QSA İŞ ÇÖZÜMLERİ SANAYİ VE TİCARET LİMİTED ŞİRKETİ Demirtaş Dumlupınar Mh. 51.Sk. No:14 Kat:1 Osmangazi Bursa / Türkiye Tel : +90 (224) Fax

Transkript

1

2 QSA ENTEGRE YÖNETİM SİSTEMİ YAZILIMI Entegre Yönetim Sistemi; yönetim sistemlerinin tek çatı altında toplandığı ve gereklerinin aynı anda karşılandığı bütünsel uygulanan sistemlerdir. QSA Entegre Yönetim Sistemi Yazılımı; şirketlerde yönetim sistemleri Standart şartlarına, yasal ve sözleşmelerden doğan gereksinimlere uygunluğun sağlanmasında; Yönetim sistemlerinin yaygın olarak kabul ettiği proses yaklaşımı olan PUKÖ ( Planla Uygula Kontrol et Önlem al ) çalışma prensibine ait aşamalarının tek bir platformdan entegre olarak etkin bir şekilde uygulanmasını, takip edilmesini ve aksiyon bazlı yönetilmesini sağlamak amacıyla geliştirilen bir uygulama yazılımıdır. QSA ENTEGRE YÖNETİM SİSTEMİ YAZILIMI YARARLARI 1. Yönetim Sistemlerinin standart şartlarına ait gereksinimlerin karşılanması için gerekli olan aşamaların yönetimini QSA Entegre Yönetim Sistemi Yazılımı ile daha hızlı, güvenilir, sistematik ve merkezi olarak yapabilirsiniz. 2. ISO IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi ile ilgili tüm süreçlerinizi, QSA Entegre Yönetim Sistemi Yazılımı ile aksiyon bazlı olarak kolaylıkla yönetebilir, süreçlere ait objektif kanıtlarınızı sisteme dosya olarak ekleyebilir ve saklayabilirsiniz. ( Risk değerlendirmesi, Risk İşleme, Bilgi Güvenliği İhlal olayı yönetimi, Varlık envanteri, İş Sürekliliği Planları, Doküman yönetimi v.b ) 3. Yönetim sistemlerine ait İç tetkikin planlanması, Soru listelerinin hazırlanması, süreç bazlı denetim detay planının hazırlanması, iç tetkikçilerin oluşturulması ve tetkiklere atanması, iç tetkikin gerçekleştirilmesi, raporlanması aşamalarının yönetimini QSA Entegre Yönetim Sistemi Yazılımı ile yaparak İç denetim sürelerinizi optimize edebilir, denetim verimliliğini arttırabilirsiniz. 4. QSA Entegre Yönetim Sistemi Yazılımı ile yönetim sistemlerinizi tek bir platformda entegre olarak yöneterek operasyonel ve yönetsel süreçlerinizi optimize edebilirsiniz. Böylece yönetim sistemlerinizin takibini ve denetimini daha etkin yapabilirsiniz. 5. QSA Entegre Yönetim Sistemi Yazılımı ile yönetim sistemlerinizin sürdürülebilirliğini, sürekli iyileştirilmesini sağlamak için harcanan kaynaklarınızı ( insan, zaman ) optimize edebilirsiniz.

3 1. Varlık Yönetimi Varlı Yönetimi modülünde; QSA ENTEGRE YÖNETİM SİSTEMİ YAZILIMI MODÜLLERİ ISO IEC Bilgi Güvenliği Yönetim Sistemi Standardının; EK-A Kontrollerinden A Varlıkların envanteri, A Varlıkların sahipliği, A Bilgi sınıflandırması, A Bilgi Etiketlemesi ve A Varlıkların kullanımı maddelerinde tanımlanan gereksinim ve şartların standarda uygun olarak tanımlanmasını ve yönetilmesini sağlar. Varlık kategorileri ve bu kategorilere ait grupların oluşturulmasına imkan sağlayarak varlık envanterinin oluşturulması ve Varlıkların değerlendirilmesi ile risk değerlendirmesinde kolaylık sağlar. Belirlenen varlık gruplarının tehdit ve zafiyetlerle eşleştirilmesi imkanı sağlanarak risk değerlendirme ekranında risk kayıtlarının otomatik olarak oluşturulması kolaylığını sağlar. Varlık envanteri üzerinden tüm varlıkların Gizlilik, Bütünlük ve Erişilebilirlik kriterlerine göre Varlık değerlendirilmelerini yapabilme olanağını sağlayarak, varlığın gizlilik derecesinin ( bilgi sınıflandırması ) otomatik olarak belirlenmesini sağlar. Varlık envanteri üzerinden Kişisel Verilerin Korunması Kanununa göre; Kişisel Veri ve Özel Nitelikli Kişisel Verilerin tespit edilmesine ve raporlanmasına olanak sağlar. Belirlenen bilgi sınıflandırma düzeylerine göre (Kişisel Veri dahil ) Varlık Grubu detayında koruma kurallarının tanımlanmasına ve Varlık değerlendirme ekranında otomatik olarak gelmesine olanak sağlar. Birden fazla varlık değerlendirme metodolojisi sayesinde şirketlerin kendilerine uygun metodolojiyi seçme esnekliğini sağlar. Aynı değere sahip varlıklar için grup oluşturulmasına ve varlıkların bu gruba üye yapılmasına olanak sağlayarak varlık değerlendirmesi aşamasında kolaylık sağlar. Varlık kayıtları üzerinde yapılan değişiklikler ile ilgili izlenebilirlik sağlar ( Log kaydı tutar ) Varlıkların kullanımına ait saklanması gereken belgelerin ( Kullanım kılavuzu, Garanti belgesi, bakım kayıtları, Zimmet formları v.b ) ilgili varlık kaydına dosya olarak eklenmesi ve saklanmasına olanak sağlar. Varlık envanteri kayıtlarının yetki bazlı kontrolünü sağlayarak varlıklara ati kayıtların kasıtlı ya da kasıtsız değişimlerden korunmasını sağlar. Varlıkların gerektiğinde ( Organizasyonel değişikliklere bağlı olarak ) toplu transferine olanak sağlar. Süreç- Varlık ilişkisi sayesinde Varlığın hangi süreçlerde kullanıldığı bilgisinin alınmasında kolaylık sağlar.

4 2. Süreç Yönetimi Süreç Yönetimi modülünde; Firmanın İş Süreçlerini ve alt süreç adımlarını Standart bazlı ( 27001, 9001, v.b ) ayrı ayrı detaylı olarak tanımlanmasına imkan sağlar. Belirlenen süreçlere ait istenirse süreç tanımı üzerinden ya da süreç adımları üzerinden her bir süreç adımı için ayrı tehdit-risk tanımlayabilme olanağı ile daha hassas bir risk değerlendirmesi ile risk işleme yapılabilmesine olanak sağlar. Süreçlerde kullanılan Varlıkların, Varlık Envanterinden seçilebilip ya da yeni bir varlık ekleme yapıp Süreç- Varlık ilişkisinin kurulmasına olanak sağlar. Süreç adımında belirlenen tehditlerin zaafiyetlerle, uygulanan Kontrollerle eşleştirilebilmesi imkanı sağlanarak risk değerlendirme ekranında risk kayıtlarının otomatik olarak Standart bilgisi ile ayrı ayrı oluşturulması kolaylığını sağlar. Süreç e ait Akış şemaları ve diğer bağlantılı hususlara ait dokümanları ekleme imkanı sunar. 3. Risk Yönetimi Risk Yönetimi modülünde; Üç farklı Risk değerlendirme tipinde Risk Yönetimi yapılabilmesine olanak sağlar; 1. Süreç üzerinden belirlenen Tehditlere ait Risk analizi, Risk derecelendirmesi ve önceliklendirilmesi aşamaları ile risk işleme aksiyonlarının ( Riski düşürme, Riski kabul etme, Riski devir etme, Riskten kaçınma ) ISO 27001, ISO / ISO e uygun olarak yapılmasını sağlar. 2. Süreçlerle ilişkilendirilmiş Varlıklar üzerinden belirlenen Tehditlere ait ( Varlık Grupları ile Eşleştirilmiş Tehditler ) Varlık Tabanlı bir yaklaşımla Risk analizi, Risk derecelendirmesi ve önceliklendirilmesi aşamaları ile risk işleme aksiyonlarının ( Riski düşürme, Riski kabul etme, Riski devir etme, Riskten kaçınma ) ISO 27001, ISO / ISO / ISO e uygun olarak yapılmasını sağlar. 3. Her iki yönetimi aynı anda kullanarak Risk analizi, Risk derecelendirmesi ve önceliklendirilmesi aşamaları ile risk işleme aksiyonlarının ( Riski düşürme, Riski kabul etme, Riski devir etme, Riskten kaçınma ) tek bir risk havuzunda ISO 27001, ISO / ISO / ISO e uygun olarak yapılmasını sağlar.

5 İki farklı risk değerlendirme metodolojisi sayesinde şirketlerin kendilerine uygun metodolojiyi seçme ve kullanma olanağını sağlar. Risk değerlendirmesi aşamasında şirketlerin kendilerine uygun risk değerlendirme kriterlerini oluşturabilmesine imkan sağlayan yapısı, İlgili Standarda ait Süreçlerle Uygulanan Kontrollerin (önlemlerin ), tehdide ait zaafiyetlerin tehditlerle eşleştirilebilmesi kolaylığı sayesinde Uygulanan kontrollerin (önlemlerin) ve Tehdide ait zaafiyetlerin ilgili Risk kayıtlarında otomatik olarak gelmesi ve tanımlanırsa uygulanan kontrol maddelerinin açıklamalarının da ( Firma içindeki uygulama detayları ) ilgili risk değerlendirme kaydında görülmesi yeteneği sayesinde kullanıcıların risk değerlendirmelerini daha kolay, hızlı ve doğru yapabilmelerine olanak sağlar. Risk değerlendirme metodlarında tanımlı olan Risk derecelendirmesine ait ( Kabul Edilebilir, Dikkate Değer ve Kabul Edilemez Riskler ) değer aralıklarının firma tarafından değiştirilebilir olması kolaylığı sayesinde firmaya esnek bir yapı kullanımını sağlar. Risk işleme aksiyonlarının; risk işleme metotlarına ve ilgili kontrol maddelerine bağlı olarak aksiyon bazlı olarak yapılabilme imkanını sağlar. Kontrollerin tehditlerle eşleştirilebilmesi kolaylığı sayesinde ilgili risk işleme aksiyonlarında uygulanacak kontrollerin otomatik olarak gelmesini sağlayabildiği gibi tercihe göre kontrol listesinden çoklu seçim yapma uygulama kolaylığını da sağlar. Risk değerlendirme ve risk işleme faaliyetlerine ait oluşturulan kayıtlarda yapılan değişikliklerin izlenebilirliğini sağlar. ( Log kaydı tutulur ) Risk değerlendirme, Risk işleme ve Artık risk raporu alınmasına olanak sağlar. 4. Dokümanlar Doküman Yönetimi modülünde; Dokümanlara ait kayıtların ilgili yönetim sistemine bağlı olarak ayrı ayrı oluşturulabilmesine olanak sağlar. Doküman Gruplarının ( Yönetim Sistemleri Dokümanları, Dış Kaynaklı Dokümanlar, Kullanım kılavuzları, diğer dokümanlar v.b ) şirketler tarafından tanımlanabilmesine olanak sağlar. Doküman Tiplerinin ( Prosedür, Talimat, Form, El Kitabı, Politika, Liste v.b ) firma tarafından tanımlanabilmesine olanak sağlar. Oluşturulan her bir dokümana ait kaydın Revizyon takibi, orijinal hali muhafaza edilerek yapılabilir ve ilgili dokümana ait dosya kayda eklenebilir ve görüntülenebilir. Doküman değişikliklerinin revizyon, aksiyon ve yetki bazlı olarak yapılabilme ve saklama olanağını sağlar.

6 Dokümanlar modülünde eklenen kayıtların; İç Tetkik modülünde Referans Dokümanlarda ve Uygulanabilirlik bildirgesi içinde Referans Dokümanlarda da kullanabilme kolaylığını sağlar. Dokümanları başka dokümanlar ile ilişkilendirebilme kolaylığı ile yapılacak değişik ile ilgili bağlı olduğu diğer doküman sorumlusu ve/veya sorumluların da bilgi sahibi olması sağlanır. (Örn: Bir form birden fazla talimat yada prosedürde geçebilir yada bir talimat birden fazla prosedürde referans verilebilir. ) Dokümanların ilgili standart maddesi ile ilişkinin kurulabilmesine olanak sağlar. Doküman durumunun ( Onaylı- Revizyonda- Hazırlanıyor- Arşiv, İptal, İmha ) takibinin yapılabilmesine olanak sağlar. Her bir doküman kaydı için; Gözden geçirme periyodu, Saklama süresi, Arşiv süresi, Saklama şekli, Saklama ortamı, Saklama yeri ve İmha metodu tanımlama imkanı sağlar. Doküman gözden geçirmeye ait işlemler kayıt altına alınır. Fiziksel ve Elektronik ortamdaki Dokümanların ve Varlıkların imhasına ait İmha kayıtlarının oluşturulmasına ve saklanması olanak sağlar. İmha kaydına dosya ekleme özelliği sayesinde imha işlemine ait objektif delilin de saklanmasına olanak sağlar. 5. Boşluk Analizi ( Mevcut durum analizi) Boşluk analizi modülünde; İlgili yönetim Sistemine ait firmanın mevcut durumunun standarda göre analizini; standart maddelere ait soru listelerinde alınan cevaplara göre yapabilme, sonucu grafiksel olarak ayrıntılı raporlar ile alabilme olanağını sağlar. Tarih bazında oluşturulan analiz kayıtlarının daha sonrasında birbirleri ile karşılaştırmasının yapılmasına olanak sağlayan yapısı sayesinde mevcut durum analizi ile birlikte ilgili standart ta meydana gelen sürekli gelişimin takibinin de yapılabilmesine olanak sağlar. 6. BGYS İş Sürekliliği BGYS İş Sürekliliği modülünde; İş sürekliliği yönetiminin bilgi güvenliği hususları ( ISO IEC ) ile ilgili olarak; 1. İş Sürekliliği planlarının oluşturulması; İş Sürekliliğine ait Olay Tanımları ve bunlara ait Hedef süreler (MTPD,RPO,RTO), Etkilenen İş Süreçleri, Kaynaklar, Kurtarma Stratejisi, Sorumlular gibi detayların tanımlanabilmesini, 2. İş Etki analizinin yapılabilmesi,

7 3. İş Sürekliliği Planlarına ait Testlerin planlanması ve uygulanması aşamalarının yönetilebilmesine olanak sağlar. İş sürekliliği planları içinde kullanılacak Yedek Fazlalıkları listesinin oluşturulmasına olanak sağlar. 4. İhlal Olayı Yönetimi Bilgi güvenliği İhlal Olayı Yönetimi modülünde; Gerçekleşen bilgi güvenliği ihlal olaylarının bildirimleri ve bu bildirimlere ait detay aşamaların ( İhlal olayı tipi, bildiren kimliği, tanıklar, olaya ait kanıtlar, ihlal olayı ile ilgili yapılacak aksiyonların planlanması, görevlerin atanması ve takibi, ihlal olayının iş etki matrisine göre değerlendirilmesi, Uygulanan yaptırımlar v.b ) aksiyon bazlı yönetiminin yapılabilmesine olanak sağlar. İhlal olayına ait kanıtların ilgili kayda dosya olarak eklenebilme kolaylığı sağlanmıştır. Kanıt emniyeti yetkilendirme yapılarak güvence altına alınmıştır. 5. İç Tetkik İç Tetkik modülünde; İlgili yönetim sistemine ait İç tetkik planlarının hazırlanması, gerçekleştirilmesi ve raporlanarak dağıtılması ile ilgili aşamaların aksiyon bazlı olarak yönetilebilme olanağını sağlar. Standart bazlı İç Tetkik takviminin oluşturulabilmesi Standart bazlı İç Tetkik detay planının oluşturulabilmesi Standart bazlı Soru listelerinin kapsama göre süreç bazlı olarak ( her birim, her lokasyon için ayrı ayrı soru listesi) oluşturulabilmesi Standart bazlı İç tetkikçi listesinin ayrı ayrı oluşturulabilmesi. Standart bazlı İç Tetkikin hazırlanan detay planlara ve soru listelerine göre atanan İç Tetkikçiler ile gerçekleştirilmesi Standart bazlı gerçekleştirilen İç Tetkiklerde elde edilen bulgular için ( Uygunsuzluk, Geliştirmeye Açık Nokta ) İyileştirme kaydı açarak iki aşamalı faaliyet ( Düzeltme ve Düzeltici Faaliyet ) için sorumluları ile birlikte aksiyon planlayabilme Standart bazlı İç tetkik raporunun süreç bazlı olarak oluşturulabilmesi

8 İç tetkikçilerin sadece atandıkları birimlere ait İç tetkik sorularını görebilmesi ve kayıtlarına erişebilmesi ile ilgili yetki kontrolü uygulanmaktadır. İlgili yönetim sisteminin İç denetçi yeterliliklerine ait kriterlerin oluşturulmasına ve takip edilmesine olanak sağlar. ( Geliştirme ve uyarlama çalışması devam ediyor. ) 6. İyileştirme İyileştirme modülünde; İç tetkiklerde, 2 ve 3 ncü taraf tetkiklerinde, müşteri geri bildirimlerinde tespit edilen bulguların (Uygunsuzluk, Geliştirmeye açık alan) Düzeltme ve Düzeltici faaliyet olarak iki aşamada kapatılmasına yönelik yapılacak iyileştirme faaliyetlerinin aksiyon bazlı yönetiminin yapılabilmesine olanak sağlar. Risk İşleme faaliyetlerine ait iyileştirme aksiyonlarının ilgili kayda bağlı olarak yapılabilmesine olanak sağlar. İlgili yönetim sistemi amaç ve hedefleri başarmak için gerekli olan planlamaların ve yönetim sistemi etkinliğinin ölçümü ve takibinin aksiyon bazlı olarak yapılabilmesine olanak sağlar. İlgili iyileştirme kaydına dosya ekleme özelliği sunar. 7. İletişim İletişim modülünde; İletişim modülünde; ilgili yönetim sistemine ait iletişim listeleri ( İç taraflar, Dış taraflar, Otoriteler, Özel ilgi grupları v.b) ve ilgili tarafların ihtiyaç ve beklentilerinin anlaşılmasına yönelik tabloları oluşturulabilme ve takip etme kolaylığı sağlar. 8. Uygulanabilirlik Bildirgesi Uygulanabilirlik bildirgesi modülünde; Uygulanabilirlik bildirgesi modülünde; ISO IEC Bilgi Güvenliği Yönetim Sistemi Standardının Bilgi güvenliği risk işleme seçeneklerinin uygulanmasında gerekli olan kontrollerin tanımlanması, uygulanıp uygulanmadıklarını ve Ek A dan kontrollerin dışarıda bırakılmasının gerekçelendirmesini içeren bir Uygulanabilirlik Bildirgesi üretilmesi sağlanmaktadır. Kapsam dışı bırakılan madde ve/veya maddeler yazılım üzerinde kontrollerin kullanıldığı alanlarda gözükmez.

9 9. Erişim Kontrolü Erişim kontrolü modülünde; Erişim haklarının tahsisi ve kaldırılması ( Ayrıcalık erişim hakları dahil ) ve sistemlere ait uygulama yetki taleplerinin verilmesi ve kaldırılması aşamalarının yönetiminin aksiyon bazlı yapılabilmesi sağlanmaktadır. Raporlama kolaylığı sağlanmıştır. IT Servis yönetimine ait arıza ve bakım kayıtlarının yönetimi talebe bağlı olarak Servis kataloğuna göre seçilerek aksiyon bazlı yönetim sağlar. ( Geliştirme ve uyarlama çalışması devam ediyor.) Bu geliştirmeden sonra modülün adı BIT Servis Yönetimi olarak değiştirilecek ve BG Proje Risk Değerlendirme, Değişiklik Yönetimi konuları da buraya dahil edilecektir. 10. Proje Risk değerlendirme Firma içinde yönetilen projelerde öncesinde bilgi güvenliği gereksinimlerinin belirlenmesi, her gereksinimin karşılandığına dair durum takibinin yapılması, proje risk değerlendirmelerinin yapılması, test ve kabul kriterlerinin belirlenmesi, proje sorumluları ile bilgi güvenliği kontrol sorumlularının belirlenmesi, proje onaylarının verilmesi aşamalarının aksiyon bazlı yapılabilmesi sağlanmaktadır. ( Geliştirme ve uyarlama çalışması devam ediyor. ) 11. Değişiklik Yönetimi Bilgi güvenliğini etkileyen, iş prosesleri, bilgi işleme tesisleri ve sistemlerdeki ( Donanım, Yazılım ) değişikliklerin önceden planlanmasını, değişiklik detaylarının tanımlanmasını ve ilgili olanlara bildirilmesini, değişikliğe ait risk değerlendirmesinin yapılmasını ve gerekli tedbirlerin tanımlanmasını, bilgi güvenliği gereksinimlerinin belirlenmesini ve her gereksinimin karşılandığına dair durum takibinin yapılması aksiyon bazlı yapılabilmesini sağlar. ( Geliştirme ve uyarlama çalışması devam ediyor. )

10 12. Müşteri ve Tedarikçi İlişkileri Müşteri ve Tedarikçi ilişkileri modülünde; Tedarikçi, müşteri tanımlarının yapılabilmesine olanak sağlar. Tedarikçi sözleşmelerine ait değişikliklerin takibinin yapılarak değişikliğe bağlı olarak ilgili tedarikçinin risk değerlendirmelerinin yeniden gözden geçirilmesini sağlar. Tedarikçilere ait Hizmet seviyeleri ( SLA ) ve Operasyonel seviyelerin ( OLA ) tanımlanmasına olanak sağlar. Tedarikçi hizmetlerini izleme ve gözden geçirme kolaylığı sağlar. İlgili Standarda göre Tedarikçi Denetim Planı Oluşturma, Tedarikçi Soru Listelerini hazırlama, Denetçileri tanımlama, Tedarikçi denetimlerini gerçekleştirme, Denetimlerde tespit edilen bulgulara ait iyileştirme kayıtlarını oluşturma ( Geliştirme ve uyarlama çalışması devam ediyor. ) Tedarikçi seçimlerinin kriterlerinin oluşturulabilmesi ve buna bağlı olarak Tedarikçi Seçimi yapılabilmesi ( Geliştirme ve uyarlama çalışması devam ediyor. ) 13. İnsan Kaynakları İnsan kaynakları modülünde; Firmanın organizasyonel ağaç yapısına bağlı birimlerin ve yöneticilerinin Firma ve Lokasyon bazlı tanımlanmasına olanak sağlar. Firma ve Tedarikçi Çalışan tanımlamalarının Firma ve Lokasyon bazlı yapılabilmesine olanak sağlar. Çalışanların görev tanımlarının, rol tanımlarının, yetkinliklerinin, sorumluluklarının tanımlanabilmesine olanak sağlar. Çalışan kartlarında ilgili çalışana ait evrakların ( özlük dosyası, eğitim kayıtları, sertifika, sabıka kaydı v.b ) sisteme yetki bazlı dosya olarak eklenebilmesine ve saklanabilmesine olanak sağlar. Çalışanların alması gereken eğitimlerin belirlenmesi ve takip edilmesine olanak sağlar. ( Geliştirme ve uyarlama çalışması devam ediyor. )

11 14. Kalibrasyon Yönetimi Kalibrasyon olması gereken cihazların eklenmesi, periyodlarının tanımlanması, Doğrulama metodu ve Kalibrasyon laboratuvarları v.b detay tanımlamaların yapılması, sonuçlara ait kayıtların tutulması aşamalarına ait yönetimin gerçekleştirilmesine olanak sağlar. ( Geliştirme ve uyarlama çalışması devam ediyor. ) 15. Uygun olmayan ürün kontrolü Uygun olmayan ürünlere ait süreçleri ( Ürün Adı, Ürün No, Adet, Operasyon, Sipariş no, uygunsuzluk tanımı, tespit eden, hataya ait kök neden, daha önce tekrarlanma durumu, Yapılan düzeltme ve düzeltici faaliyet aksiyonları v.b ) yönetebilme kolaylığı sağlar. ( Geliştirme ve uyarlama çalışması devam ediyor. ) 16. Uyum Uyum modülünde; ISO EK-A Kontrol Maddesi Uygulanabilir yasaları ve sözleşmeye tabi gereksinimleri tanımlama olanağı sağlar. Tanımlanan yasa ve sözleşmeye bağlı gereksinim ve şartlara uyum takibinin aksiyon bazlı yapılabilmesine olanak sağlar. ISO EK-A Kontrol Maddesi Yöneticilerin, kendi kontrolü altında çalışanların Politika ve Standartlara ait oluşturulan kurallara uyup uymadığını takip edebilme ve kayıt altına alma ile bir uygunsuzluk tespit edildiğinde uygunsuzluğun kapatılmasına yönelik faaliyetin planlanarak gerçekleştirilmesi kolaylığını sağlar. ( Geliştirme ve uyarlama çalışması devam ediyor.) ve 3 ncü Taraf Belgelendirme Denetimleri Belgelendirme denetimleri modülünde; Belgelendirme ve Müşteri denetim süreçlerine ait Standart Bazlı ( ISO 27001, ISO 9001 v.b ) denetim kayıtlarının elektronik ortamda tutulmasına olanak sağlar. Denetimlere ait bulguların ( Uygunsuzluk ) kapatılmasına yönelik faaliyetlerin aksiyon bazlı yönetimini sağlar.

12 18. Yönetim & Organizasyon Yönetim ve Organizasyon modülünde; İlgili yönetim sistemine ait kapsam tanımlamalarının; Fiziksel ( Lokasyon ) ve birim olarak yapılabilmesine olanak sağlar. İlgili yönetim sisteminin kapsam dışı ( hariç tutma ) bırakılan standart maddelerin tanımlanabilmesine olanak sağlar. İlgili yönetim sistemine ait yönetim yetki atamalarının yapılabilmesine olanak sağlar. İlgili yönetim sistemine ait ekip ve komitelerin oluşturulmasına olanak sağlar. ( KYS, BGYS, ÇYS, Disiplin komitesi, Acil Müdahale ekibi vb Yönetim sistemleri ekipleri ) İlgili yönetim sistemine ait Etkinlik tanımlamalarının ( Periyodik toplantılar; YGG, Komite toplantıları vb. etkinliklerin girdisi-çıktısı-alınan kararlar v.b detayların) yapılabilmesine ve aksiyon bazlı yönetilebilmesine olanak sağlar. Standart bazlı Uygulanan Kontrolleri tanımlama olanağı sağlar. 19. Sistem Yönetimi Sistem yönetimi modülünde; Yazılıma ait işlevsel parametrelerin tanımlanmasına ve yönetilmesine olanak sağlar.

13 QSA ENTEGRE YÖNETİM SİSTEMİ YAZILIMI TEKNİK ÖZELLİKLERİ VE YETENEKLERİ QSA yazılımı MSSQL veritabanı, IIS Sunucu ortamında ve.net Framework platformu üzerinde çalışmaktadır. QSA Yazılımı çok dilli yapıyı desteklemektedir. QSA uygulamamız responsive arayüzü ile tüm mobil cihazlarda kullanılabilmektedir. Kullanıcı bazlı ve her aksiyon için özel ayarlanabilen yetkilendirme mevcuttur. Holding yapısındaki organizasyonlarda kullanım kolaylığı sağlayan kullanıcı yetki grupları mevcuttur. Örneğin admin tüm firmalara ait bilgilere erişebilirken, Supervisor yetkisine sahip kullanıcı sadece bağlı bulunduğu firmaya ait tüm bilgilere erişebilmektedir. User grubuna dair kullanıcılar ise sadece bağlı bulundukları firma ve bölümüne ait bilgilere erişebilmektedir. Böylece bilgiler firma ve kullanıcı yetkileri bazında izole edilmektedir. Active Directory entegrasyonu ile sisteme giriş yetkilendirmesi AD kullanıcı kimliği ile yapılabilmektedir. Internet Explorer, Chrome ve Safari tarayıcıların güncel versiyonları desteklenmektedir. Uygulamada tüm tablolarda ve raporlarda dışarı aktar özelliği ile verilerin XLS formatında dışa aktarımı mevcuttur. Uygulamada offline olarak XML formatında sunulan şablon yardımıyla ana verilerin (varlık, tedarikçi vb.) içeri aktarım modulü mevcuttur..net platformunda geliştirilen bir ürün olduğu için ihtiyaç duyulduğunda proje kapsamında sizin kullanmakta olduğunuz SAP, ORACLE, Loglama yazılımı veya başka ihtiyaç duyulan diğer platformlardan (bu platformların izin verdiği oranda olmak kaydıyla) online/offline olarak veri alımı modülleri geliştirilebilir. Uygulamada müşterinin bize ilettiği ve yazılıma katma değer sağlayacak her türlü geliştirme talebini değerlendirmemiz sonrası ücretsiz olarak geliştirebilmekteyiz. Ancak müşteriye özel geliştirme talepleri belirlenecek iş-adam-gün bedeli karşılığında geliştirilmektedir. Uygulamada zamanı gelen aksiyonların, periyodik olarak planlanmış görev ve aksiyonların e-posta veya uygulama ekranında bildirimi özelliği mevcuttur. Uygulama ana ekranında Yönetim Paneli yardımıyla sisteme ait kontrol değerlerinin ve durumların görsel grafiklerle izlenebilmesi mümkündür. İhtiyaç halinde gereken ölçüm ve kontrol değerleri yönetim panelinde gösterilebilir.

14 QSA ENTEGRE YÖNETİM SİSTEMİ YAZILIMI REFERANS ALINAN KAYNAKLAR 1. TS ISO IEC Bilgi Güvenliği Yönetim Sistemi 2. TS ISO IEC Bilgi güvenliği kontrolleri için uygulama prensipleri 3. ISO IEC : Bilgi güvenliği risk yönetimi 4. ISO IEC 27031: Bilgi ve İletişim teknolojileri iş sürekliliği hazırlık rehberi 5. ISO IEC 22301: İş sürekliliği yönetim sistemi gereklilikleri 6. ISO IEC 31000: Risk Yönetimi Prensipler ve Kılavuzlar 7. ISO IEC 31010: Risk Değerlendirme Teknikleri 8. TS EN 19011:2011: Yönetim Sistemleri Tetkik Kılavuzu 9. TS EN ISO 9001: Kalite Yönetim Sistemleri 10. TS ISO 10002: Müşteri Memnuniyeti