ISO 27019:2013 Enerji Altyapıları İçin BGYS Standartı

ISO 27019:2013 Enerji Altyapıları İçin BGYS Standartı

  Kasım 27, 2017

ISO 27019:2013 standardı ile aşağıdaki 31 alt madde için enerji altyapılarına özel yeni açıklamalar eklenmiştir.

ISO 27019:2013 standardı bilgi güvenliği gereksinimlerinin enerji altyapıları başta olmak üzere kontrol sistemleri/otomasyon altyapıları uygulanabilir hale getirilmesini amaçlamaktadır. Bu alt yapılara örnek olarak elektrik üretimi, dağımı ve iletimi, doğalgaz iletimi işlemlerini gerçekleştirilen endüstriyel kontrol sistemleri verilebilir. Bu altyapılara ilişkin bilgi güvenliği ihtiyaçları geleneksel Bilgi Teknolojileri altyapılarından farklılık göstermekte ve bu değişikliğe uyulması gerekmektedir.

Konu ile alakalı detaylı bilgi almak ve EKS envanter formları , EKS tanıma formları , EKS risk değerlendirmesi tablosu formlarını doldurmak için bize ulaşınız.

Bilgi güvenliği risk işleme

Bilgi güvenliği risk işleme

  Ağustos 15, 2017

Kuruluş aşağıdakileri gerçekleştirmek için bir bilgi güvenliği risk işleme süreci tanımlamalı ve uygulamalıdır:

a) Risk değerlendirme sonuçlarını dikkate alarak uygun bilgi güvenliği risk işleme seçeneklerinin seçilmesi,

b) Seçilen bilgi güvenliği risk işleme seçeneklerinin uygulanmasında gerekli olan tüm kontrollerin belirlenmesi,

Not - Kuruluşlar, gerektiğince kontroller tasarlayabilir veya herhangi bir kaynaktan belirleyebilir.

c) Yukarıdaki Madde 6.1.3b) de belirlenen kontroller ile Ek A daki kontrollerin karşılaştırılması ve gerekli hiçbir kontrolün gözden kaçırılmadığının doğrulanması,

Not 1 - Ek A geniş kapsamlı bir kontrol amaçları ve kontroller listesi içermektedir. Bu standardın kullanıcıları, hiçbir gerekli kontrolün gözden kaçırılmaması için Ek A ya yönlendirilirler.

Not 2 - Seçilen kontroller kontrol amaçlarını dolaylı olarak içermektedir. Ek A da listelenen kontrol amaçları ve kontroller eksiksiz değildir ve ilave kontrol amaçları ve kontrollere ihtiyaç duyulabilir.

d) Gerekli kontrolleri (Bk. Madde 6.1.3b) ve c)), bunların dahil edilmesinin gerekçelendirmesi, uygulanıp uygulanmadıklarını ve Ek A dan kontrollerin dışarıda bırakılmasının gerekçelendirmesini içeren bir Uygulanabilirlik Bildirgesi üretilmesi,

e) Bir bilgi güvenliği risk işleme planının formüle edilmesi ve

f) Bilgi güvenliği risk işleme planına dair risk sahiplerinin onayının alınması ve artık bilgi güvenliği risklerinin kabulü.

Kuruluş, bilgi güvenliği risk işleme süreci ile ilgili yazılı bilgileri muhafaza etmelidir.

Not - Bu standardtaki bilgi güvenliği risk değerlendirme ve işleme süreci ISO 31000[5] de verilen ilkeler ve genel kılavuzlarla eş güdümlüdür.

Bilgi güvenliği risk değerlendirmesi

Bilgi güvenliği risk değerlendirmesi

  Ağustos 15, 2017

Kuruluş aşağıda belirtilen şartları yerine getiren bir bilgi güvenliği risk değerlendirmesi sürecini tanımlamalı ve uygulamalıdır:

a) Aşağıdakileri içeren bilgi güvenliği risk kriterlerinin oluşturulması ve sürdürülmesi:

1) Risk kabul kriterleri ve
2) Bilgi güvenliği risk değerlendirmesi yapılması için kriterler,

b) Tekrarlanan bilgi güvenliği risk değerlendirmelerinin tutarlı, geçerli ve karşılaştırılabilir sonuçlar üretmesinin temin edilmesi,

c) Bilgi güvenliği risklerinin tespit edilmesi:

1) Bilgi güvenliği yönetim sistemi kapsamı dâhilindeki bilginin gizlilik, bütünlük ve erişilebilirlik kayıpları ile ilgili risklerin tespit edilmesi için bilgi güvenliği risk değerlendirme prosesinin uygulanması ve

2) Risk sahiplerinin belirlenmesi,

d) Bilgi güvenliği risklerinin analiz edilmesi:

1) Madde 6.1.2 c) 1) de belirlenen riskler gerçekleştiği takdirde muhtemel sonuçların değerlendirilmesi,

2) Madde 6.1.2 c) 1) de belirlenen risklerin gerçekleşmesi ihtimalinin gerçekçi bir şekilde
değerlendirilmesi ve

3) Risk seviyelerinin belirlenmesi,

e) Bilgi güvenliği risklerinin değerlendirilmesi:

1) Risk analizi sonuçlarının Madde 6.1.2 a) da oluşturulan risk kriterleri ile karşılaştırılması ve
2) Analiz edilen risklerin risk işleme için önceliklendirilmesi.

Kuruluş bilgi güvenliği risk değerlendirme süreci ile ilgili olarak yazılı bilgileri muhafaza etmelidir.

Bilgi güvenliği rolleri ve sorumlulukları

Bilgi güvenliği rolleri ve sorumlulukları

  Temmuz 26, 2017

Bilgi güvenliği sorumluluklarının tahsisi, bilgi güvenliği politikaları ile uyumlu şekilde yapılmalıdır (bk. Madde 5.1.1). Tek tek varlıkların korunması ve özel güvenlik proseslerini yürütmek için sorumluluklar açıkça belirtilmelidir. Bilgi güvenliği risk yönetimi faaliyetleri ve artık risklerin kabulü için sorumluluklar tanımlanmalıdır. Bu sorumluluklar gereken yerlerde, özel yerleşke ve bilgi işleme tesisleri için daha ayrıntılı bir kılavuz ile desteklenmelidir. Varlıkların korunması ve özel güvenlik proseslerinin yürütülmesi için yerel sorumluluklar açıkça tanımlanmalıdır.

Bilgi güvenliği sorumluluğu tahsis edilen kişiler güvenlik görevleriyle ilgili yetkilerini başkalarına devredebilirler. Ancak; hesap verme sorumlulukları devam eder ve bu kişiler tüm yetki devri yapılmış görevlerin doğru uygulandığını tespit etmelidir.

Kişilerin sorumlu oldukları alanlar belirtilmelidir. Özellikle aşağıdaki maddeler sorumluluk tanımında yer almalıdır:

a) Varlıklar ve bilgi güvenliği prosesleri tanımlanmalı ve tarif edilmelidir,
b) Her bir varlık ya da bilgi güvenliği prosesi için sorumluluk tahsis edilmeli ve bu sorumluluk detayları yazılı hale getirilmelidir (bk. Madde 8.1.2),
c) Yetkilendirme seviyeleri tanımlanmalı ve yazılı hale getirilmelidir,
d) Bilgi güvenliği alanında atanan kişiler sorumluluklarını yerine getirebilmek için alanında yetkin olmalı ve geliştirmeleri takip edebilmeler için fırsat verilmelidir,
e) Tedarikçi ilişkilerinin bilgi güvenliği hususları koordinasyonu ve izlemesi tanımlanmalı ve yazılı hale getirilmelidir.

Birçok kuruluşta, bilgi güvenliğinin geliştirilmesi ve uygulanması ile tanımlanan kontrollerin desteklenmesi için genel sorumluluk bilgi güvenliği yöneticisine verilmektedir. Ancak, kaynak bulma ve uygulama kontrollerinin sorumluluğu çoğu zaman münferit olarak yöneticilere verilmektedir. Yaygın bir uygulama, her bir varlığa gün ve gün korunmasından sorumlu olacak bir sahip atanmasıdır.

Bilgi güvenliği için politikaların gözden geçirilmesi

Bilgi güvenliği için politikaların gözden geçirilmesi

  Temmuz 24, 2017

Bilgi güvenliği politikaları, belirli aralıklarla veya önemli değişiklikler ortaya çıktığında sürekli uygunluk, kesinlik ve etkinliği sağlamak amacıyla gözden geçirilmelidir.

Uygulama kılavuzu

Her politikanın; politikanın geliştirilmesi, gözden geçirilmesi ve değerlendirilmesi için yönetim tarafından onaylanmış sorumluluğa haiz bir sahibi olmalıdır. Gözden geçirme; kurumsal çevre değişikliklerinde, iş koşullarında, yasal şartlarda veya teknik ortamdaki değişimler nedeniyle kuruluşun politikasını ve bilgi güvenliği yönetimi yaklaşımını iyileştirmesi için fırsatları içermelidir.

Bilgi güvenliği politikalarının gözden geçirilmesinde yönetimin gözden geçirmesinin sonuçları dikkate alınmalıdır.

Revize edilen bir politika için yönetimin onayı alınmalıdır.

ISO 27001 Bilgi Guvenligi Politikasi

ISO 27001 Bilgi Guvenligi Politikasi

  Mayıs 03, 2017

Kurumunda ISO 27001 standartı ile alakalı çalışmalar başlayacağı zaman dökümantasyon kısmında ilk yapacağınız politikalardan biri Bilgi Güvenliği Politikanızı oluşturmak ve bunu kurumda çalışmasının sağlanması olmalıdır.

Başka yerlerden kopyala, yapıştır ile bu politikayı alıp kurumunuza uydurmak mümkün değildir. Kurumunuza özel bir politika oluşturulmalıdır.

Siz de bununla ilgili bilgi almak için bize ulaşabilirsiniz.

ISO 27001 Komite Atama

ISO 27001 Komite Atama

  Mayıs 03, 2017

ISO 27001 standartını kurumunuzda oturtmak için yapacağınız ilk hareket yönetim desteğini alarak bununla ilgili bir komitenin görevlendirilmesi olmalıdır.

Bu komiteye IT sorumluları, Kalite, IK, Satın Alma ve yönetimden temsilciler seçilme ve bunu herkesin göreceği şekilde tebliğ edilmelidir. Bu dijital veya yazılı olabilir.

Ayrıca bu tebliğ ile kurumda bir BGYS sorumlusu ve BGYS yönetim temsilcisi de atanmalıdır.

Kafanıza takılan her konuda bize ulaşabilirsiniz.