ISO 27001 etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
ISO 27001 etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

7 Kasım 2022 Pazartesi

 ISO/IEC 27001:2022 ve ISO/IEC 27002:2022 İncelemesi

Sinem Varol, ISO 27001 LA

Geçtiğimiz günlere kadar ISO/IEC 27001 standardının ulusal çapta geçerli olan 2013 versiyonu kullanılmaktaydı. Şubat ayında ISO/IEC 27002 standardının 2022 versiyonunun yayınlanmasından sonra, ISO/IEC 27001 standardının yeni versiyonu 25 Ekim 2022 tarihinde yayınlandı. Bu yazımızda standardın yeni versiyonunda yapılan değişiklikleri ve yenilikleri inceleyeceğiz.

1.       Değişiklikler incelendiğinde ilk göze çarpanın standardın ismi olduğu görülüyor. 2013 versiyonunda “Bilgi teknolojisi - Güvenlik teknikleri – Bilgi güvenliği yönetim sistemleri – Gereksinimler” olan standart ismi yeni versiyonuyla birlikte “Bilgi güvenliği, siber güvenlik ve mahremiyetin korunması– Bilgi güvenliği yönetim sistemleri – Gereksinimler” olarak güncellendi.

2.       Standardın içeriğinde yapılan değişikliklerle birlikte 2013 versiyonu 23 sayfa uzunluğundayken 2022 versiyonunda bunun 19 sayfaya düştüğü fark ediliyor.

3.       2022 versiyonunda standardın Madde 3 Terimler ve tarifler başlığında kullanılabilecek terminoloji veri tabanları bilgileri paylaşılmış. Yapılan ekleme “ISO ve IEC, standardizasyonda kullanılmak üzere aşağıdaki adreslerdeki terminoloji veri tabanlarını sürdürür:

                — ISO Çevrimiçi tarama platformu: https://www.iso.org/obp adresinde mevcut

                — IEC Elektropedia: https://www.electropedia.org/ adresinde mevcut

4.       Madde 4.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması” maddesine “c) Bilgi güvenliği yönetim sistemi vasıtasıyla bu gereksinimlerden hangilerinin ele alınacağı” ifadesi eklendi. Güncel madde aşağıdaki gibi:

                “Kuruluş aşağıdakileri belirleyecektir:

                a) Bilgi güvenliği yönetim sistemi ile ilgili taraflar;

                b) Bu ilgili tarafların bilgi güvenliği ile ilgili gereksinimleri;

                (yeni) c) Bilgi güvenliği yönetim sistemi aracılığıyla bu gereksinimlerden hangilerinin ele alınacağı.”

                Not - İlgili tarafların gereksinimleri yasal ve düzenleyici gereksinimleri ve sözleşmeden doğan                 yükümlülükleri içeriyor olabilir.”

5.       Madde 4.4’e yapılan eklemeyle birlikte yeni versiyonda süreçlere daha fazla odaklanıldığı fark ediliyor. Güncel madde: “Kuruluş, ihtiyaç duyulan süreçleri ve bu süreçlerin etkileşimlerini içeren, bu standardın şartları çerçevesinde bir bilgi güvenliği yönetim sistemini kurmalı, uygulamalı, sürdürmeli ve sürekli iyileştirmelidir.”

6.       Yeni versiyonda bilgi güvenliği hedefleri için 6.2 maddesine yeni gereksinimler eklendi (yenilikler kalın harfle belirtilmiştir).

        Kuruluş, uygun işlevler ve seviyelerde bilgi güvenliği amaçlarını tesis etmelidir.

        Bilgi güvenliği amaçları aşağıdakileri sağlamalıdır:

        a) Bilgi güvenliği politikası ile tutarlı olmalı,

        b) Ölçülebilir olmalı (uygulanabilirse),

        c) Uygulanabilir bilgi güvenliği şartlarını ve risk değerlendirme ve risk işlemenin sonuçlarını            dikkate almalı,

        d) İzlenmeli,

        e) Duyurulmalı,

        f) Uygun şekilde güncellenmeli ve

        g) Yazılı bilgi olarak mevcut olmalıdır.

7.       Yeni versiyonda “6.3 Değişikliklerin planlanması” adlı yeni bir madde eklendi.

        6.3 Değişikliklerin planlanması

        Kuruluş bilgi güvenliği yönetim sistemindeki değişiklik ihtiyacını belirlediğinde, değişiklikler           planlı bir şekilde gerçekleştirilmelidir.

8.       7.4 İletişim maddesindeki gereksinimlerde değişiklik yapıldı, yeni bir gereksinim eklendi.

        Eski versiyon: 7.4 İletişim

        Kuruluş aşağıdakileri içeren bilgi güvenliği yönetim sistemi ile ilgili dâhili ve harici iletişim ihtiyaçlarını belirlemelidir:

        a) İletişimin konusu,

        b) Ne zaman iletişim kurulacağı,

        c) Kiminle iletişim kurulacağı,

        d) Kimin iletişim kuracağı ve

        e) İletişimin hangi süreçten etkileneceği.

        Yeni versiyon: 7.4 İletişim

        Kuruluş aşağıdakileri içeren bilgi güvenliği yönetim sistemi ile ilgili dâhili ve harici iletişim ihtiyaçlarını belirlemelidir:

        a) İletişimin konusu,

        b) Ne zaman iletişim kurulacağı,

        c) Kiminle iletişim kurulacağı ve

        d) Nasıl iletişime geçileceği.

9.       8.1 İşletimsel planlama ve kontrol maddesine yeni gereksinimler eklendi:

        Eski versiyon: Kuruluş bilgi güvenliği şartlarını karşılamak ve Madde 6.1’de belirlenen      faaliyetleri gerçekleştirmek için gerekli olan süreçleri planlamalı, uygulamalı ve kontrol etmelidir. Kuruluş, Madde 6.2’de belirlenen bilgi güvenliği amaçlarını başarmak için aynı            zamanda planları uygulamalıdır.

        Kuruluş, süreçlerin planlandığı gibi yürütüldüğünden emin olduğu noktaya kadar yazılı bilgileri     saklamalıdır.

        Kuruluş, planlanan değişiklikleri kontrol etmeli ve istenmeyen değişikliklerin sonuçlarını                 gözden geçirerek, gerekiyor ise kötü etkileri azaltmak için eyleme geçmelidir.

        Kuruluş, dış kaynaklı süreçlerin belirlenmesini ve kontrol edilmesini temin etmelidir.

        Yeni versiyon: Kuruluş;

-        süreçler için kriterler oluşturarak ve

-        kriterlere göre süreçlerin kontrolünü uygulayarak

        şartları karşılamak ve Madde 6’da belirlenen faaliyetleri gerçekleştirmek için gerekli olan               süreçleri planlamalı, uygulamalı ve kontrol etmelidir.

        Yazılı bilgiler, süreçlerin planlandığı gibi yürütüldüğünden emin olunduğu noktaya kadar                 mevcut olmalıdır.

        Kuruluş, planlanan değişiklikleri kontrol etmeli ve istenmeyen değişikliklerin sonuçlarını                 gözden geçirerek, gerekiyor ise kötü etkileri azaltmak için eyleme geçmelidir.

        Kuruluş, bilgi güvenliği yönetim sistemiyle ilgili dış kaynaklı süreçler, ürünler ya da       hizmetlerin kontrol edilmesini temin etmelidir.

10.   9.2 İç tetkik ve 9.3 Yönetimin gözden geçirmesi maddelerinin yapısı değişti ve 9.3.2 Yönetimin gözden geçirmesi girdileri maddesine yeni bir gereksinim eklendi.

        Eski versiyon: 9.2 İç tetkik

                                   9.3 Yönetimin gözden geçirmesi

        Yeni versiyon: 9.2 İç tetkik

                                    9.2.1 Genel

                                    9.2.2 İç tetkik programı

                                    9.3 Yönetimin gözden geçirmesi

                                    9.3.1 Genel

                                    9.3.2 Yönetimin gözden geçirmesi girdileri

                                    9.3.3 Yönetimin gözden geçirmesi sonuçları

        c) Bilgi güvenliği yönetim sistemiyle ilişkili ilgili tarafların ihtiyaç ve beklentilerindeki                 değişiklikler

11.   10 İyileştirme maddesinin yapısında değişiklik yapıldı.

        Eski versiyon: 10.1 Uygunsuzluk ve düzeltici faaliyet

                                   10.2 Sürekli iyileştirme

        Yeni versiyon: 10.1 Sürekli iyileştirme

                                    10.2 Uygunsuzluk ve düzeltici faaliyet

12.   Ek-A bilgi güvenliği kontrollerinde değişiklikler yapıldı. A.5’ten A.18’e kadar giden domain yapısı değiştirildi, kontroller 4 kategoriye ayrıldı. Kontroller aşağıdaki gibi kategorize edildi:

a.       Eğer bireysel kişileri ilgilendiriyorsa İnsan

b.      Fiziksel nesnelerle ilgiliyse Fiziksel

c.       Teknoloji ile ilgili ise Teknolojik

d.      Aksi takdirde Organizasyonel

          Kontroller için sadece 2022 versiyonunda olan beş yeni nitelik tanımlandı.

1.       Kontrol türü (Önleyici, Tespit Edici, Düzeltici)

2.       Bilgi güvenliği özellikleri (G-B-E)

3.       Siber güvenlik kavramları (Tanımlama, Koruma, Tespit Etme, Yanıt Verme ve Kurtarma)

4.       Operasyonel kabiliyetler

5.       Güvenlik alanları

        Toplam kontrol sayısının 114’ten 93’e düştüğü görülüyor. 11 yeni kontrol eklendi. Eklenen            kontroller aşağıdaki gibi:

-        A.5.7 Tehdit istihbaratı

-        A.5.23 Bulut hizmetlerinin kullanımı için bilgi güvenliği

-        A.5.30 İş sürekliliği için bilgi ve iletişim teknolojilerinin hazırlığı

-        A.7.4 Fiziksel güvenlik izleme

-        A.8.9 Konfigürasyon yönetimi

-        A.8.10 Bilgi silme

-        A.8.11 Veri maskeleme

-        A.8.12 Veri sızıntısını önleme

-        A.8.16 İzleme faaliyetleri

-        A.8.23 Web filtreleme

-        A.8.28 Güvenli kodlama

 

                Yeni eklenen niteliklerle birlikte kontrol örneği aşağıda verilmiştir.

                5.1 Bilgi güvenliği için politikalar

Kontrol türü

Bilgi güvenliği özellikleri

Siber güvenlik kavramları

Operasyonel kabiliyetler

Güvenlik alanları

#Önleyici

#Gizlilik #Bütünlük #Erişilebilirlik

#Tanımlama

#Yönetişim

#Yönetişim_ve_Ekosistem #Dayanıklılık

 

                Kontrol

                Bilgi güvenliği politikası ve konuya özel politikalar tanımlanmalı, yönetim tarafından          onaylanmalı, yayınlanmalı, ilgili personel ve ilişkili ilgili taraflara bildirilmeli ve tanınmalı,              planlı aralıklarla ve önemli değişiklikler meydana gelirse gözden geçirilmelidir.

                Amaç

                Bilgi güvenliği için yönetimin yönlendirmesi ve desteğinin, ticari, yasal, düzenleyici ve      sözleşmeye dayalı gereksinimlere göre sürekli uygunluğunu, yeterliliğini, etkinliğini sağlamak.

Bilgi Güvenliği Yönetim Sistemi işletiyorsanız, versiyon geçişi için aşağıdakileri yapmanız tavsiye edilir:

1.       Risk işleme planı yeni yapıya ve kontrollere göre gözden geçirilmelidir.

2.       Uygulanabilirlik Bildirgesi (SoA) gözden geçirilmeli ve güncellenmelidir.

3.       Bilgi Güvenliği Yönetim Sistemi yönetimin gözden geçirme prosedürü (girdiler için) gözden geçirilmeli ve güncellenmelidir.

4.       Bilgi güvenliği hedefleri ve izleme, ölçme, analiz ve değerlendirme prosedürü gözden geçirilmeli ve güncellenmelidir.

5.       Bilgi Güvenliği Yönetim Sistemi iletişim planı gözden geçirilmeli ve güncellenmelidir.

6.       Gerekliyse, diğer politikalar, standartlar ve prosedürler gözden geçirilmeli ve güncellenmelidir.

7.       Dahili ve harici olmak üzere, denetimler için kullanılan kontrol listeleri ve anketler gözden geçirilmeli ve güncellenmelidir.

8.       Kullandığınız kayıtların yeni gereksinimlere uyumluluğunu göstermek için, üçüncü taraf güvenlik araçları (örneğin GRC, SIEM, VM) değerlendirilmelidir ve imkan dahilinde uyarlanmalıdır.

16 Şubat 2022 Çarşamba

ISO 27001 ve ISO 27002 Standartlarının 2022 Sürümü Değişiklikleri

(Özet Bilgiler)

ISO 27001 ve ISO 27002 standartları BGYS (Bilgi Güvenliği Yönetim Sistemi) konusunda en temel başvuru kaynaklarıdır. Bu iki standart da doğrudan bilgi güvenliği konusunu ele alırlar. Teknik ve teknoloji bağımlı standartlar değildirler. Kurumlar uygulayacağı yöntem ve teknolojileri seçmekte serbesttirler.

ISO 27001 standardı BGYS’nin kurulumu, gerçeklenmesi, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve iyileştirilmesi için gereksinimleri ortaya koyar. Belgelenebilir bir standart olması nedeni bilgi güvenliği alanında en yaygın bilinen standarttır. ISO 27001 standardının EK-A kısmında bilgi güvenliği kontrolleri yer almaktadır. ISO 27002’de ise ISO 27001 EK-A kısmında yer alan bilgi güvenliği kontrollerinin iyi uygulama pratikleri yer almaktadır.

Uzun bir süredir güncellenmeyen bu iki standart 2022 yılı içinde güncellenecektir. İlk güncelleme 15 Şubat 2022 tarihinde ISO 27002 standardında gerçekleşmiştir.

Temelde neler değişmiştir? Değişecektir?

-          ISO 27001 standardı Annex SL uyumlu olarak yayınlanacağı bildirilmiştir. Madde 4 ila 10 arası zorunlu maddeler varlığını koruyacaktır.

-          ISO 27002 de bulunan kontrol grubu sayısı ve kontrol sayısı değişmiştir. Kontrol grubu sayısı 14’ten 4’e düşmüştür. Kontrol sayısı ise 114’ten 93’e inmiştir.

-          Toplamda 11 yeni kontrol getirilmiştir. Kaldırılan herhangi bir kontrol yoktur. Birçok kontrol birleştirilerek kontrol sayısı düşürülmüştür.

ISO 27002 2022 sürümünde bilgi güvenliği kontrolleri aşağıdaki şekilde gruplandırılmıştır.

-          Organizasyonel kontroller (Organizational controls)

-          Personel/insan ile ilgili  kontroller (People controls)

-          Fiziksel kontroller (Physical controls)

-          Teknolojik kontroller (Technological controls)

Bulut servislerinin kullanımı için bilgi güvenliği, Bilgi güvenliği olaylarının (Event) değerlendirilmesi ve karar verilmesi, kesinti sırasında bilgi güvenliği, veri sızıntısı önleme, veri maskeleme, web filtreleme gibi ek kontroller getirilmiştir.

ISO 27001:2022 sürümünün yıl içinde ne zaman yayınlanacağı henüz açıklanmamıştır. Ancak ana süreçlerde değişiklik beklenmediği için temelde aşağıdaki çalışmalar ile uyumluluğun sağlanacağı değerlendirilmektedir. 

-          Değişen kontrol isimleri, sayısı ve grupları nedeni ile ilgili kontrol dokümantasyonunda güncellemeler.

-          Yeni kontroller nedeni ile teknik bazı işleyişlerin yeni yapıya adaptasyonu.

-          Uygulanabilirlik bildirgesinin yeni yapıya göre yenilenmesi

-          Risk değerlendirmelerinin yenilenmesi ve bu sayede yeni kontrol yapısına göre risk eşleştirmeleri.


27 Ekim 2017 Cuma

KİŞİSEL VERİLERİN KORUNMASI KONUSUNDA UYGULANABİLECEK BİLGİ GÜVENLİĞİ KONTROLLERİ

Günlük hayatımızda teknolojiyi kullanma yatkınlığımız her geçen gün artmaktadır. Bu eğilim içerisinde yaşamımızda önemli bir rol oynamaya başlayan Bilgi Güvenliği terimi ön plana çıkmaktadır. Bilgi Güvenliğini doğru şekilde sağlamaya yönelik kaygıların sadece günümüzün problemi olduğunu düşünüyorsanız yanılıyorsunuz demektir. Çünkü içinde bulunduğumuz çağda önce sunucuların daha sonra kişisel bilgisayarların arkasından Internet’in devamında mobil cihazların ve son olarak nesnelerin internetinin ortaya çıkmasıyla her dönemde güvenlik kaygıları oluşmuştur. Dahası, Bilgi Güvenliği çağımızda yaşanan bu gelişmelerin de dışında mazisi milattan önceye varan örnekleri içermektedir. Bu örneklerin en eskilerinden biri; önemli yazışmaların ve metinlerin gizliliğinin korunabilmesi amacıyla kriptografik yöntemlerle şifrelenerek (bkz. Sezar şifresi) iletilmesidir. Bilgi güvenliği terimi bilginin gizlilik “bilginin yetkisiz kişilere ifşasını engellemek” olduğu kadar bütünlük “yetkisiz değişimleri engelleyerek tamlığını ve doğruluğunu korumak” ve erişilebilirlik “ihtiyaç duyulduğunda kullanılabilir olması” özelliklerini de sağlamaya yöneliktir.

Yaşadığımız çağda gündemi bilgi güvenliği kadar işgal eden diğer bir konu ise mahremiyettir. Mahremiyet, kişinin kendisine ve yaşam alanına müdahale edilmemesi ya da kendine ait bilgilerin bilinmesini istemediği kişilerden soyutlanması olarak tanımlanabilir. Kişiyi tanımlayan bilgiler kimlik numarası, müşteri numarası olabileceği gibi sağlık, cinsel hayat, adli sicil kaydı gibi hassas veriler de olabilmektedir. Mahremiyetin ana motivasyonunun kişiye ait bilgilere yetkisiz kişilerin erişmemesidir. Özetle mahremiyet kavramında gizliliğin önemli bir faktör olduğu ifade edilebilir. Bu faktöre ek olarak Kişisel Verilerin Korunmasını düzenleyen ulusal ve uluslararası mevzuatlarda kişisel verilerin işlenebilmesi için “Doğru ve gerektiğinde güncel olma” ilkesi yer almaktadır. Bu nedenle “bilginin bütünlüğü”nün de korunması gereken bir başka faktör olduğu anlaşılmaktadır.  

Bilgi Güvenliği Standardı

Bilgi Güvenliğinin sistematik bir biçimde uygulanabilmesi amacıyla ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı 2005 yılında yayınlanmıştır. Bu standart 2013 yılında revizyona uğrayarak güncel olarak kullanılan haline kavuşmuştur. Standart, uygulanacak yönetim sistemini tarif etmekle birlikte, Ek-A bölümünde yer alan 14 alanda 114 teknik güvenlik kontrolü de içermektedir. Bu kontroller uygulanırken dikkat edilecek iyi uygulama tavsiyeleri ISO/IEC 27002:2013 Uygulama Pratikleri standardında tanımlanmıştır.

Kanuni Düzenlemeler

Mahremiyete ilişkin düzenlemeler 2. Dünya Savaşı sonrasında ortaya çıkmıştır. 1948 yılında özel hayatın gizliliğini korumaya yönelik madde (bkz. Madde 12) içeren İnsan Hakları Evrensel Beyannamesini 1970’lerde İsveç, Almanya ve Amerika Birleşik Devletleri’ndeki Mahremiyet yasaları izlemiştir. Avrupa Birliği’nin üyesi ve üyelik sürecindeki ülkelerin veri koruma düzenlemelerini tanımlayan Veri Koruma Direktifi (bkz. Data Protection Directive 95/46/EC) 1995’te yürürlüğe girmiştir. Avrupa Birliği’nin yeni bir düzenlemesi olan General Data Protection Regulation (GDPR) 2016 yılında kabul edilmiş ve Mayıs 2018’de yürürlüğe girecektir. Avrupa Birliği sakini veya vatandaşlarının kişisel verisini işleyen veri sorumlularının bu düzenlemeye uyumlu olmaları gerekmektedir.

Türkiye Cumhuriyeti’nin mahremiyete ilişkin en kayda değer düzenlemelerinden birisi 2010 yılında Anayasa’nın 20. Maddesi olan özel hayatın gizliliğinde yapılan değişiklikle kişisel verilerin korunmasına ilişkin maddenin eklenmesidir. Ayrıca, Türkiye Cumhuriyeti’nde Avrupa Birliğine üyelik sürecinin bir parçası olarak 7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verileri Koruma Kanunu bu direktife uyumlu olarak oluşturulmuştur.

ISO 27001:2005 ve ISO 27001:2013’te Kişisel Verilerin Korunması Kontrolü

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı 2005 sürümünde “A.15 Uyum” alanı “A.15.1 Yasal gereksinimlere uyum” kontrolünün “A.15.1.4 Veri koruma ve kişisel bilgilerin gizliliği” detaylı teknik kontrolü altında “Uygun yasa, düzenlemeler ve varsa anlaşma maddelerinde belirtildiği gibi veri koruma ve gizlilik sağlanmalıdır.” olarak tanımlanmaktadır. Standardın 2013 yılında yayınlanan güncel sürümünde “A.18 Uyum” “A.18.1 Yasal ve sözleşmeye tabi gereksinimlere uyum” kontrolünün “A.18.1.4 Kişi tespit bilgisinin gizliliği ve korunması” detaylı teknik kontrolü altında “Kişiyi tespit bilgisinin gizliliği ve korunması uygulanabilen yerlerde yasa ve düzenlemeler ile sağlanmalıdır.” olarak ifade edilmiştir. Bu kontrol, standardı uygulamak isteyen bir organizasyonun bulunduğu ülkelerde Mahremiyet veya Kişisel Verilerin Korunmasına ilişkin mevzuatlar veya sözleşmelerinde ilgili hükümler bulunuyorsa uyum sağlamak zorunda olduğu anlamına gelmektedir. Örneğin, İngiltere’de 1998 yılında Veri Koruma Yasası (bkz. Data Protection Act 1998) yürürlüğe girmiştir. İngiltere’de ISO/IEC 27001’i kılavuz alarak Bilgi Güvenliği Yönetim Sistemi kuran kuruluşların belirttiğimiz yasaya uyumu sağlamaları zorunludur. Aynı şekilde, kanunun ülkemizde yürürlüğe girdiği 7 Nisan 2016 tarihinden itibaren ISO/IEC 27001 projesi gerçekleştiren kuruluşlarda artık belirttiğimiz kontrol gereği yönetim sistemlerini kanunun gereksinimlerine uyumlu kurmaları gerekmektedir. 

Kişisel Verilerin Korunması için ISO 27001:2013 EK-A’da Bulunan Uygulanabilir Teknik Kontroller

Kanun, veri sahibine çeşitli haklar tanımlarken (bkz. KVKK 11. Madde) veri sorumlusu ve veri işleyenlere yönelik olarak kişisel verilerin işlenmesi için bazı ilkeleri, şartları ve yükümlülükleri tanımlamaktadır. Bu yükümlülüklere uymak isteyen veri sorumluları için ISO/IEC 27001:2013 Ek-A’da yer alan uygulanabilir kontrollerden bazılarını kanun gereksinimleri değerlendirildikten sonra parantez içinde aşağıda tanımlayacağız.

Kanunun 12. Maddesi “Veri güvenliğine ilişkin yükümlülükler” aşağıdaki şekilde belirtilmiştir.

(1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Bu fıkrada kişisel verilerin hukuka aykırı olarak işlenmesi genel anlamda kanunda tanımlanan ilkelere (bkz. Madde 4) ve şartlara (bkz. Madde 5, 6, 7, 8, 9) aykırı olarak işlenmesi olarak ifade edilebilir. Örneğin kişisel verilerin belirlenen amaç dışında kullanılması, güncel tutulmaması, mevzuatlarda yer alan süre kadar saklanmamaları bu aykırılıklara örnek verilebilir. Bu konular kişisel verilerin işlenmesine özel bir yönetim yapısı, süreçler ve prosedürler tanımlanarak ve uygulanarak yönetilebilir.

Ancak, hukuka aykırı erişilmesini önlemek üzere uygulanabilecek birçok teknik kontrol bulunmaktadır. ISO/IEC 27001:2013’te bu konu üzerine A.9 Erişim Kontrolü alanı bulunmaktadır. Bu alanda bilgi varlıklarına erişim politikalarının oluşturulması, kullanıcıların kaydedilmesi ve silinmesi süreci, erişim haklarının verilmesi, düzenlenmesi, kaldırılması süreci ve erişim haklarının düzenli olarak gözden geçirilmesi, güçlü parolaların kullanılması gibi kontroller bulunmaktadır.

Diğer taraftan kişisel verilere sadece yetkili kişilerin erişiminin sağlanabilmesi amacıyla A.11 Fiziksel ve çevresel güvenlik kontrolleri de uygulanabilir. Bu alanda fiziksel güvenlik sınırları, güvenli alanlar ve bu alanlarda çalışma koşullarının tanımlanmasının yanı sıra temiz masa temiz ekran kontrollerini de içermektedir.
Yukarıda sayılan alan güvenlik kontrollerine ek olarak aşağıdaki bilgi güvenliği kontrollerinin de uygulanması gereklidir.
  • A.13.1.3 Ağlarda ayrım: Kişisel verileri barındıran sistemler yetkisiz erişimlerin ve sızıntının engellenmesi amacıyla farklı ağlarda bulundurulmalıdır.
  • A.13.2.1 Bilgi transfer politikaları ve prosedürleri: İlgili taraflarla kişisel verilerin paylaşımında güvenli iletimi sağlayabilmek amacıyla kurallar tanımlanmalıdır.
  • A.10 Kriptografi: Kişisel verinin barındırılırken, işlenirken ve iletilirken, gizliliğini ve bütünlüğünü sağlamak amacıyla kriptografik kontroller uygulanmalıdır.
  • A.12.2.1 Kötücül yazılımlara karşı kontroller: Kişisel verilerin sızıntısına sebep olabilecek siber olayları engellemek amacıyla zararlı yazılımlara karşı mücadele edilmelidir.
  • A.12.6.1 Teknik açıklıkların yönetimi: Daha ötesinde kuruluşlar sistemlerindeki zafiyetleri düzenli olarak belirlemeli ve kapatmalıdır.
(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

2. fıkrada veri sorumlusunun verdiği yetkiyle kendi adına kişisel verileri işleyen gerçek veya tüzel kişinin yani veri işleyenin yapacağı işlemlerde müştereken (eşit derecede) sorumlu olduğu ifade edilmektedir. Bu durumda veri işleyenden kaynaklanabilecek ihlal olaylarında Kişisel Verileri Koruma Kurulu’nun veri sorumlusunu müştereken sorumlu tutması ve ceza vermesi söz konusu olabilir. Bu sebeple veri işleyen tarafın performansının izlenmesi, uygulayacağı güvenlik önlemlerinin kontrol altında tutulması ve denetlenmesi göz önünde bulundurulabilir. (bkz. A.15.2.1 Tedarikçi hizmetlerini izleme ve gözden geçirme)
      
    (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
     (4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

4. fıkrada çalışanların ve tedarikçilerin öğrendikleri kişisel verileri açıklayamamalarının gizlilik ve sır saklama yükümlülüklerini ifade ettiği söylenebilir. Kuruluşlar bu yükümlülükleri, bağlayıcı olması ve kuruluşu hukuki olarak güvence altına almak amacıyla çalışanlarıyla istihdamın başlamasından önce imzaladıkları iş sözleşmesinde tarif etmektedir. (bkz. A.7.1.2 İstihdam hüküm ve koşulları)

Diğer taraftan benzer gizlilik ve sır saklama hükümleri tedarikçilerle imzalanan Gizlilik Sözleşmesi veya Taahhütnamelerde ifade edilmektedir. (bkz. A.15.1.2 Tedarikçi anlaşmalarında güvenliği ifade etme) Dikkat edilmesi gereken bir nokta ise bu sözleşmelerin hükümlerini tarafların iş ilişkisinin başlamasından önce bilmesi ve kabul etmesidir.
     
     (5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

5. fıkrada kişisel verilerin kanuni olmayan yollarla başkaları tarafından erişilmesi aslında bize bir veri sızıntısı ya da ifşasını anlatmaktadır. Ayrıca ifşanın yaşanması durumunda Kişisel Verileri Koruma Kurulu’na ve veri sahiplerine bildirimde bulunmamız istenmektedir. (bkz. A.6.1.3 Otoritelerle iletişim)

Veri sorumlusunun kendisinin veya bir başkasının yaşadığı ihlal olayını takip etmek için üreticilerin, uzmanların görüşlerini alması da bir ihtiyaç olarak göz önünde bulundurulabilir. (bkz. A.6.1.4 Özel ilgi grupları ile iletişim)

Veri sızıntısının kim tarafından, nasıl, ne zaman gerçekleştirildiği gibi sorulara yanıt bulmak ve tekrarlanmasını önlemek için kuruluşun aslında ihlal olayları sürecini çalıştırması gerekmektedir ve bu konu standartta yedi alt kontrole sahip bir alanda ayrıca ele alınmaktadır. (bkz. A.16 Bilgi güvenliği ihlal olayı yönetimi)

İhlal olayının araştırılması sırasında yapılacak incelemelerde sistemlerin etkin şekilde incelenebilmesi amacıyla tüm sistemlerin loglarının kayıt altına alınması (bkz. A.12.4.1 Olay kaydetme) ve bu logların yetkisiz olarak değiştirilmesinin engellenmesi sağlanmalıdır. (bkz. A.12.4.2 Kayıt bilgisinin korunması) Olayın zamanını tespit edebilmek için sistemlerin doğru ve aynı zaman ayarlarıyla çalıştığına dikkat edilmelidir. (bkz. A.12.4.4 Saat senkronizasyonu)

Sonuç

Ülkemizde ve dünyada kişisel verilerin korunmasına ilişkin düzenlemeler son yılların önemli gelişmeleri arasında yer almaktadır. Bu düzenlemelere uyum sağlamak isteyen veri sorumluları yeni süreçler oluşturmak, var olan süreçlerini optimize etmek için çeşitli kılavuzları kullanmaktadır. ISO/IEC 27001:2013 EK-A, kişisel verilerin korunması için teknik önlemlerin alınması gibi zor bir probleme tek başına çözüm olabilecek tabir-i caizse gümüş kurşun olmasa da etkili bilgi güvenliği kontrollerini tanımlamaktadır.

12 Mayıs 2017 Cuma

ISO 27001 SİSTEM KURULUMU AŞAMASINDA KARŞILAŞILAN ZORLUKLAR VE DİKKAT EDİLMESİ GEREKEN HUSUSLAR

ISO 27001 Bilgi Güvenliği Yönetim Sistemi son yıllarda kurumlar tarafından oldukça talep gören bir standart haline geldi. Bu talebin altında yasal gereklilikler, müşteri talepleri ve kurumun stratejik hedefleri gibi çeşitli nedenler yatabilmekte. Ancak standarda uygunluğun başarısında motivasyon ne olursa olsun bu sistemin uygulanması ve işletiminde üst yönetim desteği en büyük payı almaktadır. Standart son revizyonunda dahi yönetim desteğini ifade edebilmek için “Liderlik” maddesi ortaya çıkmıştır. “Yönetime rağmen” yönetim sistemi kurmak ve işletmek sistemin ömrünün kısa olmasına neden olacaktır.

Yönetim desteği ifadesi her zaman maddi destek olarak algılanmamalıdır. Kurum bütçesine göre maddi destek ve kaynağın önemi yadsınamaz ve olmazsa olmazdır ancak yönetimin kurum çalışanları için motivasyon sağlayıcı davranışlar sergilemesi de başarı için oldukça önemlidir. Proje başında yönetimin kurum çalışanlarından projeye destek göstermelerini isteyen bilgilendirme mesajı paylaşması, sorumluluk ataması, bazı toplantı ve eğitimlere katılım gösterip projenin önemini ifade etmesi gibi hususlar çalışanlarda bu sistemin uygulanması konusunda motivasyon sağlamaktadır. Belgelendirme amacı taşıyan kurumlar da bu ve benzeri durumları kayıt altına alarak liderlik maddesi için kanıt oluşturmalıdırlar. Aynı zamanda yönetime düzenli olarak raporlama yapılması, yönetimin sistemin içinde tutularak güncel bilgilere sahip olmasını sağlayacaktır.

Kurumlar yatırım kararlarını belirlerken bütçe planlamasına bilgi güvenliği ile ilgili konuları da dâhil etmesi önemli olacaktır.

Yönetimden beklenen destek sağlanmazsa çalışanlar üzerlerine düşen görevleri sahiplenmeyip sorumluluklarını gerçekleştiremeyebilirler. Bu da yönetim sisteminin etkin şekilde işletilmesine engel olabilecek sonuçlar doğurabilmektedir.

Yönetim sisteminin içerisinde yapılması veya dikkat edilmesi gereken bir diğer husus; rol ve sorumlulukların doğru ve tam olarak belirlenmesidir. Bu rol ve sorumluluklar gerek proje yöneticileri gerekse de son kullanıcılar açısından doğru belirlenmelidir. Tanımlanmış olan rol ve sorumlulukların yerine getirilmemesi başarıyı büyük ölçüde etkileyecektir. Bu noktada tanımlanmış olan sorumlulukların yerine getirilmemesi ve yerine getirmemenin doğuracağı sonuçlar için tanımlı bir süreç oluşturulması ile eskalasyon yapısının işletilerek takip edilmesi, gereken işlerin zamanında yapılması konusunda fayda sağlayacaktır.


  
ISO 27001 Bilgi Güvenliği Yönetim Sistemi risk temelli bir yönetim sistemidir. Kurum için uygulanabilir bir risk metodolojisinin oluşturulması kurumdaki herkes tarafından anlaşılıp sürdürülebilirliğinin sağlanması adına büyük önem taşımaktadır.

Risk değerlendirmeleri sonucu risk işleme kararlarına bağlı olarak aksiyon planlarında belirlenmiş olan aksiyonların zamanında yapılması ve takip edilmesi, aynı zamanda bu aksiyonlar için kaynak ayrılması risk yönetiminin başarısını sağlayacaktır. Risk değerlendirme sonrasında alınacak risk işleme kararları için yönetim risk kabul kriterleri doğrultusunda kabul edilebilir risk seviyesine karar vermelidir. Bu seviyenin gelecek dönemlerde giderek düşürülmesi de sistemin daha iyi seviyelere gelmesi açısından önemli olacaktır.

Risk değerlendirme ve işleme karalarının sonucunda oluşturulması gereken sistemin daha iyi bir noktaya gelmesini sağlayacak bilgi güvenliği amaçlarının sadece bilgi teknolojilerini ilgilendiren amaçlar olmaması, her departman ile ilgili olabilecek amaçların da belirlenmesi bilgi güvenliğinin sadece bilgi teknolojileri departmanına özel bir uygulama olduğu düşüncesinin ortadan kaldırılmasını sağlayacaktır. Bilgi güvenliği amaçlarının ölçülebilir ve gerçekleştirilebilir amaçlar olarak seçilmesi sisteme faydalı olacaktır.

Bilgi güvenliği yönetim sisteminin uygulanması ve işletilmesi konusunda proje yöneticileri ile birlikte her çalışan için görev ve sorumlulukların belirlenmesi standart tarafından istenmektedir. Bunun sağlanabilmesi için ihtiyaç olan yetkinliklerin doğru belirlenerek iyi analiz edilmesi gerekmektedir. Eğitim takvimlerinin oluşturularak yetkinliklerin arttırılması sağlanmalıdır. Ancak alınan eğitimlerin veya diğer yetkinlik tanımlarının istenilen seviyeye gelip gelmediğinin kontrolü birçok firmada göz ardı edilmektedir. Gerçekleştirilmiş olan işlemlerin ihtiyacı ve beklentiyi karşılayıp karşılamadığının ilgili ve yetkili kişilerce değerlendirmesinin yapılması gerekir.

Son kullanıcıların dikkat etmesi gereken konular ile sorumluluklarının anlatıldığı farkındalık eğitimlerinin ilgili taraf analizi sırasında ortaya çıkmış olan kapsam dâhilindeki her çalışan ile birlikte kapsam dışında kalan çalışanlara da verilmesi oldukça önemlidir. Farkındalık eğitimlerinin hedef kitlesi belirlenirken kurumların genellikle gözden kaçırdığı stajyerler ve kurum içindeki ve dışındaki taşeronların da eğitimlere dâhil edilmesi gerekmektedir.

Farkındalık eğitimleri sadece sınıf eğitimi olarak değerlendirilmemelidir. Kişilere atanacak online eğitimler, verilecek broşürler, düzenlenecek etkinlikler, ödül sistemleri gibi çözümler ile farklı şekillerde farkındalık sağlanabilir. Farkındalık çalışmaları sonrasında bu çalışmaların etkinliğinin değerlendirilmesi unutulmamalıdır. Bu değerlendirme sınav olarak yapılabileceği gibi karşılıklı mülakatlar ile de yapılabilir. Önemli olan çalışanların bir konu ile ilgili aynı ve doğru fikre sahip olmasının sağlanmasıdır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı diğer ISO standartlarından farklı olarak 2 bölümden oluşmaktadır. Standart ana maddelerine ek olarak hazırlanmış olan EK-A kontrol maddeleri belirlenmiş kapsam ile ilgili olan kontrollerin seçilerek ilgisiz olanların hariç bırakılmasını mümkün kılmaktadır. Örneğin kurum içinde BGYS kapsamı dahilinde yazılım geliştirme yapılmıyorsa yazılım geliştirme ile ilgili kontrol maddeleri hariç bırakılabilir.

Yönetim sisteminin başında kurum ile ilgili olabilecek tüm tarafların doğru analiz edilmesi gerekmektedir. Bu analize hem kurum içi hem de kurum dışındaki tüm tarafların dâhil edilmesi önemlidir. Müşteriler, tedarikçiler, devlet ve düzenleyici kuruluşlar, çalışanlar, paydaşlar, iş ortakları vb. ilgili tüm tarafların BGYS açısından ihtiyaç ve beklentilerinin doğru analizi yönetim sisteminin kapsamının doğru belirlenmesine ve işletilmesine fayda sağlayacaktır.

Yönetim sisteminin kapsamına karar verilirken ilgili taraf analizinde ortaya çıkan tedarikçiler iş ihtiyacına bağlı olarak hizmet sürekliliği açısından kritik olanlar için Hizmet Seviye Anlaşmaları (SLA), bilgi paylaşımı konusunda kritik tedarikçiler için Gizlilik Sözleşmeleri yada gizlilik maddeleri içeren Hizmet Sözleşmeleri yapılması gerekmektedir. Sözleşme yapılma ihtiyacı doğru belirlenmelidir. Örneğin kurum ofis sarf malzemeleri alımı yaptığı bir firma ile sözleşme imzalama ihtiyacı duymayabilir. Gizli bilgi paylaşımı yapılmamakta ve alternatif tedarikçiler bulunabildiği için kritik tedarikçi sınıfında olmayabilir. Ancak kurum içinde tedarikçiler tarafından sağlanan yemek, servis, temizlik gibi hizmetler için mutlaka gizlilik sözleşmeleri yada gizlilik maddeleri içeren hizmet sözleşmeleri yapılmalıdır.

Tedarikçi sözleşmelerinin yapılması her zaman kurumun inisiyatifinde olamayabilir. Tedarikçiler sözleşme koşullarından ötürü sözleşmenin düzenlenmesi taraftarı olmayabilirler.  Kurum bu noktada sözleşme şartlarını değiştirerek sözleşme yapılmasını teşvik edebilir. Ancak yine de sözleşmenin düzenlenmesi mümkün olamayabilir. Sözleşmelerde dikkat edilmesi gereken tedarikçi ile gizli bilgi paylaşımının yapılıp yapılmadığı, hizmet sürekliliği açısından kritikliği, alternatif tedarikçi mevcudiyeti gibi konulardır.

Tedarikçilerden alınan hizmetlere göre ihtiyaçlar doğrultusunda kriterler belirlenmeli ve periyodik olarak hizmet değerlendirmelerinin yapılması gerekmektedir.


Bilgi güvenliğinin sağlanabilmesi için uygulanacak olan teknik kontrollerin yürütülmesi için büyük yatırımların gerçekleştirilmesi standart tarafından şart koşulmamaktadır. Teknik kontrol uygulamaları hususunda birçok kurum için akla gelen ilk soru ciddi maddi kaynak yatırımının gerekli olup olmadığıdır. Bu konu tamamen üst yönetimin risk iştahına ve süreçlerin işletilebilmesi ve iyileştirilebilmesi için ihtiyaç duyulan hizmet ve kaynaklara bağlıdır. Standart hiçbir zaman bir ürün ya da hizmetin kullanımını zorunlu tutmamaktadır. Piyasa içerisinde ihtiyaç duyulan hizmetler için hem ücretli hem de ücretsiz uygulamalar ile farklı çözüm yolları bulunabilmektedir. Dikkat edilmesi gereken şey iş süreçlerinin yönetiminin etkin ve verimli olmasını sağlayacak çözümün bulunmasıdır. İhtiyaçların doğru belirlenerek karar verilmesi bu süreçte büyük önem taşımaktadır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, standart gereklilikleri doğrultusunda “yaptığını yaz, yazdığını yap mantığı” ile işletilebilir. Yönetim sisteminin ilk kurulduğu dönemlerde dirençle karşılaşılabilmektedir. Gerçekleştirilecek olan aksiyonlar ve alınan kararlar çalışanların motivasyonunu etkileyebilmektedir. Bu noktada ihtiyaç doğru belirlenerek çalışanlara doğru aktarılmalıdır. Çok sıkı kontroller ile tasarlanan süreçler yönetim sisteminin başarısına engel olabilir. Bu şekilde yönetilen sistemler bir süre sonra işletilemez hale gelebilmektedir. 

27 Nisan 2017 Perşembe

Elektrik Piyasası Lisans Yönetmeliği-ISO 27019 Değişikliği


Bildiğiniz üzere Elektrik Piyasası Lisans Yönetmeliğinde 26 Aralık 2014 tarihinde yayınlanan 29217 sayılı yönetmelik ile 100MW ve üzeri üretim yapan üretim lisansı sahipleri (OSB üretim lisansı sahipleri hariç), iletim lisansı sahipleri, piyasa işletim lisansı sahipleri ve dağıtım lisansı sahipleri (OSB dağıtım lisansı sahipleri hariç) için “Kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletmek, TS ISO/IEC 27001 standardına uygun faaliyet gösterdiğini Türk Akreditasyon Kurumuna akredite olmuş bir belgelendirme kurumuna ispat ederek sistemlerini belgelendirmek ve söz konusu belgelerin geçerliliğini sağlamak” zorunluluğu getirilmişti.
Geçtiğimiz yıl 22 Ekim 2016 tarihli 29865 sayılı yayınlanan bir yönetmelik ile Üretim Lisansı sahiplerinde ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasyonu zorunluluğunun kaldırıldığı yayınlanmıştı.


Elektrik Piyasası Lisans Yönetmeliğine ilişkin 24 Şubat 2017 tarihinde yayınlanan son değişiklik yönetmeliği ile Üretim Lisansı sahiplerinde ISO 27001 zorunluluğu yeniden gündeme getirilmiştir. Aynı zamanda bu yönetmelik değişikliği ile elektrik üretim, iletim ve dağıtım lisansı sahipleri ISO 27001 çalışmalarında ISO 27019 standardını dikkate almaları gerektiği belirtilmektedir.



Üretim Lisansı sahipleri için ilgili madde:

f) Geçici kabul tarihinden itibaren yirmi dört ay içerisinde OSB üretim lisansı sahipleri hariç olmak üzere, işletmeye geçmiş kurulu gücü 100 MWe ve üzerinde olan bütün üretim tesisleri için kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletmek, TS ISO/IEC 27001 standardına uygun faaliyet gösterdiğini Türk Akreditasyon Kurumuna akredite olmuş bir belgelendirme kurumuna ispat ederek sistemlerini belgelendirmek ve söz konusu belgelerin geçerliliğini sağlamak, TS ISO/IEC 27001’e göre kuracakları Bilgi Güvenliği Yönetim Sisteminde TS ISO/IEC 27002 Uygulama Rehberine ek olarak ISO/IEC TR 27019 rehber dokümanını da referans almak,

Peki ISO 27019 standardı nedir?

27000 standart ailesinde Olay Yönetimi, Siber Güvenlik, Denetim gibi konu özelinde rehber standartlar olduğu gibi, sağlık, telekom, bulut bilişim gibi sektörel uygulama rehberleri de yer almaktadır. ISO 27019 standardı da, 27000 ailesinin sektör spesifik standartlarından biri olup, enerji sektöründe kontrol sistemlerine yönelik bilgi güvenliği konularını ele almaktadır.

Enerji sektöründe hali hazırda ISO 27001 düzenlemelerinin bulunması, ISO 27019 standardına uyumluluğu da kolaylaştırmaktadır. ISO 27019 standardı ISO 27001 EK-A kontrollerinde enerji sektörüne özel rehber açıklamalara ek olarak, enerji altyapılarına ilişkin kontrol süreçlerinde ek güvenlik kontrolü hedefleri sunmaktadır.



10 Ekim 2016 Pazartesi

A ve B sınıfı Onaylanmış Kişi Statüsü Belgelerinin Süreleri Uzatıldı

7 Ekim 2016 tarihli 29850 sayılı resmi gazete ile gümrük yönetmeliğinde değişiklik yapılmıştır. Bu düzenlemeye göre A ve B sınıfı OKSB süreleri 15 Ağustos 2017 tarihine kadar uzatılmıştır.

İlgili yönetmelik maddesi:

GÜMRÜK YÖNETMELİĞİNDE DEĞİŞİKLİK YAPILMASINA DAİR YÖNETMELİK


A, B ve C sınıfı onaylanmış kişi statüsüne ilişkin geçici düzenleme
GEÇİCİ MADDE 9 – (1) Bu maddenin yürürlüğe girdiği tarihten önce düzenlenmiş olan ve geçerliliğini koruyan tüm A ve B sınıfı onaylanmış kişi statü belgelerinin süresi 15/8/2017 tarihine kadar uzatılır.
(2) Bu madde kapsamında süresi uzatılan A ve B sınıfı onaylanmış kişi statü belgelerinin askıya alınması, geri alınması ve iptaline ilişkin usul ve esaslar Bakanlıkça belirlenir.
(3) Bu madde kapsamında süresi uzatılan A ve B sınıfı onaylanmış kişi statü belgeleri kapsamında yararlanılacak hak ve yetkiler ile bu hak ve yetkilerin askıya alınması ve geri alınmasına ilişkin usul ve esaslar Bakanlıkça belirlenir.
(4) 15/8/2017 tarihinden önce düzenlenmiş olan ve geçerliliğini korumaya devam eden tüm C sınıfı onaylanmış kişi statü belgeleri 15/8/2017 tarihi itibariyle mevcut belgenin geçerlilik süresi sonuna kadar geçerli olmak üzere onaylanmış kişi statü belgesi olarak değiştirilir.”



4 Ocak 2016 Pazartesi

ISO/IEC 27001:2013 sertifikası için Penetrasyon Testi (Pentest) Zorunlu mu?

Kurumların “ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi” felsefesi ile bir yönetim sistemi kurmak ve standarda uyumluluğunu belgelendirerek sertifikaya sahip olmak için yapması gereken çalışmalarda, en fazla merak edilen konuların başında Penetrasyon testinin(sızma testinin) ISO/IEC 27001 uyumluluk sürecinde zorunluluk olup olmadığı gelmektedir.

28 Aralık 2015 Pazartesi

ELEKTRİK PİYASASI TEDARİK LİSANS SAHİPLERİ İÇİN ISO 27001 ZORUNLULUĞU


Son yıllarda EPDK (Enerji Piyasası Düzenleme Kurumu) tarafından uygulanan stratejilerin;  izlenebilir, ölçümlenebilir, değerlendirilebilir ve iyileştirilebilir süreçler ile yönetim yönünde olduğu; lisans sahipleri için uluslararası standartlara uyumlu süreçler kurma ve işletme zorunluluklarından yola çıkılarak görülebilmektedir.

Geçtiğimiz yıllarda yine blog.btyon’den paylaştığımız "Enerji Piyasasında Bilgi Güvenliğine Verilen Önem Giderek Artıyor" başlıklı yazımızda, 26 Aralık 2014 tarihli (Sayı:29217) yönetmelik değişikliğiyle; 100MW ve üzeri üretim yapan üretim lisansı sahipleri(OSB üretim lisansı sahipleri hariç), iletim lisansı sahipleri, piyasa işletim lisansı sahipleri ve dağıtım lisansı sahipleri (OSB dağıtım lisansı sahipleri hariç) için “Kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletmek, TS ISO/IEC 27001 standardına uygun faaliyet gösterdiğini Türk Akreditasyon Kurumuna akredite olmuş bir belgelendirme kurumuna ispat ederek sistemlerini belgelendirmek ve söz konusu belgelerin geçerliliğini sağlamak” zorunluluğu duyurmuştuk. Değişikliğe ilişkin yönetmelikte, Elektrik Piyasası Lisans Yönetmeliği'nde yapılan değişikliklerin 01.03.2016 tarihinde yürürlüğe gireceği; dolayısıyla ilgili sertifikasyon gereksinimlerinin bu tarihe kadar karşılanması beklendiği ifade edilmekteydi.

Buna ek olarak, geçtiğimiz günlerde yayınlanan 23 Aralık 2015 tarihli (Sayı:29571) yeni bir yönetmelik değişikliğinde ise bir önceki değişiklikte konusu geçmeyen tedarik (Görevli Tedarik Şirketi) lisans sahipleri  için de “lisans alma tarihinden itibaren yirmi dört ay içerisinde TS EN ISO 9001, TS ISO 10002 ve TS ISO/IEC 27001 standartları için Türk Akreditasyon Kurumuna akredite olmuş bir belgelendirme kurumu tarafından verilen uygunluk belgelerini Kuruma sunmak” bir zorunluluk olarak duyurulmuş durumdadır.