17 Mart 2017 Cuma

ISO 27001 Dokümanları Nasıl Yazılmalı

Dokümanlar nasıl yazılmalı.
Öncelikle doküman ve kayıtların prosedürü oluşturulmalı. Bu prosedürde dokümanların nasıl yazılacağı, kodlanacağı (numaralandırılacağı), saklanacağı ve dağıtılacağı yazılmalıdır.

ISO 27001 standardının her bir maddesinin karşılığı olarak hangi doküman yazılacak ve nasıl işleyecek gibi bir tablo hazırlayarak dokümanlara başlanmalıdır.

Dokümanlar politika (genel kuralları), prosedür ( 5N1k) ve talimatlar (detaylı işleyişi açıklamaları, FC bilgisayar yedek alma talimatı) şeklinde olabilir. Onun yanı sıra formlar, listeler, planlar vb doküman türleri olabilir.

Dokümanların numarası, yayın tarihi olmalı. Ardından revizyon numarası ve revizyon tarihi yazılmalıdır.


Dokümanlarda ilgili diğer dokümanlar ve dokümanın ilişkili olduğu standard maddeleri belirtilmelidir. 

BGYS Takım Lideri Görev Tanımı

ISO 27001 Project Leader

BGYS sisteminin kurulmasından ve sürdürülmesinden sorumlu. Risk yönetimi, risk değerlendirme çalışmalarını yaparak BGYS sisteminin tasarımını, dokümantasyonu ve denetimleriyle sistemin kurulmasını, devamını ve iyileştirilmesini sağlar.

İş tanımı:
·         BT ve BGYS sisteminin operasyonlarını yönetir.
·         BT ve BGYS kaynaklarını ve tedarikçi ilişkilerini yönetir.
·         BGYS komitesinin belli aralıklarla yapacağı toplantılara başkanlık yapar.
·         Güvenlik politikalarını, prosedürlerini ve kılavuz dokümanlarını hazırlanması ve uygulanmasını sağlar.
·         Aktivitelerin izlenmesini ve olası ihlallerin takip edilmesini sağlar.
·         Güvenlik politikalarının etkin bir şekilde uygulanmasını sağlar.
·         Bilgi güvenliği risklerindeki önemli değişiklikleri takip eder.
·         İş sürekliliğini sağlar.
·         Bilgi varlıklarının uygun bir şekilde kullanılmasını ve güvenliklerinin sağlanmasını sağlar.
·         Kurumun diğer bölümlerin bilgi güvenliği politikalarını uygulamasına yardımcı olur.

Eğitim/ deneyim:
Bilgisayar sistemleri (Windows, Linux, FC, vb) konusunda ve ağ yönetimi konusunda teknik bilgi ve deneyim.
BT sektöründe yönetici olarak en az on yıl deneyim.

Sertifikalar:
ISO 27001 Baş Denetçi
22301 iş sürekliliği ve 31000 risk yönetimi ve konusunda bilgi


ISO 27001 Risk değerlendirme raporu

FÇ AŞ BGYS RİSK DEĞERLENDİRME RAPORU

RİSK DEĞERLENDİRMENİN AMACI ve ADIMLARI:
Risk değerlendirmesinde temel amaç kurumun bilgi varlıklarına yönelik olarak karşılaşılacak her türlü riski azaltmak ve bilgi varlıklarına zarar vermeyecek ve iş sürekliğini aksatmayacak şekle düşürmektir.

RİSK DEĞERLENDİRME EKİBİ:

Faruk ÇUBUKÇU: Kurum danışmanı, ISO/IEC 27001 Baş Denetçi

SÜREÇLER HAKKINDA BİLGİLER:

BİLGİ TEKNOLOJİLERİ
Kurumun bilgi işlem hizmetlerinin verildiği bölümdür. Bilgi gizliliği bakımından önemli bir bölümdür.
  • ARGE
  • ......
  • İNSAN KAYNAKLARI

KABUL EDİLEBİLİR RİSK:
Kurumumuzun kontrol uygulamaya (önlem almaya) ihtiyaç duymayacağı en yüksek risk seviyesidir.

YÜKSEK VE KRİTİK RİSKLER:

RiskNo            Sirket   Surec  Risk     ToplamRisk    RiskDerecesi  RiskEkleme
13        FÇ AS BİLGİ İŞLEM  Sistem odasi yangini bt binasi yeni sist. odasi          120     



ALINACAK ÖNLEMLER:
•           Yangın söndürme sistemleri
•           Kilitli kapılar
•           Antivirüs yazılımları, firewall gibi bilgi güvenliği elemanlarını çok iyi bir şekilde yönetmek.
•           Kampüs, bina, ofis vb yerlere giriş/çıkış kontrolleri yapmak.
•           Sürekli izleme yapılarak olası ihlal olaylarının önüne geçmek.
•           Yedek donanımların stoku bulundurmaya çalışmak.
….

Saygılarımla,



6 Mart 2017 Pazartesi

Bilgi Güvenliğinin Performansı - BGYS'nin Performansı Nasıl Ölçülür?

1. İzleme: BGYS Kontrol Listesine göre izleme işlemleri yapılır.
2. İhlal: İhlal olaylarının (varsa) sayısı belirlenir.
3. Arıza / Sorun Bildirim Form’ları incelenerek hizmetlerdeki aksaklıklar (varsa) süre ve kayıplar bakımından değerlendirilir.
4. Kullanıcı Anketleri ve İç Denetimler: Kullanıcılar için anketler düzenlenir ya da iç tetkik sonuçlarına göre kullanıcıların BGYS kurallarına uyup uymadıkları belirlenir.

5. Değerlendirme: BGYS faaliyetlerinin eksiksiz (sorunsuz) devam etmesi, kullanıcıların farkındalık düzeylerindeki artışlar BGYS’nin başarısı olacak şekilde yorumlanır. 

3 Mart 2017 Cuma

Bilgi Güvenliği Yöneticisinin Sorumlulukları

Bilgi Güvenliği Yöneticisinin Sorumlulukları:
  • Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulum çalışmalarını koordine etmek
  • BGYS’nin temelini oluşturan varlık envanteri hazırlama ve risk analizi çalışmalarının uygun şekilde gerçekleştirilmesini sağlamak
  • BGYS işletim modelini ve uygulanan süreçlerin uyumluluğunu gözden geçirmek
  • Kurum çalışanlarının BGYS hakkında bilgilenmelerini sağlayacak mekanizmaların işletilmesini sağlamak
  • Güvenliği sağlamaya yönelik olarak tespit edilen ihtiyaçların karşılanmasını, yatırımların yapılmasını belli bir plan dahilinde gerçekleştirmek.
  • Bilgi güvenliği standartlarının kontrolü ve denetimini yapmak