28 Aralık 2016 Çarşamba

ISO 27001 Uygulanabilirlik Bildirgesi (SOA)

SOA (Uygulanabilirlik Bildirgesi)

ISO/IEC 27001 standardı ana maddeler ve ek maddelerden oluşur. Ana maddeler, standardın ilk bölümünde 0 ila 10 numaralarıyla yer alır. Ek maddeler ise ikinci bölümde A.5 ila A.18 numaralarıyla (114 madde) yer alır. (Bakınız ISO 27001 standardı)
Ana maddelerin uygulanması (hayata geçirilmesi) zorunludur. Ek maddeler ise seçimliktir, kurum bu maddelerden kendisine uygun olmayan bir ya da daha çoğunu nedenini belirterek uygulamaz. İşte bu düzenlemenin yapıldığı yani ek maddelerin uygulanıp uygulanmadığını belirtmek için SOA denilen “uygulanabilirlik bildirgesi” (state of applicability) dokümanını hazırlanır.

SOA sayesinde uygulanmayacak olan kontrollerin belirtilmesini sağlanır. Bu anlamda bu maddeler de denetim dışı tutulmuş olur. Ancak genel olarak denetçiler çok sayıda maddenin SOA içinde “uygulanmayacak” şeklinde belirtilmesine karşıdırlar. Çok net gerekçeler olmadığı sürece ek maddelerinde tümünün uygulanması önerilmektedir. Yine de kurum kendi faaliyetleri ve risk analizi sonuçları çerçevesinde uygulaması mümkün ya da gerekli olmayan Ek A kontrollerini SOA içinde gerekçeleriyle belirtebilir ve uygulamaz. 

state of applicability

SOA (Uygulanabilirlik Bildirgesi)

ISO/IEC 27001 standardı ana maddeler ve ek maddelerden oluşur. Ana maddeler, standardın ilk bölümünde 0 ila 10 numaralarıyla yer alır. Ek maddeler ise ikinci bölümde A.5 ila A.18 numaralarıyla (114 madde) yer alır. (Bakınız ISO 27001 standardı)
Ana maddelerin uygulanması (hayata geçirilmesi) zorunludur. Ek maddeler ise seçimliktir, kurum bu maddelerden kendisine uygun olmayan bir ya da daha çoğunu nedenini belirterek uygulamaz. İşte bu düzenlemenin yapıldığı yani ek maddelerin uygulanıp uygulanmadığını belirtmek için SOA denilen “uygulanabilirlik bildirgesi” (state of applicability) dokümanını hazırlanır.
SOA sayesinde uygulanmayacak olan kontrollerin belirtilmesini sağlanır. Bu anlamda bu maddeler de denetim dışı tutulmuş olur. Ancak genel olarak denetçiler çok sayıda maddenin SOA içinde “uygulanmayacak” şeklinde belirtilmesine karşıdırlar. Çok net gerekçeler olmadığı sürece ek maddelerinde tümünün uygulanması önerilmektedir. Yine de kurum kendi faaliyetleri ve risk analizi sonuçları çerçevesinde uygulaması mümkün ya da gerekli olmayan Ek A kontrollerini SOA içinde gerekçeleriyle belirtebilir ve uygulamaz. 

SOA (Uygulanabilirlik Bildirgesi)

SOA (Uygulanabilirlik Bildirgesi)

ISO/IEC 27001 standardı ana maddeler ve ek maddelerden oluşur. Ana maddeler, standardın ilk bölümünde 0 ila 10 numaralarıyla yer alır. Ek maddeler ise ikinci bölümde A.5 ila A.18 numaralarıyla (114 madde) yer alır. (Bakınız ISO 27001 standardı)
Ana maddelerin uygulanması (hayata geçirilmesi) zorunludur. Ek maddeler ise seçimliktir, kurum bu maddelerden kendisine uygun olmayan bir ya da daha çoğunu nedenini belirterek uygulamaz. İşte bu düzenlemenin yapıldığı yani ek maddelerin uygulanıp uygulanmadığını belirtmek için SOA denilen “uygulanabilirlik bildirgesi” (state of applicability) dokümanını hazırlanır.

SOA sayesinde uygulanmayacak olan kontrollerin belirtilmesini sağlanır. Bu anlamda bu maddeler de denetim dışı tutulmuş olur. Ancak genel olarak denetçiler çok sayıda maddenin SOA içinde “uygulanmayacak” şeklinde belirtilmesine karşıdırlar. Çok net gerekçeler olmadığı sürece ek maddelerinde tümünün uygulanması önerilmektedir. Yine de kurum kendi faaliyetleri ve risk analizi sonuçları çerçevesinde uygulaması mümkün ya da gerekli olmayan Ek A kontrollerini SOA içinde gerekçeleriyle belirtebilir ve uygulamaz. 

26 Aralık 2016 Pazartesi

ISO 27001 Kapsam

´ISO 27001 sertifikası; ithalat, ihracat, transit, gümrükleme gibi gümrük ve dış ticaret işlemlerini ve bu işlemlere ilişkin lojistik, depolama, muhasebe, finans ve bilgi işlem gibi faaliyetlerinin elektronik bilgi varlıkları ile bu varlıkları korumak amacıyla kullandığı bilişim sistemlerini kapsar.

ISO 27001 Komitesi

Kurumlarda bilgi güvenliği yönetim sistemine geçiş sürecinde IT tabanlı BGYS teknik takımının yanı sıra bir de BGYS komitesi kurulur. Bu komite şu işleri yapar:

  • Kendi süreçlerine ilişkin bilgi varlıklarının belirlenmesi
  • Kendi süreçlerine ilişkin risklerin belirlenmesi
  • Dokümantasyona yardım
  • Farkındalığı artırma
  • İÇ TETKİK
  • İyileştirme



12 Aralık 2016 Pazartesi

Risk Sahibi

Risk Sahibi

Bir riski yönetmek için sorumluluk ve yetki sahibi kişi veya birimdir. Risk sahibi, varlık sahibi olabileceği gibi diğer bir kişi ya da bir departman olabilir olarak belirtilebilir.

Risklere atanan sahipler, risk analizindeki risklerin takibinden ve artık risklerin kabulünden sorumlu olacaklardır.

6 Aralık 2016 Salı

ISO 27001- Varlık Envanterinde - Varlık Sahipleri Nasıl Atanmalı?

ISO 27001- Varlık Envanterinde - Varlık Sahipleri Nasıl Atanmalı?
UEKAE- BGYS-0003 Dokümanı (20.03.2008/F.KOÇ) Dokümanına dayanarak tanımları ele alalım:

Varlık Sahibi: Varlık sahibi, tanımlanan rol ve sorumluluklara paralel olarak belirlenir. Varlığın sahibi varlığın gizliliğinin, bütünlüğünün, erişilebilirliğinin sağlanmasından birinci derecede sorumlu kişi veya kişilerdir. (Ör: Muhasebe Bölümü Müdürü)
Varlık Sahibi, Varlığın gizliliğinin, bütünlüğünün, erişilebilirliğinin sağlanmasından birinci derecede sorumlu kişi veya kişilerdir. Sahip kelimesi Türkçe de mülkiyet anlamını içinde barındırmaktadır. BGYS Varlık yönetimindeki sahip kavramı daha çok sorumluluk anlamında kullanılmaktadır. Varlık değerinin belirlenmesi, varlığa yönelik risk tanımlamalarının yapılması varlık sahibinin görevleri arasındadır. (Ör: Kurum finansal bilgilerinin sahibi kurumun finans bölüm müdürüdür)
Emanetçi: Varlığın –varsa– emanetçisini belirtir. (Ör: Ağ Yöneticisi). Varlık Emanetçisi, Varlığın sahibi olmamasına rağmen, varlığın sağlıklı bir şekilde sürekliliğinin idamesini sağlayan rolündeki kişi veya kişilerdir. Birçok durumda varlık sahibi ile farklı kişi olabilir. (Ör: Kurum finansal bilgilerinin sahibi finans bölümü müdürü iken emanetçisi ilgili veritabanı yöneticisidir).
Sonuç olarak varlık sahipleri ve emanetçilerine karar verilirken, öncelikte kurumdaki demirbaşların (donanımlar) zimmet yoluyla sahipleri belirleniyorsa onlar Varlık Sahibi olarak belirtilebilir. Ancak genel olarak kişi temelli varlık sahipliğinden kaçınmak gerekiyor. Nedeni ise kişiler değiştiğinde listeleri güncellemek gerekiyor. Bu anlamda kişi adı yerine ünvanları kullanmak daha iyi olur.
Örnek:
Varlık: XYZ Server – Sahibi: BT Müdürü – Emanetçisi: BT Teknik Sorumlusu

Yine de kurum bir toplantı kararıyla ya da tutanakla varlık sahiplerini ve emanetçilerini belirleme konusundaki yaklaşımını netleştirebilir ve onu uygulayabilir.