ISO 27002:2013 etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
ISO 27002:2013 etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

4 Ocak 2016 Pazartesi

ISO/IEC 27001:2013 sertifikası için Penetrasyon Testi (Pentest) Zorunlu mu?

Kurumların “ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi” felsefesi ile bir yönetim sistemi kurmak ve standarda uyumluluğunu belgelendirerek sertifikaya sahip olmak için yapması gereken çalışmalarda, en fazla merak edilen konuların başında Penetrasyon testinin(sızma testinin) ISO/IEC 27001 uyumluluk sürecinde zorunluluk olup olmadığı gelmektedir.

27 Mart 2014 Perşembe

Bilgi Güvenliği ve Bilgi Varlıklarının Sahipliği



8.1.2 Varlıkların Sahipliği
Kontrol: Envanterdeki varlıklar sahiplenilmiş olmalıdır.
Uygulama Kılavuzu:
Varlık yaşam döngüsünde, varlıkların etkin yönetimini sağlamak adına varlık sahibi belirlenmelidir. Varlık sahibi kişiler ya da bölümler/birimler olabilir. Varlık sahibi ilgili varlığın mülkiyet haklarına sahip olma zorunluluğu yoktur. Varlık sahibi kısmı olarak varlığa ilişkin sorumlulukları kurum içi organizasyonda yer alan kişilerle paylaşabilir fakat ana sorumluluk varlık sahibinde olacaktır.
Varlık sahipliği belirleme çalışmaları bir süreç olarak değerlendirilmeli ve yeni bir varlık envantere eklendiğinde, değiştirildiğinde, ya da kuruma transfer edildiğinde varlıkların sahipleri atanmalıdır.
Varlık sahibi; varlık yaşam döngüsü süresince varlığın yönetiminden sorumlu olmalıdır.
Bir varlık sahibi aşağıdakileri sağlamalıdır;
·        -Sorumluluğu altında olan varlıkların envantere işlenmesini sağlamak
·       -Varlık türüne göre uygun bir biçimde sınıflandırılması ve korunmasını garanti altına almak
·      -Varlıklara erişim gereksinimleri tanımlamak ve erişim kontrolünü periyodik olarak gözden geçirmek ve gerekli durumlarda önlem almak
·       -Varlıkların imhası ile ilgili gereksinimleri tanımlamalı ve uygun bir biçimde işletildiğini garanti altına almak

25 Mart 2014 Salı

Bilgi Güvenliği ve Varlıkların Kabul Edilebilir Kullanımı



8.1.2 Varlıkların Kabul Edilebilir Kullanımı
Kontrol: Bilginin, bilgi ve bilgi işleme araçları ile ilişkilendirilmiş varlıkların kabul edilebilir kullanım kuralları,  tanımlanmış, dokümante edilmiş ve uygulanmış olmalıdır.
Uygulama Kılavuzu:
Kurum çalışanları ve kurumsal varlıklara erişebilen tüm üçüncü taraf çalışanlar/tedarikçiler varlıkların kullanımı ile ilgili bilgi güvenliği gereksinimlerini sağlamak adına gerekli farkındalığıa sahip olmalıdır. Kendi sorumlulukları altında olan bilgi varlıklıklarının üretilmesi, işlenmesi ve depolanmasına ilişkin  sorumlukları yerine getirmelidir.  Varlıklıkların kabul edilebilir kullanım easları belirlenirken, kuruluşun verdiği hizmetler gözönünde bulundurulmalıdır. (Ör: E-posta kullanımı, ağ servislerinin kullanımı, mobil cihazların kullanımı)

20 Mart 2014 Perşembe

Bilgi Güvenliği Yönetim Sistemi ve Varlık Yönetimi



A-8 Varlık Yönetimi
A 8.1 Varlıkların Sorumluluğu
Hedef: Kurumsal varlıkları belirlemek ve uygun koruma sorumlulukları tanımlamak.
8.1.1 Varlıkların envanteri
Kontrol: Bilgi ve bilgi işleme araçları ile ilişkili varlıklar tanımlanmalı, varlıklara ait bir envanter hazırlanmalı ve sürdürülmelidir.
Uygulama Kılavuzu:
Kurum bünyesinde, bilginin yaşam döngüsü gözönünde bulundurularak bilgi varlıkları tanımlanmalı ve önlemleri dokümante edilmelidir. Bilginin yaşam döngüsü, bilgiyi oluşturma, işleme, depolama, iletimi ve imhasını içermelidir.
Bilgi varlık envanteri, kurum varlıklarını içerecek şekilde güncel olarak tutulmalıdır. Kurum bünyesinde hali hazırda kullanılan varlık entanverleri mevcutsa var olan envanter ile bütünleşik kullanımı fayda sağlayacaktır.
Belirlenen her bir bilgi varlığı için sahiplik ataması ve varlık sınıflandırılması yapılmalıdır. Örnek bilgi varlık envanteri için ISO 27005 ve ISO 27000 standartları referans olarak kullanılabilir.

18 Mart 2014 Salı

İnsan Kaynakları Güvenliği -İstihdamın Sonlandırılması ve Değiştirilmesi-



7.3 İstihdamın Sonlandırılması ve Değiştirilmesi
Hedef: İstihdamın değiştirilmesi ve sonlandırılması sürecinde, kuruluşun çıkarlarını korumak.
7.3.1 İstihdamın sonlandırılması veya değiştirilmesi sorumlulukları
Kontrol:
İstihdamın sonlandırılması veya değiştirilmesinden sonra geçerliliğini koruyan bilgi güvenliği sorumlulukları ve yükümlülükleri tanımlanmış, çalışanlara ve yüklenicilere bildirilmiş ve uygulamaya zorlanmış olmalıdır.
Uygulama Kılavuzu
İstihdamın sonlandırılması ile birlikte önceden tanımlanmış süre boyunca bilgi güvenliği rol ve sorumlulukları devam etmelidir. Bilgi güvenliği açısından kurum içi pozisyon değişiklikleri de istihdam sonlandırılması olarak değerlendirilmesi fayda sağlayacaktır. İstihdam sonrası bilgi güvenliğinin sağlanması adına, istihdam sonrası rol ve sorumluluklar işe alım sırasında yapılan sözleşmelerle garanti altına alınmalıdır. Erişilen bilginin hassasiyetine göre  anlaşmalara bilgiyi ifşa etmeme süresi tanımlanmalıdır.
Kurumsal ortamda istihdamın sonlandırılmasına ilişkin sorumluluklar genellikle İnsan Kaynakları bölümlerinin işlettiği bir süreç olarak görülmektedir. Bu süreçte istihdamı sonlandırılan personelin çalıştığı bölüm/birim/departman ile koordineli olarak çalışmak faydalı olacaktır. Kurum içinde dış kaynak çalıştırılıyorsa, personelin bağlı olduğu kurum ile sürecin yönetilmesi sağlıklı olacaktır. Gerekli ise istihdam sonlandırılması ve görev değişimlerinde tüm ilgili tarafların örneğin; çalışanlar vemüşterilerin bilgilendirilmesi faydalı olacaktır.