BGYS KAPSAMI

ISO 27001 Dokümantasyon Çalışmalarında ilk hazırlanacak dokümanlardan birisi kapsam metnidir. 

Örnek bir kapsam metni: 

FC-HOLDİNG; İnsan Kaynakları, Finans, Mali İşler, Bilgi Sistemleri departmanlarından oluşan organizasyon yapısıyla Holding bünyesindeki diğer kurumlara insan kaynakları, mali işler ve bilgi işlem konusunda hizmet sağlar.

Organizasyon: FC-HOLDİNG A.Ş

Hedef: ISO/IEC 27001:2013 sertifikasyonunu elde etmek için standarda uyumluluk sağlanması.

Yerleşke:  FC- HOLDİNG A.Ş’nin operasyonlarını yürüttüğü yerler:

Merkez  Adres : FARUK ÇUBUKÇU-İZMİR

Varlıklar Ve Teknoloji: Kendisinin yerine getirdiği ve dışarıdan alınan hizmetler.

Bağımlılıklar: Tabii olunan yasalar.

Limitler/Sınırlar: Organizasyonun özellikleri (büyüklük, çalışma alanları vb.), Organizasyonun mekânı, Varlıklar, Teknoloji ve personel. 

BGYS EL KİTABI İÇERİK

İÇİNDEKİLER     

1. GİRİŞ               

1.1. Şirket Tanıtımı         

2. KAPSAM        

3. BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ

3.1. Bilgi Güvenliği Politikası       

3.2. Dokümantasyon Yapımız    

3.3. Organizasyon Şeması           

3.4. Yönetimin Sorumluluğu      

3.5. Uygulanabilirlik Bildirgesi / Uygulanmayan Maddeler            

VERİ KORUMA VE GİZLİLİĞİ POLİTİKASI

VERİ KORUMA VE GİZLİLİĞİ POLİTİKASI

Amaç

Bu politika fc-holdingin bütün ulusal ve uluslararası prosedürlere ve çalışma talimatlarına uyum sağlayacağını beyan eder.

Uygulama

a) Kişisel veriler, varlık envanterindeki sınıflandırma seviyelerine göre gizli olarak sınıflandırılmaktadır.

b) Politika; kablosuz dizüstü bilgisayarlar, kişisel dijital asistanlar ve cep telefonları da dahil olmak üzere şirketin sahip olduğu tüm kişisel veriler için geçerlidir.

c) Şirketimizin, ilgili politikayı uygulamak için yürürlüğe koyduğu politika ve prosedürlerin anlaşılması için bütün çalışanlara eğitim verilir.

d) Bu politikanın ihlal edilmesi hallerinde disiplin süreci başlatılacaktır.

Yetkiler

Bu döküman, BGYS Yöneticisi’nin sorumluluğu altındadır.

Tanımlar

BGYS: Bilgi Güvenliği Yönetim Sistemi BGYS, kurumun hassas bilgilerini yönetebilmek amacıyla benimsenen sistematik bir yaklaşımdır. Bu sistemin temel amacı hassas bilginin korunmasıdır. Bu sistem çalışanları, iş süreçlerini ve bilgi teknolojileri (BT) sistemlerini kapsar.

Yürürlük

Bu politika FC/BGYS/P04/01 nolu YÖNETİMİN GÖZDEN GEÇİRMESİ PROSEDÜRÜ’ne göre gözden geçirilir.

Altı bölümden oluşan bu politika 01.01.2014 tarihinde Portal’da yayınlanarak yürürlüğe girmiştir.

ISO 27001:2013 Örnek Dokümantasyon

ISO 27001:2013 Bilgi  Güvenliği Standardı

Örnek dokümanlar:

TANIMI	İLGİLİ STANDARD (ISO 27001:2013)*
BGYS El Kitabı
Bilgi Güvenliği Politikası	5.2. Politika, 6.2. Amaçlar
Erişim Kontrol Politikası	A.9.1.1 Erişim Kontrol Politikası
Bilgi Transferi Politikası	A.13.2 Bilgi Transferi
Güvenli Geliştirme Politikası	A.14.2.1 Güvenli geliştirme politikası
Tedarikçi ilişkileri İçin Bilgi Güvenliği Politikası	A.15.1.1 Tedarikçi ilişkileri için bilgi güvenliği politikası
Temiz Masa ve Ekran Politikası	A.11.2.9 Temiz masa ve ekran politikası
Değişiklik Yönetim Politikası	A.12.1.2 Değişiklik yönetimi
Şifre (Parola) Politikası	A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, A.9.4.3
Taşınabilir (Mobil) Cihazların Kullanım Politikası	A.6.2.1 Mobil cihaz politikası
Elektronik Posta Politikası	A. 9 Erişim Kontrolü
Internet Erişim Politikası	A. 9 Erişim Kontrolü
Uzaktan Erişim Politikası	A. 9 Erişim Kontrolü
Ağ Güvenliği Politikası	A.13. Haberleşme Güvenliği
Fikri Mülkiyet Hakları Politikası	A.18.1.2 Fikri mülkiyet
Veri Koruma ve Gizliliği Politikası	A. 18 Uyum
Fiziksel ve Çevresel Güvenlik Prosedürü	A.11 Fiziksel ve çevresel güvenlik
İş Sürekliliği Prosedürü	A 17 İş Sürekliliği
İç Tetkik (Denetim) Prosedürü	9.2 İç Tetkik
Yönetimin Gözden Geçirmesi Prosedürü	9.3 Yönetimin Gözden Geçirmesi
Veri Yedekleme Prosedürü	A 12.3 Yedekleme
Kaydetme ve İzleme Prosedürü	A 12.4 Kaydetme ve İzleme
Doküman ve Kayıtların Kontrolü Prosedürü	A. 18.1.3 Kayıtların Korunması
İletişim Prosedürü	7.4. İletişim
Performans Değerlendirme Prosedürü	9. Performans değerlendirme
Uygunsuzluk ve düzeltici faaliyet prosedürü	10.1 Uygunsuzluk ve düzeltici faaliyet
Bilgi Güvenliği İhlal Olayı Yönetimi Prosedürü	A. 16 Bilgi Güvenliği İhlal Olayı Yönetimi
Bilgi Güvenliği Teknik ve Farkındalık Eğitimleri Prosedürü	A.7.2.2 Farkındalık eğitimi
Uyum ve Uyum kontrol prosedürü	A.18 Uyum
İşletim sistemi üzerine yazılım kurulum ve kontrol prosedürü	A.2.5.1 İşletimsel sistemler üzerine yazılım kurulumu
IT İşletim Prosedürleri	A.12.1 İşletim prosedürleri ve sorumlulukları
Bilgisayar Kullanım Talimatı	A. 12.1.1 Yazılı İşletim Prosedürleri
Faks Cihazı Kullanım Talimatı	A. 12.1.1 Yazılı İşletim Prosedürleri
Yazıcı Cihazı Kullanım Talimatı	A. 12.1.1 Yazılı İşletim Prosedürleri
Fotokopi Cihazı Kullanım Talimatı	A. 12.1.1 Yazılı İşletim Prosedürleri
Sunucu (Server) Kullanım Talimatı	A. 12.1.1 Yazılı İşletim Prosedürleri
Şifre İstek Formu	A. 9 Erişim Kontrolü
Güvenlik İhlal Bildirim Formu	A. 16 İhlal Olayları
Düzeltici ve Önleyici Faaliyet İstek Formu	10. İyileştirme
VPN Erişim İzin Formu	A. 9 Erişim Kontrolü
BGYS FÇ Doküman Tablosu	BGYS dokümanları listesi
Varlık Envanteri	A.8.1.1 Varlıkların envanteri
Varlık Risk Değerlendirme Tablosu	6.1.2 Bilgi güvenliği risk değerlendirmesi
Kayıtları Saklama Tablosu	A. 8.1.3 Kayıtların Korunması
Risk Değerlendirme Raporu	8.2 Bilgi güvenliği risk değerlendirme
Performans Değerlendirme Raporu	9. Performans Değerlendirme
Bilgi Güvenliği İhlal Olayı Raporu	A. 16. İhlal Olay Yönetimi  FÇ
İç Tetkik Sonuç Raporu	9.2 İç Tetkik
Kapsam Dokümanı	4.2. Kapsamın Belirlenmesi
Kurumsal Roller, sorumluluklar ve yetkiler	5.3. Kurumsal Roller, sorumluluklar ve yetkiler A.7.1.2, A.13.2.4
Risk Değerlendirme ve İşleme Metodolojisi	6.1.2 Bilgi güvenliği risk değerlendirmesi
Risk İşleme Planı	6.1.3.e
Bakım ve Gözden Geçirme Planı	A.17.1.3 Bilgi güvenliği sürekliliğinin doğrulanması, gözden geçirilmesi ve değerlendirilmesi.
Uygulanabilirlik Bildirgesi	6.1.3.d
Yasal ve sözleşmeye tabi gereksinimlere uyum	A.18.1 Yasal ve sözleşmeye tabi gereksinimleri tanımlama
Bilginin Gizliliği Sözleşmesi	A.13.2 Bilgi Transferi ve A.15.1.1
Acil Durum Planı	A 17 İş Sürekliliği
İç Tetkik Soru Listesi	9.2 İç Tetkik
Varlıkların Kabul Edilebilir Kullanımı	A.8.1.3 Varlıkların Kabul Edilebilir Kullanımı

ISO 27001:2013

ISO 27001 Bilgi Güvenliği Standardı

ISO 27001:2013 Bilgi Güvenliği Standardı

Bir şirketin kendi ürünlerine, iş süreçlerine, pazarlama stratejilerine, müşterilerine yönelik her türlü bilgi, onun en değerli varlığı sayılmaktadır. Kurumlar sahip oldukları bilgiyi koruyabildikleri ve kullanabildikleri ölçüde başarılı olabilirler.

ISO 27001 ULUSLARARASI BİLGİ GÜVENLİĞİ YÖNETİMİ STANDARD’ıdır.

ISO 27001, organizasyon bünyesinde bir bilgi güvenliği yönetim sistemi (BGYS) yapısının kurulmasına, gerçekleştirilmesine işletilmesine, izlenmesine, sürdürülmesine ve iyileştirilmesine ve hassas varlıkların/bilgilerin korunmasını ve yönetilmesine ilişkin standart bir süreç yaklaşımını benimsemektedir.

Türkiye'de ise, ISO tarafından kabul edilen, ISO/IEC 27001:2005 standardı esas alınarak, TSE Bilgi Teknolojileri ve İletişim İhtisas Grubu’nca hazırlanmış ve TSE Teknik Kurulu'nun 2 Mart 2006 tarihli toplantısında Türk Standardı olarak kabul edilerek, “TS ISO/IEC 27001 Bilgi Teknolojisi - Güvenlik Teknikleri - Bilgi Güvenliği Yönetim Sistemleri - Gereksinimleri“ adıyla yayınlanmıştır.

ISO/IEC 27001:2013 

2013 yılı başlarında taslak sürümleri yayınlanan ISO 27001 ve ISO 27002 Bilgi Güvenliği Yönetim Sistemi Standartlarının 25.09.2013 tarihinde yeni sürümleri yayınlandı. ISO 27001:2013, ISO22301:2012 –İş Sürekliliği Yönetim Sistemi ile gelen Annex SL ile uyumlu olacak şekilde hazırlanmıştır. Zorunlu maddeler ve Ek A kontrollerinde değişiklikler vardır. Bu değişiklikler yeni maddeler, kaldırılan ve değiştirilen maddeler olarak gruplanabilir.

UYGULAMA

ISO 27001 belgesi için kurum ve kuruluşların öncelikle ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına göre sistem kurmaları uygulamaları gerekmektedir.

Bizim genel aşamamız şu şekildedir.

´  1. Karar Verilmesi – Üst yönetim desteği

´  2. Ekibin (Takımın) Belirlenmesi – Bu işle ilgilenecek IT personeli

´  3. Bilgi Güvenliği Yönetim Sistemi (BGYS) tanımı ve Kapsamı – Sürecin ve gerekli dokümantasyonun anlaşılması

´  4. Politika Beyannamesinin yazılması ve onaylanması

´  5. Bilgi Varlıklarının belirlenmesi

´  6. Risk Değerlendirmesi – Risklerin belirlenmesi ve derecelendirilmesi, değerlendirilmesi ve risk işlem planının çıkarılması gerekiyor.

´  7. İlgili Politika ve Prosedürlerin yazılması

´  8. Diğer Dokümantasyon Gereksinimleri - Kontrollerin Seçimi, Uygulanabilirlik Bildirgesi

´  9. Farkındalık Eğitimleri

´  10. İç Tetkik

´  11. Belgelendirme için başvuru

Örnek dokümanlar: 

Kurumsal bilgi teknolojileri departmanları kurumları için bilgi güvenliğini sağlamak zorunda. Bu konuda yapılabilecek en düzeyli çalışma ISO 27001 bilgi güvenliği yönetim sistemi standardına geçmektir. Bu çalışma sistemli bir şekilde bilgi güvenlik alt yapısını donanım, yazılım, insan gücü ve bu sistemi destekleyen dokümantasyon yapısıyla sağlanır. Bu konuda dokümantasyon yapan arkadaşlara fikir vermesi için hazırladığım bir dokümantasyonun ön versiyonu yazımda yer alıyor. (ISO 27001:2013)

ISO 27001 GEÇİŞ SÜRECİ - AŞAMALAR

´1. Karar Verilmesi

´-Mevcut durum analizi (ISO 27001 checklist)

´2. Ekibin (Takımın) Belirlenmesi

´3. Bilgi Güvenliği Yönetim Sistemi (BGYS) tanımı ve Kapsamı

´4. Politika Beyannamesinin yazılması ve onaylanması

´5. Bilgi Varlıklarının belirlenmesi

´6. Risk Değerlendirmesi

´7. İlgili Politika ve Prosedürlerin yazılması

´8. Diğer Dokümantasyon Gereksinimleri - Kontrollerin Seçimi, Uygulanabilirlik Bildirgesi

´9. Farkındalık Eğitimleri

´10. BGYS hayata geçirme.

´11. İç Tetkik

´12. Belgelendirme için başvuru

´Bilgi Güvenliği Nedir ve Önemi

´ISO 27001 Güvenlik Sertifikasının Tanımı ve Faydaları

´ISO 27001 Standardı Hakkında Bilgi

´ISO 27001 Belgeleme Sürecinde Yapılacak Çalışmalar - Dokümantasyon

´Bilgi Güvenliği Yönetim Sistemi (BGYS) tanımı ve kapsamı

´BGYS Oluşturma Çalışmaları, aşamalar – yol haritası ve örnekler…