ISO 27001:2013 BGYS BAŞTETKİKÇİ EĞİTİMİ

Transkript

1

2 1.Tetkik Gün Sayısı İle İlgili Tanımlar Tetkik Süresi: Bir tetkikte harcanan toplam zaman. Her tür tetkikte, tetkik zamanı bina turlarında geçen süreleri, planın dışında geçen süre, dokümanların gözden geçirilmesi müşteri ve personelle arasındaki etkileşim süresi ve raporlama süresini içerir. Tetkikçi Gün Sayısı: Bir tetkikçinin günlük süresi genellikle 8 saattir ve mevzuatlara bağlı olarak seyahat süresini ve öğle yemeğini kapsayabilir ya da kapsamayabilir.

3 2. Belgelendirme Kapsamının Belirlenmesi Organizasyonun belgelendirme müracaatı kapsamındaki faaliyetlerde belgelendirme yapabilmek için saha uygulamaların olması gereklidir. Organizasyonun denetlenebilir olması için en az 3 ay uygulamaları olmalıdır. Kapsamı belirtilen şekilde organizasyonun BGYS si uygulanabilir tüm gereklere göre denetlenir. Organizasyonun BGYS sinin kapsamının ve sınırlarının işin, kuruluşun, yerinin, varlıklarının ve teknolojinin özellikleri açısından açıkça tanımlanmış olduğunu garanti edilmelidir. ISO/IEC 27001:2005, Madde 1.2 de belirtilen gereklere organizasyonu uyduğuna dair husus, BGYS nin kapsamında teyit edilmelidir.

4 2. Belgelendirme Kapsamının Belirlenmesi Organizasyonun bilgi güvenliği risk değerlendirmesi ve risk iyileştirmesinin BGYS standardı ISO/IEC de belirtildiği üzere faaliyetlerinin sınırları içinde bulunduğunu ve faaliyetlerini uygun bir şekilde yansıttığını temin edilmelidir.bu hususun organizasyonun BGYS kapsamında ve uygunluk beyanı nda yansıtıldığı temin edilmelidir. BGYS kapsamında tam olarak bulunmayan hizmet ya da faaliyetlerle olan ara yüzlerin, belgelendirmeye tabi BGYS kapsamında hitap edilmesini ve organizasyonun bilgi güvenliği risk değerlendirmesinde bulunduğu teyit edilmelidir. Bu duruma ait bir örnek, başka kuruluşlarla (ör., BT sistemleri, veri tabanları ve telekomünikasyon sistemleri) tesislerin paylaşılmasıdır.

5 3. Tetkik Gün Sayısını Belirlenmesi Dikkate Alınacak Bazı Faktörler BGYS kapsamının büyüklüğüne ilişkin faktörler (ör. kullanılan bilgi sistemlerinin sayısı, işlenen bilginin miktarı, kullanıcıların sayısı, imtiyazlı kullanıcıların sayısı, BT platformlarının sayısı, şebekelerin sayısı ve bunların büyüklüğü, işçilerin sayısı), BGYS nin karmaşıklığına ilişkin faktörler (ör. bilgi sistemlerinin kritikliği, BGYS nin risk durumu, işlenen ve kullanılan hassas ve kritik bilgilerin miktarı ve türleri, elektronik işlemlerin sayısı ve türleri, geliştirme projelerinin sayısı ve büyüklüğü, gerçekleştirilen uzaktan çalışmanın kapsamı, BGYS dokümantasyonun kapsamı), BGYS kapsamında gerçekleştirilen işin türü/türleri ve bu iş türlerine ilişkin güvenlik, hukuki, düzenleyici, sözleşme ve iş gereksinimleri.

6 3. Tetkik Gün Sayısını Belirlenmesi Dikkate Alınacak Bazı Faktörler BGYS nin farklı bileşenlerinin gerçekleştirilmesinde kullanılan teknolojinin kapsamı ve çeşitliliği (uygulanan kontroller, dokümantasyon ve/veya süreç kontrolü, düzeltici/önleyici faaliyet, bilgi sistemleri, BT sistemleri, şebekeler, (ör. bunlar ister sabit, ister mobil, ister telsiz, ister harici, ister dahili olsun), BGYS kapsamındaki mekanların sayısı, bu mekanların ne kadar benzer ya da farklı olduğu ve bir örneğin ya da mekanların tamamının denetimden geçirilip geçirilmeyeceği, BGYS nin önceden gösterilen performansı, Bu hizmetlere bağlılık ve BGYS nin kapsamında kullanılan dış kaynak kullanımının ve üçüncü taraf anlaşmalarının kapsamı, Belgelendirmeye uygulanan standardlar, mevzuat ve düzenlemeler ve uygulanabilen sektör özel gerekler.

7 4. Etkin çalışan sayısı, Belgelendirme kapsamı dahilinde çalışan her bir vardiya dahil tüm tam zamanlı personel etkin personel sayısını oluşturur. Denetim sırasında orada bulunan sabit olmayan (sezonluk, geçici ve sözleşmeli personel) ve yarı zamanlı personel bu sayıya eklenmelidir. Etkin personel sayısı denetim süresini temel olarak hesaplayabilmek için kullanılır.çalışma saatlerine bağlı olarak yarı zamanlı çalışan sayısı tam zamanlı çalışan sayısına eşdeğerde değiştirilip, azaltılabilir.

8 5 Geçici Alan Geçici alan organizasyon tarafından özel işlerin yapılması için ayarlanmış ya da sınırlı periyotlu hizmetlerin sunumunda kullanılan ve devamlın kullanılmayacak alanlardır.

9 6-Çok Sayıda Mekan: Mekanların temsili bir sayısı, aşağıdaki hususlar dikkate alınarak belirlenmelidir. Merkez ofisler ile mekanların iç denetimlerinin sonuçları, Yönetim incelemesinin sonuçları, Mekanların büyüklüğündeki değişiklikler, Mekanların iş amacındaki değişiklikler, BGYS nin karmaşıklığı, Farklı mekanlardaki bilgi sistemlerinin karmaşıklığı, İş uygulamalarındaki değişiklikler, Yapılan faaliyetlerdeki değişiklikler, Hassas bilgileri işleyen bilgi sistemleri ya da kritik bilgi sistemleri ile muhtemel etkileşim, Farklı hukuki gerekler.

10 6. Çok Sayıda Mekan: Organizasyonun BGYS sinin kapsamında bulunan tüm mekanlardan temsili bir örnek seçilir. Önemli risklere maruz kalan BGYS de bulunan her mekan denetlenmelidir. Tetkik programı organizasyonun tüm mekanlarını kapsar. Merkez ofisinde ya da tek bir mekanda yapılan incelemelerde bir uygunsuzluğun tespit edilmesi halinde düzeltici işlem belgenin kapsamında yer alan tüm mekanlara ve merkez ofise uygulanır.

11 7. Organizasyonun Risk Potansiyeli BGYS kapsamının karmaşıklığı, denetleme zamanına ve denetçi yeterliliğine karar verirken dikkate alınmalıdır. Bir organizasyonun karmaşıklığını analiz etmeye ait bir örnek. Bir BGYS kapsamına tahsis edilen karmaşıklık sınıfı, BGYS denetimi (Ek B de verilen bir örnek) için denetçinin yeterlilik gereksinimlerine bağlıdır. BGYS denetimi (Ek C de verilen bir örnek) için denetim süresi gereksinimlerine karar vermek için kullanılabilir.

12 7. Organizasyonu Risk Potansiyeli Çizelge A.1, bir BGYS kapsamının karmaşıklığı belirlenirken dikkate alınacak muhtemel faktörlerin genel bir gösterimidir. Uygun görüldüğü üzere özel faktörlere sahip olmak ya da özel şartlara uyum sağlamak gerekli olabilir. Karmaşıklık Kriterleri (Çizelge A.1 deki) kullanılarak bir BGYS kapsamının karmaşıklığının hususları, çok sayıda farklı faktör kullanılarak yüksek, orta ve alçak olmak üzere üç sınıfa ayrılabilir. Karmaşıklığın tüm etkin sınıfı, dikkate alınan tüm faktörlerin azami sınıfı olarak göz önüne alınabilir ve sonuç ise, ör. yüksek, orta ya da alçak sınıfıdır.

13 Çizelge A.1,

14 7. Organizasyonu Risk Potansiyeli Bilgi güvenliği riskinin sektör özel sınıfları Bilgiye olan riskler, bir kuruluşun çalıştığı sektör ya da dikkate alınan bilgi türüne özgü olabilir. Aşağıdaki örnekler, farklı sınıftaki riski gösterir. Tüm kuruluşlara uygulanabilen özel sınıflar: Ücretler, emekli aylıkları, sağlık ve güvenlik, kurumsal kayıtlar, iç ve bölümler arası bilgiler, vs., Başka kişisel olarak tanımlanabilir bilgiler, Araştırma ve geliştirme bilgileri, tasarım bilgisi, müşteri detayları, mali sonuç ve tahminler, iş planları, fikri mülki haklar, üretim süreçleri, vs. gibi ticari olarak diğer hassas/kritik bilgiler.

15 7. Organizasyonu Risk Potansiyeli Bilgi güvenliği riskinin sektör özel sınıfları Kamu hassas/kritik bilgiler: Kamu bilgileri, E-devlet uygulamaları, Vatandaşlar hakkında tutulan bilgiler (ör. Sağlık, fayda, vergiler, kayıtlar, vs.), BİT tasarımları, tesisler, ürünler, hizmetler, vs. gibi kamunun tedarikçileri ve üreticileri tarafından tutulan bilgiler.

16 7. Organizasyonu Risk Potansiyeli Bilgi güvenliği riskinin sektör özel sınıfları Kurum sınıflarına uygulanabilen özel kategoriler: Şirket yönetimi listesi verilen şirketler (muhtemelen diğer büyük şirketler).

17 7. Organizasyonu Risk Potansiyeli Bilgi güvenliği riskinin sektör özel sınıfları İş sektörlerine uygulanabilen özel sınıflar: Sağlık bakımı, Eğitim, Havacılık, Telekomünikasyon, Mali hizmetler, Yardım kuruluşları ve kar amacı gütmeyen kuruluşlar.

18 8. Tetkikçi Süresi Çizelgesi Tetkik gün sayısı, safha 1 denetim ve safha 2 denetim için günleri kapsar. Bu nedenle denetçi süresi çizelgesi, tek başına kullanılamaz. Tetkikçi süresi çizelgesindeki işçi sayısı, tüm vardiyalar için toplam işçi sayısını gösterir. Her bir belgelendirmede harcanan sürenin değişimi, tetkikin kapsamı, büyüklüğü, lojistik destek, organizasyonun karmaşıklığı ve kuruluşun tetkike olan hazırlık seviyesi (ayrıca yukarıdaki Madde C.2 ye de bakılmalıdır) dahil olmak üzere çok sayıda faktöre bağlıdır. Bu nedenle tetkikçi süresi çizelgesi, tek başına kullanılamaz.

19 8. Tetkikçi Süresi Çizelgesi Yarı zamanlı işçilerin, tam zamanlı işçiler gibi değerlendirilmesi önerilir. Bu husus, tam zamanlı bir işçi ile karşılaştırıldığında çalışılan saat sayısına bağlıdır. Denetçi süresi, saha 1 denetimdeki denetim ekibi ya da bir denetçi tarafından ve planlama yapılarak (uygun olursa mekan dışı doküman incelemesi dahil) harcanan süreyi; kuruluş, personel, kayıtlar, dokümantasyon ve süreç ile ara yüz irtibatını ve rapor yazmayı kapsar. Planlama ve rapor yazmanın birleşik olarak gereken denetmen süresi nin, denetçi süre çizelgesinde gösterilen sürenin % 70 ine göre daha az bir süreye kadar toplam olarak mekanda geçirilen denetçi süresi ni azaltmamalıdır.

20 8. Tetkikçi Süresi Çizelgesi İlave sürenin, planlama ve/veya rapor yazma için gerektiği durumda mekanda geçirilen denetçi süresinin azaltılması için bu husus bir gerekçe değildir. Denetçi seyahat süresi, bu hesaplamaya dahil edilmemiştir ve çizelgedeki denetçi süresine ilavedir. Not 1 - % 70, BGYS denetimleri deneyimine bağlı bir faktördür.

21 8. Tetkikçi Süresi Çizelgesi Etkileşimli internet tabanlı toplanma, internet toplantıları, uzaktan konferanslar ve/veya kuruluşun süreçlerinin elektronik doğrulaması gibi uzaktan denetim teknikleri, kuruluşla arayüz yapmak için kullanılıyorsa bu faaliyetlerin, denetim planında tanımlanması önerilir ve toplam mekandaki denetçi süresi ne kısmi olarak katkı yaptığı kabul edilebilir. Uzaktan denetim faaliyetlerinin planlanan mekandaki denetçi süresinin % 30 undan daha fazlasını temsil ettiği bir denetim planını planlamışsa belgelendirme kuruluşunun, denetim planını gerekçelendirmesi ve gerçekleştirmeden önce akreditasyon kuruluşundan özel onay alması önerilir.

22 8. Tetkikçi Süresi Çizelgesi Mekandaki denetçi süresi, her bir mekan için ayrı ayrı tahsis edilen mekandaki denetçi süresi demektir. Elektronik denetimler, fiziki olarak kuruluşun tesislerinde yapılsa dahi uzaktaki mekanların elektronik denetimlerinin uzaktan denetimler olduğu kabul edilir. Denetçi süresi, denetimde harcanan Denetçi Günleri cinsinden belirtilir. Bir Denetçi Günü, tam bir normal çalışma günüdür.

23 Örnektir!!! Geçici Alan-Çoklu Şube Tetkiki İçin Numene Ölçüt Belirlenmesi: İLK BELGELENDİRME TETKİKİ Numune ölçüt = Alan sayısı + Merkez Ofis GÖZETİM TETKİKİ Numune ölçüt = 0,6 Alan sayısı + Merkez Ofis 3. YIL TETKİKİ Numune ölçüt = 0,8 Alan sayısı + Merkez Ofis Hesaplanan miktar tam bir sayı çıkmaz ise en yakın tam sayıya yuvarlanacaktır.