ISO 27001 ile ISO 27701 Ekleri

ISO 27001 Maddesi                        ISO 27701 Eki (Genişlemesi)

5.1. Liderli ve Bağlılık                    Kişisel verilerin yönetim sisteminin BGYS’ye entegre olmasını
          sağlamak için üst düzey bir destek.

5.2. Politika                                      Kaynak sağlamak

5.3. Kurumsal Roller                       Rolleri belirlemek

6.2. Bilgi Güvenliği Amaçları         PIMS / Gizlilik Hedefleri

7.2. Yeterlilik                                   Kişisel bilgi gizlilik gereksinimleri

8.1. İşletimsel Planlama                  Risk Tedavi planları

8.2. Risk Değerlendirme                 Risk Değerlendirme

8.3. Risk İşleme                               Risk İşleme planları

9.1. İzleme, ölçme analiz                PIMS performansı

9.2. İç Tetkik                                    İç denetim

9.3. YGG.                                         YGG - Yönetim Gözden Geçirme

10. İyileştirme                                  PIMS’i sürekli geliştirmek

ISO/IEC 27701:2019

•        ISO/IEC 27701:2019, gizlilik yönetim sistemi «privacy information management system (PIMS) » sağlamak üzere gereksinimleri tanımlar.

•        PIMS, ISO/IEC 27001:2013 ve ISO/IEC 27002:2013’in gizlilik yönetimi olarak bir ekidir (genişletilmesidir).

•        ISO/IEC 27701 PIMS, kişisel veri (personally identifiable information (PII) ) denetleyicilerine kılavuz edecek bir sistem sağlar.

PIMS Nedir?

•        Her kurum kişisel veri  - Personally Identifiable Information (PII ) – işlemektedir. Kişisel veri miktarı ve türündeki artışlar organizasyonların kişisel verilerin yönetimini yapmasını gerekli kılmıştır.

•        Kişisel Veri Yönetim Sistemi - Personal Information Management Systems (PIMS)

•        PIMS aynı zamanda kişisel verilerin BGYS (ISMS) içerinde korunmasını da gerektirir. PIMS ISO 27701 standardı olarak geliştirilmiştir. 

 ISO/IEC 27001 ve ISO/IEC 27002’a ek olarak geliştirilmiş bir gizlilik yönetimi (gereksinimler ve kılavuz). 2019 Ağustos’ta çıkmıştır.

ISO 27701 Standardı Yayınlandı

•        ISO/IEC 27001 ve ISO/IEC 27002’a ek olarak geliştirilmiş bir gizlilik yönetimi (gereksinimler ve kılavuz). 2019 Ağustos’ta çıkmıştır.

•        Her kurum kişisel veri  - Personally Identifiable Information (PII ) – işlemektedir. Kişisel veri miktarı ve türündeki artışlar organizasyonların kişisel verilerin yönetimini yapmasını gerekli kılmıştır.

•        Kişisel Veri Yönetim Sistemi - Personal Information Management Systems (PIMS)

•        PIMS aynı zamanda kişisel verilerin BGYS (ISMS) içerinde korunmasını da gerektirir.

KVKK - Kişisel Veri Envanteri Hazırlama

Excel ile KVKK Kişisel Veri Envanteri Hazırlama

KVKK gereği veri sorumluları bir kişisel veri envanteri çalışması yaparlar. Bu videoda sizlere basit bir kişisel veri envanterinin Excel ile hazırlanması anlatılmaktadır. Çalışmada amaç temel olarak Excel ortamında bir envanter tablosu hazırlamaktır. Özellikle liste kutularının kullanımı ve özel olarak hazırlanmış çok seçimli liste kutularının kullanımı yer almaktadır.

https://www.youtube.com/watch?v=Ck7KVOcrpOs

ISO 27701 Standardı

ISO/IEC 27701 standardı Ağuston 2019 tarihinde yayınlanmış ilk gizli bilgi yönetimi (privacy information management) standardıdır. Standart kurumlmarın bir Gizli Bilgi Yönetim Sistemi (GBYS) / Privacy Information Management System (PIMS) kurmasını ve yönetmesine yardımcı olmayı amaçlamaktadır.

ISO/IEC 27001 ve ISO/IEC 27002 standartlarına gizlilik yönetimi (privacy management) olarak yapılmış bir ektir diyebiliriz.

Yönetim sisteminin kişisel bilgi - personal information (PIMS) uyumlu olmasını sağlar. PIMS, ISO/IEC 27001 BGYS tarafından desteklenir.


GBYS, ISO 27001'den bildiğimiz BGYS (Bilgi Güvenliği Yönetim Sistemi)'nin genişletilmiş bir şeklidir.

Bilgi Güvenliği Yönetim Sistemi (BGYS) - orijinal adıyla ISMS (Information Security Management Systems) - bilgi güvenliğini sağlamak üzere kurumların hassas bilgilerini yönetebilmek amacıyla benimsenen sistematik bir yaklaşımdır.

ISO 27001 standardı, bilgi güvenliği konusunda geliştirilmiş uluslararası bir sistemdir. 

Kitapta genel olarak “bilgi güvenliği” ve kurumlarda 27001 Bilgi Güvenliği Yönetim Sistemi’nin uygulanmasına yardımcı olacak konular yer almaktadır.
Bilgi varlıklarının belirlenmesi, envanterinin çıkarılması, risk analizi, kontrollerin belirlenmesi, ağ güvenliğinin sağlanması, iş sürekliliğinin sağlanması, vb konular uygulama ve “dokümantasyon” örnekleriyle yer almaktadır. 
Ayrıca 27001 standardının ana ve ek maddelerinin gereksinimleri uygulamaya yönelik olarak açıklanmaktadır. İç tetkik ve düzeltici faaliyetler hakkında bilgiler de yine uygulamaya yönelik ve doküman örnekleriyle yer almaktadır.

Kitap Adı: Bilgi Güvenliği Yönetim Sistemi ISO27001:2013 Uygulama Kılavuzu, Faruk Çubukçu

Fiyatı: 35,70 TL, ISBN: 978-605-2359-59-4, Sayfa: 416
Satın almak için:

https://www.pusulakitaplik.com/pinfo.asp?pid=2518&fbclid=IwAR1aT06gQId2GfTZXKU7Nk1Y1S8MtW43xsYjcKSUgrxc2ArP9NLeKofIxOw

https://www.kitapsec.com/Products/Bilgi-Guvenligi-Yonetim-Sistemi-ISO-270012013-Uygulama-Kilavuzu-Faruk-Cubukcu-Pusula-Yayincilik-330099.html

https://www.idefix.com/Kitap/Bilgi-Guvenligi-Yonetim-Sistemi/Egitim-Basvuru/Bilgisayar/urunno=0001784124001?gclid=Cj0KCQiA14TjBRD_ARIsAOCmO9bSKRxWrWGnp0nEAgXodWcI3nGBOP5B9BbIQmGW7H1pBuVvizaEQzoaAmYvEALw_wcB

https://www.dr.com.tr/Kitap/Bilgi-Guvenligi-Yonetim-Sistemi/Egitim-Basvuru/Bilgisayar/urunno=0001784124001?gclid=Cj0KCQiA14TjBRD_ARIsAOCmO9aVaWQpL6_s3sYP5-bpSvi_gbMjOO_3uT1ZN7CxRz6qALw5f9ASI9IaAq4xEALw_wcB

27001 hakkında yeni bir kitap - İSMAİL DURANKAYA

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kurulum, İşletim ve Denetim Rehberi

Değerli arkadaşım, İsmail DURANKAYA ve Özgüven SAYMAZ tarafından hazırlanan bu kitap , ISO 27001 Bilgi Güvenliği Yönetim Sistemi kurmak, işletmek, geliştirmek ve denetlemek isteyen kişilere ve firmalara, ne yapmaları gerektiği hususunda yönlendirici kısa ve özet bilgiler vermeyi amaçlamaktadır. 

Kitaba, kitap satış sitelerinden ve yayın evlerinden ulaşabilirsiniz:

https://www.pandora.com.tr/kitap/bilgi-guvenligi-yonetim-sistemi-kurulum-isletim-ve-denetim-iso27001/722661

Anonimleştirilen veriler “yeniden kazanılabiliyor”

https://www.computing.co.uk/ctg/news/3079528/machine-learning-anonymised-data

Anonimleştirilen veriler “yeniden kazanılabiliyor” ve kişisel veriler ifşa edilebiliyor!

27001 İÇ TETKİK EĞİTİMİ

´Bilgi Güvenliğinin Temel Prensipleri (FÇ)

´ISO 27001 Bilgi Güvenliği Yönetim Sistemi

´Ana maddeleri ve ek maddeleri – genel olarak

´İç Tetkik Genel Kuralları

´İç Tetkik (Denetim) İşlemi Hakkında Bilgiler

´Tetkikçinin Görevleri

´Tetkikçide Olması Gereken Özellikler

´Tetkik işleminin aşamaları; Planlama, Yürütme ve Değerlendirme

´Planlama – Tetkikçilerin Belirlenmesi, Soru listelerinin hazırlanması, Örnekleme Metotları, ...

´Yürütme – Açılış ve kapanış toplantıları, Görüşme, Soru türleri, Kanıtların Toplanması, Bulgular, Uygunsuzluklar ve Uygunsuzlukların Tespiti,

´Değerlendirme – Tetkikin raporlanması

´TETKİK PROVASI (FÇ)

´SINAV

www.farukcubukcu.com

27001 iç tetkik

İç tetkik, kuruluşun ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi standardına uygun olup olmadığını – yapılan çalışmaların yeterli olup olmadığını kendisinin belirlediği bir çalışmadır.

İç tetkik işlemi belirlenen sorular üzerinde yapılan saha çalışmasıyla gerçekleşir. İç tetkikçi ziyaret ettiği departmanı inceleyerek – sorular sorarak ve değerlendirerek denetim yapar. İç tetkik sürecinde dokümanları inceler, kullanıcıların “farkındalığını” değerlendirir ve işlemlerin ilgili prosedürlere (BGYS prosedürlerine) uygunluğu belirlemeye çalışır. Bu sırada standarda göre bulduğu “uygunsuzluk”ları raporlar. 

Unutmayın: Denetlenen insan değil, sistemdir. 

ISO 27001 örnek uygunsuzluklar

St no	Açıklama
6.1.2, 6.1.3	Risk değerlendirme sürecinde yüksek risklerin aksiyonların alınması, sorumlusu (FÇ) ve terminleri belirtilmelidir.
A.8.1.1	Varlıkların envanteri bilgi gizliği temelleri (gizlilik, bütünlük, erişilebilirlik) sayısal değeri temelinde yapılmamıştır. Örneğin danışman FÇ bilgi varlığı olarak belirtilmemiştir.
A.16.1.1	İhlal olaylarının yönetiminde olay türleri detaylı tanımlanmalı, sorumluları (FÇ şu işi yapar) derecelendirilmeli ve ona göre takip edilmelidir.

A.13.1.2	Ağ güvenliği kuralları belirlenmiş politika ve prosedürlerle tanımlanmalıdır.
A.13.1.2	Misafir interneti, kişi kimlik bilgisi temelinde ve 5651 yasasına göre loglanmalıdır.
A.18.1.3	Kayıtların ve evrakların korunması hangi varlıkların hangi sürelerde ve nasıl yapılacağı açıklanmamıştır.

A.6.2.1

Mobil cihaz güvenliği için belli bir politika tanımlanmamıştır. Personele (FÇ) verilen laptop bilgisayarlar bu anlamda kayıt altına alınmalıdır.  Dizüstü bilgisayar, cep bilgisayarı, cep telefonu, akıllı kartlar vb. mobil bilgi işlem ve iletişim araçlarının kullanılmasından kaynaklanan risklerden korunmak için bir politika, prosedür vs geliştirilmelidir

A.7.2.2

Bilgi güvenliği farkındalığı, eğitim ve öğretimi kapsam dahili tüm çalışanlara düzenli olarak yapılmadığı görülmüştür. Çalışan FÇ farkındalık eğitimi almamıştır. Kendisinin beyanı: ...

A.17.11

Bilgi güvenliği sürekliliğinin planlanması yapılmamıştır. İş süreçlerinin kritikliğine göre iş sürekliliği planları oluşturulmamıştır. Sorumlular (FÇ) belirtilmemiş. İş etki analizleri (rto/rpo tanımlamaları) yapılmamıştır.

A.17.1.3

Bilgi güvenliği sürekliliği’nin doğrulanması, gözden geçirilmesi ve Değerlendirilmesi yapılmamaktır. Tatbikat raporları ve planları mevcut değildir.

ISO 27001 - Örnek GÖZLEM bulguları

GÖZLEM: BGYS başlı başına ele alınmalı. IT olarak düşünülmemeli. BGYS şirket kültürü

GÖZLEM: Bilgilendirme posterleri ve çalışmaları artırılmalı.

GÖZLEM: A.6.1.2-Görevlerin ayrılığı bütün ağ politika ve prosedürlerinde bulunması iyi olur.

GÖZLEM: Diploma ve referans kontrolü daha sistemli yapılması.

GÖZLEM: İŞ YERİ PERSONEL YÖNETMELİĞİ’den bilgi güvenliği ihlalleri (izinsiz login, izinsiz ağa erişim, bilgi varlıklarına erişim vb bilgi güvenliği ihlalleri eklenebilir.

GÖZLEM: BGYS komite toplantılarının düzenli olarak yapılması ve tutanak altına alınması iyi olur.

GÖZLEM: YGG gündem maddeleri BGYS temelinde daha fazla geliştirilmelidir.

GÖZLEM: Ağ erişimini için yetki matrisi oluşturulmalı ve düzenli olarak gözden geçirilmeli.

GÖZLEM: “Değişiklik yönetimi “  prosedüre bağlanmalı.

GÖZLEM: Ağ güvenliği için detaylı bir dokümantasyon iyi olur.

GÖZLEM: İş sürekliliği daha detaylı olay türlerine göre tepki verecek şekilde revize edilebilir.

TCMB Günlük Kurlarını Çekme

VERİ / Dış Veri Al / Web

DATA / Get External Data / Web TCMB Günlük Kurlarını Çekme bağlantısı:

http://www.tcmb.gov.tr/kurlar/today.xml

Windows 7 desteği sona eriyor.

Her güzel şey sona eriyor, Windows 7 bile.

14 Ocak 2020'den sonra Microsoft güncelleme çıkarmayacağını ve desteklemeyeceğini açıkladı. Windows 10'a geçin deniyor. https://www.microsoft.com/en-us/windowsforbusiness/end-of-windows-7-support

Yazılım envanterlerinizi güncelleyin.