f

Bu Blogda Ara
Tema resimleri MichaelJay tarafından tasarlanmıştır. Blogger tarafından desteklenmektedir.

Blog Arşivi

15 Ağustos 2017 Salı

Bilgi güvenliği risk işleme

 

Kuruluş aşağıdakileri gerçekleştirmek için bir bilgi güvenliği risk işleme süreci tanımlamalı ve uygulamalıdır:

a) Risk değerlendirme sonuçlarını dikkate alarak uygun bilgi güvenliği risk işleme seçeneklerinin seçilmesi,

b) Seçilen bilgi güvenliği risk işleme seçeneklerinin uygulanmasında gerekli olan tüm kontrollerin belirlenmesi,

Not - Kuruluşlar, gerektiğince kontroller tasarlayabilir veya herhangi bir kaynaktan belirleyebilir.

c) Yukarıdaki Madde 6.1.3b) de belirlenen kontroller ile Ek A daki kontrollerin karşılaştırılması ve gerekli hiçbir kontrolün gözden kaçırılmadığının doğrulanması,

Not 1 - Ek A geniş kapsamlı bir kontrol amaçları ve kontroller listesi içermektedir. Bu standardın kullanıcıları, hiçbir gerekli kontrolün gözden kaçırılmaması için Ek A ya yönlendirilirler.

Not 2 - Seçilen kontroller kontrol amaçlarını dolaylı olarak içermektedir. Ek A da listelenen kontrol amaçları ve kontroller eksiksiz değildir ve ilave kontrol amaçları ve kontrollere ihtiyaç duyulabilir.

d) Gerekli kontrolleri (Bk. Madde 6.1.3b) ve c)), bunların dahil edilmesinin gerekçelendirmesi, uygulanıp uygulanmadıklarını ve Ek A dan kontrollerin dışarıda bırakılmasının gerekçelendirmesini içeren bir Uygulanabilirlik Bildirgesi üretilmesi,

e) Bir bilgi güvenliği risk işleme planının formüle edilmesi ve

f) Bilgi güvenliği risk işleme planına dair risk sahiplerinin onayının alınması ve artık bilgi güvenliği risklerinin kabulü.

Kuruluş, bilgi güvenliği risk işleme süreci ile ilgili yazılı bilgileri muhafaza etmelidir.

Not - Bu standardtaki bilgi güvenliği risk değerlendirme ve işleme süreci ISO 31000[5] de verilen ilkeler ve genel kılavuzlarla eş güdümlüdür.

Bilgi güvenliği risk değerlendirmesi

 

Kuruluş aşağıda belirtilen şartları yerine getiren bir bilgi güvenliği risk değerlendirmesi sürecini tanımlamalı ve uygulamalıdır:

a) Aşağıdakileri içeren bilgi güvenliği risk kriterlerinin oluşturulması ve sürdürülmesi:

1) Risk kabul kriterleri ve
2) Bilgi güvenliği risk değerlendirmesi yapılması için kriterler,

b) Tekrarlanan bilgi güvenliği risk değerlendirmelerinin tutarlı, geçerli ve karşılaştırılabilir sonuçlar üretmesinin temin edilmesi,

c) Bilgi güvenliği risklerinin tespit edilmesi:

1) Bilgi güvenliği yönetim sistemi kapsamı dâhilindeki bilginin gizlilik, bütünlük ve erişilebilirlik kayıpları ile ilgili risklerin tespit edilmesi için bilgi güvenliği risk değerlendirme prosesinin uygulanması ve

2) Risk sahiplerinin belirlenmesi,

d) Bilgi güvenliği risklerinin analiz edilmesi:

1) Madde 6.1.2 c) 1) de belirlenen riskler gerçekleştiği takdirde muhtemel sonuçların değerlendirilmesi,

2) Madde 6.1.2 c) 1) de belirlenen risklerin gerçekleşmesi ihtimalinin gerçekçi bir şekilde
değerlendirilmesi ve

3) Risk seviyelerinin belirlenmesi,

e) Bilgi güvenliği risklerinin değerlendirilmesi:

1) Risk analizi sonuçlarının Madde 6.1.2 a) da oluşturulan risk kriterleri ile karşılaştırılması ve
2) Analiz edilen risklerin risk işleme için önceliklendirilmesi.

Kuruluş bilgi güvenliği risk değerlendirme süreci ile ilgili olarak yazılı bilgileri muhafaza etmelidir.

Bizimle irtibatta kalmak için
Lütfen E-mailinizi aşağıya girin !

© Copyright 2017 ISO27001 BGYS. Designed by Bloggertheme9 | Distributed By Blogger Templates20.