K
kehkesan
Misafir
Misafir
Bilgi Güvenliği El Kitabı TS ISO/IEC 27001 (MART2006)
Bu El Kitabı yazılı onayı alınmadan kısmen veya tamamen çoğaltılamaz, her hakkı saklıdır.
İlave kopyalar için lütfen başvurunuz
1.GİRİŞ
Genelde bilgi güvenliği denilince hacker veya firewall gibi konular ile sınırlandırılmış oluyor. Oysaki antivirüs programları ve firewall yazılımları, kurumları dışarıdan gelecek saldırılara belli bir yere kadar koruyabilir. Kurumsal bilgiler ise aslında hem dışarıdan hem de içeriden gelebilecek türlü tehditlerle karşı karşıyadır. Günümüzde her türlü otomasyonun en kritik sorunu bilgi güvenliğidir.
Bu doküman;’da kullanılan bilgi sistemlerinin güvenliğinin sağlanması için minimum uyulması gereken kuralları belirtmektedir. Bilgi, organizasyonlara değer katan ve bu nedenle korunması gereken kaynaktır.
Bilişim sistemleri ve teknolojilerinin hızla gelişmekte ve değişmekte olduğu düşünüldüğünde bilişim sistemlerini organize ederken bilginin gizliliği, bütünlüğü ve erişebilirliği işletmemizde özel önem kazanmıştır.
İşletmemizde,her türlü bilginin elektronik ortamda tutulması ile birlikte bunun kullanımı, paylaşımı ve iletimi bilgi güvenliği açısından kritik öneme sahiptir. Bilginin kurumlar arasında iletişimi ve ayrıca internete açık olması bilgi güvenliği riskini daha fazla arttırmaktadır.
Güvenliğin ilk halkası sisteme kendini tanıtma ve tanınma: kişisel şifreler, biyometrik
tanınma ve giriş anahtarlarıdır.
İkinci halka ağ güvenliğidir. Yani işletim sistemi güvenliği, kullanıcı yetkileri, IP güvenliği ve DNS güvenliğidir.
Üçüncü halka web güvenliğidir. Yani merkezi ve dağıtılmış güvenlik duvarları, arındırılmış alanlar, açık anahtar altyapısı, dijital şifreleme, dijital sertifikalar ve dijital imza, sanal özel ağlar ve atak belirleme sistemleridir.
Son halka sunucuların bilgi güvenlikleri için bakım kontrolleridir.
2. ’NUN BİLGİ GÜVENLİĞİ POLİTİKASI
ISO 27001 risk yönetimi ve risk işleme planlarını , görev ve sorumlulukları, iş devamlılığı planlarını , acil durum olay yönetimi prosedürleri hazırlanmasını ve uygulamada bunların kayıtlarının tutmasını gerektirir.Tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliği politikası yayınlanmış ve personel bilgi güvenliği ve tehditler hakkında bilinçlendirilmiştir. Seçilen kontrol hedeflerinin ölçülmesi ve kontrollerin amacına uygunluğunun ve performansının sürekli takip edildiği yaşayan bir süreç olarak bilgi güvenliği yönetimi ancak yönetimin aktif desteği ve personelin katılımcılığıyla başarılabilir.
İşletmemizin sahip olduğu ISO9001:2008 sistemine dahil olan bu BGYS ts-27001için gerekli temel yapı ISO9001:2008 standartlarına bağlı kalarak hazırlanmıştır.
3.BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİNİN TANIMI
O kurum için öncelikle hangi varlıklar daha değerli, iş süreçlerinin hangi aşamasında hangi kişilerle muhatap olunuyor, tüm bu detaylar ortaya konuluyor. birçok kişinin bilgi güvenliği denildiğinde aklına sadece "bilişim güvenliği”nin gelmesi bizi , hangi verinin, değerli bilgi olduğunu tespit etmekle başlayip, Risk analizlerini yapmaya ve sonunda da eldeki tum bilgileri korunmaya yönlendirdi.Biz cok genis bir musteri portföyune ve tamamen ototmasyona bagli yapilan calismalara sahip bir firmayiz.Dolayısıyla öncelikli odağımız bilginin korunması. Bunu kapıya adam dikerek yapmak yerine teknolojik önlemler alarak yapmaya calisiyoruz.
Bilgi Güvenliği Yönetim sistemi ,’nun bilişim sistemini tasarlarken ve işletirken Bilgi Güvenliği konusunda uyulması gereken kuralları
açıklamaktadır. Bu doküman en üst düzey yöneticiden en alt düzey çalışana kadar bütün kurum çalışanlarını ilgilendirmektedir. Bütün çalışanlar bu doküman içerisinde kendisi ile ilgili bölümleri okumalı ve tatbik etmelidir.Dokümanın en son sayfasındaki “Bilgi
Güvenliği Politikası Onayı” formunu bütün çalışanların imzalaması gerekmektedir. Bu doküman içerisinde belirtilen güvenlik politikalarını ihlal eden Kurum çalışanları hakkında mevcut yasalar çerçevesinde idari soruşturma açılacaktır.
Bilgi Güvenliği yönetim sitemi içerisinde kullanılacak olan tüm kısaltmalar tablosunda tanımlanmıştır.
3.1. BİLGİ SİSTEMLERİNİN GENEL KULLANIMI
Amaç;herhangi kimse üzerinde kısıtlayıcı politikalar üretmek değil aksine açıklık, güven
ve bütünlüğe yönelik işletim kültürünü yerleştirmektir. Bu sistem,bilerek veya bilmeyerek yapılan yasadışı veya zararlı eylemlere karşı çalışanların ve kurumun haklarını korumaya yöneliktir. Bilişim ile alakalı sistemler (bilgisayar, yazılım, işletim sistemleri, kayıt cihazları, e-mail, www, ftp vs) kuruma hizmet için kullanılmalıdır. Tüm çalışanların içerisine dahil olduğu bu takım çalışması sayesinde bütün bilgisayar kullanıcıları günlük aktivitelerini yerine getirebilmek için bu sistemin kurallarını bilmenin ve uygulamanın sorumluluğunu taşır.
Uygunsuz kullanımlar;virüs saldırılarına, ağ sistemlerinin çökmesine, hizmetlerin aksamasına sebep olabilir ve bunlar yasal yaptırımlara dönüşebilir.
3.2. BİLGİ SİSTEMLERİNİN GENEL KAPSAMI
Bu bilgi güvenliği sistemi, işletmemizin bütün çalışanları, sözleşmelileri ve işletmemiz adı altında çalışan bütün kişiler ve operasyonda kullanılan tüm bilgisyar ortamları için geçerlidir. Aynı zamanda işletmemizin sahip olduğu ve kiraladığı bütün cihazlar içinde geçerlidir.
3.2.1.Genel Kullanım ve Sahip Olma
Kullanıcılar; mevcut ağ yönetiminin kişilere makul seviyede mahremiyet sağlasa da işletmemiz bünyesinde oluşturulan tüm verilerin işletmemiz mülkiyetinde olduğunu bilir. Mevcut bilgi sistemlerini tehlikelere karşı koruyabilmek için,Yönetim kurum ağ cihazlarına yüklenmiş olan kişisel bilgilerin mahremiyetini garanti edemez.
Çalışanlar bilgi sistemlerinden kendi kişisel kullanımları için makul seviyede yararlanabilirler.
Yönetim,bilgi sistemlerinin kişisel kullanımı için gerekli kuralları (yetki seviyelerini) Merkezin koyduğu genel güvenlik politikaları doğrultusunda belirlemiş ve kullanıcı yetkilendirmelerini yapmıştır. (bkn.yetkiler tablosu)
Kullanıcı herhangi bir bilginin çok kritik olduğunu düşünürse Genel müdürlük bilgisi dahilinde Bilgi işlem departmanı aracılığıyla o bilgiyi şifrelendirebilir.
Güvenlik ve ağın bakımı amacıyla yetkili kişiler(Bilgi işlem departmanı) cihazları, sistemleri ve ağ trafiğini “Denetim Prosedürüne istinaden” gözlemleyebilir, periyodik olarak denetleme hakkına sahiptir.
3.2.2. Güvenlik ve Kişiye Ait Bilgiler
Mevcut kritik bilgilere yetkisiz kişilerin erişimini engellemek için gerekli erişim hakları tanımlanmıştır. Şifreleri güvenli bir şekilde tutmak ve işletmede çalışan başka kimselerle dahi paylaşmamak zorunludur. Sistemdeki seviyeli şifreler iki ayda bir ,kullanıcı seviyeli şifreler ise an az bir ayda bir değiştirilmelidir. Şifreleme bilgisayar güvenliği için önemli bir özelliktir. Kullanıcı hesapları için ilk güvenlik katmanıdır. Zayıf seçilmiş bir şifre ağ güvenliğini tümüyle riske atabilir. Kurum çalışanları ve uzak noktalardan erişenler ilgili talimatta belirtilen kurallar dahilinde şifreleme yapmakla sorumludurlar.
Bütün PC ve laptop kullanıcıları bilgisayarların başından ayrıldıkları zaman“Ctrl+Alt+Delete” ile şifre konumuna getirmelidirler. Laptop bilgisayarlar güvenlik açıklarına karşı daha dikkatle korunmalıdır. Bios ve işletim sistemi şifreleri aktif hale getirilmelidir. Sadece gerekli olan bilgiler bu cihazlar üzerinde saklanmalıdır.
Laptop bilgisayarın çalınması/kaybolması durumunda, durum fark edildiğinde hemen Bilgi Işlem Departmanına haber verilmelidir.
Bütün cep telefonu ve PDA (Personal Digital Assistant) cihazları işletmenin ağı ile senkronize olsun veya olmasın şifreleri aktif halde olmalıdır. Kullanılmadığı durumlarda kablosuz erişim (Kızılötesi, Bluetooth, vs) özellikleri aktif halde olmamalıdır ve mümkünse anti-virus programları ile yeni nesil viruslere karşı korunmalıdır.
Kurum ağına bağlı bütün bilgisayarlar düzenli olarak güncel anti-virus yazılımı ile taranmalıdır. Çalışanlar bilinmeyen kimselerden gelen dosyaları açarken çok dikkatli olmalıdırlar. Çünkü bu mailler virus, e-mail bombaları ve Truva atı gibi zararlı kodları içerebilirler.
Bütün kullanıcılar ağın kaynaklarının verimli kullanımı konusunda dikkatli olmalıdırlar.
E-posta ile gönderilen büyük dosyaların sadece ilgili kullanıcılara gönderildiğinden emin
olmalıdırlar.
Çalışanlar tarafından haber gruplarına veya işletme dışına gönderilen maillerde şöyle bir açıklama olmalıdır.
“Bu e-posta ve ekleri sadece gönderilen adres sahiplerine aittir. Bu mesajın yanlışlıkla
tarafınıza ulaşmış olması halinde, lütfen göndericiye derhal bilgi veriniz ve mesajı sisteminizden siliniz. Firmamız bu mesajın içeriği ve ekleri ile ilgili olarak hukuksal hiçbir sorumluluk kabul etmez. ”
Bütün kullanıcılar kendi bilgisayar sisteminin güvenliğinden sorumludur. Bu bilgisayarlardan kaynaklanabilecek işletmeye veya kişiye yönelik saldırılardan (örnek, elektronik bankacılık vs.) sistemin sahibi sorumludur.
3.2.3. Uygunsuz Kullanım
Genel olarak aşağıdaki eylemler yasaklanmıştır. Herhangi bir kullanıcı işletmenin
kaynaklarını kullanarak hiçbir şart altında herhangi bir yasadışı aktivitede bulunamaz.
3.2.3.1.Sistem ve ağ aktiviteleri
Aşağıdaki aktiviteler hiçbir istisna olmadan kesinlikle yasaklanmıştır.
..Herhangi bir kişi veya Kurum’un izinsiz kopyalama, ticari sır, patent veya diğer şirket
bilgileri, yazılım lisanları vs haklarını çiğnemek.
.. Kitapların izinsiz kopyalanması, magazinlerdeki fotoğrafların dijital formata
dönüştürülmesi, lisan gerektiren yazılımların kopyalanması.
.. Zararlı programların (örnek, virus, solucan, truva atı, e-mail bombaları vs) ağa veya
sunuculara bulaştırılması.
.. Kendi hesabınızın şifresini başkalarına vermek veya kendi hesabınızı kullandırmak. Bu,
evden çalışırken aile bireylerini de kapsar.
.. Kurumun bilgisayarlarını kullanarak taciz veya yasadışı olaylara karışmak.
.. Ağ güvenliğini etkilemek (örnek, bir kişinin yetkili olmadığı halde sunuculara erişmek
istemesi) veya ağ haberleşmesini bozmak (paket sniffing, paket spoofing, denial of
service vs. ).
.. Port veya ağ taraması yapmak.
.. Kullanıcı kimlik tanıma yöntemlerinden kaçmak.
.. Program/script/ komut kullanarak kullanıcının bağlantısını etkilemek.
.. Kurum bilgilerini kurum dışından üçüncü şahıslara iletmek.
.. Kullanıcıların kişisel bilgisayarları üzerine Bilgi Işlem Şubesinin onayı alınmaksızın
herhangi bir çevre birimi bağlantısı yapması,
.. Cihaz, yazılım ve verinin izinsiz olarak kurum dışına çıkarılması,
.. Kurumun politikaları olarak belirlediği programlar dışında kaynağı belirsiz olan
programları (Dergi CD’leri veya internetten indirilen programlar vs) kurmak ve
kullanmak yasaktır.
3.2.3.2.E-mail ve Haberleşme Aktiviteleri
.. Kurum dışından web posta sistemini güvenliğinden emin olunmayan bir bilgisayardan
kullanmak.
.. Istenilmeyen e-posta mesajlarının iletilmesi. Bunlar karşı tarafın özellikle istemediği
reklam mesajlarını içeren mailler (spam mail) olabilir.
.. E-posta veya telefon vasıtası ile taciz etmek.
.. Zincir e-postaları oluşturmak veya iletmek.
.. İş ile alakalı olmayan mesajları birçok haber gruplarına iletmek.
4.BGYS İÇİN GENEL GEREKSİNİMLER
Bu Bilgi güvenliği sistemi ’nun tüm ticari faaliyetlerini ve karşılaştığı/karşılaşabileceği riskler bağlamında kurulmuştur.Yönetim,TS 27001 standardının gereği olarak bu sistemi işletmeye,izlemeye,belli aralıklarla gözden geçirmeye ve geliştirmeye yönelik prosesler belirlemiştir.
4.1.BGYS kurulumunda belirlenen riskler ve yönetimi için gerekli tespitlerin yapılması
Şifreleme bilgisayar güvenliği için önemli bir özelliktir. Kullanıcı hesapları için ilk güvenlik katmanıdır. Zayıf seçilmiş bir şifre ağ güvenliğini tümüyle riske atabilir.Çalışanlar ve uzak noktalardan erişenler işletmemizce belirtilen kurallar dahilinde şifreleme yapmakla sorumludurlar.Şifreleme,kullanıcı hesabı olan (bilgisayar ağına erişen ve şifre gerektiren kişiler) bütün kullanıcıları kapsamaktadır.
Bütün sistemdeki seviyeli şifreler (örnek, Teknik, Administrator vs) en az iki ayda bir
değiştirilmelidir.Sistem yöneticisi her sistem için farklı şifreler kullanmalıdır.Şifreler e-posta iletilerine veya herhangi bir elektronik forma eklenmemelidir.Kullanıcı, şifresini başkası ile paylaşmaması, kağıtlara yada elektronik ortamlara yazmaması konusunda eğitilmelidir.Kurum çalışanı olmayan harici kişiler için açılan kullanıcı hesaplarının şifreleri de kolayca kırılamayacak güçlü bir şifreye sahip olmalıdır.
İşletmemizdeki bütün dahili sunucuların yönetiminden BGYS sistem yöneticileri sorumludur.
Sunucu konfigurasyonları sadece bu grup tarafından yapılmaktadır.Bütün sunucular ilgili kurumun yönetim sistemine kayıtlıdır. Sunucuların yeri ve sorumlu kişisi,Donanım ve işletim sisteminin tanımı,Ana görevi ve üzerinde çalışan uygulamalar,Işletim sistemi versiyonları ve yamalar gibi bütün bilgiler tek bir merkezde güncel olarak tutulmaktadır.
İşletmemizin veritabanı sistemlerinin kesintisiz ve güvenli şekilde işletilmesine yönelik standartlar tanımlanmıştır.
Personelin ve kritik kurumsal bilgilerinin korunması amacıyla sistem odasına, kurumsal bilgilerin bulundurulduğu sistemlerin yer aldığı tüm çalışma alanlarına ve kurum binalarına yetkisiz girişlerin yapılmasını önlemek amacı taşımaktadır.
İşletmemizde,bilgisayar ağında sistem açıklarını tespit etmek ve gerekli tedbirlerin alınmasını
sağlamak amacıyla yetkili firmalara risk analizi yaptırılmasına dair kurallar belirlenmiştir.
Risk analizi işletme içerisinde veya dışındaki herhangi bir cihaz üzerinden yapılabilir.
Risk analizi, uygulama programları, sunucular, ağ veya yönetim sistemleri üzerinde yapılabilmektedir.
Sistemi mükemmelleştirmeyi amaçlayan bu programın çalıştırılması, geliştirilmesi ve
uygulaması Bilgi işlem departmanı sorumluluğundadır. Risk analizi süresince çalışanlar gerekli anlarda yardımcı olmakla yükümlüdür.
Risk değerlendirme raporları dışardan alınan destekle hazırlanırsa elden teslim edilecek ve rapor, söz konusu risk ve hassasiyetler giderilene dek Bilgi Işlem Biriminde çevresel ve fiziksel güvenlik önlemleri alınmış bir ortamda saklanacaktır.
Çalışanların, bilgi güvenliği ile ilgili acil bir durum oluştuğunda sorumlulukları dahilinde gerekli müdahaleyi yapabilmelerine yönelik standartlar belirlenmiştir. Izlenen olayın uygun şekilde raporlanması ve belirlenen önlem ve acil durum faaliyetlerinin uygulanması önemlidir.
Acil durum senaryoları yaşanmadan önce uygun acil durum hareket planının yapılması esastır.
Bilgi güvenliğine yönelik tehlike senaryolarından bazıları sistemlere yapılacak direkt saldırılar, zararlı kod içeren programların sisteme sızması, bilginin hırsızlığı, dışarıdan veya içeriden gerçekleştirilebilecek saldırı öncesi taramalar olarak tanımlanabilir.
Amaç, kurumun bilgisayar ağının (PC, sunucu, firewall, ağ anahtarı vs) güvenlik açıklarına karşı taranması hususunda politika belirlemektir. Çünkü,Bilgi kaynaklarının bütünlüğünü ve gizliliğini sağlamak,Kurumun güvenlik politikalarına uyumunun kontrolü için güvenlik açıklarını tespit etmek ve Gerektiği zaman kullanıcıların veya sistemin aktivitelerini kontrol etmek bu standardın temel gerekliliğidir.
İşletmedeki sahip olunan bütün bilgisayar ve haberleşme cihazlarını kapsamaktadır.İşletme bünyesinde bulunan fakat sahip olmadığı herhangi bir sistemi de kapsamaktadır. Denetim yapan kişi veya kurum hizmetlerin durdurulması (Denial of Service) aktivitesi yapmayacaktır.
4.2.BGYS’nin gerçekleştirilmesi ve işletilmesi
Bilgi güvenlik risklerini yönetmek için uygun yöntem,kaynaklar,sorumluluklar ve öncelikleri tanımlanmış,bir risk inceleme planı hazırlanmıştır.Bu risk planına istinaden yapılan düzenli denetimlerde sistem ve kontrol etkinliğini tanımlamak için, karşılaştırılabilir/yeniden üretilebilir sonuçlar elde etmek için ölçümlerin nasıl yapılacağı tanımlanmıştır.
Yapılan düzenli denetlemelerde,kişilere devredilen yada kendiliğinden gerçekleşen güvenlik faaliyetlerinin beklenen şekilde çalışıp çalışmadığını tespit etmek esastır.
Güvenlik denetimlerinin sonuçları,ihlal olayları ve sıklıkları,alınan önlemler ve etkinlikleri,tüm öneriler ve geri bildirimler dikkate alınarak yılda iki kez(6ayda bir) BGYS’ni gözden geçirme toplantısı yapılır.Bu toplantının içeriği işletmenin mevcut ISO9001:2000 sistemine göre yürütülür.
Personele;BGYS’nin işleyişi ve kaynakların yönetimiyle ilgili eğitimlerin yanısıra güvenlik ihlallerinde hemen tespit edebilme ve Bilgi işlem departmanına haber verme gibi konularda da eğitimler sürekli verilmekte ve kayıt altına alınmaktadır
4.3.BGYS dökumantasyon sistemi
Şekil-1den de anlaşılacağı üzere dökumantasyon sisteminin genel yapısında yönetimin tüm BGYS kayıtlarında ki eylemlerin yürütülmesi ve izlenebilirliğinde bir geri dönüşüm mevcuttur.Seçilen kontrol mekanızmasından geriye doğru risk değerlendirme ve risk işleme proseslerinin sonuçlarına,BGYS politika ve amaçlarına yönelik çalışmak esas alınmıştır.
Bu amaçla hazırlanan tüm BGYS dökumantasyon sistemi, işletmenin sahip olduğu ISO9001:2000 satndartları gereği hazırlanmış olan JCC-P1 belge-veri kontrolü ve kalite kayıtları prosedürüne göre işlenmiş ve yürütülmektedir.Dökumantasyon hazırlığında konunun uzmanı olarak Bilgi işlem Departmanı Müdürü ve destek birim olarak olarak Klite Müdürlüğü birlikte çalışmış,işletmenin temel politikası olan sistemlerdeki bütünlük korunmuştur.BGYS dökumanlarının hazırlama ve dağıtım kontrol mekanızması Kalite Müdürlüğünce yürütülmektedir.
5.YÖNETİMİN SORUMLULUĞU
yönetimi,BGYS’nin kurulumu,gerçekleştirilmesi ve işletimi,izlenmesi ve sürekli iyileştirilmesi için kararlılığını BGYS politikasına bağlı olarak çalışacağını taahüt etmiştir.Bunun için gerekli tüm kaynağı sağlama,belirlenen riskleri ve kabul edilebilirlik seviyelerini tespitlemiş iç denetimlerle kontrol altına almıştır.Tüm personelin bilgi güvenliği konusunda gerekli önemi vermesini sağlamakla yükümlüdür.
Çalışanlar,BGYS için gerekli kayıtları tutmak ve Bilgi işlem Departmanına raporlamakla sorumlu olduğu bilincindedir.
6.İÇ DENETİMLER
İşletmemizdeki BGYS, ts-27001 standardının gerekleri ve ilgili tüm yasalarla uyumlu olup olmadığı,tanımlanan bilgi güvenliği gereksinimlerine uyumluluğu ve etkin şekilde gerçekleşip gerçekleşmediği konularında yılda iki kez(6ayda bir) genel kontrolden geçirilir.Sistemin sürekliliğini takip açısından gün içerisinde de Bilgi işlem departmanınca gerekli kontroller ilgili ISO9001:2000 prosedürleri gereğince yapılır.
Saptanan uygunsuzlukların ve bunların nedenlerinin giderilmesi için gecikme yaşanmadan önlemlerin alınması esastır.İzleme faaliyetleri,alınan önlemlerin doğrulanmasını ve doğrulama sonuçlarının raporlanmasını içermektedir.
7.GÖZDEN GEÇİRMELER
Sistemin uygunluğunu,doğruluğunu ve etkinliğini görebilmek için yılda iki kez(6ayda bir) ilgili ISO9001:2000 prosedürleri gereğince BGYS gözden geçirme toplantısı yapılır.Toplantı içeriğinin KYS’den farkı sadece BGYS verilerinin,BGYS’de saptanan uygunsuzlukların, BGYS performansının ve performansını etkileyen sebeplerin, BGYS prosedürlerinin, BGYS ile ilgili açılan DÖF’lerin ve iyileştirmelerin konuşulmasıdır.
Sonucunda elde edilecek toplantı tutanağında varsa;risk değerlendirme ve işleme planlarındaki değişiklikler,eklenmesi gereken prosesler,güvenlik gereksinimleri,eklenmesi gereken yasal düzenlemeler,yenilenmesi gereken risk kabul seviyeleri,kaynak ihtiyaçları yzılmalıdır.
8.BGYS İYİLEŞTİRME VE ÖNLEYİCİ FAALİYETLER
8.1.Sürekli iyileştirme
İşletmemizdeki BGYS’nin, sürekli iyileştirilmesi için temel araçlarımız; BGYS politika ve hedefleri, gözden geçirme toplantıları, iç denetimler, doğrulama kontrolleri(risk değerlendirmeler), üçüncü taraf denetimleri, yasal denetimler, veri analizi, uygunsuzluklar ile düzeltici ve önleyici faaliyetlerdir. Bu süreçler sonunda iyileştirme alanları belirlenerek, uygulamalar yapılır ve etkinlik izlenir ve bu faaliyetler ISO 9001:2008 sisteminin validasyon planı dahilinde BGYS’nin gözden geçirme girdisi olarak da değerlendirilerek ihtiyaç duyulan değişiklikler yapılır.
8.2.Düzeltici faaliyetler
İşletmemizdeki BGYS’de tespitlenen her türlü uygunsuzluk ISO9001:2000 KYS’de tanımlandığı üzere takip edilir.Karşılaşılan problemin köküne (ana kaynağına) inebilmek için kayıt edilerek analiz yapılır. Bu şekilde, problemin çözülmesi ve bir daha oluşmaması için önlem alınır. Ayrıca, potansiyel problemleri önlemeye yardımcı olarak da bu bilgiler kullanılacaktır (önleyici işlem). Tüm yapılanlar, alınan önlemler etkinlik açısından daha sonra iç denetim veya benzer yöntemlerle(risk değerlendirme planlarınca) gözden geçirilecektir. Düzeltici faaliyetler ISO 9001:2000 KYS ve TS27001 BGYS’nin gözden geçirilmesinde girdi olarak ele alınır. Düzeltici faaliyetlerin önceliği, risk değerlendirme sonuçlarına bağlı olarak belirlenir.
8.3.Önleyici faaliyetler
Potansiyel uygunsuzlukların nedenlerini ortadan kaldırmak ve meydana gelmelerini önlemek için iç denetimler, periyodik kontroller(risk değerlendirme planlarına göre) , sürekli geliştirme faaliyetleri (politika ve hedefler dahil) BGYS’ni gözden geçirme toplantıları ve haftalık tespitler kullanılmaktadır. Yapılacak Önleyici çalışmalar potansiyel problemlerin etkisine uygun olacaktır. Esas olan, varsa değişen risklerin tanımlanması ve öenmli ölçüde değişen riskler üzerinde yoğunlaşarak önleyici faaliyet gerçekleştirmektir.Önleyici faaliyetlerin önceliği, risk değerlendirme sonuçlarına bağlı olarak belirlenir.
Bu El Kitabı yazılı onayı alınmadan kısmen veya tamamen çoğaltılamaz, her hakkı saklıdır.
İlave kopyalar için lütfen başvurunuz
1.GİRİŞ
Genelde bilgi güvenliği denilince hacker veya firewall gibi konular ile sınırlandırılmış oluyor. Oysaki antivirüs programları ve firewall yazılımları, kurumları dışarıdan gelecek saldırılara belli bir yere kadar koruyabilir. Kurumsal bilgiler ise aslında hem dışarıdan hem de içeriden gelebilecek türlü tehditlerle karşı karşıyadır. Günümüzde her türlü otomasyonun en kritik sorunu bilgi güvenliğidir.
Bu doküman;’da kullanılan bilgi sistemlerinin güvenliğinin sağlanması için minimum uyulması gereken kuralları belirtmektedir. Bilgi, organizasyonlara değer katan ve bu nedenle korunması gereken kaynaktır.
Bilişim sistemleri ve teknolojilerinin hızla gelişmekte ve değişmekte olduğu düşünüldüğünde bilişim sistemlerini organize ederken bilginin gizliliği, bütünlüğü ve erişebilirliği işletmemizde özel önem kazanmıştır.
İşletmemizde,her türlü bilginin elektronik ortamda tutulması ile birlikte bunun kullanımı, paylaşımı ve iletimi bilgi güvenliği açısından kritik öneme sahiptir. Bilginin kurumlar arasında iletişimi ve ayrıca internete açık olması bilgi güvenliği riskini daha fazla arttırmaktadır.
Güvenliğin ilk halkası sisteme kendini tanıtma ve tanınma: kişisel şifreler, biyometrik
tanınma ve giriş anahtarlarıdır.
İkinci halka ağ güvenliğidir. Yani işletim sistemi güvenliği, kullanıcı yetkileri, IP güvenliği ve DNS güvenliğidir.
Üçüncü halka web güvenliğidir. Yani merkezi ve dağıtılmış güvenlik duvarları, arındırılmış alanlar, açık anahtar altyapısı, dijital şifreleme, dijital sertifikalar ve dijital imza, sanal özel ağlar ve atak belirleme sistemleridir.
Son halka sunucuların bilgi güvenlikleri için bakım kontrolleridir.
2. ’NUN BİLGİ GÜVENLİĞİ POLİTİKASI
ISO 27001 risk yönetimi ve risk işleme planlarını , görev ve sorumlulukları, iş devamlılığı planlarını , acil durum olay yönetimi prosedürleri hazırlanmasını ve uygulamada bunların kayıtlarının tutmasını gerektirir.Tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliği politikası yayınlanmış ve personel bilgi güvenliği ve tehditler hakkında bilinçlendirilmiştir. Seçilen kontrol hedeflerinin ölçülmesi ve kontrollerin amacına uygunluğunun ve performansının sürekli takip edildiği yaşayan bir süreç olarak bilgi güvenliği yönetimi ancak yönetimin aktif desteği ve personelin katılımcılığıyla başarılabilir.
İşletmemizin sahip olduğu ISO9001:2008 sistemine dahil olan bu BGYS ts-27001için gerekli temel yapı ISO9001:2008 standartlarına bağlı kalarak hazırlanmıştır.
3.BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİNİN TANIMI
O kurum için öncelikle hangi varlıklar daha değerli, iş süreçlerinin hangi aşamasında hangi kişilerle muhatap olunuyor, tüm bu detaylar ortaya konuluyor. birçok kişinin bilgi güvenliği denildiğinde aklına sadece "bilişim güvenliği”nin gelmesi bizi , hangi verinin, değerli bilgi olduğunu tespit etmekle başlayip, Risk analizlerini yapmaya ve sonunda da eldeki tum bilgileri korunmaya yönlendirdi.Biz cok genis bir musteri portföyune ve tamamen ototmasyona bagli yapilan calismalara sahip bir firmayiz.Dolayısıyla öncelikli odağımız bilginin korunması. Bunu kapıya adam dikerek yapmak yerine teknolojik önlemler alarak yapmaya calisiyoruz.
Bilgi Güvenliği Yönetim sistemi ,’nun bilişim sistemini tasarlarken ve işletirken Bilgi Güvenliği konusunda uyulması gereken kuralları
açıklamaktadır. Bu doküman en üst düzey yöneticiden en alt düzey çalışana kadar bütün kurum çalışanlarını ilgilendirmektedir. Bütün çalışanlar bu doküman içerisinde kendisi ile ilgili bölümleri okumalı ve tatbik etmelidir.Dokümanın en son sayfasındaki “Bilgi
Güvenliği Politikası Onayı” formunu bütün çalışanların imzalaması gerekmektedir. Bu doküman içerisinde belirtilen güvenlik politikalarını ihlal eden Kurum çalışanları hakkında mevcut yasalar çerçevesinde idari soruşturma açılacaktır.
Bilgi Güvenliği yönetim sitemi içerisinde kullanılacak olan tüm kısaltmalar tablosunda tanımlanmıştır.
3.1. BİLGİ SİSTEMLERİNİN GENEL KULLANIMI
Amaç;herhangi kimse üzerinde kısıtlayıcı politikalar üretmek değil aksine açıklık, güven
ve bütünlüğe yönelik işletim kültürünü yerleştirmektir. Bu sistem,bilerek veya bilmeyerek yapılan yasadışı veya zararlı eylemlere karşı çalışanların ve kurumun haklarını korumaya yöneliktir. Bilişim ile alakalı sistemler (bilgisayar, yazılım, işletim sistemleri, kayıt cihazları, e-mail, www, ftp vs) kuruma hizmet için kullanılmalıdır. Tüm çalışanların içerisine dahil olduğu bu takım çalışması sayesinde bütün bilgisayar kullanıcıları günlük aktivitelerini yerine getirebilmek için bu sistemin kurallarını bilmenin ve uygulamanın sorumluluğunu taşır.
Uygunsuz kullanımlar;virüs saldırılarına, ağ sistemlerinin çökmesine, hizmetlerin aksamasına sebep olabilir ve bunlar yasal yaptırımlara dönüşebilir.
3.2. BİLGİ SİSTEMLERİNİN GENEL KAPSAMI
Bu bilgi güvenliği sistemi, işletmemizin bütün çalışanları, sözleşmelileri ve işletmemiz adı altında çalışan bütün kişiler ve operasyonda kullanılan tüm bilgisyar ortamları için geçerlidir. Aynı zamanda işletmemizin sahip olduğu ve kiraladığı bütün cihazlar içinde geçerlidir.
3.2.1.Genel Kullanım ve Sahip Olma
Kullanıcılar; mevcut ağ yönetiminin kişilere makul seviyede mahremiyet sağlasa da işletmemiz bünyesinde oluşturulan tüm verilerin işletmemiz mülkiyetinde olduğunu bilir. Mevcut bilgi sistemlerini tehlikelere karşı koruyabilmek için,Yönetim kurum ağ cihazlarına yüklenmiş olan kişisel bilgilerin mahremiyetini garanti edemez.
Çalışanlar bilgi sistemlerinden kendi kişisel kullanımları için makul seviyede yararlanabilirler.
Yönetim,bilgi sistemlerinin kişisel kullanımı için gerekli kuralları (yetki seviyelerini) Merkezin koyduğu genel güvenlik politikaları doğrultusunda belirlemiş ve kullanıcı yetkilendirmelerini yapmıştır. (bkn.yetkiler tablosu)
Kullanıcı herhangi bir bilginin çok kritik olduğunu düşünürse Genel müdürlük bilgisi dahilinde Bilgi işlem departmanı aracılığıyla o bilgiyi şifrelendirebilir.
Güvenlik ve ağın bakımı amacıyla yetkili kişiler(Bilgi işlem departmanı) cihazları, sistemleri ve ağ trafiğini “Denetim Prosedürüne istinaden” gözlemleyebilir, periyodik olarak denetleme hakkına sahiptir.
3.2.2. Güvenlik ve Kişiye Ait Bilgiler
Mevcut kritik bilgilere yetkisiz kişilerin erişimini engellemek için gerekli erişim hakları tanımlanmıştır. Şifreleri güvenli bir şekilde tutmak ve işletmede çalışan başka kimselerle dahi paylaşmamak zorunludur. Sistemdeki seviyeli şifreler iki ayda bir ,kullanıcı seviyeli şifreler ise an az bir ayda bir değiştirilmelidir. Şifreleme bilgisayar güvenliği için önemli bir özelliktir. Kullanıcı hesapları için ilk güvenlik katmanıdır. Zayıf seçilmiş bir şifre ağ güvenliğini tümüyle riske atabilir. Kurum çalışanları ve uzak noktalardan erişenler ilgili talimatta belirtilen kurallar dahilinde şifreleme yapmakla sorumludurlar.
Bütün PC ve laptop kullanıcıları bilgisayarların başından ayrıldıkları zaman“Ctrl+Alt+Delete” ile şifre konumuna getirmelidirler. Laptop bilgisayarlar güvenlik açıklarına karşı daha dikkatle korunmalıdır. Bios ve işletim sistemi şifreleri aktif hale getirilmelidir. Sadece gerekli olan bilgiler bu cihazlar üzerinde saklanmalıdır.
Laptop bilgisayarın çalınması/kaybolması durumunda, durum fark edildiğinde hemen Bilgi Işlem Departmanına haber verilmelidir.
Bütün cep telefonu ve PDA (Personal Digital Assistant) cihazları işletmenin ağı ile senkronize olsun veya olmasın şifreleri aktif halde olmalıdır. Kullanılmadığı durumlarda kablosuz erişim (Kızılötesi, Bluetooth, vs) özellikleri aktif halde olmamalıdır ve mümkünse anti-virus programları ile yeni nesil viruslere karşı korunmalıdır.
Kurum ağına bağlı bütün bilgisayarlar düzenli olarak güncel anti-virus yazılımı ile taranmalıdır. Çalışanlar bilinmeyen kimselerden gelen dosyaları açarken çok dikkatli olmalıdırlar. Çünkü bu mailler virus, e-mail bombaları ve Truva atı gibi zararlı kodları içerebilirler.
Bütün kullanıcılar ağın kaynaklarının verimli kullanımı konusunda dikkatli olmalıdırlar.
E-posta ile gönderilen büyük dosyaların sadece ilgili kullanıcılara gönderildiğinden emin
olmalıdırlar.
Çalışanlar tarafından haber gruplarına veya işletme dışına gönderilen maillerde şöyle bir açıklama olmalıdır.
“Bu e-posta ve ekleri sadece gönderilen adres sahiplerine aittir. Bu mesajın yanlışlıkla
tarafınıza ulaşmış olması halinde, lütfen göndericiye derhal bilgi veriniz ve mesajı sisteminizden siliniz. Firmamız bu mesajın içeriği ve ekleri ile ilgili olarak hukuksal hiçbir sorumluluk kabul etmez. ”
Bütün kullanıcılar kendi bilgisayar sisteminin güvenliğinden sorumludur. Bu bilgisayarlardan kaynaklanabilecek işletmeye veya kişiye yönelik saldırılardan (örnek, elektronik bankacılık vs.) sistemin sahibi sorumludur.
3.2.3. Uygunsuz Kullanım
Genel olarak aşağıdaki eylemler yasaklanmıştır. Herhangi bir kullanıcı işletmenin
kaynaklarını kullanarak hiçbir şart altında herhangi bir yasadışı aktivitede bulunamaz.
3.2.3.1.Sistem ve ağ aktiviteleri
Aşağıdaki aktiviteler hiçbir istisna olmadan kesinlikle yasaklanmıştır.
..Herhangi bir kişi veya Kurum’un izinsiz kopyalama, ticari sır, patent veya diğer şirket
bilgileri, yazılım lisanları vs haklarını çiğnemek.
.. Kitapların izinsiz kopyalanması, magazinlerdeki fotoğrafların dijital formata
dönüştürülmesi, lisan gerektiren yazılımların kopyalanması.
.. Zararlı programların (örnek, virus, solucan, truva atı, e-mail bombaları vs) ağa veya
sunuculara bulaştırılması.
.. Kendi hesabınızın şifresini başkalarına vermek veya kendi hesabınızı kullandırmak. Bu,
evden çalışırken aile bireylerini de kapsar.
.. Kurumun bilgisayarlarını kullanarak taciz veya yasadışı olaylara karışmak.
.. Ağ güvenliğini etkilemek (örnek, bir kişinin yetkili olmadığı halde sunuculara erişmek
istemesi) veya ağ haberleşmesini bozmak (paket sniffing, paket spoofing, denial of
service vs. ).
.. Port veya ağ taraması yapmak.
.. Kullanıcı kimlik tanıma yöntemlerinden kaçmak.
.. Program/script/ komut kullanarak kullanıcının bağlantısını etkilemek.
.. Kurum bilgilerini kurum dışından üçüncü şahıslara iletmek.
.. Kullanıcıların kişisel bilgisayarları üzerine Bilgi Işlem Şubesinin onayı alınmaksızın
herhangi bir çevre birimi bağlantısı yapması,
.. Cihaz, yazılım ve verinin izinsiz olarak kurum dışına çıkarılması,
.. Kurumun politikaları olarak belirlediği programlar dışında kaynağı belirsiz olan
programları (Dergi CD’leri veya internetten indirilen programlar vs) kurmak ve
kullanmak yasaktır.
3.2.3.2.E-mail ve Haberleşme Aktiviteleri
.. Kurum dışından web posta sistemini güvenliğinden emin olunmayan bir bilgisayardan
kullanmak.
.. Istenilmeyen e-posta mesajlarının iletilmesi. Bunlar karşı tarafın özellikle istemediği
reklam mesajlarını içeren mailler (spam mail) olabilir.
.. E-posta veya telefon vasıtası ile taciz etmek.
.. Zincir e-postaları oluşturmak veya iletmek.
.. İş ile alakalı olmayan mesajları birçok haber gruplarına iletmek.
4.BGYS İÇİN GENEL GEREKSİNİMLER
Bu Bilgi güvenliği sistemi ’nun tüm ticari faaliyetlerini ve karşılaştığı/karşılaşabileceği riskler bağlamında kurulmuştur.Yönetim,TS 27001 standardının gereği olarak bu sistemi işletmeye,izlemeye,belli aralıklarla gözden geçirmeye ve geliştirmeye yönelik prosesler belirlemiştir.
4.1.BGYS kurulumunda belirlenen riskler ve yönetimi için gerekli tespitlerin yapılması
Şifreleme bilgisayar güvenliği için önemli bir özelliktir. Kullanıcı hesapları için ilk güvenlik katmanıdır. Zayıf seçilmiş bir şifre ağ güvenliğini tümüyle riske atabilir.Çalışanlar ve uzak noktalardan erişenler işletmemizce belirtilen kurallar dahilinde şifreleme yapmakla sorumludurlar.Şifreleme,kullanıcı hesabı olan (bilgisayar ağına erişen ve şifre gerektiren kişiler) bütün kullanıcıları kapsamaktadır.
Bütün sistemdeki seviyeli şifreler (örnek, Teknik, Administrator vs) en az iki ayda bir
değiştirilmelidir.Sistem yöneticisi her sistem için farklı şifreler kullanmalıdır.Şifreler e-posta iletilerine veya herhangi bir elektronik forma eklenmemelidir.Kullanıcı, şifresini başkası ile paylaşmaması, kağıtlara yada elektronik ortamlara yazmaması konusunda eğitilmelidir.Kurum çalışanı olmayan harici kişiler için açılan kullanıcı hesaplarının şifreleri de kolayca kırılamayacak güçlü bir şifreye sahip olmalıdır.
İşletmemizdeki bütün dahili sunucuların yönetiminden BGYS sistem yöneticileri sorumludur.
Sunucu konfigurasyonları sadece bu grup tarafından yapılmaktadır.Bütün sunucular ilgili kurumun yönetim sistemine kayıtlıdır. Sunucuların yeri ve sorumlu kişisi,Donanım ve işletim sisteminin tanımı,Ana görevi ve üzerinde çalışan uygulamalar,Işletim sistemi versiyonları ve yamalar gibi bütün bilgiler tek bir merkezde güncel olarak tutulmaktadır.
İşletmemizin veritabanı sistemlerinin kesintisiz ve güvenli şekilde işletilmesine yönelik standartlar tanımlanmıştır.
Personelin ve kritik kurumsal bilgilerinin korunması amacıyla sistem odasına, kurumsal bilgilerin bulundurulduğu sistemlerin yer aldığı tüm çalışma alanlarına ve kurum binalarına yetkisiz girişlerin yapılmasını önlemek amacı taşımaktadır.
İşletmemizde,bilgisayar ağında sistem açıklarını tespit etmek ve gerekli tedbirlerin alınmasını
sağlamak amacıyla yetkili firmalara risk analizi yaptırılmasına dair kurallar belirlenmiştir.
Risk analizi işletme içerisinde veya dışındaki herhangi bir cihaz üzerinden yapılabilir.
Risk analizi, uygulama programları, sunucular, ağ veya yönetim sistemleri üzerinde yapılabilmektedir.
Sistemi mükemmelleştirmeyi amaçlayan bu programın çalıştırılması, geliştirilmesi ve
uygulaması Bilgi işlem departmanı sorumluluğundadır. Risk analizi süresince çalışanlar gerekli anlarda yardımcı olmakla yükümlüdür.
Risk değerlendirme raporları dışardan alınan destekle hazırlanırsa elden teslim edilecek ve rapor, söz konusu risk ve hassasiyetler giderilene dek Bilgi Işlem Biriminde çevresel ve fiziksel güvenlik önlemleri alınmış bir ortamda saklanacaktır.
Çalışanların, bilgi güvenliği ile ilgili acil bir durum oluştuğunda sorumlulukları dahilinde gerekli müdahaleyi yapabilmelerine yönelik standartlar belirlenmiştir. Izlenen olayın uygun şekilde raporlanması ve belirlenen önlem ve acil durum faaliyetlerinin uygulanması önemlidir.
Acil durum senaryoları yaşanmadan önce uygun acil durum hareket planının yapılması esastır.
Bilgi güvenliğine yönelik tehlike senaryolarından bazıları sistemlere yapılacak direkt saldırılar, zararlı kod içeren programların sisteme sızması, bilginin hırsızlığı, dışarıdan veya içeriden gerçekleştirilebilecek saldırı öncesi taramalar olarak tanımlanabilir.
Amaç, kurumun bilgisayar ağının (PC, sunucu, firewall, ağ anahtarı vs) güvenlik açıklarına karşı taranması hususunda politika belirlemektir. Çünkü,Bilgi kaynaklarının bütünlüğünü ve gizliliğini sağlamak,Kurumun güvenlik politikalarına uyumunun kontrolü için güvenlik açıklarını tespit etmek ve Gerektiği zaman kullanıcıların veya sistemin aktivitelerini kontrol etmek bu standardın temel gerekliliğidir.
İşletmedeki sahip olunan bütün bilgisayar ve haberleşme cihazlarını kapsamaktadır.İşletme bünyesinde bulunan fakat sahip olmadığı herhangi bir sistemi de kapsamaktadır. Denetim yapan kişi veya kurum hizmetlerin durdurulması (Denial of Service) aktivitesi yapmayacaktır.
4.2.BGYS’nin gerçekleştirilmesi ve işletilmesi
Bilgi güvenlik risklerini yönetmek için uygun yöntem,kaynaklar,sorumluluklar ve öncelikleri tanımlanmış,bir risk inceleme planı hazırlanmıştır.Bu risk planına istinaden yapılan düzenli denetimlerde sistem ve kontrol etkinliğini tanımlamak için, karşılaştırılabilir/yeniden üretilebilir sonuçlar elde etmek için ölçümlerin nasıl yapılacağı tanımlanmıştır.
Yapılan düzenli denetlemelerde,kişilere devredilen yada kendiliğinden gerçekleşen güvenlik faaliyetlerinin beklenen şekilde çalışıp çalışmadığını tespit etmek esastır.
Güvenlik denetimlerinin sonuçları,ihlal olayları ve sıklıkları,alınan önlemler ve etkinlikleri,tüm öneriler ve geri bildirimler dikkate alınarak yılda iki kez(6ayda bir) BGYS’ni gözden geçirme toplantısı yapılır.Bu toplantının içeriği işletmenin mevcut ISO9001:2000 sistemine göre yürütülür.
Personele;BGYS’nin işleyişi ve kaynakların yönetimiyle ilgili eğitimlerin yanısıra güvenlik ihlallerinde hemen tespit edebilme ve Bilgi işlem departmanına haber verme gibi konularda da eğitimler sürekli verilmekte ve kayıt altına alınmaktadır
4.3.BGYS dökumantasyon sistemi
Şekil-1den de anlaşılacağı üzere dökumantasyon sisteminin genel yapısında yönetimin tüm BGYS kayıtlarında ki eylemlerin yürütülmesi ve izlenebilirliğinde bir geri dönüşüm mevcuttur.Seçilen kontrol mekanızmasından geriye doğru risk değerlendirme ve risk işleme proseslerinin sonuçlarına,BGYS politika ve amaçlarına yönelik çalışmak esas alınmıştır.
Bu amaçla hazırlanan tüm BGYS dökumantasyon sistemi, işletmenin sahip olduğu ISO9001:2000 satndartları gereği hazırlanmış olan JCC-P1 belge-veri kontrolü ve kalite kayıtları prosedürüne göre işlenmiş ve yürütülmektedir.Dökumantasyon hazırlığında konunun uzmanı olarak Bilgi işlem Departmanı Müdürü ve destek birim olarak olarak Klite Müdürlüğü birlikte çalışmış,işletmenin temel politikası olan sistemlerdeki bütünlük korunmuştur.BGYS dökumanlarının hazırlama ve dağıtım kontrol mekanızması Kalite Müdürlüğünce yürütülmektedir.
5.YÖNETİMİN SORUMLULUĞU
yönetimi,BGYS’nin kurulumu,gerçekleştirilmesi ve işletimi,izlenmesi ve sürekli iyileştirilmesi için kararlılığını BGYS politikasına bağlı olarak çalışacağını taahüt etmiştir.Bunun için gerekli tüm kaynağı sağlama,belirlenen riskleri ve kabul edilebilirlik seviyelerini tespitlemiş iç denetimlerle kontrol altına almıştır.Tüm personelin bilgi güvenliği konusunda gerekli önemi vermesini sağlamakla yükümlüdür.
Çalışanlar,BGYS için gerekli kayıtları tutmak ve Bilgi işlem Departmanına raporlamakla sorumlu olduğu bilincindedir.
6.İÇ DENETİMLER
İşletmemizdeki BGYS, ts-27001 standardının gerekleri ve ilgili tüm yasalarla uyumlu olup olmadığı,tanımlanan bilgi güvenliği gereksinimlerine uyumluluğu ve etkin şekilde gerçekleşip gerçekleşmediği konularında yılda iki kez(6ayda bir) genel kontrolden geçirilir.Sistemin sürekliliğini takip açısından gün içerisinde de Bilgi işlem departmanınca gerekli kontroller ilgili ISO9001:2000 prosedürleri gereğince yapılır.
Saptanan uygunsuzlukların ve bunların nedenlerinin giderilmesi için gecikme yaşanmadan önlemlerin alınması esastır.İzleme faaliyetleri,alınan önlemlerin doğrulanmasını ve doğrulama sonuçlarının raporlanmasını içermektedir.
7.GÖZDEN GEÇİRMELER
Sistemin uygunluğunu,doğruluğunu ve etkinliğini görebilmek için yılda iki kez(6ayda bir) ilgili ISO9001:2000 prosedürleri gereğince BGYS gözden geçirme toplantısı yapılır.Toplantı içeriğinin KYS’den farkı sadece BGYS verilerinin,BGYS’de saptanan uygunsuzlukların, BGYS performansının ve performansını etkileyen sebeplerin, BGYS prosedürlerinin, BGYS ile ilgili açılan DÖF’lerin ve iyileştirmelerin konuşulmasıdır.
Sonucunda elde edilecek toplantı tutanağında varsa;risk değerlendirme ve işleme planlarındaki değişiklikler,eklenmesi gereken prosesler,güvenlik gereksinimleri,eklenmesi gereken yasal düzenlemeler,yenilenmesi gereken risk kabul seviyeleri,kaynak ihtiyaçları yzılmalıdır.
8.BGYS İYİLEŞTİRME VE ÖNLEYİCİ FAALİYETLER
8.1.Sürekli iyileştirme
İşletmemizdeki BGYS’nin, sürekli iyileştirilmesi için temel araçlarımız; BGYS politika ve hedefleri, gözden geçirme toplantıları, iç denetimler, doğrulama kontrolleri(risk değerlendirmeler), üçüncü taraf denetimleri, yasal denetimler, veri analizi, uygunsuzluklar ile düzeltici ve önleyici faaliyetlerdir. Bu süreçler sonunda iyileştirme alanları belirlenerek, uygulamalar yapılır ve etkinlik izlenir ve bu faaliyetler ISO 9001:2008 sisteminin validasyon planı dahilinde BGYS’nin gözden geçirme girdisi olarak da değerlendirilerek ihtiyaç duyulan değişiklikler yapılır.
8.2.Düzeltici faaliyetler
İşletmemizdeki BGYS’de tespitlenen her türlü uygunsuzluk ISO9001:2000 KYS’de tanımlandığı üzere takip edilir.Karşılaşılan problemin köküne (ana kaynağına) inebilmek için kayıt edilerek analiz yapılır. Bu şekilde, problemin çözülmesi ve bir daha oluşmaması için önlem alınır. Ayrıca, potansiyel problemleri önlemeye yardımcı olarak da bu bilgiler kullanılacaktır (önleyici işlem). Tüm yapılanlar, alınan önlemler etkinlik açısından daha sonra iç denetim veya benzer yöntemlerle(risk değerlendirme planlarınca) gözden geçirilecektir. Düzeltici faaliyetler ISO 9001:2000 KYS ve TS27001 BGYS’nin gözden geçirilmesinde girdi olarak ele alınır. Düzeltici faaliyetlerin önceliği, risk değerlendirme sonuçlarına bağlı olarak belirlenir.
8.3.Önleyici faaliyetler
Potansiyel uygunsuzlukların nedenlerini ortadan kaldırmak ve meydana gelmelerini önlemek için iç denetimler, periyodik kontroller(risk değerlendirme planlarına göre) , sürekli geliştirme faaliyetleri (politika ve hedefler dahil) BGYS’ni gözden geçirme toplantıları ve haftalık tespitler kullanılmaktadır. Yapılacak Önleyici çalışmalar potansiyel problemlerin etkisine uygun olacaktır. Esas olan, varsa değişen risklerin tanımlanması ve öenmli ölçüde değişen riskler üzerinde yoğunlaşarak önleyici faaliyet gerçekleştirmektir.Önleyici faaliyetlerin önceliği, risk değerlendirme sonuçlarına bağlı olarak belirlenir.
