İç tetkik,
kuruluşun ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi standardına uygun
olup olmadığını – yapılan çalışmaların yeterli olup olmadığını kendisinin
belirlediği bir çalışmadır.
Unutmayın: Denetlenen insan değil, sistemdir.
St no
|
Açıklama
|
6.1.2, 6.1.3
|
Risk değerlendirme sürecinde yüksek
risklerin aksiyonların alınması, sorumlusu (FÇ) ve terminleri belirtilmelidir.
|
A.8.1.1
|
Varlıkların envanteri bilgi gizliği
temelleri (gizlilik, bütünlük, erişilebilirlik) sayısal değeri temelinde
yapılmamıştır. Örneğin danışman FÇ bilgi varlığı olarak belirtilmemiştir.
|
A.16.1.1
|
İhlal olaylarının yönetiminde olay
türleri detaylı tanımlanmalı, sorumluları (FÇ şu işi yapar) derecelendirilmeli ve ona göre takip
edilmelidir.
|
A.13.1.2
|
Ağ güvenliği kuralları belirlenmiş
politika ve prosedürlerle tanımlanmalıdır.
|
A.13.1.2
|
Misafir interneti, kişi kimlik bilgisi
temelinde ve 5651 yasasına göre loglanmalıdır.
|
A.18.1.3
|
Kayıtların ve evrakların korunması hangi varlıkların
hangi sürelerde ve nasıl yapılacağı açıklanmamıştır.
|
A.6.2.1
|
Mobil cihaz güvenliği için belli bir
politika tanımlanmamıştır. Personele (FÇ) verilen laptop bilgisayarlar bu anlamda kayıt altına alınmalıdır. Dizüstü bilgisayar, cep bilgisayarı, cep telefonu,
akıllı kartlar vb. mobil bilgi işlem ve iletişim araçlarının kullanılmasından
kaynaklanan risklerden korunmak için bir politika, prosedür vs geliştirilmelidir
|
A.7.2.2
|
Bilgi güvenliği farkındalığı, eğitim
ve öğretimi kapsam dahili tüm çalışanlara düzenli olarak yapılmadığı
görülmüştür. Çalışan FÇ farkındalık eğitimi almamıştır. Kendisinin beyanı: ...
|
A.17.11
|
Bilgi güvenliği sürekliliğinin
planlanması yapılmamıştır. İş süreçlerinin kritikliğine göre iş sürekliliği
planları oluşturulmamıştır. Sorumlular (FÇ) belirtilmemiş. İş etki analizleri
(rto/rpo tanımlamaları) yapılmamıştır.
|
A.17.1.3
|
Bilgi güvenliği sürekliliği’nin
doğrulanması, gözden geçirilmesi ve
Değerlendirilmesi yapılmamaktır. Tatbikat
raporları ve planları mevcut değildir.
|