ISO 27002:2013 etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
ISO 27002:2013 etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

20 Şubat 2014 Perşembe

İstihdam Süresince-Disiplin Süreci

7.2 İstihdam Süresince

Amaç: Çalışanlar ve yüklenicilerin tüm bilgi güvenliği sorumluluklarının farkında olmalarını ve yerine getirmelerini sağlamak.

7.2.3 Disiplin Süreci

Kontrol: Bilgi güvenliği ihlaline karışan bir çalışana ne yapılacağına ilişkin, resmi ve bildirilmiş bir disiplin süreci olmalıdır.

Uygulama Kılavuzu:
Disiplin süreci bilgi güvenliği yönetimi sürecinin en sıkıntılı konu başlıklarından biridir.  Etik olarak ve kişi haklarını ihlal etmeden bilgi güvenliğinin sağlanması gerekliliği ana motivasyon kaynağı olmalıdır. Disiplin süreci ihlal olayına karışmayan çalışanları güvence altına alacak şekilde düzenlenmelidir.
Bilgi ihlali gerçekleşmeden ve ihlal olayı ile ilgili kesin bilgi sahibi olunmadan disiplin süreci başlatılmamalıdır.
Disiplin süreci adil ve doğru olarak işletilmelidir. İhlal olayı değerlendirilirken, işe vekuruma etkisi göz önünde bulundurulmalıdır. Kasıt veya kazara olmasına, aynı zamanda tekrarlı olup olmadığına bakılmalıdır.
Disiplin süreci öncelikle caydırı nitelikte olmalıdır. Olayın büyüklüğüne göre süreç işletimi boyunca sorumlulukların bir kısmının devre dışı bırakılması gerekli durumlarda uygulamaya alınmalıdır.

Disiplin sürecinin kendisine ödüllendirici bir boyut da kazandırılabilir. Bilgi güvenliğine pozitif katkı yapanlar bu bağlamda teşvik edilip ödüllendirilebilir.

18 Şubat 2014 Salı

Bilgi Güvenliği Farkındalığı, Eğitim ve Öğretimi

7.2 İstihdam Süresince

Amaç: Çalışanlar ve yüklenicilerin tüm bilgi güvenliği sorumluluklarının farkında olmalarını ve yerine getirmelerini sağlamak.

7.2.2 Bilgi Güvenliği Farkındalığı, Eğitim ve Öğretimi

Kontrol: Kuruluştaki tüm çalışanlar ve ilgili yükleniciler, kendi iş fonksiyonları ile ilgili olarak uygun bilgi güvenliği farkındalığı eğitimini almalı ve kurumsal politika ve prosedürler hakkında düzenli olarak bilgilendirilmelidir.

Uygulama Kılavuzu:
Öncelikle bilgi güvenliği farkındalık programı, kuruluştaki çalışanların ve ilgili yüklenicilerin, bilgi güvenliğine ilişkin sorumlulukların anlaşılmasını hedeflemelidir.
Bilgi güvenliği farkındalık programı kuruluşun politika/prosedür/standartlarına paralel olarak geliştirmelidir ve kuruluşun bilgi varlıklarının korunması ve uygulanan kontrolleri tanıtıcı özellikte olmalıdır. Farkındalık programının etkinliğini artırmak için kurum içi ödüllendirme mekanizmaları, yarışmalar  ve “Farkındalık Günü” gibi çalışmalar önemli ölçüde katkı sağlayacaktır.

Farkındalık programı, çalışanlar ve ilgili yüklenicilerden beklentileri açıkça ifade etmelidir. Farkındalık programı bir düzen çervesinde ele alınmalı ve periyodik olarak tekrarlanmalıdır. Gerekli durumlarda yeni çalışanlar ve düzeltici faaliyet olarak tekrarlanması için program gerekli esnekte tasarlanmalıdır. Farkındalık eğitimleri, kurum içi yıllık eğitim programı takvimine alınmalıdır. Farkındalık eğitimi kurumsal ihtiyaçlara göre güncellenmeli ve gerekli durumlarda uzmanlardan destek alınmalıdır.

Bilgi Güvenliği Farkındalık eğitiminde aşağıdakilerle sınırlı olmamak üzere aşağıdaki maddelerin göz önünde bulundurulması faydalı olacaktır;
  •         Üst yönetimin Bilgi Güvenliği’ne bakış ve desteği
  •         Politika, prosedür, talimatlar, yasalar ve düzenlemelerle kuruluş bünyesine dahil olan bilgi güvenliği gereksinimlerin tanıtılması
  •         Son kullanıcı sorumlulukları, hesap verebilirlik
  •       Temel düzeyde yönetim sistemi gereksinimleri (ihlal olayı bildirme, temiz masa temiz ekran kurallarına uyum v.b)
  •         Ek bilgi gereksinimi için kaynaklara nerden ve nasıl ulaşılacağı
  •         Bilgi güvenliği iletişim kanallarının tanıtılması (acil danışma hattı, e posta grubu v.b)

Bilgi güvenliği farkındalık programı, sınıf içi eğitim olabileceği gibi e-öğrenme ve self-study (kendi başına çalışma) şeklinde planlanabilir.

Bilgi güvenliği kontrolleri anlatılırken sadece ne ve nasıl yapıldığından çok neden yapıldığı ve kök nedenlerden de bahsedilmesi, kuruluş bünyesinde anlaşılmayı kolaylaştıracaktır.

13 Şubat 2014 Perşembe

İnsan Kaynakları Güvenliği -Yönetimin Sorumlulukları-




7.2 İstihdam Süresince
Amaç:  Çalışanlar ve yüklenicilerin tüm bilgi güvenliği sorumluluklarının farkında olmalarını ve yerine getirmelerini sağlamak.

7.2.1 Yönetimin Sorumlulukları
 Kontrol: Yönetim, tüm çalışanlar ve yüklenicilerden, kuruluşun politika ve prosedürlerine uygun olarak, bilgi güvenliğini uygulamalarını istemelidir.
Uygulama Kılavuzu:

Yönetimin sorumluklarına ilişkin aşağıdaki maddelerin göz önünde bulundurulması faydalı olacaktır.
-Gizli bilgiye erişimin sağlanmasından önce bilgi güvenliği rol ve sorumlulukların etkin ve etkili bir biçimde aktarılması
-Çalışanların ve yüklenicilerin kuruluşun bilgi güvenliği politikalarına uyumu konusunda desteklenmesi ve motive edilmesi
-Çalışanların ve yüklenicilerin belirlenen seviyede bilgi güvenliği farkındalığına erişmesi için gerekli desteğin sağlanması
-Yönetim, çalışanların ve yüklenicilerin istihdam süresince bilgi güvenliği politikalarına ve çalışma yöntemlerine uygun olarak çalıştığının garanti altına alınması
-Çalışan ve yüklenicilerin gerekli bilgi seviyesi ve yetkinlikte kalması adına eğitim programı düzenlenmesine öncülük etmesi
-Politika ve prosedürlere ilişkin uyumsuzlukların, bağımsız şekilde raporlanmasını sağlayacak kontrollerin geliştirilmesi

Bilgi güvenliğinin hedeflenen etkinlikte olabilmesi adına, üst yönetim çalışanlar için rol-model olmalı ve örnek teşkil etmelidir.

Yönetimin desteğinin yetersiz olması durumda oluşabilecek ihlal olayları kuruluşa büyük zarar verebileceği göz ardı edilmemelidir.

11 Şubat 2014 Salı

İnsan Kaynakları Güvenliği -İstihdam Koşulları-



7.1.2 İstihdam Koşulları
Kontrol: Çalışanlar ve yüklenicilerle yapılan sözleşmelerde, çalışanların, yüklenicilerin, kuruluşun bilgi güvenliğine ilişkin sorumluluklarına yer verilmelidir.

Uygulama Kılavuzu:
Çalışan ve yüklenicilerle imzalanan sözleşme yükümlülüklerde bilgi güvenliğini sağlamak adına aşağıdaki maddelerin göz önünde bulundurulması faydalı olacaktır;

-Gizli bilgiye erişen çalışanların ve yüklenicilerin, gizli bilgiye erişiminden önce, ifşa etmeme(açığa vurmama) anlaşmalarını imzalamış olmalıdırlar
-Çalışanların ve yüklenicilerin yasalardan doğan yükümlülükleri ve haklarının tanımlanması (Ör: Fikri mülkiyet hakları, kişisel verilerin gizliliği)
-Çalışanlar ve/veya yükleniciler tarafından kullanılan bilgilerin, bilgi işleme bileşenlerinin, bilgi servislerinin kullanımına ilişkin kurumsal varlık yönetimi ve bilgi sınıflandırılmasına ilişkin sorumluluklar tanımlanması
-Dış taraflar veya diğer kurumlardan edinilen bilgilerin çalışanlar ve yükleniciler tarafından kullanım şekli ve esasları
-Tanımlanan bilgi güvenliği gereksinimlerine uyulmaması durumunda alınacak aksiyonların tanımlanması

İşe başlayacak adaylara, işe başlama öncesi bilgi güvenliği rol ve sorumlulukları hakkında bilgi verilmesi faydalı olacaktır.

Ek olarak istihdamın sonlanması ile birlikte tanımlanan süre boyunca gizli bilgilerin ifşa edilmeyeceğine dair sözleşme maddesi gerekli olacaktır.

6 Şubat 2014 Perşembe

İnsan Kaynakları Güvenliği -Tarama-



A 7 İnsan Kaynakları Güvenliği
Amaç:  Çalışanlar ve yüklenicilerin kendi sorumluluklarını anlamalarını ve düşünüldükleri roller için uygun olup olmadıklarını sağlamak.

EK-A 7.1 İstihdam Öncesi

7.1.1 Tarama

Kontrol: Tüm işe alım adayları, yükleniciler ve üçüncü taraf kullanıcılar için ilgili yasa, düzenleme ve etik kurallara göre, iş gereksinimleri, erişilecek bilginin sınıflandırması ve alınan risklerle orantılı olarak geçmiş doğrulama kontrolleri gerçekleştirilmelidir.
Uygulama Kılavuzu:
Öncelikle ilgili tarama işlemi yasa ve mevzuatlarla belirlenmiş sınırların ötesine geçmemeli ve adaya tarama ile ilgili bilgi verilmelidir. Bu kontrol çalışılan sistemin hassasiyetine veya kuruluşun yapısına göre(Örn: Kamu kurumları) değişiklik gösterebilir.
Tarama faaliyeti sırasında aşağıdaki konu başlıklarınının göz önünde bulundurulması faydalı olacaktır;
-İş yaşamından ve kişisel yaşamdan referans kontrolü
-Özgeçmişin yeterlilik kontrolü
-Akademik ve profesyonel yetkinliklerin doğrulanması
-Bağımsız  kimlik doğrulması (Nüfüs Cüzdanı, pasaport, ehliyet v.b)
-Adli Sicil belgesi, adli geçmiş belgeleri
Çalışalacak birim güvenlik gereksinimleri gerektiriyorsa, kuruluş ek kontroller geliştirmeli ve uygulamalıdır.
Kuruluş, tarama faaliyetlerine ilişkin kısıtlamaları tanımlamalıdır. Tarama faaliyetlerini kurum içinde kim, ne zaman ve nasıl yapacağına ilişkin esaslar belirlenmelidir.
İnsan kaynaklarına ilişkin üçüncü taraf firmalarla çalışılıyorsa, tarama faaliyetlerine ilişkin sorumlulular ve gizlilik anlaşmaları yapılmalı ve kurallar tanımlanmalıdır.

4 Şubat 2014 Salı

Uzaktan Çalışma ve Bilgi Güvenliği


EK-A 6.2.2 Uzaktan Çalışma
Kontrol: Uzaktan erişilen, işlenen veya depolanan bilginin korunması için bir politika ve destekleyici güvenlik önlemleri uygulanmalıdır.



Uygulama Kılavuzu:
Günümüzde uzaktan çalışma hızla yaygınlaşmaktadır. Kuruluşların uzaktan çalışmaya ilişkin koşulları ve sıkılaştırmaları tanımlarken aşağıdaki konu başlıklarını göz önünde bulundurması faydalı olacaktır;

-Uzaktan çalışma alanının fiziksel güvenliği
-İç ağa erişimin gerekliliği  ve erişilen sistemlerin hassaslığına bağlı olarak uzaktan sağlanan iletişimin güvenlik gereksimlerinin belirlenmesi
-Sanal masaüstü bağlantılarının, kişisel cihazlar üzerinde bilgi işlemesi veya bilgi depolamasının önüne geçilmesine ilişkin kontroller
-Uzaktan erişim yapılan alandan yetkisiz erişim tehditleri (Aile bireyleri v.b)
-Uzaktan çalışma yapılan alanda kablosuz ağ güvenliğine ilişkin sıkışlaştırma ve önlemler
-Kişisel cihazlar (uzaktan erişen) üzerinde, fikri mülkiyet haklarına ilişkin kısıtlamaları içeren politika ve prosedürler
- Uzaktan erişen kişisel cihazlara bilgi güvenliği gereksinimlerinin kontrolü veya bilgi güvenliği ihlal olayı araştırmaları gerçekleştirebilmek için erişim kurallarınının belirlenmesi
- Uzaktan erişen bileşenler için lisans yönetim esaslarının belirlenmesi
-Zararlı yazılamlardan korunma ve güvenlik duvarı yapılanadırma esasları

Kuruluş yukarıdaki maddelere ek olarak aşağıdaki maddelere ilişkin önlemler tanımlamalıdır;

-Kuruluşun kontrolü altında olmayan, uzaktan erişim bileşenlerine erişim hakkının verilmemesi
-Çalışma saatlerinin tanımlanması, gerekli yetkilenledirmelerin yapılması ve periyodik kontrollerin tanımlanması
-Uzaktan erişim yapacak bileşene ait minumum güvenlik gereksinimlerinin/sıkılaştırmalarının tanımlanması ve uygulanaması
-Bileşenlerin donanım ve yazılımına ilişkin destek ve bakımının sağlanması
-Teçhizat sigortlama
-Yedekleme ve iş sürekliliğine ilişkin kontrollerin tanımlanması
-Denetlenebilirlik ve izlenebilirliğin sağlanması
- uzaktan çalışma gereksinimi ortadan kalktığında, erişim haklarının kaldırılması ve teçhizatın iadesi ile ilgili kuralların belirlenmesi