YZM5604 Bilgi Güvenliği Yönetimi. Duyurular

Benzer belgeler
YZM5604 Bilgi Güvenliği Yönetimi. 25 Kasım Dr. Orhan Gökçöl.

YZM5604 Bilgi Güvenliği Yönetimi

Sevdiğiniz her şey güvence altında

Ders ile İlgili Önemli Bilgiler

YZM5604 Bilgi Güvenliği Yönetimi. Geçtiğimiz hafta. Fiziksel ve Çevresel Güvenlik. Dr. Orhan Gökçöl

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ KURULUMU

BAŞKENT ÜNİVERSİTESİ Makine Mühendisliği Bölümü

ISO M. Görkem Erdoğan. Bu sunuya ve konunun pdf dosyasına adresinden erişilebilir.

DO-178B Sertifikasyonuna Uygun Yazılım Geliştirme Software Development Compatible with DO-178B Certification

A5 INFORMATION SECURITY POLICIES Bilgi güvenliği politikaları

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

Yatırım Projelerinde Kaynak Dağıtımı Analizi. Analysis of Resource Distribution in Investment Projects

KALİTE YÖNETİM SİSTEMİ TS EN ISO 2015 PROSES YAKLAŞIMI

Duyuru. YZM5604 Bilgi Güvenliği Yönetimi ISO27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMLERİ GEREKSİNİMLERİ

Öğrenci Numarası İmzası: Not Adı ve Soyadı

PLM. MSI Dergisi nin Kasım. Savunma ve Havacılık Sanayileri için Çağdaş Bir Yönetişim ve İnovasyon Ortamı: Bölüm VI

ISO/IEC 27001:2013 REVİZYONU GEÇİŞ KILAVUZU

LABORATUVARIN İŞ HİJYENİ ÖLÇÜM, TEST VE ANALİZ HİZMETLERİ KAPSAMINDA AKREDİTASYON BELGESİ ALMASI ZORUNLULUĞU OLAN PARAMETRE LİSTESİ

Yöneticilere Odaklı ISO Bilgilendirme TÜBİTAK BİLGEM Siber Güvenlik Enstitüsü

YZM5604 Bilgi Güvenliği Yönetimi. Varlık Yönetimi (Asset Management) Varlık/Değer -Asset. Dr. Orhan Gökçöl

TUTGA ve C Dereceli Nokta Koordinatlarının Gri Sistem ile Tahmin Edilmesi

ALTERNATİF SİSTEMLERİN KARŞILAŞTIRILMASI

BÖLÜM 3 YER ÖLÇÜLERİ. Doç.Dr. Suat ŞAHİNLER

ALTERNATİF SİSTEMLERİN KARŞILAŞTIRILMASI

KURUMSAL RİSK YÖNETİMİ RİSK YÖNETİM MODELLERİ

NETCAD e-bldy Bilgiye Dayalı Yerel Yönetim

ÖĞRENME ETKİLİ HAZIRLIK VE TAŞIMA ZAMANLI PARALEL MAKİNELİ ÇİZELGELEME PROBLEMİ

ISF404 SERMAYE PİYASALARI VE MENKUL KIYMETYÖNETİMİ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

Düzce Üniversitesi Kocaeli Üniversitesi Kocaeli Üniversitesi

KALİTE KONTROLDE ÖRNEKLEM BÜYÜKLÜĞÜNÜN DEĞİŞKEN OLMASI DURUMUNDA p KONTROL ŞEMALARININ OLUŞTURULMASI

KURUMSAL KAYNAK PLANLAMASI SİSTEMLERİNİN BULANIK AHP VE BULANIK MOORA YÖNTEMLERİYLE SEÇİMİ: ÜRETİM SEKTÖRÜNDE BİR UYGULAMA

PLC CİHAZI İLE SERADA SICAKLIK VE NEM KONTROLÜNÜN PID DENETLEYİCİYLE GERÇEKLEŞTİRİLMESİ

T.C. ATILIM ÜNİVERSİTESİ SOSYAL BİLİMLER ENSTİTÜSÜ SAĞLIK KURUMLARI İŞLETMECİLİĞİ ANABİLİM DALI HEMŞİRELİK HİZMETLERİNDE YÖNETSEL VE

TEDARİK ZİNCİRİ YÖNETİMİNE ANALİTİK BİR YAKLAŞIM

MEKANİK TESİSATTA EKONOMİK ANALİZ

İŞLETİM KARAKTERİSTİĞİ EĞRİSİ VE BİR ÇALIŞMA THE OPERATING CHARACTERISTIC CURVE AND A CASE STUDY

Gayrimenkul Değerleme Esasları Dönem Deneme Sınavı I

İÇİNDEKİLER PROJE KAVRAMI TARIMSAL PROJELE HAZIRLAMA VE DEĞERLENDİRME

İSYS Süreçleri ve Yönetim Sistemleri İçindeki Yeri. Burak Bayoğlu (CISM, CISA, CISSP) TÜBİTAK UEKAE.

Bu dokümanla BGYS rollerinin ve sorumluluklarının tanımlanarak BGYS sürecinin efektif şekilde yönetilmesi hedeflenmektedir.

BİLGİ GÜVENLİĞİ POLİTİKASI

ANA NİRENGİ AĞLARINDA NİRENGİ SAYISINA GÖRE GPS ÖLÇÜ SÜRELERİNİN KURAMSAL OLARAK BULUNMASI

ITMS DAYS Information Technologies Management Systems Days

Kırsal Kalkınma için IPARD Programı ndan Sektöre BÜYÜK DESTEK

Tek Bir Sistem için Çıktı Analizi

OKUL ÖNCESİ DÖNEM İŞİTME ENGELLİLERDE MÜZİK EĞİTİMİ İLE ÇOCUKLARIN GELİŞİM ÖZELLİKLERİ ÜZERİNE TERAPÖTİK BİR ÇALIŞMA

Bileşik faiz hesaplamalarında kullanılan semboller basit faizdeki ile aynıdır. Temel formüller ise şöyledir:

Bilgi Güvenliği Politikası. Arvato Bertelsmann İstanbul, Türkiye. Versiyon 2016_1. Arvato Türkiye. Yayınlayan

ISO 14001:2015 ÇEVRE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

ÖzelKredi. İsteklerinize daha kolay ulaşmanız için

İstanbul Göztepe Bölgesinin Makine Öğrenmesi Yöntemi ile Rüzgâr Hızının Tahmin Edilmesi

Bilgi Teknolojileri Yönetişim ve Denetim Konferansı BTYD 2010

ANALİTİK HİYERARŞİ YÖNTEMİ İLE İLKOKUL SEÇİMİ

TEKNOLOJĐK ARAŞTIRMALAR

BGYS-PL-01 BİLGİ GÜVENLİĞİ POLİTİKASI

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

KALİTE VE SÜREÇ İYİLEŞTİRME İÇİN MÜŞTERİ GERİ BİLDİRİMLERİNİN DEĞERLENDİRİLMESİ

BAŞ DENETÇİ PROGRAMLARI

YZM5604 Bilgi Güvenliği Yönetimi

ANET Bilgi Güvenliği Yönetimi ve ISO Ertuğrul AKBAS [ANET YAZILIM]

İSTATİSTİK 2. Tahmin Teorisi 07/03/2012 AYŞE S. ÇAĞLI.

OKUL ÖNCESİ DÖNEM İŞİTME ENGELLİ ÇOCUKLARDA MÜZİK EĞİTİMİNİN SÖZEL AÇIKLAMA BECERİLERİNE ETKİSİ

ISO :2018 İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ

İstatistik ve Olasılık

Mikro Bilgi Kayıt ve Dağıtım A.Ş Kalite Yönetim Temsilcisi. Şenay KURT

Ekim 2003 Cilt:11 No:2 ISSN October 2003 Vol:11 No:2 İÇİNDEKİLER (CONTENTS)

T. C. KAMU İHALE KURUMU

Bilgi Teknolojileri Yönetişim ve Denetim Konferansı BTYD 2010

(3) Eğer f karmaşık değerli bir fonksiyon ise gerçel kısmı Ref Lebesgue. Ref f. (4) Genel karmaşık değerli bir fonksiyon için. (6.

MADENCİLİK YATIRIM PROJELERİNİN SOSYAL KARLILIK ANALİZİYLE DEĞERLENDİRİLMESİ

ÇELİKEL A.Ş. Bilgi Güvenliği Politikası

İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ

KAMU İÇ KONTROL STANDARTLARI

Türkiye de Bölge Politikalarının Evrimi ve Bölgesel Kalkınma Ajansları. Korel GÖYMEN

NİÇİN ÖRNEKLEME YAPILIR?

ÜSTEL VE Kİ-KARE DAĞILIMLARI ARASINDAKİ İLİŞKİNİN SİMULASYON İLE ÜRETİLEN RANDOM SAYILARLA GÖSTERİLMESİ

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

İşlenmemiş veri: Sayılabilen yada ölçülebilen niceliklerin gözlemler sonucu elde edildiği hali ile derlendiği bilgiler.

YÖNETİM SİSTEMLERİ. TS EN ISO Kalite Yönetim Sistemi TS EN ISO Çevre Yönetim Sistemi TS (OHSAS) İSG Yönetim Sistemi

GEÇİŞ İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ

ISO 14001:20014 ve ISO 14001:2015 Şartları Arasındaki Eşleştirme Eşleştirme Kılavuzu

The Determination of Food Preparation and Consumption of the Working and Non-Working Women in Samsun

ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞİ İLE İLGİLİ BİLGİLENDİRME

CISSP HAZIRLIK EĞĠTĠMĠ

Mühendislik İnşaat Çözümü

BELGELENDİRME BAŞVURU FORMU Application Form for Certification

ISO 13485:2016 TIBBİ CİHAZLAR KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

İstatistik ve Olasılık

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kapsam - Terimler

RİZE HALK SAĞLIĞI MÜDÜRLÜĞÜ

KALİTE YÖNETİM SİSTEMİ (ISO 9001:2015)

Üniversitelerde Bilgi Güvenliği Eğitimi. Dr. Mehmet KARA TÜBİTAK - BİLGEM 26 Kasım 2011

ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞİ

T.C. UŞAK ÜNİVERSİTESİ

Transkript:

YZM5604 Bilgi Güveliği Yöetimi 23 Kasım 2015 Dr. Orha Gökçöl http://akademik.bahcesehir.edu.tr/~gokcol/yzm5604 Bahçeşehir Üiversitesi, Fe Bilimleri Estitüsü Duyurular Döem projeleriiz e durumda? Gruplar? Herkes grupoluşturdu görüüyor. Gelecek haftaders yok. Sııfa gelip projeizle ilgili çalışabilirsiiz. Be de sııfta /ofisimde olacağım. Ara kotrol yaptırabilirsiiz ya da sorularıız varsa sorabilirsiiz. BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMLERİ GEREKSİNİMLERİ Kurumlardaki bilgi güveliği yöetimi gereksiimlerii vere, uluslararası kabul göre bir stadarttır. ISO stadardıdır ve ISO9001 Kalite yöetim sistemi ile pek çok ortak oktası vardır. SON SÜRÜMÜ ISO/IEC 27001:2013 1

ISO27001 Nedir?? Kotrol-tabalı Gruplamış olarak suula kotroller, BG deki e iyi uygulamaları içermektedir. «Bilgi» Stadardı Her türlü BİLGİ yi kapsar. Bilgi, her e şekilde olursa olsu; her erede saklaırsa saklası, uygu bir şekilde korumalıdır! 8 Cümle, 11 Kotrol grubu, 134 kotrol Sertifikaladırılabilir - Uluslararası geçerliliği ola - Risk yöetimi esaslı 27000 Serisi stadartları yapısı 27000 Temeller ve aahtar kelimeler 27001:BGYS 27005 Risk Yöetimi 27002 BGY Uygulama Yöergesi 27003 BGY Uygulama Esasları 27004 Metrikler ve Ölçme 27006 BGYS akreditasyou kılavuzu 27007 BGYS deetim kılavuzu (iç, dış, yöetim gözde geçirme) 27008 Deetçiler içi BGYS kotrolleri kılavuzu ISO/IEC 27001 stadartlar ailesi Ocak 2015ʼe göre Geel Bilgiler ve aahtar kelimeler 27000 27016 Orgaizatioal ecoomics Guide 73 Uygulama Yöergesi 27002 27014 Goverace Voc a bula ry 31000 27005 27001 27003 Implemetatio guidace Priciples ad guidelies Risk Yöetimi Gereksiimler 27004 Measuremets 31010 27x Exteded Rage Ri sk a sse ssme t techiques Certificatio Co fo rmi ty Asse ssme t Vocabulary ad geeral pricipals 17000 27009 27001 + F a rk lı se k törle rde kullaım Applicability Iter-se c to r a d 27010 Iter orgaizatioal 27011 Telecommuicatios 27013 27001+20000-1 17021 Co fo rmi ty a sse ssme t - ISMS 27006 Requiremets for bodies audit ad certificatio 27015 27017 Fiacial services Cloud Computig service 19011 27007 Guidelies for auditig maagemet system Guidelies for ISMS auditig 27018 27019 Data protectio cotrol of public cloud computig service P ro c e ss c o tro l sy ste m - TR 27008 Guidace for auditors o cotrols - TR 27799 He alth 2

PUKÖ PUKÖ, bir BGYS i bilgi güveliği gereksiimlerii ve ilgili tarafları bekletilerii girdi olarak asıl aldığıı ve gerekli eylem ve prosesler aracılığıyla, bu gereksiimleri ve bekletileri karşılayacak bilgi güveliği souçlarıı asıl ürettiğii gösterir. PUKÖ Pla Do Check Act Cycle (PDCA) Pla Establish the ISMS Iterested Implemet ad operate the Maitai ad improve the Iterested parties ISMS ISMS parties Do Act Iformatio security requiremets ad expectatios Moitor ad review the ISMS Check Maaged iformatio security 3

BGYS Kurulması BGYS kapsamıı belirlemek PUKÖ Üst yöetimi liderliği ve taahhüt; orgaizasyoel roller ve sorumluluklar BG politikasıı taımlamak Risk yöetimi içi sistematik bir yaklaşım taımlamak Riskleri belirlemek Riskleri değerledirmek Riskleri azaltmak içi kullaılabilecek seçeekleri belirlemek ve değerledirmek Riskleri azaltmak içi kotrol amaçlarıı ve kotrolleri belirlemek Uygulaabilirlik Bildirgesi (Prepare a Statemet of Applicability (SOA)) hazırlamak Kala riskleri belirlemek ve bulara yöetimi oayıı almak BGYS çalıştırmak/uygulamak içi yöetimi oayıı almak BGYS i Uygulaması PUKÖ q Riski azaltma plaıı formüle etmek Riski azaltma plaıı uygulamak Seçile kotrolleri uygulamak Eğitimler ve farkıdalıklık programları düzelemek Çalışaları e gibi yetkilikleri olması gerekir? Operasyoları yöetmek Kayakları yöetmek Güvelik ihlallerii saptamak ve karşılamak içi prosedür ve kotrolleri uygulamak BGYS i Kotrol Edilmesi PUKÖ İzleme prosedürlerii çalıştırmak Düzeli gözde geçirmeler yapmak Artık riskleri seviyesii gözde geçirmek İç deetimler yapmak Yöetim değerledirmeleri (yöetimi gözde geçirmesi) yapmak Güvelik ihlal olaylarıı ve bulara verile cevapları kayıt altıa almak 4

PUKÖ BGYS i Bakımı, İyileştirilmesi ve Sürdürülebilir Halde Olması Taımlaa iyileştirmeleri uygulaması Öleyici ve düzeltici faaliyetleri yapılması Souçları değerledirilmesi, tartışılması Verimlilik SÜREKLİ İYİLEŞTİRME! BGYS KURULUMU BGYS kurulum isteği kurumu üst yöetimi tarafıda beimsemelidir. Üst yöetim desteği BGYS i başarıya ulaşması açısıda hayati öeme sahiptir. Üst yöetim BGYS i gerekliliğie ve faydasıa iamalıdır. BGYS kurulumu bir BT ürüü veya sistemi kurulumuyla karıştırılmamalıdır. BGYS kurumu iş yapma tarzıı etkileye köklü bir sistemdir ve kurumu tümde etkiler. Tüm kademelerdeki çalışaları işii yaparke bilgi güveliği presiplerie uygu hareket etmesii gerekli kılar. Bu bilici oluşması ve işleyişe geçmesi de bir gelişim sürecii soucu olacaktır. BGYS KURULUMU BGYS sadece kurumu BT bölümüe ait bir iş değildir. BGYS tamame bir tekoloji meselesi veya tekik bir iş de değildir. Tüm kurumu aktif halde katılımıyla hedefie ulaşabilecek bir sistemdir. E üst kademe yöeticide e alt seviye çalışaa kadar katılım ve destek şarttır. Aksi halde BGYS de beklee faydaı elde edilmesi mümkü değildir 5

BGYS Kurulumu Etki bir BGYS kurulumu kousuda ilk yapılması gereke işlerde bir diğeri de kurum içide bir Bilgi Güveliği Komisyou oluşturulmasıdır. Bilgi güveliği komisyou (Güvelik Forumu da deir) kurum içideki her bölümde temsilcilerde oluşur. Bilgi işlem, iç deetim, muhasebe, isa kayakları, güvelik ve diğer tüm bölümlerde temsilciler bu komisyoda yer almalıdır. Komisyo temsilcileri bilgi güveliği kousuda deeyimli ve bilgili, buu yaıda kedi bölümlerii temsil edebilme yetkisie sahip kişiler olmalıdır. Komisyo temsilcileri bilgi güveliği kousuda yeterli bilgi seviyesie sahip değilse mutlaka BGYS eğitimleri almalıdır. BGYS Kurulumu Tüm bölümlerde temsilcileri komisyoda yer alması BGYS i başarı şasıı arttırır. BGYS i kurumu tamamıa üfuz etmesii kolaylaştırır. Kurum çapıdaki güvelik ihtiyaçlarıı daha etki bir biçimde farkıda olumasıı sağlar. Bu durum BGYS i doğru plalaması ve sağlıklı işlemesi açısıda hayati öeme sahiptir. Her bölümde bir temsilcii katılımı yöetim ve tekik kadro arasıdaki iletişim kopukluğuu gidermeye de yarar. Soruları ve ihtiyaçları yeride yaşaya kişiler belli koularda yöetimi daha rahat ika edilmesii sağlar. Bilgi güveliği komisyou sayeside BGYS ile ilgili görev ve sorumluluklar da kurum içide dağıtılmış olur. BGYS Politikası Bu politika, hedefleri ortaya koya, yöetime yö vere ve harekete geçire, hagi riski değerledirmeye alıacağıa ilişki risk yöetim kapsamı ve kriterii belirleye bir çerçeve sumalıdır. BGYS politikasıı amacıı bulması içi yöetim politika içeriğideki maddeleri uygulamaya geçirileceğie ilişki kararlarlığıı çalışalara hissettirmelidir. 6

Risk Değerledirme Yaklaşımı Bilgi güveliği politikası temel alıarak sistematik bir risk değerledirme yaklaşımı belirlemelidir. Kurum kedie uygu bir metodoloji seçmekte serbesttir. Seçile risk değerledirme metodolojisi kıyaslaabilir ve tekrarlaabilir souçlar üretmeyi garati etmelidir. Bu adımda kabul edilebilecek risk seviyeleri belirlemeli ve bular içi ölçütler geliştirilmelidir. Risk Belirleme Koruması gereke varlıkları tehdit ede riskler, öceki adımda belirlee yötem kullaılarak tespit edilmelidir. BGYS içerisideki tüm varlıkları taımlaması, yai varlık evaterii çıkarılması risk değerledirme işii esasıı oluşturur. Kurum BGYS kapsamıa dahil edeceği tüm varlıkları sahiplerii, türüü ve öem derecesii bir evater listesi şeklide belgelemelidir. Bir varlığı öem derecesii belirlemek içi bu varlığı gizliliğie,bütülüğüe ve kullaılabilirliğie gelecek zararı kuruma yapacağı etkii derecesii başta ortaya koymak gerekmektedir. Risk Aalizi ve Değerledirilmesi Tespit edile riskleri aalizi ve dereceledirilmesi yapılmalıdır. Bu adım bir öceki adımda tespit edile riskleri yorumlaması olarak görülebilir. Risk aalizi yaparke riske ede ola tehdit ve açıklıklarda yola çıkılmalıdır. Riski dereceledirilmesi veya değerii belirleebilmesi içi öcelikle tehdidi gerçekleşme olasılığı ile etki derecesi hesaplamalıdır. Bular sayısal değerler kullaılarak hesaplaabileceği gibi rakamlarla ifadei zor olduğu durumlarda düşük, orta, yüksek gibi itel değerlerle de belirleebilir. 7

Risk Aalizi ve Değerledirilmesi Riski kabul edilebilir olup olmadığı Risk Değerledirme Yaklaşımıda belirlee ölçütler kullaılarak tespit edilmelidir. Tüm bu hesaplama ve değerlemeler uygulamakta ola mevcut kotroller de dikkate alıarak yapılmalıdır. Kotroller risk değerii azaltabilir. Bu adım souda bir risk değerledirme souç raporu yayılamalıdır. Riski Azaltma Bu adımda risk değerledirme souç raporuda yola çıkılarak uygu risk azaltma/tedavi (risk treatmet) yötemleri belirlemelidir. Belli bir risk karşısıda dört farklı tavır alıabilir: q Uygu kotroller uygulaarak riski ortada kaldırılması veya kabul edilebilir seviyeye düşürülmesi q Riski oluşmasıa ede ola faktörleri ortada kaldırarak riskte kaçıılması q Riski sigorta şirketleri veya tedarikçiler gibi kurum dışıdaki taraflara aktarılması q Kurum politikalarıa ve risk kabul ölçütlerie uyması şartıyla riski objektif bir biçimde ve bilerek kabul edilmesi Kotrolleri Seçimi Risk işleme süreci souçlarıa uygu kotrol ve kotrol hedeflerii seçilmesi gerekir. TS ISO/IEC 27001:2013 de bu kotrollerde detaylı bir biçimde bahsedilmektedir. Bu kotroller stadartta yol gösterici olması amacıyla verilmiştir. Kurum kedisie ek olarak başka kotroller de seçmekte serbesttir. ISO27001 kotrolleri, sektör tecrübeleride faydalamak suretiyle, stadart etki alalarıda olabildiğice geiş kapsamlı olarak belirlemiş olsa da dış kayaklı kotrollere ihtiyaç olabilmektedir. 8

Yöetimi Oayı Artık Risk Oayı q Risk işleme süreci sorasıda geriye kala riske artık risk (residual risk) deir. Bular kabul edile riskler veya tamame ortada kaldırılamaya riskler olabilir. Kurum üst yöetimi artık riskler içi oay vermelidir. Bu adım souda artık risk oay belgesi oluşturulmalıdır. Yöetim Oayı q Risk yöetimi adımlarıı geçtikte sora BGYS işletimi ve uygulamasıı yapmak içi yöetimde oay almak gerekmektedir. Uygulaabilirlik Bildirgesi (SOA) So olarak risklere karşı seçile kotrolleri içere bir Uygulaabilirlik Bildirgesi hazırlaarak BGYS kurulum işi tamamlaır. Uygulaabilirlik Bildirgesi daha öce seçile kotrolleri eler olduğu ve buları hagi gerekçelerle seçildiğii alatmalıdır. TS ISO/IEC 27001 EK A da seçilmeye kotrolleri eler olduğu ile buları seçilmeme gerekçeleri de Uygulaabilirlik Bildirgeside verilmelidir. Ayrıca mevcut durumda uygulamakta ola kotroller de yie bu belge içide yer bulmalıdır. Normalde, kotroller ISO27001 de seçilir. Acak, firmaya özel kotroller ya da başka gereksiimleri/stadartları karşılamak üzere uygulaması gereke kotroller de olabilir SOA SOA dokümaıda seçilecek kotrolü uygulaması ile ilgili olarak, gerekli politikalar ve prosedürlere referas verilmelidir. Ayrıca, seçilmeye kotrolleri ede seçilmediği ile ilgili olarak da bir gerekçe dokümaı hazırlaması yararlı olacaktır. SOA oluşturuldukta soraki adım programı uygulaması olacaktır. 9

BGYS KURULUMU - ADIMLAR ISO27001 13 ALAN (Kategori) altıda 35 adet kotrol amacı Bu amaçları gerçekleştirmek içi yapılması gereke TOPLAM 114 tae kotrol ALANLAR A.5: Bilgi Güveliği Politikaları A.6: Bilgi Güveliği Orgaizasyou A.7: İsa Kayakları Güveliği A.8: Varlık Yöetimi A.9: Erişim Kotrolü A.10: Kriptografi (Şifreleme) A.11: Fiziksel ve Çevresel Güvelik A.12: İşlemler Güveliği A.13: Haberleşme Güveliği A.14: Bilgi Sistemleri Ediim, geliştirme ve bakımı A.15: Tedarikçi İlişkileri A.16: Bilgi Güveliği İhlal Olayı Yöetimi A.17: İş Sürekliliği Yöetimii Bilgi Güveliği Usurları A.18: Uyum 10

ISO 27001, daha geiş olarak ISO27002 de alatıla kotrolleri kısa bir özetii ve listesii verir. Pratikte, ISO27001 I adapte ede işletmeler ayı zamada ISO27002 yi de adapte etmiş olurlar. ISO/IEC 27002:2013 ü yapısı Bir tavsiye dokümaıdır. Kotrolleri uygulaması ile ilgili bazı öerilerde buluur. ISO/IEC 27002 is a code of practice - a geeric, advisory documet, ot a formal specificatio such as ISO 27001. It recommeds iformatio security cotrols addressig iformatio security cotrol objectives arisig from risks to the cofidetiality, itegrity ad availability of iformatio. Orgaizatios that adopt ISO/IEC 27002 must assess their ow iformatio security risks, clarify their cotrol objectives ad apply suitable cotrols (or ideed other forms of risk treatmet) usig the stadard for guidace. Kotroller kotrol hedeflerie göre gruplaarak suulmuştur. The stadard is structured logically aroud groups of related security cotrols. May cotrols could have bee put i several sectios but, to avoid duplicatio ad coflict, they were arbitrarily assiged to oe ad, i some cases, cross-refereced from elsewhere. q For example, a card-access-cotrol system for, say, a computer room or archive/vault is both a access cotrol ad a physical cotrol that ivolves techology plus the associated maagemet/admiistratio ad usage procedures ad policies. This has resulted i a few oddities (such as sectio 6.2 o mobile devices ad teleworkig beig part of sectio 6 o the orgaizatio of iformatio security) but it is at least a reasoably comprehesive structure. It may ot be perfect but it is good eough. ISO/IEC 27002 Withi each sectio, iformatio security cotrols ad their objectives are specified ad outlied. Specific cotrols are ot madated sice: Each orgaizatio is expected to udertake a structured iformatio security risk assessmet process to determie its specific requiremets before selectig cotrols that are appropriate to its particular circumstaces. It is practically impossible to list all coceivable cotrols i a geeral purpose stadard. Idustry-specific implemetatio guidace for ISO/IEC 27001 ad 27002 are aticipated to give advice tailored to orgaizatios i the telecomms, fiacial services, healthcare, lotteries ad other idustries. 11

Cotets of ISO/IEC 27002:2013 Bölümler ISO27001:2013 STANDART İNCELEMESİ ISO27001. Nedir? ISO/IEC 27001. Iformatio techology Security Techiques Iformatio security maagemet systems Requiremets. Secod Editio. 2013-10-01. Iformatio security preservatio of cofidetiality, itegrity ad availability [the CIA] of iformatio (ISO27000) q Cofidetiality importat, but ot everythig A iformatio security maagemet stadard, ot a iformatio security stadard q Framework ad process for developig a iformatio security maagemet system (ISMS) q Tells you how to go about protectig your iformatio, ot what you should do to protect it q Wide applicability ISO27002 provides implemetatio guidace q BS ISO/IEC 27002:2013. Iformatio techology. Security techiques. Code of practice for iformatio security cotrols 12

Yapı Giriş cümleleri Zorulu cümleler(kısımları) Bilgi güveliği kotrolleri Zorulu Cümleler N = 7 Diğer ISO stadartlarıda da ortak ola bölümler Kıs ım Kapsam 4 Orgaizasyou Durumu Orgaizasyou ve mevcut durumuu alaşılmas ı/paydaşları ihtiyaç ve bekletilerii alaşılmas ı/ism S kaps amıı belirlemes i/bgys kurma, işletme ve sürekli iyileştirme 5 Liderlik Yöetimi irades ii gös terilmes i/bg politikas ı/orgaizasyoel roller ve sorumluluklar 6 Plalama Ris k değerledirme ve tedavi etme ile ilgili gereks iimler, BG hedefleri ve buları gerçekleştirmek içi yapılacak plalamalar 7 Destek Kayak ayırma/yeterlilikler/far kıdal ık/ İletişim /Dokümatasyo 8 Operasyo Operasyoel işler/risk değerledirme ve tedavii uygulamaya alımas ı 9 Performas değerledirme BGYS i etkiliğii değerledirilmes i/iç tetkik/yöetimi gözde geçirme faaliyetleri 10 İyileştirme Uygusuzlukları ve düzeltici faaliyetleri yapılmas ı/sürekli iyileştirme BG Kotrolleri Ek A. Referas Kotrol Hedefleri ve Kotroller N = 114 kotrol; 14 bölüm halide verilmiş Doğruda ISO27002 de verile kotrollerle eşleştirilebilir q A.5. de A.18. e kadar Bu kotroller, risk değerledirme sürecii bir soucu olarak seçilecek ve SOA da listeleecektir (SOA) cümle 6.1.3 13

A.5: Bilgi Güveliği Politikaları A.6: Bilgi Güveliği Orgaizasyou KONTROLLER A.7: İsa Kayakları Güveliği A.8: Varlık Yöetimi A.9: Erişim Kotrolü A.10: Kriptografi (Şifreleme) A.11: Fiziksel ve Çevresel Güvelik A.12: İşlemler Güveliği A.13: Haberleşme Güveliği A.14: Bilgi Sistemleri Ediim, geliştirme ve bakımı A.15: Tedarikçi İlişkileri A.16: Bilgi Güveliği İhlal Olayı Yöetimi A.17: İş Sürekliliği Yöetimii Bilgi Güveliği Usurları A.18: Uyum ISO 27001. Ek A - Kotroller Ref Sectio Cotr ols Cotet A.5 Iformatio security policies 2 Maagemet directio A.6 Orgaizatio of iformatio security 7 Iteral orgaisatio A.7 Huma resource security 6 Prior to, durig employmet; termiatio ad chage A.8 Asset maagemet 10 Resposibilities, iformatio classificatio, media hadlig A.9 Access cotrol 14 Busiess requiremets, user maagemet ad resposibilities, systems ad applicatio access cotrol A.10 Cryptography 2 Cryptographic cotrols A.11 Physical ad evirometal security 15 Secure areas, equipmet A.12 Operatios security 14 Procedures ad resposibilities, malware protectio, backup, loggig ad moitorig, operatioal software, techical vulerabilities, systems audits A.13 Commuicatios security 7 Network security, iformatio trasfer, A.14 Systems acquisitio, developmet ad 13 Security requiremets, developmet ad support, test data maiteace A.15 Supplier relatioships 5 Iformatio security i supplier relatioships, service delivery, A.16 Iformatio security icidet 7 Maagemet of icidets, improvemet (of ISMS) maagemet A.17 Iformatio security aspects of busiess 4 Cotiuity, redudacy (of facilities) cotiuity A.18 Compliace 8 Legal ad cotractual compliace, reviews ISO27001. Maliyeti Stadartlar kitap maliyeti q 27001 is crucial, but also 27002 ad others i 27* series q From British Stadards Istitute (50% discout for members) Persoel q Desigated perso with overall IS resposibilities ad other persoel with ewly defied resposibilities q Additioal meetigs, e.g. regular maagemet review, iteral/exteral audits q Regular access/operatioal reviews, risk assessmets q Traiig q New procedures created/some procedures ow more formalised - more time cosumig Daışmalık (Devam ede ya da yeilee) Sertifikasyo q (re) Certificatio Audit(s) q Certificate(s) q Surveillace audits 14

ISO27001. Faydalar Rekabetçi avataj q ISO27001 certificatio is icreasigly required or positively ecouraged by potetial cliets q Assists i establishig compliace with other stadards ad requiremets, e.g. HMG Security Policy Framework Kültürel değişim q Icreasig awareess of importace of iformatio security i a itercoected world q Expediture o iformatio security icreasigly see as busiess ivestmet ad eabler rather tha techical overhead that ihibits achievemet of busiess goals q Iformatio security maagemet icreasigly see as everyoe s resposibility ad ot solely withi the purview of the IT departmet Etik, yasal ve kotrat bazlı yükümlülükler e uyum kousuda daha fazla kedimize güve duyma! ISO27001. Yararlar (devam) İyileştirilmiş ve sürekli iyileştirile iş ve tekik süreçler q Forced ito better uderstadig of orgaisatioal fuctios ad operatios Impossible ot to improve 27001 forces you to cotiually reassess ad requires you to demostrate improvemet 44 15

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim