Kurumların “ISO/IEC
27001 Bilgi Güvenliği Yönetim Sistemi” felsefesi ile bir yönetim sistemi kurmak
ve standarda uyumluluğunu belgelendirerek sertifikaya sahip olmak için yapması
gereken çalışmalarda, en fazla merak edilen konuların başında Penetrasyon testinin(sızma
testinin) ISO/IEC 27001 uyumluluk sürecinde zorunluluk olup olmadığı gelmektedir.
ISO 27002:2013 etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
ISO 27002:2013 etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
4 Ocak 2016 Pazartesi
ISO/IEC 27001:2013 sertifikası için Penetrasyon Testi (Pentest) Zorunlu mu?
Etiketler:
açıklık testi,
ISO 27001,
ISO 27001:2013,
ISO 27002:2013,
penetrasyon testi,
pentest
27 Mart 2014 Perşembe
Bilgi Güvenliği ve Bilgi Varlıklarının Sahipliği
8.1.2 Varlıkların Sahipliği
Kontrol: Envanterdeki varlıklar sahiplenilmiş
olmalıdır.
Uygulama Kılavuzu:
Varlık yaşam döngüsünde, varlıkların etkin yönetimini sağlamak adına varlık
sahibi belirlenmelidir. Varlık sahibi kişiler ya da bölümler/birimler olabilir.
Varlık sahibi ilgili varlığın mülkiyet haklarına sahip olma zorunluluğu yoktur.
Varlık sahibi kısmı olarak varlığa ilişkin sorumlulukları kurum içi
organizasyonda yer alan kişilerle paylaşabilir fakat ana sorumluluk varlık
sahibinde olacaktır.
Varlık sahipliği belirleme çalışmaları bir süreç olarak değerlendirilmeli
ve yeni bir varlık envantere eklendiğinde, değiştirildiğinde, ya da kuruma
transfer edildiğinde varlıkların sahipleri atanmalıdır.
Varlık sahibi; varlık yaşam döngüsü süresince varlığın yönetiminden sorumlu
olmalıdır.
Bir varlık sahibi aşağıdakileri sağlamalıdır;
· -Sorumluluğu
altında olan varlıkların envantere işlenmesini sağlamak
· -Varlık
türüne göre uygun bir biçimde sınıflandırılması ve korunmasını garanti altına
almak
· -Varlıklara
erişim gereksinimleri tanımlamak ve erişim kontrolünü periyodik olarak gözden
geçirmek ve gerekli durumlarda önlem almak
· -Varlıkların
imhası ile ilgili gereksinimleri tanımlamalı ve uygun bir biçimde işletildiğini
garanti altına almak
Etiketler:
Bilgi Güvenliği,
ISO 27001,
ISO 27001:2013,
ISO 27002:2013
25 Mart 2014 Salı
Bilgi Güvenliği ve Varlıkların Kabul Edilebilir Kullanımı
8.1.2 Varlıkların Kabul
Edilebilir Kullanımı
Kontrol: Bilginin, bilgi ve bilgi işleme araçları
ile ilişkilendirilmiş varlıkların kabul edilebilir kullanım kuralları, tanımlanmış, dokümante edilmiş ve uygulanmış
olmalıdır.
Uygulama Kılavuzu:
Kurum çalışanları ve kurumsal varlıklara erişebilen tüm üçüncü taraf
çalışanlar/tedarikçiler varlıkların kullanımı ile ilgili bilgi güvenliği
gereksinimlerini sağlamak adına gerekli farkındalığıa sahip olmalıdır. Kendi
sorumlulukları altında olan bilgi varlıklıklarının üretilmesi, işlenmesi ve
depolanmasına ilişkin sorumlukları
yerine getirmelidir. Varlıklıkların
kabul edilebilir kullanım easları belirlenirken, kuruluşun verdiği hizmetler gözönünde
bulundurulmalıdır. (Ör: E-posta kullanımı, ağ servislerinin kullanımı, mobil
cihazların kullanımı)
Etiketler:
Bilgi Güvenliği,
ISO 27001,
ISO 27001:2013,
ISO 27002:2013
20 Mart 2014 Perşembe
Bilgi Güvenliği Yönetim Sistemi ve Varlık Yönetimi
A-8 Varlık Yönetimi
A 8.1 Varlıkların
Sorumluluğu
Hedef: Kurumsal varlıkları
belirlemek ve uygun koruma sorumlulukları tanımlamak.
8.1.1 Varlıkların envanteri
Kontrol: Bilgi ve bilgi işleme araçları ile
ilişkili varlıklar tanımlanmalı, varlıklara ait bir envanter hazırlanmalı ve
sürdürülmelidir.
Uygulama Kılavuzu:
Kurum bünyesinde, bilginin yaşam döngüsü gözönünde bulundurularak bilgi
varlıkları tanımlanmalı ve önlemleri dokümante edilmelidir. Bilginin yaşam
döngüsü, bilgiyi oluşturma, işleme, depolama, iletimi ve imhasını içermelidir.
Bilgi varlık envanteri, kurum varlıklarını içerecek şekilde güncel olarak
tutulmalıdır. Kurum bünyesinde hali hazırda kullanılan varlık entanverleri
mevcutsa var olan envanter ile bütünleşik kullanımı fayda sağlayacaktır.
Belirlenen her bir bilgi varlığı için sahiplik ataması ve varlık
sınıflandırılması yapılmalıdır. Örnek bilgi varlık envanteri için ISO 27005 ve
ISO 27000 standartları referans olarak kullanılabilir.
Etiketler:
Bilgi Güvenliği,
ISO 27001:2013,
ISO 27002:2013
18 Mart 2014 Salı
İnsan Kaynakları Güvenliği -İstihdamın Sonlandırılması ve Değiştirilmesi-
7.3 İstihdamın
Sonlandırılması ve Değiştirilmesi
Hedef: İstihdamın değiştirilmesi ve sonlandırılması
sürecinde, kuruluşun çıkarlarını korumak.
7.3.1 İstihdamın sonlandırılması
veya değiştirilmesi sorumlulukları
Kontrol:
İstihdamın sonlandırılması veya değiştirilmesinden sonra geçerliliğini
koruyan bilgi güvenliği sorumlulukları ve yükümlülükleri tanımlanmış,
çalışanlara ve yüklenicilere bildirilmiş ve uygulamaya zorlanmış olmalıdır.
Uygulama Kılavuzu
İstihdamın sonlandırılması ile birlikte önceden tanımlanmış süre boyunca
bilgi güvenliği rol ve sorumlulukları devam etmelidir. Bilgi güvenliği
açısından kurum içi pozisyon değişiklikleri de istihdam sonlandırılması olarak
değerlendirilmesi fayda sağlayacaktır. İstihdam sonrası bilgi güvenliğinin
sağlanması adına, istihdam sonrası rol ve sorumluluklar işe alım sırasında
yapılan sözleşmelerle garanti altına alınmalıdır. Erişilen bilginin
hassasiyetine göre anlaşmalara bilgiyi
ifşa etmeme süresi tanımlanmalıdır.
Kurumsal ortamda istihdamın sonlandırılmasına ilişkin
sorumluluklar genellikle İnsan Kaynakları bölümlerinin işlettiği bir süreç
olarak görülmektedir. Bu süreçte istihdamı sonlandırılan personelin çalıştığı
bölüm/birim/departman ile koordineli olarak çalışmak faydalı olacaktır. Kurum
içinde dış kaynak çalıştırılıyorsa, personelin bağlı olduğu kurum ile sürecin
yönetilmesi sağlıklı olacaktır. Gerekli ise istihdam sonlandırılması ve görev
değişimlerinde tüm ilgili tarafların örneğin; çalışanlar vemüşterilerin bilgilendirilmesi faydalı
olacaktır.
Etiketler:
Bilgi Güvenliği,
ISO 27001,
ISO 27001:2013,
ISO 27002:2013
Kaydol:
Kayıtlar (Atom)