1 Nisan 2021 Perşembe

ISO 27001 uygunsuzluk örnekleri

ISO 27001 uygunsuzluk örnekleri

A.9.2.3: Kullanıcı hesaplarının ve özellikle yönetici hesaplarının “password never exprires” şeklinde parola değişiklerinin manuel olarak düzenlenecek şekilde kullanılması.

A.16: İhlal olaylarının yönetimi: İhlal olay tanımının kısıtlı olması ve müdahale sürecinin (FÇ) net olarak tanımlanmaması.  

25 Ekim 2020 Pazar

ISO 27001 Büyük ve Küçük Uygunsuzlukları

 ISO 27001 Uygunsuzlukları

Büyük Uygunsuzluklar

Standardın bir maddesinin tamamen eksikliği durumlarıdır. Sistemi doğrudan etkileyen bir uygulamanın olmaması ya da uygulanmaması anlamına gelir.

·         Bilgi güvenliği politikası hazırlanmamış

·         Kapsam hazırlanmamış

·         Risk analizi ve değerlendirme işlemi yapılmamış

·         Planlama yapılmamış

·         İletişim planları yapılmamış

·         İç tetkik yapılmamış

·         YGG yapılmamış

 

Küçük Uygunsuzluklar

Sistemin işleyişini etkilemeyen uygunsuzluklardır.

 

Varlık envanterinden varlıkların gizlilik değeri Gizlilik sınıfıyla uyumlu olmaması (A.8.1.1)

Bilgisayar, yazıcı, ziyaretçi ve farklı birimler için farklı ağların (network, VLAN) kullanılmaması

Administrator ve diğer jenerik kullanıcı kayıtlarının değiştirilmeden kullanılması.

Otoriterlerle ve Özel İlgi Gruplarıyla İletişim dokümanları hazırlanmamış

Ayrıcalıklı haklara sahip kullanıcıların yönetimine dair bir düzenleme yapılmamış.  (A.9.2.3)

Elektronik mesajlaşma sisteminde “disclaimer” kullanılmıyor. (A.13.2.3)

Teçhizat ve donanımlara ilişkin bakım kayıtları tutulmamış. (A.11.2.2)

Kullanıcı hesaplarının oluşturulması ve yönetimine ilişkin bir sistem oluşturulmamış (A.9.2.1.)

Personelin işten ayrılması işlemleri varlıkların iadesi işlemleri yapılmıyor. FÇ adlı kişinin ayrılması sürecinde eksiklik var (A.7.3.1, A.8)



Faruk  Çubukçu

 

faruk@farukcubukcu.com

 

www.farukcubukcu.com

www.excelakademi.com

www.excelci.com

http://excelciler.blogspot.com.tr/

http://projeproje.blogspot.com.tr/

http://iso27001-bgys.blogspot.com.tr/

https://www.youtube.com/user/farukcubukcu


ISO 27001 Major ve Minor Uygunsuzlukları

 ISO 27001 Uygunsuzlukları

Major Uygunsuzluklar

Standardın bir maddesinin tamamen eksikliği durumlarıdır. Sistemi doğrudan etkileyen bir uygulamanın olmaması ya da uygulanmaması anlamına gelir.

·         Bilgi güvenliği politikası hazırlanmamış

·         Kapsam hazırlanmamış

·         Risk analizi ve değerlendirme işlemi yapılmamış

·         Planlama yapılmamış

·         İletişim planları yapılmamış

·         İç tetkik yapılmamış

·         YGG yapılmamış

 

Minor Uygunsuzluklar

Sistemin işleyişini etkilemeyen uygunsuzluklardır.

 

Varlık envanterinden varlıkların gizlilik değeri Gizlilik sınıfıyla uyumlu olmaması (A.8.1.1)

Bilgisayar, yazıcı, ziyaretçi ve farklı birimler için farklı ağların (network, VLAN) kullanılmaması

Administrator ve diğer jenerik kullanıcı kayıtlarının değiştirilmeden kullanılması.

Otoriterlerle ve Özel İlgi Gruplarıyla İletişim dokümanları hazırlanmamış

Ayrıcalıklı haklara sahip kullanıcıların yönetimine dair bir düzenleme yapılmamış.  (A.9.2.3)

Elektronik mesajlaşma sisteminde “disclaimer” kullanılmıyor. (A.13.2.3)

Teçhizat ve donanımlara ilişkin bakım kayıtları tutulmamış. (A.11.2.2)

Kullanıcı hesaplarının oluşturulması ve yönetimine ilişkin bir sistem oluşturulmamış (A.9.2.1.)

Personelin işten ayrılması işlemleri varlıkların iadesi işlemleri yapılmıyor. FÇ adlı kişinin ayrılması sürecinde eksiklik var (A.7.3.1, A.8)



Faruk  Çubukçu

 

faruk@farukcubukcu.com

 

www.farukcubukcu.com

www.excelakademi.com

www.excelci.com

http://excelciler.blogspot.com.tr/

http://projeproje.blogspot.com.tr/

http://iso27001-bgys.blogspot.com.tr/

https://www.youtube.com/user/farukcubukcu


3 Ekim 2020 Cumartesi

Risk Analizi

KVKK Risk Analizi işlemi de ISO 27001 risk analizine benzer. 

       Kişisel verilerin işlenmesi süreçlerini yönetimi risk tabanlı bir işlemdir. Kişisel verileri işleyen kurumlar risklerini tanımlamalı ve gerekli önlemleri almalıdır. Bu anlamda şu çalışmalar yapılabilir:

       Risk yönetimi politikası ve prosedürü oluşturulmalıdır.

       Kişisel veriler ve süreçler temelinde riskler tanımlanmalıdır.

       Artık risklerin kabul kriterleri belirlenmelidir.

       Risk işlem planı oluşturulmalıdır.

       Risk iyileştirme çalışmaları / Aksiyonlar alınmalı ve takip edilmelidir.

 

NOT: Bu ve diğer bütün videolarımda anlatılan uygulamalar ve çalışmalar tümüyle uygulama ortamında yapılabilecek çalışmalara yönelik bir demo niteliğindedir kurumunuza uygun olmayabilir. Sizler kendi kurumunuza ve süreçlerinize uygun riskleri tanımlamanız ve ilgili yönetim süreçlerini yapmanız gerekir.

Video: 


https://youtu.be/NzYJM2xhAuI

KVKK envanter videosu:

 

https://youtu.be/Ck7KVOcrpOs

 


22 Eylül 2020 Salı

ISO/IEC 27701:2019 PIMS

 

ISO/IEC 27701:2019, ISO/IEC 27001’in BGYS bilgi güvenliği yönetim sisteminin “privacy" eki ya da genişletmesidir.  Bu gizlilik ek gereksinimleri ifade eder ve kurumun PIMS’i oluşturmasını, uyarlamasını ve sürdürmesini sağlar.

ISO 27701 gizliliği koruması kılavuzluğu kurumun kişisel verileri nasıl yöneteceğini ve kişisel veri güvenliğine uyumu (KVKK) sağlar.

Gizli bilgi yönetim sistemi PIMS’nin ISO 27701’in yanında kurulmasını açıklar.

14 Eylül 2020 Pazartesi

ISO 27001 A.6.1.2 Görevlerin Ayrılığı Nasıl Yapılmalı

 

ISO 27001 A.6.1.2 Görevlerin Ayrılığı?

Görevlerin ayrılığı genellikle ihmal edilen bir konu:

Taleplerin bölünmesi, işlemlerin belli adımlara ayrılması (farklı kişiler tarafından ve farklı yetkilendirme sistemleri tarafından desteklenmeli) gerekir.

En temel prensip:

Bir işlemin yapılması için birden çok kişi (en az iki kişi) onay vermeli. Ödeme onayı ya da sistemin değiştirilmesi gibi teknik bir konu.