ISO 9001 / ISO 27001

Üst yönetim tarafından;

• Stratejik Planla Kalite ve Bilgi Güvenliği Politikası oluşturmalı

• Sistem şartlarına uygun gerekli prosesler belirlenmeli ve güvence altına alınmalı 

• Proses yaklaşımı ve risk temelli düşünmenin kullanımını teşvik etmek,

• Sistem için gerekli kaynakların varlığı ve ulaşılabilirliği sağlanmalı-

• Sistemin etkin şekilde işlemesi için personel farkındalığının oluşturulması

• Sürekli iyileştirme teşvik edilmeli

Üst yönetim aşağıdakiler için sorumluluk ve yetki ataması yapmalıdır: 

a) Kalite ve bilgi güvenliği yönetim sisteminin bu standardın şartlarına uyum sağlamasını temin etmek

b)Üst yönetime kalite ve bilgi güvenliği yönetim sisteminin performansı hakkında raporlama.

6.1.1 Genel

Şirketinizde 

a) Kalite ve bilgi güvenliği yönetim sisteminin amaçlanan çıktıları sağlanabilmesinin temin edilmesi,

b)İstenmeyen etkilerin önlenmesi veya azaltılması,

c)Sürekli iyileştirmenin başarılması,

İçin risk ve fırsatlar belirlenmeli,

Risk ve fırsatları ele almak için faaliyetler belirlenmeli ve faaliyetlerin etkinliği değerlendirilmeli.

Şirketinizde dahili ve harici iletişim yöntemlerini belirleyerek aşağıdaki maddelere net cevaplar verilmesi gerekmektedir. Bu, personel arasında bilgi paylaşımını, müşterilerle, tedarikçilerle ve diğer ilgili taraflarla iletişimi içerir.

Şirketin iletişim yöntemleri ve iletişim araçları belirlenerek ilgili personele duyurulmalı.

Telefon numarası, mail adresi gibi iletişim kaynakların ulaşılabilirliği güvence altına alınmalıdır.

ISO 9001 ve 27001 zorunluluğu veya şirketinizin kendi yönetim sistemi ihtiyaçlarından kaynaklı yazılı olarak kayıt altına alınması gereken bilgiler belirlenmeli.

Yazılı bilgilerin boyutu ve içeriği şirketlerin, büyüklüğü, faaliyet alanı, ürün ve hizmet türü, süreç yapısı ve personel yeterliği gibi faktörlerle değişiklik gösterebilir

NOT: Tüm şirketlerin dokümantasyon sistemi belirlenirken kendi ilgili tarafları, faaliyet alanları, ürün ve hizmet alanı, süreç yapısı, personel potansiyeli göz önünde bulundurularak o şirkete özgü bir sistem kurulmalıdır.

Bir şirkette mükemmel işleyen bir sistem başka bir şirket için fazla detaylı, karmaşık veya yetersiz olabilir

Yönetim Sisteminin zorunlu kıldığı yazılı bilgiler;

• Kalite ve Bilgi Güvenliği Kapsamı (4.3)

•Kalite ve bilgi güvenliği politikası (5.2)

• Bilgi güvenliği risk değerlendirme süreci (6.1.2)

• Bilgi güvenliği risk işleme süreci (6.1.3)

• Bilgi güvenliği hedefleri (6.2)

• Yetkinlik (7.2)

• Dış kaynaklı dokümanlar listesi (7.5.3)

• Operasyonel planlama ve kontrol (8.1)

• Bilgi güvenliği risk değerlendirme sonuçları (8.2)

• Bilgi güvenliği risk işleme sonuçları (8.3)

• İzleme ve ölçme sonuçları (9.1)

• İç tetkik programları ve tetkik sonuçları (9.2)

• Yönetimin gözden geçirmesi sonuçları (9.3)

•Uygunsuzlukların yapısı ve takip eden faaliyetler ile düzeltici faaliyet sonuçları (10.1)

Oluşturma ve Güncelleme

Şirketinizde dokuman oluştururken ve güncellenirken aşağıdakilere dikkat edilmelidir

1. Tanımlama ve tarif etme (örneğin, bir başlık, tarih, yazar veya referans numarası),

b) Biçim (örneğin; dil, yazılım sürümü, grafikler) ve ortam (örneğin, kâğıt, elektronik) ve

c)Uygunluğun ve doğruluğun gözden geçirilmesi ve onaylanması.

Yazılı Bilgilerin Kontrolü

Bilgi,

a) Gereken yerde ve zamanda kullanım için erişilebilir ve uygun olmalı

b)Gizlilik kaybı, uygun olmayan kullanım veya bütünlük kaybı gibi risklere karşı korunmalı

Yazılı bilgilerin kontrolü için, şirketiniz uygunluğuna göre aşağıdaki faaliyetleri ele almalıdır: 

c) Dağıtım, erişim, getirme ve kullanım,

d) Okunaklılığın korunması da dâhil olmak üzere saklama ve koruma,

e) Değişikliklerin kontrolü (örneğin sürüm kontrolü) ve

f)Muhafaza etme ve yok etme.

Şirketinizde bilgi güvenliği şartlarını karşılamak, risk ve fırsat için belirlenen faaliyetleri gerçekleştirmek  ve hedeflerine ulaşmak için;

• Gerekli olan süreçleri planlamalı, uygulamalı ve kontrol etmelidir. 

• Planlanan değişiklikleri kontrol etmeli ve istenmeyen değişikliklerin sonuçlarını gözden geçirerek, gerekiyor ise kötü etkileri azaltmak için eyleme geçmelidir.

• Dış kaynaklı süreçlerin belirlenmesini ve kontrol edilmesini temin etmelidir.

• Şirketinizde süreçlerin planlandığı şekilde yürütüldüğünü kanıtlamak amaçlı yazılı bilgi kayıt altına alınmalıdır.

Şirketiniz belirlenen risk değerlendirme ve risk kabul kriterlerini dikkate alarak

•Planlanan aralıklarla

•Önemli değişiklikler önerildiğinde veya meydana geldiğinde

Risk değerlendirmesi yapmalıdır

Şirketiniz, bilgi güvenliği risk değerlendirmesinin sonuçlarına dair yazılı bilgileri muhafaza etmelidir.

Bu madde, kuruluşların ürettikleri ürün veya sundukları hizmetler için belirledikleri şartları ele alır. Ürün veya hizmetin gereksinimleri ve müşteri beklentileri, belirlenen şartların temelini oluşturur. Planlama sürecinde, ürün veya hizmetin gerekli özellikleri, nitelikleri, performans kriterleri ve diğer gereksinimleri belirlenir. Bunlar, ürün veya hizmetin kalite seviyesini belirleyen önemli unsurlardır. Ayrıca, belirlenen şartlar, ürün veya hizmetin tasarım ve üretim aşamalarında rehberlik sağlar. Bu kapsamda, ürün veya hizmetin şartları belirlenirken müşteri gereksinimleri, yasal düzenlemeler, standartlar ve kuruluşun kendi politika ve prosedürleri dikkate alınır.

Şirketinizde bilgi güvenliği risk işleme planını uygulamalıdır

Şirketiniz bilgi güvenliği risk işlemesi sonuçlarına ait yazılı bilgileri muhafaza etmelidir

Tasarım gerçekleşmeden önce tasarım için planlama yapılmalıdır.

Bunun için bir planlama süreci hazırlanıp,

Planlanan girdi ve çıktılardan yola çıkarak, tasarım için gerekli aşamalar, süre, kaynaklar, ihtiyaç duyulan yetkinlikler, uymakla yükümlü olan yasal ve diğer gereklilikler, kontrol ve geçerli kılma faaliyetleri belirlenerek tüm bu verilerden oluşan anlamlı bir bütünle tasarım planı oluşturulabilir.

Tasarım planı dokümante edilmiş bilgi olarak muhafaza edilmelidir.

Hazırlanan tasarım planı İlerleyen aşamalarda planlanan ve uygulanan tasarımı karşılaştırmamıza veri oluşturacaktır.

Tasarımın gerçekleştirilmesi aşamasında, 

Tasarım planında kullanılan veriler girdi olarak kullanılır,

Tasarım süresince planlanan gözden geçirmeler uygulanır, gözden geçirmeler sonucu ya tasarım aşaması onaylanarak devam edilir veya onaylanmayan bir aşama varsa gerekli düzeltici faaliyet uygulanır.

Planlanan geçerli kılma faaliyeti başarı ile tamamlandıktan sonra tasarım ve geliştirme çıktıları toparlanır. Örneğin prototipi üretilen ve başarı ile çalışan bir makinanın geçerli kılma faaliyet aşaması başarı ile tamamlandıktan sonra hazırlanan proje bitirme raporu ile tasarım çıktıları sunulur. 

Satın alma süreci hazırlanarak, ürün ve tedarikçi için şartlar belirlenebilir.

Tedarikçi şartları belireninken alınan ürünün niteliği ve önemi de göz önünde bulundurulmalıdır.

Örneğin;

İnşaat sektöründe faaliyet gösteren bir şirket olduğunuzu ele alırsak, beton, yapının sağlamlığı, güvenlik, proje süresi, proje bütçesi, proje itibarı gibi birçok faktörü etkilediğinden, yüksek önem seviyesine sahip bir malzemedir, tedarik etmeden önce detaylı tedarikçi değerlendirmesi yapılmalıdır.

Beton tedarikçisi için;

• İstenilen niteliklere uygun beton üretebilecek kapasitede olması

• Malzeme raporlarını sunması

• Zamanında teslim kriterlerine uygun olması (yakınlık ve şantiyeye ulaşma süresi)

• Alınan numunelerde beklenilen kriterlere ulaşılması

• Şirket ödeme koşullarına uyması (TL ile ödeme , uzun vadede ödeme vs.)

• ISO 9001, ISO 27001 sertifikalarına sahip olması 

Şeklinde detaylı kriterler aranabilir.

Aynı şirket için kırtasiye malzemelerini satın alındığı bir tedarikçi ele alınırsa, bu tedarikçiden yapılan satın almalar doğrudan projeyi etkilemeyecek ve yüksek ekonomik etkileri olmayacaktır, Bu sebeple bu çapta bir tedarikçi için şirketiniz tedarikçi kriterlerini planlanan bütçeye uygun olarak istenilen ürünleri zamanında teslim ederek şirketin yönetim sistemineuyum sağlayacak bir şirket olarak belirleyebilir

Not: Kimyasal madde satın almanız durumda güvenlik amaçlı malzemenin  MSDS olarak bilinen malzeme güvenlik raporunu talep etmeniz önemlidir.

Satın alma sürecindeki kriterlere uygun tedarikçileri kaydetmek için onaylı tedarikçi listesi hazırlanarak sadece onaylı tedarikçilerle çalışılabilir.

Ayrıca mevcut çalışılan tedarikçilerin performansları tedarik sonrası değerlendirilerek değerlendirme sonucuna göre söz konusu tedarikçinin onaylı tedarikçi listesinde kalmasına ve silinmesine karar verilebilir

Üretilen ürün ve hizmetin özellikleri ve ulaşılması planlanan sonuçları belirle ve ilgili dokümante edilmiş bilgiyi muhafaza et.

Tanımlama ve izlenilebilirlik yöntemi belirle ilgili dokümante edilmiş bilgiyi muhafaza et

Dış tedarikçiye ait mülkiyeti belirle ve güvence altına al.

Ürün veya hizmet çıktısını istenilen şartları koruyacak şekilde güvence altına al.

Teslimat sonrası faaliyetleri tanımla

Değişiklikleri gözden geçir, gözden geçirme sonuçlarını dokümante edilmiş bilgi olarak kayıt altına l.

Değişiklik kararının yetkin kişilerce verilmiş olması gerektiğine dikkat et.

Bu madde, ürün veya hizmetin pazarlanması ve müşterilere sunulması sürecini ele alır. Ürün veya hizmetin piyasaya sunumu, planlanmış pazarlama stratejileri ve faaliyetleri doğrultusunda gerçekleştirilir. Bu süreçte, ürün veya hizmetin tanıtımı, dağıtımı, satışı ve teslimatı gibi adımlar yer alır. Ayrıca, müşteri taleplerinin karşılanması ve müşteri memnuniyetinin sağlanması da bu sürecin önemli bir parçasıdır. Kuruluşlar, ürün veya hizmetin piyasaya sunumuyla ilgili olarak müşteri geri bildirimlerini dikkate alır ve gerektiğinde ürün veya hizmetlerini iyileştirme çalışmaları yaparlar. Bu şekilde, müşteri beklentilerini karşılayan ve rekabet avantajı sağlayan ürün veya hizmetler sunulmuş olur.

Şirketinizde, bilgi güvenliği performansı ve bilgi güvenliği yönetim sisteminin etkinliğini değerlendirmeli ve aşağıdakiler belirlenmelidir. 

a) Bilgi güvenliği süreçleri ve kontrolleri dâhil olmak üzere neyin izlenmesi ve ölçülmesinin gerekli olduğu,

b) Geçerli sonuçları temin etmek için, uygun İzleme, ölçme, analiz ve değerlendirme yöntemleri

c)  İzleme ve ölçmenin ne zaman yapılacağı,

d) İzlemeyi ve ölçmeyi kimin yapacağı,

e) İzleme ve ölçme sonuçlarının ne zaman analiz edileceği ve değerlendirileceği 

f) Bu sonuçları kimin analiz edeceği ve değerlendireceği.

BGYS Süreçlerinin performanslarının etkinliği

• Yönetimin gözden geçirme sonuçları

• İç tetkik uygulamaları

• İyileştirme çalışmalar 

• Düzeltici faaliyet uygulamaları

• BGYS farkındalığı

• BGYS Eğitimleri

• Güvenlik olaylar yönetimi, maliyeti, ders çıkarma

• Şifre kalitesi, yama yönetimi, erişim hakları

•  Saldırılara verilen tepkiler

• Fiziksel giriş kontrolleri

•Vs.

Üst yönetim BGYS’nin sürekli uygunluğunu, doğruluğunu ve etkinliğini temin etmek için planlı aralıklarla gözden geçirmelidir. 

Yönetimin gözden geçirmesi aşağıdakileri ele almalıdır: 

a)Önceki YGG’lerden gelen görevlerin durumu,

b)BGYS’yi ilgilendiren dış ve iç konulardaki değişiklikler,

c)Aşağıdakiler deki gelişmeler dâhil BGYS performansına dair geri bildirim

1) Uygunsuzluklar ve düzeltici faaliyetler,

2) İzleme ve ölçme sonuçları,

3) Tetkik sonuçları ve

4) Bilgi güvenliği amaçlarının yerine getirilmesi

d)İlgili taraflardan geri bildirimler,

Risk değerlendirme sonuçları ve risk işleme planının durumu 

Sürekli iyileştirme için fırsatlar.

Yönetimin gözden geçirmesi çıktıları, sürekli iyileştirme fırsatlarına ve bilgi güvenliği yönetim sisteminde gerekli olan değişiklikler için tüm ihtiyaçlara dair kararları içermelidir. 

Uygunsuzluk tespit edilmesi durumunda;

1. Kontrol et ve mümkünse düzelt

2. Uygunsuzluğun tekrarını ya da başka yerde oluşmasını engellemek için

• Gözden geçir

• Kök neden belirle

• Benzer uygunsuzluk oluşma durumu ya da oluşma olasılığını belirle

3. Düzeltici faaliyet uygula

4. Düzeltici faaliyetlerin etkinliğini gözden geçir

5. Gerekliyse eğer BGYS’de uygunsuzluğa yönelik iyleştirme yap

Şirketiniz aşağıdakilerin delili olarak yazılı bilgileri muhafaza etmelidir: 

• Uygunsuzlukların sebebi ve uygulanan düzeltici faaliyetler

• Uygulanan düzeltici faaliyetin sonuçları.

Kuruluş, bilgi güvenliği yönetim sisteminin uygunluğunu, yeterliğini ve etkinliğini sürekli iyileştirmelidir. 

Kuruluş, sürekli iyileştirmenin bir parçası olarak ele alınacak ihtiyaç veya fırsatların mevcut olup olmadığını tespit etmek için analiz ve değerlendirmenin sonuçları ile yönetimin gözden geçirmesinin çıktılarını dikkate almalıdır. 

Uygunsuzluklar takip edililp düzeltici faaliyet planlanmalı, riskler tespit edilerek ortadan kaldırma/azaltmaya yönelik, fırsatlar tespit edilip geliştirmeye yönelik faaliyetler planlanmalı.

Süreç performansları sürekli izlenip performans değerlendirmesi yapılarak, süreçlerde istenilen performanslara ulaşılıp ulaşılmadığı kontrol edilmeli, süreçlerden istenilen performans tespit edilmediği taktirde, süreçler için iyileştirici faaliyet planlanması gerekmektedir

MOBİL CİHAZLAR VE UZAKTAN ÇALIŞMA

Telefon, tablet, bilgisayar vb. cihazların kullanımı;

Personellerin şirket verilerini içeren mobil cihazları kullanımı kontrol edilerek, riskler belirlenmeli, riskleri azaltmaya veya ortadan kaldırmaya yönelik aksiyon planı uygulanmalı.Mobil cihaz kullanımı politikayla güvence altına alınmalıdır.

Politika aşağıdaki maddeleri de kapsamalıdır

a)Mobil cihazların kaydı 

b) Fiziksel koruma gereksinimleri

c) Yazılım kurulum kısıtlamaları

d) Mobil cihaz yazılım sürümleri ve yamaların uygulanması için gereksinimler,

e) Bilgi hizmetlerine bağlantı kısıtlaması, 

f) Erişim kontrolleri, 

g) Kriptografik teknikler, 

h) Kötücül yazılım koruması, 

i) Uzaktan devre dışı bırakma, silme ya da kilitleme, 

j) Yedekleme, 

k) Web servislerinin ve web uygulamalarının kullanımı.

Uzaktan çalışma;

Personelin sürekli veya belirli süreli uzaktan çalışması halinde.  Şirket sistemine yabancı ağdan bağlanma, şirket bilgilerini kaybetme, çaldırma, bilgilerin bütünlüğünü bozma vs. gibi doğabilecek bilgi güvenliği riskleri araştırılarak, bu risklere karşı önlem alınmalıdır. Personele gerekli imkan sağlandıktan sonra bir politika hazırlanarak uzaktan çalışma güvence altına alın alınmalıdır.

Başlıca riskler ;

•Çalışma ortamında cihazı açık bırakmak

•Şifresiz cihaz kullanımı

•Yabancılarla şifre ya da cihaz paylaşımı

•Şifreyi not kağıdına yazarak ortalıkta bırakmak

•Yaygın kullanılan şifreler

•Tekrarlayan şifre kullanımı

•Yetersiz güvenlikte parolalar (Gozde.123456yedi)

BGYS’NİN FARKINDALIĞI VE UYGULANMASI

Yönetim, çalışanlar ve yüklenicilerin şirketin BGYS gerekliliklerini uygulamalarını teşvik etmelidir

BGYS’nin şirket içerisinde farkındalığının sağlanması ve etkin bir şekilde uygulanması için personelin ihtiyacı olan eğitim ve dokuman ihtiyacı personel sağlanmalı ve personelin bilgi güvenliği ihlalinin önüne geçebilmek için personele disiplin prosesi yayınlanmadır.

İŞTEN AYRILMA VE GÖREV DEĞİŞİKLİĞİ

Personelin ya da yüklenicinin işten ayrılması ya da görevin değişmesi durumunda, sahip olduğu bilgi güvenliği yükümlülükleri belirlenerek personele bidirilmelidir.

İşe giriş aşamasında sır saklama yükümlülüğü sözleşme aşamasında personele bildirilerek güvence altına alınabilir. Ayrıca, bilginin doğruluğu ve bütünlüğü gibi kavramların korunabilmesi için personelin eksiksiz iş devri yapması talep edilebilir

ORTAM İŞLEME

Bilginin yetkisiz ifşası, değiştirilmesi, ve yok edilmesini engellemek için; •Taşınabilir ortam yönetimi, şirket tarafından  belirlenen sınıflandırma düzenine göre olmalıdır •İhtiyaç duyulmayan bilgi, resmi prosedürler doğrultusunda güvenli şekilde yok edilmelidir •Bilgi içeren fiziksel ortam aktarımı yetkisiz erişim, kötüye kullanım ve bozulmalara karşı korunmalıdır

•Yazılı bir erişim kontrol politikası oluştur ve yayınla

•Kişiye özgü gizli kimlik tanıma bilgisi tahsis et ve kullanım kuralları hakkında bilgi ver

(Parola yönetim sistemleri etkileşimli ve yeterli güvenlik seviyesine sahip olmalıdır. )

•Personelin sadece yetkili olduğu ağ ve dosyalara erişimine izin ver

•Ayrıcalıklı erişim haklarını kontrol etme ve kısıtlama yöntemlerini belirle

•Kullanıcıların erişim haklarını düzenli aralıklarla kontrol et

•Şirketle ilişiği kesilen personel ya da ilgili tarafın tüm bilgilere ulaşımını kes

Erişim haklarını yönetmek için yukarıdaki maddeleri destekleyen, tüm kullanıcıları ve bilgileri kapsayan, kullanıcı kaydetme/kayıt silme ve güvenli oturum açma konularını yöneten proses/prosesler hazırlanmalı ve uygulanmalıdır.

Ayrıca; Program kaynak koduna erişim kısıtlanarak, sistem ve uygulama kontrollerini geçersiz kılabilen uygulamaların kullanımı kısıtlanmalı ve sıkı bir şekilde kontrol edilmelidir.

KRİPTOGRAFİ

Okunabilir haldeki bir bilginin istenmeyen taraflarca okunamaz bir hale dönüştürülmesinde kullanılan tekniklerin tümü olarak da gösterilir.

Sezar Şifrelemesi Yöntemi

Örnek: bilgi =elojl

KRİPTOGRAFİK KONTROLLER

•Bilginin korunması için kriptografik kontrollerin kullanımı hakkında bir politika hazırlanmalı ve uygulanmalıdır

•Kriptografik anahtarların kullanımı, korunması ve yaşam süresini açıklayan bir politika hazırlanarak politikaya uygunluğun sağlandığı güvence altına alınmalıdır

GÜVENLİ ALANLAR Hassas ve kritik bilgi kaynaklarını korumak için; •Güvenli alan sınırları belirlenmeli ve korunmalıdır. •Sadece yetkili personele erişim izni verilerek gerekli giriş kontrolleri yapılmalıdır. •Ofisler ve tesisler  fiziksel güvenlik kurallarına uygun tasarlanmalıdır. •Bilgi kaynakları doğal felaketler, kazalar kötü niyetli saldırılar gibi olumsuz dış etkilere karşı korunmalıdır •Yetkisiz kişilerin tesise giriş yapabildiği, teslimat ve yükleme alanları gibi erişim noktaları kontrol edilmeli ve mümkünse yetkisiz erişime karşı için bilgi işleme olanaklarından ayrılmalıdır

Güvenli alanlarda çalışma için prosedürler tasarlanmalı ve uygulanmalıdır.

TECHİZAT

•Çevresel tehditler ve yetkisiz erişimden kaynaklanacak risklere karşı korunmalıdır. 

•Enerji kesintisi vb. kesintilere sebep olabilecek hatalara karşı korunmalıdır.

•Enerji ve telekomünikasyon kabloları, dinleme, girişim veya hasara karşı korunmalıdır.

•Gerekli bakımlar yapılarak sistem sürekliliği sağlanmalıdır

•Bilgi veya yazılım yetkilendirme olmaksızın kesinlikle şirket dışına çıkarılmamalıdır.

•Şirket dışındaki varlıklarda, bölgeye dair harici riskler de belirlenerek gerekli önlemler alınmalıdır.

•Depolama ortamı içeren teçhizatları yok etme veya tekrar kullanımdan önce, tüm hassas veriler ve lisanslı yazılımların kaldırıldığı  veya güvenli bir şekilde üzerine yazıldığı güvence altına alınmalıdır

•Gözetim imkanı olmayan ortamlarda kullanıcıların teçhizatı uygun şekilde kullanması güvence altına alınmaldır. (politika ile sorumluluklar duyurulabilir ya da imzalıolarak kullanıcıların teminatı alınabilir)

•Temiz masa ve temiz ekran uygulaması benimsenmelidir

AĞ GÜVENLİĞİ YÖNETİMİ

Sistemlerdeki ve uygulamalardaki bilgiyi korumak amacıyla  ağlar yönetilmeli ve kontrol edilmelidir.

Tüm ağ hizmetlerinin güvenlik gereklilikleri tespit edilerek ağ hizmetleri anlaşmalarında yer almalıdır.

Bilgi hizmetleri, kullanıcıları ve bilgi sistemleri grupları ayrılmalıdır.

BİLGİ TRANSFERİ

•Bilgi transferi için transfer politikaları ve prosedürlerine uygun olarak kontroller yapılmalıdır

•Dış taraflarla paylaşılan bilgi, gerekli anlaşmalar hazırlanarak güvence altına alınmalıdır

•E-posta ile paylaşılan bilgi politikaya uygun şekilde korunmalıdır.

•Gizlilik ihlaline karşı ihtiyaçlar belirlenmeli ve gizlilik sözleşmesiyle güvence altına alınmalıdır. Sözleşme düzenli olarak gözden geçirilmelidir

BİLGİ SİSTEMLERİNİN GÜVENLİK GEREKSİNİMLERİ

Bilgi güvenliği ile ilgili gereksinimler belirlenerek BGYS’ye dahil edilmelidir

Halka açık ağlar üzerinden geçen uygulama hizmetlerindeki bilgi, hileli faaliyetlerden, sözleşme ihtilafından ve yetkisiz ifşadan ve değiştirmeden korunmalıdır.

Uygulama hizmet işlemlerindeki bilgi eksik iletim, yanlış yönlendirme, yetkisiz mesaj değiştirme, yetkisiz ifşayı, yetkisiz mesaj çoğaltma ya da mesajı yeniden oluşturmayı önlemek için korunmalıdır.

TEST VERİSİNİN KORUNMASI

Test verisi dikkatli bir şekilde seçilmeli, korunmalı ve kontrol edilmelidir.

GELİŞTİRME VE DESTEK SİSTEMLERİNDE GÜVENLİK

•Yazılım ve sistemlerin geliştirme kuralları belirlenmeli ve uygulanmalıdır.

•Sistem değişiklikleri resmi değişiklik kontrol prosedürlerinin kullanımı ile kontrol edilmelidir.

•İşletim platformları değiştirildiğinde, kurumsal işlemlere ya da güvenliğe olumsuz etkiyi önlemek amacıylan kritik uygulamalar gözden geçirilmeli ve test edilmelidir. 

•Yazılım paketlerine yapılacak değişiklikler sadece gerekli değişiklikler olacak şekilde kısıtlanmalı ve kontrol edilmelidir

•Sistem mühendisliği prensipleri belirlenip, yazılı hale getirilerek e tüm bilgi sistem çalışmalarına uygulanmalıdır

•Sistem geliştirme için güvenli geliştirme ortamları kurmalı ve korunmalıdır

•Dışarıdan sağlanan sistem geliştirme faaliyetini denetlemeli ve izlemelidir

•Güvenlik işlevselliğinin test edilmesi, geliştirme süresince gerçekleştirilmelidir.

•Kabul test programları ve ilgili kriterler, yeni bilgi sistemleri, yükseltmeleri ve yeni versiyonları için belirlenmelidir.

Kriz ve felaket gibi olumsuz durumlarda, BGYS sürekliliğinin gereksinimlerini belirlemelidir.  Bu gereksinimleri anlatan prosesler, prosedürler ve kontroller belirlenerek, yazılı hale getirmeli, uygulamalı, ve düzenli kontrollerle doğrulanmalıdır.