ISO 27001 risk yönetimi
ISO 27001 risk analizi ve değerlendirme Risk yönetimi dokümantasyon sürecinde kullandığımız bir doküman. Kuruma göre farklılıklar gösterecektir mutlaka. Temel olarak risklerin tanımlanması, kaydı, değerlerinin hesaplanması, risk işleme, yeniden hesaplama, artık risk hesaplama, risk işleme planı gibi konuları içermektedir.ISO27001
19 Ocak 2023 Perşembe
ISO 27001 RİSK YÖNETİMİ
11 Kasım 2022 Cuma
ISO 27001:2022 Yenilikleri / Değişiklikleri
ISO 27001:2013 sürümü, güncellenmiş ve ISO 27001:2022 olarak yayınlanmıştır.
ISO/IEC 27001:2022 değişikliklerini / yeniliklerini derleyip
sizlerle paylaştım.
https://youtu.be/oj2B17e5lr0
1 Mart 2022 Salı
ISO 27001 kayıtlar - tutulan kayıtlar
İstenen kayıtlar:
YGG tarihi, tutanağı
Pentest yapıldıysa tarihi, sonuç raporu?
Bakımlar, tarihleri, faturalar ya da formları
Ortam imhası yapıldıysa tutanağı
Tatbikat tutanağı
Eğitim kayıt formları
Düzeltici faaliyet formu
Kullanıcı logları
12 Ekim 2021 Salı
ISO 27001 ve KVKK İlişkisi
ISO 27001 ve KVKK İlişkisi
ISO 27001 – BGYS (Bilgi
Güvenliği Yönetim Sistemi), içerisinde kurumun bilgi güvenliğini sağlamak üzere
kurulan bir sistemdir. KVKK (6698 Sayılı Kanun) ise kurumun (veri sorumlu) veri işleme sürecinde
uyacağı kuralları, yükümlülükleri ve kurumun bu bağlamda alması gerekli teknik
ve idari tedbirleri içermektedir.
KAYNAK: https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf
ISO 27001 BGYS dokümantasyon
sistemi içerisinde KVKK gereksinimlerini ve dokümanlarını karşılamak için KVK
rehberlerinde belirtilen teknik ve idari önlemlerin yerine getirilmesi gerekir.
Teknik önlemlerin bir
kısmı ISO 27001 standardı maddelerine eklenerek (dokümanlarına kişisel veriye
yönelik ek önlemler yazılarak ve uygulamalar genişletilerek) yerine
getirilebilir.
Aynı şekilde idari tedbirlerin
bir kısmı da ISO 27001 standardı maddeleri için yazılan dokümanlara kişisel
veriye yönelik eklemeler yapılarak ve uygulamalarda yerine getirilerek
yapılabilir. Örneğin tedarikçi anlaşmalarında kişisel verilerin gizliğine
yönelik maddelerin eklenmesi.
KVKK Teknik Tedbirler |
ISO
27001 STANDARDI – İLGİLİ MADDELER ve DOKÜMANLAR |
Yetki Matrisi |
A.9: Erişim Kontrolü Politikası ve/veya
prosedürleri, Yetki Matrisi |
Yetki Kontrol |
A.9: Erişim Kontrolü Politikası ve/veya
prosedürleri |
Erişim
Logları |
A.12.4.1: Olay kaydetme – İzleme ve Kaydetme
politika ve/veya prosedürleri |
Kullanıcı
Hesap Yönetimi |
A.9.4: Sistem ve uygulama erişim kontrolü - Erişim
kontrol politikası, ağ yönetim politikası, kullanıcı hesap yönetimi |
Ağ Güvenliği |
A.13.1 Ağ
güvenliği yönetimi – Ağ Güvenliği politikası ve/veya prosedürleri |
Uygulama
Güvenliği |
A.14.2 Geliştirme
ve destek süreçlerinde güvenlik - Güvenli yazılım geliştirme politikası ve/veya
prosedürleri. |
Şifreleme |
A.10.1 Kriptografik
kontroller – Kriptografi (şifreleme) politika ve/veya prosedürleri |
Sızma Testi |
A.12.6.1 Teknik açıklıkların yönetimi - Güvenlik
açıkları tespit etme politikası ve/veya prosedürleri |
Saldırı
Tespit ve Önleme Sistemleri |
A.12.6.1 Teknik açıklıkların yönetimi - Güvenlik
açıkları tespit etme politikası ve/veya prosedürleri |
Log Kayıtları |
A.12.4.1: Olay kaydetme – İzleme ve Kaydetme
politika ve/veya prosedürleri |
Veri
Maskeleme |
A.10.1 Kriptografik
kontroller – Kriptografi (şifreleme) politika ve/veya prosedürleri A.8.3 Ortam
işleme – Ortamların Yok Edilmesi politika ve/veya prosedürleri |
Veri Kaybı
Önleme Yazılımları |
A.12.6.1 Teknik açıklıkların yönetimi - Güvenlik
açıkları tespit etme politikası ve/veya prosedürleri A.18 Uyum – Uyum politika ve/veya
prosedürleri |
Yedekleme |
A.12.3 Bilgi yedekleme – Yedekleme politika ve/veya
prosedürleri. FÇ Yedekleme politikası içerisinde kişisel verilerin yedeklenmesinin
de eklenmesi. |
Güvenlik
Duvarları |
A.13.1 Ağ
güvenliği yönetimi – Ağ Güvenliği politikası ve/veya prosedürleri A.14.1.2 Halka açık ağlardaki uygulama
hizmetlerinin güvenliğinin sağlanması – Internet güvenliği politikası ve/veya
prosedürleri |
Güncel
Anti-Virüs Sistemleri |
A.12.2.1 Kötücül yazılımlara karşı kontroller
- Varlıkların Kabul Edilebilir
Kullanımı Politikası, Anti-virüs politikası ve/Veya prosedürleri, Taşınabilir
cihaz politikası ve/veya prosedürleri |
Silme, Yok
Etme veya Anonim Hale Getirme |
A.10.1 Kriptografik
kontroller – Kriptografi (şifreleme) politika ve/veya prosedürleri A.8.3 Ortam
işleme – Ortamların Yok Edilmesi politika ve/veya prosedürleri |
Anahtar
Yönetimi |
A.10.1 Kriptografik
kontroller – Kriptografi (şifreleme) politika ve/veya prosedürleri |
KVKK İdari Tedbirler |
ISO
27001 STANDARDI – İLGİLİ MADDELER ve DOKÜMANLAR |
Kişisel Veri İşleme
Envanteri Hazırlanması |
A.8.1.1
Varlıkların envanteri. Kişisel veri envanteri |
Kurumsal
Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.) |
A.5.1.1 Bilgi
güvenliği için politikalar – Bilgi Güvenliği Politikaları/Prosedürleri |
Sözleşmeler (Veri
Sorumlusu - Veri Sorumlusu, Veri Sorumlusu - Veri İşleyen Arasında ) |
A.7.1.2 İstihdam
hüküm ve koşulları A.15.1.2 Tedarikçi anlaşmalarında güvenliği
ifade etme |
Gizlilik
Taahhütnameleri |
A.7.1.2 İstihdam
hüküm ve koşulları A.15.1.2 Tedarikçi anlaşmalarında güvenliği
ifade etme |
Kurum İçi
Periyodik ve/veya Rastgele Denetimler |
9.2 İç
Tetkik – İç tetkik (denetim) politika ve/veya prosedürleri |
Risk Analizleri |
6.1.2 Bilgi
güvenliği risk değerlendirmesi 8.2 Bilgi
güvenliği risk değerlendirme 8.3 Bilgi
güvenliği risk işleme |
İş Sözleşmesi,
Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi) |
A.7.2.3 Disiplin
prosesi |
Kurumsal İletişim
(Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar
Yönetimi vb.) |
A.17.1 Bilgi
güvenliği sürekliliği – İş sürekliliği politikası ve/veya prosedürleri |
Eğitim ve Farkındalık
Faaliyetleri (Bilgi Güvenliği ve Kanun) |
A.7.2.2 Bilgi
güvenliği farkındalığı, eğitim ve öğretimi |
Veri Sorumluları
Sicil Bilgi Sistemine (VERBİS) Bildirim |
Yok |
ISO 27001 zorunlu dokümanlar
ISO 27001 zorunlu dokümanlarını şu şekilde belirtebiliriz.
Kesin bir liste olmamakla birlikte şu linkler yararlı
olabilir.
Bazen bir doküman içerisinde birçok konu bulunabiliyor.
Ama en azından şu şekilde bir zorunlu dokümanlar olmalı
diyebiliriz:
KAPSAM- Madde 4.3
BİLGİ GÜVENLİĞİ POLİTİKASI - madde 5.2
BGYS HEDEFLER ve PLANLAMA- madde 6.2
RİSK ANALİZİ ve DEĞERLENDİRME - madde 6.12, 6.13
SOA (Uygulanabilirlik
bildirgesi)
RİSK İŞLEME PLANI - madde 6.13.e
BGYS ROLLER ve SORUMLULUKLAR - madde A7.1.2
VARLIK ENVANTERİ - madde A8.1.1
VARLIKLARIN KABUL EDİLEBİLİR KULLANIMI POLİTİKASI ve/veya
prosedürü - madde A8.1.3
ERİŞİM POLİTİKASI ve/veya
prosedürü- madde A9.1.1
BGYS İŞLETİM GÜVENLİĞİ’ne ilişkin politika ve/veya
prosedürler- madde A12.1.1
TEDARİKÇİ yönetimi politika ve/veya prosedürler – madde A15
İHLAL OLAYLARI YÖNETİMİ politikaa ve/veya prosedürleri -
madde A16.1.5
İŞ SÜREKLİLİĞİ politika ve/Veya prosedürleri - madde A17.1
UYUM politika ve / veya prosedürleri - madde A18.1.1
Bunlar bu adla yada benzer adlarla olabilir. Bunlar mutlaka
olmalı. Onun dışında ek ilave prosedür, talimat ve kayıtlar eklenebilir tabiki.
NOT: YAPTIĞINI YAZ, YAZDIĞINI YAP prensibini unutmayalım.
3 Ekim 2021 Pazar
ISO 27001 A.18.1.1: UYUM
ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ İÇERİSİNDE UYUM
YASALARI
A.18.1.1: Kurum, ilgili tüm yasal, düzenleyici ve
sözleşmeden doğan gereksinimleri uygun şekilde karşılamalıdır.
İLGİLİ YASAL
MEVZUAT |
YAYIN TARİHİ |
|
T.C.
ANAYASASI
|
09/11/1982 |
|
5237 sayılı Türk Ceza Kanunu’nun (“TCK”) 135. maddesi kişisel verilerin kaydedilmesi 136. maddedeki verileri hukuka aykırı olarak verme
veya ele geçirme 138. maddedeki verileri yok etmeme … |
12/10/2004 |
|
5651 5651 sayılı İnternet Ortamında Yapılan
Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele
Edilmesi Hakkında Kanun |
4/5/2007 |
|
5070 Elektronik
İmza kanunu
|
9/8/2016 |
|
5809 Sayılı
Kanun Elektronik Haberleşme Kanunu |
24.11.2016 |
|
6698 KİŞİSEL VERİLERİN KORUNMASI KANUNU |
24/3/2016 |
|
5846 sayılı
Fikir ve Sanat Eserleri Kanunu |
1/1/1952 |
|
Bilgi ve
İletişim Güvenliği Rehberi, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı,
|
24/7/2020
|
|
FC ilgili sözleşmeleri
|
|
|
ve İlgili diğer
mevzuat … |
|
|
ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ UYUM YASALARI
ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ - UYUM YASALARI
A.18.1.1 Kurum, ilgili tüm yasal, düzenleyici ve sözleşmeden doğan
gereksinimleri uygun şekilde karşılamalıdır.
İLGİLİ YASAL
MEVZUAT |
YAYIN TARİHİ |
|
T.C.
ANAYASASI |
09/11/1982 |
|
5237 sayılı Türk Ceza Kanunu’nun (“TCK”) 135. maddesi kişisel verilerin kaydedilmesi 136. maddedeki verileri hukuka aykırı olarak verme
veya ele geçirme 138. maddedeki verileri yok etmeme … |
12/10/2004 |
|
5651 5651 sayılı İnternet Ortamında Yapılan
Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele
Edilmesi Hakkında Kanun |
4/5/2007 |
|
5070 Elektronik
İmza kanunu |
9/8/2016 |
|
5809 Sayılı
Kanun Elektronik Haberleşme Kanunu |
24.11.2016 |
|
6698 KİŞİSEL VERİLERİN KORUNMASI KANUNU |
24/3/2016 |
|
5846 sayılı
Fikir ve Sanat Eserleri Kanunu |
1/1/1952 |
|
Bilgi ve
İletişim Güvenliği Rehberi, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı,
|
24/7/2020 |
|
FC ilgili sözleşmeleri
|
|
|
ve İlgili diğer
mevzuat … |
|
|