BT Corporate - шаблон joomla Оригами

UAC Mühendislik

ISO 27001

Font Size

SCREEN

Profile

Layout

Menu Style

Cpanel
ISO27001

ISO 27001 standardı, bir Bilgi Güvenliği Yönetim Sistemi’ni (BGYS) (Information Security Management System - ISMS) kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için bir model sağlamak üzere hazırlanmıştır. Bir kuruluş için BGYS’nin benimsenmesi stratejik bir karar olmalıdır.

Bir kuruluşun BGYS tasarımı ve gerçekleştirmesi, ihtiyaçları ve amaçları, güvenlik gereksinimleri, kullanılan prosesler ve kuruluşun büyüklüğü ve yapısından etkilenir. Bunların ve destekleyici sistemlerinin zaman içinde değişmesi beklenir. Bir BGYS gerçekleştirmesinin kuruluşun ihtiyaçlarına göre ölçeklenmesi beklenir (örneğin, basit durumlar basit BGYS çözümleri gerektirir).

Proses yaklaşımı

ISO 27001 standardı, bir kuruluşun BGYS’sini kurmak, gerçekleştirmek, işletmek, izlemek, sürdürmek ve iyileştirmek için bir proses yaklaşımını benimser. Bir kuruluşun, etkin bir şekilde işlev görmek için, bir çok faaliyetini tanımlaması ve yönetmesi gerekir. Kaynakları kullanan ve girdilerin çıktılara dönüştürülebilmesi için yönetilen her faaliyet, bir proses olarak düşünülebilir. Çoğunlukla, bir prosesin çıktısı doğrudan bunu izleyen diğer prosesin girdisini oluşturur. Bir kuruluş içerisinde, tanımları ve bunların etkileşimi ve yönetimleriyle birlikte proseslerin oluşturduğu bir sistem uygulaması “proses yaklaşımı” olarak tanımlanabilir. ISO 27001 standardında sunulan bilgi güvenliği yönetimi proses yaklaşımı, kullanıcılarını aşağıdakilerin öneminin vurgulanmasına özendirir:

  1. İş bilgi güvenliği gereksinimlerini ve bilgi güvenliği için politika ve amaçların belirlenmesi ihtiyacını anlamak,
  2. Kuruluşun tüm iş risklerini yönetmek bağlamında kuruluşun bilgi güvenliği risklerini yönetmek için kontrolleri gerçekleştirmek ve işletmek,
  3. BGYS’nin performansı ve etkinliğini izlemek ve gözden geçirmek,
  4. Nesnel ölçmeye dayalı olarak sürekli iyileştirmek.

ISO 27001 standardı, tüm BGYS proseslerini yapılandırmaya uygulanan “Planla-Uygula-Kontrol Et-Önlem al” (PUKÖ) modelini benimser. PUKÖ modelinin benimsenmesi, bilgi sistemleri ve ağları güvenliğini yöneten OECD Kılavuzları’nda belirlenmiş olan prensipleri de yansıtır. ISO 27001 standardı, risk değerlendirme, güvenlik tasarımı ve gerçekleştirme, güvenlik yönetimi ve yeniden değerlendirmeyi yöneten bu kılavuzlardaki prensipleri gerçekleştirmek için sağlam bir model sağlar. ISO 27001 standardı, tüm kuruluş türlerini (örneğin, ticari kuruluşlar, kamu kurumları, kar amaçlı olmayan kuruluşlar) kapsar. ISO 27001 standardı, dokümante edilmiş bir BGYS’yi kuruluşun tüm ticari riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsar. Bağımsız kuruluşların ya da tarafların ihtiyaçlarına göre özelleştirilmiş güvenlik kontrollerinin gerçekleştirilmesi için gereksinimleri belirtir. BGYS, bilgi varlıklarını koruyan ve ilgili taraflara güven veren yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmıştır.

ISO 27001 standardında, “iş” terimi geniş anlamda kuruluşun varlık amaçlarının temeli olan etkinlikler anlamına ISO/IEC 17799Bilgi Teknolojisi - Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri, kontroller tasarlanırken kullanılabilecek gerçekleştirme kılavuzu sağlar. ISO 27001 standardında ortaya konulan gereksinimler geneldir ve türü, büyüklüğü ve doğasından bağımsız olarak tüm kuruluşlara uygulanabilir olması amaçlanmaktadır. Risk kabul kriterlerini sağlamak için dışarıda bırakılması gerekli bulunan her kontrolün açıklanabilmesi ve ilişkili risklerin sorumlu kişilerce uygun olarak kabul edildiğine ilişkin kanıtın sağlanması gerekir. Herhangi bir kontrol dışarıda bırakıldığında, bu standarda uyumluluk iddiası, hariç tutulan gereksinimlerin, risk değerlendirme ve uygulanabilir yasal ve düzenleyici gereksinimler tarafından belirlenen güvenlik gereksinimlerini karşılayacak bilgi güvenliğini sağlamak için kuruluşun kabiliyetini ve/veya sorumluluğunu etkilemedikçe kabul edilmez. Bir kuruluş zaten işleyen bir iş proses yönetimi sistemine (örneğin, ISO 9001 veya ISO 14001 ile ilgili) sahipse, birçok durumda bu standardın gereksinimlerinin mevcut yönetim sistemi içinde sağlanması tercih edilir.

ISO/IEC 17799 Bilgi Teknolojisi - Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri Kontrol amaçları ve kontroller

  1. Güvenlik politikası
  2. Bilgi güvenliği politikası

Amaç: Bilgi güvenliği için, iş gereksinimleri ve ilgili yasa ve düzenlemelere göre yönetim yönlendirmesi ve desteği sağlamak. Bilgi güvenliği politika dokümanı, yönetim tarafından onaylanmalı, yayınlanmalı ve tüm çalışanlar ve ilgili dış taraflara bildirilmelidir. Bilgi güvenliği politikası, belirli aralıklarda veya önemli değişiklikler ortaya çıktığında sürekli uygunluğunu, doğruluğunu ve etkinliğini sağlamak için gözden geçirilmelidir.

Bilgi güvenliği organizasyonu

İç organizasyon

Amaç: Kuruluş içerisindeki bilgi güvenliğini yönetmek. Yönetim kuruluş içinde güvenliği, açık yönlendirme, gösterilen bağlılık, açık atama ve bilgi güvenliği sorumluluklarının kabulü ile etkin şekilde desteklemelidir. Bilgi güvenliği faaliyetleri, kuruluşun farklı bölümlerinden uygun rolleri ve iş fonksiyonları olan temsilciler tarafından koordine edilmelidir. Bilgi güvenliği sorumluluklarının tahsisi; Tüm bilgi güvenliği sorumlulukları açıkça tanımlanmalıdır. Bilgi işleme tesisleri için yetki prosesi; Yeni bilgi işleme tesisleri için, bir yönetim yetki prosesi tanımlanmalı ve gerçekleştirilmelidir. Gizlilik anlaşmaları; Bilginin korunması için kuruluşun ihtiyaçlarını yansıtan gizlilik ya da açıklamama anlaşmalarının gereksinimleri tanımlanmalı ve düzenli olarak gözden geçirilmelidir.

Otoritelerle iletişim; İlgili otoritelerle uygun iletişim kurulmalıdır. Özel ilgi grupları ile iletişim; Özel ilgi grupları veya diğer uzman güvenlik forumları ve profesyonel dernekler ile uygun iletişim kurulmalıdır. Bilgi güvenliğinin bağımsız gözden geçirmesi; Kuruluşun bilgi güvenliği yönetimi yaklaşımı ve gerçekleştirilmesi (örneğin, bilgi güvenliği kontrol amaçları, kontroller, politikalar, prosesler ve prosedürleri) belirli aralıklarda veya güvenlik gerçekleştirmesinde önemli değişiklikler olduğunda bağımsız şekilde gözden geçirilmelidir.

Dış taraflar

Amaç: Kuruluşun dış taraflarca erişilen, işlenen, iletişim kurulan veya yönetilen bilgi ve bilgi işleme olanaklarının güvenliğini sağlamak. Dış taraflarla ilgili riskleri tanımlama; Dış tarafları içeren iş proseslerinden kuruluşun bilgi ve bilgi işleme olanaklarına olan riskler tanımlanmalı ve erişim verilmeden önce uygun kontroller gerçekleştirilmelidir. Müşterilerle ilgilenirken güvenliği ifade etme; Tanımlanmış tüm güvenlik gereksinimleri, müşterilere kuruluşun bilgi ve varlıklarına erişim vermeden önce ifade edilmelidir. Üçüncü taraf anlaşmalarında güvenliği ifade etme; Üçüncü tarafların, kuruluşun bilgi veya bilgi işleme olanaklarına erişimini, bunları işlemelerini, bunlarla iletişimini veya bunları yönetmelerini içeren ya da bilgi işleme olanaklarına ürün veya hizmetler ekleyen anlaşmalar tüm ilgili güvenlik gereksinimlerini kapsamalıdır.

Varlık yönetimi

Varlıkların sorumluluğu

Amaç: Kurumsal varlıkların uygun korumasını sağlamak ve sürdürmek. Varlıkların envanteri; Tüm varlıklar açıkça tanımlanmalı ve önemli varlıkların bir envanteri hazırlanmalı ve tutulmalıdır. Varlıkların sahipliği; Bilgi işleme olanakları ile ilişkili tüm bilgi ve varlıklar kuruluşun belirlenmiş bir bölümü tarafından ‘sahiplenilmelidir’). Varlıkların kabul edilebilir kullanımı; Bilgi işleme olanakları ile ilişkili bilgi ve varlıkların kabul edilebilir kullanım kuralları tanımlanmalı, dokümante edilmeli ve gerçekleştirilmelidir.

Bilgi sınıflandırması

Amaç: Bilgi varlıklarının uygun seviyede koruma almalarını sağlamak. Sınıflandırma kılavuzu; Bilgi, değeri, yasal gereksinimleri, hassaslığı ve kuruluş için kritikliğine göre sınıflandırılmalıdır. Bilgi etiketleme ve işleme; Bilgi etiketleme ve işleme için kuruluş tarafından benimsenen sınıflandırma düzenine uygun olarak bir dizi uygun prosedür geliştirilmeli ve gerçekleştirilmelidir.

İnsan kaynakları güvenliği

İstihdam öncesi

Amaç: Çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların kendi sorumluluklarını anlamalarını ve düşünüldükleri roller için uygun olmalarını sağlamak ve hırsızlık, sahtecilik ya da olanakların yanlış kullanımı risklerini azaltmak. Roller ve sorumluluklar; Çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların güvenlik rolleri ve sorumlulukları kuruluşun bilgi güvenliği politikasına uygun olarak tanımlanmalı ve dokümante edilmelidir. Tarama; Tüm işe alım adayları, yükleniciler ve üçüncü taraf kullanıcılar için ilgili yasa, düzenleme ve etiğe göre ve iş gereksinimleri, erişilecek bilginin sınıflandırması ve alınan risklerle orantılı olarak geçmiş doğrulama kontrolleri gerçekleştirilmelidir. İstihdam koşulları; Sözleşme yükümlülüklerinin parçası olarak, çalışanlar, yükleniciler ve üçüncü taraf kullanıcılar, kendilerinin ve kuruluşun bilgi güvenliği sorumluluklarını belirten kendi işe alım sözleşmelerinin koşullarına katılmalı ve bunu imzalamalıdırlar.

Çalışma esnasında

Amaç: Tüm çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların bilgi güvenliğine ilişkin tehditler ve kaygıların ve kendi sorumluluklarının farkında olmalarını ve normal çalışmaları sırasında kurumsal güvenlik politikasını desteklemek ve insan hatası riskini azaltmak üzere donatılmalarını sağlamak. Yönetim sorumlulukları; Yönetim, çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların, kuruluşun yerleşik politika ve prosedürlerine göre güvenliği uygulamalarını istemelidir. Bilgi güvenliği farkındalığı, eğitim ve öğretimi; Kuruluştaki tüm çalışanlar ve ilgili olan yerlerde yükleniciler ve üçüncü taraf kullanıcılar, kendi iş fonksiyonları ile ilgili olduğunda, kurumsal politikalar ve prosedürlerle ilgili uygun farkında olma eğitimi ve düzenli güncelleme almalıdırlar. Disiplin prosesi; Bir güvenlik kırılmasına yol açan çalışanlar için resmi bir disiplin prosesi olmalıdır.

İstihdamın sonlandırılması veya değiştirilmesi

Amaç: Çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların düzenli bir şekilde kuruluştan ayrılmalarını veya istihdamın değiştirilmesini sağlamak. Sonlandırma sorumlulukları; İstihdamın sonlandırılmasını veya değiştirilmesini gerçekleştirme sorumlulukları açıkça tanımlanmalı ve atanmalıdır. Varlıkların iadesi; Tüm çalışanlar, yükleniciler ve üçüncü taraf kullanıcılar, çalışmaları, sözleşmeleri veya anlaşmalarının sonlandırılmasıyla birlikte kendilerinde bulunan kuruluşun tüm varlıklarını iade etmelidirler. Erişim haklarının kaldırılması; Tüm çalışanlar, yükleniciler ve üçüncü taraf kullanıcıların bilgi ve bilgi işleme olanaklarına olan erişim hakları, istihdam, sözleşme veya anlaşmalarının sonlandırılmasıyla birlikte kaldırılmalı ya da değiştirilmesiyle birlikte ayarlanmalıdır.

Fiziksel ve çevresel güvenlik

Güvenli alanlar

Amaç: Kuruluş binalarına, ünitelerine ve bilgilerine yetki dışı fiziksel erişimi, hasarı ve müdahaleyi engellemek. Fiziksel güvenlik çevresi; Bilgi ve bilgi işleme olanaklarını içeren alanları korumak için güvenlik çevreleri (duvarlar gibi engeller, kart kontrollü giriş kapıları, görevli bulunan resepsiyon masaları) kullanılmalıdır. Fiziksel giriş kontrolleri; Güvenli alanlar, yalnız yetkili personelin erişime izin verilmesini sağlamak için uygun giriş kontrolleriyle korunmalıdır. Ofisler, odalar ve olanakları korumaya alma; Ofisler, odalar ve olanaklar için fiziksel güvenlik tasarlanmalı ve uygulanmalıdır. Dış ve çevresel tehditlere karşı koruma; Yangın, sel, deprem, patlama, yağma ve diğer doğal ya da insan kaynaklı felaketlerden kaynaklanan hasara karşı fiziksel koruma tasarlanmalı ve uygulanmalıdır. Güvenli alanlarda çalışma; Güvenli alanlarda çalışma için fiziksel koruma tasarlanmalı ve uygulanmalıdır. Açık erişim, dağıtım ve yükleme alanları; Dağıtım ve yükleme alanları gibi erişim noktaları ve yetkisiz kişilerin içeri girebileceği diğer noktalar kontrol edilmeli ve mümkünse yetkisiz erişimden kaçınmak için bilgi işleme olanaklarından yalıtılmalıdır.

Teçhizat güvenliği

Amaç: Varlıkların kaybını, hasarını, çalınmasını ya da tehlikeye girmesini ve kuruluşun faaliyetlerinin kesintiye uğramasını engellemek. Teçhizat yerleştirme ve koruma; Teçhizat, çevresel tehditlerden ve tehlikelerden kaynaklanan riskleri ve yetkisiz erişim fırsatlarını azaltmak için yerleştirilmeli ve korunmalıdır. Destek hizmetleri; Teçhizat, elektrik kesintileri ve destek hizmetlerindeki arızalardan kaynaklanan diğer bozulmalara karşı korunmalıdır. Kablolama güvenliği; Veri taşıyan ya da bilgi hizmetlerini destekleyen elektrik ve haberleşme kabloları, kesilme ya da hasarlardan korunmalıdır. Teçhizat bakımı; Teçhizatın sürekli kullanılabilirliğini ve bütünlüğünü sağlamak için doğru şekilde bakımı yapılmalıdır. Kuruluş dışındaki teçhizatın güvenliği; Kuruluş çevresi dışında çalışmanın farklı risklerini hesaba katarak kuruluş dışındaki teçhizata güvenlik uygulanmalıdır. Teçhizatın güvenli olarak elden çıkarılması ya da tekrar kullanımı; Teçhizatın depolama ortamı içeren tüm parçaları, elden çıkarılmadan önce, herhangi bir hassas veri ve lisanslı yazılım varsa kaldırılmasını veya güvenli şekilde üzerine yazılmasını sağlamak için kontrol edilmelidir. Mülkiyet çıkarımı; Ön yetkilendirme olmaksızın teçhizat, bilgi veya yazılım bulunduğu yerden çıkarılmamalıdır.

Haberleşme ve işletim yönetimi

Operasyonel prosedürler ve sorumluluklar

Amaç: Bilgi işleme olanaklarının doğru ve güvenli işletimini sağlamak. Dokümante edilmiş işletim prosedürleri; İşletim prosedürleri dokümante edilmeli, sürdürülmeli ve ihtiyacı olan tüm kullanıcılara kullanılabilir yapılmalıdır. Değişim yönetimi; Bilgi işleme olanakları ve sistemlerinde olan değişiklikler kontrol edilmelidir. Görev ayrımları; Kuruluşun varlıklarının yetkisiz veya farkında olmadan değiştirilme ya da kötüye kullanılma fırsatlarını azaltmak için, görevler ve sorumluluk alanları ayrılmalıdır. Geliştirme, test ve işletim olanaklarının ayrımı; Geliştirme, test ve işletim olanakları, işletilen sisteme yetkisiz erişim veya değişiklik risklerini azaltmak için ayrılmalıdır.

Üçüncü taraf hizmet sağlama yönetimi

Amaç: Üçüncü taraf hizmet sağlama anlaşmalarıyla uyumlu olarak uygun bilgi güvenliği ve hizmet dağıtımı seviyesi gerçekleştirmek ve sürdürmek. Hizmet sağlama; Güvenlik kontrolleri, hizmet tanımları ve sağlama seviyelerinin üçüncü taraf hizmet sağlama anlaşmasında bulunması ve üçüncü tarafça gerçekleştirilmesi, işletilmesi ve sürdürülmesi sağlanmalıdır. Üçüncü taraf hizmetleri izleme ve gözden geçirme; Üçüncü tarafa sağlanan hizmetler, raporlar ve kayıtlar düzenli olarak izlenmeli, gözden geçirilmeli ve düzenli olarak denetimler gerçekleştirilmelidir. Üçüncü taraf hizmetlerdeki değişiklikleri yönetme; Mevcut bilgi güvenliği politikaları, prosedürleri ve kontrollerini sürdürme ve iyileştirmeyi içeren hizmet tedariki değişiklikleri, ilgili iş sistemleri ve proseslerinin kritikliğini ve risklerin yeniden değerlendirmesini hesaba katarak yönetilmelidir..

Sistem planlama ve kabul

Amaç: Sistem başarısızlıkları riskini en aza indirmek. Kapasite planlama; Gerekli sistem performansını sağlamak için, kaynakların kullanımı izlenmeli, ayarlanmalı ve gelecekteki kapasite gereksinimleri için projeksiyonlar yapılmalıdır. Sistem kabulü; Yeni bilgi sistemleri, sistem yükseltmeleri ve yeni sürümler için kabul kriterleri kurulmalı ve geliştirme esnasında ve kabul öncesinde sistem(ler)e ilişkin uygun testler gerçekleştirilmelidir.

Kötü niyetli ve mobil koda karşı koruma

Amaç: Yazılım ve bilginin bütünlüğünü korumak. Kötü niyetli koda karşı kontroller; Kötü niyetli koda karşı korunmak için saptama, önleme ve kurtarma kontrolleri ve uygun kullanıcı farkındalığı prosedürleri gerçekleştirilmelidir. Mobil koda karşı kontroller; Mobil kod kullanımı yetkilendirildiğinde, konfigürasyon yetkilendirilmiş mobil kodun açıkça tanımlanmış bir güvenlik politikasına göre işletilmesini sağlamalı ve yetkilendirilmemiş mobil kodun yürütülmesi önlenmelidir.

Yedekleme

Amaç: Bilgi ve bilgi işleme olanaklarının bütünlüğünü ve kullanılabilirliğini sağlamak. Bilgi yedekleme; Bilgi ve yazılımlara ait yedekleme kopyaları alınmalı ve anlaşılan yedekleme politikasına uygun şekilde düzenli olarak test edilmelidir.

Ağ güvenliği yönetimi

Amaç: Ağdaki bilginin ve destekleyici alt yapının korunmasını sağlamak. Ağ kontrolleri; Tehditlerden korunmak için ve iletilmekte olan bilgi dahil ağı kullanan sistemler ve uygulamalar için güvenliği sağlamak amacıyla ağlar uygun şekilde yönetilmeli ve kontrol edilmelidir. Ağ hizmetleri güvenliği; Tüm ağ hizmetlerinin güvenlik özellikleri, hizmet seviyeleri ve yönetim gereksinimleri tanımlanmalı ve hizmetler kuruluş içinden ya da dışından sağlanmış olsun, her ağ hizmetleri anlaşmasında bulunmalıdır.

Ortam işleme

Amaç: Varlıkların yetkisiz ifşa edilmesi, değiştirilmesi, kaldırılması veya yok edilmesini ve iş faaliyetlerinin kesintiye uğramasını önlemek. Taşınabilir ortam yönetimi; Taşınabilir ortam yönetimi için mevcut prosedürler olmalıdır. Ortamın yok edilmesi; Ortam gereksinimi ortadan kalktığında, resmi prosedürler kullanarak güvenli ve emniyetli bir biçimde yok edilmelidir. Bilgi işleme prosedürleri; Bilgi işleme ve depolama prosedürleri, bu bilgileri yetkisiz ifşa edilmeye ya da kötüye kullanılmaya karşı korumak için kurulmalıdır. Sistem dokümantasyonu güvenliği; Sistem dokümantasyonu, yetkisiz erişime karşı korunmalıdır.

Bilgi değişimi

Amaç: Bir kuruluş içindeki ve herhangi bir dış varlık ile değiştirilen bilgi ve yazılımın güvenliğini sağlamak. Bilgi değişim politikaları ve prosedürleri; Tüm iletişim olanağı türlerinin kullanımıyla bilgi değişimini korumak için resmi değişim politikaları, prosedürleri ve kontrolleri mevcut olmalıdır. Değişim anlaşmaları; Kuruluş ve dış taraflar arasında bilgi ve yazılımın değişimi için anlaşmalar yapılmalıdır. Aktarılan fiziksel ortam; Bilgi içeren ortam, kuruluşun fiziksel sınırları ötesinde taşıma esnasında, yetkisiz erişime, kötüye kullanıma ya da bozulmalara karşı korunmalıdır. Elektronik mesajlaşma; Elektronik mesajlaşmadaki bilgi uygun şekilde korunmalıdır. İş bilgi sistemleri; İş bilgi sistemlerinin birbirine bağlantısı ile ilişkili bilgiyi korumak için politikalar ve prosedürler geliştirilmeli ve gerçekleştirilmelidir.

Elektronik ticaret hizmetleri

Amaç: Elektronik ticaret hizmetlerinin güvenliğini ve bunların güvenli kullanımını sağlamak. Elektronik ticaret; Açık ağlardan geçen elektronik ticaretteki bilgi, hileli faaliyet, anlaşma uyuşmazlığı ve yetkisiz ifşa ve değiştirmeden korunmalıdır. Çevrimiçi işlemler; Çevrimiçi işlemlerdeki bilgi, eksik iletimi, yanlış yönlendirmeyi, yetkisiz mesaj değiştirmeyi, yetkisiz ifşayı, yetkisiz mesaj çoğaltmayı ya da yeniden yürütmeyi önlemek için korunmalıdır. Herkese açık bilgi; Herkese açık bir sistemde kullanılabilir yapılmış bilginin bütünlüğü yetkisiz değiştirmeyi önlemek için korunmalıdır.

İzleme

Amaç: Yetkisiz bilgi işleme faaliyetlerini algılamak. Denetim kaydetme;Kullanıcı faaliyetleri, ayrıcalıkları ve bilgi güvenliği olaylarını kaydeden denetim kayıtları üretilmeli ve ileride yapılabilecek soruşturmalar ve erişim kontrolü izlemeye yardımcı olmak için anlaşılmış bir süre tutulmalıdır. Sistem kullanımını izleme; Bilgi işleme olanaklarının kullanımını izlemek için prosedürler oluşturulmalı ve izleme faaliyetlerinin sonuçları düzenli şekilde gözden geçirilmelidir. Kayıt bilgisinin korunması; Kayıt olanakları ve kayıt bilgisi kurcalanma ve yetkisiz erişime karşı korunmalıdır. Yönetici ve operatör kayıtları; Sistem yöneticisi ve operatör faaliyetleri kaydedilmelidir. Hata kaydı; Hatalar kaydedilmeli, çözümlenmeli ve uygun önlem alınmalıdır. Saat senkronizasyonu; Bir kuruluş ya da güvenlik etki alanındaki tüm ilgili bilgi işleme sistemlerinin saatleri, üzerinde uzlaşıya varılmış doğru bir zaman kaynağı ile senkronize edilmelidir.

Erişim kontrolü

Erişim kontrolü için iş gereksinimi

Amaç: Bilgiye erişimi kontrol etmek. Erişim kontrolü politikası; Erişim için iş ve güvenlik gereksinimlerini temel alan bir erişim kontrol politikası kurulmalı, dokümante edilmeli ve gözden geçirilmelidir.

Kullanıcı erişim yönetimi

Amaç: Bilgi sistemlerine yetkili kullanıcı erişimini sağlamak ve yetkisiz erişimi önlemek. Kullanıcı kaydı; Tüm bilgi sistemlerine ve hizmetlerine erişim izni vermek ve bunu kaldırmak için resmi bir kullanıcı kaydetme ve kayıttan çıkarma prosedürü olmalıdır. Ayrıcalık yönetimi; Ayrıcalıkların tahsisi ve kullanımı sınırlandırılmalı ve kontrol edilmelidir. Kullanıcı parola yönetimi; Parolaların tahsisi, resmi bir yönetim prosesi aracılığıyla kontrol edilmelidir. Kullanıcı erişim haklarının gözden geçirilmesi; Yönetim, kullanıcıların erişim haklarını resmi bir proses kullanarak düzenli aralıklarda gözden geçirmelidir.

Kullanıcı sorumlulukları

Amaç: Yetkisiz kullanıcı erişimini ve bilgi ve bilgi işleme olanaklarının tehlikeye atılmasını ya da çalınmasını önlemek. Parola kullanımı; Kullanıcılardan, parolaların seçiminde ve kullanımında iyi güvenlik uygulamalarını izlemeleri istenmelidir. Gözetimsiz kullanıcı teçhizatı; Kullanıcılar, gözetimsiz teçhizatın uygun bir korumaya sahip olmasını sağlamalıdır. Temiz masa ve temiz ekran politikası; Kağıtlar ve taşınabilir depolama ortamları için bir temiz masa politikası ve bilgi işleme olanakları için bir temiz ekran politikası benimsenmelidir.

Ağ erişim kontrolü

Amaç: Ağ bağlantılı hizmetlere yetkisiz erişimi önlemek. Ağ hizmetlerinin kullanımına ilişkin politika; Kullanıcıların sadece, özellikle kullanımlarına yetki verilen hizmetlere erişime sahip olmaları sağlanmalıdır. Dış bağlantılar için kullanıcı kimlik doğrulama; Uzaktan kullanıcıların erişimini kontrol etmek için uygun kimlik doğrulama metotları kullanılmalıdır. Ağlarda teçhizat tanımlama; Otomatik teçhizat tanımlama, belirli yerler ve teçhizattan bağlantıların kimliğini doğrulamak için bir yöntem olarak düşünülmelidir. Uzak tanı ve yapılandırma portu koruma; Tanı ve yapılandırma portlarına fiziksel ve mantıksal erişim kontrol. Ağlarda ayrım; Ağlarda, bilgi hizmetleri, kullanıcıları ve bilgi sistemleri grupları ayrılmalıdır. Ağ bağlantı kontrolü; Özellikle kuruluşun sınırlarını aşan paylaşılan ağlar için, kullanıcıların ağa bağlanabilme yetenekleri erişim kontrol politikası ve iş uygulamalarının gereksinimlerine uygun olarak sınırlanmalıdır. Ağ yönlendirme kontrolü; Ağlar için, bilgisayar bağlantılarının ve bilgi akışlarının iş uygulamalarının erişim kontrol politikasını ihlal etmemesini sağlamak için yönlendirme kontrolleri gerçekleştirilmelidir.

İşletim sistemi erişim kontrolü

Amaç: İşletim sistemine yetkisiz erişimi önlemek. Güvenli oturum açma prosedürleri; İşletim sistemlerine erişim güvenli bir oturum açma prosedürü ile kontrol edilmelidir. Kullanıcı kimlik tanımlama ve doğrulama; Tüm kullanıcılar, kendi kişisel kullanımları için, benzersiz bir kimliğe (kullanıcı kimliği) sahip olmalıdırlar ve bir kullanıcının öne sürdüğü kimliğini ispatlamak için uygun bir kimlik doğrulama tekniği seçilmelidir. Parola yönetim sistemi; Parola yönetim sistemleri etkileşimli olmalı ve nitelikli parolalar sağlamalıdır. Yardımcı sistem programlarının kullanımı; Sistemin üzerine yazabilme yeteneği olabilecek yardımcı sistem programlarının kullanımı kısıtlanmalı ve sıkıca kontrol edilmelidir. Oturum zaman aşımı; Etkin olmayan oturumlar tanımlanmış belirli bir hareketsizlik süresinden sonra kapatılmalıdır. Bağlantı süresinin sınırlandırılması; Bağlantı sürelerinde sınırlandırmalar, yüksek riskli uygulamalara ek güvenlik sağlamak için kullanılmalıdır.

Uygulama ve bilgi erişim kontrolü

Amaç: Uygulama sistemlerinde tutulan bilgilere yetkisiz erişimi önlemek. Bilgi erişim kısıtlaması; Kullanıcılar ve destek personeli tarafından bilgi ve uygulama sistem işlevlerine erişim, tanımlanmış erişim kontrol politikasına uygun olarak kısıtlanmalıdır. Hassas sistem yalıtımı; Hassas sistemler, adanmış (yalıtılmış) bir bilgi işlem ortamına sahip olmalıdır.

Mobil bilgi işleme ve uzaktan çalışma

Amaç: Mobil bilgi işleme ve uzaktan çalışma hizmetlerini kullanırken bilgi güvenliğini sağlamak. Mobil bilgi işleme ve iletişim; Resmi bir politika bulunmalı ve mobil bilgi işleme ve iletişim olanaklarının kullanılma risklerine karşı korunmak için uygun güvenlik önlemleri benimsenmelidir. Uzaktan çalışma; Uzaktan çalışma faaliyetleri için bir politika, operasyonel planlar ve prosedürler geliştirilmeli ve gerçekleştirilmelidir.

Bilgi sistemleri edinim, geliştirme ve bakımı

Bilgi sistemlerinin güvenlik gereksinimleri

Amaç: Güvenliğin bilgi sistemlerinin dahili bir parçası olmasını sağlamak. Güvenlik gereksinimleri analizi ve belirtimi; Yeni bilgi sistemleri için iş gereksinimleri bildirgeleri ya da mevcut bilgi sistemlerine yapılan iyileştirmeler güvenlik kontrolleri için gereksinimleri belirlemelidir.

Uygulamalarda doğru işleme

Amaç: Uygulamalardaki bilginin hatalarını, kaybını, yetkisiz değiştirilmesini ve kötüye kullanımını önlemek. Giriş verisi geçerleme; Uygulamalara veri girişi, bu verinin doğruluğunun ve uygunluğunun sağlanması için geçerlenmelidir. İç işleme kontrolü; İşleme hataları veya kasıtlı eylemler nedeniyle herhangi bir bilgi bozulmasını saptamak için geçerleme kontrolleri uygulamalar içine dahil edilmelidir. Mesaj bütünlüğü; Uygulamalarda verinin kimliğinin doğruluğunu sağlama ve mesaj bütünlüğünü koruma gereksinimleri tanımlanmalı ve uygun kontroller tanımlanıp gerçekleştirilmelidir. Çıkış verisi geçerleme; Bir uygulamadan veri çıktısı, depolanan bilginin işlenmesinin koşullara göre doğruluğunun ve uygunluğunun sağlanması için geçerlenmelidir.

Kriptografik kontroller

Amaç: Bilginin gizliliğini, aslına uygunluğunu ya da bütünlüğünü kriptografik yöntemlerle korumak. Kriptografik kontrollerin kullanımına ilişkin politika; Bilginin korunması için kriptografik kontrollerin kullanımına ilişkin bir politika geliştirilmeli ve gerçekleştirilmelidir. Anahtar yönetimi; Kuruluşun kriptografik teknikleri kullanmasını desteklemek için anahtar yönetimi bulunmalıdır.

Sistem dosyalarının güvenliği

Amaç: Sistem dosyalarının güvenliğini sağlamak. Operasyonel yazılımın kontrolü; Operasyonel sistemlerdeki yazılımların kurulmasını kontrol etmek için prosedürler bulunmalıdır. Sistem test verisinin korunması; Test verisi dikkatlice seçilmeli, korunmalı ve kontrol edilmelidir. Program kaynak koduna erişim kontrolü; Program kaynak koduna erişim kısıtlı olmalıdır.

Geliştirme ve destekleme proseslerinde güvenlik

Amaç: Uygulama sistem yazılımı ve bilgisinin güvenliğini sağlamak. Değişim kontrol prosedürleri; Değişikliklerin gerçekleştirilmesi, resmi değişim kontrol prosedürlerinin kullanımı ile kontrol edilmelidir. İşletim sistemindeki değişikliklerden sonra teknik gözden geçirme; İşletim sistemleri değiştirildiğinde, kurumsal işlemlere ya da güvenliğe hiçbir kötü etkisi olmamasını sağlamak amacıyla iş için kritik uygulamalar gözden geçirilmeli ve test edilmelidir. Yazılım paketlerindeki değişikliklerdeki kısıtlamalar; Yazılım paketlerine yapılacak değişiklikler, gerek duyulanlar hariç önlenmeli ve tüm değişiklikler sıkı bir biçimde kontrol edilmelidir. Bilgi sızması; Bilgi sızması fırsatları önlenmelidir. Dışarıdan sağlanan yazılım geliştirme; Dışarıdan sağlanan yazılım geliştirme kuruluş tarafından denetlenmeli ve izlenmelidir.

Teknik açıklık yönetimi

Amaç: Yayınlanmış teknik açıklıkların istismarından kaynaklanan riskleri azaltmak. Teknik açıklıkların kontrolü; Kullanılan bilgi sisteminin teknik açıklıkları hakkında zamanında bilgi elde edilmeli, kuruluşun bu tür açıklıklara maruz kalması değerlendirilmeli ve ilişkili riskleri hedef alan uygun önlemler alınmalıdır.

Bilgi güvenliği ihlal olayı yönetimi

Bilgi güvenliği olayları ve zayıflıklarının rapor edilmesi

Amaç: Bilgi sistemleri ile ilişkili bilgi güvenliği olayları ve zayıflıklarının zamanında düzeltici önlemlerin alınabilmesine izin verecek şekilde bildirilmesini sağlamak. Bilgi güvenliği olaylarının rapor edilmesi; Bilgi güvenliği olayları uygun yönetim kanalları aracılığıyla mümkün olduğu kadar hızlı biçimde rapor edilmelidir. Güvenlik zayıflıklarının rapor edilmesi; Bilgi sistemleri ve hizmetlerinin tüm çalışanları, yüklenicileri ve üçüncü taraf kullanıcılarından, sistemler ve hizmetlerdeki gözlenen veya şüphelenilen herhangi bir güvenlik zayıflığını dikkat etmeleri ve rapor etmeleri istenmelidir.

Bilgi güvenliği ihlal olayları ve iyileştirmelerin yönetilmesi

Amaç: Bilgi güvenliği ihlal olaylarının yönetimine tutarlı ve etkili bir yaklaşımın uygulanmasını sağlamak. Sorumluluklar ve prosedürler; Bilgi güvenliği ihlal olaylarına hızlı, etkili ve düzenli bir yanıt verilmesini sağlamak için yönetim sorumlulukları ve prosedürleri oluşturulmalıdır. Bilgi güvenliği ihlal olaylarından öğrenme; Bilgi güvenliği ihlal olaylarının türleri, miktarları ve maliyetlerinin ölçülüp izlenebilmesini sağlayan mekanizmalar bulunmalıdır. Kanıt toplama; Bir bilgi güvenliği ihlal olayından sonra bir kişi veya kuruluşa karşı alınan takip önlemi yasal eylem (ya sivil hukuk ya da ceza hukuku) içerdiğinde, ilgili yargılama kurallarında belirlenmiş olan kanıt kuralları ile uyumlu şekilde kanıt toplanmalı, tutulmalı ve sunulmalıdır.

İş sürekliliği yönetimi

İş sürekliliği yönetiminin bilgi güvenliği hususları

Amaç: İş faaliyetlerindeki kesilmeleri önlemek ve önemli iş proseslerini büyük bilgi sistemleri başarısızlıklarından ya da felaketlerden korumak ve bunların zamanında devam etmesini sağlamak. Bilgi güvenliğini iş sürekliliği yönetim prosesine dahil etme; Kuruluş genelinde iş sürekliliği için, bu amaçla ihtiyaç duyulan bilgi güvenliği gereksinimlerini ifade eden bir yönetilen proses geliştirilmeli ve sürdürülmelidir. İş sürekliliği ve risk değerlendirme; İş proseslerinde kesintilere yol açan olaylar, bu tür kesintilerin olasılığı ve etkisi ve bunların bilgi güvenliği için sonuçları ile birlikte tanımlanmalıdır. Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme; Önemli iş proseslerinde yaşanan kesintileri ya da başarısızlıkları takiben iş operasyonlarını sürdürmek ya da onarmak ve bilginin gerekli seviyede ve gerekli zaman ölçeklerinde kullanılabilirliğini sağlamak için planlar geliştirilmeli ve gerçekleştirilmelidir. İş sürekliliği planlama çerçevesi; Tüm planların tutarlı olmasını sağlamak, tutarlı şekilde bilgi güvenliği gereksinimlerini ifade etmek ve test ve bakım önceliklerini tanımlamak için tek bir iş sürekliliği planları çerçevesi oluşturulmalıdır. İş sürekliliği planlarını test etme, sürdürme ve yeniden değerlendirme; İş sürekliliği planları, güncel ve etkili olmalarını sağlamak için, düzenli olarak test edilmeli ve güncelleştirilmelidir.

Uyum

Yasal gereksinimlerle uyum

Amaç: Her türlü hukuka, yasal, düzenleyici ya da sözleşmeye tabi yükümlülüklere ve her türlü güvenlik gereksinimlerine ilişkin ihlalleri önlemek. Uygulanabilir yasaları tanımlanma; İlgili tüm yasal, düzenleyici ve sözleşmeden doğan gereksinimleri ve kuruluşun bu gereksinimleri karşılama yaklaşımı her bilgi sistemi ve kuruluş için açıkça tanımlanmalı, dokümante edilmeli ve güncel tutulmalıdır. Fikri mülkiyet hakları (IPR); Fikri mülkiyet haklarına göre materyallerin kullanımı ve patentli yazılım ürünlerinin kullanımı üzerindeki yasal, düzenleyici ve anlaşmalarla doğan gereksinimlere uyum sağlamak için uygun prosedürler gerçekleştirilmelidir. Kurumsal kayıtların korunması; Önemli kayıtlar, kaybedilmeye, yok edilmeye ve sahteciliğe karşı, yasal, düzenleyici, anlaşmalarla doğan gereksinimler ve iş gereksinimlerine uygun olarak korunmalıdır. Veri koruma ve kişisel bilgilerin gizliliği; Uygun yasa, düzenlemeler ve varsa anlaşma maddelerinde belirtildiği gibi veri koruma ve gizlilik sağlanmalıdır. Bilgi işleme olanaklarının kötüye kullanımını önleme; Kullanıcılar, yetki verilmemiş amaçlarla bilgi işleme olanaklarını kullanmaktan caydırılmalıdır. Kriptografik kontrolleri düzenleme; İlgili tüm sözleşmeler, yasalar ve düzenlemelerle uyum için kriptografik kontroller kullanılmalıdır.

Güvenlik politikaları ve standardlarla uyum ve teknik uyum

Amaç: Sistemlerin kurumsal güvenlik politikaları ve standartlarıyla uyumunu sağlamak. Güvenlik politikaları ve standartlarla uyum; Yöneticiler, güvenlik politikaları ve standardlarla uyumu başarmak için sorumluluk alanlarındaki tüm güvenlik prosedürlerinin doğru olarak gerçekleştirilmesini sağlamalıdırlar. Teknik uyum kontrolü; Bilgi sistemleri, güvenlik gerçekleştirme standartlarıyla uyumlu olması için düzenli aralıklarla kontrol edilmelidir.

Bilgi sistemleri denetim hususları

Amaç: Bilgi sistemleri denetim prosesinin etkinliğini artırmak ve müdahaleleri azaltmak. Bilgi sistemleri denetim kontrolleri; İş proseslerindeki bozulma risklerini en aza indirmek için, operasyonel sistemlerde kontrolleri içeren denetim gereksinimleri ve faaliyetleri dikkatlice planlanmalı ve üzerinde anlaşmaya varılmalıdır. Bilgi sistemleri denetim araçlarının korunması; Bilgi sistemleri denetim araçlarına erişim olası kötüye kullanımlara ya da uyuşmazlıklara karşı korunmalıdır.

OECD prensipleri ve ISO 27001 standardı

OECD Guidelines for the Security of Information Systems and Networks içinde verilen prensipler, bilgi sistemlerinin ve ağlarının güvenliğini yöneten tüm politika ve operasyonel seviyelere uygulanır.

OECD prensibi

Farkında olma: Katılımcılar, bilgi sistemlerinin ve ağlarının güvenliğine ihtiyaç olduğunun ve güvenliği artırmak için neler yapabileceklerinin farkında olmalıdırlar.

Sorumluluk: Tüm katılımcılar, bilgi sistemlerinin ve ağlarının güvenliğinden sorumludur.

Tepki: Katılımcılar, güvenlik olaylarını engellemek, saptamak ve yanıtlamak için zamanında ve işbirliği içinde hareket etmelidir.

Risk değerlendirme: Katılımcılar risk değerlendirmeleri gerçekleştirmelidirler.

Güvenlik tasarım ve gerçekleştirme: Katılımcılar, güvenliği bilgi sistemlerinin ve ağlarının ayrılmaz bir parçası olarak dahil etmelidir.

Güvenlik yönetimi: Katılımcılar, güvenlik yönetimine kapsamlı bir yaklaşımı benimsemelidir.

Yeniden değerlendirme: Katılımcılar bilgi sistemleri ve ağlarının güvenliğini gözden geçirmeli ve tekrar değerlendirmeli ve güvenlik politikalarına, uygulamalarına, ölçümlerine ve prosedürlerine uygun değişiklikleri yapmalıdır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standart Maddeleri aşağıda verilmiştir.
4 Bilgi güvenliği yönetim sistemi
4.1 Genel gereksinimler
4.2 BGYS’nin kurulması ve yönetilmesi
4.3 Dokümantasyon gereksinimleri
5 Yönetim sorumluluğu
5.1 Yönetimin bağlılığı
5.2 Kaynak yönetimi
6 BGYS iç denetimleri
7 BGYS’yi yönetimin gözden geçirmesi
7.1 Genel
7.2 Gözden geçirme girdisi
7.3 Gözden geçirme çıktısı
8 BGYS iyileştirme
8.1 Sürekli iyileştirme
8.2 Düzeltici faaliyet
8.3 Önleyici faaliyet