ISO/IEC 27001 Özdeğerlendirme Soru Listesi

Benzer belgeler
İç Denetim Kontrol Formu

UE.18 Rev.Tar/No: /03 SAYFA 1 / 5

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

ÇELİKEL A.Ş. Bilgi Güvenliği Politikası

T. C. KAMU İHALE KURUMU

POL.01 Rev.Tar/No: /1.0 HĠZMETE ÖZEL

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

İç Tetkik Soru Listesi

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

ANET Bilgi Güvenliği Yönetimi ve ISO Ertuğrul AKBAS [ANET YAZILIM]

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001

Bilgi Güvenliği Politikası. Arvato Bertelsmann İstanbul, Türkiye. Versiyon 2016_1. Arvato Türkiye. Yayınlayan

Bilgi Güvenliği Yönetim Sistemi

T. C. KAMU İHALE KURUMU

KALİTE EL KİTABI PERSONEL BELGELENDİRME

Bu dokümanla BGYS rollerinin ve sorumluluklarının tanımlanarak BGYS sürecinin efektif şekilde yönetilmesi hedeflenmektedir.

İÇ KONTROL SİSTEMİMİZİ İZLEME FORMU

T.C. BĠNGÖL ÜNĠVERSĠTESĠ REKTÖRLÜĞÜ Strateji Geliştirme Dairesi Başkanlığı İÇ KONTROL SİSTEMİNİZ DOĞRU ÇALIŞIYOR MU?

Venatron Enterprise Security Services W: P: M:

BGYS-PL-01 BİLGİ GÜVENLİĞİ POLİTİKASI

RGN İLETİŞİM HİZMETLERİ A.Ş BİLGİ GÜVENLİĞİ POLİTİKASI

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kapsam - Terimler

ISO/IEC 27001:2013 REVİZYONU GEÇİŞ KILAVUZU

İŞYERİ KONTROL LİSTESİ (OSGB lerin hizmet sundukları işyerleri için kullanılacak kontrol listesi)

ISO 9001 İÇ DENETİM (TETKİK) SORU LİSTESİ

EMNİYET YÖNETİM SİSTEMİ DENETİMİ KONTROL FORMU

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği

ISO 50001:2011 Enerji Yönetim Sistemi

DOK-004 BGYS Politikası

Notice Belgelendirme Muayene ve Denetim Hiz. A.Ş Onaylanmış Kuruluş 2764

HACCP Sistem Tetkikine Ait Resmi Form Resmi Kontrol Rapor No:

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

T. C. KAMU İHALE KURUMU

Satış Pazarlama Prosesi. Satınalma Prosesi ŞİRKET MÜDÜRLÜĞÜ/ÜST YÖNETİM YÖNETİM TEMSİLCİLİĞİ/KYS DOKÜMANTASYON-EĞİTİM-MÜŞTER

Analiz ve Kıyaslama Sistemi

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

PERSONEL BELGELENDİRME PROSEDÜRÜ (GENEL ŞARTLAR)

Prosedür. Kalite Yönetim Sisteminde Neden gerçekleştirilecek?

4- KALİTE YÖNETİM SİSTEMi EVET HAYIR KISMEN

KKTC MERKEZ BANKASI. BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ

Yetkilendirilmiş Yükümlü Statüsü Gümrük işlemlerinin ve Ticaretin kolaylaştırılması

ISO 13485:2016 TIBBİ CİHAZLAR KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

Sibergüvenlik Faaliyetleri

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

BİLGİ GÜVENLİĞİ POLİTİKASI

ISO 14001:2015 ÇEVRE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

ISO 9001:2015 GEÇİŞ KILAVUZU

ÜRETİCİ GRUBU NEDİR? KY/QM 1. 1 Üretici grubun yapısı tüm grup içerisinde Kalite Yönetim Sisteminin uygulanmasını sağlıyor mu?

BASF de Değişimin Yönetimi. Ömür Vural TAŞDEMİR MAYIS 2018

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR.

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ

ENTEGRE YÖNETİM SİSTEMİ YAZILIMI

DOKÜMANTE EDİLMİŞ KONTROL SİSTEMİ

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI

BĐLGĐ GÜVENLĐĞĐ AÇISINDAN HABERLEŞME VE ĐŞLETĐM YÖNETĐMĐ

EKLER. EK 12UY0106-4/A5-2: Yeterlilik Biriminin Ölçme ve Değerlendirmesinde Kullanılacak Kontrol Listesi

Yöneticilere Odaklı ISO Bilgilendirme TÜBİTAK BİLGEM Siber Güvenlik Enstitüsü

Laboratuvar Akreditasyonu

ISO 27001:2013 BGYS BAŞTETKİKÇİ EĞİTİMİ

DOKÜMAN KODU YAYINLANMA TARİHİ REVİZYON NO REVİZYON TARİHİ SAYFA NO. BG-RH Sayfa 1 / 6

ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞİ İLE İLGİLİ BİLGİLENDİRME

İŞ YATIRIM MENKUL DEĞERLER A.Ş. İŞ SÜREKLİLİĞİ PLANLAMASI A. AMAÇ

HATAY KHB BILGI İŞLEM BİRİMİ

BİLGİ GÜVENLİĞİ POLİTİKASI

CYMSOFT Bilişim Teknolojileri

TÜRK AKREDİTASYON KURUMU R20.08

BİLGİ GÜVENLİĞİ POLİTİKASI

PROSEDÜR Organizasyon ve Personel Kriterleri Prosedürü

CYMSOFT Bilişim Teknolojileri

Mobil Güvenlik ve Denetim

ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞİ

. RĠSK DEĞERLENDĠRME ÖN FORMU

ISO 14001:20014 ve ISO 14001:2015 Şartları Arasındaki Eşleştirme Eşleştirme Kılavuzu

TARİH :06/08/2007 REVİZYON NO: 3. KALİTE EL KİTABI : YÖNETİM TEMSİLCİSİ. Sayfa 1 / 6

HATAY SAĞLIK MÜDÜRLÜĞÜ HATAY SAĞLIK MÜDÜRLÜĞÜ RİSK DEĞERLENDİRME PROSEDÜRÜ

ĠÜ ONKOLOJĠ ENSTĠTÜSÜ BÜTÜNLEġĠK KALĠTE YÖNETĠM SĠSTEMĠ EL KĠTABI

YZM5604 Bilgi Güvenliği Yönetimi. 25 Kasım Dr. Orhan Gökçöl.

INFORMATION SECURITY POLICY

EĞİTİM KURUMLARININ AKREDİTASYONU KURUM ZİYARETİ KONTROL LİSTESİ (TTMYK-AKREDİTASYON KOMİSYONU)

EN ISO/IEC PERSONEL BELGELENDİREN KURULUŞLAR İÇİN GENEL ŞARTLAR

Tetkik Gün Sayısı Tespiti

Revizyon Tarihi Açıklama Revizyon No Madde No - Yeni yayınlandı. - -

bt-pota Bilgi Teknolojileri Hizmetleri Belgelendirme Standartları Merve Saraç Nisan 2008

ISO-BGYS-PL-02 Bilgi Güvenliği Politikası

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri

KOBİ'lerde Sözleşme ve Risk Yönetimi. Almanca-Türkçe Anket. Marmara Üniversitesi İstanbul / SRH Hochschule Berlin

BİLGİ GÜVENLİĞİ VE FARKINDALIK WEB SİTESİ KULLANIM KILAVUZU

TÜRKĠYE BĠLĠMSEL VE TEKNOLOJĠK ARAġTIRMA KURUMU BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI ÇALIġMA USUL VE ESASLARI

T.C. UŞAK ÜNİVERSİTESİ

ISO/IEC BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ. Terimler Ve Tarifler.

RİSK ANALİZİ TALİMATI

YÖNETİMİN GÖZDEN GEÇİRMESİ PROSEDÜRÜ

KYS İÇ TETKİK SORU LİSTESİ

İTİRAZ VE ŞİKÂYETLERİN DEĞERLENDİRİLMESİ PROSEDÜRÜ

AĞ ve SİSTEM GÜVENLİĞİ

GÜNCEL DOKÜMAN LİSTESİ GÜNCEL DOKÜMAN LİSTESİ

BİLGİ GÜVENLİĞİ POLİTİKASI

Transkript:

ISO/IEC 27001 Özdeğerlendirme Soru Listesi Bu soru listesindeki sorular, kurduğunuz/kuracağınız yönetim sistemdeki belirli alanlara daha fazla ışık tutmak, tekrar değerlendirerek gözden geçirmek ve denetime ne ölçüde hazır olduğunuzu belirleyebilmeniz için hazırlanmıştır. Eğer bu değerlendirmeyi bizim yapmamızı isterseniz formu doldurduktan sonra info@vericert.com.tr ye gönderebilirsiniz. Tüm bilgileriniz gizli tutulacaktır. Değerlendirme denetçilerimiz tarafından ÜCRETSİZ olarak yapılacaktır. Buradaki soruları hiç bir zaman nihayi tetkik soruları ve almanız gereken bir takım önemli kararlar olarak görmeyin. Geliştirebileceğiniz alanlar olarak değerlendirin. Sormak istediğiniz sorular için her zaman VERICERT Belgelendirme ile irtibata geçebilir ve açıklayıcı bilgiler talep edebilirsiniz. Bu form doldurulabilir şekilde hazırlanmıştır. İlgili yerlere tıklayarak doldurabilirsiniz. Cevabınız Evet ise kutucuğa tıklamanız yeterlidir. Hayır ise soruyu lütfen boş bırakın. İsminiz : Şirketiniz : Şehir : Telefon : E-Posta : Web Adresi : A. PLANLAMA 1. Bilgi Güvenlik Yönetim Sistemi (BGYS) kapsamı ve sınırları tanımlanmış mı? Hariç tutumalar gerekçelendirilmiş mi? 2. Sözleşmesel, Yasal, düzenlemeleri dikkate alan, yapılan işin bilgi güvenliği risklerini ve risk değerlendirme kriterlerini ortaya koyan ve onaylanmış bir Bilgi Güvenlik Politikası bulunuyor 3. Uygun ve tekrar edilebilir risk değerlendirme metodu ve kabul edilebilir risk düzeyi tanımlanmış ve dokümante edilmiş mi? 4. BGYS kapsamındaki varlıklar ve bunların sorumluları tanımlanmış mı? Zayıf alanlar tanımlanmış mı? Tehditler karşısında varlıkların gizliliğini yitirmesi, erişilebilirliğinin kaybolması durumundaki etkileri tanımlanmış mı? 5. Gizliliğin, bütünlüğün ve erişebilirliğin, güvenlik zaafiyetlerinden dolayı kaybedilmesinin işe olan etkisi, mevcut olan güvenlik kontrollerini kullanarak analiz edilmiş ve değerlendirilmiş mi? 6. Kabul edilebilir veya risk iyileştirmesi gerektirecek seviyede öngörülmüş risk seviyesi belirlenmiş mi? 7. Risk iyileştirme seçenekleri tanımlanmış ve değerlendirilmiş mi? 8. Risk Değerlendirme ve risk iyileştirme süreçlerinde belirlenmiş şartları karşılayacak güvenlik kontrollerine karar verilmiş ve uygulanmış mı? (Güvenlik Kontrol Örneklerine Bakın) 9. Yönetim BGYS uygulanmasına ve artık risk düzeylerine onay vermiş mi? Vericert Belgelendirme ve Gözetim Hizmetleri Ltd. Şti. www.vericert.com.tr

10.ISO/IEC 27001 Ek A da seçilmiş olan konular için hazırlanmış olan Uygulanabilirlik Bildirgesi bulunuyor Uygulanabilirlik Bildirgesinde seçilen veya seçilmeyen maddelerin sebepleri ve uygulama düzeyleri tarif edilmiş mi? B. UYGULAMA VE OPERASYON 1. Bilgi Güvenliği Risklerini yönetmek için, öncelikleri belirleyen, faaliyetleri tanımlayan, kaynakları belirleyen ve parasal kaynakları ortaya koyan risk iyileştirme planı mevcut 2. Risk iyileştirme planları ve tanımlanan güvenlik kontrolleri uygulanabilir mi? 3. Etkili kontrol için ölçümler tanımlanmış mı? 4. Eğitim ve bilinçlendirme programları 5. BGYS operasyonları ve gerekli kaynaklar yönetiliyor 6. Prompt tespitini sağlayan kontroller ve güvenlik olaylarına müdahaleler C. İZLEME VE GÖZDEN GEÇİRME 1. İlgili tarafların yaptığı tetkiklerin, gerçekleşen olayların, yapılan ölçümlerin ve geri beslemelerin sonuçları kullanılarak düzenli gözden geçirme yapılmakta mı? 2. BGYS tetkikleri planlı aralıklarla ve belirlenmiş iş planına göre yapılmakta mı? Bulgular için zamanında ve etkili olarak gerekli tedbirler alınmakta mı? 3. BGYS nin uygunluğunun devam ettiği ve etkililiğini tespit için yönetim gözden geçirmeleri planlanan aralıklarla yapılmakta mı? D. SÜRDÜRME VE İYİLEŞTİRME 1. Belirlenen amaçlara ulaşmak için iyileştirmeler tespit ediliyor, uygulanıyor ve değerlendiriliyor 2. Düzeltici ve önleyici faaliyetler tanımlanıyor ve iç ve dış kaynaklardan elde edinilen öğrenilmiş dersler hayata geçiriliyor E. DOKÜMANLAR VE KAYITLAR 1. Yönetim sistemi ile ilişkili dokümanlar ve kayıtlar belirlenmiş prosedürlere göre yönetiliyor ve kontrol ediliyor F. YÖNETİMİN BAĞLILIĞI 1. Yönetimin BGYS ine olan bağlılığını gösterecek kanıtlar mevcut (Politika ve hedeflerin oluşturulması ve organizasyonun tümünde bu hedeflere ulaşmanın öneminin iletilmesi.) 2. BGYS nin oluşturulması, uygulanması, yürütülmesi, izlenmesi ve gözden geçirilmesi için gerekli kaynaklar oluşturulmuş Sorumluluklar tanımlanmış mı? 3. BGYS yi yürütmekle yükümlü personelin yetkinliği ve eğitimi, bu işleri yapabilmek için yeterli mi? Vericert Belgelendirme ve Gözetim Hizmetleri Ltd. Şti. www.vericert.com.tr

4. İlgili personel bilgi güvenliği faaliyetlerinden haberdar mı? Bu faaliyetlerin hedeflerini yerine getirmeye nasıl katkıda bulunacağını biliyorlar mı? G. GÜVENLİK KONTROL ÖRNEKLERİ Bu bölüm risk değerlendirme ve riskleri iyileştirme süreciniz sırasında kullanabileceğiniz güvenlik kontrol örneklerini içermektedir. 1. Tedarikçilerinizle sözleşmeleri, çalışanlarınızla çalışma şartlarınızı içeren gizlilik anlaşmanız bulunmakta mı? 2. Dış kuruluşlarla, özel gruplarla ve/veya bilgi güvenliği uygulamalarınızı gözden geçiren bağımsız kişilerle sözleşmeleriniz bulunmakta mıdır? 3. Dışarıdan gelecek bilgi güvenliği risklerinizi belirlediniz mi? Güvenlik gerekleriniz sözleşme veya anlaşmalarda tarif edilmiş mi? 4. Organizasyonel varlıklarınızın envanterini, bunların sorumlularını ve kabul edilebilir kullanım şekillerini belirlediniz mi? 5. Bilgi sınıflama kılavuzu ve bu sınıflama yapısına göre işaretleme ve işlenmesi ile ilgili bir prosedürünüz var mı? 6. Personel adaylarının geçmişlerini uygun yönetmeliklere göre ve iş gereklilikleri doğrultusunda doğruluyor musunuz? 7. Güvenlik ihlali yapan personel için disiplin süreci 8. Personel değişikliği ve ayrılmaları için uygulanacak yöntemler açık olarak tanımlanmış mı? Varlıkların iade edilmesi, erişimin engellenmesi veya sınırlandırılmasıyla ilgili tanımlamalar yapılmış mı? 9. Teslim ve yükleme noktalarına erişimde dahil olmak üzere, tesislere, ofislere ve güvenliği hassas olan yerlere giriş kontrolleri yapılıyor mu? Fiziksel güvenlik alanları oluşturulmuş 10.Dışarıdan ve çevreden gelecek tehditlere karşı koruma önlemleri aldınız mı? Tesislerinizi ilgili risklere göre donattınız mı? 11.Destek ekipmanları bozulmalara karşın korunmakta mı? Kablolar hasara ve kesintilere karşı korunmakta mı? 12.Sürekli kullanılabilir olmasını temin etmek için ekipmanların uygun şekilde bakımları ve testleri yapılmakta mı? 13.Kullanımdan kalkan ekipman için güvenlik uygulamaları hayata geçiriliyor Ekipman güvenli şekilde atık olarak bertaraf veya tekrar kullanıma hazır ediliyor 14.Dokümante edilmiş operasyon prosedürleriniz mevcut Değişiklikler kontrol ediliyor 15.Güvenlik gereklerini dikkate alarak işlerini yapan kişilerin görevlerini belirlediniz mi? 16.İşletim sistemine giriş yetkisi olmayan kişilerin erişim riskini azaltmak için, geliştirme, test ve operasyon tesisleri birbirlerinden ayrı mı? 17.3. kişiler tarafından verilen servis hizmeti için güvenlik unsurlarını içeren formal bir anlaşma var mı? Değişim yönetimi dikkate alınarak risk seviyesine göre izleniyor, gözden geçiriliyor

18.Sistem performansını güvence altına almak ve ileride gerekli olacak tahmini sistem gerekliliklerine göre kapasite yönetimi planlanıyor 19.Yeni ve değişen sistem gereklerine göre kabul kriterleri tanımlanmış mı? Kabulden önce geliştirme esnasında testler gerçekleştiriliyor 20.Kötü niyetli kodları tespit etme, önleme ve düzeltmeyle ilişkili kontroller ve gerekli bilinçlendirme prosedürleri uygulanıyor 21.Bilgilerin ve yazılımların yedekleri düzenli olarak alınıyor Yedekler belirlenen yedekleme politikası doğrultusunda test ediliyor 22.Tehditlerden korunmak ve güvenliği temin etmek için uygulama ve sistemlerin bulunduğu ağlar (network) kontrol ediliyor Bu güvenlik gereklerinin bakımı için bir anlaşma var mı? 23.Taşınabilir medya için taşıma, depolama, kullanımıyla ilgili bir prosedür bulunuyor 24. 3. taraflarla paylaşılacak olan bilgilerin ve yazılımlarla ilgili politika mevcut 25.Elektronik mesajlaşma da dahil olmak üzere birbirleriyle etkileşim içinde olan iş sistemlerinin bilgilerinin korunmasına dair bir politika var mı? 26.Elektronik ticaret, online işlemler ve halka açık bilgilerin kontrolleri 27.Kullanıcıların faaliyetlerine ait loglar, sistem olayları ve üretilen sistem yönetim faaliyetleri tutuluyor Oluşabilecek karışıklığa karşı korunuyor 28.Hata logları ve sistem hataları izleniyor, düzenli olarak gözden geçiriliyor Gerekli faaliyetler yürütülüyor 29.İş ve güvenlik gerekleri için erişim kontrol politikası bulunuyor 30.Düzenli kullanıcı kayıt prosedürü bulunuyor, şifreler ve kullanım hakları yönetiliyor Bu haklar düzenli olarak gözden geçiriliyor 31.Kullanıcılardan ekipman ve tesislerin kullanımına karşı güvenlik yönetim kurallarına uymaları bekleniyor 32.Network hizmetlerinin kullanımına ilişkin bir politika var mı? Network korumasına ve network e bağlı ekipmanlarının korumasına dair bir iyi yönetim pratiği mevcut 33.İşletim sistemine erişim güvenli log on olma prosedürleriyle kontrol ediliyor, kullanıcılar ayrı ayrı tespit edilebiliyor Sistem araçlarının kullanımı sınırlandırılmış mı? 34.Mobil çalışma ve/veya telefonla çalışmayla ilgili politika, güvenlik ölçümleri ve prosedürler bulunuyor 35.Yeni ve değişen bilgi sistemleri için güvenlik şartları tanımlanmış mı? 36.Kritiptolojik kontroller ve kriptografik anahtar kontrolleri için kullanılan bir politika var mı?

37.Yazılımların yüklenmesi için kontroller uygulanmakta ve sistem veri testleri dikkatle seçilmekte mi ve kontrol edilmekte midir? 38.İşletim sisteminin güncellemesinden sonra kritik uygulamaların teknik gözden geçirmesi yapılıyor 39.Dışarıya taşere edilmiş yazılım geliştirme faaliyetleri izleniyor ve yönetiliyor 40.Güvenlik olayları ve zaafiyetine zamanında tedbir almak, öğrenme vesilesi olarak kullanmak ve bunları uygulamak için rapor hazırlanıyor ve kayıt altına alınıyor 41.İş Sürekliliği için güvenlik unsurları dikkate alınıyor ve test ediliyor Operasyonların tekrar faaliyete geçmesi için güncel planlar oluşturuluyor ve 42.İlgili bütün yasal ve sözleşmesel şartlar belirlenmiş mi ve bunlara uyumluluğun sürekliliğini sağlamak için bir yaklaşım tanımlanmış mı? 43.Bilgi sistemleryle ilişkili güvenlik politikaları, standartlar ve teknik uygunluk düzenli olarak kontrole tabi tutuluyor Bilgi sistemleri tetkki araçları sınırlandırılmış ve kontrol altına alınmış mı?

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim