Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

Benzer belgeler
Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

İş Sürekliliği Yönetimi ve İşe Etki Analizi için bir uygulama örneği

İŞ SÜREKLİLİĞİ POLİTİKASI

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

Information Technology Infrastructure Library ITIL

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kapsam - Terimler

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

İSYS Süreçleri ve Yönetim Sistemleri İçindeki Yeri. Burak Bayoğlu (CISM, CISA, CISSP) TÜBİTAK UEKAE.

Sibergüvenlik Faaliyetleri

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001

Yöneticiler için Bilgi Güvenliği

İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ

ĠSYS KURULUMU ve KRĠTĠK BAġARI FAKTÖRLERĠ. Ali DĠNÇKAN,CISA, Tübitak UEKAE Tel:

BİLGİ GÜVENLİĞİ POLİTİKASI

Bilişim Teknolojileri Test ve Belgelendirme Hizmetleri. Mustafa YILMAZ

İÇ TETKİKÇİ DEĞERLENDİRME SINAVI

UE.18 Rev.Tar/No: /03 SAYFA 1 / 5

ANET Bilgi Güvenliği Yönetimi ve ISO Ertuğrul AKBAS [ANET YAZILIM]

Elektrik Altyapılarında Bilgi Güvenliği Riskleri ve Çözümler

DOK-004 BGYS Politikası

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

ISO 13485:2016 TIBBİ CİHAZLAR KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

TETKİK SÜRELERİ BELİRLEME TALİMATI DETERMINING AUDIT TIME INSTRUCTIONS Doküman No Document No Sayfa No Page No

EKLER. EK 12UY0106-4/A5-2: Yeterlilik Biriminin Ölçme ve Değerlendirmesinde Kullanılacak Kontrol Listesi

ISO/IEC BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ. Terimler Ve Tarifler.

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği

PAYDAŞ ANALİZİ ve PAYDAŞ BEKLENTİLERİ ANALİZİ PROSEDÜRÜ REFERANS & FORMLAR & RİSKLER

ISO Kurumsal Bilgi Güvenliği Standardı. Şenol Şen

ISO/IEC Özdeğerlendirme Soru Listesi

ISO/IEC 27001:2013 REVİZYONU GEÇİŞ KILAVUZU

İŞ YATIRIM MENKUL DEĞERLER A.Ş. İŞ SÜREKLİLİĞİ PLANLAMASI A. AMAÇ

Lojistik ve Taşımacılık Sektöründe Yeni Hizmet Modeli. Lojistik ve Taşımacılık Sektöründe Yeni Hizmet Modeli

BS25999 İŞ SÜREKLİLİĞİ İĞİ YÖNETİM M SİSTEMİSTEMİ STANDARDI

İŞ SÜREKLİLİĞİ YÖNETİM POLİTİKASI

ĠÇĠNDEKĠLER VE ÇAPRAZ REFERANS ÇĠZELGE:

TETKİK SÜRELERİ BELİRLEME TALİMATI

Bilgi Teknolojileri Yönetişim ve Denetim Konferansı BTYD 2010

GÖREV TANIM FORMU A.POZİSYONUN KISA TANIMI KALİTE YÖNETİM SİSTEMLERİ MÜDÜRÜ KALİTE KONTROL BÖLÜMÜ B.POZİSYONUN GEREKTİRDİĞİ BİLGİ BECERİ DÜZEYİ

İSG (OHSAS 18001) İSE Faktörleri ve Şartlar

Zoho CRM - Man3S Yönetim Sistemleri Standartları Yazılımı

KAMU BORÇ İDARESİNDE OPERASYONEL RİSK VE İŞ SÜREKLİLİĞİ YÖNETİMİ

BGYS-PL-01 BİLGİ GÜVENLİĞİ POLİTİKASI

MIS 325T Servis Stratejisi ve Tasarımı Hafta 7:

PAYDAŞ ANALİZİ VE RİSK ANALİZİ KILAVUZU

POL.01 Rev.Tar/No: /1.0 HĠZMETE ÖZEL

ULUSAL BİLGİ SİSTEMLERİSTEMLERİ GÜVENLİK PROGRAMI

T. C. KAMU İHALE KURUMU

Sayı : B.13.1.SGK.0.(İÇDEN).00.00/04 18/01/2008 Konu : İç Denetim Birimi GENELGE 2008/8

Açık ve Uzaktan Öğretim Sistem Tasarımı Yrd. Doç. Dr. Yusuf Sait Türkan

ISO 9001:2015 GEÇİŞ KILAVUZU

STRATEJİK YÖNETİM VE YÖNETİMİN GÖZDEN GEÇİRMESİ PROSEDÜRÜ

Risk Esaslı Denetim Planlaması ve Raporlaması. Kasım 2013 İstanbul


T.C. BAŞBAKANLIK Afet ve Acil Durum Yönetimi Başkanlığı. TAMP ve Kurumlarda Uygulaması Antalya 2016

Bu dokümanla BGYS rollerinin ve sorumluluklarının tanımlanarak BGYS sürecinin efektif şekilde yönetilmesi hedeflenmektedir.

ERZİNCAN ÜNİVERSİTESİ. BİLGİ YÖNETİM SİSTEMİ Mevcut Durum Analiz ve Kapasite Geliştirme Projesi

Bilgi Teknolojileri Servis Sürekliliği

EKLER EK 12UY0106-5/A5-1:

Doğal Gaz Dağıtım Sektöründe Kurumsal Risk Yönetimi. Mehmet Akif DEMİRTAŞ Stratejik Planlama ve Yönetim Sistemleri Müdürü İGDAŞ

BDDK-Bilgi Sistemlerine İlişkin Düzenlemeler. Etkin ve verimli bir Banka dan beklenenler Bilgi Teknolojilerinden Beklenenler

bt-pota Bilgi Teknolojileri Hizmetleri Belgelendirme Standartları Merve Saraç Nisan 2008

ÇELİKEL A.Ş. Bilgi Güvenliği Politikası

BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ

Bilgi Güvenliği Politikası. Arvato Bertelsmann İstanbul, Türkiye. Versiyon 2016_1. Arvato Türkiye. Yayınlayan

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Planlama - Destek

TÜRK AKREDİTASYON KURUMU R20.08

ISO / TS 22003:2013 un Yeniliklerinin Gıda İşletmeleri, Belgelendirme Kuruluşları ve Akreditasyon Faaliyetleri Açısından İrdelenmesi

Ders İçeriği

YÖNETİM SİSTEMLERİ. Yönetim Sistemi Modelleri: Deming tarafından geliştirilen, Planla Uygula Kontrol Et Önlem Al

Notice Belgelendirme Muayene ve Denetim Hiz. A.Ş Onaylanmış Kuruluş 2764

İSTANBUL ÜNİVERSİTESİ DÖNER SERMAYE İŞLETME MÜDÜRLÜĞÜ HİZMET İÇİ EĞİTİM SUNUMU 02 MAYIS 2014

Uyum Risk Yönetimi. KPMG İstanbul. Ekim 2014

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI

Farkındalılık ISO 9001 Kalite Yönetim Sistemi Eğitimi. Uygulama ve başarımın anahtarları

KURUMSAL RİSK YÖNETİMİ RİSK YÖNETİM MODELLERİ

COBIT Bilgi Sistemleri Yönetimi. Şubat 2009

KALİTE YÖNETİM SİSTEMİ TS EN ISO 2015 PROSES YAKLAŞIMI

Entegre Acil Durum Yönetimi Sistemine Giriş

ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞİ İLE İLGİLİ BİLGİLENDİRME

AKDENİZ ÜNİVERSİTESİ KALİTE YÖNETİM SİSTEMİ

KURUMSAL RİSK YÖNETİMİ. Yrd. Doç. Dr. Tülay Korkusuz Polat 1/37

Kurumlarda Terminoloji Politikası ve Terminoloji Planlaması

Proje Yönetimi Bahar Yarıyılı. Yrd. Doç. Dr. Ömer GİRAN

Acil Durum Yönetim Sistemi ICS NFPA 1600

Cahide ÜNAL Mart 2011

T. C. KAMU İHALE KURUMU

EK-3 HAVAALANI ĠġLETĠMĠ

Mikro Bilgi Kayıt ve Dağıtım A.Ş Kalite Yönetim Temsilcisi. Şenay KURT

Esra G. Kaygısız Gaziantep Üniversitesi

İŞ SÜREKLİLİĞİNDE KATMA DEĞERLİ DENETİM YAKLAŞIMI UYGULAMA ÇALIŞMASI İstanbul, ÖZGÜVEN SAYMAZ

BANKALARDA OPERASYONEL RİSK DENETİMİ

BGYS ve BGYS Kurma Deneyimleri

Madde 5- Yeni ya da Değişen Hizmetlerin Tasarlanması ve Dönüşümü

SPK Bilgi Sistemleri Tebliğleri Uyum Yol Haritası

KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI REHBERİ. Ramazan ŞENER Mali Hizmetler Uzmanı. 1.Giriş

T.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı

Bilgi Teknolojileri Yönetişim ve Denetim Konferansı BTYD 2010

Transkript:

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ VE İŞ SÜREKLİLİĞİ - 1 Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının Gizliliği Tamlığı (Bütünlüğü) Erişebilirliği (Kullanılabilirliği) Üzerine inşa edilmiş ve risk yaklaşımına dayanan bir yönetim sistemidir. ISO/IEC 27002 kılavuzunda ayrıntıları verilen ve İş Sürekliliği olarak tasnif edilen Bilgi nin ve bilginin üzerinde durduğu Bilgi Varlıkları nın sürekliliği kontrol kriterleri A-14 başlığı altında işlenmiştir. A-14 Kontrol Kriterleri A.14,1 İş sürekliliği yönetiminin bilgi güvenliği hususları 1 / 10

Amaç: İş faaliyetlerindeki kesilmeleri önlemek ve önemli iş proseslerini büyük bilgi sistemleri başarısızlık A.14.1.1 Bilgi güvenliğini iş sürekliliği yönetim prosesine dahil etme Kuruluş genelinde iş sürekliliği için, bu amaçla ihtiyaç duyulan bilgi güvenliği gereksinimlerini ifade eden A.14.1.2 İş sürekliliği ve risk değerlendirme İş proseslerinde kesintilere yol açan olaylar, bu tür kesintilerin olasılığı ve etkisi ve bunların bilgi güvenliğ A.14.1.3 Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme Önemli iş proseslerinde yaşanan kesintileri ya da başarısızlıkları takiben iş operasyonlarını sürdürmek y A.14.1.4 İş sürekliliği planlama çerçevesi 2 / 10

Tüm planların tutarlı olmasını sağlamak, tutarlı şekilde bilgi güvenliği gereksinimlerini ifade etmek ve tes A.14.1.5 İş sürekliliği planlarını test etme, sürdürme ve yeniden değerlendirme İş sürekliliği planları, güncel ve etkili olmalarını sağlamak için, düzenli olarak test edilmeli ve güncelleştiri İş sürekliliği Yönetimi yalnızca ISO/IEC 27000 yönetim sistemi serisi için değil aynı zamanda ISO 20000 BT Servis Yönetimi Sistemi serisi için de kritik önemi olan bir yönetim sistemidir. Son dönemde önemi ortaya çıkan BS 25999 İş Sürekliliği Standardı özellikle ticari kurumların iş sürekliliği yapılarının yönetimi, tasarlanması, planlanması, uygulanması ve geliştirilmesine yönelik bir çerçeve sunmaktadır. Ancak uygulamada veya sistemin kurulması sürecinde neler yapılacağı konusunda danışmanların, kuruluşların yardımcısı olabilecek kaynaklara erişim hem sınırlı hem kısıtlıdır. Denetimler esnasında kuruluşların en az üzerinde durduğu veya geliştirebildiği konu İş Sürekliliği konusudur. 3 / 10

Amacımız bu yazıda BT esaslı İş Sürekliliği için bir çerçeve ortaya koyabilmektir. Geliştirmek, derinleştirmek ise hepimizin sorumluluğundadır. BT esaslı İş Sürekliliği Yönetimi; <!--[endif]-->masaüstü ve taşınır sistemler <!--[endif]-->sunucular (donanım) <!--[endif]-->sunucular (yazılım) <!--[endif]-->web servisleri / siteleri <!--[endif]-->lan / WAN <!--[endif]-->dağıtık sistemler <!--[endif]-->mainframe yapılar üzerine inşa edilir. Her bir bileşenin enerji beklentileri, çalışan / müşteri odaklı personel gereksinimleri, fiziksel alanlar (elektrik kabloları, data kabloları, telefon kabloları, odalar, kapılar vs.), çevre faktörleri (çalışma ortamları, toz, nem, ısı vs) İş Sürekliliği Yönetimi sistemlerinde içkindir (Sistemlerin alt bileşenleri içinde spesifikasyonları ile vardırlar). BT İş Sürekliliği Süreci aşağıda belirtilen yedi adımda kurulabilir. Her bir adım için ayrı tasarım, geliştirme ve prosedürler yazılabilir. 4 / 10

<!--[if!supportlists]-->1. <!--[endif]-->iş Sürekliliği Planı için politika ifadeleri geliştirmek. Tüm bölümler için tanımlanmış, iş sürekliliği faaliyetlerinin etkinliğini, denetimlerini geliştirecek politikalar, kılavuzlar. <!--[if!supportlists]-->2. <!--[endif]-->iş Etki Analizi (Business Impact Analysis-BIA) yapmak. BIA BT sistemleri ve bileşenleri için öncelikleri tanımlar. İş sürekliliğinin gelişimi için kullanıcılara yardımcı olacak şablonlar hazırlamak. <!--[if!supportlists]-->3. <!--[endif]-->önleyici kontrolleri belirlemek, tanımlamak. İş sürekliliği maliyetlerini düşürmek, sistemlerin ulaşılabilirliğini artırmak ve kesintilerini azaltmak için kontroller seçmek ve bu kontroller için ölçekler belirlemek. <!--[if!supportlists]-->4. <!--[endif]-->kurtarma stratejileri Geliştirmek. Bozulan, kesilen sistemleri hızlı ve etkin bir şekilde geri almayı sağlayacak tam, eksiksiz kurtarma stratejileri belirlemek. <!--[if!supportlists]-->5. <!--[endif]-->bt İş Sürekliliği Planı geliştirmek. İş Sürekliliği Planı sistemlerin hasara uğraması halinde yapılacak işlere dair kılavuzlar ve geri yükleme faaliyetlerini içerir. <!--[if!supportlists]-->6. <!--[endif]-->planların test edilmesi, eğitimler ve tatbikatlar. Pla nların açıklıkları, eksikliklerinin yönetilebilmesi için kurtarma personeline yönelik etkinlikler, hazırlıklı olmak için uygulamalar. <!--[if!supportlists]-->7. <!--[endif]-->planların gözden geçirilmesi. Planlama dokümanları sürekli güncellenmeli, geliştirilmelidir. Sistemlerin sürdürülebilirliğinin etkinliği artırılmalıdır. BT İş Sürekliliği planlaması, BT sistemlerinin maruz kalacağı kesintileri en aza indirgemek amacı ile kesintilere yönelik operasyonlara, çözüm planlarına, prosedürlere, teknik ölçümlere dayanır. 5 / 10

Planlama, BT servislerinin durması halinde genellikle aşağıdaki yaklaşımlara dayanan işlemleri içerir: <!--[endif]-->bt işlemleri için geri yüklemeler ve alternatif yerler ekipmanlar <!--[endif]-->kurtarma için BT operasyonları için alternatif <!--[endif]-->bt dışı tüm iş süreçlerinin performansları İş Sürekliliği Planlaması için görev, rol ve sorumluluklar ise kısaca aşağıdaki gibi tanımlanabilir: <!--[endif]-->yöneticiler. İş sürekliliği planında yer alan tüm birimlerin sorumluları ile birlikte iş sürekliliği planlarından sorumlu olan yöneticiler <!--[endif]-->sistem yöneticileri. BT operasyonlarına yönelik günlük işlemleri sürdüren yöneticiler. <!--[endif]-->bilgi Güvenliği Sistem uygulayıcıları ve geliştirme, uygulama, bakım ve organizasyon bilgi teknolojileri faaliyetlerini sürdüren personel. <!--[endif]-->bilgi sistemlerini tasarlayan, geliştiren, uygulayan ve düzenleyen sistem mühendisleri ve mimarları. <!--[endif]--> Masaüstü ve taşınır bilgisayarların kullanıcıları. 6 / 10

<!--[endif]-->bilgi sistemlerini tasarlayan, geliştiren, uygulayan, bakan ve kullanan diğer personel. İş Sürekliliği ile İlişkili Diğer Planlar ise aşağıdadır: Plan Amaç Kapsam İş Sürekliliği Planı Temel iş operasyonlarının sürdürülmesi için prosedürler <!--[if!supportlists]--> <!--[endif]-->iş sür <!--[if!supportlists]--> <!--[endif]-->bt es İşe Yeniden Başlama Planı Felaketten hemen sonra kurtarma prosedürleri 7 / 10

<!--[if!supportlists]--> <!--[endif]-->iş sür <!--[if!supportlists]--> <!--[endif]-->bt od <!--[if!supportlists]--> <!--[endif]-->bt es Süreklilik Operasyonları Planı 30 güne kadar işlerin sürdürülebilirliği için iş gerekleri, stratejik fonksiyonlar için prosedürler. <!--[if!supportlists]--> <!--[endif]-->bt od <!--[if!supportlists]--> <!--[endif]-->kurum <!--[if!supportlists]--> <!--[endif]-->gene Destek Sürekliliği / BT Sürekliliği Planı Genel destek veya major uygulamaları kurtarmak için kapasiteler ve prosedürler <!--[if!supportlists]--> <!--[endif]-->bt od 8 / 10

<!--[if!supportlists]--> <!--[endif]-->bt Sü <!--[if!supportlists]--> <!--[endif]-->bt Si Kriz İletişim Planı Personel ve halk için ilgili raporları yayınlama ve bilgilendirme prosedürleri <!--[if!supportlists]--> <!--[endif]-->bt od <!--[if!supportlists]--> <!--[endif]-->perso İnternet temelli İhlallere Yönelik Karşılık Planları Kötü niyetli internet esaslı saldırılara karşı taramalar, limit sınırlamaları. <!--[if!supportlists]--> <!--[endif]-->bilgi g <!--[if!supportlists]--> <!--[endif]-->sistem Felaket Kurtarma Planı 9 / 10

Alternatif yerler, imkanlar, varlıklar için ayrıntılı kapasite ve prosedürler <!--[if!supportlists]--> <!--[endif]-->bt ba <!--[if!supportlists]--> <!--[endif]-->büyük <!--[if!supportlists]--> <!--[endif]-->uzun Acil Durum Planı Fiziksel tehditler için minimum kayıplar, hasarlar için koordinasyon prosedürleri <!--[if!supportlists]--> <!--[endif]-->perso <!--[if!supportlists]--> <!--[endif]-->bt es <!--[if!supportlists]--> <!--[endif]-->özel d 10 / 10

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim