ISO 27001:2017
ISO/IEC 27001:2017
ISO 27001 yeni sürümü çıktı. 6.1.3 ve Annex A control 8.1’de
yeni düzenlemeler var.
Ancak bu sürüm bölgesel (Avrupa) bir sürüm. ISO/IEC tarafından
yapılmadır. Bu anlamda geçilmesi gerekli bir sürüm değil.
8 Aralık 2017 Cuma
2 Ekim 2017 Pazartesi
Network teknolojileri - daha çok kazandıran işler
Network teknolojileri - daha çok kazandıran işler; Cisco network administration, Linux/UNIX administration, VoIP administration, ve Windows.
https://www.networkworld.com/article/3227832/lan-wan/4-job-skills-that-can-boost-networking-salaries.html
https://www.networkworld.com/article/3227832/lan-wan/4-job-skills-that-can-boost-networking-salaries.html
Sahte bilgi yayılmasına dikkat
Sahte bilgi yayılmasına dikkat;
Internet’te herkes bilgi paylaşabiliyor.
Dijital içeriğin değiştirilmesinin çok kolay,
Sosyal medyada kolayca paylaşım motivasyonu yaratılıyor.
26 Ağustos 2017 Cumartesi
Hacklenebilecek kişilerin zayılıkları
https://www.entrepreneur.com/article/284019
Şirket dosyalarının kişisel bulut’lara yüklenmesi
Dikkatsizce gönderilen e-postalar
Eğitim ve farkındalık eksikliği
Zayıf parolalar
Login bilgilerinin paylaşılması
Web uygulamalarını kurulmasıŞirket dosyalarının kişisel bulut’lara yüklenmesi
Dikkatsizce gönderilen e-postalar
25 Ağustos 2017 Cuma
ISO 27001 zorunlu dokümanlar
ISO/IEC 27001:2013 - BGYS Dokümanları, BGYS süreçleri için
gerekli olan dokümanlardır. Bunlar genel dokümanlardır. Kuruma göre farklı
olabilir.
Tablo : BGYS Zorunlu Dokümanları Listesi
DOKÜMAN KODU
|
DOKÜMAN ADI
|
ISO/IEC 27001:2013 REFERANS
|
ANA DOKÜMANLAR (DOK)
|
||
FC.BGYS.DOK.01
|
ANA DOKÜMAN LİSTESİ
|
7.5
|
FC.BGYS.DOK.02
|
BGYS KURUMSAL ROLLER, SORUMLULUKLAR VE
YETKİLER
|
5.3, 7.2, A.7.1.2, A.13.2.4
|
FC.BGYS.DOK.03
|
BGYS SÜREÇLERİ ETKİLEŞİM ŞEMASI
|
7.5.1
|
FC.BGYS.DOK.04
|
HEDEFLER ve PLANLAMA
|
6.2, 7.1
|
FC.BGYS.DOK.05
|
İLETİŞİM PLANI
|
7.4
|
FC.BGYS.DOK.06
|
KAPSAM ve BAĞLAM
|
4.1, 4.3
|
FC.BGYS.DOK.07
|
RİSK DEĞERLENDİRME METODOLOJİSİ
|
6.1.2
|
FC.BGYS.DOK.08
|
RİSK DEĞERLENDİRME RAPORU
|
8.2
|
FC.BGYS.DOK.09
|
RİSK İŞLEME PLANI
|
6.1.3, 6.2
|
FC.BGYS.DOK.10
|
RİSK KÜTÜĞÜ
|
6.1.2
|
FC.BGYS.DOK.11
|
UYGULANABİLİRLİK BİLDİRGESİ (SOA)
|
6.1.3
|
FC.BGYS.DOK.12
|
VARLIK ENVANTERİ
|
A.8.1.1
|
POLİTİKALAR (POL)
|
||
BGYS
POLİTİKASI (YÖNETİM)
|
||
FC.BGYS.POL.02
|
BGYS
POLİTİKASI (FARUK ÇUBUKÇU)
|
|
FC.BGYS.POL.03
|
BİLGİ GÜVENLİĞİ İŞLETİM POLİTİKALARI
(*)
|
|
FC.BGYS.POL.04
|
BİLGİ
SINIFLANDIRMA VE ETİKETLEME POLİTİKASI
|
|
FC.BGYS.POL.05
|
BİLGİ
TRANSFERİ POLİTİKASI
|
|
FC.BGYS.POL.06
|
FİKRİ MÜLKİYET POLİTİKASI
|
|
FC.BGYS.POL.07
|
GÜVENLİ SİSTEM MÜHENDİSLİĞİ POLİTİKASI
|
|
FC.BGYS.POL.08
|
İÇ TETKİK POLİTİKASI
|
|
FC.BGYS.POL.09
|
İNSAN KAYNAKLARI GÜVENLİĞİ POLİTİKASI
|
|
FC.BGYS.POL.10
|
İZLEME, ÖLÇME, ANALİZ VE DEĞERLENDİRME
|
|
FC.BGYS.POL.11
|
SÜREKLİ İYİLEŞTİRME POLİTİKASI
|
|
FC.BGYS.POL.12
|
TEDARİKÇİ GÜVENLİĞİ POLİTİKASI
|
|
FC.BGYS.POL.13
|
TEMİZ MASA ve TEMİZ EKRAN POLİTİKASI
|
|
FC.BGYS.POL.14
|
UYGUNSUZLUK VE DÜZELTİCİ FAALİYET
POLİTİKASI
|
|
FC.BGYS.POL.15
|
ÜÇÜNCÜ TARAF GÜVENLİK POLİTİKASI
|
|
FC.BGYS.POL.16
|
VARLIKLARIN KABUL EDİLEBİLİR KULLANIMI
POLİTİKASI
|
|
FC.BGYS.POL.17
|
ZİYARETÇİ KABUL POLİTİKASI
|
|
PROSEDÜRLER (PR)
|
||
FC.BGYS.PR.01
|
BİLGİ
GÜVENLİĞİ İŞLETİM PROSEDÜRLERİ (*)
|
|
FC.BGYS.PR.02
|
BİLGİ SINIFLANDIRMA VE ETİKETLEME
POLİTİKASI
|
|
FC.BGYS.PR.03
|
DİSİPLİN PROSEDÜRÜ
|
|
FC.BGYS.PR.04
|
DOKÜMAN VE KAYITLARIN KONTROLÜ
PROSEDÜRÜ
|
|
FC.BGYS.PR.05
|
DÜZELTİCİ FAALİYET PROSEDÜRÜ
|
|
FC.BGYS.PR.06
|
EĞİTİM / FARKINDALIK EĞİTİMİ PROSEDÜRÜ
|
|
FC.BGYS.PR.07
|
FİKRİ MÜLTİYET HAKLARININ KORUNMASI
PROSEDÜRÜ
|
|
FC.BGYS.PR.08
|
İÇ TETKİK PROSEDÜRÜ
|
|
FC.BGYS.PR.09
|
İHLAL OLAYLARI YÖNETİM PROSEDÜRÜ
|
|
FC.BGYS.PR.10
|
İLETİŞİM PROSEDÜRÜ
|
|
FC.BGYS.PR.11
|
İLGİLİ YASA VE DÜZENLEMELERİNE UYUM
PROSEDÜRÜ
|
|
FC.BGYS.PR.12
|
İNSAN KAYNAKLARI YÖNETİMİ PROSEDÜRÜ
|
|
FC.BGYS.PR.13
|
ÖLÇÜM YÖNTEMLERİ VE KONTROLLERİ
PROSEDÜRÜ
|
|
FC.BGYS.PR.14
|
FARUK ÇUBUKÇU PROJE YÖNETİMİ PROSEDÜRÜ
|
|
FC.BGYS.PR.15
|
RİSK DEĞERLENDİRME PROSEDÜRÜ
|
|
FC.BGYS.PR.16
|
RİSK İŞLEME PROSEDÜRÜ
|
|
FC.BGYS.PR.18
|
TEDARİKÇİ SEÇİMİ VE DEĞERLENDİRİLMESİ
PROSEDÜRÜ
|
|
FC.BGYS.PR.19
|
YASAL VE SÖZLEŞMEYE TABİ
GEREKSİNİMLERLE UYUM PROSEDÜRÜ
|
|
FC.BGYS.PR.20
|
YÖNETİMİN GÖZDEN GEÇİRME (YGG)
PROSEDÜRÜ
|
|
ISO 27001 standardı, bilgi güvenliği konusunda geliştirilmiş
uluslararası bir sistemdir.
Kitapta genel olarak “bilgi güvenliği” ve kurumlarda 27001 Bilgi Güvenliği Yönetim Sistemi’nin uygulanmasına yardımcı olacak konular yer almaktadır.
Bilgi varlıklarının belirlenmesi, envanterinin çıkarılması, risk analizi, kontrollerin belirlenmesi, ağ güvenliğinin sağlanması, iş sürekliliğinin sağlanması, vb konular uygulama ve “dokümantasyon” örnekleriyle yer almaktadır.
Ayrıca 27001 standardının ana ve ek maddelerinin gereksinimleri uygulamaya yönelik olarak açıklanmaktadır. İç tetkik ve düzeltici faaliyetler hakkında bilgiler de yine uygulamaya yönelik ve doküman örnekleriyle yer almaktadır.
Kitapta genel olarak “bilgi güvenliği” ve kurumlarda 27001 Bilgi Güvenliği Yönetim Sistemi’nin uygulanmasına yardımcı olacak konular yer almaktadır.
Bilgi varlıklarının belirlenmesi, envanterinin çıkarılması, risk analizi, kontrollerin belirlenmesi, ağ güvenliğinin sağlanması, iş sürekliliğinin sağlanması, vb konular uygulama ve “dokümantasyon” örnekleriyle yer almaktadır.
Ayrıca 27001 standardının ana ve ek maddelerinin gereksinimleri uygulamaya yönelik olarak açıklanmaktadır. İç tetkik ve düzeltici faaliyetler hakkında bilgiler de yine uygulamaya yönelik ve doküman örnekleriyle yer almaktadır.
Kitap Adı: Bilgi Güvenliği
Yönetim Sistemi ISO27001:2013 Uygulama Kılavuzu, Faruk Çubukçu
Fiyatı: 35,70 TL, ISBN:
978-605-2359-59-4, Sayfa: 416
Satın almak için:
Satın almak için:
31 Temmuz 2017 Pazartesi
ISO 27001 Projelerinin Başarı Faktörleri
ISO/IEC 27001 Projelerinin Başarı Faktörleri
ISO/IEC 27001 kurulum ve uygulama projelerinin başarılı
olması için aşağıdaki faktörlere dikkat edilmesi gerekir.
- · Bu işin tüm şirkete ait bir çalışma olması, - şirket kültürü olması gerektiği,
- · Sadece teknoloji konusu olmadığı,
- · Üst yönetim desteği, gerekli kaynakların atanması,
- · BGYS Komitesinin kurulması, düzenli toplantılar yapması,
- · Uygun (gerçekleştirilebilir) hedefler ve amaçlar,
- · Bu iş için yeterli ve eğitimli kadro,
- · Varlık envanterinin doğru çıkarılması,
- · İş süreçlerinin doğru açıklanması,
- · Risklerin iş süreçleri ve/veya varlıklar temelinde oluşturulması, risklerin işlenmesinin sürekli yapılması,
- · Tüm çalışanlarının farkındalığını artırmak,
- · İç tetkikleri düzenli olarak yapılması,
- · İyi bir dokümantasyon sisteminin kurulması ve dokümanları güncellenmesi.
13 Temmuz 2017 Perşembe
ISO 27001 iletişim gereksinimleri
ISO 27001 İletişim Planı ve iletişim gereksinimleri:
ISO/IEC 27001:2013 ana maddeleri içinde 7.4 İletişim konusunu şu şekilde belirtmiştir:
Kuruluş aşağıdakileri içeren bilgi güvenliği yönetim sistemi ile ilgili dâhili ve harici iletişim ihtiyaçlarını belirlemelidir:
a) İletişimin konusu,
b) Ne zaman iletişim kurulacağı,
c) Kiminle iletişim kurulacağı,
d) Kimin iletişim kuracağı ve
e) İletişimin hangi süreçten etkileneceği.
Onun dışında Ek A maddeleri içinde; A.6.1.3 - Otoritelerle iletişim ve A.6.1.4-Özel İlgi grupları ile iletişim konularının düzenlenmesini istemektedir. Ayrıca iş sürekliliği içerisinde acil durum iletişimi, ihlal olaylarının bildirimi ve uygunsuzlukların bildirilmesi için iletişim sisteminin ya da iletişim planının yapılmasını gerektirir.
ISO 27001 İletişim Planı
ISO 27001 İletişim Planı ve iletişim gereksinimleri:
ISO/IEC 27001:2013 ana maddeleri içinde 7.4 İletişim
konusunu şu şekilde belirtmiştir:
Kuruluş aşağıdakileri içeren bilgi güvenliği yönetim sistemi
ile ilgili dâhili ve harici iletişim ihtiyaçlarını belirlemelidir:
a) İletişimin konusu,
b) Ne zaman iletişim kurulacağı,
c) Kiminle iletişim kurulacağı,
d) Kimin iletişim kuracağı ve
e) İletişimin hangi süreçten etkileneceği.
Onun dışında Ek A maddeleri içinde; A.6.1.3 - Otoritelerle
iletişim ve A.6.1.4-Özel İlgi grupları ile iletişim konularının düzenlenmesini
istemektedir. Ayrıca iş sürekliliği içerisinde acil durum iletişimi, ihlal
olaylarının bildirimi ve uygunsuzlukların bildirilmesi için
iletişim sisteminin ya da iletişim planının yapılmasını gerektirir.
8 Haziran 2017 Perşembe
ISO/IEC 27001 Pratik Tetkik/Denetim Soru Listesi
ISO/IEC 27001 Pratik Tetkik/Denetim Soru Listesi
BİLGİ GÜVENLİĞİ POLİTİKASI: Biliniyor mu?
PAROLA KULLANIMI: Parola politikası biliniyormu? Parolaları
kullanıcı mı beliriyor. Kaç karakter, ne sıklıkta değiştiriyor, aynı parolayı
tekrar kullanabiliyormu? Başkasıyla paylaşıyor mu? Ortak kullanım varmı?
İNTERNET KULLANIMI: Her siteye girilebiliyormu? Kurallar
varmı?
E-POSTA: Disclaimer bidirimi varmı? Kuralları varmı?
TEMİZ MASA ÜSTÜ VE EKRAN: Masa üstünde evraklar varmı? Dolap
ve çekmece kullanımı, post-it kulanılıyormu?
ORTAK PRİNTER KULLANIMI: Yazıcı izinleri varmı?
ORTAK KLASÖRLER: Klasörlerin izinleri varmı? Her klasöre
kaydetme ve erişime yetkisi varmı?
GEREKSİZ PRİNT ETME VE KAĞIT İMHA: Gereksiz kağıt ve medya
olduğunda nasıl imha ediliyor.
BİLGİ SINIFLANDIRMA: Bilgi sınıflandırma (evrak, dosya,
varlık) nasıl, Etiketleme nasıl?
GİZLİLİLİK ANLAŞMASI: Tedarikçilerle gizlilik anlaşması
yapılıyormu?
ARŞİV: Arşiv odası varmı? Giriş çıkış nasıl?
FLASH BELLEK KULLANIMI: Flash bellek kullanımı sebestmi?
Nerede saklanıyor?
ZİYARETÇİLERLE İLGİLİ KURALLARI: Ziyaretçiler refakat etme,
internet erişimi nasıl?
ISO 27001 standardı, bilgi güvenliği konusunda geliştirilmiş
uluslararası bir sistemdir.
Kitapta genel olarak “bilgi güvenliği” ve kurumlarda 27001 Bilgi Güvenliği Yönetim Sistemi’nin uygulanmasına yardımcı olacak konular yer almaktadır.
Bilgi varlıklarının belirlenmesi, envanterinin çıkarılması, risk analizi, kontrollerin belirlenmesi, ağ güvenliğinin sağlanması, iş sürekliliğinin sağlanması, vb konular uygulama ve “dokümantasyon” örnekleriyle yer almaktadır.
Ayrıca 27001 standardının ana ve ek maddelerinin gereksinimleri uygulamaya yönelik olarak açıklanmaktadır. İç tetkik ve düzeltici faaliyetler hakkında bilgiler de yine uygulamaya yönelik ve doküman örnekleriyle yer almaktadır.
Kitapta genel olarak “bilgi güvenliği” ve kurumlarda 27001 Bilgi Güvenliği Yönetim Sistemi’nin uygulanmasına yardımcı olacak konular yer almaktadır.
Bilgi varlıklarının belirlenmesi, envanterinin çıkarılması, risk analizi, kontrollerin belirlenmesi, ağ güvenliğinin sağlanması, iş sürekliliğinin sağlanması, vb konular uygulama ve “dokümantasyon” örnekleriyle yer almaktadır.
Ayrıca 27001 standardının ana ve ek maddelerinin gereksinimleri uygulamaya yönelik olarak açıklanmaktadır. İç tetkik ve düzeltici faaliyetler hakkında bilgiler de yine uygulamaya yönelik ve doküman örnekleriyle yer almaktadır.
Kitap Adı: Bilgi Güvenliği
Yönetim Sistemi ISO27001:2013 Uygulama Kılavuzu, Faruk Çubukçu
Fiyatı: 35,70 TL, ISBN:
978-605-2359-59-4, Sayfa: 416
Satın almak için:
Satın almak için:
18 Mayıs 2017 Perşembe
ISO 27001 / BGYS / Bilgi Güvenliği Komitesinin görevleri
ISO 27001 / BGYS / Bilgi Güvenliği Komitesinin görevleri:
Liderlik: Bilgi güvenliğini sağlayan ekiplere liderlik. Gerekli
kaynakları sağlamak.
Yönetim: Güvenlik politikaları ve etkin çözümler sağlamak
üzere çalışmalar yapmak, Günlük uygulamaları kontrol etmek.
Operasyon: Bilgi güvenliği olaylarını izlemek ve gereken
durumlarda müdahale etmek.
Farkındalığı artırmak: Kurumda çalışanların farkındalığını
artırmak.
15 Nisan 2017 Cumartesi
1 Nisan 2017 Cumartesi
Kuruluşun bağlamı
Kuruluşun bağlamı, BGYS’nin tasarımında bir çerçeve
yaklaşımı oluşturmak anlamına gelir. Bunlar dış çevre ekonomik koşulları,
teknolojik değişimleri, sosyal ve çevresel koşullar kuruluşun faaliyet
gösterdiği bağlamı oluşturur.
ISO 27001 standardı, bilgi güvenliği konusunda geliştirilmiş
uluslararası bir sistemdir.
Kitapta genel olarak “bilgi güvenliği” ve kurumlarda 27001 Bilgi Güvenliği Yönetim Sistemi’nin uygulanmasına yardımcı olacak konular yer almaktadır.
Bilgi varlıklarının belirlenmesi, envanterinin çıkarılması, risk analizi, kontrollerin belirlenmesi, ağ güvenliğinin sağlanması, iş sürekliliğinin sağlanması, vb konular uygulama ve “dokümantasyon” örnekleriyle yer almaktadır.
Ayrıca 27001 standardının ana ve ek maddelerinin gereksinimleri uygulamaya yönelik olarak açıklanmaktadır. İç tetkik ve düzeltici faaliyetler hakkında bilgiler de yine uygulamaya yönelik ve doküman örnekleriyle yer almaktadır.
Kitapta genel olarak “bilgi güvenliği” ve kurumlarda 27001 Bilgi Güvenliği Yönetim Sistemi’nin uygulanmasına yardımcı olacak konular yer almaktadır.
Bilgi varlıklarının belirlenmesi, envanterinin çıkarılması, risk analizi, kontrollerin belirlenmesi, ağ güvenliğinin sağlanması, iş sürekliliğinin sağlanması, vb konular uygulama ve “dokümantasyon” örnekleriyle yer almaktadır.
Ayrıca 27001 standardının ana ve ek maddelerinin gereksinimleri uygulamaya yönelik olarak açıklanmaktadır. İç tetkik ve düzeltici faaliyetler hakkında bilgiler de yine uygulamaya yönelik ve doküman örnekleriyle yer almaktadır.
Kitap Adı: Bilgi Güvenliği
Yönetim Sistemi ISO27001:2013 Uygulama Kılavuzu, Faruk Çubukçu
Fiyatı: 35,70 TL, ISBN:
978-605-2359-59-4, Sayfa: 416
Satın almak için:
Satın almak için:
Kaydol:
Kayıtlar (Atom)