ISO/IEC 27001:2013 sertifikası için Penetrasyon Testi (Pentest) Zorunlu mu?

Kurumların “ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi” felsefesi ile bir yönetim sistemi kurmak ve standarda uyumluluğunu belgelendirerek sertifikaya sahip olmak için yapması gereken çalışmalarda, en fazla merak edilen konuların başında Penetrasyon testinin(sızma testinin) ISO/IEC 27001 uyumluluk sürecinde zorunluluk olup olmadığı gelmektedir.

ELEKTRİK PİYASASI TEDARİK LİSANS SAHİPLERİ İÇİN ISO 27001 ZORUNLULUĞU

Son yıllarda EPDK (Enerji Piyasası Düzenleme Kurumu) tarafından uygulanan stratejilerin;  izlenebilir, ölçümlenebilir, değerlendirilebilir ve iyileştirilebilir süreçler ile yönetim yönünde olduğu; lisans sahipleri için uluslararası standartlara uyumlu süreçler kurma ve işletme zorunluluklarından yola çıkılarak görülebilmektedir.

Geçtiğimiz yıllarda yine blog.btyon’den paylaştığımız "Enerji Piyasasında Bilgi Güvenliğine Verilen Önem Giderek Artıyor" başlıklı yazımızda, 26 Aralık 2014 tarihli (Sayı:29217) yönetmelik değişikliğiyle; 100MW ve üzeri üretim yapan üretim lisansı sahipleri(OSB üretim lisansı sahipleri hariç), iletim lisansı sahipleri, piyasa işletim lisansı sahipleri ve dağıtım lisansı sahipleri (OSB dağıtım lisansı sahipleri hariç) için “Kurumsal bilişim sistemi ile endüstriyel kontrol sistemlerini TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygun bir şekilde işletmek, TS ISO/IEC 27001 standardına uygun faaliyet gösterdiğini Türk Akreditasyon Kurumuna akredite olmuş bir belgelendirme kurumuna ispat ederek sistemlerini belgelendirmek ve söz konusu belgelerin geçerliliğini sağlamak” zorunluluğu duyurmuştuk. Değişikliğe ilişkin yönetmelikte, Elektrik Piyasası Lisans Yönetmeliği'nde yapılan değişikliklerin 01.03.2016 tarihinde yürürlüğe gireceği; dolayısıyla ilgili sertifikasyon gereksinimlerinin bu tarihe kadar karşılanması beklendiği ifade edilmekteydi.

Buna ek olarak, geçtiğimiz günlerde yayınlanan 23 Aralık 2015 tarihli (Sayı:29571) yeni bir yönetmelik değişikliğinde ise bir önceki değişiklikte konusu geçmeyen tedarik (Görevli Tedarik Şirketi) lisans sahipleri  için de “lisans alma tarihinden itibaren yirmi dört ay içerisinde TS EN ISO 9001, TS ISO 10002 ve TS ISO/IEC 27001 standartları için Türk Akreditasyon Kurumuna akredite olmuş bir belgelendirme kurumu tarafından verilen uygunluk belgelerini Kuruma sunmak” bir zorunluluk olarak duyurulmuş durumdadır.

Endüstriyel Kontrol Sistemlerinde(EKS) Fiziksel Güvenliğin Sağlanması

Bilgi güvenliğinde alınması gereken önlemlerin başında fiziksel güvenliğin sağlanması gelmektedir. Fiziksel güvenlik, kurum sistemlerine yetkisiz erişimlerin önlenmesinde ilk adım olarak tanımlanabilir.

 Fiziksel güvenliği sağlanmamış sistemler, güvenliğin sağlanması adına alınan önlemlerin ve yatırımların da etkisiz kalmasına sebep olabilmektedir. Endüstriyel sistemlerin karşı karşıya kalabileceği risklerin bazıları; sistemin işleyişinin kontrol dışında kalması durması, sistemin kontrolünün yetkisiz kimselerce/yazılımlarca gerçekleştirilmesi, sistemin  değeri olan bilgilerinin başkaları tarafından ele geçirilmesidir.

ISO 22301 İş Sürekliliği Yönetim Sistemi Standardı- Yaşamak için oksijen, su ve besin yeterli; ya işletmeler için?

Acil durumlarda yaşamımızı sürdürebilmek için vücudumuza oksijen, su ve besin almamız yeterlidir. Bu temel ihtiyaçları gidermemiz bizim ayakta ve hayatta kalmamızı sağlar. İşletmeniz için oksijen, su ve besin nedir?

Makalenin devamına buradan ulaşabilirsiniz.

İş Sürekliliği ile Sürdürülebilirlik İlişkisi

‘İş sürekliliği’ kavramı, sözü edilirken çoğu insanın aklında ‘sürdürülebilirlik’ kavramı ile çakışmaktadır. Çağrışım olarak yakın, benzer odaklı ancak anlamsal olarak oldukça farklı kavramlardır. 

Bu makalede, ‘iş sürekliliği’ ve ‘sürdürülebilirlik’ kavramları üzerinde durulacak; farkları, ilişkileri ve bağımlılıklarından söz edilecektir. 

İlgili makaleye buradan ulaşabilirsiniz.

İş Sürekliliği Planı Oluşturma Rehberi

İş sürekliliği planları, herhangi bir kriz ya da afet anında söz konusu organizasyonun varoluş sebebi olan iş süreçlerinin kesintisiz olarak (minimum kesinti etkisiyle) devamlılığını sağlayan ve meydana gelen krizin en az zararla atlatılabilmesini sağlayan planlardır. ISO 22301 İş Sürekliliği Yönetim Sistemi içinde bölüm 8 operasyon başlığı altında yer alır.

Organizasyonlar herhangi bir olaya zamanında ve doğru tepkiyi verebilmek, kurtarma faaliyetlerini sağlıklı gerçekleştirebilmek için dokümante edilmiş iş sürekliliği planlarını oluşturmalıdır. 

Makalenin devamına buradan ulaşabilirsiniz.

Android - Formların otomatik Doldurma Özelliğini Kapatmak

Otomatik form doldurma özelliği; tarayıcıda gezinmenizi kolaylaştırmak için metin kutularına girdiğiniz bilgileri hatırlar. Fakat bu kolaylık yanında güvenlik açıklarını da getirir; kullanıcı adlarınız, parolalarınız gibi bilgilerinize ulaşma olasılığı doğurur. Bu nedenle Otomatik form doldurma özelliğini kapatmanız tavsiye edilir. Bu bağlamda;

İlk önce “Browser(Tarayıcı)” açarak menü butonuna tıklıyor ve “Settings (Ayarlar)” seçeneğine tıklıyoruz.

Açılan bölümden “Privacy & security (Gizlilik ve güvenlik)” bölümüne tıkladıktan sonra açılan pencereden “Remember form data (Form verilerini hatırla)” kutucuğundaki seçimi kaldırıyoruz.

Android - Güvenlik Uyarılarını Etkinleştirmek

Güvenlik uyarıları; tarayıcıda gezindiğiniz sitede bilinen herhangi bir güvenlik probleminin olup olmadığını bildirmek işlevini yürütür.  Uyarıların açık olması tavsiye edilir. Bu bağlamda;

İlk önce “Browser (Tarayıcı)” açarak menü butonuna tıklıyor ve “Settings (Ayarlar)” seçeneğine tıklıyoruz.

Açılan bölümden “Privacy & security (Gizlilik ve güvenlik)” bölümüne tıkladıktan sonra açılan pencereden “Show security warnings (Güvenlik uyarılarını etkinleştir)” kutucuğundaki seçimi kaldırıyoruz.