19 Ocak 2023 Perşembe

ISO 27001 RİSK YÖNETİMİ

 ISO 27001 risk yönetimi

ISO 27001 risk analizi ve değerlendirme Risk yönetimi dokümantasyon sürecinde kullandığımız bir doküman. Kuruma göre farklılıklar gösterecektir mutlaka. Temel olarak risklerin tanımlanması, kaydı, değerlerinin hesaplanması, risk işleme, yeniden hesaplama, artık risk hesaplama, risk işleme planı gibi konuları içermektedir.



https://youtu.be/IQ1a16CVM68

Varsayılan Excel yetenekleri: 1) FORMÜL GELİŞTİRME 2) SATIR VE SÜTUN DÜZENLEME 3) ALAN ADLANDIRMA 4) LİSTE KUTUSU KULLANIMI VE KAYNAĞININ ADLANDIRILMIŞ ALAN OLARAK DÜZENLENMESİ 5) EĞER (IF) FONKSİYONU 6) PİVOT TABLO

11 Kasım 2022 Cuma

ISO 27001:2022 Yenilikleri / Değişiklikleri

ISO 27001:2013 sürümü, güncellenmiş ve ISO 27001:2022 olarak yayınlanmıştır.

ISO/IEC 27001:2022 değişikliklerini / yeniliklerini derleyip sizlerle paylaştım.


https://youtu.be/oj2B17e5lr0

1 Mart 2022 Salı

ISO 27001 kayıtlar - tutulan kayıtlar

İstenen kayıtlar:

YGG tarihi, tutanağı

Pentest yapıldıysa tarihi, sonuç raporu?

Bakımlar, tarihleri, faturalar ya da formları

Ortam imhası yapıldıysa tutanağı

Tatbikat tutanağı

Eğitim kayıt formları

Düzeltici faaliyet formu

Kullanıcı logları

12 Ekim 2021 Salı

ISO 27001 ve KVKK İlişkisi

ISO 27001 ve KVKK İlişkisi

ISO 27001 – BGYS (Bilgi Güvenliği Yönetim Sistemi), içerisinde kurumun bilgi güvenliğini sağlamak üzere kurulan bir sistemdir. KVKK (6698 Sayılı Kanun) ise kurumun (veri sorumlu) veri işleme sürecinde uyacağı kuralları, yükümlülükleri ve kurumun bu bağlamda alması gerekli teknik ve idari tedbirleri içermektedir.

KAYNAK: https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf

ISO 27001 BGYS dokümantasyon sistemi içerisinde KVKK gereksinimlerini ve dokümanlarını karşılamak için KVK rehberlerinde belirtilen teknik ve idari önlemlerin yerine getirilmesi gerekir.

Teknik önlemlerin bir kısmı ISO 27001 standardı maddelerine eklenerek (dokümanlarına kişisel veriye yönelik ek önlemler yazılarak ve uygulamalar genişletilerek) yerine getirilebilir.

Aynı şekilde idari tedbirlerin bir kısmı da ISO 27001 standardı maddeleri için yazılan dokümanlara kişisel veriye yönelik eklemeler yapılarak ve uygulamalarda yerine getirilerek yapılabilir. Örneğin tedarikçi anlaşmalarında kişisel verilerin gizliğine yönelik maddelerin eklenmesi.

KVKK Teknik Tedbirler

ISO 27001 STANDARDI – İLGİLİ MADDELER ve DOKÜMANLAR

Yetki Matrisi

A.9: Erişim Kontrolü Politikası ve/veya prosedürleri, Yetki Matrisi

Yetki Kontrol

A.9: Erişim Kontrolü Politikası ve/veya prosedürleri

Erişim Logları

A.12.4.1: Olay kaydetme – İzleme ve Kaydetme politika ve/veya prosedürleri

Kullanıcı Hesap Yönetimi

A.9.4: Sistem ve uygulama erişim kontrolü - Erişim kontrol politikası, ağ yönetim politikası, kullanıcı hesap yönetimi

Ağ Güvenliği

A.13.1   Ağ güvenliği yönetimi – Ağ Güvenliği politikası ve/veya prosedürleri

Uygulama Güvenliği

A.14.2   Geliştirme ve destek süreçlerinde güvenlik - Güvenli yazılım geliştirme politikası ve/veya prosedürleri.

Şifreleme

A.10.1   Kriptografik kontroller – Kriptografi (şifreleme) politika ve/veya prosedürleri

Sızma Testi

A.12.6.1 Teknik açıklıkların yönetimi - Güvenlik açıkları tespit etme politikası ve/veya prosedürleri

Saldırı Tespit ve Önleme Sistemleri

A.12.6.1 Teknik açıklıkların yönetimi - Güvenlik açıkları tespit etme politikası ve/veya prosedürleri

Log Kayıtları

A.12.4.1: Olay kaydetme – İzleme ve Kaydetme politika ve/veya prosedürleri

Veri Maskeleme

A.10.1   Kriptografik kontroller – Kriptografi (şifreleme) politika ve/veya prosedürleri

A.8.3     Ortam işleme – Ortamların Yok Edilmesi politika ve/veya prosedürleri

Veri Kaybı Önleme Yazılımları

A.12.6.1 Teknik açıklıkların yönetimi - Güvenlik açıkları tespit etme politikası ve/veya prosedürleri

A.18 Uyum – Uyum politika ve/veya prosedürleri

Yedekleme

A.12.3 Bilgi yedekleme – Yedekleme politika ve/veya prosedürleri. FÇ Yedekleme politikası içerisinde kişisel verilerin yedeklenmesinin de eklenmesi.

Güvenlik Duvarları

A.13.1   Ağ güvenliği yönetimi – Ağ Güvenliği politikası ve/veya prosedürleri

A.14.1.2 Halka açık ağlardaki uygulama hizmetlerinin güvenliğinin sağlanması – Internet güvenliği politikası ve/veya prosedürleri

Güncel Anti-Virüs Sistemleri

A.12.2.1 Kötücül yazılımlara karşı kontroller -  Varlıkların Kabul Edilebilir Kullanımı Politikası, Anti-virüs politikası ve/Veya prosedürleri, Taşınabilir cihaz politikası ve/veya prosedürleri

Silme, Yok Etme veya Anonim Hale Getirme

A.10.1   Kriptografik kontroller – Kriptografi (şifreleme) politika ve/veya prosedürleri

A.8.3     Ortam işleme – Ortamların Yok Edilmesi politika ve/veya prosedürleri

Anahtar Yönetimi

A.10.1   Kriptografik kontroller – Kriptografi (şifreleme) politika ve/veya prosedürleri

 

 

KVKK İdari Tedbirler

ISO 27001 STANDARDI – İLGİLİ MADDELER ve DOKÜMANLAR

Kişisel Veri İşleme Envanteri Hazırlanması

A.8.1.1  Varlıkların envanteri. Kişisel veri envanteri

Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)

A.5.1.1  Bilgi güvenliği için politikalar – Bilgi Güvenliği Politikaları/Prosedürleri

Sözleşmeler (Veri Sorumlusu - Veri Sorumlusu, Veri Sorumlusu - Veri İşleyen Arasında )

A.7.1.2  İstihdam hüküm ve koşulları

A.15.1.2 Tedarikçi anlaşmalarında güvenliği ifade etme

Gizlilik Taahhütnameleri

A.7.1.2  İstihdam hüküm ve koşulları

A.15.1.2 Tedarikçi anlaşmalarında güvenliği ifade etme

Kurum İçi Periyodik ve/veya Rastgele Denetimler

9.2          İç Tetkik – İç tetkik (denetim) politika ve/veya prosedürleri

Risk Analizleri

6.1.2      Bilgi güvenliği risk değerlendirmesi

8.2          Bilgi güvenliği risk değerlendirme

8.3          Bilgi güvenliği risk işleme

İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)

A.7.2.3  Disiplin prosesi

Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)

A.17.1   Bilgi güvenliği sürekliliği – İş sürekliliği politikası ve/veya prosedürleri

Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)

A.7.2.2  Bilgi güvenliği farkındalığı, eğitim ve öğretimi

Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim

Yok

 

ISO 27001 zorunlu dokümanlar

ISO 27001 zorunlu dokümanlarını şu şekilde belirtebiliriz.

 

Kesin bir liste olmamakla birlikte şu linkler yararlı olabilir.  

Bazen bir doküman içerisinde birçok konu bulunabiliyor.

 

Ama en azından şu şekilde bir zorunlu dokümanlar olmalı diyebiliriz:

 

KAPSAM- Madde 4.3

BİLGİ GÜVENLİĞİ POLİTİKASI - madde 5.2

BGYS HEDEFLER ve PLANLAMA- madde 6.2

RİSK ANALİZİ ve DEĞERLENDİRME - madde 6.12, 6.13

SOA  (Uygulanabilirlik bildirgesi)

RİSK İŞLEME PLANI - madde 6.13.e

BGYS ROLLER ve SORUMLULUKLAR - madde A7.1.2

VARLIK ENVANTERİ - madde A8.1.1

VARLIKLARIN KABUL EDİLEBİLİR KULLANIMI POLİTİKASI ve/veya prosedürü  - madde A8.1.3

ERİŞİM POLİTİKASI ve/veya  prosedürü- madde A9.1.1

BGYS İŞLETİM GÜVENLİĞİ’ne ilişkin politika ve/veya prosedürler- madde A12.1.1

TEDARİKÇİ yönetimi politika ve/veya prosedürler – madde A15

İHLAL OLAYLARI YÖNETİMİ politikaa ve/veya prosedürleri - madde A16.1.5

İŞ SÜREKLİLİĞİ politika ve/Veya prosedürleri - madde A17.1

UYUM politika ve / veya prosedürleri - madde A18.1.1

 

Bunlar bu adla yada benzer adlarla olabilir. Bunlar mutlaka olmalı. Onun dışında ek ilave prosedür, talimat ve kayıtlar eklenebilir tabiki.


NOT: YAPTIĞINI YAZ, YAZDIĞINI YAP prensibini unutmayalım. 


3 Ekim 2021 Pazar

ISO 27001 A.18.1.1: UYUM

ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ İÇERİSİNDE UYUM YASALARI

A.18.1.1: Kurum, ilgili tüm yasal, düzenleyici ve sözleşmeden doğan gereksinimleri uygun şekilde karşılamalıdır.

İLGİLİ YASAL MEVZUAT

YAYIN TARİHİ

 

T.C. ANAYASASI

 

09/11/1982

 

5237 sayılı Türk Ceza Kanunu’nun (“TCK”)

135. maddesi kişisel verilerin kaydedilmesi

136. maddedeki verileri hukuka aykırı olarak verme veya ele geçirme

138. maddedeki verileri yok etmeme

12/10/2004

 

5651 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun

4/5/2007

 

5070 Elektronik İmza kanunu

 

9/8/2016

 

5809 Sayılı Kanun Elektronik Haberleşme Kanunu

24.11.2016

 

6698 KİŞİSEL VERİLERİN KORUNMASI KANUNU

24/3/2016

 

5846 sayılı Fikir ve Sanat Eserleri Kanunu

1/1/1952

 

Bilgi ve İletişim Güvenliği Rehberi, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı,

24/7/2020

 

 

FC ilgili sözleşmeleri

 

 

ve İlgili diğer mevzuat …

 

 

 

  

ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ UYUM YASALARI

ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ - UYUM YASALARI

A.18.1.1 Kurum, ilgili tüm yasal, düzenleyici ve sözleşmeden doğan gereksinimleri uygun şekilde karşılamalıdır.

İLGİLİ YASAL MEVZUAT

YAYIN TARİHİ

 

T.C. ANAYASASI

 

09/11/1982

 

5237 sayılı Türk Ceza Kanunu’nun (“TCK”)

135. maddesi kişisel verilerin kaydedilmesi

136. maddedeki verileri hukuka aykırı olarak verme veya ele geçirme

138. maddedeki verileri yok etmeme

12/10/2004

 

5651 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun

4/5/2007

 

5070 Elektronik İmza kanunu

 

9/8/2016

 

5809 Sayılı Kanun Elektronik Haberleşme Kanunu

24.11.2016

 

6698 KİŞİSEL VERİLERİN KORUNMASI KANUNU

24/3/2016

 

5846 sayılı Fikir ve Sanat Eserleri Kanunu

1/1/1952

 

Bilgi ve İletişim Güvenliği Rehberi, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı,

24/7/2020

 

 

FC ilgili sözleşmeleri

 

 

ve İlgili diğer mevzuat …