Hazırlayan : Mustafa DEMİRCİ Adli Bilişim Uzmanı AĞUSTOS 2015-ANKARA. Tüm yayın hakları, Türkiye Kamu Hastaneleri Kurumuna aittir.
|
|
- Deniz Balbay
- 8 yıl önce
- İzleme sayısı:
Transkript
1 Hazırlayan : Mustafa DEMİRCİ Adli Bilişim Uzmanı Tüm yayın hakları, Türkiye Kamu Hastaneleri Kurumuna aittir. AĞUSTOS 2015-ANKARA
2 SUNUŞ Günümüzde gelişen bilişim teknolojileri sayesinde gerek bireysel gerekse kurumsal bir çok iş ve işlemlerimizi bilgi teknolojilere borçluyuz. Bilgiye ulaşmak bu kadar kolay hale geldiği bir dönemde kurumsal olarak üretilen bilgininin de belli standartlar dahilinde korunması zorunluluk arz etmektedir. Bu nedenle bilgi güvenliği aslında yeni bir kavram olmamakla beraber, teknolojinin gelişmesi ile birlikte günümüzde popülerliği ve bilinirliliği artmış durumdadır. Bu nedenle kuruluşların en büyük zorluklarından ve aynı zamanda zorunluluklarından en önemlisi sahip olduğu bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamalarındaki sarf ettikleri çabalar olduğunu söylemek bu anlamda yanlış olmayacaktır. Zaman ilerledikçe bilginin kullanımı artmış, aynı zamanda bilginin bir yerden başka bir yere gönderilme ihtiyacı (transferi) ortaya çıkmıştır. Bu sebepten bilginin güvenli bir şekilde korunmasına önem verilmeye başlanmıştır. Bilgiyi en kısa şekilde tanımlarsak; kurumlarımız için anlamlı hale getirilmiş tüm veriler kümesidir. Bilgi güvenliği ise, kurumlarımızda işlenerek üretilen ve anlamlı hale gelmiş bu veri kümelerinin korunması şeklinde de tanımlayabiliriz. Her birey bilgi sistemleri üzerinden hizmet alırken veya hizmet sunarken anlamlandırılmış bu veri kümelerinden istifade ederler. Bu çerçeveden bakıldığında kişilerin bilgi güvenliği önem arz ederken, bundan daha önemlisi, kişilerin güvenliğini doğrudan etkileyen kurumsal bilgi güvenliğidir. Yapılan bu çalışmanın tüm sağlık teşkilatlarımızdaki personelimize ışık tutması dileğiyle Uzm. Dr. Merve AKIN Kurum Başkan Yardımcısı Sayfa 1
3 KISALTMALAR : ISO : (International Organization for Standardization), Uluslararası Standartlar Teşkilâtı BGYS :Bilgi (Information Security Management System) Güvenliği Yönetim Sistemi OECD : (Organisation de coopération et de développement économiques), Uluslararası ekonomi örgütü. TSE : Türk Standartları Enstitüsü Web : World Wide Web (kısaca WWW veya web), internet üzerinde yayınlanan birbirleriyle bağlantılı hiper-metin dokümanlarından oluşan bir bilgi sistemidir. Sayfa 2
4 GİRİŞ Bilgi güvenliğine ilişkin uluslararası standartlar bilgiyi bir kurumun önemli değerlerinden biri olarak tanımlamakta ve sürekli korunmasını istemektedir. Bilginin korunması gereken temel nitelikleri olarak gizli yanının açığa çıkarılmaması, bütünlüğünün bozulmaması ve kullanımına ihtiyaç duyulduğunda ulaşılabilir olması şeklinde tariflenmektedir. Bilgi ve iletişim teknolojilerinde yaşanan baş döndürücü gelişmeler, daha küçük boyutta daha fazla bilgi depolanabilmekte ve kolayca iletilebilmektedir. Bilginin kullanımı, değeri ve hareket alanının genişlemesi korumaya yönelik ihtiyaçlarını daha da artmakta ve kurumları çok daha fazla önlem almaya zorlamaktadır. Bilgi elektronik ortamların yanı sıra kağıt, film, sözlü iletişim, e-posta ve internet gibi birçok ortamda bulunabilmektedir. Kurumlar ve/veya bireyler tarafından bu farklı ortamlarda bulunabilen bilgi, yeterli önlemler alınmadığında haksız bir kazanç aracı olarak kullanılabilmekte ve bilginin sahipleri istenmeyen durumlarla yüzleşmek zorunda kalabilmektedir. Bilgi varlığı üzerinde yer alabilen bir açıklığı/zafiyeti kullanabilen tehditlerin gerçekleşmesi durumunda kurumlar ciddi itibar zedelenmesi, finansal kayıplar ve yasal yaptırımlar gibi telafisi güç sonuçlarla karşılaşabilmektedirler. Kayıpları en aza indirmek veya hiç yaşamamak için bilgi güvenliği risklerinin tespiti, kontrol konulması ve kısaca riskin yönetilmesinden geçmektedir. Risk gelecekte karşılaşılacak bir zararın önceden tahmin edilmesi anlamına gelmektedir. Aslı belirsiz olan bir şeyin yönetilmesi yani vereceği zararın kestirimi ve ona göre tedbirlerin, kontrollerin alınması başlı başına bir problemdir. Konu bilgi güvenliği risklerinin değerlendirilmesi ve yönetimi söz konusu olduğunda bir yandan bilginin tam ölçülemeyen değeri diğer yandan belirsizliğin ölçülüp yönetilmesi daha da karmaşık hale gelebilmektedir. Tüm bu problemleri çözebilmek için kişi ya da kurumlar tarafından zamanla farklı yöntemler geliştirilmiş ve tavsiyelerde bulunulmuştur. Bunlardan bazıları akademik çalışma seviyesinde kalmış, bazıları ilgili sektörlerde kullanılmış bazıları ise uluslararası kabul görmüş standartlar haline gelmiştir. Bu Sayfa 3
5 standartlardan bazıları; ISO/IEC Guide 73, ISO/IEC 27001, ISO/IEC 27005, ISO/IEC 31000, NIST SP , FISMA, AS/NZS 4360:2004, CMMI, SPICE, PCI, PMI, HIPAA vb sayılabilir. Bilgi Güvenliği Bilginin gizliliği, bütünlüğü ve kullanılabilirliğinin korunması, ek olarak doğruluk, açıklanabilirlik, inkâr edememe ve güvenilirlik gibi diğer özellikleri de kapsar. 1 Bilgiye olabilecek yetkisiz erişimlerin engellenmesine gizlilik, yetkili erişim sonucunda kendine özgü bilgi mahremiyetinin korunmasına bütünlük, ihtiyaç halinde kolay ulaşılabilir olması erişilebilirlik denir. Bu bileşenler korunacak bir bilginin üç temel özelliğini teşkil eder. 2 Şekil -1 Bilgi Güvenliği: Bilginin Korunacak Temel Nitelikleri Bilgi güvenliği bilgiyi, ticari sürekliliği sağlamak, ticari kayıpları en aza indirmek ve ticari fırsatların ve yatırımların dönüşünü en üst seviyeye çıkartmak için geniş tehlike ve tehdit alanlarından korur. 3 1 TS ISO/IEC 17799, (Şahinaslan, Kantürk, Şahinaslan, & Borandağ, 2009) 3 TS ISO/IEC 17799, 2002 Sayfa 4
6 Bilgi Güvenliği ve Bilgi Güvenliği Standartları Bilgi güvenliği; bilginin bir varlık olarak hasarlardan korunması, doğru teknolojinin, doğru amaçla ve doğru şekilde kullanılarak bilginin her türlü ortamda, istenmeyen kişiler tarafından elde edilmesini önlemektir. Başka bir tanımla bilgi güvenliği; elektronik ortamlarda verilerin veya bilgilerin saklanması ve taşınması esnasında bilgilerin bütünlüğü bozulmadan, izinsiz erişimlerden korunması için, güvenli bir bilgi işleme platformu oluşturma çabalarının tümüdür. Bütün bu çabaların sağlanabilmesi için uygun güvenlik politikasının belirlenmesi ve uygulanması gereklidir. Bu politikalar; faaliyetlerin sorgulanması, erişimlerin izlenmesi, kayıtlardaki değişikliklerin tutulup değerlendirilmesi ve silme işlemlerinin sınırlandırılması olarak belirlenebilir. Ayrıca, bilginin güvenli olmasını sağlamak için ulaşılması gereken amaçlar genel olarak, korunmakta olan bilginin gizliliği, bütünlüğü ve ulaşılabilirliği olarak ifade edilebilir. Bilgi Güvenliği uygulamasında, bilgisayarda şifre korumalı ekran koruyucu kullanılması, bilgisayar başından uzun süreliğine ayrı kalındığında sistemden çıkılması, kullanılan şifrelerin tahmininin zor olacak şekilde belirlenmesi, bu şifrelerin gizli tutulması ve belirli aralıklarla değiştirilmesi, virüs koruma programlarının kurulu olması, bu programların ve işletim sistemi hizmet paketlerinin ve hata düzeltme ve güncellemelerinin düzenli aralıklarla yapılması, disk paylaşımlarında dikkatli olunması, internet üzerinden indirilen veya e-posta ile gelen dosyalara dikkat edilmesi, önemli belgelerin şifreli olarak saklanması, gizli veya önemli bilgilerin e-posta, güvenlik sertifikasız siteler gibi güvenli olmayan yollarla gönderilmemesi, kullanılmadığı zaman internet erişiminin kapatılması, önemli bilgi ve belgelerin düzenli aralıklarla yedeklerinin alınması kişisel bilgisayar güvenliği için önemli olan ve yapılması gereken önlemlerden bazılarıdır. Bilgi Güvenliği standardı, bir Bilgi Güvenliği Yönetim Sistemi ni (BGYS) (Information Security Management System - ISMS) kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için bir model sağlamak üzere hazırlanmıştır. Sayfa 5
7 Bir kuruluş için BGYS nin benimsenmesi stratejik bir karar olmalıdır. Bir kuruluşun BGYS tasarımı ve gerçekleştirmesi, ihtiyaçları ve amaçları, güvenlik gereksinimleri, kullanılan prosesler ve kuruluşun büyüklüğü ve yapısından etkilenir. Bunların ve destekleyici sistemlerinin zaman içinde değişmesi beklenir. Bir BGYS gerçekleştirmesinin kuruluşun ihtiyaçlarına göre ölçeklenmesi beklenir (Örneğin, basit durumlar basit BGYS çözümleri gerektirir.). Bu standart, uyumluluğu değerlendirmek için ilgili iç ve dış taraflarca kullanılabilir. 4 Risk Tanımı Risk, sözlük anlamı olarak zarara uğrama tehlikesidir; öngörülebilir tehlikeleri ifade eder. 5 İtalyancası risco Almancası risiko, İngilizcesi risk olan bu kavram dilimiz de önceleri riziko olarak kullanılmış daha sonra risk olarak yerleşmiştir. Zarar veya kayıp durumuna yol açabilecek bir olayın ortaya çıkma olasılığı anlamına gelmektedir. Tehlike ile eş anlamlı ve ileride ortaya çıkması beklenen ama meydana gelip gelmeyeceği kesin olarak bilinmeyen olaylar için kullanılmaktadır. Ayrıca gelecek ile ilgili bir kavram, çünkü gelecek belirsizlik ifade etmektedir. 6 Risk, bir olay ve onun sonuçlarına ilişkin olasılıklar kombinasyonu olarak tanımlanmaktadır. Genellikle risk terimi sadece en az bir olumsuz sonuç ihtimali bulunduğu bir durumda kullanılmaktadır. Bazı durumlarda risk beklenen sonuçtan veya olaylardan sapma olasılığından kaynaklanmaktadır. 7 Riskin temelde iki bileşenden oluştuğu kabul edilir; Olasılık : İstenmeyen bir olayın vuku bulma ihtimali, Etki : Olayın vuku bulması durumunda vereceği zarar, tesir, etki. Temel olarak risk hesaplama formülü; Risk Düzeyi = f(olasılık, Etki) olarak ifade edilebilir. Risk düzeyine karar verirken riskin vuku bulma olasılığı ve etkisine göre karar TBD Kamu BİB VIII, Filiz, Mart TS ISO/IEC Guide 73, 2005 Sayfa 6
8 verilir. Şekil 2.de risk düzeyini belirleyen karar fonksiyonu ile ilgili bir örnek yer almaktadır. Şekil -2 Temel Risk Hesabı Örneği; Olasılık-Etki Bilgi Güvenliği Riski Bilgi veya bilgi varlıkları üzerinde yer alan zafiyetlerin bir tehdit karşısında suiistimal edilmesi sonucunda kurumun zarar görme potansiyelidir. 8 Gizlilik, bütünlük ve erişilebilirlik olarak sıralanan bilginin korunması gereken temel niteliklerinin bir tehditle karşılaşması durumunda varlık üzerindeki bilinen zafiyet ya da zafiyetlerin kötü amaçlı kullanılmasıyla kuruma zarar verme/istenmeyen etki doğurabilme ihtimaline denir. Risk Yönetimi Bilgi sistemlerini etkileyebilecek olan güvenlik risklerinin, uygun bir maliyette tanımlanması, kontrol edilmesi ve en aza düşürülmesi veya ortadan kaldırılması sürecine denir. 9 Bir kuruluşu risk ile ilgili olarak kontrol etmek ve yönlendirmek amacıyla kullanılan koordineli faaliyetler bütününe denir (ISO/IEC 27005, TS ISO/IEC 17799, TS ISO/IEC Guide 73, 2005 Sayfa 7
9 Tespit edilmiş olan risklerin kuruma vermesi muhtemel zararlardan arındırma yada mümkün olan en asgari düzeyde olumsuz yansıması olacak şekilde riskin yönetilmesidir. Risk değerlendirmesi sonucunda riskler; tamamen ortadan kaldırılabilir, risk etkisi belirli bir seviye indirgendikten sonraki hali atık risk olarak takip edilir veya risk transfer edilebilir. Risk etkisinin minimum etkide tutulabilmesi için risk yönetimi yapmak gerekmektedir. Şekil-3 Risk Yönetim Süreçleri Aşamaları Risk Değerlendirme Risk analizi ve risk derecelendirmesini kapsayan tüm süreci kapsar. 11 Bilgiye ve bilgi işleme vasıtalarına karşı var olan tehditlerin değerlendirilmesi, bilgi üzerine etkileri, bilginin yararlanabilirliği ve bunların ortaya çıkma olasılıkları olarak ifade edilir. 12 Şekil-4 Risk Değerlendirme Alt Süreçleri Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik kullanımıdır. 13 Bilişim sistemlerinin risk analizinde; varlıkların değeri, tehditler ve zayıflıklar analiz 11 TS ISO/IEC Guide 73, TS ISO/IEC 17799, 2002 Sayfa 8
10 edilir. Burada riskler, bilişim sistemlerinin gizliliğinin, bütünlüğünün, güvenirliğinin, potansiyel etkilenme şiddetine bağlı olarak değerlendirilir. 14 Bilgi Varlığı Kuruluş için değeri olan herhangi bir şeye varlık denir. 15 İlgili standartlarda bilgi varlığı için bir kurum için değerli olan ve sürekli korunması gereken varlıklar olarak tanımlanmaktadır. Bu kurum banka olarak düşünüldüğünde bilgi varlıkları; müşteri bilgi varlıkları (genel müşteri bilgileri, mevduat, kredi, kredi kartı, istihbarat, sözleşme vb), kurum bilgi varlıkları (bilanço, aktif-pasif bilgileri, mizan, resmi defter, politika ve prosedürleri), çalışan ve ortaklarına ait bilgi varlıkları, bilgi sistemlerine ilişkin varlıklar (yazılımlar, lisanslar, uygulamaları, analiz ve teknik dokümanları, veri tabanları, sunucuları, ağ cihazları, internet vb.) olarak sınıflandırabilir ya da örneklendirebilir. Tehdit Bilgi varlığının korunması gereken niteliklerini bozmaya yönelik mevcut ya da olabilecek her türlü algıya tehdit denir. Kurumlarda bilgi varlıkları doğal, çevresel ve insan kaynaklı birçok tehdit altında olabilir. Bunlardan bazılarını aşağıdaki şekilde özetlenebilir. Doğal tehditler; deprem, yanardağ, volkanik patlamalar, yangın, yıldırım, sel, toprak kayması, don tehlikesi, çığ düşmesi, doğal afetler, toz, nem, ışık vb. tehditler, Çevresel tehditler; elektrik kesintisi, yangın, donanım ve yazılım hatası, iletişim alt yapı arızaları gibi çevresel tehditler, İnsan kaynaklı(kasıtlı veya kazara) tehditler; kasıtlı veya kazara veri/bilgi üzerinde yapılan her türlü silme, değiştirme, düzeltme, ekleme, dışarıya sızdırmaya yönelik tehditler, yazılım ve donanımların uygunsuz kullanımı, kasıtlı olarak bombalama, terör, 13 TS ISO/IEC Guide 73, ISO/IEC TR , ISO/IEC , 2004 Sayfa 9
11 siber saldırılar, çalışanın sabotajı, sahtekârlık, fraud, grev, hırsızlık şeklindeki tehditler olarak örneklendirilebilir. Tehdit Olasılığı Bilgi varlığı üzerinde bir tehdidin bulunma ihtimaline denir. Bunlar; ihtimal bulunmuyor ya da yok denecek kadar az, yüksek, çok yüksek şekilde sınıflandırılabilir. Açıklık-Zafiyet ve Kontrol-Karşı Önlem Açıklık-zafiyet; bilgi varlığının tehditler karşısında korunmasını sağlayan önlemlerin eksikliği ve kontrol zayıflıkları, sistemsel açıklıkların tümü olarak adlandırılabilir. Bilgi varlıkları üzerinde bulunan açıklık ya da zafiyeti kullanan tehdidin verebileceği zararların önüne geçmek ya da mümkün olan asgari düzeye çekebilmek için gerekli kontroller veya ek tedbirler-önlemler alınmalıdır. Bu ek kontrol ve/veya tedbirler varlık üzerindeki tehdidin olaya dönüşmesini önleyebileceği gibi olay vuku bulsa bile etkisini mümkün olan asgari düzeye çekmeye yardımcı olacaktır. Bilgi varlığı üzerinde yer alan zafiyetten kaynaklanan açıklığın bir bölümü alınacak bir takım önleyici kontrollerle giderilir. Önleyici ek kontrolden sonra geriye kalan açıklık miktarına net açıklık denir. Sayfa 10
12 Net Açıklık Bilgi varlıkları üzerinde yer alan bir zafiyet ya da açıklığın bir bölümü veya tamamı alınacak ek kontrol ya da önlemlerle giderilir. Alınan bu ek önlemlerden sonra kalan ve tehdidin kullanabileceği açıklık seviyesine denir. Buna göre; Net açıklık = Varlık Zafiyeti - Ek Önlem/Kontrol Şeklinde formüle edilebilir. Net açıklık seviyesi olarak aşağıdaki durumlardan biriyle karşılaşılabilir; Açıklık düşük seviyede ya da bulunmuyor, tam koruma var, Açıklık ve koruma kısmen var, Hiç tedbir/önlem alınmamış, bilgi varlığı savunmasız. Risk Olasılığı Bir tehdidin varlık üzerindeki açıklığı kullanabilme ihtimali ya da tehdidin olaya dönüşme/geçekleşme ihtimaline denir. Bilgi varlığı üzerindeki tehdidin vuku bulma ihtimali ile net açıklık seviye eşleşmesinden elde edilen değere denir. Risk Olasılığı = f(net Açıklık, Tehdit Olasılığı) şeklinde formüle edilebilir. Sonuç genelde karar matrisleri kullanılarak ya da fonksiyon parametre değerlerinin çarpımı sonucunda belirlenir. Elde edilen bu değer risk etki hesabında kullanılır. Örneğin bir varlık üzerinde yer alan tehdidin gerçekleşme ihtimali yüksek olmakla birlikte varlık tam olarak korunuyorsa bu riskin gerçekleşme olasılığı düşük olarak kabul edilebilir. BİLGİ GÜVENLİĞİ RİSK YÖNETİMİ Bilgi Güvenliği Risk Yönetim Çerçevesi ISO/IEC uluslararası bilgi güvenliği risk yönetimi standart yapısı aşağıda belirtilen temel aşamalardan oluşmaktadır. 16 Kapsam belirleme (ISO/IEC madde 7) Risk değerlendirme (ISO/IEC madde 8) 16 ISO/IEC 27005, 2008 Sayfa 11
13 Risk işleme/tedavi (ISO/IEC madde 9) Risk kabulü (ISO/IEC madde 10) Risk iletişimi (ISO/IEC madde 11) Risk takibi ve gözden geçirme (ISO/IEC madde 12) Şekil -4 Bilgi Güvenliği Risk Yönetimi Temel Aşamaları Proses Yaklaşımı Bu standart, bir kuruluşun Bilgi Güvenliği Yönetim Sistemi ni kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için bir proses yaklaşımını benimser. Bir kuruluşun, etkin bir şekilde işlev görmek için, birçok faaliyetini tanımlaması ve yönetmesi gerekir. Kaynakları kullanan ve girdilerin çıktılara dönüştürülebilmesi için yönetilen her faaliyet, bir proses olarak düşünebilir. Çoğunlukla bir prosesin çıktısı doğrudan bunu izleyen diğer prosesin girdisini oluşturur. 17 Bir kuruluş içerisinde, tanımları ve bunların etkileşimi ve yönetimleriyle birlikte proseslerin oluşturduğu bir sistem uygulaması proses yaklaşımı olarak tanımlanabilir. Bu standartta sunulan bilgi güvenliği yönetimi proses yaklaşımı, kullanıcılarını aşağıdakilerin öneminin vurgulanmasına özendirir TS ISO/IEC 27001, 2006, s.2 18 OECD, 2002 Sayfa 12
14 a) İş bilgi güvenliği gereksinimlerini ve bilgi güvenliği için, politika ve amaçların belirlenmesi ihtiyacını anlamak, b) Kuruluşun tüm iş risklerini yönetmek bağlamında kuruluşun bilgi güvenliği risklerini yönetmek için kontrolleri gerçekleştirmek ve işletmek, c) BGYS nin performansı ve etkinliğini izlemek ve gözden geçirmek, d) Nesnel ölçmeye dayalı olarak sürekli iyileştirmek, Bu standart, tüm BGS proseslerini yapılandırmaya uygulanan Planla- Uygula-Kontrol Et- Önlem Al (PUKÖ) modelini benimser. Şekil 3.1., bir BGYS nin bilgi güvenliği gereksinimlerini ve ilgili tarafların beklentilerini girdi olarak nasıl aldığını ve gerekli eylem ve prosesler aracılığıyla, bu gereksinimleri ve beklentileri karşılayacak bilgi güvenliği sonuçlarını nasıl ürettiğini gösterir. PUKÖ modelinin benimsenmesi, bilgi sistemleri ve ağları güvenliğini yöneten OECD Kılavuzları nda (OECD, 2002) belirlenmiş olan prensipleri de yansıtır. Bu standart, risk değerlendirme, güvenlik tasarımı ve gerçekleştirme, güvenlik yönetimi ve yeniden değerlendirmeyi yöneten bu kılavuzlardaki prensipleri gerçekleştirmek için sağlam bir model sağlar (Şekil 3.1.) (TS ISO/IEC 27001, 2006, s.2.). Örnek1:Bir kuruluşta, bilgi güvenliği ihlallerinin ciddi finansal hasarlara neden olmaması veya kuruluşta rahatsızlığa yol açamaması bir gereksinim olabilir. Şekil-3 BGYS proseslerine uygulanan PUKÖ modeli Sayfa 13
15 KURUMSAL BİLGİ GÜVENLİĞİ Kişilerin bilgi güvenliği önem arz ederken, bundan daha önemlisi, kişilerin güvenliğini doğrudan etkileyen kurumsal bilgi güvenliğidir. Her birey bilgi sistemleri üzerinden hizmet alırken veya hizmet sunarken kurumsal bilgi varlıklarını doğrudan veya dolaylı olarak kullanmaktadır. Bu hizmetler kurumsal anlamda bir hizmet alımı olabileceği gibi, bankacılık işlemleri veya bir kurum içerisinde yapılan bireysel işlemler de olabilir. Kurumsal bilgi varlıklarının güvenliği sağlanmadıkça, kişisel güvenlikte sağlanamaz. Bilgiye sürekli olarak erişilebilirliğin sağlandığı bir ortamda, bilginin göndericisinden alıcısına kadar gizlilik içerisinde, bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden bütünlüğünün sağlanması ve güvenli bir şekilde iletilmesi süreci bilgi güvenliği olarak tanımlanabilir. 19 Kurumsal bilgi güvenliği ise, kurumların bilgi varlıklarının tespit edilerek zafiyetlerinin belirlenmesi ve istenmeyen tehdit ve tehlikelerden korunması amacıyla gerekli güvenlik analizlerinin yapılarak önlemlerinin alınması olarak düşünülebilir. Kurumsal bilgi güvenliği insan faktörü, eğitim, teknoloji gibi birçok faktörün etki ettiği tek bir çatı altında yönetilmesi zorunlu olan karmaşık süreçlerden oluşmaktadır. Bu süreçlerin yönetilmesi, güvenlik sistemlerinin uluslararası standartlarda yapılandırılması ve yüksek bilgi güvenliğinin sağlanması amacıyla tüm dünyada kurumsal bilgi güvenliğinin yönetiminde standartlaşma çalışmaları hızla sürmektedir. Standartlaşma konusuna önderlik eden İngiltere tarafından geliştirilen BS 7799 standardı, ISO tarafından kabul görerek önce ISO sonrasında ise ISO 27001:2005 adıyla dünya genelinde bilgi güvenliği standardı olarak kabul edilmiştir. 20 Ülkemizde Avrupa Birliği Uyum Kriterlerinde de adı geçen bu standartların uygulanması konusunda yapılan çalışmalar yetersiz olup bu standardı uygulayan kurum ve kuruluşların sayısı yok denecek kadar azdır. ISO 27001:2005 standardı ülkemizde Türk Standartları Enstitüsü (TSE) tarafından TS ISO/IEC Bilgi Güvenliği Yönetim 19 Vural, Y., Kurumsal Bilgi Güvenliği ve Sızma Testleri Yüksek Lisans Tezi, Gazi Üniversitesi Fen Bilimleri Enstitüsü, 40, İnternet: Wikipedia, ISO/IEC 27001, Sayfa 14
16 Sistemi standardı adı altında yayınlanmış ve belgeleme çalışmaları başlatılmıştır. Bu standart kapsamında kurumsal bilgi varlıklarının güvenliğinin istenilen düzeyde sağlanabilmesi amacıyla; gizlilik, bütünlük ve erişilebilirlik gibi güvenlik unsurlarının kurumlar tarafından sağlanması gerekmektedir. Bilgi Güvenliği Yönetim Sistemleri (BGYS); insanları, süreçleri ve bilgi sistemlerini içine alan ve üst yönetim tarafından desteklenen bir yönetim sistemidir. Kurumlar açısından önemli bilgilerin ve bilgi sistemlerinin korunabilmesi, risklerin en aza indirilmesi ve sürekliliğinin sağlanması, BGYS nin kurumlarda hayata geçirilmesiyle mümkün olmaktadır. BGYS nin kurulmasıyla; olası risk ve tehditlerin tespit edilmesi, güvenlik politikalarının oluşturulması, denetimlerin ve uygulamaların kontrolü, uygun yöntemlerin geliştirilmesi, örgütsel yapılar kurulması ve yazılım/donanım fonksiyonlarının sağlanması gibi bir dizi denetimin birbirini tamamlayacak şekilde gerçekleştirilmesi anlamına gelmektedir. KURUMSAL BİLGİ GÜVENLİĞİ POLİTİKALARI Güvenlik politikaları kurum veya kuruluşlarda kabul edilebilir güvenlik seviyesinin tanımlanmasına yardım eden, tüm çalışanların ve ortak çalışma içerisinde bulunan diğer kurum ve kuruluşların uyması gereken kurallar bütünüdür. 21 Kurumsal bilgi güvenliği politikası, kurum ve kuruluşlarda bilgi güvenliğinin sağlanması için tüm bilgi güvenlik faaliyetlerini kapsayan ve yönlendiren talimatlar olup kurumsal bilgi kaynaklarına erişim yetkisi olan tüm çalışanların uyması gereken kuralları içeren belgelerdir. Bilgi güvenliği politikaları her kuruluş için farklılık gösterse de genellikle çalışanın sorumluluklarını, güvenlik denetim araçlarını, amaç ve hedeflerini kurumsal bilgi varlıklarının yönetimini, korunmasını, dağıtımını ve önemli işlevlerin korunmasını düzenleyen kurallar ve uygulamaların açıklandığı genel ifadeleri içermektedir. 21 Kalman, S., Web Security Field Guide, Cisco Press, Indianapolis, sf.36, 37, Sayfa 15
17 Politikalar içerisinde; gerekçelerin ve risklerin tanımlandığı, kapsadığı bilgi varlıkları ve politikadan sorumlu olan çalışanların ve gruplarının belirlendiği, uygulanması ve yapılması gereken kuralların, ihlal edildiğinde uygulanacak cezai yaptırımların, teknik terimlerin tanımlarının ve düzeltme tarihçesinin yer aldığı 7 bölümden oluşur. Kurumsal Güvenlik Politikası içerisinde bulunması gereken bölümler Tablo 1 de özetlenmiştir. Belirli konularda çalışanın daha fazla bilgilendirilmesi, dikkat etmesi gereken hususlar, ilgili konunun detaylı bir şekilde ifade edilmesi istendiğinde alt politikalar geliştirilmelidir. Örneğin kullanıcı hesaplarının oluşturulması ve yönetilmesi, şifre unutma, şifre değiştirme, yeni şifre tanımlama gibi durumlarda uyulacak kurallar alt politikalar aracılığıyla açıklanmalıdır. Tablo 1. Güvenlik politikası kısımları Bölüm Adı Genel Açıklama Amaç Kapsam Politika İçeriği Politikayla ilgili gerekçeler ve buna bağlı risklerin tanımlamasını kapsar. Politikanın yazılmasındaki amaç ve neden böyle bir politikaya ihtiyaç duyulduğunu açıklar. Politikaya uyması gereken çalışan grupları (ilgili bir grup veya kurumun tamamı) ve bilgi varlıklarını belirler. Uygulanması ve uyulması gereken kuralları veya politikaları içerir. Cezai Yaptırımlar Politika ihlallerinde uygulanacak cezai yaptırımları açıklar. Tanımlar Teknik terimler ile açık olmayan ifadeler listelenerek açıklanır. Düzeltme Tarihçesi Politika içerisinde yapılan değişiklikler, tarihler ve sebepleri yer alır. E-posta gönderme ve alma konusunda, üst yönetimin kararlarını, kullanıcının uyması gereken kuralları ve diğer haklarını alt politika içerisinde ifade etmek bir başka örnek olarak verilebilir. Alt politikayla üst yönetimin, gerekli gördüğünde çalışanlarının epostalarını okuyabileceği, e-postalar yoluyla gizlilik dereceli bilgilerin gönderilip alınamayacağı gibi hususlar, e-posta alt politikası içerisinde ifade edilebilir. Alt politikalar içerisinde, izin verilen yazılımlar, veri tabanlarının nasıl korunacağı, Sayfa 16
18 bilgisayarlarda uygulanacak erişim denetim ölçütleri, güvenlikle ilgili kullanılan yazılım ve donanımların nasıl kullanılacağı gibi konular da açıklanabilir. Kurumsal bilgi güvenliği politikaları kuruluşların ihtiyaçları doğrultusunda temel güvenlik unsurlarının (gizlilik, bütünlük, erişilebilirlik, vb.) bazıları üzerinde yoğunlaşabilir. Örneğin askeri kurumlarda, bilgi güvenliği politikalarında gizlilik ve bütünlük unsurları ön plana çıkmaktadır. Askeri bir savaş uçağının kalkış zaman bilgilerinin onaylanıp yürürlüğe girmesi için düşmanlar tarafından görülmemesi (gizlilik) ve değiştirilmemesi (bütünlük) gereklidir. Bir diğer örnek ise kâr amacı gütmeyen kurumlarda uygulanan bilgi güvenliği politikalarında genellikle erişilebilirlik ve bütünlük unsurları ön planda gelmektedir. Üniversite sınav sonuçlarının açıklandığı yükseköğretim kurumunda uygulanan güvenlik politikasında öğrenciler sınav açıklandıktan sonra istediği zaman diliminde (erişilebilirlik) doğru bir şekilde (bütünlük) sınav sonuçlarına bakabilmelidir. İyi bir güvenlik politikası, kullanıcıların işini zorlaştırmamalı, kullanıcılar arasında tepkiye yol açmamalı, kullanıcılar tarafından uygulanabilir olmalıdır. Politika, kullanıcıların ve sistem yöneticilerinin eldeki imkânlarla uyabilecekleri ve uygulayabilecekleri yeterli düzeyde yaptırım gücüne sahip kurallardan oluşmalıdır. Alınan güvenlik önlemleri ve politikaları uygulayan yetkililer veya birimler yaptırımları uygulayabilecek idari ve teknik yetkilerle donatılmalıdır. Politika kapsamında herkesin sorumluluk ve yetkileri tanımlanarak kullanıcılar, sistem yöneticileri ve diğer kişilerin sisteme ilişkin sorumlulukları, yetkileri kuşku ve çelişkilere yer bırakmayacak biçimde açıkça tanımlanmalıdır. Politikalar içerisinde uygulanacak olan yasal ve ahlaki mahremiyet koşulları ile elektronik mesajların ve dosyaların içeriğine ulaşım, kullanıcı hareketlerinim kayıt edilmesi gibi denetim ve izlemeye yönelik işlemlerin hangi koşullarda yapılacağı ve bu işlemler yapılırken kullanıcının kişisel haklarının nasıl korunacağı açıklanmalıdır. Saldırıların ve diğer sorunların tespitinde kullanıcıların, yöneticilerin ve teknik personelin sorumluluk ve görevleri ile tespit edilen sorun ve saldırıların hangi kanallarla kimlere ne kadar zamanda rapor edileceği güvenlik politikalarında açıkça belirtilmelidir. Sayfa 17
19 Sistemlerin gün içi çalışma takvimleri, veri kaybı durumunda verinin geri getirilmesi koşulları gibi kullanıcının sisteme erişmesini sınırlayan durumlara politikalar içerisinde yer verilmelidir. Bu durumlarda kullanıcıya, izlemesi gereken yolu anlatacak ve yardımcı olacak kılavuzlara da yer verilmelidir. BGYS KAPSAMI BGYS nin kapsamı kurumların sahip olduğu bilgi varlıkları ve ihtiyaçları doğrultusunda tespit edilir. Bu kapsam Kurumun sahip olduğu bilgi varlıklarının tamamı, Bilgi sistemlerinin bir kısmı (Bilişim sistemleri, kâğıt ortamdaki bilgiler, elektronik bilgi varlıkları, vb.), Belli bir yerleşim birimindeki bilgi sistemleri (Merkez binalar, Genel Müdürlükler, vb.), Odaklanılmış bir bilgi sistemi (bilgisayarlar, ağ sistemi, sunucu bilgisayarlar, web sunucusu, vb.) olabilir. 22 Bir kuruluşta elektronik ortamlarda üretilen, dağıtılan ve saklanan bilgiler BGYS kapsamına örnek olarak verilebilir. BİLGİ GÜVENLİĞİ STANDARTLARI Tehditlerin sürekli olarak yenilenmesi, kullanılan yazılım veya donanımlarda meydana gelen güvenlik açıklarının takibi, insan faktörünün kontrolü gibi süreçlerin takip edilebilmesi ve üst seviyede bilgi güvenliğinin sağlanması için bilgi güvenliği sürecinin yönetilmesi için yapılan çalışmalar sonucunda İngiliz Standartlar Enstitüsü (British Standards Institute-BSI) tarafından 1995 yılında BS 7799 standardının ilk kısmı olan BS7799 1, 1999 yılında ise aynı standardın ikinci kısmı olan BS İngiliz standardı olarak yayınlanmıştır. 22 Thow-Chang, L., Siew-Mun, K., and Foo, A., Information Security Management Systems and Standards Synthesis Journal, 2(2):5,8, Sayfa 18
20 BS yılında küçük düzeltme ve adaptasyonlardan geçerek ISO tarafından ISO/IEC adıyla kabul edilmiş ve dünya genelinde kabul edilen bir standart halini almıştır yılında ise BSI tarafından BS 7799 standardının ikinci kısmı olan BS standardı üzerinde eklemeler ve düzeltmeler yapılarak ikinci defa İngiliz standardı olarak yayınlanmıştır yılında ise ISO tarafından ISO/IEC standardı üzerinde eklemeler ve düzeltmeler yapılmış ISO/IEC 17799:2005 adıyla yeniden yayınlanmıştır. Son olarak 2005 yılında ISO İngiliz standardı olan BS üzerinde eklemeler ve düzeltmeler yaparak ISO/IEC:27001 standardını yayınlamıştır. 23 Bilgi güvenliği yönetim sistemlerinin temelini teşkil eden standartların yayınlanma süreleri Şekil 1 de tarihsel akışa göre verilmiştir. Şekil 2 de verilen ve kurumsal bilgi güvenliğinin üst düzeyde sağlanması için gerekli olan bilgi güvenliği yönetiminde kullanılan uluslararası standartlar takip eden alt bölümde sırasıyla açıklanmıştır. Şekil 1. Standartların yayınlanma süreleri İngiliz Standartları BS 7799, bilgi varlıklarının gizlilik, doğruluk ve erişilebilirliğini güvence altına almak için uygulanması gereken güvenlik denetimlerini düzenleyen ve belgelendiren iki aşamalı İngiliz standardıdır yılında yayınlanan ilk sürümün birinci bölümünde 23 İnternet: Wikipedia BS Sayfa 19
T. C. TÜRK STANDARDLARI ENSTİTÜSÜ
T. C. TÜRK STANDARDLARI ENSTİTÜSÜ TS ISO/IEC 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ, TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Sunucu: Gürol GÖKÇİMEN 25.10.2014 Türk Standardları Enstitüsü 1 Güvenlik;
DetaylıT. C. TÜRK STANDARDLARI ENSTİTÜSÜ
T. C. TÜRK STANDARDLARI ENSTİTÜSÜ BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ, TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Sunucu: Gürol GÖKÇİMEN 1 Bilgi Güvenliği Yönetim Sistemi Bilgi : anlamlı veri, (bir kurumun
DetaylıISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kapsam - Terimler
Kapsam - Terimler K A P A M Kapsam u standard kuruluşun bağlamı dâhilinde bir bilgi güvenliği yönetim sisteminin kurulması, uygulanması,sürdürülmesi ve sürekli iyileştirilmesi için şartları kapsar. u standard
DetaylıT. C. KAMU İHALE KURUMU
T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ BT Strateji Yönetimi BT Hizmet Yönetim Politikası Sürüm No: 6.0 Yayın Tarihi: 26.02.2015 444 0 545 2012 Kamu İhale Kurumu Tüm hakları
DetaylıÇELİKEL A.Ş. Bilgi Güvenliği Politikası
Sayfa 1/6 1. Amaç / Genel Bu doküman, Kuruluştaki ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi kapsamındaki tüm bilgi varlıklarının güvenliğinin sağlanması, BGYS nin kurulması, işletilmesi, sürdürülmesi
DetaylıT. C. KAMU İHALE KURUMU
T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ Bilgi Güvenliği Bilgi Güvenliği Yönetim Sistemi Politikası Sürüm No: 4.0 Yayın Tarihi:11.05.2014 444 0 545 2012 Kamu İhale Kurumu
DetaylıBilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının
BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ VE İŞ SÜREKLİLİĞİ - 1 Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının Gizliliği Tamlığı (Bütünlüğü) Erişebilirliği (Kullanılabilirliği) Üzerine
DetaylıİŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ
İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ Ohsas 18001 Endüstrinin değişik dallarında faaliyet gösteren kuruluşların, faaliyet konularını yerine getirirken, İş Sağlığı ve Güvenliği konusunda da, faaliyet
DetaylıBilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının
BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ VE İŞ SÜREKLİLİĞİ - 1 Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının Gizliliği Tamlığı (Bütünlüğü) Erişebilirliği (Kullanılabilirliği) Üzerine
DetaylıMerSis. Bilgi Güvenliği Danışmanlık Hizmetleri
o MerSis Danışmanlık Hizmetleri Çalışanlarınız, tesisleriniz, üretim araçlarınız koruma altında! Bilgileriniz? danışmanlık hizmetlerimiz, en değerli varlıklarınız arasında yer alan bilgilerinizin gizliliğini,
DetaylıBelgelendirme Danışmanlık Certification Consultancy. ISO Bilgi Güvenliği Yönetim Sistemi Belgesi
Belgelendirme Danışmanlık Certification Consultancy ISO 27001 TÜRKAK Tarih/ Date 21.03.2017 Kuruluş / Organization YYS DANIŞMANLIK Adres / Adress Yenibosna Merkez Mah. 29.Ekim Cad. No:35 Bahçelievler/İSTANBUL
DetaylıBİLGİ SİSTEMLERİ GÜVENLİĞİ
BİLGİ SİSTEMLERİ GÜVENLİĞİ Maltepe Üniversitesi Bilgisayar Mühendisliği Bölümü 2 YZM 441 Bilgi Sistemleri Güvenliği BÖLÜM -4- GÜVENLİK K UNSURLARI VE YÖNETİMİ 3 GÜVENLİK K UNSURLARI VE YÖNETY NETİMİ Bilgi
DetaylıİŞ YATIRIM MENKUL DEĞERLER A.Ş. İŞ SÜREKLİLİĞİ PLANLAMASI A. AMAÇ
Sayfa No: 1/7 A. AMAÇ Bu politika, nin deprem, yangın, fırtına, sel gibi doğal afetler ile sabotaj, donanım veya yazılım hatası, elektrik ve telekomünikasyon kesintileri gibi önceden tahmin edilebilen
DetaylıBilişim Teknolojileri Test ve Belgelendirme Hizmetleri. Mustafa YILMAZ mustafayilmaz@tse.org.tr
Bilişim Teknolojileri Test ve Belgelendirme Hizmetleri Mustafa YILMAZ mustafayilmaz@tse.org.tr Türk Standardları Enstitüsü tarafından yapılan Bilişim Teknolojileri Test ve Belgelendirme Hizmetleri Yazılım
DetaylıUE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5
UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5 1. AMAÇ Türksat İnternet ve İnteraktif Hizmetler Direktörlüğü nün bilgi güvenliğini yönetmekteki amacı; bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında
DetaylıBGYS-PL-01 BİLGİ GÜVENLİĞİ POLİTİKASI
BGYS-PL-01 BİLGİ GÜVENLİĞİ POLİTİKASI BGYS-PL-01 01.06.2018 0 / - 2 / 5 İÇİNDEKİLER 1. Amaç... 3 2. Kapsam... 3 3. Sorumluluk... 3 4. Kayıtları... 3 5. Tanımlamalar ve Kısaltmalar... 4 6. Uygulama... 4
DetaylıBİLGİ GÜVENLİĞİ POLİTİKASI
Birliği liği B.G. PO.1 1/8 BGYS POLİTİKASI 2 1. AMAÇ.. 2 2.KAPSAM.. 2 3. TANIMLAR ve KISALTMALAR... 2 4. BİLGİ GÜVENLİĞİ HEDEFLERİ VE PRENSİPLERİ.. 3 5. BİLGİ GÜVENLİĞİ YAPISI VE ORGANİZASYONU... 3 BGYS
DetaylıANET Bilgi Güvenliği Yönetimi ve ISO 27001. Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011
ANET Bilgi Güvenliği Yönetimi ve ISO 27001 2011 Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011 ISO 27001 AŞAMA 1 BGYS Organizasyonu BGYS kapsamının belirlenmesi Bilgi güvenliği politikasının oluşturulması BGYS
DetaylıĠÜ ONKOLOJĠ ENSTĠTÜSÜ BÜTÜNLEġĠK KALĠTE YÖNETĠM SĠSTEMĠ EL KĠTABI
İlk Yayın Tarihi : 2.0.201 No :.. Tarihi : Sayfa No :1 12 ĠÇĠNDEKĠLER VE ÇAPRAZ REFERANS ÇĠZELGE: OE-BKYS-EK Madde ve TS EN ISO 91:2 Madde ve Tarihi Bölüm Değişiklik Sayfası - 1 Önsöz - Tarihçe - 1 1 1.
DetaylıHATAY SAĞLIK MÜDÜRLÜĞÜ HATAY SAĞLIK MÜDÜRLÜĞÜ RİSK DEĞERLENDİRME PROSEDÜRÜ
RİSK DEĞERLENDİRME PROSEDÜRÜ.AMAÇ Bu prosedürün, Hatay İl Sağlık Müdürlüğü, İl Ambulans Servisi Başhekimliği, İlçe Sağlık Müdürlükleri bünyesinde faaliyetleri sırasında oluşabilecek potansiyel tehlikelerin
DetaylıYÖNETİM SİSTEMLERİ. Yönetim Sistemi Modelleri: Deming tarafından geliştirilen, Planla Uygula Kontrol Et Önlem Al
YÖNETİM SİSTEMLERİ Yönetim Sistemi Modelleri: Deming tarafından geliştirilen, Planla Uygula Kontrol Et Önlem Al kavramlarını içeren sürekli iyileştirme döngüsü ile uygulanır. YÖNETİM SİSTEMLERİ Şematik
DetaylıKALİTE YÖNETİM SİSTEMİ İş Sürekliliği
T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ İş Sürekliliği İş Sürekliliği Yönetim Sistemi Politikası Sürüm No: 5.0 Yayın Tarihi: 11.05.2014 444 0 545 2012 Kamu İhale Kurumu
Detaylı1- Neden İç Kontrol? 2- İç Kontrol Nedir?
T.C. İÇİŞLERİ BAKANLIĞI KİHBİ Dairesi Başkanlığı 10 SORUDA İÇ KONTROL MAYIS 2014 ANKARA 1- Neden İç Kontrol? Dünyadaki yeni gelişmeler ışığında yönetim anlayışı da değişmekte ve kamu yönetimi kendini sürekli
DetaylıİÇ TETKİKÇİ DEĞERLENDİRME SINAVI
13.07.2018 ISO 9001:2015 İÇ TETKİKÇİ DEĞERLENDİRME SINAVI Soru Sayısı: 33 Süre: 40 Dakika Ad SOYAD: Bölüm: ADL Danışmanlık ve Eğitim Hizmetleri OĞUZ ÖZTÜRK Soru-1) Aşağıdakilerden hangisi ISO 9001:2015
DetaylıPOL.01 Rev.Tar/No:22.02.2012/1.0 HĠZMETE ÖZEL
SAYFA 1 / 6 1. AMAÇ TÜRKSAT ın bilgi güvenliğini yönetmekteki amacı; bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirilerek içeriden ve/veya dışarıdan gelebilecek, kasıtlı veya kazayla
DetaylıISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ. Terimler Ve Tarifler. www.sisbel.biz
ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ Terimler Ve Tarifler 1 Kapsam 1.1 Genel Terimler Ve Tarifler Bu standart, bir hizmet yönetimi sistem (HYS) standardıdır. Bir HYS
DetaylıISO/IEC 27001:2013 REVİZYONU GEÇİŞ KILAVUZU
ISO/IEC 27001 in son versiyonu 01 Ekim 2013 tarihinde yayınlanmıştır. Standardın 2013 versiyonu, farklı sektör ve büyüklükteki firmaların gelişen bilgi güvenliği ve siber güvenlik tehditleri konularına
DetaylıBİLGİ GÜVENLİĞİ POLİTİKASI
E-Tuğra EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. (E-Tugra EBG Information Technologies and Services Corp.) BİLGİ GÜVENLİĞİ POLİTİKASI Doküman Kodu Yayın Numarası Yayın Tarihi EBG-GPOL-01 03 20.05.2016
DetaylıRGN İLETİŞİM HİZMETLERİ A.Ş BİLGİ GÜVENLİĞİ POLİTİKASI
RGN İLETİŞİM HİZMETLERİ A.Ş Sayfa 1 / 5 1. AMAÇ Bilgi güvenliği yönetim sisteminin amacı tüm bilgi varlıklarımızın gizliliği, bütünlüğü ve gerektiğinde yetkili kişilerce erişilebilirliğini sağlamaktır.
Detaylı10 SORUDA İÇ KONTROL
T.C. İÇİŞLERİ BAKANLIĞI Avrupa Birliği ve Dış İlişkiler Dairesi Başkanlığı 10 SORUDA İÇ KONTROL 1 Neden İç Kontrol? Dünyadaki yeni gelişmeler ışığında yönetim anlayışı da değişmekte ve kamu yönetimi kendini
DetaylıBilgi Güvenliği Politikası. Arvato Bertelsmann İstanbul, Türkiye. Versiyon 2016_1. Arvato Türkiye. Yayınlayan
Arvato Bertelsmann İstanbul, Türkiye Versiyon 2016_1 Yayınlayan Durum Sınıfı Arvato Türkiye Onaylı Genel Tarih 01.08.2016 1 İçindekiler 1. Giriş... 4 2. Uygulama Kapsamı... 5 3. Motivasyon... 6 4. Arvato
DetaylıISO 27001 Kurumsal Bilgi Güvenliği Standardı. Şenol Şen
ISO 27001 Kurumsal Bilgi Güvenliği Standardı Şenol Şen Bilgi Güvenliği Kavramı Bilgi güvenliği, bir varlık türü olarak bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme,
DetaylıKKTC MERKEZ BANKASI. BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ
KKTC MERKEZ BANKASI BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ İçindekiler Giriş... 1 1 Amaç... 1 2 Bilgi Güvenliği Politikaları... 1
DetaylıMerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri
MerSis Bağımsız Denetim Hizmetleri risklerinizin farkında mısınız? bağımsız denetim hizmetlerimiz, kuruluşların Bilgi Teknolojileri ile ilgili risk düzeylerini yansıtan raporların sunulması amacıyla geliştirilmiştir.
DetaylıYÖNETİM SİSTEMLERİ. TS EN ISO 9001-2000 Kalite Yönetim Sistemi TS EN ISO 14001 Çevre Yönetim Sistemi TS (OHSAS) 18001 İSG Yönetim Sistemi
YÖNETİM SİSTEMLERİ Ülkemiz kuruluşları da Kalite, Çevre ve İş sağlığı ve güvenliği konularına verdikleri önemi göstermek, etkinlik ve verimliliği artırmak amacıyla Yönetim Sistemlerine geçiş için uğraş
DetaylıT.C. ADANA BİLİM VE TEKNOLOJİ ÜNİVERSİTESİ Strateji Geliştirme Daire Başkanlığı SORU VE CEVAPLARLA KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI
T.C. ADANA BİLİM VE TEKNOLOJİ ÜNİVERSİTESİ Strateji Geliştirme Daire Başkanlığı SORU VE CEVAPLARLA KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI NİSAN 2018 1 2 İÇİNDEKİLER 1. Neden İç Kontrol?...5 2. İç
DetaylıBu dokümanla BGYS rollerinin ve sorumluluklarının tanımlanarak BGYS sürecinin efektif şekilde yönetilmesi hedeflenmektedir.
1.AMAÇ ve KAPSAM Bu dokümanla BGYS rollerinin ve sorumluluklarının tanımlanarak BGYS sürecinin efektif şekilde yönetilmesi hedeflenmektedir. BGYS kapsam dokümanındaki tüm personeli, varlıkları ve ilişki
DetaylıKURUMSAL RİSK YÖNETİMİ RİSK YÖNETİM MODELLERİ
KURUMSAL RİSK YÖNETİMİ RİSK YÖNETİM MODELLERİ HAZIRLAYAN : ŞERİF OLGUN ÖZEN, CGAP KİDDER EĞİTİM KOMİTESİ BAŞKANI ÇALIŞMA VE SOSYAL GÜVENLİK BAKANLIĞI İÇ DENETİM BİRİMİ BAŞKANI sozen@csgb.gov.tr EĞİTİMİN
DetaylıBDDK-Bilgi Sistemlerine İlişkin Düzenlemeler. Etkin ve verimli bir Banka dan beklenenler Bilgi Teknolojilerinden Beklenenler
Gündem Bilgi Sistemlerine İlişkin Yasal Düzenlemeler & COBIT AB Seminer 2009 Bankacılıkta Bilgi Sistemlerine İlişkin Düzenlemeler Etkin ve verimli bir Banka dan beklenenler Bilgi Teknolojilerinden Beklenenler
DetaylıDOKÜMAN KODU YAYINLANMA TARİHİ REVİZYON NO REVİZYON TARİHİ SAYFA NO. BG-RH-01 01.03.2015 00 Sayfa 1 / 6
BG-RH-01 01.03.2015 00 Sayfa 1 / 6 BGYS Politikası Rehberi; T.C. Sağlık Bakanlığı Aydın Kamu Hastaneleri Birliği Genel Sekreterliği bünyesinde yürütülen bilgi güvenliği yönetim sistemi çalışmalarının kapsamını,
DetaylıEKLER. EK 12UY0106-4/A5-2: Yeterlilik Biriminin Ölçme ve Değerlendirmesinde Kullanılacak Kontrol Listesi
EKLER EK 12UY0106-4/A5-1: nin Kazandırılması için Tavsiye Edilen Eğitime İlişkin Bilgiler Bu birimin kazandırılması için aşağıda tanımlanan içeriğe sahip bir eğitim programının tamamlanması tavsiye edilir.
DetaylıBilgi Güvenliği Yönetim Sistemi
Bursa Teknik Üniversitesi Bilgi Güvenliği Yönetim Sistemi Bilgi Güvenliği Alt Politikaları KURUMA ÖZEL BGYS-PL-02 0 / - 1 / 4 İÇİNDEKİLER 1. Amaç...2 2. Kapsam...2 3. Kayıtları...2 4. Tanımlamalar ve Kısaltmalar...2
DetaylıSiber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi
KURUMLAR İÇİN SİBER GÜVENLİK ÖNLEMLERİNİ ÖLÇME TESTİ DOKÜMANI Kurumlar İçin Siber Güvenlik Önlemlerini Ölçme Testi Dokümanı, kamu kurum ve kuruluşları ile özel sektör temsilcilerinin siber güvenlik adına
DetaylıİSTANBUL ÜNİVERSİTESİ DÖNER SERMAYE İŞLETME MÜDÜRLÜĞÜ HİZMET İÇİ EĞİTİM SUNUMU 02 MAYIS 2014
İSTANBUL ÜNİVERSİTESİ DÖNER SERMAYE İŞLETME MÜDÜRLÜĞÜ HİZMET İÇİ EĞİTİM SUNUMU 02 MAYIS 2014 İÇ KONTROL SİSTEMİ VE KAMU İÇ KONTROL STANDARTLARI DERLEYEN CUMALİ ÇANAKÇI Şube Müdürü SUNUM PLANI İç Kontrol
DetaylıEN ISO/IEC PERSONEL BELGELENDİREN KURULUŞLAR İÇİN GENEL ŞARTLAR
EN ISO/IEC 17024 PERSONEL BELGELENDİREN KURULUŞLAR İÇİN GENEL ŞARTLAR Bu standart Avrupa Standardizasyon Komitesi (CEN) tarafından onaylanan ve Aralık 2012 de TS EN ISO/IEC 17024:2012 numaralı standardı
DetaylıBİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI
KOD BY. PO.01 YAY. TRH 16.12.2015 REV. TRH REV. NO SAYFA NO 1/7 1. Amaç BGYS politikası, T.C. Sağlık Bakanlığı, TKHK İstanbul Anadolu Kuzey Genel Sekreterliği bünyesinde yürütülen bilgi güvenliği yönetim
DetaylıŞİKAYET / İTİRAZ VE GERİ BİLDİRİM PROSEDÜRÜ
Sayfa No: 1/5 A. İÇİNDEKİLER Bölüm KONU SAYFA NO REFERANS STANDART MADDESİ TS EN ISO IEC 17020:2012 A. İÇİNDEKİLER 1 B. ŞİKAYET / İTİRAZ VE GERİ BİLDİRİM 2 7.6 1. AMAÇ 2 2. KAPSAM 2 3. SORUMLULUK 2 3.1
DetaylıKALİTE EL KİTABI PERSONEL BELGELENDİRME
Sayfa Sayısı 1/5 1. KAPSAM TS EN ISO/IEC 17024 Personel belgelendirme kuruluşları için geliştirme ve sürdürebilirlik programları da dahil belirli şartlara göre personeli belgelendiren kuruluşlar için genel
DetaylıT.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı
T.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı SORU VE CEVAPLARLA İÇ KONTROL Ankara-2012 İÇİNDEKİLER 1 Neden İç Kontrol? 2 İç Kontrol Nedir? 3 İç Kontrolün Amacı Nedir? 4 İç Kontrolün Yasal
DetaylıSibergüvenlik Faaliyetleri
1 Siber Güvenlik Sibergüvenlik Faaliyetleri Erdoğan OLCAY Bilişim Uzmanı Kasım 2018 BTK Görev ve Yetkileri 5809 sayılı Kanun 60/11 Kurum, kamu kurum ve kuruluşları ile gerçek ve tüzel kişilerin siber saldırılara
DetaylıBİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No: EBG-GPOL-01 Revizyon No: 01 Tarih:01.08.2011 Sayfa No: 1/5 Amaç: Bu Politikanın amacı E-TUĞRA EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. nin ve hizmet sunduğu birimlerin sahip olduğu bilgi
Detaylıe-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ
e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ ÖZEL ENTEGRASYON YÖNTEMİ NEDİR? Elektronik faturalamada uzmanlaşmış bir kurumun, başka mükelleflerin faturalarını göndermek ve almak amacıyla kendi sistemini
DetaylıTÜRKĠYE BĠLĠMSEL VE TEKNOLOJĠK ARAġTIRMA KURUMU BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI ÇALIġMA USUL VE ESASLARI
TÜRKĠYE BĠLĠMSEL VE TEKNOLOJĠK ARAġTIRMA KURUMU BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI ÇALIġMA USUL VE ESASLARI BĠRĠNCĠ BÖLÜM Amaç ve Kapsam, Dayanak ve Tanımlar Amaç ve kapsam MADDE 1- (1) Bu Usul ve Esasların
Detaylıe-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ
e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ igur@gelirler.gov.tr Kaynak: GIB ÖZEL ENTEGRASYON NEDİR? Başka mükelleflerin faturalarını göndermek ve almak amacıyla bilgi işlem sisteminin Başkanlık sistemiyle
DetaylıNAZİLLİ DEVLET HASTANESİ RİSK ANALİZİ PROSEDÜRÜ
Sayfa 1 / 6 1. AMAÇ 2. KAPSAM Nazilli Devlet Hastanesinde bölüm bazında risk değerlendirmeleri yaparak çalışanların çalıştıkları alanlardan kaynaklı risklerini belirlemek ve gerekli önlemlerin alınmasını
DetaylıNotice Belgelendirme Muayene ve Denetim Hiz. A.Ş Onaylanmış Kuruluş 2764
ISO 13485:2016 MEDİKAL CİHAZ KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU Notice Belgelendirme Muayene ve Denetim Hiz. A.Ş Onaylanmış Kuruluş 2764 Notice Belgelendirme Muayene ve Denetim Hizmetleri A.Ş. ; ISO
DetaylıİSG Hizmet Yönetim Rehberi
İSG Hizmet Yönetim Rehberi Çalışma ve Sosyal Güvenlik Bakanlığı İŞ SAĞLIĞI VE GÜVENLİĞİ GENEL MÜDÜRLÜĞÜ 0. TEMEL YAKLAŞIM 2 0.1. GENEL 2 0.2. PROSES YAKLAŞIMI 2 0.3. RİSK TEMELLİ (BAZLI) YAKLAŞIM 2 0.4.
DetaylıEKLER EK 12UY0106-5/A4-1:
Yayın Tarihi: 26/12/2012 Rev. :01 EKLER EK 12UY0106-5/A4-1: nin Kazandırılması için Tavsiye Edilen Eğitime İlişkin Bilgiler Bu birimin kazandırılması için aşağıda tanımlanan içeriğe sahip bir eğitim programının
DetaylıCOBIT Bilgi Sistemleri Yönetimi. Şubat 2009
COBIT Bilgi Sistemleri Yönetimi Şubat 2009 Gündem Bilgi Sistemleri Yönetimi Bilgi Sistemleri Süreçleri Bilgi Sistemleri Yönetimi Uygulama Yol Haritası Bilgi Sistemleri (BS) Yönetimi Bilgi Sistemleri Yönetimi,
DetaylıTS EN ISO/IEC 9241-151 Kullanılabilir Arayüz Sertifikası Verilmesi Süreci
TS EN ISO/IEC 9241-151 Kullanılabilir Arayüz Sertifikası Verilmesi Süreci Nihan Ocak 1, Feride Erdal 2, Prof. Dr. Kürşat Çağıltay 3 1 Orta Doğu Teknik Üniversitesi, Bilişim Sistemleri Bölümü, Ankara 2
DetaylıT.C. RECEP TAYYİP ERDOĞAN ÜNİVERSİTESİ İdari ve Mali İşler Daire Başkanlığı SORU VE CEVAPLARLA İÇ KONTROL
T.C. RECEP TAYYİP ERDOĞAN ÜNİVERSİTESİ İdari ve Mali İşler Daire Başkanlığı SORU VE CEVAPLARLA İÇ KONTROL KASIM 2013 İÇİNDEKİLER 1. Neden İç Kontrol? 2. İç Kontrol Nedir? 3. İç Kontrolün Amacı Nedir? 4.
DetaylıITMS DAYS www.itmsdays.com. Information Technologies Management Systems Days
ITMS DAYS Information Technologies Management Systems Days FİNANS PİYASALARINDA BİLGİ GÜVENLİĞİ VE ISO 27001 Dr. İzzet Gökhan ÖZBİLGİN Bilişim Uzmanı, SPK Finansal Piyasalar TAKASBANK Aracı Kuruluşlar
DetaylıT. C. KAMU İHALE KURUMU
T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ BT Strateji Yönetimi BT Hizmet Yönetim Politikası Sürüm No: 5.0 Yayın Tarihi: 14.07.2014 444 0 545 2012 Kamu İhale Kurumu Tüm hakları
DetaylıAtılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı
Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı Formal Doküman Detayları Hazırlanma Tarihi 20 Eylül 2012 Yayın Taslak Hazırlayan Ersun Ersoy
DetaylıKURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ KURUMSAL RİSK YÖNETİMİ: KAVRAMSAL VE TEORİK ÇERÇEVE
KURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ KURUMSAL RİSK YÖNETİMİ: KAVRAMSAL VE TEORİK ÇERÇEVE SUNUM PLANI 1. RİSK VE RİSK YÖNETİMİ: TANIMLAR 2. KURUMSAL RİSK YÖNETİMİ 3. KURUMSAL RİSK YÖNETİMİ DÖNÜŞÜM SÜRECİ
DetaylıSÜREÇ YÖNETİM PROSEDÜRÜ
1.0 AMAÇ Ahi Evran Üniversitesi nde uygulanacak süreç yönetim sistemi ile ilgili temel esasları tanımlamaktır. 2.0 KAPSAM Ahi Evran Üniversitesi nin stratejik amaç ve hedefleri doğrultusunda yürütmüş olduğu
DetaylıKALİTE YÖNETİM SİSTEMİ TS EN ISO 2015 PROSES YAKLAŞIMI
KALİTE YÖNETİM SİSTEMİ TS EN ISO 2015 PROSES YAKLAŞIMI Mustafa DİLEK +90 532 263 4849 mdilekm@hotmail.com Kalite Yönetim Sistemi Kalite yönetim sistemi uygulamak kuruluşa aşağıdaki potansiyel faydaları
DetaylıISO 9001:2009 KALİTE YÖNETİM SİSTEMİ STANDARDININ AÇIKLAMASI
0. GİRİŞ ISO 9001:2009 KALİTE YÖNETİM SİSTEMİ STANDARDININ AÇIKLAMASI Dr. Mürsel ERDAL Sayfa 1 Kalite yönetim sisteminin benimsenmesi, kuruluşun stratejik bir kararı olmalıdır. Bir kuruluşun kalite yönetim
DetaylıİŞLETME RİSK YÖNETİMİ. Yrd. Doç. Dr. Tülay Korkusuz Polat 1/21
İŞLETME RİSK YÖNETİMİ Yrd. Doç. Dr. Tülay Korkusuz Polat 1/21 Kuruluşların, artan belirsizlik ortamında, stratejilerini belirlemeleri ve bu stratejiler doğrultusunda gelişimlerini sürdürmelerinde, yeni
Detaylı1. AMAÇ Bu Prosedürün amacı, Aksaray Üniversitesi bünyesinde yürütülen bilgi işlem hizmetlerinin yürütülmesi ile ilgili esasları belirlemektir.
Sayfa No 1/5 1. AMAÇ Bu Prosedürün amacı, Aksaray Üniversitesi bünyesinde yürütülen bilgi işlem hizmetlerinin yürütülmesi ile ilgili esasları belirlemektir. 2. KAPSAM Bu Prosedür, Aksaray Üniversitesi
DetaylıRİZE HALK SAĞLIĞI MÜDÜRLÜĞÜ
RİZE HALK SAĞLIĞI MÜDÜRLÜĞÜ BİLGİ GÜVENLİĞİ POLİTİKASI Versiyon: V1.0 Sayfa 1 2016 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ POLİTİKASI BGYS politikası, T.C. Sağlık Bakanlığı Türkiye Halk Sağlığı Kurumu bünyesinde
DetaylıISO/IEC 27001 Özdeğerlendirme Soru Listesi
ISO/IEC 27001 Özdeğerlendirme Soru Listesi Bu soru listesindeki sorular, kurduğunuz/kuracağınız yönetim sistemdeki belirli alanlara daha fazla ışık tutmak, tekrar değerlendirerek gözden geçirmek ve denetime
DetaylıRİSK ANALİZ PROSEDÜRÜ
1.AMAÇ Karacabey Devlet Hastanesi faaliyetleri sırasında oluşabilecek potansiyel tehlikelerin ve bunlara ilişkin risklerin belirlenmesi, böylelikle beklenen veya olası risklerin kontrol altına alınmasına
DetaylıÖLÇME ANALİZ VE İYİLEŞTİRME PROSEDÜRÜ
TİTCK/ DESTEK VE LABORATUVAR HİZMETLERİ BAŞKAN YARDIMCILIĞI/ ANALİZ VE KONTROL LABORATUVAR DAİRESİ BAŞKANLIĞI ÖLÇME ANALİZ VE İYİLEŞTİRME PR09/KYB Sayfa No: 1/7 1. AMAÇ ve KAPSAM Bu prosedürün amacı; kalite
Detaylı2- PROJE YÖNETİMİ BİLGİ ALANLARI Y R D. D O Ç. D R. K E N A N G E N Ç O L
2- PROJE YÖNETİMİ BİLGİ ALANLARI Y R D. D O Ç. D R. K E N A N G E N Ç O L 10 TEMEL BILGI ALANı (PMI YAKLAŞıMı) Proje Entegrasyon Yönetimi Proje Kapsam Yönetimi Proje Zaman Yönetimi Proje Maliyet Yönetimi
Detaylı1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR.
13.07.2014 tarih ve 29059 sayılı resmi gazete ile yürürlüğe giren Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği ile Bilgi Teknolojileri ve İletişim Kurumu (BTK) elektronik haberleşme
DetaylıYÖNETİM SİSTEMLERİ 1
YÖNETİM SİSTEMLERİ 1 YÖNETİM, en genel anlamıyla, başkaları vasıtasıyla iş yapmak olarak tanımlanır. İktisatçılara göre YÖNETİM, emek, sermaye ve doğal kaynaklar ile beraber üretim faktörlerinden biridir.
DetaylıİŞ SAĞLIĞI VE YÖNETİM SİSTEMLERİ
İŞ SAĞLIĞI VE YÖNETİM SİSTEMLERİ YÖNETİM, en genel anlamıyla, başkaları vasıtasıyla iş yapmak olarak tanımlanır. İktisatçılara göre YÖNETİM, emek, sermaye ve doğal kaynaklar ile beraber üretim faktörlerinden
DetaylıİSG PLANLAMA RİSK DEĞERLENDİRME PROSEDÜRÜ
SAYFA NO 1/6 AMAÇ KAPSAM: Hastanede yeni bir bölüm açarken veya devam eden bölümlerin tehlikelerinin belirlenmesi, risklerin değerlendirilmesi, İSG programlarının oluşturulması ve gerekli kontrol ölçümlerinin
DetaylıISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU
ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU Dünyada en çok kullanılan yönetim sistemi standardı ISO 9001 Kalite Yönetim Sistemi Standardının son revizyonu 15 Eylül 2015 tarihinde yayınlanmıştır.
DetaylıKURUMSAL RİSK YÖNETİMİ. Yrd. Doç. Dr. Tülay Korkusuz Polat 1/37
KURUMSAL RİSK YÖNETİMİ Yrd. Doç. Dr. Tülay Korkusuz Polat 1/37 Risk kültürü (1/5) Etkin bir risk yönetimi için çok boyutlu düşünme kültürü geliştirilmeli, farklılıklar ve riskler fırsatlara dönüştürülmelidir.
DetaylıISO-BGYS-PL-02 Bilgi Güvenliği Politikası
ISO-BGYS-PL-02 Bilgi Güvenliği Politikası İlk Yayın Tarihi : 08.10.2015 *Tüm şirket çalışanlarının görebileceği, şirket dışı kişilerin görmemesi gereken dokümanlar bu sınıfta yer alır. ISO-BGYS-PL-02 08.10.2015
DetaylıKAYISI ARAŞTIRMA İSTASYONU MÜDÜRLÜĞÜ EK 3.4 KALİTE YÖNETİM / İÇ KONTROL BİRİMİ
KAYISI ARAŞTIRMA İSTASYONU MÜDÜRLÜĞÜ EK 3.4 KALİTE YÖNETİM / İÇ KONTROL BİRİMİ Kalite Yöneticisi Dök.No KAİM.İKS.FRM.081 Sayfa No 1/ 3 İŞİN KISA TANIMI: Kayısı Araştırma İstasyonu Müdürlüğü üst yönetimi
DetaylıCahide ÜNAL Mart 2011
Cahide ÜNAL Mart 2011 Bilgi, bir kurumun en önemli değerlerinden birisidir ve sürekli korunması gerekir. TS ISO IEC 17799:2005 2 BİLGİ TÜRLERİ Kağıt üzerine basılmış, yazılmış Elektronik olarak saklanan
DetaylıISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞİ İLE İLGİLİ BİLGİLENDİRME
ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞİ İLE İLGİLİ BİLGİLENDİRME ISO 9001 Kalite Yönetim Sistemi Standardının son revizyonu 15 Eylül 2015 tarihinde yayınlanmıştır. ISO 9001:2015 Geçiş Süreci IAF (Uluslararası
DetaylıİŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMLERİ
1 İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMLERİ İşyerlerinde çeşitli nedenlerden kaynaklanan meslek hastalıkları ve kazalardan korunmak ve daha iyi bir çalışma ortamı sağlamak amacıyla, tehlike ve risklerin
DetaylıISO 9001:2015 GEÇİŞ KILAVUZU
Kal ten z, denet m m z altında olsun Szutest Szutest Szutest Szutesttr 444 9 511 szutest.com.tr ISO 9001:2015 REVİZYONUN YAPISI Yeni Revizyon ile birlikte ISO ANNEX SL gereksinimleri doğrultusunda Yüksek
DetaylıPERSONEL BELGELENDİRME PROSEDÜRÜ (GENEL ŞARTLAR)
Yayın i 04.05.2009 Sayfa Sayısı 1/5 1. KAPSAM TS EN ISO/IEC 17024 Personel belgelendirme kuruluşları için geliştirme ve sürdürebilirlik programları da dahil belirli şartlara göre personeli belgelendiren
DetaylıISO 13485:2016 TIBBİ CİHAZLAR KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU
ISO 13485:2016 TIBBİ CİHAZLAR KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU Dünyaca kabul görmüş medikal cihazlar endüstrisi kalite yönetim sistemi standardı olan ISO 13485'in final versiyonu Şubat 2016 da yayınlandı.
DetaylıSTRATEJİK YÖNETİM VE YÖNETİMİN GÖZDEN GEÇİRMESİ PROSEDÜRÜ
Sayfa 1/6 Revizyon Takip Tablosu REVİZYON NO TARİH AÇIKLAMA 00 02.07.2018 İlk yayın 1. AMAÇ Bu prosedürün amacı, Toros Üniversitesi Meslek Yüksekokulunda Kalite Yönetim Sistemi politika, hedef ve iş akışlarındaki
DetaylıİŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ
İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ Ali Dinçkan, BTYÖN Danışmanlık İş sürekliliği, kurumun kritik süreçlerinin belirlenmesi, bu süreçlerin sürekliliği için gerekli çalışmaların
DetaylıBAKANLIĞIMIZ İÇ KONTROL SİSTEMİ ÇALIŞMALARININ TAMAMLANMASI STRATEJİ GELİŞTİRME BAŞKANLIĞI
BAKANLIĞIMIZ İÇ KONTROL SİSTEMİ ÇALIŞMALARININ TAMAMLANMASI STRATEJİ GELİŞTİRME BAŞKANLIĞI OCAK 2015 Sunum Planı İç Kontrol ün Tanımı ve Amaçları Birimlerin Sorumlulukları İç Kontrol Standartları Bakanlıkta
DetaylıGerçekler. Sanayileşme ve çevre sorunları Küreselleşme ve Pazarın büyümesi Rekabetin artması
Gerçekler Sanayileşme ve çevre sorunları Küreselleşme ve Pazarın büyümesi Rekabetin artması Çözüm Kaliteyi arttırmak Çevreye duyarlı üretim Kalite yönetim sistemleri Kalite yönetim sistemleri ISO 9001,
DetaylıOHSAS İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMLERİ
OHSAS 18001 İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMLERİ OHSAS 18001 YÖNETİM SİSTEMİ STANDARTI Bu standart, yasal şartları ve İSG riskleri hakkındaki bilgileri dikkate alan bir politikanın ve hedeflerin
Detaylıİç Tetkik Prosedürü Dok.No: KYS PR 02
AMAÇ Üniversitemizde uygulanan ve KYS kapsamına alınan faaliyetlerin, Kalite Yönetim Sistemi şartlarımıza, yasal şartlara ve ISO 9001:2015 standardı şartlarına uygunluğunun ve etkinliğinin planlı ve sistematik
DetaylıDOK-004 BGYS Politikası
DOK-004 BGYS Politikası 1/7 Hazırlayanlar İsim Şule KÖKSAL Ebru ÖZTÜRK Döndü Çelik KOCA Unvan Defterdarlık Uzmanı Defterdarlık Uzmanı Çözümleyici Onaylayan İsim Mustafa AŞÇIOĞLU Unvan Genel Müdür Yardımcısı
DetaylıISO 14001:2015 ÇEVRE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU
ISO 14001:2015 ÇEVRE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU ISO 9001:2015 KYS standardı ile birlikte değişen pazar ve çevresel şartlara uyum için ISO 14001 Çevre Yönetim Sistemi standardı da yeni seviye yönetim
DetaylıTS EN ISO 9001:2008 Kalite Yönetim Sistemi Kurum İçi Bilgilendirme Eğitimi ISO 9001 NEDİR?
ISO 9001 NEDİR? ISO 9001, tüm imalat ve hizmet şirketleri için hazırlanmış olan ve Kalite Yönetim Sistemi nin gereklerini belirleyen uluslararası bir standarttır. Kurumun mal veya hizmet üretimindeki tüm
DetaylıBİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ
BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ Dr. Emre ERDİL Bilgi İşlem, İstatistik ve Enformasyon Dairesi İstanbul Nisan 2018 1/15 Gündem Giriş Tarihçe Düzenlemenin Niteliği Tebliğin Bölümleri 2/15 Giriş 5 Ocak
DetaylıCICS / CICP Sertifika Programları. Eğitim Kataloğu. Hazırlayan: İç Kontrol Enstitüsü
CICS / CICP Sertifika Programları Eğitim Kataloğu Hazırlayan: İç Kontrol Enstitüsü İÇİNDEKİLER İÇİNDEKİLER... 1 İÇ KONTROL ENSTİTÜSÜ NÜN CICS / CICP SERTİFİKA PROGRAMLARI EĞİTİMİ İÇERİĞİ... 3 BÖLÜM 1:
Detaylı