TÜRK STANDARDI TURKISH STANDARD

Ebat: px
Şu sayfadan göstermeyi başlat:

Download "TÜRK STANDARDI TURKISH STANDARD"

Transkript

1 TÜRK STANDARDI TURKISH STANDARD TS ISO/IEC Mart 2006 ICS BİLGİ TEKNOLOJİSİ GÜVENLİK TEKNİKLERİ - BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMLERİ GEREKSİNİMLER Information technology Security techniques - Information security management systems - Requirements TÜRK STANDARDLARI ENSTİTÜSÜ Necatibey Caddesi No.112 Bakanlıklar/ANKARA

2 Bugünkü teknik ve uygulamaya dayanılarak hazırlanmış olan bu standardın, zamanla ortaya çıkacak gelişme ve değişikliklere uydurulması mümkün olduğundan ilgililerin yayınları izlemelerini ve standardın uygulanmasında karşılaştıkları aksaklıkları Enstitümüze iletmelerini rica ederiz. Bu standardı oluşturan Hazırlık Grubu üyesi değerli uzmanların emeklerini; tasarılar üzerinde görüşlerini bildirmek suretiyle yardımcı olan bilim, kamu ve özel sektör kuruluşları ile kişilerin değerli katkılarını şükranla anarız. Kalite Sistem Belgesi İmalât ve hizmet sektörlerinde faaliyet gösteren kuruluşların sistemlerini TS EN ISO 9000 Kalite Standardlarına uygun olarak kurmaları durumunda TSE tarafından verilen belgedir. Türk Standardlarına Uygunluk Markası (TSE Markası) TSE Markası, üzerine veya ambalâjına konulduğu malların veya hizmetin ilgili Türk Standardına uygun olduğunu ve mamulle veya hizmetle ilgili bir problem ortaya çıktığında Türk Standardları Enstitüsü nün garantisi altında olduğunu ifade eder. TSEK Kalite Uygunluk Markası (TSEK Markası) TSEK Markası, üzerine veya ambalâjına konulduğu malların veya hizmetin henüz Türk Standardı olmadığından ilgili milletlerarası veya diğer ülkelerin standardlarına veya Enstitü tarafından kabul edilen teknik özelliklere uygun olduğunu ve mamulle veya hizmetle ilgili bir problem ortaya çıktığında Türk Standardları Enstitüsü nün garantisi altında olduğunu ifade eder. DİKKAT! TS işareti ve yanında yer alan sayı tek başına iken (TS 4600 gibi), mamulün Türk Standardına uygun üretildiğine dair üreticinin beyanını ifade eder. Türk Standardları Enstitüsü tarafından herhangi bir garanti söz konusu değildir. Standardlar ve standardizasyon konusunda daha geniş bilgi Enstitümüzden sağlanabilir. TÜRK STANDARDLARININ YAYIN HAKLARI SAKLIDIR.

3 Ön söz Bu standard, ISO tarafından kabul edilen, ISO/IEC (2005) standardı esas alınarak, TSE Bilgi Teknolojileri ve İletişim İhtisas Grubu nca hazırlanmış ve TSE Teknik Kurulu nun 02 Mart 2006 tarihli toplantısında Türk Standardı olarak kabul edilerek yayımına karar verilmiştir. Bu standardın kabulü ile TS iptal edilmiştir. Bu standardda kullanılan bazı kelime ve/veya ifadeler patent haklarına konu olabilir. Böyle bir patent hakkının belirlenmesi durumunda TSE sorumlu tutulamaz.

4 İçindekiler 0 Giriş Genel Proses yaklaşımı Diğer yönetim sistemleriyle uyumluluk Kapsam Genel Uygulama Atıf yapılan standardlar ve/veya dokümanlar Terimler ve tarifleri Varlık Kullanılabilirlik Gizlilik Bilgi güvenliği Bilgi güvenliği olayı Bilgi güvenliği ihlal olayı Bilgi güvenliği yönetim sistemi Bütünlük Artık risk Riskin kabulü Risk analizi Risk değerlendirme Risk derecelendirme Risk yönetimi Risk işleme Uygulanabilirlik bildirgesi Bilgi güvenliği yönetim sistemi Genel gereksinimler BGYS nin kurulması ve yönetilmesi Dokümantasyon gereksinimleri Yönetim sorumluluğu Yönetimin bağlılığı Kaynak yönetimi BGYS iç denetimleri BGYS yi yönetimin gözden geçirmesi Genel Gözden geçirme girdisi Gözden geçirme çıktısı BGYS iyileştirme Sürekli iyileştirme Düzeltici faaliyet Önleyici faaliyet...13 Ek A - amaçları ve kontroller...14 Ek B (Bilgi için) - OECD prensipleri ve bu standard...31 Ek C (Bilgi için) - TS EN ISO 9001, TS EN ISO ve bu standard arasındaki benzerlikler...32 Kaynaklar...35

5 Bilgi teknolojisi Güvenlik teknikleri - Bilgi güvenliği yönetim sistemleri - Gereksinimler 0 Giriş 0.1 Genel Bu standard, bir Bilgi Güvenliği Yönetim Sistemi ni (BGYS) (Information Security Management System - ISMS) kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için bir model sağlamak üzere hazırlanmıştır. Bir kuruluş için BGYS nin benimsenmesi stratejik bir karar olmalıdır. Bir kuruluşun BGYS tasarımı ve gerçekleştirmesi, ihtiyaçları ve amaçları, güvenlik gereksinimleri, kullanılan prosesler ve kuruluşun büyüklüğü ve yapısından etkilenir. Bunların ve destekleyici sistemlerinin zaman içinde değişmesi beklenir. Bir BGYS gerçekleştirmesinin kuruluşun ihtiyaçlarına göre ölçeklenmesi beklenir (örneğin, basit durumlar basit BGYS çözümleri gerektirir). Bu standard, uyumluluğu değerlendirmek için ilgili iç ve dış taraflarca kullanılabilir. 0.2 Proses yaklaşımı Bu standard, bir kuruluşun BGYS sini kurmak, gerçekleştirmek, işletmek, izlemek, sürdürmek ve iyileştirmek için bir proses yaklaşımını benimser. Bir kuruluşun, etkin bir şekilde işlev görmek için, bir çok faaliyetini tanımlaması ve yönetmesi gerekir. Kaynakları kullanan ve girdilerin çıktılara dönüştürülebilmesi için yönetilen her faaliyet, bir proses olarak düşünülebilir. Çoğunlukla, bir prosesin çıktısı doğrudan bunu izleyen diğer prosesin girdisini oluşturur. Bir kuruluş içerisinde, tanımları ve bunların etkileşimi ve yönetimleriyle birlikte proseslerin oluşturduğu bir sistem uygulaması proses yaklaşımı olarak tanımlanabilir. Bu standardda sunulan bilgi güvenliği yönetimi proses yaklaşımı, kullanıcılarını aşağıdakilerin öneminin vurgulanmasına özendirir: a) İş bilgi güvenliği gereksinimlerini ve bilgi güvenliği için politika ve amaçların belirlenmesi ihtiyacını anlamak, b) Kuruluşun tüm iş risklerini yönetmek bağlamında kuruluşun bilgi güvenliği risklerini yönetmek için kontrolleri gerçekleştirmek ve işletmek, c) BGYS nin performansı ve etkinliğini izlemek ve gözden geçirmek, d) Nesnel ölçmeye dayalı olarak sürekli iyileştirmek. Bu standard, tüm BGYS proseslerini yapılandırmaya uygulanan Planla-Uygula- Et-Önlem al (PUKÖ) modelini benimser. Şekil 1, bir BGYS nin bilgi güvenliği gereksinimlerini ve ilgili tarafların beklentilerini girdi olarak nasıl aldığını ve gerekli eylem ve prosesler aracılığıyla, bu gereksinimleri ve beklentileri karşılayacak bilgi güvenliği sonuçlarını nasıl ürettiğini gösterir. Şekil 1 ayrıca, Madde 4, Madde 5, Madde 6, Madde 7 ve Madde 8 de sunulan proseslerdeki bağlantıları da gösterir. PUKÖ modelinin benimsenmesi, bilgi sistemleri ve ağları güvenliğini yöneten OECD Kılavuzları nda (2002) 1) belirlenmiş olan prensipleri de yansıtır. Bu standard, risk değerlendirme, güvenlik tasarımı ve gerçekleştirme, güvenlik yönetimi ve yeniden değerlendirmeyi yöneten bu kılavuzlardaki prensipleri gerçekleştirmek için sağlam bir model sağlar. Örnek 1 Bir kuruluşta, bilgi güvenliği ihlallerinin ciddi finansal hasarlara neden olmaması ve/veya kuruluşta rahatsızlığa yol açmaması bir gereksinim olabilir. 1) OECD Guidelines for the Security of Information Systems and Networks Towards a Culture of Security. Paris: OECD, July

6 Örnek 2 Ciddi bir durum oluştuğunda (örneğin, bir kuruluşun e-iş web sitesinin çökertilmesi), etkiyi en aza indirmek için, uygun prosedürlerde yeterli eğitime sahip kişilerin olmasının gerekliliği bir beklenti olabilir. Şekil 1 - BGYS proseslerine uygulanan PUKÖ modeli Planla (BGYS nin kurulması) Uygula (BGYS nin gerçekleştirilmesi ve işletilmesi) Et (BGYS nin izlenmesi ve gözden geçirilmesi) Önlem al (BGYS nin sürekliliğinin sağlanması ve iyileştirilmesi) Sonuçları kuruluşun genel politikaları ve amaçlarına göre dağıtmak için, risklerin yönetimi ve bilgi güvenliğinin geliştirilmesiyle ilgili BGYS politikası, amaçlar, hedefler, prosesler ve prosedürlerin kurulması. BGYS politikası, kontroller, prosesler ve prosedürlerin gerçekleştirilip işletilmesi. BGYS politikası, amaçlar ve kullanım deneyimlerine göre proses performansının değerlendirilmesi ve uygulanabilen yerlerde ölçülmesi ve sonuçların gözden geçirilmek üzere yönetime rapor edilmesi. BGYS nin sürekli iyileştirilmesini sağlamak için, yönetimin gözden geçirme sonuçlarına dayalı olarak, düzeltici ve önleyici faaliyetlerin gerçekleştirilmesi. 0.3 Diğer yönetim sistemleriyle uyumluluk Bu standard, ilgili yönetim standardlarıyla tutarlı ve tümleşik gerçekleştirme ve işletimi desteklemek için ISO 9001 ve ISO ile uyumludur. Bu nedenle, uygun şekilde tasarlanmış bir yönetim sistemi tüm bu standardların gereksinimlerini karşılayabilir. Çizelge C.1, bu standardın maddeleriyle, ISO 9001 ve ISO arasındaki ilişkiyi göstermektedir. Bu standard, bir kuruluşun BGYS sini ilgili yönetim sistemi gereksinimleriyle uyumlu yapabilmesi ya da bütünleştirebilmesi için tasarlanmıştır. 2

7 ÖNEMLİ - Bu standard, bir anlaşmanın gerekli tüm maddelerini içermemektedir. Kullanıcılar doğru uygulanmasından sorumludurlar. Bu standarda uyumluluk yasal sorumluluklardan muafiyet sağlamaz. 1 Kapsam 1.1 Genel Bu standard, tüm kuruluş türlerini (örneğin, ticari kuruluşlar, kamu kurumları, kar amaçlı olmayan kuruluşlar) kapsar. Bu standard, dokümante edilmiş bir BGYS yi kuruluşun tüm ticari riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsar. Bağımsız kuruluşların ya da tarafların ihtiyaçlarına göre özelleştirilmiş güvenlik kontrollerinin gerçekleştirilmesi için gereksinimleri belirtir. BGYS, bilgi varlıklarını koruyan ve ilgili taraflara güven veren yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmıştır. Not 1 - Bu standardda, iş terimi geniş anlamda kuruluşun varlık amaçlarının temeli olan etkinlikler anlamına gelmektedir. Not 2 - ISO/IEC 17799, kontroller tasarlanırken kullanılabilecek gerçekleştirme kılavuzu sağlar. 1.2 Uygulama Bu standardla ortaya konulan gereksinimler geneldir ve türü, büyüklüğü ve doğasından bağımsız olarak tüm kuruluşlara uygulanabilir olması amaçlanmaktadır. Bir kuruluş bu standarda uyumluluk iddiasında bulunduğunda, Madde 4, Madde 5, Madde 6, Madde 7 ve Madde 8 de belirlenen herhangi bir gereksinimin dışarıda bırakılması kabul edilebilir değildir. Risk kabul kriterlerini sağlamak için dışarıda bırakılması gerekli bulunan her kontrolün açıklanabilmesi ve ilişkili risklerin sorumlu kişilerce uygun olarak kabul edildiğine ilişkin kanıtın sağlanması gerekir. Herhangi bir kontrol dışarıda bırakıldığında, bu standarda uyumluluk iddiası, hariç tutulan gereksinimlerin, risk değerlendirme ve uygulanabilir yasal ve düzenleyici gereksinimler tarafından belirlenen güvenlik gereksinimlerini karşılayacak bilgi güvenliğini sağlamak için kuruluşun kabiliyetini ve/veya sorumluluğunu etkilemedikçe kabul edilmez. Not - Bir kuruluş zaten işleyen bir iş proses yönetimi sistemine (örneğin, ISO 9001 veya ISO ile ilgili) sahipse, birçok durumda bu standardın gereksinimlerinin mevcut yönetim sistemi içinde sağlanması tercih edilir. 2 Atıf yapılan standardlar ve/veya dokümanlar Aşağıda verilen, atıf yapılan standardların hükümleri bu standardın hükümleri sayılır. Tarih belirtilen atıflarda, daha sonra yapılan tadil ve revizyonlar uygulanmaz. Bununla birlikte, bu standarda dayalı anlaşmalarda taraflara, aşağıda verilen standardların en yeni baskılarını uygulama imkanını araştırmaları önerilir. Tarih belirtilmeyen atıflarda, ilgili standardın en son baskısı kullanılır. Bütün standardların yürürlükte bulunan baskıları TSE den temin edilebilir. EN, ISO, IEC vb. No. ISO/IEC Adı (İngilizce) Information technology - Code of practice for information security management TS No 1) TS ISO/IEC Adı (Türkçe) Bilgi Teknolojisi - Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri 1) TSE Notu: Atıf yapılan standardların TS numarası ve Türkçe adı 3. ve 4. kolonda verilmiştir. işaretli olanlar bu standardın basıldığı tarihte İngilizce metin olarak yayımlanmış olan Türk Standardlarıdır. 3

8 3 Terimler ve tarifleri Bu standardın amacı bakımından aşağıdaki terimler ve tarifler uygulanır. 3.1 Varlık Kuruluş için değeri olan herhangi bir şey. [ISO/IEC : 2004] 3.2 Kullanılabilirlik Yetkili bir varlık tarafından talep edildiğinde erişilebilir ve kullanılabilir olma özelliği. [ISO/IEC : 2004] 3.3 Gizlilik Bilginin yetkisiz kişiler, varlıklar ya da proseslere kullanılabilir yapılmama ya da açıklanmama özelliği. [ISO/IEC : 2004] 3.4 Bilgi güvenliği Bilginin gizliliği, bütünlüğü ve kullanılabilirliğinin korunması. Ek olarak, doğruluk, açıklanabilirlik, inkâr edememe ve güvenilirlik gibi diğer özellikleri de kapsar. [ISO/IEC 17799: 2005] 3.5 Bilgi güvenliği olayı Olası bir bilgi güvenliği politikası açığı, koruyucuların başarısızlığı ya da güvenlikle ilgili olabilecek önceden bilinmeyen bir durumu belirten bir sistem, hizmet ya da ağ durumunun tanımlanan bir ortaya çıkışı. [ISO/IEC TR 18044: 2004] 3.6 Bilgi güvenliği ihlal olayı İş operasyonlarını tehlikeye atma ve bilgi güvenliğini tehdit etme olasılığı yüksek olan tek ya da bir dizi istenmeyen ya da beklenmeyen bilgi güvenliği olayı. [ISO/IEC TR 18044: 2004] 3.7 Bilgi güvenliği yönetim sistemi BGYS Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçası. Not - Yönetim sistemi, kurumsal yapıyı, politikaları, planlama faaliyetlerini, sorumlulukları, uygulamaları, prosedürleri, prosesleri ve kaynakları içerir. 3.8 Bütünlük Varlıkların doğruluğunu ve tamlığını koruma özelliği. [ISO/IEC : 2004] 3.9 Artık risk Risk işlemeden sonra kalan risk. [ISO/IEC Guide 73] 3.10 Riskin kabulü Bir riski kabul etme kararı. [ISO/IEC Guide 73] 4

9 3.11 Risk analizi Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik kullanımı. [ISO/IEC Guide 73] 3.12 Risk değerlendirme Risk analizi ve risk derecelendirmesini kapsayan tüm proses. [ISO/IEC Guide 73] 3.13 Risk derecelendirme Riskin önemini tayin etmek amacıyla tahmin edilen riskin verilen risk kriterleri ile karşılaştırılması prosesi. [ISO/IEC Guide 73] 3.14 Risk yönetimi Bir kuruluşu risk ile ilgili olarak kontrol etmek ve yönlendirmek amacıyla kullanılan koordineli faaliyetler. [ISO/IEC Guide 73] 3.15 Risk işleme Riski değiştirmek için alınması gerekli önlemlerin seçilmesi ve uygulanması prosesi. [ISO/IEC Guide 73] Not - Bu standardda, önlem sözcüğünün eş anlamlısı olarak kontrol terimi kullanılmıştır Uygulanabilirlik bildirgesi Kuruluşun BGYS si ile ilgili ve uygulanabilir kontrol amaçlarını ve kontrolleri açıklayan dokümante edilmiş bildirge. Not - amaçları ve kontroller, risk değerlendirme ve risk işleme proseslerinin sonuçları ve çıkarımlarını, yasal ve düzenleyici gereksinimleri, anlaşma yükümlülüklerini ve kuruluşun bilgi güvenliği için iş gereksinimlerini temel alır. 4 Bilgi güvenliği yönetim sistemi 4.1 Genel gereksinimler Kuruluş, dokümante edilmiş bir BGYS yi, kuruluşun tüm ticari faaliyetleri ve karşılaştığı riskleri bağlamında, kurmalı, gerçekleştirmeli, işletmeli, izlemeli, gözden geçirmeli, sürdürmeli ve geliştirmelidir. Bu standardın bir gereği olarak, kullanılan proses, Şekil 1 de gösterilen PUKÖ modeline dayanır. 4.2 BGYS nin kurulması ve yönetilmesi BGYS nin kurulması Kuruluş aşağıdakileri yapmalıdır: a) İşin, kuruluşun, yerleşim yerinin, varlıklarının ve teknolojisinin özelliklerine göre ve kapsamdan herhangi bir dışarda bırakmanın ayrıntıları ve açıklamasını da ekleyerek, BGYS kapsamını ve sınırlarını tanımlama (Madde 1.2 ye bakılmalıdır). b) İşin, kuruluşun, yerleşim yerinin, varlıklarının ve teknolojisinin özelliklerine göre aşağıdaki özelliklere sahip bir BGYS politikası tanımlama: 1) Amaçlarını ortaya koymak için bir çerçeve içeren ve bilgi güvenliğine ilişkin bir eylem için kapsamlı bir yön kavramı ve prensipleri kuran, 2) İş ve yasal ya da düzenleyici gereksinimleri ve sözleşmeye ilişkin güvenlik yükümlülüklerini dikkate alan, 5

10 6 3) BGYS kurulumu ve sürdürülmesinin yer alacağı stratejik kurumsal ve risk yönetimi bağlamını düzenleyen, 4) Riskin değerlendirileceği kriterleri kuran [Madde 4.2.1c)] ve 5) Yönetim tarafından onaylanmış olan. Not - Bu standardın amaçları bakımından, BGYS politikası bilgi güvenliği politikasının bir üst kümesi olarak kabul edilir. Bu politikalar bir dokümanda tanımlanabilir. c) Kuruluşun risk değerlendirme yaklaşımını tanımlama. 1) BGYS ye ve tanımlanmış iş bilgisi güvenliğine, yasal ve düzenleyici gereksinimlere uygun bir risk değerlendirme metodolojisi tanımlama. 2) Riskleri kabul etmek için kriterler geliştirme ve kabul edilebilir risk seviyelerini tanımlama (Madde 5.1f ye bakılmalıdır). Seçilen risk değerlendirme metodolojisi, risk değerlendirmelerinin karşılaştırılabilir ve yeniden üretilebilir sonuçlar üretmesini sağlamalıdır. Not Risk değerlendirme için farklı metodolojiler bulunmaktadır. Risk değerlendirme metodolojileri örnekleri ISO/IEC TR , Information technology Guidelines for the management of IT Security Techniques for the management of IT Security standardında açıklanmıştır. d) Riskleri tanımlama. 1) BGYS kapsamındaki varlıkları ve bu varlıkların sahiplerini 2) tanımlama. 2) Bu varlıklar için var olan tehditleri tanımlama. 3) Tehditlerin fayda sağlayabileceği açıklıkları tanımlama. 4) Gizlilik, bütünlük ve kullanılabilirlik kayıplarının varlıklar üzerinde olabilecek etkilerini tanımlama. e) Riskleri çözümleme ve derecelendirme. 1) Varlıkların gizliliğine, bütünlüğüne ya da kullanılabilirliğine ilişkin oluşan kayıpların olası sonuçlarını dikkate alarak, güvenlik başarısızlıklarından kaynaklanabilecek, kuruluş üzerindeki iş etkilerini değerlendirme. 2) Mevcut tehditler ve açıklıklar ve bu varlıklarla ilişkili etkiler ışığında oluşan güvenlik başarısızlıklarının gerçekçi olasılığını ve gerçekleştirilen mevcut kontrolleri değerlendirme. 3) Risk seviyelerini tahmin etme. 4) Risklerin kabul edilebilir mi olduğunu yoksa Madde 4.2.1c de riskleri kabul etmek için belirlenen kriterler kullanılarak iyileştirme mi gerektirdiğini belirleme. f) Risklerin işlenmesi için seçenekleri tanımlama ve değerlendirme. 2) Olası eylemler aşağıdakileri içerir: 1) Uygun kontrollerin uygulanması, 2) Kuruluşun politikalarını ve riskleri kabul etme kriterlerini açıkça karşılaması şartıyla, bilerek ve nesnel olarak risklerin kabul edilmesi (Madde 4.2.1c)2)), 3) Risklerden kaçınma ve 4) İlişkili iş risklerini diğer taraflara, örneğin, sigorta şirketlerine, tedarikçilere aktarma. Sahip terimi, varlıkların üretimi, geliştirilmesi, bakımı, kullanımı ve güvenliğini kontrol etmek için onaylanmış yönetim sorumluluğu bulunan kişi veya varlıkları tanımlar. Sahip terimi, gerçekten varlık üzerinde mülkiyet hakları olan kişi anlamına gelmez.

11 g) Risklerin işlenmesi için kontrol amaçları ve kontrolleri seçme. amaçları ve kontroller, risk değerlendirme ve risk işleme proseslerince tanımlanan gereksinimleri karşılamak için seçilmeli ve gerçekleştirilmelidir. Ek A daki kontrol amaçları ve kontroller, tanımlanan gereksinimleri kapsamak için uygun olduğundan bu prosesin bir parçası olarak seçilmelidir. Ek A da listelenen kontrol amaçları ve kontroller geniş kapsamlı değildir ve ek kontrol amaçları ve kontroller seçilebilir. Not - Ek A, kuruluşlar için yaygın şekilde uygun olduğu düşünülen kapsamlı bir kontrol amaçları ve kontroller listesi içerir. Bu standardın kullanıcıları, hiçbir önemli kontrol seçeneğinin gözden kaçmamasını sağlamak amacıyla kontrol seçimi için bir başlangıç noktası olarak Ek A yı incelemelidirler. h) Sunulan artık risklere ilişkin yönetim onayı edinme. i) BGYS yi gerçekleştirmek ve işletmek için yönetim yetkilendirmesi edinme. j) Uygulanabilirlik Bildirgesi hazırlama. Aşağıdakileri içeren bir Uygulanabilirlik Bildirgesi hazırlanmalıdır: 1) Madde 4.2.1g) de seçilen kontrol amaçları ve kontroller ve bunların seçilme nedenleri, 2) Mevcut gerçekleştirilmiş kontrol amaçları ve kontroller (Madde 4.2.1e)2) ye bakılmalıdır) ve 3) Ek A daki kontrol amaçları ve kontrollerden herhangi birinin dışarıda bırakılması ve bunların dışarıda bırakılmasının açıklaması. Not - Uygulanabilirlik Bildirgesi risk işlemeyi ilgilendiren kararların bir özetini sağlar. Dışarıda bırakmanın açıklaması, hiçbir kontrolün yanlışlıkla çıkarılmadığının bir çapraz denetimini sağlar BGYS nin gerçekleştirilmesi ve işletilmesi Kuruluş aşağıdakileri yapmalıdır: a) Bilgi güvenlik risklerini yönetmek için uygun yönetim eylemini, kaynakları, sorumlulukları ve öncelikleri tanımlayan bir risk işleme planı hazırlama (Madde 5 e bakılmalıdır). b) Finansman değerlendirmesini ve rollerin ve sorumlulukların tahsisini içeren, tanımlanan kontrol amaçlarına ulaşmak için risk işleme planını gerçekleştirme. c) amaçlarını karşılamak için Madde 4.2.1g) de seçilen kontrolleri gerçekleştirme. d) Seçilen kontroller veya kontrol gruplarının etkinliğinin nasıl ölçüleceğini tanımlama ve karşılaştırılabilir ve yeniden üretilebilir sonuçlar üretmek amacıyla kontrol etkinliğini değerlendirmek için bu ölçümlerin nasıl kullanılacağını belirleme (Madde 4.2.3c) ye bakılmalıdır). Not - lerin etkinliğinin ölçülmesi, yöneticiler ve personele kontrollerin planlanan kontrol amaçlarını ne kadar iyi düzeyde başardığına karar verme olanağı verir. e) Eğitim ve farkında olma programlarını gerçekleştirme (Madde 5.2.2). f) BGYS nin işleyişini yönetme. g) BGYS kaynaklarını yönetme (Madde 5.2). h) Güvenlik olaylarını anında saptayabilme ve güvenlik ihlal olaylarına hemen yanıt verebilme kabiliyetine sahip prosedürleri ve diğer kontrolleri gerçekleştirme (Madde 4.2.3a)). 7

12 4.2.3 BGYS nin izlenmesi ve gözden geçirilmesi Kuruluş aşağıdakileri yapmalıdır: a) İzleme ve gözden geçirme prosedürlerini ve diğer kontrolleri aşağıdakileri gerçekleştirmek için yürütme: 8 1) İşleme sonuçlarındaki hataları anında saptama, 2) Denenen ve başarılı olan güvenlik kırılmaları ve ihlal olaylarını anında tanımlama, 3) Yönetimin, kişilere devredilen ya da bilgi teknolojisince gerçekleştirilen güvenlik faaliyetlerinin beklenen biçimde çalışıp çalışmadığını belirleyebilmesini sağlama, 4) Güvenlik olaylarını saptama ve belirteçler kullanarak güvenlik ihlal olaylarını önlemeye yardım etme ve 5) Bir güvenlik kırılmasını çözmek için alınan önlemlerin etkili olup olmadığına karar verme. b) Güvenlik denetimlerinin sonuçları, ihlal olayları, etkinlik ölçümleri sonuçları ve tüm ilgili taraflardan önerileri ve geri bildirimleri dikkate alarak BGYS nin (BGYS politikası ve amaçlarını karşılama ve güvenlik kontrollerini gözden geçirme dahil) etkinliğinin düzenli olarak gözden geçirilmesini üstlenme. c) Güvenlik gereksinimlerinin karşılandığını doğrulamak için kontrollerin etkinliğini ölçme. d) Aşağıdakilerde oluşacak değişiklikleri dikkate alarak, risk değerlendirmeyi planlanmış aralıklarda ve artık riskleri ve belirlenmiş kabul edilebilir risk seviyelerini gözden geçirme: 1) Kuruluş, 2) Teknoloji, 3) İş amaçları ve prosesleri, 4) Tanımlanmış tehditler, 5) Gerçekleştirilen kontrollerin etkinliği ve 6) Yasal ve düzenleyici ortamdaki değişiklikler, değiştirilmiş anlaşma yükümlülükleri ve sosyal iklimdeki değişiklikler gibi dış olaylar. e) Planlanan aralıklarda iç BGYS denetimlerini gerçekleştirme (Madde 6). Not - Bazen ilk taraf denetimleri olarak adlandırılan iç denetimler, iç amaçlarla kuruluş tarafından veya kuruluş adına gerçekleştirilir. f) Kapsamın uygun kalması ve BGYS prosesindeki iyileştirmelerin tanımlanmasını (Madde 7.1) sağlamak için, BGYS nin yönetim tarafından düzenli olarak gözden geçirilmesini üstlenme. g) İzleme ve gözden geçirme faaliyetlerindeki bulguları dikkate alarak güvenlik planlarını güncelleştirme. h) BGYS etkinliğinde ya da performansında bir etkisi olabilecek eylemleri ve olayları kaydetme (Madde 4.3.3) BGYS nin sürekliliğinin sağlanması ve iyileştirilmesi Belirli aralıklarla kuruluş aşağıdakileri yapmalıdır: a) BGYS deki tanımlanan iyileştirmeleri gerçekleştirme. b) Madde 8.2 ve Madde 8.3 e göre, uygun düzeltici ve engelleyici önlemler alma. Diğer kuruluşların ve kuruluşun kendisinin güvenlik deneyimlerinden alınan dersleri uygulama. c) Eylemler ve iyileştirmeleri tüm ilgili taraflara duruma uygun ayrıntı seviyesinde bildirme ve gerekirse nasıl ilerleneceği konusunda mutabık kalma. d) İyileştirmelerin tasarlanan amaçlara ulaşmasını sağlama.

13 4.3 Dokümantasyon gereksinimleri Genel Dokümantasyon yönetim kararlarının kayıtlarını içermeli, eylemlerin yönetim kararları ve politikalarına izlenebilir olmasını sağlamalı ve kaydedilen sonuçların yeniden üretilebilir olmasını sağlamalıdır. Seçilen kontrollerden geriye doğru risk değerlendirme ve risk işleme proseslerinin sonuçlarına ve sonra da en geride BGYS politikası ve amaçlarına olan ilişkiyi gösterebilmek önemlidir. BGYS dokümantasyonu aşağıdakileri kapsamalıdır: a) BGYS politikası (Madde 4.2.1b)) ve kontrol amaçlarının dokümante edilmiş ifadeleri, b) BGYS kapsamı (Madde 4.2.1c)), c) BGYS yi destekleyici prosedürler ve kontroller, d) Risk değerlendirme metodolojisinin bir tanımı (Madde 4.2.1c)), e) Risk değerlendirme raporu (Madde 4.2.1c) g)), f) Risk işleme planı (Madde 4.2.2b)), g) Kuruluş tarafından, bilgi güvenliği proseslerinin etkin planlanlanmasını, işletilmesini ve kontrolünü sağlamak için ihtiyaç duyulan dokümante edilmiş prosedürler ve kontrollerin etkinliğinin nasıl ölçüleceğini tanımlama (Madde 4.2.3c)). h) Bu standard tarafından gerek duyulan kayıtlar (Madde 4.3.3) ve i) Uygulanabilirlik Bildirgesi. Not 1 - Bu standard içerisinde geçen dokümante edilmiş prosedür terimi, prosedürün kurulduğu, dokümante edildiği, gerçekleştirildiği ve sürdürebilirliğinin sağlandığı anlamına gelir. Not 2 - BGYS dokümantasyonunun kapsamı bir kuruluştan diğerine aşağıdakilere bağlı olarak değişiklik gösterir: - Kuruluşun büyüklüğü ve faaliyetlerinin türü, - Güvenlik gereksinimlerinin ve yönetilen sistemin kapsamı ve karmaşıklığı. Not 3 - Dokümanlar ve kayıtlar herhangi bir biçimde ve ortam türünde olabilir Dokümanların kontrolü BGYS tarafından gerek duyulan dokümanlar korunmalı ve kontrol edilmelidir. Dokümante edilmiş bir prosedür, aşağıdakilere ihtiyaç duyan yönetim eylemlerini belirlemek için kurulmalıdır: a) Yayınlanmadan önce dokümanları uygunluk açısından onaylama, b) Gerektiğinde dokümanları gözden geçirme, güncelleme ve tekrar onaylama, c) Doküman değişikliklerinin ve mevcut revizyon durumunun tanınmasını sağlama, d) Uygulanabilir dokümanların ilgili sürümlerinin kullanım noktalarında kullanılabilir olmasını sağlama, e) Dokümanların okunaklı ve hazır olarak tanınabilir olmasını sağlama, f) Dokümanların ihtiyaç duyanlar için kullanılabilir olmasını, aktarılmasını, saklanmasını ve sınıflandırılmalarına uygun prosedürlerle tamamen yok edilmelerini sağlama, g) Dış kaynaklı dokümanların tanınmasını sağlama, h) Doküman dağıtımının kontrol edilmesini sağlama, 9

14 i) Yürürlükte olmayan dokümanların istenmeden kullanımını engelleme ve j) Herhangi bir amaç için tutuluyorlarsa, bu dokümanlara uygun kimlik uygulama Kayıtların kontrolü Kayıtlar, gereksinimlere uygun olduğuna ve BGYS nin etkin işlediğine dair kanıtlar sağlamak için kurulmalı ve sürdürülmelidir. Kayıtlar korunmalı ve kontrol edilmelidir. BGYS, ilgili her yasal ve düzenleyici gereksinimi dikkate almalıdır. Kayıtlar, okunabilir, hemen tanınabilir ve geri alınabilir halde tutulmalıdır. Kayıtların tanınması, saklanması, korunması, geri alınması, tutulma ve düzenleme zamanları için gereken kontroller dokümante edilmelidir. Kayıtlar, Madde 4.2 de belirtildiği gibi proses performansına ve BGYS ile ilgili tüm güvenlik ihlal olaylarının oluşumlarına ilişkin tutulmalıdır. Örnek Kayıtlara ilişkin örnek olarak, ziyaretçi defteri, denetim kayıtları ve tamamlanmış erişim yetkilendirme formları verilebilir. 5 Yönetim sorumluluğu 5.1 Yönetimin bağlılığı Yönetim BGYS nin kurulumuna, gerçekleştirilmesine, işletimine, izlenmesine, gözden geçirilmesine, bakımına ve iyileştirilmesine olan bağlılığını aşağıdakileri gerçekleştirerek kanıtlamalıdır: a) Bir BGYS politikası kurma, b) BGYS amaçlarının ve planlarının kurulmuş olmasını sağlama, c) Bilgi güvenliği için rolleri ve sorumlulukları kurma, d) Kuruluşa, bilgi güvenliği amaçlarını karşılamanın ve bilgi güvenliği politikalarına uyumun önemini, yasaya karşı sorumluluklarını ve sürekli iyileştirmeye olan gereksinimi bildirme, e) BGYS yi kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için yeterli kaynak sağlama (Madde 5.2.1), f) Riskleri kabul etme ölçütlerini ve kabul edilebilir risk seviyelerini belirleme, g) İç BGYS denetimlerinin gerçekleştirilmiş olmasını sağlama (Madde 6) ve h) BGYS nin yönetim gözden geçirmelerini gerçekleştirme (Madde 7). 5.2 Kaynak yönetimi Kaynakların sağlanması Kuruluş aşağıdakiler için gereken kaynaklara karar vermeli ve bunları sağlamalıdır: a) Bir BGYS yi kurma, gerçekleştirme, işletme, izleme, gözden geçirme, sürekliliğini sağlama ve iyileştirme, b) Bilgi güvenliği prosedürlerinin iş gereksinimlerini desteklemesini sağlama, c) Yasal ve düzenleyici gereksinimleri ve sözleşmeden doğan güvenlik yükümlülüklerini tanımlama ve ifade etme, d) Gerçekleştirilen tüm kontrollerin doğru uygulanmasıyla uygun güvenliği sürdürme, e) Gerektiğinde gözden geçirmeleri gerçekleştirme ve bu gözden geçirme sonuçlarına uygun olarak hareket etme ve f) İhtiyaç olduğunda, BGYS nin etkinliğini iyileştirme. 10

15 5.2.2 Eğitim, farkında olma ve yeterlilik Kuruluş, BGYS de tanımlanan sorumluluklara atanan tüm personelin istenen görevleri gerçekleştirmeye yeterli olduğunu, aşağıda belirtilenlerle sağlamalıdır: a) BGYS yi etkileyecek işler gerçekleştiren personel için gerekli yeterlilikleri belirleme, b) Eğitim sağlama veya bu ihtiyaçları karşılamak için diğer eylemleri (örneğin, yeterli uzmanlığa sahip personel istihdam etme) gerçekleştirme, c) Alınan önlemlerin etkinliğini değerlendirme, d) Eğitim, öğretim, beceriler, deneyim ve niteliklere ilişkin kayıtlar tutma (Madde 4.3.3). Kuruluş aynı zamanda, ilgili tüm personelin bilgi güvenliği faaliyetlerinin yarar ve öneminin ve BGYS amaçlarına ulaşılmasına nasıl katkı sağlayacağının farkında olmasını sağlamalıdır. 6 BGYS iç denetimleri Kuruluş BGYS iç denetimlerini, BGYS kontrol amaçlarının, kontrollerinin, proseslerinin ve prosedürlerinin aşağıdakileri gerçekleştirip gerçekleştirmediğini belirlemek için planlanan aralıklarda gerçekleştirmelidir: a) Bu standardın gerekleri ve ilgili yasa ya da düzenlemelere uyum, b) Tanımlanan bilgi güvenliği gereksinimelerine uyum, c) Etkin olarak gerçekleştirilip sürdürüldüğü, d) Beklendiği gibi işleyip işlemediği. Bir denetleme programı, bir önceki denetim sonuçlarının yanı sıra denetlenecek proseslerin ve alanların durumu ve önemi dikkate alınarak planlanmalıdır. Denetim kriterleri, kapsamı, sıklık ve yöntemler tanımlanmalıdır. Denetmenlerin seçiminde ve denetimlerin gerçekleştirilmesinde, denetim prosesinin nesnel ve tarafsız olarak işlemesi sağlanmalıdır. Denetmenler kendi çalışmalarını denetlememelidirler. Denetimlerin planlanması ve gerçekleştirilmesindeki ve sonuçların raporlanması ve kayıtların tutulmasındaki (Madde 4.3.3) sorumluluklar ve gereksinimler, dokümante edilmiş bir prosedür içinde tanımlanmalıdır. Denetlenen alandan sorumlu olan yönetim, saptanan uygunsuzlukların ve bunların nedenlerinin giderilmesi için, gereksiz gecikmeler olmaksızın önlemlerin alınmasını sağlamalıdır. İzleme faaliyetleri, alınan önlemlerin doğrulanmasını ve doğrulama sonuçlarının raporlanmasını (Madde 8) içermelidir. Not - ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing, BGYS iç denetimlerini gerçekleştirmek için yardımcı bir kılavuzluk sağlayabilir. 7 BGYS yi yönetimin gözden geçirmesi 7.1 Genel Yönetim, kuruluşun BGYS sini planlanan aralıklarla (en az yılda bir kez), sürekli uygunluğunu, doğruluğunu ve etkinliğini sağlamak için gözden geçirmelidir. Bu gözden geçirme, bilgi güvenliği politikası ve bilgi güvenliği amaçları dahil BGYS nin iyileştirilmesi ve gereken değişikliklerin yapılması için fırsatların değerlendirilmesini içermelidir. Gözden geçirme sonuçları açıkça dokümante edilmeli ve kayıtlar tutulup saklanmalıdır (Madde 4.3.3). 7.2 Gözden geçirme girdisi Yönetimin gözden geçirmesinin girdileri aşağıdakileri içermelidir: a) BGYS denetimleri ve gözden geçirmelerinin sonuçları, b) İlgili taraflardan edinilen geri bildirimler, 11

16 c) Kuruluşta BGYS nin performansını ve etkinliği artırmak için kullanılabilecek teknikler, ürünler ya da prosedürler, d) Önleyici ve düzeltici faaliyetlerin durumu, e) Önceki risk değerlendirmede uygun olarak ifade edilmeyen açıklıklar ya da tehditler, f) Etkinlik ölçümlerinin sonuçları, g) Önceki yönetim gözden geçirmelerinden izleme eylemleri, h) BGYS yi etkileyebilecek herhangi bir değişiklik ve i) İyileştirme için öneriler. 7.3 Gözden geçirme çıktısı Yönetimin gözden geçirmesinin çıktıları, aşağıdakilerle ilgili her kararı ve eylemi içermelidir: a) BGYS etkinliğini iyileştirme. b) Risk değerlendirme ve risk işleme planını güncelleştirme. c) Gerektiğinde, BGYS üzerinde etkisi olabilecek iç ya da dış olaylara karşılık vermek için bilgi güvenliğini etkileyen prosedür ve kontrol değişiklikleri, aşağıdakilere değişiklikleri içerir: 12 1) İş gereksinimleri, 2) Güvenlik gereksinimleri, 3) Mevcut iş gereksinimlerini etkileyen iş prosesleri, 4) Düzenleyici ya da yasal gereksinimler, 5) Anlaşma yükümlülükleri ve 6) Risk seviyeleri ve/veya risk kabul kriterleri. d) Kaynak ihtiyaçları. e) lerin etkinliğinin nasıl ölçüldüğünü iyileştirme. 8 BGYS iyileştirme 8.1 Sürekli iyileştirme Kuruluş, bilgi güvenlik politikasını, güvenlik amaçlarını, denetim sonuçlarını, izlenen olayların analizini, düzeltici ve önleyici faaliyetleri ve yönetimin gözden geçirmelerini (Madde 7) kullanarak BGYS etkinliğini sürekli iyileştirmelidir. 8.2 Düzeltici faaliyet Kuruluş tekrarları engellemek için, BGYS gereksinimleriyle uygunsuzlukların nedenlerini gidermek üzere önlemler almalıdır. Düzeltici faaliyet için dokümante edilmiş prosedür aşağıdaki gereksinimleri tanımlamalıdır: a) Uygunsuzlukları tanımlama, b) Uygunsuzlukların nedenlerini belirleme, c) Uygunsuzlukların tekrarlanmamasını sağlamak için ihtiyaç duyulan faaliyetleri değerlendirme, d) Gereken düzeltici faaliyetleri belirleme ve gerçekleştirme,

17 e) Gerçekleştirilen faaliyetlerin sonuçlarını kaydetme (Madde 4.3.3) ve f) Gerçekleştirilen düzeltici faaliyetleri gözden geçirme. 8.3 Önleyici faaliyet Kuruluş tekrar ortaya çıkmalarını önlemek için, BGYS gereksinimleriyle olası uygunsuzlukların nedenlerini gidermek üzere alınacak önlemleri belirlemelidir. Gerçekleştirilen önleyici faaliyetler, olası sorunların yapacağı etkiye uygun olmalıdır. Önleyici faaliyetler için dokümante edilmiş prosedür aşağıdaki gereksinimleri tanımlamalıdır: a) Olası uygunsuzlukları ve bunların nedenlerini belirleme, b) Uygunsuzlukların ortaya çıkmasını önleme faaliyeti ihtiyacını değerlendirme, c) İhtiyaç duyulan önleyici faaliyetleri belirleme ve gerçekleştirme, d) Gerçekleştirilen faaliyetlerin sonuçlarını kaydetme (Madde 4.3.3) ve e) Gerçekleştirilen önleyici faaliyetleri gözden geçirme, Kuruluş, değişen riskleri tanımlamalı ve dikkati önemli derecede değişen riskler üzerinde yoğunlaştırarak önleyici faaliyet gereksinimlerini tanımlamalıdır. Önleyici faaliyetlerin önceliği, risk değerlendirme sonuçlarına bağlı olarak belirlenmelidir. Not - Uygunsuzlukların önlenmesi için gerçekleştirilen faaliyetler çoğunlukla düzenleyici faaliyetlerden daha az maliyetlidir. 13

18 Ek A amaçları ve kontroller Çizelge A.1 de listelenen kontrol amaçları ve kontroller doğrudan ISO/IEC Madde 5 ila Madde 15 te listelenenlerden çıkarılmış ve bu maddelerle sıraya konulmuştur. Çizelge A.1 deki listeler ayrıntılı değildir ve kuruluş ek kontrol amaçlarının ve kontrollerin gerekli olduğunu düşünebilir. Bu çizelgelerdeki kontrol amaçları ve kontroller, Madde de belirtilen BGYS prosesinin bir parçası olarak seçilmelidir. ISO/IEC Madde 5 ila Madde 15, Madde A.5 ila Madde A.15 te belirtilen kontrollerin desteğiyle, gerçekleştirme önerisi ve en iyi uygulamaya ilişkin kılavuzluk sağlar. Çizelge A.1 - amaçları ve kontroller A.5 Güvenlik politikası A.5.1 Bilgi güvenliği politikası Amaç: Bilgi güvenliği için, iş gereksinimleri ve ilgili yasa ve düzenlemelere göre yönetim yönlendirmesi ve desteği sağlamak. A A Bilgi güvenliği politika dokümanı Bilgi güvenliği politikasını gözden geçirme Bir bilgi güvenliği politika dokümanı, yönetim tarafından onaylanmalı, yayınlanmalı ve tüm çalışanlar ve ilgili dış taraflara bildirilmelidir. Bilgi güvenliği politikası, belirli aralıklarda veya önemli değişiklikler ortaya çıktığında sürekli uygunluğunu, doğruluğunu ve etkinliğini sağlamak için gözden geçirilmelidir. A.6 Bilgi güvenliği organizasyonu A.6.1 İç organizasyon Amaç: Kuruluş içerisindeki bilgi güvenliğini yönetmek. A A Yönetimin bilgi güvenliğine bağlılığı Bilgi güvenliği koordinasyonu Yönetim kuruluş içinde güvenliği, açık yönlendirme, gösterilen bağlılık, açık atama ve bilgi güvenliği sorumluluklarının kabulü ile etkin şekilde desteklemelidir. Bilgi güvenliği faaliyetleri, kuruluşun farklı bölümlerinden uygun rolleri ve iş fonksiyonları olan temsilciler tarafından koordine edilmelidir. A Bilgi güvenliği sorumluluklarının tahsisi Tüm bilgi güvenliği sorumlulukları açıkça tanımlanmalıdır. 14

19 A Bilgi işleme tesisleri için yetki prosesi Yeni bilgi işleme tesisleri için, bir yönetim yetki prosesi tanımlanmalı ve gerçekleştirilmelidir. A Gizlilik anlaşmaları Bilginin korunması için kuruluşun ihtiyaçlarını yansıtan gizlilik ya da açıklamama anlaşmalarının gereksinimleri tanımlanmalı ve düzenli olarak gözden geçirilmelidir. A Otoritelerle iletişim İlgili otoritelerle uygun iletişim kurulmalıdır. A A Özel ilgi grupları ile iletişim Bilgi güvenliğinin bağımsız gözden geçirmesi Özel ilgi grupları veya diğer uzman güvenlik forumları ve profesyonel dernekler ile uygun iletişim kurulmalıdır. Kuruluşun bilgi güvenliği yönetimi yaklaşımı ve gerçekleştirilmesi (örneğin, bilgi güvenliği kontrol amaçları, kontroller, politikalar, prosesler ve prosedürleri) belirli aralıklarda veya güvenlik gerçekleştirmesinde önemli değişiklikler olduğunda bağımsız şekilde gözden geçirilmelidir. A.6.2 Dış taraflar Amaç: Kuruluşun dış taraflarca erişilen, işlenen, iletişim kurulan veya yönetilen bilgi ve bilgi işleme olanaklarının güvenliğini sağlamak. A A A Dış taraflarla ilgili riskleri tanımlama Müşterilerle ilgilenirken güvenliği ifade etme Üçüncü taraf anlaşmalarında güvenliği ifade etme Dış tarafları içeren iş proseslerinden kuruluşun bilgi ve bilgi işleme olanaklarına olan riskler tanımlanmalı ve erişim verilmeden önce uygun kontroller gerçekleştirilmelidir. Tanımlanmış tüm güvenlik gereksinimleri, müşterilere kuruluşun bilgi ve varlıklarına erişim vermeden önce ifade edilmelidir. Üçüncü tarafların, kuruluşun bilgi veya bilgi işleme olanaklarına erişimini, bunları işlemelerini, bunlarla iletişimini veya bunları yönetmelerini içeren ya da bilgi işleme olanaklarına ürün veya hizmetler ekleyen anlaşmalar tüm ilgili güvenlik gereksinimlerini kapsamalıdır. 15

20 A.7 Varlık yönetimi A.7.1 Varlıkların sorumluluğu Amaç: Kurumsal varlıkların uygun korumasını sağlamak ve sürdürmek. A A A Varlıkların envanteri Varlıkların sahipliği Varlıkların kabul edilebilir kullanımı Tüm varlıklar açıkça tanımlanmalı ve önemli varlıkların bir envanteri hazırlanmalı ve tutulmalıdır. Bilgi işleme olanakları ile ilişkili tüm bilgi ve varlıklar kuruluşun belirlenmiş bir bölümü tarafından sahiplenilmelidir 3). Bilgi işleme olanakları ile ilişkili bilgi ve varlıkların kabul edilebilir kullanım kuralları tanımlanmalı, dokümante edilmeli ve gerçekleştirilmelidir. A.7.2 Bilgi sınıflandırması Amaç: Bilgi varlıklarının uygun seviyede koruma almalarını sağlamak. A A Sınıflandırma kılavuzu Bilgi etiketleme ve işleme Bilgi, değeri, yasal gereksinimleri, hassaslığı ve kuruluş için kritikliğine göre sınıflandırılmalıdır. Bilgi etiketleme ve işleme için kuruluş tarafından benimsenen sınıflandırma düzenine uygun olarak bir dizi uygun prosedür geliştirilmeli ve gerçekleştirilmelidir. A.8 İnsan kaynakları güvenliği A.8.1 İstihdam 4) öncesi Amaç: Çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların kendi sorumluluklarını anlamalarını ve düşünüldükleri roller için uygun olmalarını sağlamak ve hırsızlık, sahtecilik ya da olanakların yanlış kullanımı risklerini azaltmak. A Roller ve sorumluluklar Çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların güvenlik rolleri ve sorumlulukları kuruluşun bilgi güvenliği politikasına uygun olarak tanımlanmalı ve dokümante edilmelidir. 3) Açıklama: Sahip terimi, varlıkların üretimi, geliştirilmesi, bakımı, kullanımı ve güvenliğini kontrol etmek için onaylanmış yönetim sorumluluğu bulunan kişi veya varlıkları tanımlar. Sahip terimi, gerçekten varlık üzerinde mülkiyet hakları olan kişi anlamına gelmez. 4) Açıklama: Buradaki istihdam sözcüğü aşağıdaki farklı anlamların tümünü kapsar anlamda kullanılmıştır: İnsanların istihdamı (geçici veya uzun süreli), iş rollerinin atanması, iş rollerinin değiştirilmesi, sözleşmelerin atanması ve bu düzenlemelerin herhangi birinin sonlandırılması. 16

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kapsam - Terimler

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kapsam - Terimler Kapsam - Terimler K A P A M Kapsam u standard kuruluşun bağlamı dâhilinde bir bilgi güvenliği yönetim sisteminin kurulması, uygulanması,sürdürülmesi ve sürekli iyileştirilmesi için şartları kapsar. u standard

Detaylı

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ T. C. TÜRK STANDARDLARI ENSTİTÜSÜ TS ISO/IEC 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ, TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Sunucu: Gürol GÖKÇİMEN 25.10.2014 Türk Standardları Enstitüsü 1 Güvenlik;

Detaylı

ISO/27001 EK-A MADDELERİ

ISO/27001 EK-A MADDELERİ A.5 politikaları A.5.1 için yönetimin yönlendirmesi Amaç: için, iş gereksinimleri ve ilgili yasalar ve düzenlemelere göre yönetimin yönlendirmesi ve desteğini sağlamak. A.5.1.1 A.5.1.2 için politikalar

Detaylı

ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ. Terimler Ve Tarifler. www.sisbel.biz

ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ. Terimler Ve Tarifler. www.sisbel.biz ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ Terimler Ve Tarifler 1 Kapsam 1.1 Genel Terimler Ve Tarifler Bu standart, bir hizmet yönetimi sistem (HYS) standardıdır. Bir HYS

Detaylı

ISO/IEC 27001:2013 REVİZYONU GEÇİŞ KILAVUZU

ISO/IEC 27001:2013 REVİZYONU GEÇİŞ KILAVUZU ISO/IEC 27001 in son versiyonu 01 Ekim 2013 tarihinde yayınlanmıştır. Standardın 2013 versiyonu, farklı sektör ve büyüklükteki firmaların gelişen bilgi güvenliği ve siber güvenlik tehditleri konularına

Detaylı

ISO 27001 Kurumsal Bilgi Güvenliği Standardı. Şenol Şen

ISO 27001 Kurumsal Bilgi Güvenliği Standardı. Şenol Şen ISO 27001 Kurumsal Bilgi Güvenliği Standardı Şenol Şen Bilgi Güvenliği Kavramı Bilgi güvenliği, bir varlık türü olarak bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme,

Detaylı

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ T. C. TÜRK STANDARDLARI ENSTİTÜSÜ BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ, TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Sunucu: Gürol GÖKÇİMEN 1 Bilgi Güvenliği Yönetim Sistemi Bilgi : anlamlı veri, (bir kurumun

Detaylı

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kontrol Amaçları ve Kontroller

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kontrol Amaçları ve Kontroller Amaçları ve ler ilgi güvenliği politikaları ilgi güvenliği için yönetimin yönlendirmesi Amaç: ilgi güvenliği için, iş gereksinimleri ve ilgili yasalar ve düzenlemelere göre yönetimin yönlendirmesi ve desteğini

Detaylı

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ BT Strateji Yönetimi BT Hizmet Yönetim Politikası Sürüm No: 6.0 Yayın Tarihi: 26.02.2015 444 0 545 2012 Kamu İhale Kurumu Tüm hakları

Detaylı

TS EN ISO 14001: 2005 AC: Haziran 2010

TS EN ISO 14001: 2005 AC: Haziran 2010 TÜRK STANDARDI TURKISH STANDARD Sayfa 1/5 ICS 13.020.10 TS EN ISO 14001: 2005 AC: Haziran 2010 Bu ek, CEN tarafından kabul edilen EN ISO 14001: 2004/AC: 2009 eki esas alınarak TSE Çevre İhtisas Grubu nca

Detaylı

İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ

İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ Ohsas 18001 Endüstrinin değişik dallarında faaliyet gösteren kuruluşların, faaliyet konularını yerine getirirken, İş Sağlığı ve Güvenliği konusunda da, faaliyet

Detaylı

ANKARA ŞUBESİ YAZ SEMĠNERLERĠ

ANKARA ŞUBESİ YAZ SEMĠNERLERĠ ANKARA ŞUBESİ YAZ SEMĠNERLERĠ 1 KALĠTE YÖNETĠMĠ Bayram ERTEM Makine Mühendisi 2 TEMEL KALĠTE KAVRAMLARI Kalite nedir? Müşteri beklentilerini karşılayabilme derecesi, Bir ürün veya hizmetin belirlenen veya

Detaylı

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Planlama - Destek

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Planlama - Destek Planlama - Destek Risk ve fırsatları ele alan faaliyetler enel ilgi güvenliği yönetim sistemi planlaması yaparken, kuruluş Madde 4.1 de atıf yapılan hususları ve Madde 4.3. de atıf yapılan şartları göz

Detaylı

Cahide ÜNAL Mart 2011

Cahide ÜNAL Mart 2011 Cahide ÜNAL Mart 2011 Bilgi, bir kurumun en önemli değerlerinden birisidir ve sürekli korunması gerekir. TS ISO IEC 17799:2005 2 BİLGİ TÜRLERİ Kağıt üzerine basılmış, yazılmış Elektronik olarak saklanan

Detaylı

UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5

UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5 UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5 1. AMAÇ Türksat İnternet ve İnteraktif Hizmetler Direktörlüğü nün bilgi güvenliğini yönetmekteki amacı; bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında

Detaylı

POL.01 Rev.Tar/No:22.02.2012/1.0 HĠZMETE ÖZEL

POL.01 Rev.Tar/No:22.02.2012/1.0 HĠZMETE ÖZEL SAYFA 1 / 6 1. AMAÇ TÜRKSAT ın bilgi güvenliğini yönetmekteki amacı; bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirilerek içeriden ve/veya dışarıdan gelebilecek, kasıtlı veya kazayla

Detaylı

ISO 9001 : 2000 KALİTE YÖNETİM SİSTEMİ. Doç.Dr. Nihal ERGİNEL ANADOLU ÜNİVERSİTESİ Endüstri Mühendisliği Bölümü Eskişehir

ISO 9001 : 2000 KALİTE YÖNETİM SİSTEMİ. Doç.Dr. Nihal ERGİNEL ANADOLU ÜNİVERSİTESİ Endüstri Mühendisliği Bölümü Eskişehir ISO 9001 : 2000 KALİTE YÖNETİM SİSTEMİ Doç.Dr. Nihal ERGİNEL ANADOLU ÜNİVERSİTESİ Endüstri Mühendisliği Bölümü Eskişehir 1 TEMEL KALİTE KAVRAMLARI Kalite Güvencesi nedir? Ürün veya hizmet ile ilgili kalite

Detaylı

ISO/IEC 27001 Özdeğerlendirme Soru Listesi

ISO/IEC 27001 Özdeğerlendirme Soru Listesi ISO/IEC 27001 Özdeğerlendirme Soru Listesi Bu soru listesindeki sorular, kurduğunuz/kuracağınız yönetim sistemdeki belirli alanlara daha fazla ışık tutmak, tekrar değerlendirerek gözden geçirmek ve denetime

Detaylı

Laboratuvar Akreditasyonu

Laboratuvar Akreditasyonu Akreditasyon Laboratuvar, muayene ve belgelendirme kuruluşlarının ulusal ve uluslararası kabul görmüş teknik kriterlere göre değerlendirilmesi, yeterliliğin onaylanması ve düzenli aralıklarla denetlenmesi

Detaylı

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ İş Sürekliliği İş Sürekliliği Yönetim Sistemi Politikası Sürüm No: 5.0 Yayın Tarihi: 11.05.2014 444 0 545 2012 Kamu İhale Kurumu

Detaylı

KAMU İÇ KONTROL STANDARTLARI

KAMU İÇ KONTROL STANDARTLARI KAMU İÇ KONTROL KONTROL ORTAMI İç kontrolün temel unsurlarına temel teşkil eden genel bir çerçeve olup, kişisel ve mesleki dürüstlük, yönetim ve personelin etik değerleri, iç kontrole yönelik destekleyici

Detaylı

KKTC MERKEZ BANKASI. BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ

KKTC MERKEZ BANKASI. BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ KKTC MERKEZ BANKASI BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ İçindekiler Giriş... 1 1 Amaç... 1 2 Bilgi Güvenliği Politikaları... 1

Detaylı

BİLGİ GÜVENLİĞİ POLİTİKASI

BİLGİ GÜVENLİĞİ POLİTİKASI Birliği liği B.G. PO.1 1/8 BGYS POLİTİKASI 2 1. AMAÇ.. 2 2.KAPSAM.. 2 3. TANIMLAR ve KISALTMALAR... 2 4. BİLGİ GÜVENLİĞİ HEDEFLERİ VE PRENSİPLERİ.. 3 5. BİLGİ GÜVENLİĞİ YAPISI VE ORGANİZASYONU... 3 BGYS

Detaylı

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ Bilgi Güvenliği Bilgi Güvenliği Yönetim Sistemi Politikası Sürüm No: 4.0 Yayın Tarihi:11.05.2014 444 0 545 2012 Kamu İhale Kurumu

Detaylı

BİLGİ GÜVENLİĞİ POLİTİKASI

BİLGİ GÜVENLİĞİ POLİTİKASI Doküman No: EBG-GPOL-01 Revizyon No: 01 Tarih:01.08.2011 Sayfa No: 1/5 Amaç: Bu Politikanın amacı E-TUĞRA EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. nin ve hizmet sunduğu birimlerin sahip olduğu bilgi

Detaylı

TÜRK STANDARDI TURKISH STANDARD

TÜRK STANDARDI TURKISH STANDARD TÜRK STANDARDI TURKISH STANDARD TS 18001 Nisan 2008 ICS 03.100.01; 13.100 İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMLERİ - ŞARTLAR Occupational health and safety management systems - Requirements TÜRK STANDARDLARI

Detaylı

Madde 5- Yeni ya da Değişen Hizmetlerin Tasarlanması ve Dönüşümü

Madde 5- Yeni ya da Değişen Hizmetlerin Tasarlanması ve Dönüşümü ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ Madde 5- Yeni ya da Değişen Hizmetlerin Tasarlanması ve Dönüşümü 5.1 Genel Hizmet sağlayıcı, hizmetler ve müşteri üzerinde önemli

Detaylı

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri o MerSis Danışmanlık Hizmetleri Çalışanlarınız, tesisleriniz, üretim araçlarınız koruma altında! Bilgileriniz? danışmanlık hizmetlerimiz, en değerli varlıklarınız arasında yer alan bilgilerinizin gizliliğini,

Detaylı

ISO 27001:2013 BGYS BAŞTETKİKÇİ EĞİTİMİ

ISO 27001:2013 BGYS BAŞTETKİKÇİ EĞİTİMİ 1.Tetkik Gün Sayısı İle İlgili Tanımlar Tetkik Süresi: Bir tetkikte harcanan toplam zaman. Her tür tetkikte, tetkik zamanı bina turlarında geçen süreleri, planın dışında geçen süre, dokümanların gözden

Detaylı

BÖLÜM 4 İÇ KONTROL SİSTEMİ

BÖLÜM 4 İÇ KONTROL SİSTEMİ BÖLÜM 4 İÇ KONTROL SİSTEMİ Öğr. Gör. Mehmet KÖRPİ KONTROL KAVRAMI İşletmenin belirlenen amaçlarına ulaşması için, işletme yöneticilerinin almış olduğu önlemlere, uyguladığı yöntemlere kontrol usul ve yöntemleri

Detaylı

Tetkik Gün Sayısı Tespiti www.sisbel.biz

Tetkik Gün Sayısı Tespiti www.sisbel.biz ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ Tetkik Gün Sayısı Tespiti 1.Tetkik Gün Sayısı İle İlgili Tanımlar Tetkik Süresi: Bir tetkikte harcanan toplam zaman. Her tür tetkikte,

Detaylı

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ BT Strateji Yönetimi BT Hizmet Yönetim Politikası Sürüm No: 5.0 Yayın Tarihi: 14.07.2014 444 0 545 2012 Kamu İhale Kurumu Tüm hakları

Detaylı

TÜRK STANDARDI TSEK TURKISH STANDARD TS EN ISO 9001

TÜRK STANDARDI TSEK TURKISH STANDARD TS EN ISO 9001 TÜRK STANDARDI TURKISH STANDARD TS EN ISO 9001 Mart 2009 ICS 03.120.10 KALİTE YÖNETİM SİSTEMLERİ - ŞARTLAR Quality management systems - Requirements TS EN ISO 9001 (2009) standardı, EN ISO 9001 (2008)

Detaylı

TÜRK AKREDİTASYON KURUMU R20.08

TÜRK AKREDİTASYON KURUMU R20.08 R20.08 LABORATUVARLARDA YÖNETİMİN GÖZDEN GEÇİRME FAALİYETİ Rev.00 03-2002 1. GİRİŞ 1.1 TS EN ISO/IEC 17025 (2000) Deney ve Kalibrasyon Laboratuvarlarının Yeterliliği için Genel Şartlar standardında bir

Detaylı

ISO 9001 Kalite Terimleri

ISO 9001 Kalite Terimleri Kalite: Mevcut ve var olan karakteristiklerin şartları karşılama derecesine verilen isimdir (ISO 9000) Kalite Politikası: Kalite ile ilişkili olarak üst yönetim tarafından resmi olarak formüle edilen kuruluşun

Detaylı

Enerji Yönetimi 11 Aralık 2015. Ömer KEDİCİ

Enerji Yönetimi 11 Aralık 2015. Ömer KEDİCİ Enerji Yönetimi 11 Aralık 2015 Ömer KEDİCİ Tanım Enerji yönetimi ; Planlama, Koordinasyon ve Kontrol gibi birbirinden bağımsız olduklarında etkisiz kalabilecek işlevlerin bir araya gelerek oluşturdukları

Detaylı

TÜRK STANDARDI TURKISH STANDARD

TÜRK STANDARDI TURKISH STANDARD ICS 91.100.10 TÜRK STANDARDI TASARISI tst 25 004 TÜRK STANDARDI TURKISH STANDARD TS 13536 Aralık 2012 ICS 11.180.01; 11.180.15 TS ISO 23599 UN UYGULAMASINA YÖNELİK TAMAMLAYICI STANDARD Complementary Turkish

Detaylı

BS 8800 İŞ SAĞLIĞI VE İŞ GÜVENLİĞİ YÖNETİM REHBER STANDARDI

BS 8800 İŞ SAĞLIĞI VE İŞ GÜVENLİĞİ YÖNETİM REHBER STANDARDI BS 8800 İŞ SAĞLIĞI VE İŞ GÜVENLİĞİ YÖNETİM REHBER STANDARDI Dr. Handan TOPÇUOĞLU Ph.D. Dr. Şenay ÖZDEMIR Ph.D. İdeal İş sağlığı Ltd.şti. (HS(G)65 BAŞARILI SAĞLIK VE GÜVENLİK YÖNETİM SİSTEMLERİNİ (UK) TEMEL

Detaylı

ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU Dünyada en çok kullanılan yönetim sistemi standardı ISO 9001 Kalite Yönetim Sistemi Standardının son revizyonu 15 Eylül 2015 tarihinde yayınlanmıştır.

Detaylı

Prosedür. Kalite Yönetim Sisteminde Neden gerçekleştirilecek?

Prosedür. Kalite Yönetim Sisteminde Neden gerçekleştirilecek? Prosedür Bir faaliyeti veya bir bir amaca ulaşmak için izlenen yol ve yöntem (TDK) Prosesi icra etmek için belirlenen yol (ISO 9000) Faaliyetleri yeterli kontrolü sağlayacak detayda tarif eden dokümanlardır

Detaylı

DİKKAT. ISO 9001:2000 Standart Madde No. Paragraf / Şekil / Tablo / Not. Eklendi(E) ya da Silindi(S) Değişiklikler

DİKKAT. ISO 9001:2000 Standart Madde No. Paragraf / Şekil / Tablo / Not. Eklendi(E) ya da Silindi(S) Değişiklikler IO 9001:2000 tandart Madde No 0.1 DİKKAT Paragraf / Şekil / Tablo / Not Cümle 2 klendi() ya da ilindi() paragraf 0.1 Paragraf 4 0.2 Paragraf 2 0.2 0.3 Paragraf 1 0.3 Aşağıdaki tercüme T'nin resmi bir tercümesi

Detaylı

TÜRKĠYE BĠLĠMSEL VE TEKNOLOJĠK ARAġTIRMA KURUMU BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI ÇALIġMA USUL VE ESASLARI

TÜRKĠYE BĠLĠMSEL VE TEKNOLOJĠK ARAġTIRMA KURUMU BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI ÇALIġMA USUL VE ESASLARI TÜRKĠYE BĠLĠMSEL VE TEKNOLOJĠK ARAġTIRMA KURUMU BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI ÇALIġMA USUL VE ESASLARI BĠRĠNCĠ BÖLÜM Amaç ve Kapsam, Dayanak ve Tanımlar Amaç ve kapsam MADDE 1- (1) Bu Usul ve Esasların

Detaylı

DOKÜMAN KODU YAYINLANMA TARİHİ REVİZYON NO REVİZYON TARİHİ SAYFA NO. BG-RH-01 01.03.2015 00 Sayfa 1 / 6

DOKÜMAN KODU YAYINLANMA TARİHİ REVİZYON NO REVİZYON TARİHİ SAYFA NO. BG-RH-01 01.03.2015 00 Sayfa 1 / 6 BG-RH-01 01.03.2015 00 Sayfa 1 / 6 BGYS Politikası Rehberi; T.C. Sağlık Bakanlığı Aydın Kamu Hastaneleri Birliği Genel Sekreterliği bünyesinde yürütülen bilgi güvenliği yönetim sistemi çalışmalarının kapsamını,

Detaylı

İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ

İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ Ali Dinçkan, BTYÖN Danışmanlık İş sürekliliği, kurumun kritik süreçlerinin belirlenmesi, bu süreçlerin sürekliliği için gerekli çalışmaların

Detaylı

Madde 7 - İlişki süreçleri www.sisbel.biz

Madde 7 - İlişki süreçleri www.sisbel.biz ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ Madde 7 - İlişki süreçleri 7.1 İş ilişkisi yönetimi Hizmet sağlayıcı; müşterileri, kullanıcıları ve hizmetlerin ilgili taraflarını

Detaylı

EKLER. EK 12UY0106-4/A5-2: Yeterlilik Biriminin Ölçme ve Değerlendirmesinde Kullanılacak Kontrol Listesi

EKLER. EK 12UY0106-4/A5-2: Yeterlilik Biriminin Ölçme ve Değerlendirmesinde Kullanılacak Kontrol Listesi EKLER EK 12UY0106-4/A5-1: nin Kazandırılması için Tavsiye Edilen Eğitime İlişkin Bilgiler Bu birimin kazandırılması için aşağıda tanımlanan içeriğe sahip bir eğitim programının tamamlanması tavsiye edilir.

Detaylı

TÜRK STANDARDI TASARISI DRAFT TURKISH STANDARD KALİTE YÖNETİM SİSTEMLERİ - ŞARTLAR. Quality management systems Requirements

TÜRK STANDARDI TASARISI DRAFT TURKISH STANDARD KALİTE YÖNETİM SİSTEMLERİ - ŞARTLAR. Quality management systems Requirements TÜRK STANDARDI TASARISI DRAFT TURKISH STANDARD tst EN ISO 9001:2008 ICS 03.120.10 KALİTE YÖNETİM SİSTEMLERİ - ŞARTLAR Quality management systems Requirements 1. MÜTALÂA 2008/73929 Bu tasarıya görüş verilirken,

Detaylı

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi KURUMLAR İÇİN SİBER GÜVENLİK ÖNLEMLERİNİ ÖLÇME TESTİ DOKÜMANI Kurumlar İçin Siber Güvenlik Önlemlerini Ölçme Testi Dokümanı, kamu kurum ve kuruluşları ile özel sektör temsilcilerinin siber güvenlik adına

Detaylı

Farkındalılık ISO 9001 Kalite Yönetim Sistemi Eğitimi. Uygulama ve başarımın anahtarları

Farkındalılık ISO 9001 Kalite Yönetim Sistemi Eğitimi. Uygulama ve başarımın anahtarları ISO 9001 Kalite Yönetim Sistemi Eğitimi Uygulama ve başarımın anahtarları 1 Genel Eğitim Hakkında Kalite ve Yönetim Sistemi Kavramlar ve amaçlar TKY ve Kalite Yönetim Sistemi Standart maddeleri Fayda sağlamanın

Detaylı

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI KOD BY. PO.01 YAY. TRH 16.12.2015 REV. TRH REV. NO SAYFA NO 1/7 1. Amaç BGYS politikası, T.C. Sağlık Bakanlığı, TKHK İstanbul Anadolu Kuzey Genel Sekreterliği bünyesinde yürütülen bilgi güvenliği yönetim

Detaylı

DOKÜMAN KOTROLÜ. Çeviri: Elif KILIÇ, Gıda Müh. Düzenleme: Fırat ÖZEL, Gıda Müh.

DOKÜMAN KOTROLÜ. Çeviri: Elif KILIÇ, Gıda Müh. Düzenleme: Fırat ÖZEL, Gıda Müh. BRC Gıda standardında geçen gerekliliklerin bir kısmına yönelik olarak açıklayıcı klavuzlar BRC tarafından yayınlandı. Bu klavuzlardan biri olan bu dokümanın Türkçe çevirisi Sayın ELİF KILIÇ tarafından

Detaylı

BAŞ DENETÇİ PROGRAMLARI

BAŞ DENETÇİ PROGRAMLARI BAŞ DENETÇİ PROGRAMLARI İçindekiler ISO 9001:2008 Baş Denetçi Eğitimi... ISO 14001:2004 Baş Denetçi Eğitimi... OHSAS 18001:2007 Baş Denetçi Eğitimi... ISO 22000:2005 Baş Denetçi Eğitimi... ISO 9001:2008

Detaylı

Yazılım-donanım destek birimi bulunmalıdır.

Yazılım-donanım destek birimi bulunmalıdır. BİLGİ YÖNETİMİ Yazılım-donanım destek birimi bulunmalıdır. o Yazılım-donanım destek birimi 24 saat kesintisiz hizmet sunmalı, o Yazılım-donanım destek birimi çalışanlarının güncel iletişim bilgileri santralde

Detaylı

Yrd. Doç. Dr. Ayça Tarhan. Hacettepe Üniversitesi Bilgisayar Mühendisliği Bölümü atarhan@hacettepe.edu.tr

Yrd. Doç. Dr. Ayça Tarhan. Hacettepe Üniversitesi Bilgisayar Mühendisliği Bölümü atarhan@hacettepe.edu.tr Yrd. Doç. Dr. Ayça Tarhan Hacettepe Üniversitesi Bilgisayar Mühendisliği Bölümü atarhan@hacettepe.edu.tr Süreç Değerlendirme Nedir? Süreç: Girdileri çıktılara dönüştüren, ilişkili veya etkileşimli etkinlikler

Detaylı

DENEY VEYA KALİBRASYON LABORATUVARLARININ TS EN ISO/IEC 17025:2005 STANDARDINA GÖRE DENETİMİ VE AKREDİTASYONU

DENEY VEYA KALİBRASYON LABORATUVARLARININ TS EN ISO/IEC 17025:2005 STANDARDINA GÖRE DENETİMİ VE AKREDİTASYONU 583 DENEY VEYA KALİBRASYON LABORATUVARLARININ TS EN ISO/IEC 17025:2005 STANDARDINA GÖRE DENETİMİ VE AKREDİTASYONU Şahin ÖZGÜL ÖZET Deney veya kalibrasyon laboratuarları kendi sözcük dağarcıklarını özenle

Detaylı

10 SORUDA İÇ KONTROL

10 SORUDA İÇ KONTROL T.C. İÇİŞLERİ BAKANLIĞI Avrupa Birliği ve Dış İlişkiler Dairesi Başkanlığı 10 SORUDA İÇ KONTROL 1 Neden İç Kontrol? Dünyadaki yeni gelişmeler ışığında yönetim anlayışı da değişmekte ve kamu yönetimi kendini

Detaylı

1- Neden İç Kontrol? 2- İç Kontrol Nedir?

1- Neden İç Kontrol? 2- İç Kontrol Nedir? T.C. İÇİŞLERİ BAKANLIĞI KİHBİ Dairesi Başkanlığı 10 SORUDA İÇ KONTROL MAYIS 2014 ANKARA 1- Neden İç Kontrol? Dünyadaki yeni gelişmeler ışığında yönetim anlayışı da değişmekte ve kamu yönetimi kendini sürekli

Detaylı

TÜRK STANDARDI TURKISH STANDARD

TÜRK STANDARDI TURKISH STANDARD TÜRK STANDARDI TURKISH STANDARD TS EN ISO 9001:2000 (T1: Kasım 2001 Dahil) ICS 03.120.10 KALİTE YÖNETİM SİSTEMLERİ ŞARTLAR Quality management systems - Requirements TÜRK STANDARDLARI ENSTİTÜSÜ Necatibey

Detaylı

ÖZ DEĞERLENDİRME SORU LİSTESİ

ÖZ DEĞERLENDİRME SORU LİSTESİ T.C TÜRKİYE KAMU HASTANELERİ KURUMU BURSA İLİ KAMU HASTANELERİ BİRLİĞİ GENEL SEKRETERLİĞİ ORHANELİ İLÇE DEVLET HASTANESİ VE RAPORU BİLGİ YÖNETİMİ ÖZDEĞERLENDİRME SORU LİSTESİ TARİH: Doküman Kodu Yayın

Detaylı

DOK-004 BGYS Politikası

DOK-004 BGYS Politikası DOK-004 BGYS Politikası 1/7 Hazırlayanlar İsim Şule KÖKSAL Ebru ÖZTÜRK Döndü Çelik KOCA Unvan Defterdarlık Uzmanı Defterdarlık Uzmanı Çözümleyici Onaylayan İsim Mustafa AŞÇIOĞLU Unvan Genel Müdür Yardımcısı

Detaylı

Yapı ve İnşaat İşleri Yönetimi

Yapı ve İnşaat İşleri Yönetimi STANDARD LME-12:001901 Utr Dzl. A İçindekiler 1 Giriş... 3 2 Tanımlar... 3 3 Gereksinimler... 4 3.1 Genel... 4 3.2 Sorumluluklar... 4 3.3 OHS Güvenlik Planı... 4 3.4 Yapı Başlangıç Aşaması... 6 3.5 Saha

Detaylı

YZM5604 Bilgi Güvenliği Yönetimi. 25 Kasım 2014. Dr. Orhan Gökçöl. http://akademik.bahcesehir.edu.tr/~gokcol/yzme5604

YZM5604 Bilgi Güvenliği Yönetimi. 25 Kasım 2014. Dr. Orhan Gökçöl. http://akademik.bahcesehir.edu.tr/~gokcol/yzme5604 YZM5604 Bilgi Güvenliği Yönetimi 25 Kasım 2014 Dr. Orhan Gökçöl http://akademik.bahcesehir.edu.tr/~gokcol/yzme5604 Bahçeşehir Üniversitesi, Fen Bilimleri Enstitüsü Duyuru Proje Grupları Oluşturma => YARIN

Detaylı

DENİZLİ BÜYÜKŞEHİR BELEDİYESİ KALİTE YÖNETİM VE AR-GE ŞUBE MÜDÜRLÜĞÜ TEŞKİLAT YAPISI VE ÇALIŞMA ESASLARINA DAİR YÖNERGE

DENİZLİ BÜYÜKŞEHİR BELEDİYESİ KALİTE YÖNETİM VE AR-GE ŞUBE MÜDÜRLÜĞÜ TEŞKİLAT YAPISI VE ÇALIŞMA ESASLARINA DAİR YÖNERGE DENİZLİ BÜYÜKŞEHİR BELEDİYESİ KALİTE YÖNETİM VE AR-GE ŞUBE MÜDÜRLÜĞÜ TEŞKİLAT YAPISI VE ÇALIŞMA ESASLARINA DAİR YÖNERGE BİRİNCİ BÖLÜM Amaç, Kapsam, Hukuki Dayanak, İlkeler ve Tanımlar Amaç Madde 1- Bu

Detaylı

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri MerSis Bağımsız Denetim Hizmetleri risklerinizin farkında mısınız? bağımsız denetim hizmetlerimiz, kuruluşların Bilgi Teknolojileri ile ilgili risk düzeylerini yansıtan raporların sunulması amacıyla geliştirilmiştir.

Detaylı

YÖNETİMİN SORUMLULUĞU PROSEDÜRÜ

YÖNETİMİN SORUMLULUĞU PROSEDÜRÜ 1. AMAÇ Doküman No: P / 5.1 Revizyon No : 0 Sayfa : 1 / 5 Yayın Tarihi: 19.01.2010 Bu prosedürün amacı, İ.Ü. İstanbul Tıp Fakültesi Yönetimi nin Kalite Politikası ve hedeflerini oluşturmak, yönetim sistemini

Detaylı

MEHMET ŞİRİN DENETİM STANDARTLARI DAİRESİ BAŞKANI

MEHMET ŞİRİN DENETİM STANDARTLARI DAİRESİ BAŞKANI MEHMET ŞİRİN DENETİM STANDARTLARI DAİRESİ BAŞKANI Bağımsız Denetim Standartları 1. Kilit Terimlerin Belirlenmesi 2. Metnin Çevrilmesi 3. İlk Uzman Kontrolü 4. Çapraz Kontrol İkinci Uzman Kontrolü 5. Metnin

Detaylı

KAYISI ARAŞTIRMA İSTASYONU MÜDÜRLÜĞÜ EK 3.4 KALİTE YÖNETİM / İÇ KONTROL BİRİMİ

KAYISI ARAŞTIRMA İSTASYONU MÜDÜRLÜĞÜ EK 3.4 KALİTE YÖNETİM / İÇ KONTROL BİRİMİ KAYISI ARAŞTIRMA İSTASYONU MÜDÜRLÜĞÜ EK 3.4 KALİTE YÖNETİM / İÇ KONTROL BİRİMİ Kalite Yöneticisi Dök.No KAİM.İKS.FRM.081 Sayfa No 1/ 3 İŞİN KISA TANIMI: Kayısı Araştırma İstasyonu Müdürlüğü üst yönetimi

Detaylı

T.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı

T.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı T.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı SORU VE CEVAPLARLA İÇ KONTROL Ankara-2012 İÇİNDEKİLER 1 Neden İç Kontrol? 2 İç Kontrol Nedir? 3 İç Kontrolün Amacı Nedir? 4 İç Kontrolün Yasal

Detaylı

TARİH :06/08/2007 REVİZYON NO: 3. www.marelektrik.com KALİTE EL KİTABI : YÖNETİM TEMSİLCİSİ. Sayfa 1 / 6

TARİH :06/08/2007 REVİZYON NO: 3. www.marelektrik.com KALİTE EL KİTABI : YÖNETİM TEMSİLCİSİ. Sayfa 1 / 6 TARİH :06/08/2007 REVİZYON NO: 3 KALİTE EL KİTABI HAZIRLAYAN ONAYLAYAN : YÖNETİM TEMSİLCİSİ : YÖN. KURUL BŞK. Sayfa 1 / 6 TARİH :06/08/2007 REVİZYON NO:3 İÇİNDEKİLER : 1. TANITIM, 2. KALİTE POLİTİKASI

Detaylı

DESTEKLEYİCİ VE SÖZLEŞMELİ ARAŞTIRMA KURULUŞU İLE İLGİLİ İYİ KLİNİK UYGULAMALARI DENETİMLERİNİN YÜRÜTÜLMESİNE İLİŞKİN KILAVUZ

DESTEKLEYİCİ VE SÖZLEŞMELİ ARAŞTIRMA KURULUŞU İLE İLGİLİ İYİ KLİNİK UYGULAMALARI DENETİMLERİNİN YÜRÜTÜLMESİNE İLİŞKİN KILAVUZ DESTEKLEYİCİ VE SÖZLEŞMELİ ARAŞTIRMA KURULUŞU İLE İLGİLİ İYİ KLİNİK UYGULAMALARI DENETİMLERİNİN YÜRÜTÜLMESİNE İLİŞKİN KILAVUZ 1. GİRİŞ Bu kılavuz, destekleyicinin merkezinde veya destekleyicinin araştırmayla

Detaylı

ANET Bilgi Güvenliği Yönetimi ve ISO 27001. Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011

ANET Bilgi Güvenliği Yönetimi ve ISO 27001. Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011 ANET Bilgi Güvenliği Yönetimi ve ISO 27001 2011 Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011 ISO 27001 AŞAMA 1 BGYS Organizasyonu BGYS kapsamının belirlenmesi Bilgi güvenliği politikasının oluşturulması BGYS

Detaylı

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001 İstanbul Bilişim Kongresi Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması COBIT ve ISO 27001 Merve Saraç, CISA merve@mersis.com.tr MerSis Bilgi Teknolojileri Danışmanlık

Detaylı

EKLER EK 12UY0106-5/A5-1:

EKLER EK 12UY0106-5/A5-1: Yayın Tarihi: 26/12/2012 Rev. :01 EKLER EK 12UY0106-5/A5-1: nin Kazandırılması için Tavsiye Edilen Eğitime İlişkin Bilgiler Bu birimin kazandırılması için aşağıda tanımlanan içeriğe sahip bir eğitim programının

Detaylı

BİLGİ GÜVENLİĞİ POLİTİKASI

BİLGİ GÜVENLİĞİ POLİTİKASI Bilgi Güvenliği Politikası Sayfa : 1/9 BİLGİ GÜVENLİĞİ POLİTİKASI Doküman Bilgileri Adı: Doküman No: Revizyon No: Doküman Tarihi: Referans / Gerekçe Onaylayan Bilgi Güvenliği Politikası İlk yayındır Ödeme

Detaylı

KURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ KURUMSAL RİSK YÖNETİMİ: KAVRAMSAL VE TEORİK ÇERÇEVE

KURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ KURUMSAL RİSK YÖNETİMİ: KAVRAMSAL VE TEORİK ÇERÇEVE KURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ KURUMSAL RİSK YÖNETİMİ: KAVRAMSAL VE TEORİK ÇERÇEVE SUNUM PLANI 1. RİSK VE RİSK YÖNETİMİ: TANIMLAR 2. KURUMSAL RİSK YÖNETİMİ 3. KURUMSAL RİSK YÖNETİMİ DÖNÜŞÜM SÜRECİ

Detaylı

ŞİKAYET / İTİRAZ VE GERİ BİLDİRİM PROSEDÜRÜ

ŞİKAYET / İTİRAZ VE GERİ BİLDİRİM PROSEDÜRÜ Sayfa No: 1/5 A. İÇİNDEKİLER Bölüm KONU SAYFA NO REFERANS STANDART MADDESİ TS EN ISO IEC 17020:2012 A. İÇİNDEKİLER 1 B. ŞİKAYET / İTİRAZ VE GERİ BİLDİRİM 2 7.6 1. AMAÇ 2 2. KAPSAM 2 3. SORUMLULUK 2 3.1

Detaylı

ISO 9000 Serisi Standartların Amacı Nedir?

ISO 9000 Serisi Standartların Amacı Nedir? ISO 9000 Serisi Standartların Amacı Nedir? Etkili bir yönetim sisteminin, nasıl kurulabileceği, dokümante edilebileceği ve sürdürülebileceği konusunda yol göstermek, firmalar arasında güven ortamı yaratmak;

Detaylı

HACCP Sistem Tetkikine Ait Resmi Form Resmi Kontrol Rapor No:

HACCP Sistem Tetkikine Ait Resmi Form Resmi Kontrol Rapor No: EK-5 HACCP Sistem Tetkikine Ait Resmi Form Resmi Kontrol Rapor No: TARİH: İNCELENECEK HUSUSLAR A) GENEL 1. İşyeri teknik ve hijyenik açıdan bu yönetmelikte belirtilen koşullara sahip mi? 2. El kitabı ön

Detaylı

Sayı : B.13.1.SGK.0.(İÇDEN).00.00/04 18/01/2008 Konu : İç Denetim Birimi GENELGE 2008/8

Sayı : B.13.1.SGK.0.(İÇDEN).00.00/04 18/01/2008 Konu : İç Denetim Birimi GENELGE 2008/8 Sayı : B.13.1.SGK.0.(İÇDEN).00.00/04 18/01/2008 Konu : İç Denetim Birimi GENELGE 2008/8 Bilindiği üzere; 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu ile yeni mali yönetim ve kontrol sisteminin gereği

Detaylı

Kalibrasyon/Deney Sonuçlarının Raporlanması ve Yorumlanması

Kalibrasyon/Deney Sonuçlarının Raporlanması ve Yorumlanması Kalibrasyon/Deney Sonuçlarının Raporlanması ve Yorumlanması Saliha TURHAN Kalite 13, 6. Kontrol, Metroloji, Test Ekipmanları ve Endüstriyel Yazılım Fuarı İstanbul, 16/11/2013 İçerik Sonuçların raporlanması

Detaylı

TÜRK STANDARDI TURKISH STANDARD

TÜRK STANDARDI TURKISH STANDARD TÜRK STANDARDI TURKISH STANDARD TS EN ISO 13485 Nisan 2004 ICS 03.120.10;11.040.01 TIBBî CİHAZLAR KALİTE YÖNETİM SİSTEMLERİ MEVZUAT AMAÇLARI BAKIMINDAN ŞARTLAR Medical devices Quality management systems

Detaylı

ISO 10002:2006 KALİTE YÖNETİMİ - MÜŞTERİ MENUNİYETİ KURULUŞLARDA ŞİKAYETLERİN ELE ALINMASI STANDARDI,21.09.2013

ISO 10002:2006 KALİTE YÖNETİMİ - MÜŞTERİ MENUNİYETİ KURULUŞLARDA ŞİKAYETLERİN ELE ALINMASI STANDARDI,21.09.2013 ISO 10002:2006 KALİTE YÖNETİMİ - MÜŞTERİ MENUNİYETİ KURULUŞLARDA ŞİKAYETLERİN ELE ALINMASI STANDARDI,21.09.2013 İSTANBUL 1 Eğitim Programı Tanışma Eğitim programı Eğitim Sorular Sertifika ve kapanış 2

Detaylı

TS ISO/IEC 20000-1 Bilgi Teknolojisi-Hizmet Yönetimi Temel Eğitimi. Bölüm 1 Hizmet Yönetim Sistemi Şartları

TS ISO/IEC 20000-1 Bilgi Teknolojisi-Hizmet Yönetimi Temel Eğitimi. Bölüm 1 Hizmet Yönetim Sistemi Şartları TS ISO/IEC 20000-1 Bilgi Teknolojisi-Hizmet Yönetimi Temel Eğitimi Bölüm 1 Hizmet Yönetim Sistemi Şartları Hoşgeldiniz Telefonlar-Eğitimin bölünmesine sebebiyet verilmemeli Kayıt cihazları-sınıf içinde

Detaylı

ISO 14001 ÇEVRE YÖNETİM SİSTEMİ HAKAN KARAGÖZ

ISO 14001 ÇEVRE YÖNETİM SİSTEMİ HAKAN KARAGÖZ Tanım: Bir kuruluşun faaliyetlerini içinde yürüttüğü; hava, su, toprak, doğal kaynaklar, bitki topluluğu, hayvan topluluğu ile insanları da ihtiva eden ortam ve bunun arasındaki ilişkiye "çevre" denilmektedir.

Detaylı

OHSAS 18001 İş Sağlığı Ve Güvenliği Yönetim Sistemi (Occupational Health and Safety Management System)

OHSAS 18001 İş Sağlığı Ve Güvenliği Yönetim Sistemi (Occupational Health and Safety Management System) OHSAS 18001 İş Sağlığı Ve Güvenliği Yönetim Sistemi (Occupational Health and Safety Management System) Kuruluşlarda karşılaşılan en önemli sorunlardan biri, çalışanların emniyetli ve sağlıklı bir çalışma

Detaylı

COBIT Bilgi Sistemleri Yönetimi. Şubat 2009

COBIT Bilgi Sistemleri Yönetimi. Şubat 2009 COBIT Bilgi Sistemleri Yönetimi Şubat 2009 Gündem Bilgi Sistemleri Yönetimi Bilgi Sistemleri Süreçleri Bilgi Sistemleri Yönetimi Uygulama Yol Haritası Bilgi Sistemleri (BS) Yönetimi Bilgi Sistemleri Yönetimi,

Detaylı

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ igur@gelirler.gov.tr Kaynak: GIB ÖZEL ENTEGRASYON NEDİR? Başka mükelleflerin faturalarını göndermek ve almak amacıyla bilgi işlem sisteminin Başkanlık sistemiyle

Detaylı

T.C. TUŞBA BELEDİYESİ

T.C. TUŞBA BELEDİYESİ T.C. TUŞBA BELEDİYESİ İç Kontrol Standartları EYLEM PLANI 1 1. İÇ KONTROL SİSTEMİNİNİN GENEL ESASLARI Amaç 5018 sayılı Kanunun 56 ncı maddesinde iç kontrolün amaçları; Kamu gelir, gider, varlık ve yükümlülüklerinin

Detaylı

DOKÜMANTE EDİLMİŞ KONTROL SİSTEMİ

DOKÜMANTE EDİLMİŞ KONTROL SİSTEMİ MUHAFAZA ZİNCİRİ Nº Uygunluk Kriteri Seviye MUHAFAZA ZİNCİRİ (Muhafaza zinciri standartları, hasat sonrası üretim süreci boyunca sertifikasyon durumu ile ilgili olarak İTU Sertifikalı üretim sürecinden

Detaylı

KOCAELİ BÜYÜKŞEHİR BELEDİYESİ

KOCAELİ BÜYÜKŞEHİR BELEDİYESİ KOCAELİ BÜYÜKŞEHİR BELEDİYESİ İÇ KONTROL EYLEM PLANI (2010 2011) (KONTROL FAALİYETLERİ) Sorumlu KFS 7 Kontrol stratejileri ve yöntemleri: İdareler, hedeflerine ulaşmayı amaçlayan ve riskleri karşılamaya

Detaylı

KOCAELİ BÜYÜKŞEHİR BELEDİYESİ İÇ KONTROL EYLEM PLANI (2011)

KOCAELİ BÜYÜKŞEHİR BELEDİYESİ İÇ KONTROL EYLEM PLANI (2011) KOCAELİ BÜYÜKŞEHİR BELEDİYESİ İÇ KONTROL EYLEM PLANI (2011) Standart Kod No KOS1 Etik Değerler ve Dürüstlük: Personel davranışlarını belirleyen kuralların personel tarafından bilinmesi sağlanmalıdır. KOS

Detaylı

DENETİM VE DOKÜMANTASYON BEKLENTİLERİ

DENETİM VE DOKÜMANTASYON BEKLENTİLERİ Terimler ve tarifler (Ref. ISO 14001) ISO 14001 ÇEVRE YÖNETİM SİSTEMLERİ İÇİN DENETİM ve DOKÜMANTASYON BEKLENTİLERİ Tetkikçi Bir tetkiki yapabilmeye yetkili uzman kişi. [ISO 9000:2000, Madde 3.9.9] Sürekli

Detaylı

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ POLİTİKASI

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ POLİTİKASI BG.PO.01 01.10.2013 1/15 BGYS... 2 1. AMAÇ... 2 2. KAPSAM... 2 Kurumun Bilgi Güvenliği kapsam alanı yazılacak.... 2 3. TANIMLAR ve KISALTMALAR... 2 4. BİLGİ GÜVENLİĞİ HEDEFLERİ VE PRENSİPLERİ... 3 5. BİLGİ

Detaylı

SÜREÇ YÖNETİMİ VE İÇ KONTROL STRATEJİ GELİŞTİRME BAŞKANLIĞI İÇ KONTROL DAİRESİ

SÜREÇ YÖNETİMİ VE İÇ KONTROL STRATEJİ GELİŞTİRME BAŞKANLIĞI İÇ KONTROL DAİRESİ SÜREÇ YÖNETİMİ VE İÇ KONTROL STRATEJİ GELİŞTİRME BAŞKANLIĞI İÇ KONTROL DAİRESİ SÜREÇ NEDİR? Müşteri/Vatandaş için bir değer oluşturmak üzere, bir grup girdiyi kullanarak, bunlardan çıktılar elde etmeyi

Detaylı

TÜRK STANDARDI TURKISH STANDARD

TÜRK STANDARDI TURKISH STANDARD TÜRK STANDARDI TURKISH STANDARD TS ISO/IEC 17799 Kasım 2002 ICS 35.040 BİLGİ TEKNOLOJİSİ - BİLGİ GÜVENLİĞİ YÖNETİMİ İÇİN UYGULAMA PRENSİPLERİ Information technology - Code of practice for information security

Detaylı

TETKİK SÜRELERİ BELİRLEME TALİMATI

TETKİK SÜRELERİ BELİRLEME TALİMATI Sayfa No 1/11 1. AMAÇ Tetkik tipleri ve kuruluş yapısı dikkate alındığında tetkikler için harcanacak adam/gün sayılarını ve ücretlerini belirlemektir. 2. KAPSAM Bu prosedürün uygulanmasından Planlama Sorumlusu,

Detaylı

KALİTE EL KİTABI PERSONEL BELGELENDİRME

KALİTE EL KİTABI PERSONEL BELGELENDİRME Sayfa Sayısı 1/5 1. KAPSAM TS EN ISO/IEC 17024 Personel belgelendirme kuruluşları için geliştirme ve sürdürebilirlik programları da dahil belirli şartlara göre personeli belgelendiren kuruluşlar için genel

Detaylı

ULUDAĞ ÜNİVERSİTESİ SAĞLIK KURULUŞLARI KALİTE YÖNETİM SİSTEMİ UYGULAMA KOMİTELERİ YÖNERGESİ BİRİNCİ BÖLÜM. Amaç, Kapsam Ve Yasal Dayanak

ULUDAĞ ÜNİVERSİTESİ SAĞLIK KURULUŞLARI KALİTE YÖNETİM SİSTEMİ UYGULAMA KOMİTELERİ YÖNERGESİ BİRİNCİ BÖLÜM. Amaç, Kapsam Ve Yasal Dayanak ULUDAĞ ÜNİVERSİTESİ SAĞLIK KURULUŞLARI KALİTE YÖNETİM SİSTEMİ UYGULAMA KOMİTELERİ YÖNERGESİ BİRİNCİ BÖLÜM Amaç, Kapsam Ve Yasal Dayanak Amaç Madde 1: Bu yönergenin amacı, Kalite Yönetim Sisteminin (KYS)

Detaylı

Kontrol: Gökhan BİRBİL

Kontrol: Gökhan BİRBİL Doküman Adı: YÖNETİMİN GÖZDEN GEÇİRMESİ PROSEDÜRÜ Doküman No.: Revizyon No: 06 Yürürlük Tarihi: 08.01.2011 Hazırlayan: Tekin ALTUĞ Kontrol: Gökhan BİRBİL Onay: H. İrfan AKSOY Sayfa 2 / 7 1. AMAÇ Bu prosedürün

Detaylı