• Buradasın

    ISO 27001 Bilgi Güvenliği Yönetim Sistemi ve Denetimi Eğitimi

    youtube.com/watch?v=qkkIJ0sVlVw

    Yapay zekadan makale özeti

    • Bu video, bir konuşmacının ISO 27001 standartına uygun bilgi güvenliği yönetim sistemi (BGS) ve denetim süreci hakkında sunduğu kapsamlı bir eğitim içeriğidir.
    • Video, ISO 27001 denetiminin iki aşamalı yapısını, ilk aşamada belgelerin incelenmesi ve ikinci aşamada sahada uygulamaların kontrol edilmesini detaylı şekilde anlatmaktadır. İçerikte bilgi güvenliği yönetim sisteminin tüm maddeleri (kapsam, liderlik, planlama, destek, risk yönetimi) ve ek kontrol alanları (EKA) ele alınmakta, ayrıca denetim sürecinde dikkat edilmesi gereken teknik ve yönetimsel konular açıklanmaktadır.
    • Eğitimde risk yönetimi, varlık koruma, güvenlik politikaları, parola yönetimi, mobil cihaz politikaları, fiziksel güvenlik, tedarikçi ilişkileri, olay yönetimi ve iş sürekliliği gibi konular detaylı olarak işlenmektedir. Ayrıca denetim sürecinde bulunan uygunsuzlukların (majör ve minör) nasıl değerlendirildiği ve bilgi güvenliği için orantılı risk yönetimi prensipleri vurgulanmaktadır.
    00:01ISO 27001 Denetimi Genel Bilgiler
    • ISO 27001 denetimi, bir firmanın bilgi güvenliği yönetim sistemini belgelendirme amacıyla yapılan bir denetimdir.
    • Denetim genellikle iki aşamalı yapılır: birinci aşamada belgeler ve yeterlilikler kontrol edilirken, ikinci aşamada sahada standardın uygulanması denetlenir.
    • Denetim bir denetim ekibi tarafından yapılır ve şirket yetkilileri, bilgi güvenliği yöneticisi ve ekibi denetim sırasında hazır bulunabilir.
    03:01Denetim Süreci
    • Denetim öncesi bir plan oluşturulur ve denetim süreci genellikle açılış toplantısı, sahada tur ve denetçilerin çalışma aşamalarından oluşur.
    • Denetçinin görevi, firmanın faaliyetlerini delillendirmek, bilgi güvenliği politikalarını kontrol etmek ve notlar alarak rapor hazırlamaktır.
    • ISO 27001 standardı ana maddeler (gereksinimler) ve eka maddelerden oluşur.
    04:31ISO 27001 Standardının Temel Maddeleri
    • ISO 27001 standardında iç-dış bağlamın kapsamı, liderlik, planlama ve destek gibi önemli bölümler bulunmaktadır.
    • Bilgi güvenliği yönetim sistemi (BGYS) planlanıp, çalıştırılıp, bakımı yapılarak sürdürülmeli ve iyileştirilmelidir.
    • Risk yönetimi ve risk değerlendirmesi yapılmalı, riskler tanımlanmalı ve derecelendirilmelidir.
    06:14Performans Değerlendirmesi ve Uygunsuzluklar
    • Yönetim sistemlerinde hedefler belirlenmeli ve performans ölçütleri sayısal olarak ifade edilmelidir.
    • Bilgi güvenliği ihlallerinin sayısının aza indirilmesi ve sıfıra indirilmesi hedeflenmelidir.
    • Bulunan uygunsuzlukların iyileştirilmesi ve bilgi yönetim sisteminin PUKÖ döngüsü içerisinde yaşatılması gerekir.
    07:35ISO 27001'in İkinci Bölümü
    • Standardın ikinci bölümünde 18'e kadar giden 104 madde ve 13-14 bölüm bulunmaktadır.
    • Bilgi güvenliği yönetim sistemi sadece gereksinimlerle kurulmaz, aynı zamanda kendine özel kontroller tanımlanır ve uygulanır.
    • Güvenlik politikaları (internet güvenliği, elektronik posta güvenliği), bilgi güvenliği organizasyonu ve insan kaynakları güvenliği gibi konular bu bölümde ele alınır.
    09:59Varlık Yönetimi ve Erişim Kontrolü
    • Varlık yönetimi, varlıkların (elektronik dosyalar, basılı evraklar, tedarikçiler, hizmetler, insan kaynakları) güvenliğinin sağlanmasıdır.
    • Varlıkların önemini belirleyip, bilginin gizlilik, bütünlük ve erişebilirlik kavramlarına göre önlemler alınmalıdır.
    • Erişim kontrolü, ofislere, bilgisayar sistemlerine ve bilgi varlıklarına erişimin nasıl yapıldığı ve kontrol edildiği konusudur.
    11:24Bilgi Güvenliği Alanında Önemli Konular
    • Kriptografi, keylerin saklanması ve sertifikaların kontrolü gibi teknik detaylar bilgi güvenliği alanında önemlidir.
    • Fiziksel ve çevresel güvenlik, sistem odaları (server, router, switch) gibi teknik alanların yangın kontrolü ve orta temizleme gibi güvenlik önlemleri açısından değerlendirilmelidir.
    • Denetim sürecinde denetçinin teknik konuları iyi bilmesi ve sorgulama yapabilmesi önemlidir.
    13:14Teknik Detaylar ve Süreç Yönetimi
    • Günümüzde teknik tartışmalar ve önlemler alınması, firewall kullanımı, ağ yapılandırması ve yönetici kullanıcı izinleri gibi konular kontrol edilmelidir.
    • Bilgi güvenliği süreçlerinin nasıl yönetildiği, güvenlik önlemlerinin alındığı ve kanıtlanabildiği kontrol edilmelidir.
    • Her firma farklıdır; iş tarzı, çalışanlar, kullanılan teknolojiler ve çözümler farklı parametrelerdir.
    14:23Operasyon Güvenliği ve Sistem Bakımı
    • Operasyon güvenliği, iletişim ve operasyon süreçlerinin prosedürlerinin uygulanması ile ilgilidir.
    • Sistem edinimi, geliştirme ve bakımı ile ilgili güvenlik kriterleri ve bakım sistemleri önemlidir.
    • Yangın söndürme sistemleri gibi kritik ekipmanların düzenli bakımları kontrol edilmelidir.
    15:36Tedarikçi İlişkileri ve Olay Yönetimi
    • IT firmalarından alınan destekler, tedarikçi ilişkileri ve gizlilik anlaşmaları kontrol edilmelidir.
    • Olay yönetimi (ihlal olayları) önemli bir konudur; disket kopyalama, veri çalma, yetkisiz login gibi olaylar tanımlanmalı ve yönetilmelidir.
    • Yetkisiz erişim, bilgi ifşa edilmesi gibi olayların yakalanması, delillendirilmesi ve yönetilmesi için adımlanmış bir sistem kurulmalıdır.
    19:11İş Sürekliliği ve Uyum
    • İş sürekliliği (business continuity), internet kesintisi, elektrik kesintisi gibi durumlarda alınacak önlemleri içerir.
    • Yedekleme sistemleri, tatbikat sistemleri ve olay durumunda alınacak önlemler iş sürekliliği için önemlidir.
    • Yasal uyumlar (56/51 yasası, KVKK) ve copyright'lar ile ilgili uyumluluk kontrol edilmelidir.
    23:25Bilgi Güvenliği Yönetim Sistemi Kurma Nedenleri
    • Bir firma bilgi güvenliği yönetim sistemini (BGS) kurma nedenleri iç ve dış hususlar gereği yasal zorunluluk, sektör gereklilikleri, siber saldırılar ve teknolojik gelişmeler olabilir.
    • BGS, kuruluşun kendi hedefleri, planları ve gereksinimlerini bağlama oluşturur.
    • Yönetim sisteminin kapsamı, bir firmanın yönetim sınırları, şubeleri ve operasyonları gibi bölümleri kapsamaktadır.
    25:12Liderlik ve Politika
    • Liderlik bölümünde üst yönetimin bilgi güvenliği yönetim sistemine verdiği destek, yetkililerin atanması ve yönetim gözden geçirme toplantısının liderlik edilmesi önemlidir.
    • Üst yöneticilerin bilgi güvenliği konusunda farkındalık göstermesi, gerekli personelin, bütçenin ve kaynağın atılmasına destek vermesi başarılı bir BGS için gereklidir.
    • Politika bölümünde bilgi varlıklarını koruma, standart karşılama, personel bilgilendirme ve tedarikçilerin daha güvenli olması gibi amaçlar belirtilir.
    27:48Kurumsal Roller ve Planlama
    • Bilgi güvenliği yönetim sisteminde yöneticisi, yönetim temsilcisi, ekibi, teknik yöneticiler ve dokümantasyon ile ilgili yöneticiler gibi roller tanımlanır.
    • Planlama bölümünde riskler temelinde ve yatırımların planlanması yapılır.
    • Risk yönetimi, kapsam, varlıklar ve risklerin tanımlanması, risklerin sürekli saptanması ve düşürülmesi için faaliyetler alınması önemlidir.
    29:43Risk Yönetimi
    • Riskler doğal, insana dayalı, teknolojik ve internet tabanlı olabilir.
    • Riskler derecelendirilerek yüksek, orta, düşük veya kabul edilebilir-kabul edilemez kriterlerine göre sınıflandırılır.
    • Kritik risklerin, kabul edilemeyen risklerin ve yüksek risklerin hemen önleme aksiyonları alınması ve bunların düşürülmesi gerekir.
    31:14Risk ve Uygunsuzluklar
    • Riskler makul bir şekilde tanımlanmalı ve önlemler alınmalı, sürdürülmelidir.
    • Her eksikliğin risk olarak kaydedilmesi yerine, şirketin normal akışında olması gereken önlemlerin alınması önemlidir.
    • Uygunsuzlukların yazılması gerekir ve kurumun çalışmaları kendi standartları ve bağlamı içinde makul ve mantıklı olmalıdır.
    34:28Bilgi Güvenliği Yönetimi Sisteminin Önemi
    • Risklerin planlanması, işlenmesi ve iyileştirilmesi için tutarlı bir sistem gereklidir.
    • Yıllık faaliyetler kapsamında riskleri düşürmek için yeni firewall sistemine geçiş, antivirüs yazılımı ve güvenlik uygulamalarının kullanılması gibi planlar yapılabilir.
    • Planlama sürecinde ne yapılacak, hangi kaynaklar kullanılacak, kim sorumlu olacak ve ne zaman yapılacağı gibi detaylar belirlenmelidir.
    36:07İletişim ve Yazılı Bilgiler
    • İletişim bölümü, güvenliği yönetim sisteminde tedarikçiler, çalışanlar ve ekibin iletişim kurma şekillerini belirler.
    • Standart yazılı bilgilerin olması gerekir; politikalar, varlık envanteri, risk çalışmaları, prosedürler, ihlal yönetimi ve süreklilik gibi dökümanlar zorunludur.
    • İşletim bölümünde prosedürlerin ve risklerin işlenme süreçleri ele alınmalı, güvenlik yönetim sisteminin başarımına ilişkin ölçütler belirlenmelidir.
    38:14İç ve Dış Tetkikler
    • Bilgi güvenliği yönetim sistemi belgelendirmesi ve denetimle yapılır, ancak önce iç tetkik yapılması gerekir.
    • İç tetkik, kurum kültür olarak bilgi güvenliği yönetim sistemini kuran kurumun kendisi tarafından yapılabilir.
    • İç tetkikte soru listeleri hazırlanır, tetkik eğitimleri alınır ve planlanan tarihte tetkik gerçekleştirilir.
    41:19Düzeltici Faaliyetler ve Denetim
    • Tetkiklerde bulunan eksiklikler için düzeltici faaliyetler yapılmalı, kök nedenler bulunup düzeltilmelidir.
    • Denetçide mobil cihaz politikasında uygunsuzluklar tespit edilip, bu uygunsuzluklar raporlanır ve kaydedilir.
    • ISO 27001 standartının EKA maddeleri (A5-A18) kontrol edilir, güvenlik politikalarının tanımlanması, onaylanması ve yayınlanması gereklidir.
    44:08Güvenlik Politikaları
    • Firma ve kurumlar için elektronik posta politikası, internet kullanım politikası, ortak aygıtların kullanımıyla ilgili politika gibi çok sayıda politika oluşturulabilir.
    • Politikalar makul ölçülerde olmalı, çok fazla politika yazıp uygulanamaması söz konusu olmamalıdır.
    • Politikaların uygulanması kontrol edilmeli, parola politikası gibi kuralların uygulanıp uygulanmadığı denetlenmelidir.
    46:14Sorumluluk ve Görevler Ayrılığı
    • Sorumlulukların tanımlanıp atanıp atılmadığı, görevler ayrılığı konularına dikkat edilip edilmediği önemlidir.
    • Bir kişinin işi kendi yapması veya başka kişiden onay alarak yapması yerine göre kritik bir konudur.
    • Bilgi güvenliği bir uzmanlıktır ve kamu kurumlarıyla kurulabilir, devletin siber güvenlikle ilgili bilgileri takip edilebilir.
    47:01Önlemler ve Politikalar
    • Takım saldırıları önlemleri önceden alınması gerekir.
    • Mobil cihaz politikası, laptop ve cep telefonları için gerekli politikalar belirlenmelidir.
    • Uzaktan çalışma ve uzak ofisler için gerekli politikaların hayata geçirilip geçirilmediği kontrol edilmelidir.
    47:44Makul Önlemlerin Değerlendirilmesi
    • Denetçi, şirketin sistematiği içerisinde makul önlemlerin alınıp alınmadığını kontrol etmelidir.
    • Her firma farklı olabilir, örneğin bazıları laptoplarını şifreleyebilirken diğerleri şifrelemeyebilir.
    • Kritik bilgi taşıyan cihazların çalınma riski yüksek olduğu için makul önlemlerin alınması gerekir.
    48:51İnsan Kaynakları Kontrolleri
    • ISO 27001 standardındaki A.7 maddeleri 18'e kadar insan kaynakları ile ilgilidir.
    • Denetçi, insan kaynakları yöneticisine personel özlük dosyalarını incelemek için başvurur.
    • Personel özlük dosyasında kişinin diploması, referansları ve daha önceki iş deneyimleri gibi bilgiler bulunur.
    49:40Risk Yönetimi ve İnsan Güvenliği
    • Risklerle orantılı geçmiş doğrulama kontrolü yapılmalıdır.
    • İnsan güvenliğinde en zayıf halka insan olduğu için sürekli eğitilmesi ve kontrol edilmesi gerekir.

    Yanıtı değerlendir

  • Yazeka sinir ağı makaleleri veya videoları özetliyor