BGYS KAPSAMI BELİRLEME KILAVUZU



Benzer belgeler
BİLGİ GÜVENLİĞİ POLİTİKASI OLUŞTURMA KILAVUZU

T. C. KAMU İHALE KURUMU

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

T. C. KAMU İHALE KURUMU

BGYS-PL-01 BİLGİ GÜVENLİĞİ POLİTİKASI

ÇELİKEL A.Ş. Bilgi Güvenliği Politikası

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ KURULUMU

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri

T. C. KAMU İHALE KURUMU

İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ

UE.18 Rev.Tar/No: /03 SAYFA 1 / 5

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

Sibergüvenlik Faaliyetleri

KALİTE EL KİTABI PERSONEL BELGELENDİRME

ĠSYS KURULUMU ve KRĠTĠK BAġARI FAKTÖRLERĠ. Ali DĠNÇKAN,CISA, Tübitak UEKAE Tel:

TÜRK AKREDİTASYON KURUMU R20.08

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI

Tedarikçi risklerini yönetebilmek

Laboratuvar Akreditasyonu

2015 Eğitim Takvimi Biymed Eğitim ve Danışmanlık Hizmetleri

BİLGİ GÜVENLİĞİ POLİTİKASI

İtiraz ve Şikâyetler Prosedürü

ISO 27001:2013 BGYS BAŞTETKİKÇİ EĞİTİMİ

T.C. UŞAK ÜNİVERSİTESİ

Girişimcilik GİRİŞİMCİLİK. Ders 04. ŞENYURT / 1

X. Çözüm Ortaklığı Platformu

POL.01 Rev.Tar/No: /1.0 HĠZMETE ÖZEL

BDDK-Bilgi Sistemlerine İlişkin Düzenlemeler. Etkin ve verimli bir Banka dan beklenenler Bilgi Teknolojilerinden Beklenenler

AGS. araştırma - danışmanlık - eğitim. AGS Araştırma Danışmanlık ve Eğitim Hizmetleri Ltd. Şti.

TÜBİTAK MARMARA ARAŞTIRMA MERKEZİ ULUSAL KALİTE HAREKETİ SÜRECİ

Tetkik Gün Sayısı Tespiti

TETKİK SÜRELERİ BELİRLEME TALİMATI DETERMINING AUDIT TIME INSTRUCTIONS Doküman No Document No Sayfa No Page No

KALĠTE SĠSTEM DOKÜMANTASYONU

Kontrol: Gökhan BİRBİL

Doç. Dr. Ender ATEŞMAN

PERSONEL BELGELENDİRME PROSEDÜRÜ (GENEL ŞARTLAR)

Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü. Mayıs 2008, Gebze

Türk Akreditasyon Kurumu TÜRKAK PERSONELİNİN EĞİTİM İHTİYACININ BELİRLENMESİ TALİMATI. Doküman Adı: Doküman No.: T Revizyon No: 02

ANET Bilgi Güvenliği Yönetimi ve ISO Ertuğrul AKBAS [ANET YAZILIM]

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001

TALİMAT. Medikal Ücretlendirme Talimatı. Departman İsim Tarih İmza. Yön. Temsilcisi Eren İŞMAN Emine AÇAN

TETKİK SÜRELERİ BELİRLEME TALİMATI

ERİŞİM KONTROL POLİTİKASI OLUŞTURMA KILAVUZU

Prosedür. Kalite Yönetim Sisteminde Neden gerçekleştirilecek?

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

ISO/IEC 27001:2013 REVİZYONU GEÇİŞ KILAVUZU

EKONOMİ BAKANLIĞI DÖVİZ KAZANDIRICI HİZMET TİCARETİ DESTEK PROGRAMI

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

İSTANBUL ÜNİVERSİTESİ DÖNER SERMAYE İŞLETME MÜDÜRLÜĞÜ HİZMET İÇİ EĞİTİM SUNUMU 02 MAYIS 2014

ARAŞTIRMA VE GELİŞTİRME DAİRESİ BAŞKANLIĞI TARAFINDAN PİLOT SEÇİLEN BÖLGELERDE YÜRÜTÜLEN ÇALIŞMALAR

TS EN ISO/IEC Kullanılabilir Arayüz Sertifikası Verilmesi Süreci

Biymed. Eğitim ve Danışmanlık

DOKÜMAN KODU YAYINLANMA TARİHİ REVİZYON NO REVİZYON TARİHİ SAYFA NO. BG-RH Sayfa 1 / 6

PAÜ Kurum İç Değerlendirme Raporu Hazırlıkları-2018

ĠÇĠNDEKĠLER VE ÇAPRAZ REFERANS ÇĠZELGE:

Burak ULUOCAK, PMP, CSM Senior Project Manager. 24 Eylül 2010

LABORATUVAR AKREDİTASYON BAŞKANLIĞI

Rakamlarla İş Bankası. 2. İş Bankası Müşteri Odaklı Dönüşüm Programı. 4. Misyon, Vizyon ve Çalışma İlkelerimiz

Belgelendirme Müracaatı ve Sözleşme Yapılması Prosedürü

GÜRELİ YEMİNLİ MALİ MÜŞAVİRLİK VE BAĞIMSIZ DENETİM HİZMETLERİ A.Ş.

Borç Yapılandırma Hizmetleri

Notice Belgelendirme Muayene ve Denetim Hiz. A.Ş Onaylanmış Kuruluş 2764

Belgelendirme Müracaatı ve Sözleşme Yapılması Prosedürü

Yeni Sermaye Piyasası Kanunu ve İkincil Düzenlemeler

İSG Yönetim Sistemi Prensipleri

Bu dokümanla BGYS rollerinin ve sorumluluklarının tanımlanarak BGYS sürecinin efektif şekilde yönetilmesi hedeflenmektedir.

Konfigürasyon Yönetimi

Mikro Bilgi Kayıt ve Dağıtım A.Ş Kalite Yönetim Temsilcisi. Şenay KURT

BTB Proje Yönetimi ve Mühendislik Ltd. Şti.

PİRAMİT GAYRİMENKUL DEĞERLEME ve DANIŞMANLIK A.Ş YILI KALİTE GÜVENCE SİSTEMİ GÖZDEN GEÇİRME RAPORU

MerSis. Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri

Bilgi Teknolojileri Ürün Güvenliği İçin Ortak Kriterler Sertifikasyonu ve Türkiye

TOPLAM KALİTE YÖNETİMİ

Bilgisayar Güvenliği ve Internet

İÇ TETKİKÇİ DEĞERLENDİRME SINAVI

BİRİM İÇ DEĞERLENDİRME RAPORU

TÜRKAK ve Akreditasyon Çalışmaları

Belgelendirme Müracaatı ve Sözleşme Yapılması Prosedürü

13.DERS Konfigürasyon Yönetimi

BS25999 İŞ SÜREKLİLİĞİ İĞİ YÖNETİM M SİSTEMİSTEMİ STANDARDI

ISO NEDİR? TSE, ISO nun üyesi ve Türkiye deki tek temsilcisidir. EN NEDİR?

Laboratuvar Akreditasyonu

MALZEME TEST MAKİNASI KUVVET KALİBRASYONU KARŞILAŞTIRMA RAPORU

TÜRK AKREDİTASYON KURUMU

ITMS DAYS Information Technologies Management Systems Days

TÜRK STANDARDLARI ENSTİTÜSÜ PERSONEL VE SİSTEM BELGELENDİRME MERKEZİ BAŞKANLIĞI

Borç Yapılandırma Hizmetleri

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

HALKLA İLİŞKİLER VE ORGANİZASYON HİZMETLERİ ALANI

e-kuruma DÖNÜŞÜM PROJESİ

Yazılım Geliştirme Projelerinde Kontrolörlük / Müşavirlik Hizmetleri. Y.Müh. Kadriye ÖZBAŞ ÇAĞLAYAN, PMP Y.Müh. Ahmet DİKİCİ, PMP

SİSTEMER tarafından verilecek tüm denetim faaliyetleri için ücretlendirmeyi kapsar.

Kalite Yöneticisi :Talep ve sözleģmelerin standart bir formatta hazırlanmasından ve Kalite Yönetim Sistemine uygunluğunun sağlanmasından sorumludur.

e-fatura e-arşiv e-defter

TÜRK AKREDİTASYON KURUMU. Personel Akreditasyon Başkanlığı

BİLİŞİM SİSTEMLERİNİN PRENSİPLERİ

Transkript:

ULUSAL ELEKTRONİK VE KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ Doküman Kodu: BGYS-0002 BGYS KAPSAMI BELİRLEME KILAVUZU SÜRÜM 1.00 21 03 2008 Hazırlayan: Ünal Perendi P.K. 74, Gebze, 41470 Kocaeli, TÜRKİYE Tel: (0262) 648 1000 Faks: (0262) 648 1100 http://www.bilgiguvenligi.gov.tr bilgi@bilgiguvenligi.gov.tr

ÖNSÖZ Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE)'nün misyonu, "bilgi güvenliği, haberleşme ve ileri elektronik alanlarında Türkiye'nin teknolojik bağımsızlığını sağlamak ve sürdürmek için nitelikli insan gücü ve uluslararası düzeyde kabul görmüş altyapısı ile, bilimsel ve teknolojik çözümler üretmek ve uygulamaktır". Bu ana hedef göz önünde bulundurularak belirlenen "bilgi güvenliği, haberleşme ve ileri elektronik alanlarında yeni teknolojilerin geliştirilmesine öncülük eden uluslararası bilim, teknoloji ve üretim merkezi olmak" vizyonuna ulaşılabilmesi ve ülkenin ihtiyacı olan teknolojilerin geliştirilmesi için Enstitü'nün akredite test ortam ve laboratuarlarında temel ve uygulamalı araştırmalar yapılmakta ve ihtiyaç sahiplerine teknik destek sağlanmaktadır. Bu doküman, BGYS (Bilgi Güvenliği Yönetim Sistemi) kurmak isteyen kurumlar için yardımcı kaynak olarak hazırlanmıştır. Tüm kurum ve kuruluşlar bu dokümandan faydalanabilir. Bu dokümanda anlatılanlar tamamen tavsiye niteliğindedir. UEKAE, yapılan uygulamalardan doğabilecek zararlardan sorumlu değildir. Bu doküman UEKAE nin izni olmadan değiştirilemez. 2

BİLGİLENDİRME Bu dokümanın oluşturulmasında emeği geçen Ağ Güvenliği personeline ve dokümanı gözden geçirip fikirlerini öne sürerek dokümanın olgunlaşmasına katkıda bulunan Ali Dinçkan a ve Burak Bayoğlu na teşekkürü borç biliriz. 3

İÇİNDEKİLER 1. GİRİŞ... 5 1.1 Amaç ve Kapsam...5 1.2 Hedeflenen Kitle...5 1.3 Kısaltmalar...5 2. BGYS KAPSAMI... 6 3. BGYS KAPSAM TANIMLAMA...6 3.1 BGYS Kapsam Dokümanı Örnekleri...7 3.1.1 BGYS Kapsamı Örneği 1... 7 3.1.2 BGYS Kapsamı Örneği 2... 9 KAYNAKÇA... 11 4

1. GİRİŞ Bu doküman ISO/IEC 27001:2005 standardında BGYS Kurulumu başlığı altındaki maddelerinin ilk sırasında olan BGYS Kapsamının tanımlanması maddesi için rehber niteliğindedir. ISO/IEC 27001:2005 standardına uygun olarak Bilgi Güvenliği Yönetim Sistemi (BGYS) kurma çalışması planlayan kurumlara BGYS kapsamının belirlenmesi konusunda yol gösteren bilgilere yer verilmiştir. 1.1 Amaç ve Kapsam ISO/IEC 27001:2005 standardına uygun olarak Bilgi Güvenliği Yönetim Sistemi (BGYS) kurma çalışması planlayan kurumlara BGYS kapsamının belirlenmesi konusunda yol gösteren bilgilere yer verilmiştir. Bu dokümanda ISO/IEC 27001 standardına uygun olarak Bilgi Güvenliği Yönetim Sistemi (BGYS) kurma çalışması sırasında BGYS kapsamının nasıl belirlenmesi gerektiği anlatılmıştır. BGYS Kapsam dokumanı örnekleri verilerek de kapsamın neleri içermesi gerektiği belirtilmiştir. 1.2 Hedeflenen Kitle Bu doküman Bilgi Güvenliği Yönetim Sistemi (BGYS) kurma çalışması planlayan, kurulu BGYS sistemlerinin denetimini gerçekleştiren kurum yöneticilerine, güvenlik uzmanlarına, denetimcilere ve genel bilgi sistemleri güvenliğiyle ilgilenenler içindir. 1.3 Kısaltmalar BGYS UEKAE : Bilgi Güvenliği Yönetim Sistemi : Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü 5

2. BGYS KAPSAMI İş (aktiviteler), organizasyon (yönetimsel birimler), işin mekânı, varlıklar ve teknoloji karakteristikleri belirtilerek ve kapsam dışında kalacak olan her ayrıntının sebepleri açıklanarak BGYS nin sınırları ve kapsamı tanımlanır. Hangi yönetimsel birimlerin ve aktivitelerin bilgi güvenliği yönetim kapsamı içerisinde yer alacağı belirtilmelidir. [1] Kapsam dokümanı çok sık değişime uğraması gerekmese de yaşayan bir dokümandır. Gerektiğinde kapsamın içeriği değiştirilebilir. Fakat kapsamın ilk aşamada belirlenirken yönetilebilir boyutta tutulması önemlidir. Bu yüzden organizasyonun fiziksel yapısı ve süreçleri göz önüne alınmalıdır. Örneğin; az görülmesine rağmen yönetilebilirlik adına çok büyük bazı organizasyonlarda Finans bölümü ve Yazılım geliştirme bölümü için iki ayrı BGYS oluşturulduğu gibi örnekler mevcuttur. [2] 3. BGYS KAPSAM TANIMLAMA BGYS Kapsamı tanımlanırken aşağıdakilerin belirtilmesi gereklidir: Kurum/Şirket/Organizasyon:Kurum/Şirket/Organizasyon un adı net şekilde belirtilmelidir. Hedef: ISO/IEC 27001:2005 sertifikasyonunu elde etmek için standarda uyumluluk sağlanması amacında olunduğu gibi bir amaç net bir şekilde belirtilmelidir. Kapsam: Hangi yönetimsel birimlerin ve aktivitelerin bilgi güvenliği yönetim yapısı içerisinde yer alacağı belirtilmelidir. Sınırlar / Limitler: BGYS kapsamının belirtmesi gereken limitler: Organizasyonun özellikleri (büyüklük, çalışma alanları vb.) Organizasyonun mekânı; Varlıklar Teknoloji Arayüzler: Organizasyonun diğer sistem, organizasyon veya tedarikçiler ile olan arayüzleri hesaba katılmalıdır. Tüm Hizmetler ve Aktiviteler BGYS tanımı içerisinde yer almak zorunda değildir. Organizasyonun bilgi güvenliği risk analizinde yer alacak bilgisayar veya iletişim ortamı paylaşımı yaptığı veya organizasyon için önemli olan her türlü arayüz belirtilmelidir. [3] 6

Bağımlılıklar: Kurulacak BGYS belirli yasal ve ticari zorunluluklara tabi olabilir. Örneğin; bankacılık sektöründeki bir organizasyonun Bankacılık Düzenleme ve Denetleme Kanunları ile belirtilen yasalara uygunluk sağlaması gerektiği kapsam dokümanında belirtilmelidir. Hariç Tutma / Savunma: BGYS tarafından tanımlanan ama herhangi bir güvenlik politikası veya güvenlik ölçütü tarafından kapsanmayan her bölümün veya elementin neden içerilmediği açıklamasıyla beraber belirtilmelidir. 3.1 BGYS Kapsam Dokümanı Örnekleri 3.1.1 BGYS Kapsamı Örneği 1 ELAR Ltd. Şti. BGYS KAPSAMI AMAÇ ve KAPSAM: 1995 yılında Şişli de kurulan ELAR Elektronik Ltd. Şti. Şirketi kendine ve müşterilerine ait bilgileri korumak amacıyla ISO/IEC 27001 standardına uygun olarak bir Bilgi Güvenliği Yönetim Sisteminin kurulmasına karar vermiştir. Bu BGYS uygulaması tüm ELAR şirketi birimlerine uygulanmaktadır. BGYS kapsamı şeklen ifade edilmiştir. Yukarıda kapsamda belirtilen bilgi ifadesi yazılı, sözlü ve elektronik ortamdaki tüm bilgi çeşitlerini kapsamaktadır. 7

Şekil 1 - ELAR şirketi BGYS Kapsamı ORGANİZASYON ELAR şirketi 5 bölümden oluşmaktadır. Stok-Kontrol Satış-Pazarlama Satın Alma Muhasebe Bilgi Teknolojileri YERLEŞKE: ELAR şirketinin iş operasyonlarını yürüttüğü yerler: Merkez: ELAR Elektronik Ltd. Şti. Merkezi Etfal Sok. No:27 Şişli / ISTANBUL Şube: Atatürk cad. No: 12 Kozyatağı /ISTANBUL Depo: İnönü cad. No: 19 Ümraniye /ISTANBUL 8

VARLIKLAR VE TEKNOLOJİ ELAR yerleşkeleri birbirlerine bağlayan kiralık hatlar ile internet hattının yönetimi dışındaki hizmetlerini kendisi yerine getirmektedir. Kiralık hattının ve internet hattının yönetimi dış kaynak kullanımı yolu ile gerçekleştirilmektedir. Dış kaynak kullanımı ile ilgili sözleşmeler, hazırlanmış dış kaynak kullanım sözleşme taslağı temel alınarak yapılmaktadır. BGYS, aşağıdakilerin hepsini kapsar: Şirketin tüm ticari bilgileri Şirket çalışanlarına ait kişisel bilgiler Müşterilerin tüm kişiye özel bilgileri Yukarıdaki bilgileri içeren BT(Bilgi Teknolojileri) Sistemleri Dış kaynak kullanım faaliyeti Sistem Dokümantasyonu 3.1.2 BGYS Kapsamı Örneği 2 XYZ A.Ş BGYS Kapsam Dokümanı BGYS KAPSAMI XYZ Şirketi ne ait BGYS (Bilgi Güvenliği Yönetim Sistemi), EFG Şirketinin organizasyon yapısı altında kurulmuştur. XYZ organizasyonu içerisinde kredi kartı üretimi yapmaktadır. XYZ, EFG nin Düzce Yerleşkesindeki binasında bu iş için tahsis edilmiş özel olarak korumalı bölgenin içerisinde kurulmuştur. XYZ idari ve destek hizmetleri için EFG nin altyapısını kullanmaktadır. XYZ kredi kartı üretimi ile ilgili süreçleri kendi altında yürütmektedir. XYZ BGYS, Kredi kartı üretimi ile ilgili süreçlerinin altında Elektronik Devre Tasarımı, Damgalama hizmetleri, Bilişim Hizmetleri süreçleri yer almaktadır. Bu süreçlerden sadece Damgalama hizmetleri süreci KLM den dış kaynak olarak sağlanmaktadır. Elektronik Devre Tasarımı ve Bilişim Hizmetleri süreçleri XYZ tarafından yürütülmektedir. XYZ, Müşteri İlişkileri, Satın alma, Stratejik Yönetim, Muhasebe, İnsan Kaynakları, Bakım Onarım, Satış ve Pazarlama, Bilgi İşlem Merkezi gibi hizmetleri EFG İdari ve Destek hizmetlerden sağlamaktadır. Bu kapsamdaki hizmetler XYZ ana iş amaçlarına yardımcı hizmetlerden oluşmaktadır. Bu kapsamdaki alınan hizmetlere ilişin XYZ ile ilgili bölümler arasında Kurum İçi Hizmet Sözleşmesi imzalanmıştır. 9

Şekil -2- XYZ Bölümü BGYS Kapsamı XYZ BGYS, Düzce deki yerleşkesinde Kredi kartı yapımında kullanılan tüm ürünler ile ilgili işlenen, saklanan ve/veya taşınan tüm bilgileri ve tüm XYZ personelini kapsar. XYZ Hizmetleri, DÜZCE de bulunan EFG binasında verilmektedir. BGYS, aşağıdakilerin hepsini kapsar: Kredi kartı üretimiyle ilgili tüm özel ve tüzel bilgiler. XYZ çalışanlarına ait kişisel bilgiler. XYZ iç ve dış müşterilerine ait bilgiler. Tedarikçi sözleşmeleri. Dış kaynak kullanım sözleşmeleri. Kurum içi hizmet sözleşmeleri. Hizmet sunulan ofis, oda, binalarda bulunan tüm araç ve gereçler. Personel, BT(Bilgi Teknolojileri) Sistemleri ve Sistem Dokümantasyonu 10

KAYNAKÇA [1] R.Saliba, Callio Secura 17799 - A tool for implementing the ISO 17799 / BS 7799, 1998, pp. 12 14. [2] T.Humphreys, ISMS Standarts The ISO 27000 Family and BS7799-2, ISMS International User Group Seminar, pp. 32-35. [3] S. Lihsuan Liang, An ISMS Implementation Practice in Enviroments with limited Resources APEC-OECD Workshop on Security of Information Systems and Networks, September,2005. 11

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim