Cahide ÜNAL Mart 2011

Benzer belgeler
T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kapsam - Terimler

Ders İçeriği

İŞ YATIRIM MENKUL DEĞERLER A.Ş. İŞ SÜREKLİLİĞİ PLANLAMASI A. AMAÇ

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

ANET Bilgi Güvenliği Yönetimi ve ISO Ertuğrul AKBAS [ANET YAZILIM]

Bilgi Güvenliği Yönetim Sistemi

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

UE.18 Rev.Tar/No: /03 SAYFA 1 / 5

ISO Kurumsal Bilgi Güvenliği Standardı. Şenol Şen

ÇELİKEL A.Ş. Bilgi Güvenliği Politikası

BİLGİ GÜVENLİĞİ POLİTİKASI

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001

T. C. KAMU İHALE KURUMU

Sibergüvenlik Faaliyetleri

BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

BGYS-PL-01 BİLGİ GÜVENLİĞİ POLİTİKASI

BİLGİ GÜVENLİĞİ. Temel Kavramlar

RGN İLETİŞİM HİZMETLERİ A.Ş BİLGİ GÜVENLİĞİ POLİTİKASI

T. C. KAMU İHALE KURUMU

BİLGİ GÜVENLİĞİ POLİTİKASI

BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ

ISO-BGYS-PL-02 Bilgi Güvenliği Politikası

POL.01 Rev.Tar/No: /1.0 HĠZMETE ÖZEL

Bu dokümanla BGYS rollerinin ve sorumluluklarının tanımlanarak BGYS sürecinin efektif şekilde yönetilmesi hedeflenmektedir.

ISO/IEC 27001:2013 REVİZYONU GEÇİŞ KILAVUZU

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

Bilgi Güvenliği Politikası. Arvato Bertelsmann İstanbul, Türkiye. Versiyon 2016_1. Arvato Türkiye. Yayınlayan

Elektrik Altyapılarında Bilgi Güvenliği Riskleri ve Çözümler

Veri(Data), sayısal veya mantıksal her değer bir veridir. Bilgi(Information), verinin işlenmiş, anlamlı hale gelmişşekline bilgi denir.

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR.

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği

BİLGİ VE VERİ GÜVENLİĞİ VİRÜSLER VE DİĞER ZARARLI YAZILIMLAR KİŞİSEL MAHREMİYET VE TACİZ

EKLER. EK 12UY0106-4/A5-2: Yeterlilik Biriminin Ölçme ve Değerlendirmesinde Kullanılacak Kontrol Listesi

BİLGİ GÜVENLİĞİ POLİTİKASI

ISO/IEC Özdeğerlendirme Soru Listesi

KALİTE YÖNETİM SİSTEMİ TS EN ISO 2015 PROSES YAKLAŞIMI

ISO 13485:2016 TIBBİ CİHAZLAR KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

YÖNETİM SİSTEMLERİ. Yönetim Sistemi Modelleri: Deming tarafından geliştirilen, Planla Uygula Kontrol Et Önlem Al

ISO/27001 EK-A MADDELERİ

EN ISO/IEC PERSONEL BELGELENDİREN KURULUŞLAR İÇİN GENEL ŞARTLAR

CYMSOFT Bilişim Teknolojileri

ISO 9001:2015 GEÇİŞ KILAVUZU

Prosedür. Kalite Yönetim Sisteminde Neden gerçekleştirilecek?

VERİ GÜVENLİĞİ. Özer Çelik Matematik-Bilgisayar Bölümü

Bilgi Güvenliği Farkındalık Eğitimi

BİLGİ GÜVENLİĞİ POLİTİKASI

Risk Analizi. Hazırlayan: Gürsoy DURMUŞ

Yöneticilere Odaklı ISO Bilgilendirme TÜBİTAK BİLGEM Siber Güvenlik Enstitüsü

Belgelendirme Danışmanlık Certification Consultancy. ISO Bilgi Güvenliği Yönetim Sistemi Belgesi

Bilişim Teknolojileri Test ve Belgelendirme Hizmetleri. Mustafa YILMAZ

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI

Venatron Enterprise Security Services W: P: M:

Mikro Bilgi Kayıt ve Dağıtım A.Ş Kalite Yönetim Temsilcisi. Şenay KURT

ĠÜ ONKOLOJĠ ENSTĠTÜSÜ BÜTÜNLEġĠK KALĠTE YÖNETĠM SĠSTEMĠ EL KĠTABI

Notice Belgelendirme Muayene ve Denetim Hiz. A.Ş Onaylanmış Kuruluş 2764

Gerçekler. Sanayileşme ve çevre sorunları Küreselleşme ve Pazarın büyümesi Rekabetin artması

TÜRK STANDARDI TURKISH STANDARD

DOK-004 BGYS Politikası

OHSAS İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMLERİ

Bilgi ve Bilgisayar Sistemleri Güvenliği (Information and Computer Systems Security)

SEÇKİN ONUR. Doküman No: Rev.Tarihi Yayın Tarihi Revizyon No 01 OGP 09 SEÇKİN ONUR BİLGİ GÜVENLİĞİ POLİTİKASI

T. C. KAMU İHALE KURUMU

Kalite Sistem Dokümantasyonu ve Örnek Uygulamalar

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ

ISO/IEC BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ. Terimler Ve Tarifler.

BİLGİ GÜVENLİĞİ. Bu bolümde;

T.C. UŞAK ÜNİVERSİTESİ

GEÇİŞ İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ

AĞ ve SİSTEM GÜVENLİĞİ

İÇ TETKİKÇİ DEĞERLENDİRME SINAVI

Çevre Yönetim Sistemleri ve Çevre Boyutu

COBIT Bilgi Sistemleri Yönetimi. Şubat 2009

Enerji Yönetimi 11 Aralık Ömer KEDİCİ

ISO 14001:2015 ÇEVRE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

HATAY KHB BILGI İŞLEM BİRİMİ

EKLER EK 12UY0106-5/A5-1:

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Planlama - Destek

MIS 325T Servis Stratejisi ve Tasarımı Hafta 7:

Bilgisayar Ağları ve Ağ Güvenliği DR. ÖĞR. ÜYESİ KENAN GENÇOL HİTİT ÜNİVERSİTESİ ELEKTRİK-ELEKTRONİK MÜH.

ITMS DAYS Information Technologies Management Systems Days

TÜRKĠYE BĠLĠMSEL VE TEKNOLOJĠK ARAġTIRMA KURUMU BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI ÇALIġMA USUL VE ESASLARI

CYMSOFT Bilişim Teknolojileri

Farkındalılık ISO 9001 Kalite Yönetim Sistemi Eğitimi. Uygulama ve başarımın anahtarları

MEHMET ŞİRİN DENETİM STANDARTLARI DAİRESİ BAŞKANI

BİLGİSAYAR BİLİMLERİ ARAŞTIRMA VE UYGULAMA MERKEZİ BİLGİ GÜVENLİĞİ

İletişim Ağlarında Güvenlik

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri

Siber Teröristlere Karşı Kurumlar Nasıl Korunmalıdır? Yusuf TULGAR NetDataSoft Genel Müdürü

BÖLÜM 8. Bilişim Sistemleri Güvenliği. Doç. Dr. Serkan ADA

1. AMAÇ Bu Prosedürün amacı, Aksaray Üniversitesi bünyesinde yürütülen bilgi işlem hizmetlerinin yürütülmesi ile ilgili esasları belirlemektir.

Sistem Güvenliği? BT Güvenliği? Bilgi Güvenliği? A.Levend Abay MSc, MBA, CISM, Mart 2014 Yıldız Teknik Üniversitesi. Levend Abay?

ÇEMTAŞ ÇELİK MAKİNA SANAYİ VE TİCARET ANONİM ŞİRKETİ KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

Bilgi Güvenliği Nedir? Bilgi Güvenliğinde Saldırı Kavramı. Bilgi Güvenliğinde Saldırı Örneği : SPAM Mail

BİLGİ SİSTEMLERİ GÜVENLİĞİ

HATAY SAĞLIK MÜDÜRLÜĞÜ HATAY SAĞLIK MÜDÜRLÜĞÜ RİSK DEĞERLENDİRME PROSEDÜRÜ

İSYS Süreçleri ve Yönetim Sistemleri İçindeki Yeri. Burak Bayoğlu (CISM, CISA, CISSP) TÜBİTAK UEKAE.

Transkript:

Cahide ÜNAL Mart 2011

Bilgi, bir kurumun en önemli değerlerinden birisidir ve sürekli korunması gerekir. TS ISO IEC 17799:2005 2

BİLGİ TÜRLERİ Kağıt üzerine basılmış, yazılmış Elektronik olarak saklanan Posta ya da elektronik ortama aktarılmış Kurumsal videolarda gösterilen Söyleşiler sırasında sözlü olarak aktarılan

Temel Güvenlik Nesneleri Gizlilik (Confidentiality) Yetkisiz kişilere, süreçlere ve benzeri vb. açıklanmaması yada teslim edilmemesi gerekli veri ya da programların özelliği [Bilişim Sözlüğü, Bülent Sankur] Bozulmamışlık (Integrity) Programların sistemin ve verilerin kötü niyetli olsun olmasın değiştirlmesi ve bozulmasına karşı korunması ya da korunmuş olması [Bilişim Sözlüğü, Bülent Sankur] Kullanırlık (Availability) Bir sistem yada özkaynağın gereksinildiğinde kullanıma elverişli olma derecesi [Bilişim Sözlüğü, Bülent Sankur]

Saldırıya Uğrayabilecek Değerler Kurumun İsmi, güvenilirliği Kuruma ait gizli bilgiler İşin devamlılığını sağlayan bilgi ve süreçler Üçüncü şahıslar tarafından emanet edilen bilgiler Kuruma ait adli, ticari, teknolojik bilgiler

Görülebilecek Zararın Boyutu Müşteri Mağduriyeti Kaynakların Tüketimi İşin yavaşlaması ya da durması Kurumsak imaj kaybı Üçüncü şahıslara yapılan saldırı mesuliyeti

Dahili Tehdit Unsurları Bilinçsiz ve bilgisiz kullanım Kötü niyetli hareketler

Harici Tehdit Unsurları Saldırı Yöntemleri Hizmet aksatma saldırıları Ticari Bilgi ve Teknoloji hırsızlıkları Web sayfası içeriği değiştirme saldırıları Kurum üzerinden farklı bir hedefe saldırmak Virüs, worm, trojan saldırıları İzinsiz kaynak kullanımı

Bilgi Güvenliği Bilgi sistemi ve yetkili kullanıcıyı yetkisiz erişimlere, bilginin değiştirilmesine ve saldırılara karşı korumak. Koruma sırasında gerekli olan kontrollar ve ölçümlerin tespiti, doküman hale getirilmesi ve karşı tedbirlerin alınmasını sağlamak.

TS ISO IEC 27001 Bilgi sistemlerini ve ağları bilgisayar destekli sahtekârlık, casusluk, sabotaj, yıkıcılık, yangın ve sel gibi çok geniş kaynaklardan gelen tehdit ve tehlikelerden korur. Bilginin gizliliği, güvenilirliği ve elverişliliği; rekabet gücünün, nakit akışının, karlılığın, yasal yükümlülüklerin ve ticari imajın korunması ve sürdürülmesini sağlar.

TS ISO IEC 27001 0- GİRİŞ 1- KAPSAM 2- ATIF YAPILAN STANDARTLAR VE/VEYA DOKÜMANLAR 3- TERİMLER VE TARİFLER 4- BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ 5- YÖNETİM SORUMLULUĞU 6- BGYS İÇ DENETİMLERİ 7- YÖNETİM GÖZDEN GEÇİRMESİ 8- BGYS İYİLEŞTİRME Ek A: KONTROLLER

TS ISO IEC 27001 4- BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ 4-1 Genel Gereklilikler Kuruluş, belgelendirilen bir BGYS ni, kuruluşun tüm ticari faaliyetleri ve riskleri bağlamında gerçekleştirir, geliştir, sürdürür ve sürekli iyileştirir. Bu standardın bir gereği olarak, kullanılan süreç PUKO modeline dayanır.

TS ISO IEC 27001 4- BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ 4-2.1 BGYS Kurma ve Yönetme -Kapsamın Belirlenmesi -Politikanın Tanımlanması -Risk Değerlendirme Yaklaşımı -Risklerin Tanımlanması -Risklerin Değerlendirilmesi -Risklerin İyileştirilmesi

TS ISO IEC 27001 4-3 Dokümantasyon Şartları a) Güvenlik politikası b) BGYS ni destekleyici prosedür ve kontroller c) Risk Değerlendirme Raporu d) Risk iyileştirme Planı e) Gereksinim duyulan prosedürler f) Kayıtlar g) Uygulanabilirlik Beyannamesi

BGYS Gözden Geçirmesi TS ISO IEC 27001 5- Yönetimin Sorumluluğu 5-1 Yönetimin Taahhüdü Politika oluşturma Amaçların ve planların kurulması Rollerin ve Yetkilerin Belirlenmesi Bilinçlilik Kaynakların Sağlanması Risk seviyelerinin belirlenmesi

TS ISO IEC 27001 5-2 Kaynak Yönetimi 5-2.1 Kaynak Sağlanması BGYS ni Kurmak, Gerçekleştirmek, İşletmek ve Sürdürmek İş gereksinimlerini sağlamak Yasal şartları yerine getirmek Gözden geçirmek ve iyileştirmek için gerekli kaynaklar

Belgelendirmenin gerçekleşmesi Uygulama Süreci Kapsamın Tanımlanması Ekip oluşturulması ve Stratejinin Belirlenmesi Eğitim İhtiyacının Değerlendirilmesi Bilgi varlıklarının saptanması Bilgi varlıklarının değerinin belirlenmesi Risk belirlenmesi Kontrollerden istenen güvence derecesinin belirlenmesi Kontrol Hedeflerinin ve Kontrollerin Saptanması Dokümantasyonun hazırlanması Prosedürlerin ve dokümanların uygulamaya alınması İç Denetimlerin yapılması Yönetimin Gözden Geçirilmesinin yapılması Belgelendirme için başvuru

RİSK ANALİZİ ve RİSK YÖNETİMİ TS ISO IEC 27001 UYGULAMASI VE BELGELENDİRMESİ RESMİ BİR RİSK DEGERLENDİRMESİ SÜRECİNİN SONUÇLARINA BAĞLIDIR.

TS ISO IEC 27001 kapsamında risklerin değerlendirilmesi ve denetimlerin seçimi Kuruluş, oluşturulan ve sürdürülen BGYS kapsamında tanımlanan bilgi sistemleri için risk altında bulunan bilgi ve diğer varlıkların iş sahasındaki değerini dikkate alarak kendi güvenlik risklerinin değerlendirilmesine ihtiyaç duyar. Kuruluşun kendi iş özelliği ve ortamıyla ilişkili olan kuruluş tarafından seçilen ve BGYS tarafından yazılı hale getirilen denetim hedefleri ve denetimleri; bir risk değerlendirme prosesi kullanılarak güvenlik risklerinin tanımlanması ve değerlendirilmesi prosesiyle belirlenmesi şeklinde olmalıdır.

Risk Değerlendirme Prosesi Risk değerlendirmesi aşağıdaki faktörlere bağlıdır: Varlıkların tanımlanması ve değer atanması Tehditler, açıklıklar, yasal ve iş gereksinimleri gibi tüm güvenlik gereksinimlerinin tanımlanması Olması muhtemel tehditler ve açıklıklar ile yasal ve iş gereksinimlerinin öneminin değerlendirilmesi Yukarıda sayılan faktörlerden çıkarılan riskin hesaplanması Uygun risk giderme biçiminin seçimi Riskleri kabul edilebilir bir seviyeye indirgemek için kontrollerin seçimi.

Varlık (Asset) Varlığın, risk analizi konseptindeki tanımı, korunması gereken herşeydir. Bilgi teknolojilerinde, tüm varlıkların bir sahibi vardır. Risk analizinde, varlıklar, somut ya da soyut olabilir. Donanım ve insan somut, yazılım, veri ve politikalar ise soyut varlıklardır. Açıklık (Vulnerability) Bir varlığı tehditlere karşı korumasız hale getiren kusurlardır. Bir bilgi sistemi varlığı için açıklık, varlığın programlamasındaki hatalar olabileceği gibi, doğal etkenlere (toz, nem, güneş ışığı, yangın, vb) karşı korumasız durumda olması da olabilir.

Tehdit (Threat) Bir bilgi varlığındaki açıklıkları kullanarak varlığa kısmen ya da tamamen zarar veren etkenlere tehdit denilmektedir. Bilgi sistemlerine zarar verebilecek üç tip tehdit vardır. Bunlar, doğal tehditler, kasıtsız tehditler ve kasıtlı tehditlerdir. Doğal tehditler, genel olarak insan faktöründen kaynaklanmayan, sel, yıldırım, yangınlar gibi tabiat olaylarıdır. Kasıtsız tehditler, insan faktöründen kaynaklanan ancak bilerek yapılmayan tehditlerdir. Bir kurum ağındaki zararlı kullanıcı aktiviteleri kasıtsız bir tehdit sayılabilir. Kasıtlı tehditler ise, kasıtsız tehditler gibi insan faktöründen kaynaklanır, ancak belli bir amaca yönelik olarak bilerek yapılırlar.

Tehdit Örnekleri Bomba saldırısı İletişim hatlarına / kablolarına zarar verilmesi Saklama ortamının tahrip edilmesi Deprem Dinleme (tele-kulak) Sıcaklık ve nemdeki anormal değişiklikler Yangın Yazılımın yasa dışı biçimde kullanımı Kötü niyetli yazılımlar (virüsler, kurtlar, Truva atları) Kullanıcı kimliğinin maskelenmesi Mesajların yanlış yönlendirilmesi Hırsızlık Ağ şebekesinin yetki dışı kullanımı Bilerek zarar verme Yazılım arızası Ağ şebekesinin yetki dışı kullanımı

Karşı Önlem (Safeguard, Security Measure) Bir varlıkta bulunan açıklıkları kullanan tehditlerin verdiği zararı sıfırlamak ya da azaltmak amacıyla alınan tedbirlere karşı önlem denir. Karşı önlemler arasında, güvenlik yamaları, güvenilir ürünler, güvenlik politikaları, konfigürasyon düzenlemeleri, tasarım, güvenlik yazılımları, donanımlar, eğitimler, kişilere sorumluluk yükleme ve izleme sayılabilir. Risk Risk, zarara yol açan ya da zarar verme kapasitesi olan kişi ya da nesne olarak tanımlanmaktadır. Riskin önceki başlıklar altında değinilen varlık, açıklık ve tehdit kavramları bağlamındaki bir diğer tanımı bir kıymetteki bir açıklığın bir tehdit tarafından kullanılma ihtimalidir şeklindedir.

Risk Analizi Risk analizi, sonucu itibariyle güvenlik ihlallerine neden olan risklerin ortaya konması ve yorumlanması işlemidir. Risk analizi kendi içerisinde uzun ve ayrıntılı bir prosesdir. Risk analizinde ilk olarak bilgi sisteminde varolabilecek tüm varlıkların, bu varlıklardaki açıklıkların ve bu varlıkları etkileyebilecek tüm tehditlerin ortaya konması yapılır. Ayrıca, halihazırda mevcut olan karşı önlemler incelenir. Daha sonraki aşamada ortaya konulmuş olan varlık, açıklık, tehdit ve karşı önlemlerinin değerlendirilmesi işlemi yapılır. Değerlendirilmiş varlık, açıklık, tehdit ve karşı önlem değerleri girdi olarak alınıp, çeşitli metodlar kullanılarak risk değeri bulunur.

Risk Yönetimi (Risk Management) Risk yönetimi, risk analizi sonucunda ortaya konan ve yorumlanan risklerin önüne geçmek ve/veya azaltmak amacıyla uygun, maliyet etkin karşı önlemlerin alınması işlemidir. Risk analizi sonuçlarına göre, risk yönetimi dört farklı işten birini yapabilir. Risk yüksektir, karşı önlemler yoktur ya da çok pahalıdır. Varlık kullanılmaz. Uygun karşı önlemler alınarak risk düşürülebilir. Karşı önlemlerin alınmasının maliyeti, riskin açacağı zarardan çok daha fazla olduğu için risk önemsenmeyebilir. Varlılar sigortalanarak risk transfer edilebilir.

Risk Analizinin ve Yönetiminin Yararları

Risk Analizinin ve Yönetiminin Yararları Kurumun yazılı prosedür ve politikalarının olmasını ya da olgunlaşmasını sağlar. Kurum çalışanlarının ve bilgi işlem personelinin bilgi güvenliği konusunda bilgi sahibi olmasını sağlar. Bir kurum yönetiminin de bilgi teknolojileri güvenliği konusunda bilgi sahibi olmasını ve bu konularda karar vermesini sağlar. Risk analizi prosesinin ilk kısmında yapılan varlık analizi sonuçlarının kurumun yazılım ve donanım envanterlerinin yenilenmesinde yardımcı olur.

RİSK DEĞERLENDİRMESİ ÖRNEĞİ 1. RİSK ANALİZİ VARLIK BELİRLEME VARLIĞA DEĞER ATANMASI AÇIKLIK BELİRLEME TEHDİT BELİRLEME TEHTİDİN ETKİSİ RİSK HESAPLAMASI 2. RİSK YÖNETİMİ 29

KONTROL MADDELERİ

TS ISO IEC 27001 Standardı Kontrol Maddeleri A.5 Güvenlik Politikası: A.5.1 Bilgi Güvenliği Politikası: Bilgi güvenliği için, iş gereksinimleri ve ilgili yasa ve düzenlemelere göre yönetim yönlendirmesi ve denetimi sağlamayı amaçlamaktadır. 31

TS ISO IEC 27001 Standardı Kontrol Maddeleri A.6 Bilgi Güvenliği Organizasyonu A.6.1 İç Organizasyon: Kuruluş içerisindeki bilgi güvenliğini yönetmek. A.6.2 Dış Taraflar: Kuruluşun dış taraflarca erişilen, işlenen, iletişim kurulan veya yönetilen bilgi ve bilgi işleme olanaklarının güvenliğini sağlamak. 32

TS ISO IEC 27001 Standardı Kontrol Maddeleri A.7 Varlık Yönetimi A.7.1 Varlıkların Sorumluluğu: Kurumsal varlıkların uygun korumasını sağlamak ve sürdürmek. A.7.2 Bilgi Sınıflandırması: Bilgi varlıklarının uygun seviyede koruma almalarını sağlamak. 33

TS ISO IEC 27001 Standardı Kontrol Maddeleri A.8 İnsan Kaynakları Güvenliği A.8.1 İstihdam Öncesi: Çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların kendi sorumluluklarını anlamalarını ve düşünüldükleri roller için uygun olmalarını sağlamak ve hırsızlık, sahtecilik ya da olanakların yanlış kullanımı risklerini azaltmak. 34

TS ISO IEC 27001 Standardı Kontrol Maddeleri A.8.2 Çalışma esnasında: Tüm çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların bilgi güvenliğine ilişkin tehditler ve kaygıların ve kendi sorumluluklarının farkında olmalarını ve normal çalışmaları sırasında kurumsal güvenlik politikasını desteklemek ve insan hatası riskini azaltmak üzere donatılmalarını sağlamak. A.8.3 İstihdamın sonlandırılması veya değiştirilmesi: Çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların düzenli bir şekilde kuruluştan ayrılmalarını veya istihdamın değiştirilmesini sağlamak. 35

TS ISO IEC 27001 Standardı Kontrol Maddeleri A.9 Fiziksel ve Çevresel Güvenlik A.9.1 Güvenli alanlar: Kuruluş binalarına, ünitelerine ve bilgilerine yetki dışı fiziksel erişimi, hasarı ve müdahaleyi engellemek. A.9.2 Teçhizat güvenliği: Varlıkların kaybını, hasarını, çalınmasını ya da tehlikeye girmesini ve kuruluşun faaliyetlerinin kesintiye uğramasını engellemek. 36

TS ISO IEC 27001 Standardı Kontrol Maddeleri A.10 Haberleşme ve işletim yönetimi A.10.1 Operasyonel prosedürler ve sorumluluklar: Bilgi işleme olanaklarının doğru ve güvenli işletimini sağlamak. A.10.2 Üçüncü taraf hizmet sağlama yönetimi: Üçüncü taraf hizmet sağlama anlaşmalarıyla uyumlu olarak uygun bilgi güvenliği ve hizmet dağıtımı seviyesi gerçekleştirmek ve sürdürmek. 37

TS ISO IEC 27001 Standardı Kontrol Maddeleri A.10.3 Sistem planlama ve kabul: Sistem başarısızlıkları riskini en aza indirmek. A.10.4 Kötü niyetli ve mobil koda karşı koruma: Yazılım ve bilginin bütünlüğünü korumak. A.10.5 Yedekleme: Bilgi ve bilgi işleme olanaklarının bütünlüğünü ve kullanılabilirliğini sağlamak. 38

TS ISO IEC 27001 Standardı Kontrol Maddeleri A.10.6 Ağ güvenliği yönetimi: Ağdaki bilginin ve destekleyici alt yapının korunmasını sağlamak. A.10.7 Ortam işleme: Varlıkların yetkisiz ifşa edilmesi, değiştirilmesi, kaldırılması veya yok edilmesini ve iş faaliyetlerinin kesintiye uğramasını önlemek. A.10.8 Bilgi değişimi: Bir kuruluş içindeki ve herhangi bir dış varlık ile değiştirilen bilgi ve yazılımın güvenliğini sağlamak. 39

TS ISO IEC 27001 Standardı Kontrol Maddeleri A.10.9 Elektronik ticaret hizmetleri: Elektronik ticaret hizmetlerinin güvenliğini ve bunların güvenli kullanımını sağlamak. A.10.10 İzleme: Yetkisiz bilgi işleme faaliyetlerini algılamak. 40

TS ISO IEC 27001 Standardı Kontrol Maddeleri A.11 Erişim kontrolü A.11.1 Erişim kontrolü için iş gereksinimi: Bilgiye erişimi kontrol etmek. A.11.2 Kullanıcı erişim yönetimi: Bilgi sistemlerine yetkili kullanıcı erişimini sağlamak ve yetkisiz erişimi önlemek. A.11.3 Kullanıcı sorumlulukları: Yetkisiz kullanıcı erişimini ve bilgi ve bilgi işleme olanaklarının tehlikeye atılmasını ya da çalınmasını önlemek. 41

TS ISO IEC 27001 Standardı Kontrol Maddeleri A.11.4 Ağ erişim kontrolü: Ağ bağlantılı hizmetlere yetkisiz erişimi önlemek. A.11.5 İşletim sistemi erişim kontrolü: İşletim sistemine yetkisiz erişimi önlemek. A.11.6 Uygulama ve bilgi erişim kontrolü: Uygulama sistemlerinde tutulan bilgilere yetkisiz erişimi önlemek. A.11.7 Mobil bilgi işleme ve uzaktan çalışma: Mobil bilgi işleme ve uzaktan çalışma hizmetlerini kullanırken bilgi güvenliğini sağlamak. 42

TS ISO IEC 27001 Standardı Kontrol Maddeleri A.12 Bilgi sistemleri edinim, geliştirme ve bakımı A.12.1 Bilgi sistemlerinin güvenlik gereksinimleri: Güvenliğin bilgi sistemlerinin dahili bir parçası olmasını sağlamak. A.12.2 Uygulamalarda doğru işleme: Uygulamalardaki bilginin hatalarını, kaybını, yetkisiz değiştirilmesini ve kötüye kullanımını önlemek. 43

TS ISO IEC 27001 Standardı Kontrol Maddeleri A.12.3 Kriptografik kontroller: Bilginin gizliliğini, aslına uygunluğunu ya da bütünlüğünü kriptografik yöntemlerle korumak. A.12.4 Sistem dosyalarının güvenliği: Sistem dosyalarının güvenliğini sağlamak. 44

TS ISO IEC 27001 Standardı Kontrol Maddeleri A.12.5 Geliştirme ve destekleme proseslerinde güvenlik: Uygulama sistem yazılımı ve bilgisinin güvenliğini sağlamak. A.12.6 Teknik açıklık yönetimi: Yayınlanmış teknik açıklıkların istismarından kaynaklanan riskleri azaltmak. 45

TS ISO IEC 27001 Standardı Kontrol Maddeleri A.13 Bilgi güvenliği ihlal olayı yönetimi A.13.1 Bilgi güvenliği olayları ve zayıflıklarının rapor edilmesi: Bilgi sistemleri ile ilişkili bilgi güvenliği olayları ve zayıflıklarının zamanında düzeltici önlemlerin alınabilmesine izin verecek şekilde bildirilmesini sağlamak. A.13.2 Bilgi güvenliği ihlal olayları ve iyileştirmelerin yönetilmesi: Bilgi güvenliği ihlal olaylarının yönetimine tutarlı ve etkili bir yaklaşımın uygulanmasını sağlamak. 46

TS ISO IEC 27001 Standardı Kontrol Maddeleri A.14 İş sürekliliği yönetimi A.14.1 İş sürekliliği yönetiminin bilgi güvenliği hususları: İş faaliyetlerindeki kesilmeleri önlemek ve önemli iş proseslerini büyük bilgi sistemleri başarısızlıklarından ya da felaketlerden korumak ve bunların zamanında devam etmesini sağlamak. 47

TS ISO IEC 27001 Standardı Kontrol Maddeleri A.15 Uyum A.15.1 Yasal gereksinimlerle uyum: Her türlü hukuka, yasal, düzenleyici ya da sözleşmeye tabi yükümlülüklere ve her türlü güvenlik gereksinimlerine ilişkin ihlalleri önlemek. 48

TS ISO IEC 27001 Standardı Kontrol Maddeleri A.15.2 Güvenlik politikaları ve standartlarla uyum ve teknik uyum: Sistemlerin kurumsal güvenlik politikaları ve standartlarıyla uyumunu sağlamak. A.15.3 Bilgi sistemleri denetim hususları: Bilgi sistemleri denetim prosesinin etkinliğini artırmak ve müdahaleleri azaltmak. 49

Teşekkür ederim cerpolat@meb.gov.tr

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim