ISO 27001

Üst yönetim tarafından;

• Stratejik Planla BGYS politikası oluşturmalı

• BGYS şartlarına uygun gerekli prosesler belirlenmeli ve güvence altına alınmalı 

• Proses yaklaşımı ve risk temelli düşünmenin kullanımını teşvik etmek,

• BGYS için gerekli kaynakların varlığı ve ulaşılabilirliği sağlanmalı-

• BGYS’nin etkin şekilde işlemesi için personel farkındalığının oluşturulması

• Sürekli iyileştirme teşvik edilmeli

Üst yönetim aşağıdakiler için sorumluluk ve yetki ataması yapmalıdır: 

a) Bilgi güvenliği yönetim sisteminin bu standardın şartlarına uyum sağlamasını temin etmek

b)Üst yönetime bilgi güvenliği yönetim sisteminin performansı hakkında raporlama.

6.1.1 Genel

Şirketinizde 

a) Bilgi güvenliği yönetim sisteminin amaçlanan çıktıları sağlanabilmesinin temin edilmesi,

b)İstenmeyen etkilerin önlenmesi veya azaltılması ve

c)Sürekli iyileştirmenin başarılması,

İçin risk ve fırsatlar belirlenmeli,

Risk ve fırsatları ele almak için faaliyetler belirlenmeli ve faaliyetlerin etkinliği değerlendirilmeli.

Kontrol yöntemleri belirlenirken EK-A’da verilen kontrol kriterleri dikkate alınmak zorundadır.

Şirketinizde BGYS performansını etkileyen personellerin yeterlilikleri belirlenerek, bu personellerin yeterliliklerinin, eğitim veya tecrübe yoluyla güvence altında olduğu temin edilmeli ve gerekli durumlarda personele yeni yeterlilik kazandırmak için gerekli eğitim, dokuman, program gibi imkanları sağlanmalıdır.

Şirketiniz dahilinde görev yaparak BGYS’ye etki eden tüm personelin BGYS farkındalığı sağlanmalıdır

Şirketinizde dahili ve harici iletişim yöntemlerini belirleyerek aşağıdaki maddelere net cevaplar verilmesi gerekmektedir. Bu, personel arasında bilgi paylaşımını, müşterilerle, tedarikçilerle ve diğer ilgili taraflarla iletişimi içerir.

Şirketin iletişim yöntemleri ve iletişim araçları belirlenerek ilgili personele duyurulmalı.

Telefon numarası, mail adresi gibi iletişim kaynakların ulaşılabilirliği güvence altına alınmalıdır.

ISO 27001 zorunluluğu veya şirketinizin kendi Bilgi Güvenliği Yönetim Sistemi ihtiyaçlarından kaynaklı yazılı olarak kayıt altına alınması gereken bilgiler belirlenmeli

Yazılı bilgilerin boyutu ve içeriği şirketlerin, büyüklüğü, faaliyet alanı, ürün ve hizmet türü, süreç yapısı ve personel yeterliği gibi faktörlerle değişiklik gösterebilir

NOT: Tüm şirketlerin dokümantasyon sistemi belirlenirken kendi ilgili tarafları, faaliyet alanları, ürün ve hizmet alanı, süreç yapısı, personel potansiyeli göz önünde bulundurularak o şirkete özgü bir sistem kurulmalıdır.

Bir şirkette mükemmel işleyen bir sistem başka bir şirket için fazla detaylı, karmaşık veya yetersiz olabilir

ISO 27001’in zorunlu kıldığı yazılı bilgiler;

• BGYS Kapsamı (4.3)

• Bilgi güvenliği politikası (5.2)

• Bilgi güvenliği risk değerlendirme süreci (6.1.2)

• Bilgi güvenliği risk işleme süreci (6.1.3)

• Bilgi güvenliği hedefleri (6.2)

• Yetkinlik (7.2)

• Dış kaynaklı dokümanlar listesi (7.5.3)

• Operasyonel planlama ve kontrol (8.1)

• Bilgi güvenliği risk değerlendirme sonuçları (8.2)

• Bilgi güvenliği risk işleme sonuçları (8.3)

• İzleme ve ölçme sonuçları (9.1)

• İç tetkik programları ve tetkik sonuçları (9.2)

• Yönetimin gözden geçirmesi sonuçları (9.3)

•Uygunsuzlukların yapısı ve takip eden faaliyetler ile düzeltici faaliyet sonuçları (10.1)

Oluşturma ve Güncelleme

Şirketinizde dokuman oluşturuken ve güncellenirken aşağıdakilere dikkat edilmelidir

1. Tanımlama ve tarif etme (örneğin, bir başlık, tarih, yazar veya referans numarası),

b) Biçim (örneğin; dil, yazılım sürümü, grafikler) ve ortam (örneğin, kâğıt, elektronik) ve

c)Uygunluğun ve doğruluğun gözden geçirilmesi ve onaylanması.

Yazılı Bilgilerin Kontrolü

Bilgi,

a) Gereken yerde ve zamanda kullanım için erişilebilir ve uygun olmalı

b)Gizlilik kaybı, uygun olmayan kullanım veya bütünlük kaybı gibi risklere karşı korunmalı

Yazılı bilgilerin kontrolü için, şirketiniz uygunluğuna göre aşağıdaki faaliyetleri ele almalıdır: 

c) Dağıtım, erişim, getirme ve kullanım,

d) Okunaklılığın korunması da dâhil olmak üzere saklama ve koruma,

e) Değişikliklerin kontrolü (örneğin sürüm kontrolü) ve

f)Muhafaza etme ve yok etme.

Şirketinizde bilgi güvenliği şartlarını karşılamak, risk ve fırsat için belirlenen faaliyetleri gerçekleştirmek  ve hedeflerine ulaşmak için;

• Gerekli olan süreçleri planlamalı, uygulamalı ve kontrol etmelidir. 

• Planlanan değişiklikleri kontrol etmeli ve istenmeyen değişikliklerin sonuçlarını gözden geçirerek, gerekiyor ise kötü etkileri azaltmak için eyleme geçmelidir.

• Dış kaynaklı süreçlerin belirlenmesini ve kontrol edilmesini temin etmelidir.

• Şirketinizde süreçlerin planlandığı şekilde yürütüldüğünü kanıtlamak amaçlı yaılı bilgi kayıt altına alınmalıdır.

Şirketiniz belirlenen risk değerlendirme ve risk kabul kriterlerini dikkate alarak

• Planlanan aralıklarla

• Önemli değişiklikler önerildiğinde veya meydana geldiğinde 

Risk değerlendirmesi yapmalıdır

Şirketiniz, bilgi güvenliği risk değerlendirmesinin sonuçlarına dair yazılı bilgileri muhafaza etmelidir. 

Şirketinizde bilgi güvenliği risk işleme planını uygulamalıdır

Şirketinizde, bilgi güvenliği performansı ve bilgi güvenliği yönetim sisteminin etkinliğini değerlendirmeli ve aşağıdakiler belirlenmelidir. 

a) Bilgi güvenliği süreçleri ve kontrolleri dâhil olmak üzere neyin izlenmesi ve ölçülmesinin gerekli olduğu,

b) Geçerli sonuçları temin etmek için, uygun İzleme, ölçme, analiz ve değerlendirme yöntemleri

c)  İzleme ve ölçmenin ne zaman yapılacağı,

d) İzlemeyi ve ölçmeyi kimin yapacağı,

e) İzleme ve ölçme sonuçlarının ne zaman analiz edileceği ve değerlendirileceği 

f) Bu sonuçları kimin analiz edeceği ve değerlendireceği.

BGYS Süreçlerinin performanslarının etkinliği

• Yönetimin gözden geçirme sonuçları

• İç tetkik uygulamaları

• İyileştirme çalışmalar 

• Düzeltici faaliyet uygulamaları

• BGYS farkındalığı

• BGYS Eğitimleri

• Güvenlik olaylar yönetimi, maliyeti, ders çıkarma

• Şifre kalitesi, yama yönetimi, erişim hakları

•  Saldırılara verilen tepkiler

• Fiziksel giriş kontrolleri

•Vs.

Üst yönetim BGYS’nin sürekli uygunluğunu, doğruluğunu ve etkinliğini temin etmek için planlı aralıklarla gözden geçirmelidir. 

Yönetimin gözden geçirmesi aşağıdakileri ele almalıdır: 

a)Önceki YGG’lerden gelen görevlerin durumu,

b)BGYS’yi ilgilendiren dış ve iç konulardaki değişiklikler,

c)Aşağıdakiler deki gelişmeler dâhil BGYS performansına dair geri bildirim

1) Uygunsuzluklar ve düzeltici faaliyetler,

2) İzleme ve ölçme sonuçları,

3) Tetkik sonuçları ve

4) Bilgi güvenliği amaçlarının yerine getirilmesi

d)İlgili taraflardan geri bildirimler,

Risk değerlendirme sonuçları ve risk işleme planının durumu 

Sürekli iyileştirme için fırsatlar.

Yönetimin gözden geçirmesi çıktıları, sürekli iyileştirme fırsatlarına ve bilgi güvenliği yönetim sisteminde gerekli olan değişiklikler için tüm ihtiyaçlara dair kararları içermelidir. 

Uygunsuzluk tespit edilmesi durumunda;

1. Kontrol et ve mümkünse düzelt

2. Uygunsuzluğun tekrarını ya da başka yerde oluşmasını engellemek için

• Gözden geçir

• Kök neden belirle

• Benzer uygunsuzluk oluşma durumu ya da oluşma olasılığını belirle

3. Düzeltici faaliyet uygula

4. Düzeltici faaliyetlerin etkinliğini gözden geçir

5. Gerekliyse eğer BGYS’de uygunsuzluğa yönelik iyleştirme yap

Şirketiniz aşağıdakilerin delili olarak yazılı bilgileri muhafaza etmelidir: 

• Uygunsuzlukların sebebi ve uygulanan düzeltici faaliyetler

• Uygulanan düzeltici faaliyetin sonuçları.

Kuruluş, bilgi güvenliği yönetim sisteminin uygunluğunu, yeterliğini ve etkinliğini sürekli iyileştirmelidir. 

Kuruluş, sürekli iyileştirmenin bir parçası olarak ele alınacak ihtiyaç veya fırsatların mevcut olup olmadığını tespit etmek için analiz ve değerlendirmenin sonuçları ile yönetimin gözden geçirmesinin çıktılarını dikkate almalıdır. 

Uygunsuzluklar takip edililp düzeltici faaliyet planlanmalı, riskler tespit edilerek ortadan kaldırma/azaltmaya yönelik, fırsatlar tespit edilip geliştirmeye yönelik faaliyetler planlanmalı.

Süreç performansları sürekli izlenip performans değerlendirmesi yapılarak, süreçlerde istenilen performanslara ulaşılıp ulaşılmadığı kontrol edilmeli, süreçlerden istenilen performans tespit edilmediği taktirde, süreçler için iyileştirici faaliyet planlanması gerekmektedir

MOBİL CİHAZLAR VE UZAKTAN ÇALIŞMA

Telefon, tablet, bilgisayar vb. cihazların kullanımı;

Personellerin şirket verilerini içeren mobil cihazları kullanımı kontrol edilerek, riskler belirlenmeli, riskleri azaltmaya veya ortadan kaldırmaya yönelik aksiyon planı uygulanmalı.Mobil cihaz kullanımı politikayla güvence altına alınmalıdır.

Politika aşağıdaki maddeleri de kapsamalıdır

a)Mobil cihazların kaydı 

b) Fiziksel koruma gereksinimleri

c) Yazılım kurulum kısıtlamaları

d) Mobil cihaz yazılım sürümleri ve yamaların uygulanması için gereksinimler,

e) Bilgi hizmetlerine bağlantı kısıtlaması, 

f) Erişim kontrolleri, 

g) Kriptografik teknikler, 

h) Kötücül yazılım koruması, 

i) Uzaktan devre dışı bırakma, silme ya da kilitleme, 

j) Yedekleme, 

k) Web servislerinin ve web uygulamalarının kullanımı.

Uzaktan çalışma;

Personelin sürekli veya belirli süreli uzaktan çalışması halinde.  Şirket sistemine yabancı ağdan bağlanma, şirket bilgilerini kaybetme, çaldırma, bilgilerin bütünlüğünü bozma vs. gibi doğabilecek bilgi güvenliği riskleri araştırılarak, bu risklere karşı önlem alınmalıdır. Personele gerekli imkan sağlandıktan sonra bir politika hazırlanarak uzaktan çalışma güvence altına alın alınmalıdır.

Başlıca riskler ;

•Çalışma ortamında cihazı açık bırakmak

•Şifresiz cihaz kullanımı

•Yabancılarla şifre ya da cihaz paylaşımı

•Şifreyi not kağıdına yazarak ortalıkta bırakmak

•Yaygın kullanılan şifreler

•Tekrarlayan şifre kullanımı

•Yetersiz güvenlikte parolalar (Gozde.123456yedi)

BGYS’NİN FARKINDALIĞI VE UYGULANMASI

Yönetim, çalışanlar ve yüklenicilerin şirketin BGYS gerekliliklerini uygulamalarını teşvik etmelidir

BGYS’nin şirket içerisinde farkındalığının sağlanması ve etkin bir şekilde uygulanması için personelin ihtiyacı olan eğitim ve dokuman ihtiyacı personel sağlanmalı ve personelin bilgi güvenliği ihlalinin önüne geçebilmek için personele disiplin prosesi yayınlanmadır.

İŞTEN AYRILMA VE GÖREV DEĞİŞİKLİĞİ

Personelin ya da yüklenicinin işten ayrılması ya da görevin değişmesi durumunda, sahip olduğu bilgi güvenliği yükümlülükleri belirlenerek personele bidirilmelidir.

İşe giriş aşamasında sır saklama yükümlülüğü sözleşme aşamasında personele bildirilerek güvence altına alınabilir. Ayrıca, bilginin doğruluğu ve bütünlüğü gibi kavramların korunabilmesi için personelin eksiksiz iş devri yapması talep edilebilir

ORTAM İŞLEME

Bilginin yetkisiz ifşası, değiştirilmesi, ve yok edilmesini engellemek için; •Taşınabilir ortam yönetimi, şirket tarafından  belirlenen sınıflandırma düzenine göre olmalıdır •İhtiyaç duyulmayan bilgi, resmi prosedürler doğrultusunda güvenli şekilde yok edilmelidir •Bilgi içeren fiziksel ortam aktarımı yetkisiz erişim, kötüye kullanım ve bozulmalara karşı korunmalıdır

•Yazılı bir erişim kontrol politikası oluştur ve yayınla

•Kişiye özgü gizli kimlik tanıma bilgisi tahsis et ve kullanım kuralları hakkında bilgi ver

(Parola yönetim sistemleri etkileşimli ve yeterli güvenlik seviyesine sahip olmalıdır. )

•Personelin sadece yetkili olduğu ağ ve dosyalara erişimine izin ver

•Ayrıcalıklı erişim haklarını kontrol etme ve kısıtlama yöntemlerini belirle

•Kullanıcıların erişim haklarını düzenli aralıklarla kontrol et

•Şirketle ilişiği kesilen personel ya da ilgili tarafın tüm bilgilere ulaşımını kes

Erişim haklarını yönetmek için yukarıdaki maddeleri destekleyen, tüm kullanıcıları ve bilgileri kapsayan, kullanıcı kaydetme/kayıt silme ve güvenli oturum açma konularını yöneten proses/prosesler hazırlanmalı ve uygulanmalıdır.

Ayrıca; Program kaynak koduna erişim kısıtlanarak, sistem ve uygulama kontrollerini geçersiz kılabilen uygulamaların kullanımı kısıtlanmalı ve sıkı bir şekilde kontrol edilmelidir.

KRİPTOGRAFİ

Okunabilir haldeki bir bilginin istenmeyen taraflarca okunamaz bir hale dönüştürülmesinde kullanılan tekniklerin tümü olarak da gösterilir.

Sezar Şifrelemesi Yöntemi

Örnek: bilgi =elojl

KRİPTOGRAFİK KONTROLLER

•Bilginin korunması için kriptografik kontrollerin kullanımı hakkında bir politika hazırlanmalı ve uygulanmalıdır

•Kriptografik anahtarların kullanımı, korunması ve yaşam süresini açıklayan bir politika hazırlanarak politikaya uygunluğun sağlandığı güvence altına alınmalıdır

GÜVENLİ ALANLAR Hassas ve kritik bilgi kaynaklarını korumak için; •Güvenli alan sınırları belirlenmeli ve korunmalıdır. •Sadece yetkili personele erişim izni verilerek gerekli giriş kontrolleri yapılmalıdır. •Ofisler ve tesisler  fiziksel güvenlik kurallarına uygun tasarlanmalıdır. •Bilgi kaynakları doğal felaketler, kazalar kötü niyetli saldırılar gibi olumsuz dış etkilere karşı korunmalıdır •Yetkisiz kişilerin tesise giriş yapabildiği, teslimat ve yükleme alanları gibi erişim noktaları kontrol edilmeli ve mümkünse yetkisiz erişime karşı için bilgi işleme olanaklarından ayrılmalıdır

Güvenli alanlarda çalışma için prosedürler tasarlanmalı ve uygulanmalıdır.

TECHİZAT

•Çevresel tehditler ve yetkisiz erişimden kaynaklanacak risklere karşı korunmalıdır. 

•Enerji kesintisi vb. kesintilere sebep olabilecek hatalara karşı korunmalıdır.

•Enerji ve telekomünikasyon kabloları, dinleme, girişim veya hasara karşı korunmalıdır.

•Gerekli bakımlar yapılarak sistem sürekliliği sağlanmalıdır

•Bilgi veya yazılım yetkilendirme olmaksızın kesinlikle şirket dışına çıkarılmamalıdır.

•Şirket dışındaki varlıklarda, bölgeye dair harici riskler de belirlenerek gerekli önlemler alınmalıdır.

•Depolama ortamı içeren teçhizatları yok etme veya tekrar kullanımdan önce, tüm hassas veriler ve lisanslı yazılımların kaldırıldığı  veya güvenli bir şekilde üzerine yazıldığı güvence altına alınmalıdır

•Gözetim imkanı olmayan ortamlarda kullanıcıların teçhizatı uygun şekilde kullanması güvence altına alınmaldır. (politika ile sorumluluklar duyurulabilir ya da imzalıolarak kullanıcıların teminatı alınabilir)

•Temiz masa ve temiz ekran uygulaması benimsenmelidir

AĞ GÜVENLİĞİ YÖNETİMİ

Sistemlerdeki ve uygulamalardaki bilgiyi korumak amacıyla  ağlar yönetilmeli ve kontrol edilmelidir.

Tüm ağ hizmetlerinin güvenlik gereklilikleri tespit edilerek ağ hizmetleri anlaşmalarında yer almalıdır.

Bilgi hizmetleri, kullanıcıları ve bilgi sistemleri grupları ayrılmalıdır.

BİLGİ TRANSFERİ

•Bilgi transferi için transfer politikaları ve prosedürlerine uygun olarak kontroller yapılmalıdır

•Dış taraflarla paylaşılan bilgi, gerekli anlaşmalar hazırlanarak güvence altına alınmalıdır

•E-posta ile paylaşılan bilgi politikaya uygun şekilde korunmalıdır.

•Gizlilik ihlaline karşı ihtiyaçlar belirlenmeli ve gizlilik sözleşmesiyle güvence altına alınmalıdır. Sözleşme düzenli olarak gözden geçirilmelidir

BİLGİ SİSTEMLERİNİN GÜVENLİK GEREKSİNİMLERİ

Bilgi güvenliği ile ilgili gereksinimler belirlenerek BGYS’ye dahil edilmelidir

Halka açık ağlar üzerinden geçen uygulama hizmetlerindeki bilgi, hileli faaliyetlerden, sözleşme ihtilafından ve yetkisiz ifşadan ve değiştirmeden korunmalıdır.

Uygulama hizmet işlemlerindeki bilgi eksik iletim, yanlış yönlendirme, yetkisiz mesaj değiştirme, yetkisiz ifşayı, yetkisiz mesaj çoğaltma ya da mesajı yeniden oluşturmayı önlemek için korunmalıdır.

TEST VERİSİNİN KORUNMASI

Test verisi dikkatli bir şekilde seçilmeli, korunmalı ve kontrol edilmelidir.

GELİŞTİRME VE DESTEK SİSTEMLERİNDE GÜVENLİK

•Yazılım ve sistemlerin geliştirme kuralları belirlenmeli ve uygulanmalıdır.

•Sistem değişiklikleri resmi değişiklik kontrol prosedürlerinin kullanımı ile kontrol edilmelidir.

•İşletim platformları değiştirildiğinde, kurumsal işlemlere ya da güvenliğe olumsuz etkiyi önlemek amacıylan kritik uygulamalar gözden geçirilmeli ve test edilmelidir. 

•Yazılım paketlerine yapılacak değişiklikler sadece gerekli değişiklikler olacak şekilde kısıtlanmalı ve kontrol edilmelidir

•Sistem mühendisliği prensipleri belirlenip, yazılı hale getirilerek e tüm bilgi sistem çalışmalarına uygulanmalıdır

•Sistem geliştirme için güvenli geliştirme ortamları kurmalı ve korunmalıdır

•Dışarıdan sağlanan sistem geliştirme faaliyetini denetlemeli ve izlemelidir

•Güvenlik işlevselliğinin test edilmesi, geliştirme süresince gerçekleştirilmelidir.

•Kabul test programları ve ilgili kriterler, yeni bilgi sistemleri, yükseltmeleri ve yeni versiyonları için belirlenmelidir.

Kriz ve felaket gibi olumsuz durumlarda, BGYS sürekliliğinin gereksinimlerini belirlemelidir.  Bu gereksinimleri anlatan prosesler, prosedürler ve kontroller belirlenerek, yazılı hale getirmeli, uygulamalı, ve düzenli kontrollerle doğrulanmalıdır.