• Buradasın

    ISO 27001 İç Denetimi Eğitim Videosu

    youtube.com/watch?v=UlZhLRYgw6c

    Yapay zekadan makale özeti

    • Bu video, bir eğitimci tarafından sunulan ISO 27001 iç denetimi hakkında kapsamlı bir eğitim içeriğidir. Konuşmacı, iç denetim konusunda deneyimlerini ve bilgilerini paylaşmaktadır.
    • Video, ISO 27001 iç denetiminin ne olduğunu, nasıl yapıldığını ve iç denetçinin görevlerini detaylı şekilde ele almaktadır. İçerikte denetim sürecinin planlanması, yürütülmesi, değerlendirilmesi, soru listelerinin hazırlanması, uygunsuzlukların tanımlanması ve raporlanması gibi konular örneklerle açıklanmaktadır.
    • Eğitimde ayrıca denetimlerin sadece ISO 27001 veya 9001 standartlarına değil, yasal düzenlemelere ve sözleşme şartlarına da uygun olması gerektiği vurgulanmaktadır. Denetçinin karar verme sürecinde mantık ve muhakemenin önemi, risk ve bağlamın dikkate alınması gerektiği belirtilmektedir. Video, denetim provası ve sınav sorularının hazırlanması gibi pratik uygulamalarla da zenginleştirilmiştir.
    00:01ISO 27001 İç Denetimi Hakkında Genel Bilgiler
    • ISO 27001 iç denetimi, bir yönetim sisteminin denetimi işlemidir ve iç denetim, dış denetimden farklı olarak bağımsız bir kurum tarafından değil, kurumlar kendi içerisinde performans yönetimi ve iyileştirmeler için yapabilirler.
    • İç denetim sürecinde denetim nasıl planlanır, yürütülür, değerlendirilir ve raporlar hazırlanır gibi belli bir süreç izlenir.
    • Denetimci olmak için denetim provaları yapmak ve sınavlar geçmek gerekir, bu süreçte soru sorma becerileri geliştirilir.
    03:01ISO 27001 Standardının Önemi
    • ISO 27001 standardı, bilgi güvenliği yönetim sisteminin çalıştırıldığı ve çevrildiği bir sistemdir, bu sistem güvenliği yönetim sistemini kurmak ve işletmekle ilgilidir.
    • ISO 27001 standardının ek ağların uygulanmasına yönelik standartlar da vardır ve bu konularda çalışanlar bu standartları da bilmelidir.
    • ISO 19001 yönetim sistemlerini denetleme kılavuzu, denetim yaparken atıf edilerek veya bilerek denetim yapmak için yararlı ve doğru olacaktır.
    04:28Bilgi Güvenliği Yönetim Sisteminin Amaçları
    • Bilgi güvenliği yönetim sisteminin amacı, bilginin gizliliği, bütünlüğü, erişilebilirliği ve risk yönetimini sağlamaktır.
    • Denetim yaparken bilginin gizliliği, erişilebilirliği ve bütünlüğü gibi temel konulara dikkat edilmelidir.
    • Yönetim sistemleri planlama, uygulama, kontrol etme ve önlem alma döngüsüyle işletilir ve tüm denetim süreçlerinde bu temel bakış açısı korunmalıdır.
    07:40ISO 27001 Standardının Yapısı ve Uygulanabilirliği
    • ISO 27001 standardı, ana maddeler, ek maddeler ve teknik detaylar içeren bir standarttır.
    • Standartta belirtilen maddelerin çoğu diğer yönetim sistemleri ile benzer şekilde uygulanır, ancak uygun gerekçe gösterilerek bazı maddeler kapsam dışı bırakılabilir.
    • ISO 27001 zorunlu bir dökümandır ve dökümanlara dayalı bir yönetim sistemi gerektirir, ancak bu zorunluluk farklı yaklaşımlarla değerlendirilebilir.
    10:18Yönetim Sistemlerinde Kayıtlar ve Denetim
    • Yönetim sistemlerinde dökümanlar ve kayıtlar çok önemlidir; eğitim kayıtları, denetim raporları, YGG toplantıları gibi belgeler kontrol edilmelidir.
    • YGG toplantıları, yönetim sisteminin doğru işlemesi ve gizliliğin, bütünlüğün sağlanması amacıyla yapılır.
    • ISO 27001 sadece bilgisayar sistemlerine erişim kontrolü veya iletişim güvenliği ile ilgili değil, insan kaynakları ve tedarikçi ilişkileri gibi alanlarda da geniş bir düzenlemeyi içerir.
    12:36Denetim Türleri ve Önemi
    • Denetimler iç denetimler, dış denetimler, tedarikçi denetim ve belge yönetimi gibi farklı sınıflamalarda tanımlanabilir.
    • Denetim yapılırken sadece ISO 27001 veya diğer yönetim sistemleri standartları değil, yasalar ve sözleşme şartları da dikkate alınmalıdır.
    • Yönetim sistemlerinde yapılan değerlendirme yeterliliği, uygunluğu ve etkinliği denetlemektir.
    14:19İç Denetimlerin Zamanlaması ve Denetçinin Özellikleri
    • İç denetimler müşteri talepleri üzerine, yeni teknoloji ve sistem devreye girmesinin ardından veya performans ölçüsü (KPI) çalışması için planlanabilir.
    • Denetçi bilgili, kanıta dayalı, tarafsız, iyi bir dinleyici olmalı ve açık sorularla uygulamaları sorgulamalıdır.
    • Denetçi kanıtları toplayıp değerlendirmeli, uygunsuzlukları standardın ilgili maddesine göre yazmalı ve bulguları açıkça raporlamalıdır.
    17:12Denetçinin Olumsuz Özellikleri ve Görevi
    • Kötü bir denetçi taraflı olabilir, kişisel yorumlar yapabilir ve kişisel şeylerle uğraşabilir.
    • Denetçinin görevi denetim için sorular sormak, not almak, ara toplantılarla değerlendirme yapmak ve bulguları değerlendirmektir.
    • Denetimin amacı standart şartları ve sözleşme şartlarını kontrol etmek, uygundurları geçmek ve uygun olmayan durumları uygunsuzluk şeklinde raporlamaktır.
    19:19Denetim Süreci ve Planlama
    • Denetim klasik olarak planlanır, uygulanır ve raporlanır; soru sorma, görüşme, döküman inceleme, erişim yönetimi ve fiziki inceleme gibi yöntemlerle yapılır.
    • Denetim planı hazırlanmalı, işletilmeli ve uygulanmalıdır; açılış ve kapanış toplantıları yapılmalıdır.
    • Denetim sürecinde zamanlama ve performans bakımından izleme yapılmalı, dış denetimlerde yeniden denetim programı incelenmelidir.
    21:23İç Denetim Prosedürü ve Soru Listeleri
    • İç denetim prosedürü, denetimin nasıl planlanacağı, denetçinin nasıl seçileceği ve değerlendirme prosedürünün nasıl uygulanacağı konularını içermelidir.
    • Soru listeleri hazırlanmalı ve tetkik raporu uygunsuzluklar ve açıklamaları içerecek şekilde hazırlanmalıdır.
    • Uygunsuzluklar için uygunsuzluk bildirim formu kullanılabilir ve bu formun altında uygunsuzlukların nedenleri, kök nedeni, düzeltici faaliyet ve kapatılması şeklinde bir süreç işletilmelidir.
    25:15Denetim Soru Listeleri ve Soru Teknikleri
    • Soru listeleri denetçiye yararlı olabilir, ancak kalıplaşınca denetimin kalitesi düşecektir.
    • Sorular açık olmalı ve genelden detaya götürülmelidir, kapalı sorular yerine detaylı sorular sorulmalıdır.
    • Notlar açık ve şeffaf olmalı, kiminle görüşüldüğü, hangi dökümanların incelendiği gibi bilgiler net şekilde belirtilmelidir.
    27:27Denetim Amacı ve Planlama
    • Denetimin amacı katkı sağlayan, iyileştirme sağlayan bir denetim yapmaktır.
    • Denetimler sürekli yapılan faaliyetlerdir ve ok döngüsüyle iyileşmeyi sağlamak için yapılır.
    • Denetimlerde genellikle açılış toplantısı yapılır, şirket yetkilileri, yönetim sistemi rehberleri ve gözlemciler katılabilir.
    29:27Denetim Soruları ve Örnekleme
    • Denetimde "beş n bir k" gibi sorular sorulmalıdır, örneğin taşınabilir ortamlarla ilgili yönetim, tedarikçi ilişkileri gibi.
    • Denetimin kalitesi örneklemeye dayalıdır çünkü çok sayıda doküman, nesne ve görüşülecek insan vardır.
    • Örnekleme yöntemleri sistematik, istatistiksel katmanlı olabilir ve belirli kesimlere, zulme yönelik gruplara yönelik yapılmalıdır.
    31:59Objektif Kanıtlar ve Bulgu Yönetimi
    • Denetimde objektif kanıtlar önemlidir, örneğin bakım sözleşmesi, tatbikat tutanağı gibi belgeler.
    • Bulgular majör, minör veya geliştirme/öneri şeklinde değerlendirilir.
    • Majör uygunsuzluklar (yönetim toplantısı yapılmamış, ağ yönetiminde güvenlik hatası gibi) hemen düzeltilmesi gereken sorunlardır.
    34:45Uygunsuzluk Yönetimi ve Kapanış
    • Uygunsuzluklar tespit edildiğinde uygunsuzluk formu doldurulur ve düzeltici faaliyet açılır.
    • İyi uygulamalar önerilebilir, örneğin bilgi güvenliği farkındalık afişleri, bilgi panoları ve farkındalık toplantıları.
    • Denetimin kapanışı için kapanış toplantısı yapılır, uygunsuzluklar açıklanır ve rapor haline getirilir.
    36:49İç Denetim Süreci ve Denetim Provası
    • İç denetim süreci ve denetçi özellikleri anlatılmıştır.
    • Denetim provası, canlı ortamda iki kişiyi veya iki grubu karşılıklı getirerek sorular sormak ve yanıtlarını almak şeklinde bir rollplay çalışmasıdır.
    • İç denetimle ilgili sınav soruları genellikle çoktan seçmeli olabilir ve ISO 27001 temellerine ilişkin bilgiler içerebilir.
    37:53Vaka Çalışmaları ve Denetim Teknikleri
    • Vaka çalışmaları iç denetimde çok önemlidir ve genellikle baş sınavları veya denetçi sınavları için kullanılır.
    • Vaka çalışmalarında genellikle beş-altı tane vaka hazırlanır ve seçimlik üç tanesi çözülür.
    • Denetim anında bir şeyin olup olmadığını tespit etmek için diyaloglar da görülebilir.
    38:32Tarama Maddesi ve Değerlendirme
    • ISO 27001'de tarama maddesi, uygun risklerine göre yönetici sınıfının veya mali işlerin iticilerin diplomaları, sertifikaları ve referans kontrolünün yapılması gerektiğini belirtir.
    • Adli sicil dışında hiçbir şey yapılmazsa, bu bir minör uygunsuzluğa neden olabilir çünkü standardın kısmen uygulanıyor gibi görünür.
    • Tüm değerlendirmeler kurulum bağlamına, risklerine ve büyüklüğüne göre farklı değerlendirilebilir.
    40:36İç Denetim Eğitiminin Amacı
    • İç denetim eğitiminde mantık, muhakeme, riskler ve bağlamlar göz önünde bulundurularak karar verilmesi gerektiği vurgulanmıştır.
    • ISO 27001 iç denetimi ile ilgili iç denetçi özellikleri ve iç denetimin yapılması şekli hakkında genel bilgiler verilmiştir.

    Yanıtı değerlendir

  • Yazeka sinir ağı makaleleri veya videoları özetliyor