TÜRK STANDARDI TURKISH STANDARD

Transkript

1 TÜRK STANDARDI TURKISH STANDARD TS ISO/IEC Mart 2006 ICS BİLGİ TEKNOLOJİSİ GÜVENLİK TEKNİKLERİ - BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMLERİ GEREKSİNİMLER Information technology Security techniques - Information security management systems - Requirements TÜRK STANDARDLARI ENSTİTÜSÜ Necatibey Caddesi No.112 Bakanlıklar/ANKARA

2 Bugünkü teknik ve uygulamaya dayanılarak hazırlanmış olan bu standardın, zamanla ortaya çıkacak gelişme ve değişikliklere uydurulması mümkün olduğundan ilgililerin yayınları izlemelerini ve standardın uygulanmasında karşılaştıkları aksaklıkları Enstitümüze iletmelerini rica ederiz. Bu standardı oluşturan Hazırlık Grubu üyesi değerli uzmanların emeklerini; tasarılar üzerinde görüşlerini bildirmek suretiyle yardımcı olan bilim, kamu ve özel sektör kuruluşları ile kişilerin değerli katkılarını şükranla anarız. Kalite Sistem Belgesi İmalât ve hizmet sektörlerinde faaliyet gösteren kuruluşların sistemlerini TS EN ISO 9000 Kalite Standardlarına uygun olarak kurmaları durumunda TSE tarafından verilen belgedir. Türk Standardlarına Uygunluk Markası (TSE Markası) TSE Markası, üzerine veya ambalâjına konulduğu malların veya hizmetin ilgili Türk Standardına uygun olduğunu ve mamulle veya hizmetle ilgili bir problem ortaya çıktığında Türk Standardları Enstitüsü nün garantisi altında olduğunu ifade eder. TSEK Kalite Uygunluk Markası (TSEK Markası) TSEK Markası, üzerine veya ambalâjına konulduğu malların veya hizmetin henüz Türk Standardı olmadığından ilgili milletlerarası veya diğer ülkelerin standardlarına veya Enstitü tarafından kabul edilen teknik özelliklere uygun olduğunu ve mamulle veya hizmetle ilgili bir problem ortaya çıktığında Türk Standardları Enstitüsü nün garantisi altında olduğunu ifade eder. DİKKAT! TS işareti ve yanında yer alan sayı tek başına iken (TS 4600 gibi), mamulün Türk Standardına uygun üretildiğine dair üreticinin beyanını ifade eder. Türk Standardları Enstitüsü tarafından herhangi bir garanti söz konusu değildir. Standardlar ve standardizasyon konusunda daha geniş bilgi Enstitümüzden sağlanabilir. TÜRK STANDARDLARININ YAYIN HAKLARI SAKLIDIR.

3 Ön söz Bu standard, ISO tarafından kabul edilen, ISO/IEC (2005) standardı esas alınarak, TSE Bilgi Teknolojileri ve İletişim İhtisas Grubu nca hazırlanmış ve TSE Teknik Kurulu nun 02 Mart 2006 tarihli toplantısında Türk Standardı olarak kabul edilerek yayımına karar verilmiştir. Bu standardın kabulü ile TS iptal edilmiştir. Bu standardda kullanılan bazı kelime ve/veya ifadeler patent haklarına konu olabilir. Böyle bir patent hakkının belirlenmesi durumunda TSE sorumlu tutulamaz.

4 İçindekiler 0 Giriş Genel Proses yaklaşımı Diğer yönetim sistemleriyle uyumluluk Kapsam Genel Uygulama Atıf yapılan standardlar ve/veya dokümanlar Terimler ve tarifleri Varlık Kullanılabilirlik Gizlilik Bilgi güvenliği Bilgi güvenliği olayı Bilgi güvenliği ihlal olayı Bilgi güvenliği yönetim sistemi Bütünlük Artık risk Riskin kabulü Risk analizi Risk değerlendirme Risk derecelendirme Risk yönetimi Risk işleme Uygulanabilirlik bildirgesi Bilgi güvenliği yönetim sistemi Genel gereksinimler BGYS nin kurulması ve yönetilmesi Dokümantasyon gereksinimleri Yönetim sorumluluğu Yönetimin bağlılığı Kaynak yönetimi BGYS iç denetimleri BGYS yi yönetimin gözden geçirmesi Genel Gözden geçirme girdisi Gözden geçirme çıktısı BGYS iyileştirme Sürekli iyileştirme Düzeltici faaliyet Önleyici faaliyet...13 Ek A - amaçları ve kontroller...14 Ek B (Bilgi için) - OECD prensipleri ve bu standard...31 Ek C (Bilgi için) - TS EN ISO 9001, TS EN ISO ve bu standard arasındaki benzerlikler...32 Kaynaklar...35

5 Bilgi teknolojisi Güvenlik teknikleri - Bilgi güvenliği yönetim sistemleri - Gereksinimler 0 Giriş 0.1 Genel Bu standard, bir Bilgi Güvenliği Yönetim Sistemi ni (BGYS) (Information Security Management System - ISMS) kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için bir model sağlamak üzere hazırlanmıştır. Bir kuruluş için BGYS nin benimsenmesi stratejik bir karar olmalıdır. Bir kuruluşun BGYS tasarımı ve gerçekleştirmesi, ihtiyaçları ve amaçları, güvenlik gereksinimleri, kullanılan prosesler ve kuruluşun büyüklüğü ve yapısından etkilenir. Bunların ve destekleyici sistemlerinin zaman içinde değişmesi beklenir. Bir BGYS gerçekleştirmesinin kuruluşun ihtiyaçlarına göre ölçeklenmesi beklenir (örneğin, basit durumlar basit BGYS çözümleri gerektirir). Bu standard, uyumluluğu değerlendirmek için ilgili iç ve dış taraflarca kullanılabilir. 0.2 Proses yaklaşımı Bu standard, bir kuruluşun BGYS sini kurmak, gerçekleştirmek, işletmek, izlemek, sürdürmek ve iyileştirmek için bir proses yaklaşımını benimser. Bir kuruluşun, etkin bir şekilde işlev görmek için, bir çok faaliyetini tanımlaması ve yönetmesi gerekir. Kaynakları kullanan ve girdilerin çıktılara dönüştürülebilmesi için yönetilen her faaliyet, bir proses olarak düşünülebilir. Çoğunlukla, bir prosesin çıktısı doğrudan bunu izleyen diğer prosesin girdisini oluşturur. Bir kuruluş içerisinde, tanımları ve bunların etkileşimi ve yönetimleriyle birlikte proseslerin oluşturduğu bir sistem uygulaması proses yaklaşımı olarak tanımlanabilir. Bu standardda sunulan bilgi güvenliği yönetimi proses yaklaşımı, kullanıcılarını aşağıdakilerin öneminin vurgulanmasına özendirir: a) İş bilgi güvenliği gereksinimlerini ve bilgi güvenliği için politika ve amaçların belirlenmesi ihtiyacını anlamak, b) Kuruluşun tüm iş risklerini yönetmek bağlamında kuruluşun bilgi güvenliği risklerini yönetmek için kontrolleri gerçekleştirmek ve işletmek, c) BGYS nin performansı ve etkinliğini izlemek ve gözden geçirmek, d) Nesnel ölçmeye dayalı olarak sürekli iyileştirmek. Bu standard, tüm BGYS proseslerini yapılandırmaya uygulanan Planla-Uygula- Et-Önlem al (PUKÖ) modelini benimser. Şekil 1, bir BGYS nin bilgi güvenliği gereksinimlerini ve ilgili tarafların beklentilerini girdi olarak nasıl aldığını ve gerekli eylem ve prosesler aracılığıyla, bu gereksinimleri ve beklentileri karşılayacak bilgi güvenliği sonuçlarını nasıl ürettiğini gösterir. Şekil 1 ayrıca, Madde 4, Madde 5, Madde 6, Madde 7 ve Madde 8 de sunulan proseslerdeki bağlantıları da gösterir. PUKÖ modelinin benimsenmesi, bilgi sistemleri ve ağları güvenliğini yöneten OECD Kılavuzları nda (2002) 1) belirlenmiş olan prensipleri de yansıtır. Bu standard, risk değerlendirme, güvenlik tasarımı ve gerçekleştirme, güvenlik yönetimi ve yeniden değerlendirmeyi yöneten bu kılavuzlardaki prensipleri gerçekleştirmek için sağlam bir model sağlar. Örnek 1 Bir kuruluşta, bilgi güvenliği ihlallerinin ciddi finansal hasarlara neden olmaması ve/veya kuruluşta rahatsızlığa yol açmaması bir gereksinim olabilir. 1) OECD Guidelines for the Security of Information Systems and Networks Towards a Culture of Security. Paris: OECD, July

6 Örnek 2 Ciddi bir durum oluştuğunda (örneğin, bir kuruluşun e-iş web sitesinin çökertilmesi), etkiyi en aza indirmek için, uygun prosedürlerde yeterli eğitime sahip kişilerin olmasının gerekliliği bir beklenti olabilir. Şekil 1 - BGYS proseslerine uygulanan PUKÖ modeli Planla (BGYS nin kurulması) Uygula (BGYS nin gerçekleştirilmesi ve işletilmesi) Et (BGYS nin izlenmesi ve gözden geçirilmesi) Önlem al (BGYS nin sürekliliğinin sağlanması ve iyileştirilmesi) Sonuçları kuruluşun genel politikaları ve amaçlarına göre dağıtmak için, risklerin yönetimi ve bilgi güvenliğinin geliştirilmesiyle ilgili BGYS politikası, amaçlar, hedefler, prosesler ve prosedürlerin kurulması. BGYS politikası, kontroller, prosesler ve prosedürlerin gerçekleştirilip işletilmesi. BGYS politikası, amaçlar ve kullanım deneyimlerine göre proses performansının değerlendirilmesi ve uygulanabilen yerlerde ölçülmesi ve sonuçların gözden geçirilmek üzere yönetime rapor edilmesi. BGYS nin sürekli iyileştirilmesini sağlamak için, yönetimin gözden geçirme sonuçlarına dayalı olarak, düzeltici ve önleyici faaliyetlerin gerçekleştirilmesi. 0.3 Diğer yönetim sistemleriyle uyumluluk Bu standard, ilgili yönetim standardlarıyla tutarlı ve tümleşik gerçekleştirme ve işletimi desteklemek için ISO 9001 ve ISO ile uyumludur. Bu nedenle, uygun şekilde tasarlanmış bir yönetim sistemi tüm bu standardların gereksinimlerini karşılayabilir. Çizelge C.1, bu standardın maddeleriyle, ISO 9001 ve ISO arasındaki ilişkiyi göstermektedir. Bu standard, bir kuruluşun BGYS sini ilgili yönetim sistemi gereksinimleriyle uyumlu yapabilmesi ya da bütünleştirebilmesi için tasarlanmıştır. 2

7 ÖNEMLİ - Bu standard, bir anlaşmanın gerekli tüm maddelerini içermemektedir. Kullanıcılar doğru uygulanmasından sorumludurlar. Bu standarda uyumluluk yasal sorumluluklardan muafiyet sağlamaz. 1 Kapsam 1.1 Genel Bu standard, tüm kuruluş türlerini (örneğin, ticari kuruluşlar, kamu kurumları, kar amaçlı olmayan kuruluşlar) kapsar. Bu standard, dokümante edilmiş bir BGYS yi kuruluşun tüm ticari riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsar. Bağımsız kuruluşların ya da tarafların ihtiyaçlarına göre özelleştirilmiş güvenlik kontrollerinin gerçekleştirilmesi için gereksinimleri belirtir. BGYS, bilgi varlıklarını koruyan ve ilgili taraflara güven veren yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmıştır. Not 1 - Bu standardda, iş terimi geniş anlamda kuruluşun varlık amaçlarının temeli olan etkinlikler anlamına gelmektedir. Not 2 - ISO/IEC 17799, kontroller tasarlanırken kullanılabilecek gerçekleştirme kılavuzu sağlar. 1.2 Uygulama Bu standardla ortaya konulan gereksinimler geneldir ve türü, büyüklüğü ve doğasından bağımsız olarak tüm kuruluşlara uygulanabilir olması amaçlanmaktadır. Bir kuruluş bu standarda uyumluluk iddiasında bulunduğunda, Madde 4, Madde 5, Madde 6, Madde 7 ve Madde 8 de belirlenen herhangi bir gereksinimin dışarıda bırakılması kabul edilebilir değildir. Risk kabul kriterlerini sağlamak için dışarıda bırakılması gerekli bulunan her kontrolün açıklanabilmesi ve ilişkili risklerin sorumlu kişilerce uygun olarak kabul edildiğine ilişkin kanıtın sağlanması gerekir. Herhangi bir kontrol dışarıda bırakıldığında, bu standarda uyumluluk iddiası, hariç tutulan gereksinimlerin, risk değerlendirme ve uygulanabilir yasal ve düzenleyici gereksinimler tarafından belirlenen güvenlik gereksinimlerini karşılayacak bilgi güvenliğini sağlamak için kuruluşun kabiliyetini ve/veya sorumluluğunu etkilemedikçe kabul edilmez. Not - Bir kuruluş zaten işleyen bir iş proses yönetimi sistemine (örneğin, ISO 9001 veya ISO ile ilgili) sahipse, birçok durumda bu standardın gereksinimlerinin mevcut yönetim sistemi içinde sağlanması tercih edilir. 2 Atıf yapılan standardlar ve/veya dokümanlar Aşağıda verilen, atıf yapılan standardların hükümleri bu standardın hükümleri sayılır. Tarih belirtilen atıflarda, daha sonra yapılan tadil ve revizyonlar uygulanmaz. Bununla birlikte, bu standarda dayalı anlaşmalarda taraflara, aşağıda verilen standardların en yeni baskılarını uygulama imkanını araştırmaları önerilir. Tarih belirtilmeyen atıflarda, ilgili standardın en son baskısı kullanılır. Bütün standardların yürürlükte bulunan baskıları TSE den temin edilebilir. EN, ISO, IEC vb. No. ISO/IEC Adı (İngilizce) Information technology - Code of practice for information security management TS No 1) TS ISO/IEC Adı (Türkçe) Bilgi Teknolojisi - Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri 1) TSE Notu: Atıf yapılan standardların TS numarası ve Türkçe adı 3. ve 4. kolonda verilmiştir. işaretli olanlar bu standardın basıldığı tarihte İngilizce metin olarak yayımlanmış olan Türk Standardlarıdır. 3

8 3 Terimler ve tarifleri Bu standardın amacı bakımından aşağıdaki terimler ve tarifler uygulanır. 3.1 Varlık Kuruluş için değeri olan herhangi bir şey. [ISO/IEC : 2004] 3.2 Kullanılabilirlik Yetkili bir varlık tarafından talep edildiğinde erişilebilir ve kullanılabilir olma özelliği. [ISO/IEC : 2004] 3.3 Gizlilik Bilginin yetkisiz kişiler, varlıklar ya da proseslere kullanılabilir yapılmama ya da açıklanmama özelliği. [ISO/IEC : 2004] 3.4 Bilgi güvenliği Bilginin gizliliği, bütünlüğü ve kullanılabilirliğinin korunması. Ek olarak, doğruluk, açıklanabilirlik, inkâr edememe ve güvenilirlik gibi diğer özellikleri de kapsar. [ISO/IEC 17799: 2005] 3.5 Bilgi güvenliği olayı Olası bir bilgi güvenliği politikası açığı, koruyucuların başarısızlığı ya da güvenlikle ilgili olabilecek önceden bilinmeyen bir durumu belirten bir sistem, hizmet ya da ağ durumunun tanımlanan bir ortaya çıkışı. [ISO/IEC TR 18044: 2004] 3.6 Bilgi güvenliği ihlal olayı İş operasyonlarını tehlikeye atma ve bilgi güvenliğini tehdit etme olasılığı yüksek olan tek ya da bir dizi istenmeyen ya da beklenmeyen bilgi güvenliği olayı. [ISO/IEC TR 18044: 2004] 3.7 Bilgi güvenliği yönetim sistemi BGYS Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçası. Not - Yönetim sistemi, kurumsal yapıyı, politikaları, planlama faaliyetlerini, sorumlulukları, uygulamaları, prosedürleri, prosesleri ve kaynakları içerir. 3.8 Bütünlük Varlıkların doğruluğunu ve tamlığını koruma özelliği. [ISO/IEC : 2004] 3.9 Artık risk Risk işlemeden sonra kalan risk. [ISO/IEC Guide 73] 3.10 Riskin kabulü Bir riski kabul etme kararı. [ISO/IEC Guide 73] 4

9 3.11 Risk analizi Kaynakları belirlemek ve riski tahmin etmek amacıyla bilginin sistematik kullanımı. [ISO/IEC Guide 73] 3.12 Risk değerlendirme Risk analizi ve risk derecelendirmesini kapsayan tüm proses. [ISO/IEC Guide 73] 3.13 Risk derecelendirme Riskin önemini tayin etmek amacıyla tahmin edilen riskin verilen risk kriterleri ile karşılaştırılması prosesi. [ISO/IEC Guide 73] 3.14 Risk yönetimi Bir kuruluşu risk ile ilgili olarak kontrol etmek ve yönlendirmek amacıyla kullanılan koordineli faaliyetler. [ISO/IEC Guide 73] 3.15 Risk işleme Riski değiştirmek için alınması gerekli önlemlerin seçilmesi ve uygulanması prosesi. [ISO/IEC Guide 73] Not - Bu standardda, önlem sözcüğünün eş anlamlısı olarak kontrol terimi kullanılmıştır Uygulanabilirlik bildirgesi Kuruluşun BGYS si ile ilgili ve uygulanabilir kontrol amaçlarını ve kontrolleri açıklayan dokümante edilmiş bildirge. Not - amaçları ve kontroller, risk değerlendirme ve risk işleme proseslerinin sonuçları ve çıkarımlarını, yasal ve düzenleyici gereksinimleri, anlaşma yükümlülüklerini ve kuruluşun bilgi güvenliği için iş gereksinimlerini temel alır. 4 Bilgi güvenliği yönetim sistemi 4.1 Genel gereksinimler Kuruluş, dokümante edilmiş bir BGYS yi, kuruluşun tüm ticari faaliyetleri ve karşılaştığı riskleri bağlamında, kurmalı, gerçekleştirmeli, işletmeli, izlemeli, gözden geçirmeli, sürdürmeli ve geliştirmelidir. Bu standardın bir gereği olarak, kullanılan proses, Şekil 1 de gösterilen PUKÖ modeline dayanır. 4.2 BGYS nin kurulması ve yönetilmesi BGYS nin kurulması Kuruluş aşağıdakileri yapmalıdır: a) İşin, kuruluşun, yerleşim yerinin, varlıklarının ve teknolojisinin özelliklerine göre ve kapsamdan herhangi bir dışarda bırakmanın ayrıntıları ve açıklamasını da ekleyerek, BGYS kapsamını ve sınırlarını tanımlama (Madde 1.2 ye bakılmalıdır). b) İşin, kuruluşun, yerleşim yerinin, varlıklarının ve teknolojisinin özelliklerine göre aşağıdaki özelliklere sahip bir BGYS politikası tanımlama: 1) Amaçlarını ortaya koymak için bir çerçeve içeren ve bilgi güvenliğine ilişkin bir eylem için kapsamlı bir yön kavramı ve prensipleri kuran, 2) İş ve yasal ya da düzenleyici gereksinimleri ve sözleşmeye ilişkin güvenlik yükümlülüklerini dikkate alan, 5

10 6 3) BGYS kurulumu ve sürdürülmesinin yer alacağı stratejik kurumsal ve risk yönetimi bağlamını düzenleyen, 4) Riskin değerlendirileceği kriterleri kuran [Madde 4.2.1c)] ve 5) Yönetim tarafından onaylanmış olan. Not - Bu standardın amaçları bakımından, BGYS politikası bilgi güvenliği politikasının bir üst kümesi olarak kabul edilir. Bu politikalar bir dokümanda tanımlanabilir. c) Kuruluşun risk değerlendirme yaklaşımını tanımlama. 1) BGYS ye ve tanımlanmış iş bilgisi güvenliğine, yasal ve düzenleyici gereksinimlere uygun bir risk değerlendirme metodolojisi tanımlama. 2) Riskleri kabul etmek için kriterler geliştirme ve kabul edilebilir risk seviyelerini tanımlama (Madde 5.1f ye bakılmalıdır). Seçilen risk değerlendirme metodolojisi, risk değerlendirmelerinin karşılaştırılabilir ve yeniden üretilebilir sonuçlar üretmesini sağlamalıdır. Not Risk değerlendirme için farklı metodolojiler bulunmaktadır. Risk değerlendirme metodolojileri örnekleri ISO/IEC TR , Information technology Guidelines for the management of IT Security Techniques for the management of IT Security standardında açıklanmıştır. d) Riskleri tanımlama. 1) BGYS kapsamındaki varlıkları ve bu varlıkların sahiplerini 2) tanımlama. 2) Bu varlıklar için var olan tehditleri tanımlama. 3) Tehditlerin fayda sağlayabileceği açıklıkları tanımlama. 4) Gizlilik, bütünlük ve kullanılabilirlik kayıplarının varlıklar üzerinde olabilecek etkilerini tanımlama. e) Riskleri çözümleme ve derecelendirme. 1) Varlıkların gizliliğine, bütünlüğüne ya da kullanılabilirliğine ilişkin oluşan kayıpların olası sonuçlarını dikkate alarak, güvenlik başarısızlıklarından kaynaklanabilecek, kuruluş üzerindeki iş etkilerini değerlendirme. 2) Mevcut tehditler ve açıklıklar ve bu varlıklarla ilişkili etkiler ışığında oluşan güvenlik başarısızlıklarının gerçekçi olasılığını ve gerçekleştirilen mevcut kontrolleri değerlendirme. 3) Risk seviyelerini tahmin etme. 4) Risklerin kabul edilebilir mi olduğunu yoksa Madde 4.2.1c de riskleri kabul etmek için belirlenen kriterler kullanılarak iyileştirme mi gerektirdiğini belirleme. f) Risklerin işlenmesi için seçenekleri tanımlama ve değerlendirme. 2) Olası eylemler aşağıdakileri içerir: 1) Uygun kontrollerin uygulanması, 2) Kuruluşun politikalarını ve riskleri kabul etme kriterlerini açıkça karşılaması şartıyla, bilerek ve nesnel olarak risklerin kabul edilmesi (Madde 4.2.1c)2)), 3) Risklerden kaçınma ve 4) İlişkili iş risklerini diğer taraflara, örneğin, sigorta şirketlerine, tedarikçilere aktarma. Sahip terimi, varlıkların üretimi, geliştirilmesi, bakımı, kullanımı ve güvenliğini kontrol etmek için onaylanmış yönetim sorumluluğu bulunan kişi veya varlıkları tanımlar. Sahip terimi, gerçekten varlık üzerinde mülkiyet hakları olan kişi anlamına gelmez.

11 g) Risklerin işlenmesi için kontrol amaçları ve kontrolleri seçme. amaçları ve kontroller, risk değerlendirme ve risk işleme proseslerince tanımlanan gereksinimleri karşılamak için seçilmeli ve gerçekleştirilmelidir. Ek A daki kontrol amaçları ve kontroller, tanımlanan gereksinimleri kapsamak için uygun olduğundan bu prosesin bir parçası olarak seçilmelidir. Ek A da listelenen kontrol amaçları ve kontroller geniş kapsamlı değildir ve ek kontrol amaçları ve kontroller seçilebilir. Not - Ek A, kuruluşlar için yaygın şekilde uygun olduğu düşünülen kapsamlı bir kontrol amaçları ve kontroller listesi içerir. Bu standardın kullanıcıları, hiçbir önemli kontrol seçeneğinin gözden kaçmamasını sağlamak amacıyla kontrol seçimi için bir başlangıç noktası olarak Ek A yı incelemelidirler. h) Sunulan artık risklere ilişkin yönetim onayı edinme. i) BGYS yi gerçekleştirmek ve işletmek için yönetim yetkilendirmesi edinme. j) Uygulanabilirlik Bildirgesi hazırlama. Aşağıdakileri içeren bir Uygulanabilirlik Bildirgesi hazırlanmalıdır: 1) Madde 4.2.1g) de seçilen kontrol amaçları ve kontroller ve bunların seçilme nedenleri, 2) Mevcut gerçekleştirilmiş kontrol amaçları ve kontroller (Madde 4.2.1e)2) ye bakılmalıdır) ve 3) Ek A daki kontrol amaçları ve kontrollerden herhangi birinin dışarıda bırakılması ve bunların dışarıda bırakılmasının açıklaması. Not - Uygulanabilirlik Bildirgesi risk işlemeyi ilgilendiren kararların bir özetini sağlar. Dışarıda bırakmanın açıklaması, hiçbir kontrolün yanlışlıkla çıkarılmadığının bir çapraz denetimini sağlar BGYS nin gerçekleştirilmesi ve işletilmesi Kuruluş aşağıdakileri yapmalıdır: a) Bilgi güvenlik risklerini yönetmek için uygun yönetim eylemini, kaynakları, sorumlulukları ve öncelikleri tanımlayan bir risk işleme planı hazırlama (Madde 5 e bakılmalıdır). b) Finansman değerlendirmesini ve rollerin ve sorumlulukların tahsisini içeren, tanımlanan kontrol amaçlarına ulaşmak için risk işleme planını gerçekleştirme. c) amaçlarını karşılamak için Madde 4.2.1g) de seçilen kontrolleri gerçekleştirme. d) Seçilen kontroller veya kontrol gruplarının etkinliğinin nasıl ölçüleceğini tanımlama ve karşılaştırılabilir ve yeniden üretilebilir sonuçlar üretmek amacıyla kontrol etkinliğini değerlendirmek için bu ölçümlerin nasıl kullanılacağını belirleme (Madde 4.2.3c) ye bakılmalıdır). Not - lerin etkinliğinin ölçülmesi, yöneticiler ve personele kontrollerin planlanan kontrol amaçlarını ne kadar iyi düzeyde başardığına karar verme olanağı verir. e) Eğitim ve farkında olma programlarını gerçekleştirme (Madde 5.2.2). f) BGYS nin işleyişini yönetme. g) BGYS kaynaklarını yönetme (Madde 5.2). h) Güvenlik olaylarını anında saptayabilme ve güvenlik ihlal olaylarına hemen yanıt verebilme kabiliyetine sahip prosedürleri ve diğer kontrolleri gerçekleştirme (Madde 4.2.3a)). 7

12 4.2.3 BGYS nin izlenmesi ve gözden geçirilmesi Kuruluş aşağıdakileri yapmalıdır: a) İzleme ve gözden geçirme prosedürlerini ve diğer kontrolleri aşağıdakileri gerçekleştirmek için yürütme: 8 1) İşleme sonuçlarındaki hataları anında saptama, 2) Denenen ve başarılı olan güvenlik kırılmaları ve ihlal olaylarını anında tanımlama, 3) Yönetimin, kişilere devredilen ya da bilgi teknolojisince gerçekleştirilen güvenlik faaliyetlerinin beklenen biçimde çalışıp çalışmadığını belirleyebilmesini sağlama, 4) Güvenlik olaylarını saptama ve belirteçler kullanarak güvenlik ihlal olaylarını önlemeye yardım etme ve 5) Bir güvenlik kırılmasını çözmek için alınan önlemlerin etkili olup olmadığına karar verme. b) Güvenlik denetimlerinin sonuçları, ihlal olayları, etkinlik ölçümleri sonuçları ve tüm ilgili taraflardan önerileri ve geri bildirimleri dikkate alarak BGYS nin (BGYS politikası ve amaçlarını karşılama ve güvenlik kontrollerini gözden geçirme dahil) etkinliğinin düzenli olarak gözden geçirilmesini üstlenme. c) Güvenlik gereksinimlerinin karşılandığını doğrulamak için kontrollerin etkinliğini ölçme. d) Aşağıdakilerde oluşacak değişiklikleri dikkate alarak, risk değerlendirmeyi planlanmış aralıklarda ve artık riskleri ve belirlenmiş kabul edilebilir risk seviyelerini gözden geçirme: 1) Kuruluş, 2) Teknoloji, 3) İş amaçları ve prosesleri, 4) Tanımlanmış tehditler, 5) Gerçekleştirilen kontrollerin etkinliği ve 6) Yasal ve düzenleyici ortamdaki değişiklikler, değiştirilmiş anlaşma yükümlülükleri ve sosyal iklimdeki değişiklikler gibi dış olaylar. e) Planlanan aralıklarda iç BGYS denetimlerini gerçekleştirme (Madde 6). Not - Bazen ilk taraf denetimleri olarak adlandırılan iç denetimler, iç amaçlarla kuruluş tarafından veya kuruluş adına gerçekleştirilir. f) Kapsamın uygun kalması ve BGYS prosesindeki iyileştirmelerin tanımlanmasını (Madde 7.1) sağlamak için, BGYS nin yönetim tarafından düzenli olarak gözden geçirilmesini üstlenme. g) İzleme ve gözden geçirme faaliyetlerindeki bulguları dikkate alarak güvenlik planlarını güncelleştirme. h) BGYS etkinliğinde ya da performansında bir etkisi olabilecek eylemleri ve olayları kaydetme (Madde 4.3.3) BGYS nin sürekliliğinin sağlanması ve iyileştirilmesi Belirli aralıklarla kuruluş aşağıdakileri yapmalıdır: a) BGYS deki tanımlanan iyileştirmeleri gerçekleştirme. b) Madde 8.2 ve Madde 8.3 e göre, uygun düzeltici ve engelleyici önlemler alma. Diğer kuruluşların ve kuruluşun kendisinin güvenlik deneyimlerinden alınan dersleri uygulama. c) Eylemler ve iyileştirmeleri tüm ilgili taraflara duruma uygun ayrıntı seviyesinde bildirme ve gerekirse nasıl ilerleneceği konusunda mutabık kalma. d) İyileştirmelerin tasarlanan amaçlara ulaşmasını sağlama.

13 4.3 Dokümantasyon gereksinimleri Genel Dokümantasyon yönetim kararlarının kayıtlarını içermeli, eylemlerin yönetim kararları ve politikalarına izlenebilir olmasını sağlamalı ve kaydedilen sonuçların yeniden üretilebilir olmasını sağlamalıdır. Seçilen kontrollerden geriye doğru risk değerlendirme ve risk işleme proseslerinin sonuçlarına ve sonra da en geride BGYS politikası ve amaçlarına olan ilişkiyi gösterebilmek önemlidir. BGYS dokümantasyonu aşağıdakileri kapsamalıdır: a) BGYS politikası (Madde 4.2.1b)) ve kontrol amaçlarının dokümante edilmiş ifadeleri, b) BGYS kapsamı (Madde 4.2.1c)), c) BGYS yi destekleyici prosedürler ve kontroller, d) Risk değerlendirme metodolojisinin bir tanımı (Madde 4.2.1c)), e) Risk değerlendirme raporu (Madde 4.2.1c) g)), f) Risk işleme planı (Madde 4.2.2b)), g) Kuruluş tarafından, bilgi güvenliği proseslerinin etkin planlanlanmasını, işletilmesini ve kontrolünü sağlamak için ihtiyaç duyulan dokümante edilmiş prosedürler ve kontrollerin etkinliğinin nasıl ölçüleceğini tanımlama (Madde 4.2.3c)). h) Bu standard tarafından gerek duyulan kayıtlar (Madde 4.3.3) ve i) Uygulanabilirlik Bildirgesi. Not 1 - Bu standard içerisinde geçen dokümante edilmiş prosedür terimi, prosedürün kurulduğu, dokümante edildiği, gerçekleştirildiği ve sürdürebilirliğinin sağlandığı anlamına gelir. Not 2 - BGYS dokümantasyonunun kapsamı bir kuruluştan diğerine aşağıdakilere bağlı olarak değişiklik gösterir: - Kuruluşun büyüklüğü ve faaliyetlerinin türü, - Güvenlik gereksinimlerinin ve yönetilen sistemin kapsamı ve karmaşıklığı. Not 3 - Dokümanlar ve kayıtlar herhangi bir biçimde ve ortam türünde olabilir Dokümanların kontrolü BGYS tarafından gerek duyulan dokümanlar korunmalı ve kontrol edilmelidir. Dokümante edilmiş bir prosedür, aşağıdakilere ihtiyaç duyan yönetim eylemlerini belirlemek için kurulmalıdır: a) Yayınlanmadan önce dokümanları uygunluk açısından onaylama, b) Gerektiğinde dokümanları gözden geçirme, güncelleme ve tekrar onaylama, c) Doküman değişikliklerinin ve mevcut revizyon durumunun tanınmasını sağlama, d) Uygulanabilir dokümanların ilgili sürümlerinin kullanım noktalarında kullanılabilir olmasını sağlama, e) Dokümanların okunaklı ve hazır olarak tanınabilir olmasını sağlama, f) Dokümanların ihtiyaç duyanlar için kullanılabilir olmasını, aktarılmasını, saklanmasını ve sınıflandırılmalarına uygun prosedürlerle tamamen yok edilmelerini sağlama, g) Dış kaynaklı dokümanların tanınmasını sağlama, h) Doküman dağıtımının kontrol edilmesini sağlama, 9

14 i) Yürürlükte olmayan dokümanların istenmeden kullanımını engelleme ve j) Herhangi bir amaç için tutuluyorlarsa, bu dokümanlara uygun kimlik uygulama Kayıtların kontrolü Kayıtlar, gereksinimlere uygun olduğuna ve BGYS nin etkin işlediğine dair kanıtlar sağlamak için kurulmalı ve sürdürülmelidir. Kayıtlar korunmalı ve kontrol edilmelidir. BGYS, ilgili her yasal ve düzenleyici gereksinimi dikkate almalıdır. Kayıtlar, okunabilir, hemen tanınabilir ve geri alınabilir halde tutulmalıdır. Kayıtların tanınması, saklanması, korunması, geri alınması, tutulma ve düzenleme zamanları için gereken kontroller dokümante edilmelidir. Kayıtlar, Madde 4.2 de belirtildiği gibi proses performansına ve BGYS ile ilgili tüm güvenlik ihlal olaylarının oluşumlarına ilişkin tutulmalıdır. Örnek Kayıtlara ilişkin örnek olarak, ziyaretçi defteri, denetim kayıtları ve tamamlanmış erişim yetkilendirme formları verilebilir. 5 Yönetim sorumluluğu 5.1 Yönetimin bağlılığı Yönetim BGYS nin kurulumuna, gerçekleştirilmesine, işletimine, izlenmesine, gözden geçirilmesine, bakımına ve iyileştirilmesine olan bağlılığını aşağıdakileri gerçekleştirerek kanıtlamalıdır: a) Bir BGYS politikası kurma, b) BGYS amaçlarının ve planlarının kurulmuş olmasını sağlama, c) Bilgi güvenliği için rolleri ve sorumlulukları kurma, d) Kuruluşa, bilgi güvenliği amaçlarını karşılamanın ve bilgi güvenliği politikalarına uyumun önemini, yasaya karşı sorumluluklarını ve sürekli iyileştirmeye olan gereksinimi bildirme, e) BGYS yi kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için yeterli kaynak sağlama (Madde 5.2.1), f) Riskleri kabul etme ölçütlerini ve kabul edilebilir risk seviyelerini belirleme, g) İç BGYS denetimlerinin gerçekleştirilmiş olmasını sağlama (Madde 6) ve h) BGYS nin yönetim gözden geçirmelerini gerçekleştirme (Madde 7). 5.2 Kaynak yönetimi Kaynakların sağlanması Kuruluş aşağıdakiler için gereken kaynaklara karar vermeli ve bunları sağlamalıdır: a) Bir BGYS yi kurma, gerçekleştirme, işletme, izleme, gözden geçirme, sürekliliğini sağlama ve iyileştirme, b) Bilgi güvenliği prosedürlerinin iş gereksinimlerini desteklemesini sağlama, c) Yasal ve düzenleyici gereksinimleri ve sözleşmeden doğan güvenlik yükümlülüklerini tanımlama ve ifade etme, d) Gerçekleştirilen tüm kontrollerin doğru uygulanmasıyla uygun güvenliği sürdürme, e) Gerektiğinde gözden geçirmeleri gerçekleştirme ve bu gözden geçirme sonuçlarına uygun olarak hareket etme ve f) İhtiyaç olduğunda, BGYS nin etkinliğini iyileştirme. 10

15 5.2.2 Eğitim, farkında olma ve yeterlilik Kuruluş, BGYS de tanımlanan sorumluluklara atanan tüm personelin istenen görevleri gerçekleştirmeye yeterli olduğunu, aşağıda belirtilenlerle sağlamalıdır: a) BGYS yi etkileyecek işler gerçekleştiren personel için gerekli yeterlilikleri belirleme, b) Eğitim sağlama veya bu ihtiyaçları karşılamak için diğer eylemleri (örneğin, yeterli uzmanlığa sahip personel istihdam etme) gerçekleştirme, c) Alınan önlemlerin etkinliğini değerlendirme, d) Eğitim, öğretim, beceriler, deneyim ve niteliklere ilişkin kayıtlar tutma (Madde 4.3.3). Kuruluş aynı zamanda, ilgili tüm personelin bilgi güvenliği faaliyetlerinin yarar ve öneminin ve BGYS amaçlarına ulaşılmasına nasıl katkı sağlayacağının farkında olmasını sağlamalıdır. 6 BGYS iç denetimleri Kuruluş BGYS iç denetimlerini, BGYS kontrol amaçlarının, kontrollerinin, proseslerinin ve prosedürlerinin aşağıdakileri gerçekleştirip gerçekleştirmediğini belirlemek için planlanan aralıklarda gerçekleştirmelidir: a) Bu standardın gerekleri ve ilgili yasa ya da düzenlemelere uyum, b) Tanımlanan bilgi güvenliği gereksinimelerine uyum, c) Etkin olarak gerçekleştirilip sürdürüldüğü, d) Beklendiği gibi işleyip işlemediği. Bir denetleme programı, bir önceki denetim sonuçlarının yanı sıra denetlenecek proseslerin ve alanların durumu ve önemi dikkate alınarak planlanmalıdır. Denetim kriterleri, kapsamı, sıklık ve yöntemler tanımlanmalıdır. Denetmenlerin seçiminde ve denetimlerin gerçekleştirilmesinde, denetim prosesinin nesnel ve tarafsız olarak işlemesi sağlanmalıdır. Denetmenler kendi çalışmalarını denetlememelidirler. Denetimlerin planlanması ve gerçekleştirilmesindeki ve sonuçların raporlanması ve kayıtların tutulmasındaki (Madde 4.3.3) sorumluluklar ve gereksinimler, dokümante edilmiş bir prosedür içinde tanımlanmalıdır. Denetlenen alandan sorumlu olan yönetim, saptanan uygunsuzlukların ve bunların nedenlerinin giderilmesi için, gereksiz gecikmeler olmaksızın önlemlerin alınmasını sağlamalıdır. İzleme faaliyetleri, alınan önlemlerin doğrulanmasını ve doğrulama sonuçlarının raporlanmasını (Madde 8) içermelidir. Not - ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing, BGYS iç denetimlerini gerçekleştirmek için yardımcı bir kılavuzluk sağlayabilir. 7 BGYS yi yönetimin gözden geçirmesi 7.1 Genel Yönetim, kuruluşun BGYS sini planlanan aralıklarla (en az yılda bir kez), sürekli uygunluğunu, doğruluğunu ve etkinliğini sağlamak için gözden geçirmelidir. Bu gözden geçirme, bilgi güvenliği politikası ve bilgi güvenliği amaçları dahil BGYS nin iyileştirilmesi ve gereken değişikliklerin yapılması için fırsatların değerlendirilmesini içermelidir. Gözden geçirme sonuçları açıkça dokümante edilmeli ve kayıtlar tutulup saklanmalıdır (Madde 4.3.3). 7.2 Gözden geçirme girdisi Yönetimin gözden geçirmesinin girdileri aşağıdakileri içermelidir: a) BGYS denetimleri ve gözden geçirmelerinin sonuçları, b) İlgili taraflardan edinilen geri bildirimler, 11

16 c) Kuruluşta BGYS nin performansını ve etkinliği artırmak için kullanılabilecek teknikler, ürünler ya da prosedürler, d) Önleyici ve düzeltici faaliyetlerin durumu, e) Önceki risk değerlendirmede uygun olarak ifade edilmeyen açıklıklar ya da tehditler, f) Etkinlik ölçümlerinin sonuçları, g) Önceki yönetim gözden geçirmelerinden izleme eylemleri, h) BGYS yi etkileyebilecek herhangi bir değişiklik ve i) İyileştirme için öneriler. 7.3 Gözden geçirme çıktısı Yönetimin gözden geçirmesinin çıktıları, aşağıdakilerle ilgili her kararı ve eylemi içermelidir: a) BGYS etkinliğini iyileştirme. b) Risk değerlendirme ve risk işleme planını güncelleştirme. c) Gerektiğinde, BGYS üzerinde etkisi olabilecek iç ya da dış olaylara karşılık vermek için bilgi güvenliğini etkileyen prosedür ve kontrol değişiklikleri, aşağıdakilere değişiklikleri içerir: 12 1) İş gereksinimleri, 2) Güvenlik gereksinimleri, 3) Mevcut iş gereksinimlerini etkileyen iş prosesleri, 4) Düzenleyici ya da yasal gereksinimler, 5) Anlaşma yükümlülükleri ve 6) Risk seviyeleri ve/veya risk kabul kriterleri. d) Kaynak ihtiyaçları. e) lerin etkinliğinin nasıl ölçüldüğünü iyileştirme. 8 BGYS iyileştirme 8.1 Sürekli iyileştirme Kuruluş, bilgi güvenlik politikasını, güvenlik amaçlarını, denetim sonuçlarını, izlenen olayların analizini, düzeltici ve önleyici faaliyetleri ve yönetimin gözden geçirmelerini (Madde 7) kullanarak BGYS etkinliğini sürekli iyileştirmelidir. 8.2 Düzeltici faaliyet Kuruluş tekrarları engellemek için, BGYS gereksinimleriyle uygunsuzlukların nedenlerini gidermek üzere önlemler almalıdır. Düzeltici faaliyet için dokümante edilmiş prosedür aşağıdaki gereksinimleri tanımlamalıdır: a) Uygunsuzlukları tanımlama, b) Uygunsuzlukların nedenlerini belirleme, c) Uygunsuzlukların tekrarlanmamasını sağlamak için ihtiyaç duyulan faaliyetleri değerlendirme, d) Gereken düzeltici faaliyetleri belirleme ve gerçekleştirme,

17 e) Gerçekleştirilen faaliyetlerin sonuçlarını kaydetme (Madde 4.3.3) ve f) Gerçekleştirilen düzeltici faaliyetleri gözden geçirme. 8.3 Önleyici faaliyet Kuruluş tekrar ortaya çıkmalarını önlemek için, BGYS gereksinimleriyle olası uygunsuzlukların nedenlerini gidermek üzere alınacak önlemleri belirlemelidir. Gerçekleştirilen önleyici faaliyetler, olası sorunların yapacağı etkiye uygun olmalıdır. Önleyici faaliyetler için dokümante edilmiş prosedür aşağıdaki gereksinimleri tanımlamalıdır: a) Olası uygunsuzlukları ve bunların nedenlerini belirleme, b) Uygunsuzlukların ortaya çıkmasını önleme faaliyeti ihtiyacını değerlendirme, c) İhtiyaç duyulan önleyici faaliyetleri belirleme ve gerçekleştirme, d) Gerçekleştirilen faaliyetlerin sonuçlarını kaydetme (Madde 4.3.3) ve e) Gerçekleştirilen önleyici faaliyetleri gözden geçirme, Kuruluş, değişen riskleri tanımlamalı ve dikkati önemli derecede değişen riskler üzerinde yoğunlaştırarak önleyici faaliyet gereksinimlerini tanımlamalıdır. Önleyici faaliyetlerin önceliği, risk değerlendirme sonuçlarına bağlı olarak belirlenmelidir. Not - Uygunsuzlukların önlenmesi için gerçekleştirilen faaliyetler çoğunlukla düzenleyici faaliyetlerden daha az maliyetlidir. 13

18 Ek A amaçları ve kontroller Çizelge A.1 de listelenen kontrol amaçları ve kontroller doğrudan ISO/IEC Madde 5 ila Madde 15 te listelenenlerden çıkarılmış ve bu maddelerle sıraya konulmuştur. Çizelge A.1 deki listeler ayrıntılı değildir ve kuruluş ek kontrol amaçlarının ve kontrollerin gerekli olduğunu düşünebilir. Bu çizelgelerdeki kontrol amaçları ve kontroller, Madde de belirtilen BGYS prosesinin bir parçası olarak seçilmelidir. ISO/IEC Madde 5 ila Madde 15, Madde A.5 ila Madde A.15 te belirtilen kontrollerin desteğiyle, gerçekleştirme önerisi ve en iyi uygulamaya ilişkin kılavuzluk sağlar. Çizelge A.1 - amaçları ve kontroller A.5 Güvenlik politikası A.5.1 Bilgi güvenliği politikası Amaç: Bilgi güvenliği için, iş gereksinimleri ve ilgili yasa ve düzenlemelere göre yönetim yönlendirmesi ve desteği sağlamak. A A Bilgi güvenliği politika dokümanı Bilgi güvenliği politikasını gözden geçirme Bir bilgi güvenliği politika dokümanı, yönetim tarafından onaylanmalı, yayınlanmalı ve tüm çalışanlar ve ilgili dış taraflara bildirilmelidir. Bilgi güvenliği politikası, belirli aralıklarda veya önemli değişiklikler ortaya çıktığında sürekli uygunluğunu, doğruluğunu ve etkinliğini sağlamak için gözden geçirilmelidir. A.6 Bilgi güvenliği organizasyonu A.6.1 İç organizasyon Amaç: Kuruluş içerisindeki bilgi güvenliğini yönetmek. A A Yönetimin bilgi güvenliğine bağlılığı Bilgi güvenliği koordinasyonu Yönetim kuruluş içinde güvenliği, açık yönlendirme, gösterilen bağlılık, açık atama ve bilgi güvenliği sorumluluklarının kabulü ile etkin şekilde desteklemelidir. Bilgi güvenliği faaliyetleri, kuruluşun farklı bölümlerinden uygun rolleri ve iş fonksiyonları olan temsilciler tarafından koordine edilmelidir. A Bilgi güvenliği sorumluluklarının tahsisi Tüm bilgi güvenliği sorumlulukları açıkça tanımlanmalıdır. 14

19 A Bilgi işleme tesisleri için yetki prosesi Yeni bilgi işleme tesisleri için, bir yönetim yetki prosesi tanımlanmalı ve gerçekleştirilmelidir. A Gizlilik anlaşmaları Bilginin korunması için kuruluşun ihtiyaçlarını yansıtan gizlilik ya da açıklamama anlaşmalarının gereksinimleri tanımlanmalı ve düzenli olarak gözden geçirilmelidir. A Otoritelerle iletişim İlgili otoritelerle uygun iletişim kurulmalıdır. A A Özel ilgi grupları ile iletişim Bilgi güvenliğinin bağımsız gözden geçirmesi Özel ilgi grupları veya diğer uzman güvenlik forumları ve profesyonel dernekler ile uygun iletişim kurulmalıdır. Kuruluşun bilgi güvenliği yönetimi yaklaşımı ve gerçekleştirilmesi (örneğin, bilgi güvenliği kontrol amaçları, kontroller, politikalar, prosesler ve prosedürleri) belirli aralıklarda veya güvenlik gerçekleştirmesinde önemli değişiklikler olduğunda bağımsız şekilde gözden geçirilmelidir. A.6.2 Dış taraflar Amaç: Kuruluşun dış taraflarca erişilen, işlenen, iletişim kurulan veya yönetilen bilgi ve bilgi işleme olanaklarının güvenliğini sağlamak. A A A Dış taraflarla ilgili riskleri tanımlama Müşterilerle ilgilenirken güvenliği ifade etme Üçüncü taraf anlaşmalarında güvenliği ifade etme Dış tarafları içeren iş proseslerinden kuruluşun bilgi ve bilgi işleme olanaklarına olan riskler tanımlanmalı ve erişim verilmeden önce uygun kontroller gerçekleştirilmelidir. Tanımlanmış tüm güvenlik gereksinimleri, müşterilere kuruluşun bilgi ve varlıklarına erişim vermeden önce ifade edilmelidir. Üçüncü tarafların, kuruluşun bilgi veya bilgi işleme olanaklarına erişimini, bunları işlemelerini, bunlarla iletişimini veya bunları yönetmelerini içeren ya da bilgi işleme olanaklarına ürün veya hizmetler ekleyen anlaşmalar tüm ilgili güvenlik gereksinimlerini kapsamalıdır. 15

20 A.7 Varlık yönetimi A.7.1 Varlıkların sorumluluğu Amaç: Kurumsal varlıkların uygun korumasını sağlamak ve sürdürmek. A A A Varlıkların envanteri Varlıkların sahipliği Varlıkların kabul edilebilir kullanımı Tüm varlıklar açıkça tanımlanmalı ve önemli varlıkların bir envanteri hazırlanmalı ve tutulmalıdır. Bilgi işleme olanakları ile ilişkili tüm bilgi ve varlıklar kuruluşun belirlenmiş bir bölümü tarafından sahiplenilmelidir 3). Bilgi işleme olanakları ile ilişkili bilgi ve varlıkların kabul edilebilir kullanım kuralları tanımlanmalı, dokümante edilmeli ve gerçekleştirilmelidir. A.7.2 Bilgi sınıflandırması Amaç: Bilgi varlıklarının uygun seviyede koruma almalarını sağlamak. A A Sınıflandırma kılavuzu Bilgi etiketleme ve işleme Bilgi, değeri, yasal gereksinimleri, hassaslığı ve kuruluş için kritikliğine göre sınıflandırılmalıdır. Bilgi etiketleme ve işleme için kuruluş tarafından benimsenen sınıflandırma düzenine uygun olarak bir dizi uygun prosedür geliştirilmeli ve gerçekleştirilmelidir. A.8 İnsan kaynakları güvenliği A.8.1 İstihdam 4) öncesi Amaç: Çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların kendi sorumluluklarını anlamalarını ve düşünüldükleri roller için uygun olmalarını sağlamak ve hırsızlık, sahtecilik ya da olanakların yanlış kullanımı risklerini azaltmak. A Roller ve sorumluluklar Çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların güvenlik rolleri ve sorumlulukları kuruluşun bilgi güvenliği politikasına uygun olarak tanımlanmalı ve dokümante edilmelidir. 3) Açıklama: Sahip terimi, varlıkların üretimi, geliştirilmesi, bakımı, kullanımı ve güvenliğini kontrol etmek için onaylanmış yönetim sorumluluğu bulunan kişi veya varlıkları tanımlar. Sahip terimi, gerçekten varlık üzerinde mülkiyet hakları olan kişi anlamına gelmez. 4) Açıklama: Buradaki istihdam sözcüğü aşağıdaki farklı anlamların tümünü kapsar anlamda kullanılmıştır: İnsanların istihdamı (geçici veya uzun süreli), iş rollerinin atanması, iş rollerinin değiştirilmesi, sözleşmelerin atanması ve bu düzenlemelerin herhangi birinin sonlandırılması. 16

21 A A Tarama İstihdam koşulları Tüm işe alım adayları, yükleniciler ve üçüncü taraf kullanıcılar için ilgili yasa, düzenleme ve etiğe göre ve iş gereksinimleri, erişilecek bilginin sınıflandırması ve alınan risklerle orantılı olarak geçmiş doğrulama kontrolleri gerçekleştirilmelidir. Şözleşme yükümlülüklerinin parçası olarak, çalışanlar, yükleniciler ve üçüncü taraf kullanıcılar, kendilerinin ve kuruluşun bilgi güvenliği sorumluluklarını belirten kendi işe alım sözleşmelerinin koşullarına katılmalı ve bunu imzalamalıdırlar. A.8.2 Çalışma esnasında Amaç: Tüm çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların bilgi güvenliğine ilişkin tehditler ve kaygıların ve kendi sorumluluklarının farkında olmalarını ve normal çalışmaları sırasında kurumsal güvenlik politikasını desteklemek ve insan hatası riskini azaltmak üzere donatılmalarını sağlamak. A A A Yönetim sorumlulukları Bilgi güvenliği farkındalığı, eğitim ve öğretimi Disiplin prosesi Yönetim, çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların, kuruluşun yerleşik politika ve prosedürlerine göre güvenliği uygulamalarını istemelidir. Kuruluştaki tüm çalışanlar ve ilgili olan yerlerde yükleniciler ve üçüncü taraf kullanıcılar, kendi iş fonksiyonları ile ilgili olduğunda, kurumsal politikalar ve prosedürlerle ilgili uygun farkında olma eğitimi ve düzenli güncelleme almalıdırlar. Bir güvenlik kırılmasına yol açan çalışanlar için resmi bir disiplin prosesi olmalıdır. A.8.3 İstihdamın sonlandırılması veya değiştirilmesi Amaç: Çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların düzenli bir şekilde kuruluştan ayrılmalarını veya istihdamın değiştirilmesini sağlamak. A A A Sonlandırma sorumlulukları Varlıkların iadesi Erişim haklarının kaldırılması İstihdamın sonlandırılmasını veya değiştirilmesini gerçekleştirme sorumlulukları açıkça tanımlanmalı ve atanmalıdır. Tüm çalışanlar, yükleniciler ve üçüncü taraf kullanıcılar, çalışmaları, sözleşmeleri veya anlaşmalarının sonlandırılmasıyla birlikte kendilerinde bulunan kuruluşun tüm varlıklarını iade etmelidirler. Tüm çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların bilgi ve bilgi işleme olanaklarına olan erişim hakları, istihdam, sözleşme veya anlaşmalarının sonlandırılmasıya birlikte kaldırılmalı ya da değiştirilmesiyle birlikte ayarlanmalıdır. 17

22 A.9 Fiziksel ve çevresel güvenlik A.9.1 Güvenli alanlar Amaç: Kuruluş binalarına, ünitelerine ve bilgilerine yetki dışı fiziksel erişimi, hasarı ve müdahaleyi engellemek. A A Fiziksel güvenlik çevresi Fiziksel giriş kontrolleri Bilgi ve bilgi işleme olanaklarını içeren alanları korumak için güvenlik çevreleri (duvarlar gibi engeller, kart kontrollü giriş kapıları, görevli bulunan resepsiyon masaları) kullanılmalıdır. Güvenli alanlar, yalnız yetkili personelin erişime izin verilmesini sağlamak için uygun giriş kontrolleriyle korunmalıdır. A Ofisler, odalar ve olanakları korumaya alma Ofisler, odalar ve olanaklar için fiziksel güvenlik tasarlanmalı ve uygulanmalıdır. A A Dış ve çevresel tehditlere karşı koruma Güvenli alanlarda çalışma Yangın, sel, deprem, patlama, yağma ve diğer doğal ya da insan kaynaklı felaketlerden kaynaklanan hasara karşı fiziksel koruma tasarlanmalı ve uygulanmalıdır. Güvenli alanlarda çalışma için fiziksel koruma tasarlanmalı ve uygulanmalıdır. A Açık erişim, dağıtım ve yükleme alanları A.9.2 Teçhizat güvenliği Dağıtım ve yükleme alanları gibi erişim noktaları ve yetkisiz kişilerin içeri girebileceği diğer noktalar kontrol edilmeli ve mümkünse yetkisiz erişimden kaçınmak için bilgi işleme olanaklarından yalıtılmalıdır. Amaç: Varlıkların kaybını, hasarını, çalınmasını ya da tehlikeye girmesini ve kuruluşun faaliyetlerinin kesintiye uğramasını engellemek. A A A Teçhizat yerleştirme ve koruma Destek hizmetleri Kablolama güvenliği Teçhizat, çevresel tehditlerden ve tehlikelerden kaynaklanan riskleri ve yetkisiz erişim fırsatlarını azaltmak için yerleştirilmeli ve korunmalıdır. Teçhizat, elektrik kesintileri ve destek hizmetlerindeki arızalardan kaynaklanan diğer bozulmalara karşı korunmalıdır. Veri taşıyan ya da bilgi hizmetlerini destekleyen elektrik ve haberleşme kabloları, kesilme ya da hasarlardan korunmalıdır. 18

23 A A A Teçhizat bakımı Kuruluş dışındaki teçhizatın güvenliği Teçhizatın güvenli olarak elden çıkarılması ya da tekrar kullanımı Teçhizatın sürekli kullanılabilirliğini ve bütünlüğünü sağlamak için doğru şekilde bakımı yapılmalıdır. Kuruluş çevresi dışında çalışmanın farklı risklerini hesaba katarak kuruluş dışındaki teçhizata güvenlik uygulanmalıdır. Teçhizatın depolama ortamı içeren tüm parçaları, elden çıkarılmadan önce, herhangi bir hassas veri ve lisanslı yazılım varsa kaldırılmasını veya güvenli şekilde üzerine yazılmasını sağlamak için kontrol edilmelidir. A Mülkiyet çıkarımı Ön yetkilendirme olmaksızın teçhizat, bilgi veya bulunduğu yerden çıkarılmamalıdır. yazılım A.10 Haberleşme ve işletim yönetimi A.10.1 Operasyonel prosedürler ve sorumluluklar Amaç: Bilgi işleme olanaklarının doğru ve güvenli işletimini sağlamak. A A A A Dokümante edilmiş işletim prosedürleri Değişim yönetimi Görev ayrımları Geliştirme, test ve işletim olanaklarının ayrımı İşletim prosedürleri dokümante edilmeli, sürdürülmeli ve ihtiyacı olan tüm kullanıcılara kullanılabilir yapılmalıdır. Bilgi işleme olanakları ve sistemlerinde olan değişiklikler kontrol edilmelidir. Kuruluşun varlıklarının yetkisiz veya farkında olmadan değiştirilme ya da kötüye kullanılma fırsatlarını azaltmak için, görevler ve sorumluluk alanları ayrılmalıdır. Geliştirme, test ve işletim olanakları, işletilen sisteme yetkisiz erişim veya değişiklik risklerini azaltmak için ayrılmalıdır. A.10.2 Üçüncü taraf hizmet sağlama yönetimi Amaç: Üçüncü taraf hizmet sağlama anlaşmalarıyla uyumlu olarak uygun bilgi güvenliği ve hizmet dağıtımı seviyesi gerçekleştirmek ve sürdürmek. A Hizmet sağlama Güvenlik kontrolleri, hizmet tanımları ve sağlama seviyelerinin üçüncü taraf hizmet sağlama anlaşmasında bulunması ve üçüncü tarafça gerçekleştirilmesi, işletilmesi ve sürdürülmesi sağlanmalıdır. 19

24 A A Üçüncü taraf hizmetleri izleme ve gözden geçirme Üçüncü taraf hizmetlerdeki değişiklikleri yönetme Üçüncü tarafa sağlanan hizmetler, raporlar ve kayıtlar düzenli olarak izlenmeli, gözden geçirilmeli ve düzenli olarak denetimler gerçekleştirilmelidir. Mevcut bilgi güvenliği politikaları, prosedürleri ve kontrollerini sürdürme ve iyileştirmeyi içeren hizmet tedariği değişiklikleri, ilgili iş sistemleri ve proseslerinin kritikliğini ve risklerin yeniden değerlendirmesini hesaba katarak yönetilmelidir.. A.10.3 Sistem planlama ve kabul Amaç: Sistem başarısızlıkları riskini en aza indirmek. A A Kapasite planlama Sistem kabulü Gerekli sistem performansını sağlamak için, kaynakların kullanımı izlenmeli, ayarlanmalı ve gelecekteki kapasite gereksinimleri için projeksiyonlar yapılmalıdır. Yeni bilgi sistemleri, sistem yükseltmeleri ve yeni sürümler için kabul kriterleri kurulmalı ve geliştirme esnasında ve kabul öncesinde sistem(ler)e ilişkin uygun testler gerçekleştirilmelidir. A.10.4 Kötü niyetli ve mobil koda karşı koruma Amaç: Yazılım ve bilginin bütünlüğünü korumak. A A Kötü niyetli koda karşı kontroller Mobil koda karşı kontroller Kötü niyetli koda karşı korunmak için saptama, önleme ve kurtarma kontrolleri ve uygun kullanıcı farkındalığı prosedürleri gerçekleştirilmelidir. Mobil kod kullanımı yetkilendirildiğinde, konfigürasyon yetkilendirilmiş mobil kodun açıkça tanımlanmış bir güvenlik politikasına göre işletilmesini sağlamalı ve yetkilendirilmemiş mobil kodun yürütülmesi önlenmelidir. A.10.5 Yedekleme Amaç: Bilgi ve bilgi işleme olanaklarının bütünlüğünü ve kullanılabilirliğini sağlamak. A Bilgi yedekleme Bilgi ve yazılımlara ait yedekleme kopyaları alınmalı ve anlaşılan yedekleme politikasına uygun şekilde düzenli olarak test edilmelidir. 20

25 A.10.6 Ağ güvenliği yönetimi Amaç: Ağdaki bilginin ve destekleyici alt yapının korunmasını sağlamak. A A Ağ kontrolleri Ağ hizmetleri güvenliği Tehditlerden korunmak için ve iletilmekte olan bilgi dahil ağı kullanan sistemler ve uygulamalar için güvenliği sağlamak amacıyla ağlar uygun şekilde yönetilmeli ve kontrol edilmelidir. Tüm ağ hizmetlerinin güvenlik özellikleri, hizmet seviyeleri ve yönetim gereksinimleri tanımlanmalı ve hizmetler kuruluş içinden ya da dışından sağlanmış olsun, her ağ hizmetleri anlaşmasında bulunmalıdır. A.10.7 Ortam işleme Amaç: Varlıkların yetkisiz ifşa edilmesi, değiştirilmesi, kaldırılması veya yok edilmesini ve iş faaliyetlerinin kesintiye uğramasını önlemek. A A A A Taşınabilir ortam yönetimi Ortamın yok edilmesi Bilgi işleme prosedürleri Sistem dokümantasyonu güvenliği Taşınabilir ortam yönetimi için mevcut prosedürler olmalıdır. Ortam gereksinimi ortadan kalktığında, resmi prosedürler kullanarak güvenli ve emniyetli bir biçimde yok edilmelidir. Bilgi işleme ve depolama prosedürleri, bu bilgileri yetkisiz ifşa edilmeye ya da kötüye kullanılmaya karşı korumak için kurulmalıdır. Sistem dokümantasyonu, yetkisiz erişime karşı korunmalıdır. A.10.8 Bilgi değişimi Amaç: Bir kuruluş içindeki ve herhangi bir dış varlık ile değiştirilen bilgi ve yazılımın güvenliğini sağlamak. A A A Bilgi değişim politikaları ve prosedürleri Değişim anlaşmaları Aktarılan fiziksel ortam Tüm iletişim olanağı türlerinin kullanımıyla bilgi değişimini korumak için resmi değişim politikaları, prosedürleri ve kontrolleri mevcut olmalıdır. Kuruluş ve dış taraflar arasında bilgi ve yazılımın değişimi için anlaşmalar yapılmalıdır. Bilgi içeren ortam, kuruluşun fiziksel sınırları ötesinde taşıma esnasında, yetkisiz erişime, kötüye kullanıma ya da bozulmalara karşı korunmalıdır. 21

26 A A Elektronik mesajlaşma İş bilgi sistemleri Elektronik mesajlaşmadaki bilgi uygun şekilde korunmalıdır. İş bilgi sistemlerinin birbirine bağlantısı ile ilişkili bilgiyi korumak için politikalar ve prosedürler geliştirilmeli ve gerçekleştirilmelidir. A.10.9 Elektronik ticaret hizmetleri Amaç: Elektronik ticaret hizmetlerinin güvenliğini ve bunların güvenli kullanımını sağlamak. A A A Elektronik ticaret Çevrimiçi işlemler Herkese açık bilgi Açık ağlardan geçen elektronik ticaretteki bilgi, hileli faaliyet, anlaşma uyuşmazlığı ve yetkisiz ifşa ve değiştirmeden korunmalıdır. Çevrimiçi işlemlerdeki bilgi, eksik iletimi, yanlış yönlendirmeyi, yetkisiz mesaj değiştirmeyi, yetkisiz ifşayı, yetkisiz mesaj çoğaltmayı ya da yeniden yürütmeyi önlemek için korunmalıdır. Herkese açık bir sistemde kullanılabilir yapılmış bilginin bütünlüğü yetkisiz değiştirmeyi önlemek için korunmalıdır. A İzleme Amaç: Yetkisiz bilgi işleme faaliyetlerini algılamak. A A A A A Denetim kaydetme Sistem kullanımını izleme Kayıt bilgisinin korunması Yönetici ve operatör kayıtları Hata kaydı Kullanıcı faaliyetleri, ayrıcalıkları ve bilgi güvenliği olaylarını kaydeden denetim kayıtları üretilmeli ve ileride yapılabilecek soruşturmalar ve erişim kontrolü izlemeye yardımcı olmak için anlaşılmış bir süre tutulmalıdır. Bilgi işleme olanaklarının kullanımını izlemek için prosedürler oluşturulmalı ve izleme faaliyetlerinin sonuçları düzenli şekilde gözden geçirilmelidir. Kayıt olanakları ve kayıt bilgisi kurcalanma ve yetkisiz erişime karşı korunmalıdır. Sistem yöneticisi ve operatör faaliyetleri kaydedilmelidir. Hatalar kaydedilmeli, çözümlenmeli ve uygun önlem alınmalıdır. 22

27 A Saat senkronizasyonu A.11 Erişim kontrolü Bir kuruluş ya da güvenlik etki alanındaki tüm ilgili bilgi işleme sistemlerinin saatleri, üzerinde uzlaşıya varılmış doğru bir zaman kaynağı ile senkronize edilmelidir. A.11.1 Erişim kontrolü için iş gereksinimi Amaç: Bilgiye erişimi kontrol etmek. A Erişim kontrolü politikası Erişim için iş ve güvenlik gereksinimlerini temel alan bir erişim kontrol politikası kurulmalı, dokümante edilmeli ve gözden geçirilmelidir. A.11.2 Kullanıcı erişim yönetimi Amaç: Bilgi sistemlerine yetkili kullanıcı erişimini sağlamak ve yetkisiz erişimi önlemek. A A A A Kullanıcı kaydı Ayrıcalık yönetimi Kullanıcı parola yönetimi Kullanıcı erişim haklarının gözden geçirilmesi Tüm bilgi sistemlerine ve hizmetlerine erişim izni vermek ve bunu kaldırmak için resmi bir kullanıcı kaydetme ve kayıttan çıkarma prosedürü olmalıdır. Ayrıcalıkların tahsisi ve kullanımı sınırlandırılmalı ve kontrol edilmelidir. Parolaların tahsisi, resmi bir yönetim prosesi aracılığıyla kontrol edilmelidir. Yönetim, kullanıcıların erişim haklarını resmi bir proses kullanarak düzenli aralıklarda gözden geçirmelidir. A.11.3 Kullanıcı sorumlulukları Amaç: Yetkisiz kullanıcı erişimini ve bilgi ve bilgi işleme olanaklarının tehlikeye atılmasını ya da çalınmasını önlemek. A A A Parola kullanımı Gözetimsiz kullanıcı teçhizatı Temiz masa ve temiz ekran politikası Kullanıcılardan, parolaların seçiminde ve kullanımında iyi güvenlik uygulamalarını izlemeleri istenmelidir. Kullanıcılar, gözetimsiz teçhizatın uygun bir korumaya sahip olmasını sağlamalıdır. Kağıtlar ve taşınabilir depolama ortamları için bir temiz masa politikası ve bilgi işleme olanakları için bir temiz ekran politikası benimsenmelidir. 23

28 A.11.4 Ağ erişim kontrolü Amaç: Ağ bağlantılı hizmetlere yetkisiz erişimi önlemek. A A A A A A A Ağ hizmetlerinin kullanımına ilişkin politika Dış bağlantılar için kullanıcı kimlik doğrulama Ağlarda teçhizat tanımlama Uzak tanı ve yapılandırma portu koruma Ağlarda ayrım Ağ bağlantı kontrolü Ağ yönlendirme kontrolü Kullanıcıların sadece, özellikle kullanımlarına yetki verilen hizmetlere erişime sahip olmaları sağlanmalıdır. Uzaktan kullanıcıların erişimini kontrol etmek için uygun kimlik doğrulama metodları kullanılmalıdır. Otomatik teçhizat tanımlama, belirli yerler ve teçhizattan bağlantıların kimliğini doğrulamak için bir yöntem olarak düşünülmelidir. Tanı ve yapılandırma portlarına fiziksel ve mantıksal erişim kontrol edilmelidir. Ağlarda, bilgi hizmetleri, kullanıcıları ve bilgi sistemleri grupları ayrılmalıdır. Özellikle kuruluşun sınırlarını aşan paylaşılan ağlar için, kullanıcıların ağa bağlanabilme yetenekleri erişim kontrol politikası ve iş uygulamalarının gereksinimlerine uygun olarak sınırlanmalıdır. Ağlar için, bilgisayar bağlantılarının ve bilgi akışlarının iş uygulamalarının erişim kontrol politikasını ihlal etmemesini sağlamak için yönlendirme kontrolleri gerçekleştirilmelidir. A.11.5 İşletim sistemi erişim kontrolü Amaç: İşletim sistemine yetkisiz erişimi önlemek. A A A Güvenli oturum açma prosedürleri Kullanıcı kimlik tanımlama ve doğrulama Parola yönetim sistemi İşletim sistemlerine erişim güvenli bir oturum açma prosedürü ile kontrol edilmelidir. Tüm kullanıcılar, kendi kişisel kullanımları için, benzersiz bir kimliğe (kullanıcı kimliği) sahip olmalıdırlar ve bir kullanıcının öne sürdüğü kimliğini ispatlamak için uygun bir kimlik doğrulama tekniği seçilmelidir. Parola yönetim sistemleri etkileşimli olmalı ve nitelikli parolalar sağlamalıdır.

29 A A A Yardımcı sistem programlarının kullanımı Oturum zaman aşımı Bağlantı süresinin sınırlandırılması Sistemin üzerine yazabilme yeteneği olabilecek yardımcı sistem programlarının kullanımı kısıtlanmalı ve sıkıca kontrol edilmelidir. Etkin olmayan oturumlar tanımlanmış belirli bir hareketsizlik süresinden sonra kapatılmalıdır. Bağlantı sürelerinde sınırlandırmalar, yüksek riskli uygulamalara ek güvenlik sağlamak için kullanılmalıdır. A.11.6 Uygulama ve bilgi erişim kontrolü Amaç: Uygulama sistemlerinde tutulan bilgilere yetkisiz erişimi önlemek. A A Bilgi erişim kısıtlaması Hassas sistem yalıtımı Kullanıcılar ve destek personeli tarafından bilgi ve uygulama sistem işlevlerine erişim, tanımlanmış erişim kontrol politikasına uygun olarak kısıtlanmalıdır. Hassas sistemler, adanmış (yalıtılmış) bir bilgi işlem ortamına sahip olmalıdır. A.11.7 Mobil bilgi işleme ve uzaktan çalışma Amaç: Mobil bilgi işleme ve uzaktan çalışma hizmetlerini kullanırken bilgi güvenliğini sağlamak. A A Mobil bilgi işleme ve iletişim Uzaktan çalışma Resmi bir politika bulunmalı ve mobil bilgi işleme ve iletişim olanaklarının kullanılma risklerine karşı korunmak için uygun güvenlik önlemleri benimsenmelidir. Uzaktan çalışma faaliyetleri için bir politika, operasyonel planlar ve prosedürler geliştirilmeli ve gerçekleştirilmelidir. A.12 Bilgi sistemleri edinim, geliştirme ve bakımı A.12.1 Bilgi sistemlerinin güvenlik gereksinimleri Amaç: Güvenliğin bilgi sistemlerinin dahili bir parçası olmasını sağlamak. A Güvenlik gereksinimleri analizi ve belirtimi Yeni bilgi sistemleri için iş gereksinimleri bildirgeleri ya da mevcut bilgi sistemlerine yapılan iyileştirmeler güvenlik kontrolleri için gereksinimleri belirlemelidir. 25

30 A.12.2 Uygulamalarda doğru işleme Amaç: Uygulamalardaki bilginin hatalarını, kaybını, yetkisiz değiştirilmesini ve kötüye kullanımını önlemek. A A A A Giriş verisi geçerleme İç işleme kontrolü Mesaj bütünlüğü Çıkış verisi geçerleme Uygulamalara veri girişi, bu verinin doğruluğunun ve uygunluğunun sağlanması için geçerlenmelidir. İşleme hataları veya kasıtlı eylemler nedeniyle herhangi bir bilgi bozulmasını saptamak için geçerleme kontrolleri uygulamalar içine dahil edilmelidir. Uygulamalarda verinin kimliğinin doğruluğunu sağlama ve mesaj bütünlüğünü koruma gereksinimleri tanımlanmalı ve uygun kontroller tanımlanıp gerçekleştirilmelidir. Bir uygulamadan veri çıktısı, depolanan bilginin işlenmesinin koşullara göre doğruluğunun ve uygunluğunun sağlanması için geçerlenmelidir. A.12.3 Kriptografik kontroller Amaç: Bilginin gizliliğini, aslına uygunluğunu ya da bütünlüğünü kriptografik yöntemlerle korumak. A A Kriptografik kontrollerin kullanımına ilişkin politika Anahtar yönetimi Bilginin korunması için kriptografik kontrollerin kullanımına ilişkin bir politika geliştirilmeli ve gerçekleştirilmelidir. Kuruluşun kriptografik teknikleri kullanmasını desteklemek için anahtar yönetimi bulunmalıdır. A.12.4 Sistem dosyalarının güvenliği Amaç: Sistem dosyalarının güvenliğini sağlamak. A A A Operasyonel yazılımın kontrolü Sistem test verisinin korunması Program kaynak koduna erişim kontrolü Operasyonel sistemlerdeki yazılımların kurulmasını kontrol etmek için prosedürler bulunmalıdır. Test verisi dikkatlice seçilmeli, korunmalı ve kontrol edilmelidir. Program kaynak koduna erişim kısıtlı olmalıdır. 26

31 A.12.5 Geliştirme ve destekleme proseslerinde güvenlik Amaç: Uygulama sistem yazılımı ve bilgisinin güvenliğini sağlamak. A A A A A Değişim kontrol prosedürleri İşletim sistemindeki değişikliklerden sonra teknik gözden geçirme Yazılım paketlerindeki değişikliklerdeki kısıtlamalar Bilgi sızması Dışarıdan sağlanan yazılım geliştirme Değişikliklerin gerçekleştirilmesi, resmi değişim kontrol prosedürlerinin kullanımı ile kontrol edilmelidir. İşletim sistemleri değiştirildiğinde, kurumsal işlemlere ya da güvenliğe hiçbir kötü etkisi olmamasını sağlamak amacıyla iş için kritik uygulamalar gözden geçirilmeli ve test edilmelidir. Yazılım paketlerine yapılacak değişiklikler, gerek duyulanlar hariç önlenmeli ve tüm değişiklikler sıkı bir biçimde kontrol edilmelidir. Bilgi sızması fırsatları önlenmelidir. Dışarıdan sağlanan yazılım geliştirme kuruluş tarafından denetlenmeli ve izlenmelidir. A.12.6 Teknik açıklık yönetimi Amaç: Yayınlanmış teknik açıklıkların istismarından kaynaklanan riskleri azaltmak. A Teknik açıklıkların kontrolü A.13 Bilgi güvenliği ihlal olayı yönetimi A.13.1 Bilgi güvenliği olayları ve zayıflıklarının rapor edilmesi Kullanılan bilgi sisteminin teknik açıklıkları hakkında zamanında bilgi elde edilmeli, kuruluşun bu tür açıklıklara maruz kalması değerlendirilmeli ve ilişkili riskleri hedef alan uygun önlemler alınmalıdır. Amaç: Bilgi sistemleri ile ilişkili bilgi güvenliği olayları ve zayıflıklarının zamanında düzeltici önlemlerin alınabilmesine izin verecek şekilde bildirilmesini sağlamak. A A Bilgi güvenliği olaylarının rapor edilmesi Güvenlik zayıflıklarının rapor edilmesi Bilgi güvenliği olayları uygun yönetim kanalları aracılığıyla mümkün olduğu kadar hızlı biçimde rapor edilmelidir. Bilgi sistemleri ve hizmetlerinin tüm çalışanları, yüklenicileri ve üçüncü taraf kullanıcılarından, sistemler ve hizmetlerdeki gözlenen veya şüphelenilen herhangi bir güvenlik zayıflığını dikkat etmeleri ve rapor etmeleri istenmelidir. 27

32 A.13.2 Bilgi güvenliği ihlal olayları ve iyileştirmelerin yönetilmesi Amaç: Bilgi güvenliği ihlal olaylarının yönetimine tutarlı ve etkili bir yaklaşımın uygulanmasını sağlamak. A A A Sorumluluklar ve prosedürler Bilgi güvenliği ihlal olaylarından öğrenme Kanıt toplama Bilgi güvenliği ihlal olaylarına hızlı, etkili ve düzenli bir yanıt verilmesini sağlamak için yönetim sorumlulukları ve prosedürleri oluşturulmalıdır. Bilgi güvenliği ihlal olaylarının türleri, miktarları ve maliyetlerinin ölçülüp izlenebilmesini sağlayan mekanizmalar bulunmalıdır. Bir bilgi güvenliği ihlal olayından sonra bir kişi veya kuruluşa karşı alınan takip önlemi yasal eylem (ya sivil hukuk ya da ceza hukuku) içerdiğinde, ilgili yargılama kurallarında belirlenmiş olan kanıt kuralları ile uyumlu şekilde kanıt toplanmalı, tutulmalı ve sunulmalıdır. A.14 İş sürekliliği yönetimi A.14.1 İş sürekliliği yönetiminin bilgi güvenliği hususları Amaç: İş faaliyetlerindeki kesilmeleri önlemek ve önemli iş proseslerini büyük bilgi sistemleri başarısızlıklarından ya da felaketlerden korumak ve bunların zamanında devam etmesini sağlamak. A A A A A Bilgi güvenliğini iş sürekliliği yönetim prosesine dahil etme İş sürekliliği ve risk değerlendirme Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme İş sürekliliği planlama çerçevesi İş sürekliliği planlarını test etme, sürdürme ve yeniden değerlendirme Kuruluş genelinde iş sürekliliği için, bu amaçla ihtiyaç duyulan bilgi güvenliği gereksinimlerini ifade eden bir yönetilen proses geliştirilmeli ve sürdürülmelidir. İş proseslerinde kesintilere yol açan olaylar, bu tür kesintilerin olasılığı ve etkisi ve bunların bilgi güvenliği için sonuçları ile birlikte tanımlanmalıdır. Önemli iş proseslerinde yaşanan kesintileri ya da başarısızlıkları takiben iş operasyonlarını sürdürmek ya da onarmak ve bilginin gerekli seviyede ve gerekli zaman ölçeklerinde kullanılabilirliğini sağlamak için planlar geliştirilmeli ve gerçekleştirilmelidir. Tüm planların tutarlı olmasını sağlamak, tutarlı şekilde bilgi güvenliği gereksinimlerini ifade etmek ve test ve bakım önceliklerini tanımlamak için tek bir iş sürekliliği planları çerçevesi oluşturulmalıdır. İş sürekliliği planları, güncel ve etkili olmalarını sağlamak için, düzenli olarak test edilmeli ve güncelleştirilmelidir. 28

33 A.15 Uyum A.15.1 Yasal gereksinimlerle uyum Amaç: Her türlü hukuka, yasal, düzenleyici ya da sözleşmeye tabi yükümlülüklere ve her türlü güvenlik gereksinimlerine ilişkin ihlalleri önlemek. A A A A A A Uygulanabilir yasaları tanımlanma Fikri mülkiyet hakları (IPR) Kurumsal kayıtların korunması Veri koruma ve kişisel bilgilerin gizliliği Bilgi işleme olanaklarının kötüye kullanımını önleme Kriptografik kontrolleri düzenleme İlgili tüm yasal, düzenleyici ve sözleşmeden doğan gereksinimleri ve kuruluşun bu gereksinimleri karşılama yaklaşımı her bilgi sistemi ve kuruluş için açıkça tanımlanmalı, dokümante edilmeli ve güncel tutulmalıdır. Fikri mülkiyet haklarına göre materyallerin kullanımı ve patentli yazılım ürünlerinin kullanımı üzerindeki yasal, düzenleyici ve anlaşmalarla doğan gereksinimlere uyum sağlamak için uygun prosedürler gerçekleştirilmelidir. Önemli kayıtlar, kaybedilmeye, yok edilmeye ve sahteciliğe karşı, yasal, düzenleyici, anlaşmalarla doğan gereksinimler ve iş gereksinimlerine uygun olarak korunmalıdır. Uygun yasa, düzenlemeler ve varsa anlaşma maddelerinde belirtildiği gibi veri koruma ve gizlilik sağlanmalıdır. Kullanıcılar, yetki verilmemiş amaçlarla bilgi işleme olanaklarını kullanmaktan caydırılmalıdır. İlgili tüm sözleşmeler, yasalar ve düzenlemelerle uyum için kriptografik kontroller kullanılmalıdır. A.15.2 Güvenlik politikaları ve standardlarla uyum ve teknik uyum Amaç: Sistemlerin kurumsal güvenlik politikaları ve standardlarıyla uyumunu sağlamak. A A Güvenlik politikaları ve standardlarla uyum Teknik uyum kontrolü Yöneticiler, güvenlik politikaları ve standardlarla uyumu başarmak için sorumluluk alanlarındaki tüm güvenlik prosedürlerinin doğru olarak gerçekleştirillmesini sağlamalıdırlar. Bilgi sistemleri, güvenlik gerçekleştirme standardlarıyla uyumlu olması için düzenli aralıklarla kontrol edilmelidir. 29

34 A.15.3 Bilgi sistemleri denetim hususları Amaç: Bilgi sistemleri denetim prosesinin etkinliğini artırmak ve müdahaleleri azaltmak. A A Bilgi sistemleri denetim kontrolleri Bilgi sistemleri denetim araçlarının korunması İş proseslerindeki bozulma risklerini en aza indirmek için, operasyonel sistemlerde kontrolleri içeren denetim gereksinimleri ve faaliyetleri dikkatlice planlanmalı ve üzerinde anlaşmaya varılmalıdır. Bilgi sistemleri denetim araçlarına erişim olası kötüye kulanımlara ya da uyuşmazlıklara karşı korunmalıdır. 30

35 Ek B (Bilgi için) OECD prensipleri ve bu standard OECD Guidelines for the Security of Information Systems and Networks içinde verilen prensipler, bilgi sistemlerinin ve ağlarının güvenliğini yöneten tüm politika ve operasyonel seviyelere uygulanır. Bu standard, PUKÖ modelini ve Çizelge B.1 de gösterilen Madde 4, Madde 5, Madde 6 ve Madde 8 de açıklanan prosesleri kullanan bazı OECD prensiplerini gerçekleştirmek için bir bilgi güvenliği yönetimi çerçevesi sağlar. Çizelge B.1 - OECD prensipleri ve PUKÖ modeli OECD prensibi Karşılık gelen BGYS prosesi ve PUKÖ evresi Farkında olma Katılımcılar, bilgi sistemlerinin ve ağlarının güvenliğine ihtiyaç olduğunun ve güvenliği artırmak için neler yapabileceklerinin farkında olmalıdırlar. Sorumluluk Tüm katılımcılar, bilgi sistemlerinin ve ağlarının güvenliğinden sorumludur. Tepki Katılımcılar, güvenlik olaylarını engellemek, saptamak ve yanıtlamak için zamanında ve işbirliği içinde hareket etmelidir. Bu faaliyet Uygula evresinin bir parçasıdır (Madde ve Madde 5.2.2). Bu faaliyet Uygula evresinin bir parçasıdır (Madde ve Madde 5.1). Bu, izleme faaliyeti olarak Et evresinin (Madde ve Madde 6 ila Madde 7.3) ve bir yanıtlama faaliyeti olarak Önlem Al evresinin (Madde ve Madde 8.1 ila Madde 8.3) bir parçasıdır. Ayrıca bazı açılardan Planla ve Et evreleri içinde de yer alabilir. Risk değerlendirme Katılımcılar risk değerlendirmeleri gerçekleştirmelidirler. Bu faaliyet Planla evresinin bir parçasıdır (Madde 4.2.1) ve risk değerlendirme Et evresinin bir parçasıdır (Madde ve Madde 6 ila Madde 7.3) Güvenlik tasarım ve gerçekleştirme Katılımcılar, güvenliği bilgi sistemlerinin ve ağlarının ayrılmaz bir parçası olarak dahil etmelidir. Bir risk değerlendirme tamamlandığında, Planla evresinin bir parçası olarak (Madde 4.2.1) risklerin işlenmesi için kontroller seçilir. Uygula evresi daha sonra bu kontrollerin gerçekleştirilmesini ve operasyonel kullanımını içerir (Madde ve Madde 5.2). Güvenlik yönetimi Katılımcılar, güvenlik yönetimine kapsamlı bir yaklaşımı benimsemelidir. Yeniden değerlendirme Katılımcılar bilgi sistemleri ve ağlarının güvenliğini gözden geçirmeli ve tekrar değerlendirmeli ve güvenlik politikalarına, uygulamalarına, ölçümlerine ve prosedürlerine uygun değişiklikleri yapmalıdır. Risk yönetimi, ihlal olaylarını önlemeyi, saptamayı ve yanıtlamayı, sürekli bakımı, gözden geçirme ve denetimi içeren bir prosestir. Tüm bunlar, Planla, Uygula, Et ve Önlem Al evreleri içinde yer alır. Bilgi güvenliğinin yeniden değerlendirilmesi, bilgi güvenliği yönetim sisteminin etkinliğini kontrol etmek için düzenli incelemelerin yapılmasının gerektiği Et evresinin bir parçasıdır (Madde ve Madde 6 ila Madde 7.3) ve güvenliği iyileştirmek Önlem Al evresinin bir parçasıdır (Madde ve Madde 8.1 ila Madde 8.3). 31

36 Ek C (Bilgi için) TS EN ISO 9001, TS EN ISO ve bu standard arasındaki benzerlikler Çizelge C.1, TS EN ISO 9001, TS EN ISO ve bu standard arasındaki benzerlikleri göstermektedir. Çizelge C.1 - TS EN ISO 9001, TS EN ISO ve bu standard arasındaki benzerlikler Bu standard TS EN ISO 9001 TS EN ISO Giriş 0.1 Genel 0.2 Proses yaklaşımı 0.3 Diğer yönetim sistemleriyle uyumluluk 1 Kapsam 1.1 Genel 1.2 Uygulama 2 Atıf yapılan standardlar ve/veya dokümanlar 0 Giriş 0.1 Genel 0.2 Proses yaklaşımı 0.3 ISO 9004 ile ilişkiler 0.4 Diğer yönetim sistemleriyle uyumluluk 1 Kapsam 1.1 Genel 1.2 Uygulama 2 Atıf yapılan standard ve/veya dokümanlar Giriş 1 Kapsam 2 Atıf yapılan standard ve/veya dokümanlar 3 Terimler ve tarifler 3 Terimler ve tarifler 3 Terimler ve tarifler 4 Bilgi güvenliği yönetim sistemi 4.1 Genel gereksinimler 4.2 BGYS nin kurulması ve yönetilmesi BGYS nin kurulması BGYS nin gerçekleştirilmesi ve işletilmesi BGYS nin izlenmesi ve gözden geçirilmesi 4 Kalite yönetim sistemi 4.1 Genel şartlar Proseslerin izlenmesi ve ölçülmesi 4 Çevre yönetim sisteminin şartları 4.1 Genel şartlar 4.4 Uygulama ve faaliyetler İzleme ve ölçme BGYS nin bakımı ve iyileştirilmesi Ürünün izlenmesi ve ölçülmesi 32

37 Bu standard TS EN ISO 9001 TS EN ISO Dokümantasyon gereksinimleri Genel Dokümanların kontrolü Kayıtların kontrolü 5 Yönetim sorumluluğu 5.1 Yönetimin bağlılığı 5.2 Kaynak yönetimi Kaynakların sağlanması Eğitim, farkında olma ve yeterlilik 4.2 Dokümantasyon şartları Genel Kalite el kitabı Dokümanların kontrolü Kayıtların kontrolü 5 Yönetim sorumluluğu 5.1 Yönetimin taahhüdü 5.2 Müşteri odaklılık 5.3 Kalite politikası 5.4 Planlama 5.5 Sorumluluk, yetki ve iletişim 6 Kaynak yönetimi 6.1 Kaynakların sağlanması 6.2 İnsan kaynakları Yeterlilik, farkında olma (bilinç) ve eğitim 6.3 Alt yapı 6.4 Çalışma ortamı Dokümanların kontrolü Kayıtların kontrolü 4.2 Çevre politikası 4.3 Planlama Uzmanlık, eğitim ve farkında olma 6 BGYS iç denetimleri İç tetkik İç tetkik 7 BGYS yi yönetimin gözden geçirmesi 7.1 Genel 7.2 Gözden geçirme girdisi 7.3 Gözden geçirme çıktısı 5.6 Yönetimin gözden geçirmesi Genel Gözden geçirme girdisi Gözden geçirme çıktısı 4.6 Yönetimin gözden geçirmesi 8 BGYS iyileştirme 8.1 Sürekli iyileştirme 8.2 Düzeltici faaliyet 8.3 Önleyici faaliyet 8.5 İyileştirme Sürekli iyileştirme Düzeltici faaliyet Önleyici faaliyetler Uygunsuzluk, düzeltici faaliyet ve önleyici faaliyet 33

38 Bu standard TS EN ISO 9001 TS EN ISO Ek A amaçları ve kontroller Ek B OECD prensipleri ve bu standard Ek C TS EN ISO 9001, TS EN ISO ve bu standard arasındaki benzerlikler Ek A ISO 9001:2000 ve ISO 14001:1996 arasındaki eşleme Ek A Bu standardın kullanımına dair kılavuz Ek B ISO 14001:2004 ve ISO 9001:2000 arasındaki ilişki 34

39 Standardlar Kaynaklar [1] ISO 9001:2000, Quality management systems Requirements [2] ISO/IEC :2004, Information technology Security techniques Management of information and communications technology security Part 1: Concepts and models for information and communications technology security management [3] ISO/IEC TR :1998, Information technology Guidelines for the management of IT Security Part 3: Techniques for the management of IT security [4] ISO/IEC TR :2000, Information technology Guidelines for the management of IT Security Part 4: Selection of safeguards [5] ISO 14001:2004, Environmental management systems Requirements with guidance for use [6] ISO/IEC TR 18044:2004, Information technology Security techniques Information security incident management [7] ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing [8] ISO/IEC Guide 62:1996, General requirements for bodies operating assessment and certification/registration of quality systems [9] ISO/IEC Guide 73:2002, Risk management Vocabulary Guidelines for use in standards Diğer yayınlar [1] OECD, Guidelines for the Security of Information Systems and Networks Towards a Culture of Security. Paris: OECD, July [2] NIST SP , Risk Management Guide for Information Technology Systems [3] Deming W.E., Out of the Crisis, Cambridge, Mass: MIT, Center for Advanced Engineering Study,