Bilgi güvenliği bir “kurum kültürü” olmalıdır. Bilgi güvenliği kuruluşun her çalışanının
sorumlu olduğu bir şeydir. Bu anlamda bilgi güvenliği, üst yönetimin desteğiyle
uygulanacak olan bilgi güvenliğine yönelik politikalar ve prosedürlerle sağlanır diyebiliriz.
Örneğin herkesin uyacağı internet, temiz ekran ve masaüstü, parola ve elektronik
posta kuralları, çevresel güvenlik ve mobil cihaz kullanımı kuralları gibi.
16 Ekim 2018 Salı
11 Ekim 2018 Perşembe
Denetimde Gözlem Bulguları
ISO 27001 denetiminde major ve minor uygunsuzluklar bulunur. Bunun yanı sıra "gözlem" olarak bilinen öneriler de yapılır. Bunlara örnek vermek gerekirse;
Gözlem Örnekleri;
- · Kurum içerisinde BGYS ve bilgi güvenliğine yönelik poster ve diğer bilgilendirici görsellerin olması iyi olur.
- · Bilgi varlıklarının etiketlenmesine yönelik olarak pratik kılavuzlar geliştirilebilir ve ofisler içinde belli yerlere asılabilir.
- · Ziyaretçilerin bilgilendirilmesi uygun bir broşür ile olabilir.
- ...
Değişiklik Yönetimi
İşletim sistemi ayarları ve ağ ayarlarını değiştirmek, yazılım
kurulumları, güncellemeler, sistem transferleri, yetkilendirmeler vb sistemin
yapısını değiştirecek işlemler “değişiklik” olarak tanımlanır.
Bilgi sistemlerinde
“değişiklik” yapılırken olası risklerinin değerlendirilmesi önemlidir.Bilgi sistemlerinde değişiklik yapılmadan önce DEĞİŞİKLİK İSTEK FORMU doldurulmalıdır.
10 Ekim 2018 Çarşamba
Bilgi varlığı nedir
Bilgi güvenliğinin sağlanmasının temelinde kuruma ait bilgilerin güvenliğinin sağlanması
yer alır. Bilgiler sadece bilgisayarda yer alan dosyalarından ibaret değildir. Bir
kurumu düşünürseniz, “bilgi” daha geniş anlamdadır. Şirketin bilgisayarları, bilgisayar
ortamındaki dosyalar, veritabanları, elektronik postaları, personelin özel bilgileri, sözleşmeler,
faturalar, arşiv, dışarıdan alınan hizmetler vb. çok sayıda şeyi sayabiliriz. Bu
anlamda terminoloji olarak “varlık” ya da “bilgi varlığı” kavramı geliştirilmiştir.
yer alır. Bilgiler sadece bilgisayarda yer alan dosyalarından ibaret değildir. Bir
kurumu düşünürseniz, “bilgi” daha geniş anlamdadır. Şirketin bilgisayarları, bilgisayar
ortamındaki dosyalar, veritabanları, elektronik postaları, personelin özel bilgileri, sözleşmeler,
faturalar, arşiv, dışarıdan alınan hizmetler vb. çok sayıda şeyi sayabiliriz. Bu
anlamda terminoloji olarak “varlık” ya da “bilgi varlığı” kavramı geliştirilmiştir.
7 Ekim 2018 Pazar
Bilgi güvenliği nedir
Bilgi güvenliği (information security), bilgilerin güvenliğinin sistemli bir şekilde sağlanmasıdır.
Biz konuyu kurumsal anlamda ele alacağımız için, bilgi güvenliği, kuruluşun
faaliyetlerinin sürekliliğini sağlamak üzere bilgilerin olası her türlü tehlike ve tehdide
karşı korunmasıdır.
Biz konuyu kurumsal anlamda ele alacağımız için, bilgi güvenliği, kuruluşun
faaliyetlerinin sürekliliğini sağlamak üzere bilgilerin olası her türlü tehlike ve tehdide
karşı korunmasıdır.
ISO 27001 Kitabı
ISO 27001, bilgi güvenliğini kurumsal ortamda sağlamak için geliştirilmiş
uluslararası bir standarttır. Kitabımızın amacı bilgi güvenliği temellerini
açıklamak ve ISO 27001 – Bilgi Güvenliği Yönetim Sistemi’nin kurumlarda
uygulanmasına yardımcı olmaktır.
Birinci bölümde “bilgi güvenliği” konusunda temel bilgiler yer
almaktadır. Bilgi nedir, tehditler nelerdir ve temel olarak bilgi güvenliği
nasıl sağlanır. İkinci bölümde tümüyle standardın maddeleri ele alınmıştır.
Maddeler, uygulayıcı gözüyle yorumlanarak yapılacak çalışmalar açıklanmıştır.
Üçüncü ve dördüncü bölümde Bilgi Güvenliği Yönetim Sisteminin süreçleri ve bu
süreçler temelinde yapılacak çalışmalar sıralı bir düzen içinde – fark
analizinin yapılması, varlık envanterinin çıkarılması, risk analizi, kontrollerin
belirlenmesi, iş sürekliliğinin sağlanması ve diğer gerekli konular
açıklanmaktadır. Beşinci bölümde bu süreçte gerekli olan dokümantasyon hakkında
genel bilgiler ve doküman örnekleri yer almaktadır. Altıncı ve sonraki
bölümlerde ise iç tetkik, düzeltici faaliyetler ve iyileştirme işlemlerine
yönelik temel bilgiler yer almaktadır.
ISO/IEC 27001 – Bilgi Güvenliği Yönetim Sisteminin kurulması
ve sürdürülmesi iki yönlü bir çalışmadır. Bunlardan birincisi yönetimsel,
ikincisi de teknik (bilgisayar altyapısı) yönlerdir. ISO 27001, ISO 9001 gibi
bir “yönetim sistemi”dir, roller ve sorumlulukların tanımlanması, dokümantasyon
hazırlanması, iç tetkiklerin ve düzeltici faaliyetlerin yapılması vb. konuları
aynen içerir. Teknik taraf ise bilgi güvenliğini sağlamada kullanılacak bilgisayar
sistemleri ve teknolojilerdir. Firewall ile internet erişiminin kontrol edilmesi,
bilgisayar ağları, dosyalara erişim, loglama, anti-virüs vb. araçların
kullanımı gibi “teknik” işlerdir.
ISO 27001 Kitabı
BİLGİ GÜVENLİĞİ
YÖNETİM SİSTEMİ
ISO 27001:2013
UYGULAMA KILAVUZU
Faruk ÇUBUKÇU
PUSULA YAYINCILIK
Kitapta yapılan tüm tanımlamalar ve öneriler yazarın görüş ve önerilerini yansıtmaktadır,
kesin bir kural ve uygulama değildir. Esasen tüm konular kurumlara,
uygulayıcıya ve denetleyiciye göre farklı şekillerde değerlendirilebilir ve/veya yorumlanabilir.
Burada önemli olan uygulayıcının standardın içeriğini ve işleyişini
kavraması ve kendi gereksinimleri temelinde kurumuna adapte etmesidir
YÖNETİM SİSTEMİ
ISO 27001:2013
UYGULAMA KILAVUZU
Faruk ÇUBUKÇU
PUSULA YAYINCILIK
Kitapta yapılan tüm tanımlamalar ve öneriler yazarın görüş ve önerilerini yansıtmaktadır,
kesin bir kural ve uygulama değildir. Esasen tüm konular kurumlara,
uygulayıcıya ve denetleyiciye göre farklı şekillerde değerlendirilebilir ve/veya yorumlanabilir.
Burada önemli olan uygulayıcının standardın içeriğini ve işleyişini
kavraması ve kendi gereksinimleri temelinde kurumuna adapte etmesidir
Kaydol:
Kayıtlar (Atom)