ YAZILIMI Entegre Yönetim Sistemi; yönetim sistemlerinin tek çatı altında toplandığı ve gereklerin aynı anda karşılandığı bütünsel uygulanan

Detaylı

BAŞ DENETÇİ PROGRAMLARI

BAŞ DENETÇİ PROGRAMLARI BAŞ DENETÇİ PROGRAMLARI İçindekiler ISO 9001:2008 Baş Denetçi Eğitimi... ISO 14001:2004 Baş Denetçi Eğitimi... OHSAS 18001:2007 Baş Denetçi Eğitimi... ISO 22000:2005 Baş Denetçi Eğitimi... ISO 9001:2008

Detaylı

TETKİK SÜRELERİ BELİRLEME TALİMATI

TETKİK SÜRELERİ BELİRLEME TALİMATI Sayfa No 1/11 1. AMAÇ Tetkik tipleri ve kuruluş yapısı dikkate alındığında tetkikler için harcanacak adam/gün sayılarını ve ücretlerini belirlemektir. 2. KAPSAM Bu prosedürün uygulanmasından Planlama Sorumlusu,

Detaylı

DOK-004 BGYS Politikası

DOK-004 BGYS Politikası DOK-004 BGYS Politikası 1/7 Hazırlayanlar İsim Şule KÖKSAL Ebru ÖZTÜRK Döndü Çelik KOCA Unvan Defterdarlık Uzmanı Defterdarlık Uzmanı Çözümleyici Onaylayan İsim Mustafa AŞÇIOĞLU Unvan Genel Müdür Yardımcısı

Detaylı

ARAŞTIRMA VE GELİŞTİRME DAİRESİ BAŞKANLIĞI TARAFINDAN PİLOT SEÇİLEN BÖLGELERDE YÜRÜTÜLEN ÇALIŞMALAR

ARAŞTIRMA VE GELİŞTİRME DAİRESİ BAŞKANLIĞI TARAFINDAN PİLOT SEÇİLEN BÖLGELERDE YÜRÜTÜLEN ÇALIŞMALAR ARAŞTIRMA VE GELİŞTİRME DAİRESİ BAŞKANLIĞI TARAFINDAN PİLOT SEÇİLEN BÖLGELERDE YÜRÜTÜLEN ÇALIŞMALAR Yönetim anlayışındaki değişimler "önce insan" anlayışıyla şekillenen, müşteri odaklı, süreçlerle yönetilen,

Detaylı

OHSAS 18001 İş Sağlığı Ve Güvenliği Yönetim Sistemi (Occupational Health and Safety Management System)

OHSAS 18001 İş Sağlığı Ve Güvenliği Yönetim Sistemi (Occupational Health and Safety Management System) OHSAS 18001 İş Sağlığı Ve Güvenliği Yönetim Sistemi (Occupational Health and Safety Management System) Kuruluşlarda karşılaşılan en önemli sorunlardan biri, çalışanların emniyetli ve sağlıklı bir çalışma

Detaylı

ISO-BGYS-PL-02 Bilgi Güvenliği Politikası

ISO-BGYS-PL-02 Bilgi Güvenliği Politikası ISO-BGYS-PL-02 Bilgi Güvenliği Politikası İlk Yayın Tarihi : 08.10.2015 *Tüm şirket çalışanlarının görebileceği, şirket dışı kişilerin görmemesi gereken dokümanlar bu sınıfta yer alır. ISO-BGYS-PL-02 08.10.2015

Detaylı

İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ

İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ Ohsas 18001 Endüstrinin değişik dallarında faaliyet gösteren kuruluşların, faaliyet konularını yerine getirirken, İş Sağlığı ve Güvenliği konusunda da, faaliyet

Detaylı

HACCP Sistem Tetkikine Ait Resmi Form Resmi Kontrol Rapor No:

HACCP Sistem Tetkikine Ait Resmi Form Resmi Kontrol Rapor No: EK-5 HACCP Sistem Tetkikine Ait Resmi Form Resmi Kontrol Rapor No: TARİH: İNCELENECEK HUSUSLAR A) GENEL 1. İşyeri teknik ve hijyenik açıdan bu yönetmelikte belirtilen koşullara sahip mi? 2. El kitabı ön

Detaylı

HATAY SAĞLIK MÜDÜRLÜĞÜ HATAY SAĞLIK MÜDÜRLÜĞÜ RİSK DEĞERLENDİRME PROSEDÜRÜ

HATAY SAĞLIK MÜDÜRLÜĞÜ HATAY SAĞLIK MÜDÜRLÜĞÜ RİSK DEĞERLENDİRME PROSEDÜRÜ RİSK DEĞERLENDİRME PROSEDÜRÜ.AMAÇ Bu prosedürün, Hatay İl Sağlık Müdürlüğü, İl Ambulans Servisi Başhekimliği, İlçe Sağlık Müdürlükleri bünyesinde faaliyetleri sırasında oluşabilecek potansiyel tehlikelerin

Detaylı

Yöneticiler için Bilgi Güvenliği

Yöneticiler için Bilgi Güvenliği Yöneticiler için Bilgi Güvenliği GÜVENLİĞİ SAĞLAMAK İÇİN EN KRİTİK ROL YÖNETİM ROLÜDÜR 11.2.2015 1 Tanışma Çağan Cebe Endüstri Mühendisi Barikat Profesyonel Hizmetler - Yönetim Sistemleri Uzmanı 4 Yıl

Detaylı

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR.

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR. 13.07.2014 tarih ve 29059 sayılı resmi gazete ile yürürlüğe giren Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği ile Bilgi Teknolojileri ve İletişim Kurumu (BTK) elektronik haberleşme

Detaylı

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ ÖZEL ENTEGRASYON YÖNTEMİ NEDİR? Elektronik faturalamada uzmanlaşmış bir kurumun, başka mükelleflerin faturalarını göndermek ve almak amacıyla kendi sistemini

Detaylı

TÜRK AKREDİTASYON KURUMU R20.08

TÜRK AKREDİTASYON KURUMU R20.08 R20.08 LABORATUVARLARDA YÖNETİMİN GÖZDEN GEÇİRME FAALİYETİ Rev.00 03-2002 1. GİRİŞ 1.1 TS EN ISO/IEC 17025 (2000) Deney ve Kalibrasyon Laboratuvarlarının Yeterliliği için Genel Şartlar standardında bir

Detaylı

ISO 27001:2013 BGYS BAŞTETKİKÇİ EĞİTİMİ

ISO 27001:2013 BGYS BAŞTETKİKÇİ EĞİTİMİ Aşama Bir Tetkik 1. Aşama Bir Tetkik İçin Genel Hazırlık Dokümantasyonunun tedarik edilmesi, Tüm mekanlara ve kayıtlara erişim (bilgi güvenliğinin bağımsız incelemelerine ilişkin raporlar ve iç denetim

Detaylı

BGYS ve BGYS Kurma Deneyimleri

BGYS ve BGYS Kurma Deneyimleri BGYS ve BGYS Kurma Deneyimleri 6. Kamu Kurumları BT Güvenliği Konferansı - 8 Haziran 2011 Fikret Ottekin Bilişim Sistemleri Güvenliği Grubu ISO 9001 ve ISO 27001 Süreç tabanlı sistemler (örnek): ISO 9001

Detaylı

EKLER. EK 12UY0106-4/A5-2: Yeterlilik Biriminin Ölçme ve Değerlendirmesinde Kullanılacak Kontrol Listesi

EKLER. EK 12UY0106-4/A5-2: Yeterlilik Biriminin Ölçme ve Değerlendirmesinde Kullanılacak Kontrol Listesi EKLER EK 12UY0106-4/A5-1: nin Kazandırılması için Tavsiye Edilen Eğitime İlişkin Bilgiler Bu birimin kazandırılması için aşağıda tanımlanan içeriğe sahip bir eğitim programının tamamlanması tavsiye edilir.

Detaylı

www.pwc.com.tr/siberguvenlik Dijital geleceğinizi güven altına almak için Bilgi Güvenliği ve Siber Güvenlik Hizmetlerimiz

www.pwc.com.tr/siberguvenlik Dijital geleceğinizi güven altına almak için Bilgi Güvenliği ve Siber Güvenlik Hizmetlerimiz www.pwc.com.tr/sibergunlik Dijital geleceğinizi gün altına almak için Bilgi Günliği Siber Günlik Hizmetlerimiz Günli bir gelecek için Herşeyi günli hale getirmek mümkün değil. Kurumsal Öncelikleriniz kurumunuz

Detaylı

Bilgi Sistemleri Risk Yönetim Politikası

Bilgi Sistemleri Risk Yönetim Politikası POLİTİKASI Sayfa :1/7 Bilgi Sistemleri Risk Yönetim Politikası Doküman Bilgileri Adı: Bilgi Sistemleri Risk Yönetim Politikası Doküman No: 01 Revizyon No: İlk yayındır Doküman Tarihi: 01.10.2014 Referans

Detaylı

MerSis. Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri

MerSis. Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri MerSis Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri Bilgi Teknolojileri risklerinize karşı aldığınız önlemler yeterli mi? Bilgi Teknolojileri Yönetimi danışmanlık hizmetlerimiz, Kuruluşunuzun Bilgi

Detaylı

1- Neden İç Kontrol? 2- İç Kontrol Nedir?

1- Neden İç Kontrol? 2- İç Kontrol Nedir? T.C. İÇİŞLERİ BAKANLIĞI KİHBİ Dairesi Başkanlığı 10 SORUDA İÇ KONTROL MAYIS 2014 ANKARA 1- Neden İç Kontrol? Dünyadaki yeni gelişmeler ışığında yönetim anlayışı da değişmekte ve kamu yönetimi kendini sürekli

Detaylı

KAYISI ARAŞTIRMA İSTASYONU MÜDÜRLÜĞÜ EK 3.4 KALİTE YÖNETİM / İÇ KONTROL BİRİMİ

KAYISI ARAŞTIRMA İSTASYONU MÜDÜRLÜĞÜ EK 3.4 KALİTE YÖNETİM / İÇ KONTROL BİRİMİ KAYISI ARAŞTIRMA İSTASYONU MÜDÜRLÜĞÜ EK 3.4 KALİTE YÖNETİM / İÇ KONTROL BİRİMİ Kalite Yöneticisi Dök.No KAİM.İKS.FRM.081 Sayfa No 1/ 3 İŞİN KISA TANIMI: Kayısı Araştırma İstasyonu Müdürlüğü üst yönetimi

Detaylı

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi KURUMLAR İÇİN SİBER GÜVENLİK ÖNLEMLERİNİ ÖLÇME TESTİ DOKÜMANI Kurumlar İçin Siber Güvenlik Önlemlerini Ölçme Testi Dokümanı, kamu kurum ve kuruluşları ile özel sektör temsilcilerinin siber güvenlik adına

Detaylı

Mikro Bilgi Kayıt ve Dağıtım A.Ş Kalite Yönetim Temsilcisi. Şenay KURT senay.kurt@mikrobilgi.com.tr

Mikro Bilgi Kayıt ve Dağıtım A.Ş Kalite Yönetim Temsilcisi. Şenay KURT senay.kurt@mikrobilgi.com.tr Mikro Bilgi Kayıt ve Dağıtım A.Ş Kalite Yönetim Temsilcisi Şenay KURT senay.kurt@mikrobilgi.com.tr Standart Nedir? Standardizasyon; belirli bir faaliyetle ilgili olarak ekonomik yarar sağlamak üzere bütün

Detaylı

Kalibrasyon/Deney Sonuçlarının Raporlanması ve Yorumlanması

Kalibrasyon/Deney Sonuçlarının Raporlanması ve Yorumlanması Kalibrasyon/Deney Sonuçlarının Raporlanması ve Yorumlanması Saliha TURHAN Kalite 13, 6. Kontrol, Metroloji, Test Ekipmanları ve Endüstriyel Yazılım Fuarı İstanbul, 16/11/2013 İçerik Sonuçların raporlanması

Detaylı

COBIT Bilgi Sistemleri Yönetimi. Şubat 2009

COBIT Bilgi Sistemleri Yönetimi. Şubat 2009 COBIT Bilgi Sistemleri Yönetimi Şubat 2009 Gündem Bilgi Sistemleri Yönetimi Bilgi Sistemleri Süreçleri Bilgi Sistemleri Yönetimi Uygulama Yol Haritası Bilgi Sistemleri (BS) Yönetimi Bilgi Sistemleri Yönetimi,

Detaylı

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ SİBER GÜVENLİK FARKINDALIĞI 01.11.2013 Koray ATSAN korayatsan@kamusgd.org.tr Derneğimiz hakkında Kamu Siber Güvenlik Derneği 2013 yılında kuruldu. Temel Amaç : Ülkemizde

Detaylı

KKTC MERKEZ BANKASI. BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ

KKTC MERKEZ BANKASI. BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ KKTC MERKEZ BANKASI BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ İçindekiler Giriş... 1 1 Amaç... 1 2 Bilgi Güvenliği Politikaları... 1

Detaylı

RİSK YÖNETİMİ İÇERİK: Risk Yönetimi Nedir? Risk Yönetiminin Faydaları Kritik Başarı Faktörleri Risk ile İlgili Tanımlar Görev ve Sorumluluklar

RİSK YÖNETİMİ İÇERİK: Risk Yönetimi Nedir? Risk Yönetiminin Faydaları Kritik Başarı Faktörleri Risk ile İlgili Tanımlar Görev ve Sorumluluklar RİSK YÖNETİMİ İÇERİK: Risk Yönetimi Nedir? Risk Yönetiminin Faydaları Kritik Başarı Faktörleri Risk ile İlgili Tanımlar Görev ve Sorumluluklar STRATEJİ GELİŞTİRME BAŞKANLIĞI 2 Nedir Risk Yönetimi Nedir

Detaylı

GİRİŞ. A. İç Kontrolün Tanımı, Özellikleri ve Genel Esasları:

GİRİŞ. A. İç Kontrolün Tanımı, Özellikleri ve Genel Esasları: GİRİŞ 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu ile kamu da mali yönetim ve kontrol sisteminin bütünüyle değiştirilerek, uluslararası standartlara ve Avrupa Birliği Normlarına uygun hale getirilmesi

Detaylı

BİLGİ GÜVENLİĞİ. İsmail BEZİRGANOĞLU İdari ve Mali İşler Müdürü Türkeli Devlet Hastanesi

BİLGİ GÜVENLİĞİ. İsmail BEZİRGANOĞLU İdari ve Mali İşler Müdürü Türkeli Devlet Hastanesi BİLGİ GÜVENLİĞİ İsmail BEZİRGANOĞLU İdari ve Mali İşler Müdürü Türkeli Devlet Hastanesi 2015 20.10.2012 tarihli Resmi Gazete de yayımlanan Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi

Detaylı

YÖNETİM SİSTEMLERİ. Alev ACAR Çevre Mühendisi Yönetim Sistemleri Uzmanı

YÖNETİM SİSTEMLERİ. Alev ACAR Çevre Mühendisi Yönetim Sistemleri Uzmanı YÖNETİM SİSTEMLERİ Alev ACAR Çevre Mühendisi Yönetim Sistemleri Uzmanı Genel Bilgilendirme Çevre Yönetim Sistemi (ISO 14001) İş Sağlığı ve Güvenliği Yönetim Sistemi (OHSAS 18001) Sosyal Sorumluluk Standardı

Detaylı

İŞ SAĞLIĞI VE GÜVENLİĞİ TEMEL EĞİTİMİ. Eğitimin Amacı

İŞ SAĞLIĞI VE GÜVENLİĞİ TEMEL EĞİTİMİ. Eğitimin Amacı 1 ISO EĞİTİMLERİ İŞ SAĞLIĞI VE GÜVENLİĞİ TEMEL EĞİTİMİ İş sağlığı ve iş güvenliğinin sağlanması amacıyla iş kanunu gereği tüm çalışanların bu konuda bilgilendirilmesi İSG kanunu, yasal ve mevzuat şartları

Detaylı

İŞ YATIRIM MENKUL DEĞERLER A.Ş. İŞ SÜREKLİLİĞİ PLANLAMASI A. AMAÇ

İŞ YATIRIM MENKUL DEĞERLER A.Ş. İŞ SÜREKLİLİĞİ PLANLAMASI A. AMAÇ Sayfa No: 1/7 A. AMAÇ Bu politika, nin deprem, yangın, fırtına, sel gibi doğal afetler ile sabotaj, donanım veya yazılım hatası, elektrik ve telekomünikasyon kesintileri gibi önceden tahmin edilebilen

Detaylı

KALİTE YÖNETİM SİSTEMLERİ YAZILIMI

KALİTE YÖNETİM SİSTEMLERİ YAZILIMI KALİTE YÖNETİM SİSTEMLERİ YAZILIMI QSAP KALİTE YÖNETİM SİSTEMLERİ YAZILIMI Yönetim Sistemi; Politika ve hedefleri oluşturmak ve bunları gerçekleştirmek için kullanılan sistemdir. QSAP; ISO Yönetim Sistemleri

Detaylı

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ igur@gelirler.gov.tr Kaynak: GIB ÖZEL ENTEGRASYON NEDİR? Başka mükelleflerin faturalarını göndermek ve almak amacıyla bilgi işlem sisteminin Başkanlık sistemiyle

Detaylı

BİLGİ GÜVENLİĞİ VE BİLGİ İŞLEM PROSEDÜRÜ

BİLGİ GÜVENLİĞİ VE BİLGİ İŞLEM PROSEDÜRÜ 1.AMAÇ: Kurumun otomasyon üzerindeki tüm bilgilerinin yönetimini, korunmasını, dağıtımını ve önemli işlevlerinin korunmasını düzenleyen kuralları ve uygulamaları belirlemeyi amaçlar. 2. KAPSAM: Bu talimat,

Detaylı

Sayı : B.13.1.SGK.0.(İÇDEN).00.00/04 18/01/2008 Konu : İç Denetim Birimi GENELGE 2008/8

Sayı : B.13.1.SGK.0.(İÇDEN).00.00/04 18/01/2008 Konu : İç Denetim Birimi GENELGE 2008/8 Sayı : B.13.1.SGK.0.(İÇDEN).00.00/04 18/01/2008 Konu : İç Denetim Birimi GENELGE 2008/8 Bilindiği üzere; 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu ile yeni mali yönetim ve kontrol sisteminin gereği

Detaylı

10 SORUDA İÇ KONTROL

10 SORUDA İÇ KONTROL T.C. İÇİŞLERİ BAKANLIĞI Avrupa Birliği ve Dış İlişkiler Dairesi Başkanlığı 10 SORUDA İÇ KONTROL 1 Neden İç Kontrol? Dünyadaki yeni gelişmeler ışığında yönetim anlayışı da değişmekte ve kamu yönetimi kendini

Detaylı

T.C. TUŞBA BELEDİYESİ

T.C. TUŞBA BELEDİYESİ T.C. TUŞBA BELEDİYESİ İç Kontrol Standartları EYLEM PLANI 1 1. İÇ KONTROL SİSTEMİNİNİN GENEL ESASLARI Amaç 5018 sayılı Kanunun 56 ncı maddesinde iç kontrolün amaçları; Kamu gelir, gider, varlık ve yükümlülüklerinin

Detaylı

RİSK ANALİZ PROSEDÜRÜ

RİSK ANALİZ PROSEDÜRÜ 1.AMAÇ Karacabey Devlet Hastanesi faaliyetleri sırasında oluşabilecek potansiyel tehlikelerin ve bunlara ilişkin risklerin belirlenmesi, böylelikle beklenen veya olası risklerin kontrol altına alınmasına

Detaylı

T.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı

T.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı T.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı SORU VE CEVAPLARLA İÇ KONTROL Ankara-2012 İÇİNDEKİLER 1 Neden İç Kontrol? 2 İç Kontrol Nedir? 3 İç Kontrolün Amacı Nedir? 4 İç Kontrolün Yasal

Detaylı

KOMİTELER VE ÇALIŞMA ESASLARI

KOMİTELER VE ÇALIŞMA ESASLARI KOMİTELER VE ÇALIŞMA ESASLARI KURUMSAL YÖNETİM KOMİTESİ ÜYELER VE ÇALIŞMA ESASLARI 1- AMAÇ Bu düzenlemenin amacı Lokman Hekim Engürüsağ Sağlık, Turizm, Eğitim Hizmetleri ve İnşaat A.Ş. Yönetim Kurulu tarafından

Detaylı

LABORATUVAR AKREDİTASYON BAŞKANLIĞI

LABORATUVAR AKREDİTASYON BAŞKANLIĞI TÜRK AKREDİTASYON KURUMU LABORATUVAR AKREDİTASYON BAŞKANLIĞI Soner Karataş Standardı ve EA 2/17 Revizyon Değişiklikleri 08 Ekim 2015 İstanbul 1 Kapsam Akreditasyon ve Uluslararası Durum ISO 17025 Standardının

Detaylı

Laboratuvar Akreditasyonu

Laboratuvar Akreditasyonu Laboratuvar Akreditasyonu Akreditasyon, Laboratuvarların, Muayene Belgelendirme ve Yeterlilik Deneyi Sağlayıcı Kuruluşlarının Ulusal ve Uluslararası Kabul Görmüş Teknik Kriterlere Göre Değerlendirilmesi,

Detaylı

BİLGİ GÜVENLİĞİ POLİTİKASI

BİLGİ GÜVENLİĞİ POLİTİKASI Doküman No: EBG-GPOL-01 Revizyon No: 01 Tarih:01.08.2011 Sayfa No: 1/5 Amaç: Bu Politikanın amacı E-TUĞRA EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. nin ve hizmet sunduğu birimlerin sahip olduğu bilgi

Detaylı

YÖNETİMİN SORUMLULUĞU PROSEDÜRÜ

YÖNETİMİN SORUMLULUĞU PROSEDÜRÜ 1. AMAÇ Doküman No: P / 5.1 Revizyon No : 0 Sayfa : 1 / 5 Yayın Tarihi: 19.01.2010 Bu prosedürün amacı, İ.Ü. İstanbul Tıp Fakültesi Yönetimi nin Kalite Politikası ve hedeflerini oluşturmak, yönetim sistemini

Detaylı

YZM5604 Bilgi Güvenliği Yönetimi. 25 Kasım 2014. Dr. Orhan Gökçöl. http://akademik.bahcesehir.edu.tr/~gokcol/yzme5604

YZM5604 Bilgi Güvenliği Yönetimi. 25 Kasım 2014. Dr. Orhan Gökçöl. http://akademik.bahcesehir.edu.tr/~gokcol/yzme5604 YZM5604 Bilgi Güvenliği Yönetimi 25 Kasım 2014 Dr. Orhan Gökçöl http://akademik.bahcesehir.edu.tr/~gokcol/yzme5604 Bahçeşehir Üniversitesi, Fen Bilimleri Enstitüsü Duyuru Proje Grupları Oluşturma => YARIN

Detaylı

İSYS Süreçleri ve Yönetim Sistemleri İçindeki Yeri. Burak Bayoğlu (CISM, CISA, CISSP) TÜBİTAK UEKAE. bayoglu@uekae.tubitak.gov.tr

İSYS Süreçleri ve Yönetim Sistemleri İçindeki Yeri. Burak Bayoğlu (CISM, CISA, CISSP) TÜBİTAK UEKAE. bayoglu@uekae.tubitak.gov.tr İSYS Süreçleri ve Yönetim Sistemleri İçindeki Yeri Burak Bayoğlu (CISM, CISA, CISSP) TÜBİTAK UEKAE bayoglu@uekae.tubitak.gov.tr Sunu Planı İSYS Yaşam Döngüsü ve Motivasyon COBIT 4.1 (TS) ISO/IEC 27001

Detaylı

BS 8800 İŞ SAĞLIĞI VE İŞ GÜVENLİĞİ YÖNETİM REHBER STANDARDI

BS 8800 İŞ SAĞLIĞI VE İŞ GÜVENLİĞİ YÖNETİM REHBER STANDARDI BS 8800 İŞ SAĞLIĞI VE İŞ GÜVENLİĞİ YÖNETİM REHBER STANDARDI Dr. Handan TOPÇUOĞLU Ph.D. Dr. Şenay ÖZDEMIR Ph.D. İdeal İş sağlığı Ltd.şti. (HS(G)65 BAŞARILI SAĞLIK VE GÜVENLİK YÖNETİM SİSTEMLERİNİ (UK) TEMEL

Detaylı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı Formal Doküman Detayları Hazırlanma Tarihi 20 Eylül 2012 Yayın Taslak Hazırlayan Ersun Ersoy

Detaylı

Prosedür El Kitabı. İtiraz ve Şikayetleri Değerlendirme Prosedürü A - TS EN ISO / IEC 17020 Kapsamındaki İtiraz ve Şikayetler

Prosedür El Kitabı. İtiraz ve Şikayetleri Değerlendirme Prosedürü A - TS EN ISO / IEC 17020 Kapsamındaki İtiraz ve Şikayetler AMAÇ : Şikayet ve itirazların nasıl ele alındığına dair proseslerin tanımlanması. OMEKS Sertifikasyon bünyesinde TS EN ISO / IEC 17020 standardı kapsamında gerçekleştirilen muayene ve deney sonuçlarına

Detaylı

P704. Revizyon No : 05 Yürürlük Tarihi : 17.12.2014. Yeterlilik Deneyleri ve Laboratuvarlar Arası Karşılaştırma Programları Prosedürü

P704. Revizyon No : 05 Yürürlük Tarihi : 17.12.2014. Yeterlilik Deneyleri ve Laboratuvarlar Arası Karşılaştırma Programları Prosedürü P704 Revizyon No : 05 Yürürlük Tarihi : 17.12.2014 Yeterlilik Deneyleri ve Laboratuvarlar Arası Karşılaştırma Programları Prosedürü Sayfa 1 / 6 1. AMAÇ Bu prosedürün amacı, TÜRKAK tarafından akredite olmak

Detaylı

SAĞLIK HİZMETLERİNDE KALİTE YÖNETİM VE ORGANİZASYON YAPISI NASIL OLMALI? MPHG KALİTE YÖNETİM MODELİ

SAĞLIK HİZMETLERİNDE KALİTE YÖNETİM VE ORGANİZASYON YAPISI NASIL OLMALI? MPHG KALİTE YÖNETİM MODELİ SAĞLIK HİZMETLERİNDE KALİTE YÖNETİM VE ORGANİZASYON YAPISI NASIL OLMALI? MPHG KALİTE YÖNETİM MODELİ Nihal KAFALI ÜNLÜTÜRK MPHG Kalite Grup Müdürü 9. Uluslararası Sağlıkta Kalite, Akreditasyon ve Hasta

Detaylı

Bilgi Güvenliği Farkındalık Eğitimi

Bilgi Güvenliği Farkındalık Eğitimi NECMETTİN ERBAKAN Ü N İ V E R S İ T E S İ Meram Tıp Fakültesi Hastanesi Bilgi Güvenliği Farkındalık Eğitimi Ali ALAN Necmettin Erbakan Üniversitesi Meram Tıp Fakültesi Hastanesi Bilgi İşlem Merkezi 444

Detaylı

TÜRK AKREDİTASYON KURUMU. Personel Akreditasyon Başkanlığı

TÜRK AKREDİTASYON KURUMU. Personel Akreditasyon Başkanlığı TÜRK AKREDİTASYON KURUMU Personel Akreditasyon Başkanlığı Personel Belgelendirme Kuruluşlarının Akreditasyonu Uygunluk Değerlendirmesi; Ürünlerin veya hizmetlerin istenilen şartlara uygunluğunu göstermek

Detaylı

Uyum Risk Yönetimi. KPMG İstanbul. Ekim 2014

Uyum Risk Yönetimi. KPMG İstanbul. Ekim 2014 Uyum Risk Yönetimi KPMG İstanbul Ekim 2014 Uyum Yönetimi Uyum Yönetimi, bir kurumun tüm paydaşları (müşteriler, tedarikçiler, kamu kurumları, çalışan ve hissedarlar) tarafından talep edilen ve her geçen

Detaylı

PROSİS in tüm kayıtlı ve belgeli müşterileri ve eğitim katılımcıları için geçerlidir.

PROSİS in tüm kayıtlı ve belgeli müşterileri ve eğitim katılımcıları için geçerlidir. 1.0 AMAÇ Bir müşterinin veya Prosis bünyesinde gerçekleştirilen eğitim katılımcısının PROSİS kararına itiraz etmesi, şikayette bulunması ve anlaşmazlıkların ortaya çıkması halinde yapılacak faaliyetlerin

Detaylı

GÜRELİ YEMİNLİ MALİ MÜŞAVİRLİK VE BAĞIMSIZ DENETİM HİZMETLERİ A.Ş.

GÜRELİ YEMİNLİ MALİ MÜŞAVİRLİK VE BAĞIMSIZ DENETİM HİZMETLERİ A.Ş. Ülkemizde ticari hayatın son 50 yılını önemli ölçüde etkilemiş olan 6762 sayılı Türk Ticaret Kanunu, 31 Temmuz 2012 tarihi itibariyle yerini 6102 sayılı Yeni Türk Ticaret Kanunu na bırakıyor. Her şeyden

Detaylı

TS EN ISO 14001: 2005 AC: Haziran 2010

TS EN ISO 14001: 2005 AC: Haziran 2010 TÜRK STANDARDI TURKISH STANDARD Sayfa 1/5 ICS 13.020.10 TS EN ISO 14001: 2005 AC: Haziran 2010 Bu ek, CEN tarafından kabul edilen EN ISO 14001: 2004/AC: 2009 eki esas alınarak TSE Çevre İhtisas Grubu nca

Detaylı

ĠSYS KURULUMU ve KRĠTĠK BAġARI FAKTÖRLERĠ. Ali DĠNÇKAN,CISA, Tübitak UEKAE dinckan@uekae.tubitak.gov.tr Tel: 0 262 648 15 67

ĠSYS KURULUMU ve KRĠTĠK BAġARI FAKTÖRLERĠ. Ali DĠNÇKAN,CISA, Tübitak UEKAE dinckan@uekae.tubitak.gov.tr Tel: 0 262 648 15 67 ĠSYS KURULUMU ve KRĠTĠK BAġARI FAKTÖRLERĠ Ali DĠNÇKAN,CISA, Tübitak UEKAE dinckan@uekae.tubitak.gov.tr Tel: 0 262 648 15 67 SUNU PLANI Giriş İş Sürekliliği İş Sürekliliğinin Tarihi Gelişimi Dünyadaki ve

Detaylı