• Buradasın

    ISO 27001 Bilgi Güvenliği Eğitimi

    youtube.com/watch?v=9fWKK-JBHj0

    Yapay zekadan makale özeti

    • Bu video, bir konuşmacının ISO 27001 bilgi güvenliği standartları kapsamında ECA kontrolleri ve uygulamaları hakkında verdiği eğitim içeriğidir.
    • Video, üç ana bölümden oluşmaktadır: İlk bölümde ISO 27001 ECA kontrollerinin beş A'dan A18'e kadar gruplandırılması ve yılda en az bir kez kontrol edilmesi gerektiği anlatılmaktadır. İkinci bölümde bilgi güvenliği için gerekli kontroller, iletişim formları, mobil cihaz politikaları, uzaktan çalışma prosedürleri, varlık yönetimi, bilgi sınıflandırması, erişim kontrolü, fiziksel güvenlik, işletim güvenliği, ağ güvenliği ve güvenlik geliştirme sistemleri gibi konular ele alınmaktadır. Son bölümde ise bilgi güvenliği ile ilgili tedarikçi ilişkileri için gerekli politikalar ve uygulamalar açıklanmaktadır.
    • Eğitim içeriğinde ayrıca bilgi güvenliği politikaları, yönetimin yönlendirmesi, bilgi güvenliği rolleri ve sorumlulukları, görevlerin ayrılması, acil durumlarda iletişim matrisleri, tedarikçi giriş-çıkışlarının düzenlenmesi ve tedarikçi anlaşmalarında bilgi güvenliği şartlarının belirtilmesi gibi pratik bilgiler de sunulmaktadır.
    00:01ISO 27001 ECA Kontrolleri ve Bilgi Güvenliği
    • ISO 27001 ECA kontrolleri, bilgi güvenliği için global olarak kabul edilen standardize edilmiş kontrol noktalarıdır.
    • Bilgi güvenliği kaybedildiğinde geri dönüşü olmayan bir kaynak olduğundan, kuruluşlarda deneme yanılma yerine standardize edilmiş kontrol noktaları uygulanmalıdır.
    • Bilgi güvenliği yönetim sisteminin temel yapısı, varlık envanter listesindekileri karşılayacak şekilde kontrol listesidir ve yılda en az bir kez kontrol edilmelidir.
    01:48ECA Kontrol Noktalarının Yapısı
    • ECA'da konular A5'ten başlayıp A18'e kadar gidiyor ve başlıklar halinde gruplandırılmıştır.
    • Başlıkların altında ilgili alanlar ve bunların kontrolü için kontrol cümleleri yer almaktadır.
    • Uygulama kılavuzları 2701 kılavuzu altında detaylı bilgiler bulunmaktadır.
    02:59Bilgi Güvenliği Politikaları
    • A5 bilgi güvenliği politikaları, bilgi güvenliği için iş gereksinimleri ile ilgili yasalar ve düzenlemelere göre yönetimin yönlendirmesi ve desteğinin sağlanmasıdır.
    • Bilgi güvenliği politikaları geliştirilmeli, onaylanmalı ve yayınlanarak çalışanlara ve ilgili dış taraflara bildirilmelidir.
    • Bilgi güvenliği politikaları sürekli olarak etkinliğini sağlamak amacıyla gözden geçirilmelidir.
    04:08Bilgi Güvenliği Rolleri ve Sorumlulukları
    • Tüm bilgi güvenliği sorumlulukları tanımlanmalı ve tahsis edilmelidir.
    • Görev tanımlarında her personelin bilgi güvenliği şartlarına uyması gerektiği konusunda bir görev tanımına ekleme yapılmalıdır.
    • Çelişen görevler ve sorumluluklar ayrılmalıdır, böylece yetkilendirilmemiş veya kasıtsız değişiklik fırsatları ve kuruluş varlıklarının yanlış kullanımını azaltmak mümkündür.
    05:38İletişim Matrisi
    • Acil durumlarda, ihlallerde üst yönetimle, yasal kurum ve kuruluşlarla iletişime geçilmesi gerekir.
    • Örneğin kredi kartı bilgileri çalındığında banka, şirket üst yönetimi bir otoritedir.
    • Özel ilgi grupları ile iletişim matrislerinde belirtilmiş olmalıdır.
    06:17Bilgi Güvenliği İçin Kaynaklar ve Kontroller
    • Özel ilgi grupları, uluslararası güvenlik formları, yazılım formları ve Microsoft Office forumları gibi kaynaklar bilgi alışverişinde bulunmak ve güncel güvenlik bilgilerini takip etmek için kullanılabilir.
    • Uygulanabilirlik bildirgesinde belirtilen kontroller için kayıt, politika, prosedür veya formun bulunması gerekir.
    • Mobil cihaz politikası, uzaktan çalışma prosedürü, insan kaynakları güvenliği, varlık yönetimi ve bilgi sınıflandırması gibi konularda politikalar ve prosedürler oluşturulmalıdır.
    08:18Bilgi Yönetimi ve Erişim Kontrolleri
    • Ortam işleme cihazları (hard diskler, CD'ler, USB flash diskler) yönetimi, yok edilmesi, aktarımı ve kullanımları için prosedürler belirlenmelidir.
    • Aktarımlarda USB girişlerinin engellenmesi, internet sitesinden indirme yetkisinin kısıtlanması veya dosyaların internete yükleme yapılması gibi kontroller uygulanmalıdır.
    • Uygulanabilirlik bildirgesinde maddelerin kontrol edildiği, uygulandığı ve ilgili formların bulunduğu bir yapı oluşturulmalıdır.
    10:17Erişim Kontrol Politikaları
    • Erişim kontrol politikası, kullanıcı erişim yöntemi, kullanıcıyı kaydetme ve silme, erişme izin verme ve ayrıcalıklı erişim haklarının yönetilmesi gibi konuları içermelidir.
    • Erişim haklarının düzenli aralıklarla gözden geçirilmesi ve pozisyon değişikliği durumunda hakların kaldırılması veya düzenlenmesi gerekir.
    • Bilgi erişiminin kısıtlanması, sistem ve uygulamalara erişim kontrolü, güvenli oturum açma prosedürleri ve kriptografik anahtar yönetimi gibi konular IT ve bilgi işlem bölümü tarafından belirlenmelidir.
    12:36Fiziksel Güvenlik ve Teçhizat Yönetimi
    • Fiziksel alanlar ve güvenlik sınırları, tedarikçilerin giriş çıkışları, misafir giriş çıkışı ve yüz tanıma sistemleri gibi konular için kayıt tutulmalıdır.
    • Ofis, oda ve tesislerin güvenliği, dış ve çevresel tehditlere karşı koruma, güvenli alanlarda çalışma ve teslimat alanları için kontroller uygulanmalıdır.
    • Kuruluş dışında bulunan varlıkların (ödeme POS cihazları, tabletler, GPS cihazları) güvenliği, yok edilmesi veya tekrar kullanımı ile ilgili prosedürler belirlenmelidir.
    14:45İşletim Güvenliği ve Ağ Kontrolü
    • Yazılı işletim prosedürleri, değişiklik yönetimleri, kapasite yönetimi ve kötücül yazılımlara karşı kontroller uygulanmalıdır.
    • Bilginin yedeklenmesi, olayların kaydedilmesi, yönetici ve operatörlerin sisteme giriş çıkışlarının takibi ve teknik açıkların yönetilmesi gerekir.
    • Ağların kontrolü, iç ve dış ağlara ağ hizmetlerinin güvenliği, bilginin transfer edilmesi sırasında dikkat edilmesi gereken noktalar ve gizlilik anlaşmaları belirlenmelidir.
    16:56Güvenlik Geliştirme ve Sistem Değişiklikleri
    • Güvenlik geliştirme, sistem değişiklikleri ve yazılım paketlerinin güncellenmesi için gerekli kontroller sıkı biçimde takip edilmeli ve kayıt altına alınmalıdır.
    • Güvenlik sistem mühendisliği prensibi uygulanmalıdır.
    • İç ve dış penetrasyon testleri yaptırılmalıdır.
    17:29Tedarikçi İlişkileri ve Bilgi Güvenliği
    • Tedarikçilerle ilgili bilgi güvenliği politikası oluşturulmalıdır.
    • Tedarikçilerin kuruluşun varlıktan erişimi ile ilgili riskleri azaltmak için bilgilendirme yapılmalıdır.
    • Tedarikçi giriş çıkışlarının belli aralıklarda yapılacağı ve sadece belirli kişilerle iletişime geçilebileceği gibi kurallar belirlenmelidir.
    18:10Tedarikçi Anlaşmalarında Bilgi Güvenliği
    • Tedarikçilerle anlaşma yaparken bilgi güvenliği mutlaka belirtilmelidir.
    • Altyapı, depolama gibi konularda tedarikçi ile anlaşma yapmadan önce bilgi güvenliği kuralları açıklanmalı ve kurallara uymaları istenmelidir.
    • Bilgi ve iletişim teknolojileri tedarik zinciri ile ilgili bilgi güvenliği listelerini ifade eden şartlar anlaşmalarda yer almalıdır.
    18:52Destek Bilgileri
    • Anlaşmalar hazırlandıktan sonra anlaşılmayan veya takılan noktalar için ADR destek üzerinden iletişim formu kullanılabilir.
    • Cep telefonu üzerinden doğrudan erişim sağlanabilir veya WhatsApp, Telegram gibi gruplardan yazılabilir.
    • Destek talepleri yatadestek.com adresine mail ile atılarak sorulabilir.

    Yanıtı değerlendir

  • Yazeka sinir ağı makaleleri veya videoları özetliyor