Uygulanabilirlik Bildirgesi

Açıklama (Seçilen kontroller ve nedenleri için)

YG: Yasal gereksinimler, SZ: Sözleşmeler Zorunluluklar, IG: İş gereksinimleri, RDS: Risk değerlendirme sonuçları, DG:Diğer gereksinimler

ISO 27001:2013 Controls Uygulanabilirlik

Madde Sec Kontrol Başlığı Kontrol İçeriği

Bilgi güvenliği için, iş gereksinimleri ve ilgili yasalar ve
düzenlemelere göre yönetimin yönlendirmesi ve desteğini
5.1 Bilgi güvenliği için yönetimin yönlendirmesi sağlamak

5 Güvenlik Bir dizi bilgi güvenliği politikaları, yönetim tarafından tanımlanmalı,

onaylanmalı ve yayınlanarak çalışanlara ve ilgili dış taraflara
Politikası
5.1.1 Bilgi Güvenliği için politikalar bildirilmelidir. UYGULANABİLİR
Bilgi güvenliği politikaları, belirli aralıklarla veya önemli
değişiklikler ortaya çıktığında sürekli uygunluk ve etkinliği
5.1.2 Bilgi güvenliği için politikaların gözden geçirilmesi sağlamak amacıyla gözden geçirilmelidir. UYGULANABİLİR

Kuruluş içerisinde bilgi güvenliği operasyonu ve uygulamasının,

başlatılması ve kontrol edilmesi amacıyla, bir yönetim çerçevesi
6.1 İç Organizasyon kurmak.
Tüm bilgi güvenliği sorumlulukları tanımlanmalı ve tahsis
6.1.1 Bilgi Güvenliği rolleri ve sorumlulukları edilmelidir UYGULANABİLİR

Çelişen görevler ve sorumluluklar, yetkilendirilmemiş veya

kasıtsız değişiklik fırsatlarını veya kuruluş varlıklarının yanlış
6.1.2 Görevlerin ayrılığı kullanımını azaltmak amacıyla ayrılmalıdır. UYGULANABİLİR

İlgili otoritelerle uygun iletişim kurulmalıdır.

6 Bilgi Güvenliği 6.1.3 Otoritelerle iletişim UYGULANABİLİR
Organizasyonu
özel ilgi grupları veya diğer uzman güvenlik forumları ve
6.1.4 Özel ilgi grupları ile iletişim profesyonel demekler ile uygun iletişim kurulmalıdır UYGULANABİLİR

Proje yönetiminde, proje çeşidine bakılmaksızın bilgi güvenliği ele

6.1.5 Proje yönetiminde bilgi güvenliği alınmalıdır. UYGULANABİLİR
6.2 Mobil cihazlar ve uzaktan çalışma Uzaktan çalışma ve mobil cihazların güvenliğini sağlamak.
Mobil cihazların kullanımı ile ortaya çıkan risklerin yönetilmesi
amacı ile bir politika ve destekleyici güvenlik önlemleri
6.2.1 Mobil cihaz politikası belirlenmelidir UYGULANABİLİR
Uzaktan çalışma alanlarında erişilen, işlenen veya depolanan
bilgiyi korumak amacı ile bir politika ve destekleyici güvenlik
6.2.2 Uzaktan Çalışma önlemleri uygulanmalıdır UYGULANABİLİR
 Çalışanlar ve yüklenicilerin kendi sorumluluklarını anlamalarını ve
7.1 İstihtam Öncesi düşünüldükleri roller için uygun olmalarını temin etmek.
Tüm işe alım adayları için ilgili yasa, düzenleme ve etiğe göre ve
iş gereksinimleri, erişilecek bilginin sınıflandırması ve alınan
risklerle orantılı olarak geçmiş doğrulama kontrolleri
7.1.1 Tarama gerçekleştirilmelidir. UYGULANABİLİR

Çalışanlar ve yükleniciler ile yapılan sözleşmeler kendilerinin ve

7.1.2 İstihdam hüküm ve koşulları kuruluşun bilgi güvenliği sorumluluklarını belirtmelidir. UYGULANABİLİR

Çalışanların ve yüklenicilerin bilgi güvenliği sorumluluklarının

7.2 Çalışma Esnasında farkında olmalarını ve yerine getirmelerini temin etmek
7 İnsan
Kaynakları Yönetim, çalışanlar ve yüklenicilerin, kuruluşun yerleşik politika ve
Güvenliği 7.2.1 Yönetimin sorumlulukları prosedürlerine göre bilgi güvenliğini uygulamalarını istemelidir. UYGULANABİLİR
Kuruluştaki tüm çalışanlar ve ilgili olan yerlerde, yükleniciler, kendi
iş fonksiyonları ile ilgili olduğunda, kurumsal politika ve
prosedürlerle ilgili uygun farkındalık eğitim ve öğretimini ve düzenli
7.2.2 Bilgi güvnliği farkındalığı,eğitim ve öğretimi güncellemeleri almalıdırlar UYGULANABİLİR

Bir bilgi güvenliği ihlal olayını gerçekleştiren çalışanlara yönelik

7.2.3 Disiplin prosesi önlem almak için resmi ve bildirilmiş bir disiplin prosesi olmalıdır. UYGULANABİLİR
İstihdamın sonlandırılması ve değiştirilmesi prosesinin bir parçası
7.3 İstihdamın sonlandırılması ve değiştirilmesi olarak kuruluşun çıkarlarını korumak.

istihdamın sonlandırılması veya değiştirilmesinden sonra geçerli

olan bilgi güvenliği sorumlulukları ve görevleri tanımlanmalı,
7.3.1 İstihdam sorumluluklarının sonlandırılması veya değiştirilmesi çalışan veya yükleniciye bildirilmeli ve yürürlüğe konulmalıdır UYGULANABİLİR

Kuruluşun varlıklarını tespit etmek ve uygun koruma

8.1 Varlıkların Sorumluluğu sorumluluklarını tanımlamak

Bilgi ve bilgi işleme olanakları ile ilgili varlıklar belirlenmeli ve bu

8.1.1 Varlıkların Envanteri varlıkların bir envanteri çıkarılmalı ve idame ettirilmelidir. UYGULANABİLİR

8.1.2 Varlıkların Sahipliği Envanterde tutulan tüm varlıklara sahip atamaları yapılmalıdır UYGULANABİLİR
Bilgi ve bilgi işleme tesisleri ile ilgili bilgi ve varlıkların kabul
edilebilir kullanımına dair kurallar belirlenmeli, yazılı hale
8.1.3 Varlıkların kabul edilebilir kullanımı getirilmeli ve uygulanmalıdır UYGULANABİLİR

8_1_4 Varlıkların İadesi
8.2 Bilgi Sınıflandırma
8 Varlık 8.2.1 Bilgi sınıflandırması
Yönetimi
8.2.2 Bilgi Etiketlemesi
8.2.3 Varlıkların Kullanımı
8.3 Ortam İşleme
8.3.1 Taşınabilir Ortam Yönetimi
8.3.2 Ortam Yok Edilmesi
8.3.3 Fiziksel Ortam Aktarımı
9.1 Erişim Kontrolü
Tüm çalışanlar ve dış tarafların kullanıcıları, istihdamlarının,
sözleşme veya anlaşmalarının sonlandırılmasının ardından
ellerinde olan tüm kurumsal varlıkları iade etmelidirler UYGULANABİLİR
Bilginin kurum için önemi derecesinde uygun seviyede
korunmasını temin etmek.
Bilgi, yasal şartlar, değeri, kritikliği ve yetkisiz ifşa veya değiştirilmeye
karşı hassasiyetine göre sınıflandırılmalıdır UYGULANABİLİR
Bilgi etiketleme için uygun bir prosedür kümesi kuruluş tarafından
benimsenen sınıflandırma düzenine göre geliştirilmeli ve
uygulanmalıdır. UYGULANABİLİR
Varlıkların kullanımı için prosedürler, kuruluş tarafından benimsenen
sınıflandırma düzenine göre geliştirilmeli ve uygulanmalıdır UYGULANABİLİR
Ortamda depolanan bilginin yetkisiz ifşası,değiştirilmesi,kaldırılması
ve yok edilmesini engellemek.
Taşınabilir ortam yönetimi için prosedürler kuruluş tarafından
benimsenen sınıflandırma düzenine göre uygulanmalıdır UYGULANABİLİR
Ortam artık ihtiyaç kalmadığında resmi prosedürler kullanılarak
güvenli bir şekilde yok edilmelidir UYGULANABİLİR
Bilgi içeren ortam, aktarım sırasında yetkisiz erişim, kötüye
kullanım ve bozulmaya karşı korunmalıdır UYGULANABİLİR
Bilgi ve bilgi işlme olanaklarına erişimi kısıtlamak
 Bir erişim kontrol politikası, iş ve bilgi güvenliği şartları temelinde
9.1.1 Erişim kontrol politikası oluşturulmalı, yazılı hale getirilmeli ve gözden geçirilmelidir. UYGULANABİLİR

Kullanıcılara sadece özellikle kullanımı için yetkilen dirildi kleri ağ

9.1.2 Ağlara ve ağ hizmetlerin rişim ve ağ hizmetlerine erişim verilmelidir UYGULANABİLİR
Yetkili kullanıcı erişimini temin etmek ve sistem ve hizmetlere
9.2 Kullanıcı Erişim Yöntimi yetkisiz erişimi engellemek

Erişim haklarının atanmasını sağlamak için, resmi bir kullanıcı

9.2.1 Kullanıcı kaydetme ve kayıt silme kaydetme ve kayıt silme prosesi uygulanmalıdır UYGULANABİLİR
Tüm kullanıcı türlerine tüm sistemler ve hizmetlere erişim
haklarının atanması veya iptal edilmesi için resmi bir kullanıcı
9.2.2 Kullanıcı erişimine izin verme erişim izin prosesi uygulanmalıdır UYGULANABİLİR

Ayrıcalıklı erişim haklarının tahsis edilmesi ve kullanımı

9.2.3 Ayrıcalıklı erişim haklarının yönetimi kısıtlanrhalı ve kontrol edilmelidir. UYGULANABİLİR

Gizli kimlik doğrulama bilgisinin tahsis edilmesi, resmi bir yönetim

9.2.4 Kullanıcılara ait gizli kimlik doğrulama bilgilerinin yönetimi prosesi yoluyla kontrol edilmelidir UYGULANABİLİR

Varlık sahipleri kullanıcıların erişim haklarını düzenli aralıklarla

9.2.5 Kullanıcı erişim haklarının gözden geçirilmesi gözden geçirmelidir UYGULANABİLİR
Tüm çalışanların ve dış taraf kullanıcılarının bilgi ve bilgi işleme
9 Erişim olanaklarına erişim yetkileri, istihdamları, sözleşmeleri veya
Kontrolü anlaşmaları sona erdirildiğinde kaldırılmalı veya bunlardaki değişiklik
Erişim haklarının gözden geçirilmesi 9.2.6 üzerine düzenlenmelidir UYGULANABİLİR
Kullanıcıları kendi kimlik doğrulama bilgilerinin korunması
9.3 Kullanıcı Sorumlulukları konusunda sorumlu tutmak

Kullanıcıların, gizli kimlik doğrulama bilgisinin kullanımında

9.3.1 Gizli kimlik doğrulama bilgisinin kullanımı kurumsal uygulamalara uymaları şart koşulmalıdır UYGULANABİLİR
9.4 Sistem ve Uygulama Erişim Kontrolü Sistem ve uygulamalara yetkisiz erişimi engellemek

Bilgi ve uygulama sistem fonksiyonlarına erişim, erişim kontrol

9.4.1 Bilgiye erişimin kısıtlanması politikası doğrultusunda kısıtlanmalıdır UYGULANABİLİR

Erişim kontrol politikası tarafından şart koşulduğu yerlerde, sistem

ve uygulamalara erişim güvenli bir oturum açma prosedürü
9.4.2 Güvenli oturum açma prosedürleri tarafından kontrol edilmelidir UYGULANABİLİR

Parola yönetim sistemleri etkileşimli olmalı ve kaliteli parolaları

9.4.3 Parola yönetim sistemi temin etmelidir. UYGULANABİLİR
 Ayrıcalıklı destek
programlarının Sistem ve uygulamaların kontrollerini ezme kabiliyetine sahip
kullanımı olabilen destek programlarının kullanımı kısıtlanmalı ve sıkı bir
9.4.4 şekilde kontrol edilmelidir UYGULANABİLİR

9.4.5 Program kaynak koduna erişim kontrolü Program kaynak koduna erişim kısıtlanmalıdır UYGULANABİLİR

Bilginin gizliliği, aslına uygunluğu ve/veya bütünlüğü 'nün

korunması için kriptografi’nin doğru ve etkin kullanımın temin
10.1 Kriptografik kontroller etmek

Bilginin korunması için kriptografik kontrollerin kullanımına dair bir

10 Kriptografi 10.1.1 Kriptografik kontrollerin kullanımına ilişkin politika politika geliştirilmeli ve uygulanmalıdır UYGULANABİLİR

Kriptografik anahtarların kullanımı, korunması ve yaşam süresine

dair bir politika geliştirilmeli ve tüm yaşam çevirimleri süresince
10.1.2 Anahtar yönetimi uygulanmalıdır UYGULANABİLİR

Yetkisiz fiziksel erişimi, kuruluşun bilgi ve bilgi işleme olanaklarına

11.1 Güvenli Alanlar hasar verilmesi ve müdahale edilmesini engellemek

Hassas veya kritik bilgi ve bilgi işleme olanakları barındıran

alanları korumak için güvenlik sınırları tanımlanmalı ve
11.1.1 Fiziksel güvenlik sınırı kullanılmalıdır UYGULANABİLİR

Güvenli alanlar sadece yetkili personele erişim izni verilmesini

11.1.2 Fiziksel giriş kontrolleri temin etmek için uygun giriş kontrolleri ile korunmalıdır UYGULANABİLİR

Ofisler, odalar ve tesisler için fiziksel güvenlik tasarlanmalı ve

11.1.3 Ofislerin, odaların ve tesislerin güvenliğinin sağlanması uygulanmalıdır UYGULANABİLİR
 Doğal felaketler, kötü niyetli saldırılar veya kazalara karşı fiziksel
11.1.4 Dış ve çevresel tehditlere karşı koruma koruma tasarlanmalı ve uygulanmalıdır UYGULANABİLİR

Güvenli alanlarda çalışma için prosedürler tasarlanmalı ve

11.1.5 Güvenli alanlarda çalışma uygulanmalıdır. UYGULANABİLİR

Yetkisiz kişilerin tesise giriş yapabildiği, teslimat ve yükleme

alanları gibi erişim noktaları ve diğer noktalar kontrol edilmeli ve
11 Fiziksel ve mümkünse yetkisiz erişimi engellemek için bilgi işleme
Çevresel 11.1.6 Teslimat ve yükleme alanları olanaklarından ayrılmalıdır. UYGULANABİLİR
Güvenlik 11.2 Teçhizat

Teçhizat, çevresel tehditlerden ve tehlikelerden ve yetkisiz erişim

fırsatlarından kaynaklanan riskleri azaltacak şekilde yerleştirilmeli
11.2.1 Teçhizat yerleştirme ve koruma ve korunmalıdır UYGULANABİLİR

Teçhizat destekleyici altyapı hizmetlerindeki hatalardan

11.2.2 Destekleyici altyapı hizmetleri kaynaklanan enerji kesintileri ve diğer kesintilerden korunmalıdır. UYGULANABİLİR

Veri veya destekleyici bilgi hizmetlerini taşıyan enerji ve

telekomünikasyon kabloları, dinleme, girişim oluşturma veya
11.2.3 Kablo güvenliği hasara karşı korunmalıdır UYGULANABİLİR
 Teçhizatın bakımı, sürekli erişilebilirliğini ve bütünlüğünü temin
11.2.4 Teçhizat bakımı etmek için doğru şekilde yapılmalıdır UYGULANABİLİR

Teçhizat, bilgi veya yazılım ön yetkilendirme olmaksızın kuruluş

11.2.5 Varlıkların taşınması dışına çıkarılmamalıdır UYGULANABİLİR

Kuruluş dışındaki varlıklara, kuruluş yerleşkesi dışında çalışmanın

farklı riskleri de göz önünde bulundurularak güvenlik
11.2.6 Teçhizat ve kuruluş dışındaki varlıkların güvenliği uygulanmalıdır. UYGULANABİLİR

Depolama ortamı içeren teçhizatların tüm parçaları, yok etme

veya tekrar kullanımdan önce tüm hassas verilerin ve lisanslı
yazılımların kaldırılmasını veya güvenli bir şekilde üzerine
11.2.7 Teçhizatın güvenli yok edilmesi veya tekrar kullanımı yazılmasını temin etmek amacıyla doğrulanmalıdır UYGULANABİLİR

Kullanıcılar, gözetimsiz teçhizatın uygun şekilde korunmasını

11.2.8 Gözetimsiz kullanıcı teçhizatı temin etmelidir UYGULANABİLİR

Kâğıtlar ve taşınabilir depolama ortamları için bir temiz masa

politikası ve bilgi işleme olanakları için bir temiz ekran politikası
11.2.9 Temiz masa temiz ekran politikası benimsenmelidir UYGULANABİLİR

Bilgi işleme olanaklarının doğru ve güvenli işletimlerini temin

12.1 İşletim prosedürleri ve sorumlulukları etmek

İşletim prosedürleri yazılı hale getirilmeli ve ihtiyacı olan tüm

12.1.1 Yazılı işletim prosedürleri kullanıcılara sağlanmalıdır UYGULANABİLİR
Bilgi güvenliğini etkileyen, kuruluş, iş prosesleri, bilgi işleme
12.1.2 Değişiklik yönetimi olanakları ve sistemlerdeki değişiklikler kontrol edilmelidir UYGULANABİLİR
Kaynakların kullanımı izlenmeli, ayarlanmalı ve gerekli sistem
performansını temin etmek için gelecekteki kapasite
12.1.3 Kapasite yönetimi gereksinimleri ile ilgili kestirimler yapılmalıdır UYGULANABİLİR

Geliştirme, test ve işletim ortamlar, yetkisiz erişim veya işletim

ortamlarında değişiklik risklerinin azaltılması için birbirinden
12.1.4 Geliştirme, test ve işletim ortamların birbirinden ayrılması ayrılmalıdır. UYGULANABİLİR
Bilgi ve bilgi işleme olanaklarının kötücül yazılımlardan
12.2 Kötücül yazılımlardan koruma korunmasını temin etmek.
 Kötücül yazılımlardan korunmak için tespit etme, engelleme ve
kurtarma kontrolleri uygun kullanıcı farkındalığı ile birlikte
12.2.1 Kötücül yazılımlara karşı kontroller uygulanmalıdır. UYGULANABİLİR
12.3 Yedekleme Veri kaybına karşı koruma sağlamak

Bilgi, yazılım ve sistem imajlarının yedekleme kopyaları alınmalı

ve üzerinde anlaşılmış bir yedekleme politikası doğrultusunda
12.3.1 Bilgi yedekleme düzenli olarak test edilmelidir UYGULANABİLİR
12.4 Kaydetme ve İzleme Olayları kaydetme ve kanıt üretmek
Kullanıcı işlemleri, kural dışılıklar, hatalar ve bilgi güvenliği
olaylarını kaydeden olay kayıtları üretilmeli, saklanmalı ve düzenli
12.4.1 Olay kaydetme olarak gözden geçirilmelidir UYGULANABİLİR

12 İşletim
Güvenliği
Kaydetme olanakları ve kayıt bilgileri kurcalama ve yetkisiz
12.4.2 Kayıt bilgisinin korunması erişime karşı korunmalıdır. UYGULANABİLİR

Sistem yöneticileri ve sistem operatörlerinin işlemleri kayıt altına

alınmalı, kayıtlar korunmalı ve düzenli olarak gözden
12.4.3 Yönetici ve operatör kayıtları geçirilmelidir. UYGULANABİLİR

Bir kuruluş veya güvenlik alanında yer alan tüm ilgili bilgi işleme
sistemlerinin saatleri tek bir referans zaman kaynağına göre
12.4.4 Saat senkronizasyonu senkronize edilmelidir UYGULANABİLİR
12.5 İşletimsel yazılımının kontrolü İşletimsel sistemlerin bütünlüğünü temin etmek

İşletimsel sistemler üzerine yazılım kurulumunun kontrolü için

12.5.1 İşletimsel sistemler üzerine yazılım kurulumu
12.6 Teknik Açıklık Yönetimi
12.6.1 Teknik açıklıkların yönetimi
prosedürler uygulanmalıdır. UYGULANABİLİR
Teknik açıklıkların kullanılmasını engellemek
Kullanılmakta olan bilgi sistemlerinin teknik açıklıklarına dair bilgi,
zamanında elde edilmeli kuruluşun bu tür açıklıklara karşı zafiyeti
değerlendirilmeli ve ilgili riskin ele alınması için uygun tedbirler
alınmalıdır UYGULANABİLİR

Kullanıcılar tarafından yazılım kurulumuna dair kurallar

12.6.2 Yazılım kurulumu kısıtlamaları oluşturulmalı ve uygulanmalıdır. UYGULANABİLİR
Tetkik faaliyetlerinin işletimsel sistemler üzerindeki etkilerini
12.7 Bilgi sistemleri tetkik hususları asgariye indirmek
 İşletimsel sistemlerin doğrulanmasını kapsayan tetkik
gereksinimleri ve faaliyetleri, iş proseslerindeki kesintileri asgariye
12.7.1 Bilgi sistemleri tetkik kontrolleri indirmek için dikkatlice planlanmalı ve üzerinde anlaşılmalıdır UYGULANABİLİR

13.1 Ağ güvenliği yönetimi

Sistemlerdeki ve uygulamalardaki bilgiyi korumak amacıyla ağlar

13.1.1 Ağ kontrolleri yönetilmeli ve kontrol edilmelidir UYGULANABİLİR

Tüm ağ hizmetlerinin güvenlik mekanizmaları, hizmet seviyeleri ve

yönetim gereksinimleri tespit edilmeli ve hizmetler kuruluş içinden
veya dış kaynak yoluyla sağlanmış olsun olmasın, ağ hizmetleri
13.1.2 Ağ hizmetlerinin güvenliği anlaşmalarında yer almalıdır. UYGULANABİLİR

Ağlarda ayrım Ağlarda, bilgi hizmetleri, kullanıcıları ve bilgi sistemleri grupları

13 Haberleşme 13.1.3 ayrılmalıdır. UYGULANABİLİR
Güvenliği Bir kuruluş içerisinde ve herhangi bir dış varlık arasında transfer
13.2 Bilgi Transferi edilen bilginin güvenliğini sağlamak.
Tüm iletişim olanağı türlerinin kullanımıyla bilgi transferini
korumak için resmi transfer politikaları, prosedürleri ve kontrolleri
13.2.1 Bilgi transfer politikaları ve prosedürleri mevcut olmalıdır UYGULANABİLİR
Anlaşmalar, kuruluş ve dış taraflar arasındaki iş bilgileri’nin
13.2.2 Bilgi transferindeki anlaşmalar güvenli transferini ele almalıdır UYGULANABİLİR

13.2.3 Elektronik mesajlaşma Elektronik mesajlaşmadaki bilgi uygun şekilde korunmalıdır UYGULANABİLİR

Bilginin korunması için kuruluşun ihtiyaçlarını yansıtan gizlilik ya

da ifşa etmeme anlaşmalarının gereksinimleri tanımlanmalı,
13.2.4 Gizlilik ya da ifşa etmeme anlaşmaları düzenli olarak gözden geçirilmeli ve yazılı hale getirilmelidir UYGULANABİLİR

Bilgi güvenliğinin, bilgi sistemlerinin tüm yaşam döngüsü boyunca

14.1 Bilgi sistemlerinin güvenlik gereksinimleri
14.1.1 Bilgi güvenliği gereksinimleri analizi ve belirtimi
dâhili bir parçası olmasını sağlamak. Bu aynı zamanda halka açık
ağlar üzerinden hizmet sağlayan bilgi sistemleri gereksinimlerini
de içerir.
Bilgi güvenliği ile ilgili gereksinimler, yeni bilgi sistemleri
gereksinimlerine veya var olan bilgi sistemlerinin iyileştirmelerine
dâhil edilmelidir UYGULANABİLİR
 Halka açık ağlar üzerinden geçen uygulama hizmetlerindeki bilgi,
Halka açık ağlardaki uygulama hizmetlerinin güvenliğinin hileli faaliyetlerden, sözleşme ihtilafından ve yetkisiz ifşadan ve
14.1.2 sağlanması değiştirmeden korunmalıdır. UYGULANABİLİR

Uygulama hizmet işlemlerindeki bilgi eksik iletim, yanlış

14.1.3 Uygulama hizmet işlemlerinin korunması
14.2 Geliştirme ve Destek Süreçlerinde Güvenlik
yönlendirme, yetkisiz mesaj değiştirme, yetkisiz ifşayı, yetkisiz
mesaj çoğaltma ya da mesajı yeniden oluşturmayı önlemek için
korunmalıdır. UYGULANABİLİR
Bilgi güvenliğinin bilgi sistemleri geliştirme yaşam döngüsü
içerisinde tasarlanıyor ve uygulanıyor olmasını sağlamak

Uygulanmaz
Yazılım ve sistemlerin geliştirme kuralları belirlenmeli ve kuruluş
14.2.1 Güvenli geliştirme politikası içerisindeki geliştirmelere uygulanmalıdır.

Geliştirme yaşam döngüsü içerisindeki sistem değişiklikleri resmi

14.2.2 Sistem değişiklik kontrolü prosedürleri değişiklik kontrol prosedürlerinin kullanımı ile kontrol edilmelidir. UYGULANABİLİR

İşletim platformları değiştirildiğinde, kurumsal işlemlere ya da

İşletim platformu değişikliklerden sonra uygulamaların teknik güvenliğe hiçbir kötü etkisi olmamasını sağlamak amacıyla iş için
14.2.3 gözden geçirmesi kritik uygulamalar gözden geçirilmeli ve test edilmelidir UYGULANABİLİR

Yazılım paketlerine yapılacak değişiklikler, gerek duyulanlar hariç

14 Sistem 14.2.4 Yazılım paketlerindeki değişikliklerdeki kısıtlamalar önlenmeli ve tüm değişiklikler sıkı bir biçimde kontrol edilmelidir. UYGULANABİLİR
Edinimi,
Geliştirme ve
Bakımı

Uygulanmaz

Güvenli sistem mühendisliği prensipleri belirlenmeli, yazılı hale

getirilmeli ve tüm bilgi sistemi uygulama çalışmalarına
14.2.5 Güvenli sistem mühendisliği prensipleri uygulanmalıdır.
 Uygulanmaz

Kuruluşlar tüm sistem geliştirme yaşam döngüsünü kapsayan

sistem geliştirme ve bütünleştirme girişimleri için güvenli
14.2.6 Güvenli geliştirme ortamı geliştirme ortamları kurmalı ve uygun bir şekilde korumalıdır

Uygulanmaz

Kuruluş dışarıdan sağlanan sistem geliştirme faaliyetini

14.2.7 Dışarıdan sağlanan geliştirme denetlemeli ve izlemelidir

Uygulanmaz
Güvenlik işlevselliğinin test edilmesi, geliştirme süresince
14.2.8 Sistem güvenlik testi gerçekleştirilmelidir.

Kabul test programları ve ilgili kriterler, yeni bilgi sistemleri,

14.2.9 Sistem kabul testi yükseltmeleri ve yeni versiyonları için belirlenmelidir UYGULANABİLİR
14.3 Test Verisi Test için kullanılan verinin korunmasını sağlamak.
Tedarikçinin kuruluşun varlıklarına erişimi ile ilgili riskleri azaltmak
için bilgi güvenliği gereksinimleri tedarikçi ile kararlaştırılmalı ve
14.3.1 Test verisinin korunması yazılı hale getirilmelidir. UYGULANABİLİR

Kuruluşa ait tedarikçiler tarafından erişilen varlıkların korunmasını

15.1 Tedarikçi ilişkilerinde bilgi güvenliği sağlamak.
Tedarikçinin kuruluşun varlıklarına erişimi ile ilgili riskleri azaltmak
için bilgi güvenliği gereksinimleri tedarikçi ile kararlaştırılmalı ve
15.1.1 Tedarikçi ilişkileri için bilgi güvenliği politikası yazılı hale getirilmelidir. UYGULANABİLİR

Kuruluşun bilgisine erişebilen, bunu işletebilen, depolayabilen,

iletebilen veya kuruluşun bilgisi için bilgi teknolojileri altyapı
bileşenlerini temin edebilen tedarikçilerin her biri ile anlaşılmalı ve
15.1.2 Tedarikçi anlaşmalarında güvenliği ifade etme ilgili tüm bilgi güvenliği gereksinimleri oluşturulmalıdır UYGULANABİLİR
Tedarikçiler ile yapılan anlaşmalar, bilgi ve iletişim teknolojileri
hizmetleri ve ürün tedarik zinciri ile ilgili bilgi güvenliği risklerini
15.1.3 Bilgi ve iletişim teknolojileri tedarik zinciri ifade eden şartları içermelidir. UYGULANABİLİR

Tedarikçi anlaşmalarıyla uyumlu olarak kararlaştırılan seviyede bir

15 Tedarikçi 15.2 Tedarikçi hizmet sağlama yönetimi bilgi güvenliğini ve hizmet sunumunu sürdürmek
İlişkileri
 15 Tedarikçi
İlişkileri

Kuruluşlar düzenli aralıklarla tedarikçi hizmet sunumunu izlemeli,

15.2.1 Tedarikçi hizmetlerini izleme ve gözden geçirme gözden geçirmeli ve tetkik etmelidir UYGULANABİLİR

Mevcut bilgi güvenliği politikalarını, prosedürlerini ve kontrollerini

sürdürme ve iyileştirmeyi içeren tedarikçilerin hizmet tedariki
değişiklikleri, ilgili iş bilgi, sistem ve dâhil edilen süreçlerin
kritikliğini ve risklerin yeniden değerlendirmesini hesaba katarak
15.2.2 Tedarikçi hizmetlerindeki değişiklikleri yönetme yönetilmelidir. UYGULANABİLİR

Bilgi güvenliği ihlal olaylarının yönetimine, güvenlik olayları ve

açıklıklar üzerindeki bağlantısını da içeren, tutarlı ve etkili
16.1 Bilgi güvenliği ihlal olaylarının ve iyileştirilmelerin yönetimi yaklaşımın uygulanmasını sağlamak

Bilgi güvenliği ihlal olaylarına hızlı, etkili ve düzenli bir yanıt

verilmesini sağlamak için yönetim sorumlulukları ve prosedürleri
16.1.1 Sorumluluklar ve prosedürler oluşturulmalıdır. UYGULANABİLİR

Bilgi güvenliği olayları uygun yönetim kanalları aracılığı ile

16.1.2 Bilgi güvenliği olaylarının raporlanması olabildiğince hızlı bir şekilde raporlanmalıdır. UYGULANABİLİR

Kuruluşun bilgi sistemlerini ve hizmetlerini kullanan çalışanlardan

ve yüklenicilerden, sistemler veya hizmetlerde gözlenen veya
şüphelenilen herhangi bir bilgi güvenliği açıklığına dikkat etmeleri
16.1.3 Bilgi güvenliği açıklıklarının raporlanması ve bunları raporlamaları istenmelidir UYGULANABİLİR
16 Bilgi
Güvenliği İhlal
Olayı Yönetimi
Bilgi güvenliği olayları değerlendirilmeli ve bilgi güvenliği ihlal olayı
16.1.4 Bilgi güvenliği olaylarında değerlendirme ve karar verme olarak sınıflandırılıp sınıflandırılmayacağına karar verilmelidir. UYGULANABİLİR

Bilgi güvenliği ihlal olaylarına, yazılı prosedürlere uygun olarak

16.1.5 Bilgi güvenliği ihlal olaylarına yanıt verme yanıt verilmelidir UYGULANABİLİR
 Bilgi güvenliği ihlal olaylarının analizi ve çözümlemesinden
kazanılan tecrübe gelecekteki ihlal olaylarının gerçekleşme
16.1.6 Bilgi güvenliği ihlal olaylarından ders çıkarma olasılığını veya etkilerini azaltmak için kullanılmalıdır. UYGULANABİLİR

Kuruluş kanıt olarak kullanılabilecek bilginin teşhisi, toplanması,

edinimi ve korunması için prosedürler tanımlamalı ve
16.1.7 Kanıt toplama uygulamalıdır. UYGULANABİLİR

Bilgi, güvenliği sürekliliği kuruluşun iş sürekliliği yönetim sistemlerinin

17.1 Bilgi Güvenliği Sürekliliği içerisine dahil edilmelidir
Kuruluş olumsuz durumlarda, örneğin bir kriz ve felaket boyunca,
bilgi güvenliği ve bilgi güvenliği yönetimi sürekliliğinin
17.1.1 Bilgi güvenliği sürekliliğinin planlanması gereksinimlerini belirlemelidir. UYGULANABİLİR

Kuruluş, olumsuz bir olay süresince bilgi güvenliği için istenen

düzeyde sürekliliğin sağlanması için prosesleri, prosedürleri ve
kontrolleri kurmalı, yazılı hale getirmeli, uygulamalı ve
17.1.2 Bilgi güvenliği sürekliliğinin uygulanması sürdürmelidir. UYGULANABİLİR
17 İş Sürekliliği
Yönetiminin
Bilgi Güvenliği
Hususları Kuruluş, oluşturulan ve uygulanan bilgi güvenliği sürekliliği
kontrollerinin, olumsuz olaylar süresince geçerli ve etkili
Bilgi güvenliği sürekliliğinin doğrulanması,gözden geçirilmesi ve olduğundan emin olmak için belirli aralıklarda doğruluğunu
17.1.3 değerlendirilmesi sağlamalıdır. UYGULANABİLİR
17.2 Yedek Fazlalıklar Bilgi işleme olanaklarının erişilebilirliğini temin etmek

Bilgi işleme olanakları, erişilebilirlik gereksinimlerini karşılamak

17.2.1 Bilgi işleme olanaklarının erişilebilirliği için yeterli fazlalık ile gerçekleştirilmelidir UYGULANABİLİR

Yasal, meşru, düzenleyici veya sözleşmeye tabi yükümlülüklere

18.1 Yasal ve sözleşmeye tabi gereksinimlerle uyum ve her türlü güvenlik gereksinimlerine ilişkin ihlalleri önlemek.

İlgili tüm yasal mevzuat, düzenleyici, sözleşmeden doğan şartları

ve kuruluşun bu gereksinimleri karşılama yaklaşımı her bilgi
Uygulanabilir yasaları ve sözleşmeye tabi gereksinimleri sistemi ve kuruluşu için açıkça tanımlanmalı, yazılı hale getirilmeli
18.1.1 tanımlama ve güncel tutulmalıdır UYGULANABİLİR
 Fikri mülkiyet hakları ve patentli yazılım ürünlerinin kullanımı
üzerindeki yasal, düzenleyici ve anlaşmalardan doğan şartlara
18.1.2 Fikri mülkiyet hakları uyum sağlamak için uygun prosedürler gerçekleştirilmelidir. UYGULANABİLİR

Kayıtlar kaybedilmeye, yok edilmeye, sahteciliğe, yetkisiz erişime

ve yetkisiz yayımlamaya karşı yasal, düzenleyici, sözleşmeden
18.1.3 Kayıtların korunması doğan şartlar ve iş şartlarına uygun olarak korunmalıdır. UYGULANABİLİR

18 Uyum
Kişiyi tespit bilgisinin gizliliği ve korunması uygulanabilen yerlerde
Kişi tespit bilgisinin gizliliği ve korunması 18.1.4 ilgili yasa ve düzenlemeler ile sağlanmalıdır UYGULANABİLİR

Kriptografik kontroller tüm ilgili sözleşmeler, yasa ve

Kriptografik kontrollerin düzenlemesi 18.1.5 düzenlemelere uyumlu bir şekilde kullanılmalıdır. UYGULANABİLİR
Bilgi güvenliğinin kurumsal politika ve prosedürler uyarınca
18.2 Bilqi qüvenliği gözden geçirmeleri gerçekleştirilmesini ve yürütülmesini sağlamak

Kuruluşun bilgi güvenliğine ve uygulamasına(örn. bilgi güvenliği

için kontrol hedefleri, kontroller, politikalar, prosesler ve
prosedürler) yaklaşımı belirli aralıklarla veya önemli değişiklikler
18.2.1 Bilgi güvenliğinin bağımsız gözden geçirmesi meydana geldiğinde bağımsız bir şekilde gözden geçirilmelidir UYGULANABİLİR

Yöneticiler kendi sorumluluk alanlarında bulunan, bilgi işleme ve

prosedürlerin, uygun güvenlik politikaları, standartları ve diğer
güvenlik gereksinimleri ile uyumunu düzenli bir şekilde gözden
18.2.2 Güvenlik politikaları ve standartları ile uyum geçirmelidir. UYGULANABİLİR

Kuruluşun bilgi güvenliği politika ve standartları ile uyumu için bilgi

18.2.3 Teknik uyum gözden geçirmesi sistemleri düzenli bir şekilde gözden geçirilmelidir. UYGULANABİLİR
 Kontrollerin Seçilme
Yorumlar(Hariç Nedenleri Yorumlar (Uygulama
Doküman No. Uygulanan Kontroller
Tutma Nedeni) YG SZ IG RDS
Yorumları)

Kurum Bilgi güvenliğini

BGPOL.01 POLİTİKA BGPOL.01 POLİTİKA REV.00 01.12.2016 uyguladığı politika ve
REV.00 01.12.2016 X X prosedürler ile güvence altına
alır.
Kurum Periyodik yaptığı iç
denetim, ygg ve dış
İç denetim ve YGG X x deneyimler ile sistemini
kayıtları İç Denetimler ve YGG gözden geçirir

x x BGYS DÖKÜMANI MADDE 4-

13 ARASINDA BGS
BGYS DÖKÜMANI MADDE 4-13 SORUMLULUKLARI TAHSİS
GÖREV TANIMLARI ARASINDA BGS SORUMLULUKLARI EDİLMİŞ VE
X x
TAHSİS EDİLMİŞ VE TANIMLANMIŞTIR TANIMLANMIŞTIR
GÖREV TANIMLARI
BGYS DÖKÜMANI MADDE 4-
BGYS DÖKÜMANI MADDE 4-13 13 ARASINDA BGS
ARASINDA BGS SORUMLULUKLARI X x SORUMLULUKLARI TAHSİS
TAHSİS EDİLMİŞ,TANIMLANMIŞ VE EDİLMİŞ,TANIMLANMIŞ VE
AYRIŞTIRILMIŞTIR. AYRIŞTIRILMIŞTIR.
BİLGİ GÜVENLİ POLİTİKASI
BİLGİ GÜVENLİ POLİTİKASI MADDE 6 X x MADDE 6 İLGİLİ TARAFLAR
POL.PFR.BGYR.01 İLGİLİ TARAFLAR TANIMLANMIŞTIR. TANIMLANMIŞTIR.
BİLGİ GÜVENLİ POLİTİKASI
BİLGİ GÜVENLİ POLİTİKASI MADDE 6 X x MADDE 6 İLGİLİ TARAFLAR
POL.PFR.BGYR.01 İLGİLİ TARAFLAR TANIMLANMIŞTIR. TANIMLANMIŞTIR.
BİLGİ GÜVENLİĞİ İŞ
BİLGİ GÜVENLİĞİ İŞ SÜREKLİLİĞİ x SÜREKLİLİĞİ PROSEDÜRÜ
PROSEDÜRÜ MADDE 7.8 MADDE 7.8
PRS.PFR.İSP.01 TANIMLANMIŞTIR TANIMLANMIŞTIR

Bilgi güvenliği politikası

Bilgi güvenliği politikası taşınabili cihazlar x taşınabili cihazlar madde 50 de
POL.PFR.BGYR.01 madde 50 de tanımlanmıştır. tanımlanmıştır.
Bilgi güvenliği politikası
Bilgi güvenliği politikası taşınabili cihazlar x taşınabili cihazlar madde 48-
POL.PFR.BGYR.01 madde 48-49 da tanımlanmıştır. 49 da tanımlanmıştır.
 x Personel seçme ve yerleştirme
Personel seçme ve yerleştirme prosedürü madde 6.2.1
PSR.PFR.İK.01 prosedürü madde 6.2.1 tanımlanmıştır. tanımlanmıştır.

Sözleşmelerde BGYS uygulaması x x Sözleşmelerde BGYS

FRM.PFR.BGYR.03.01belirtilmiştir. uygulaması belirtilmiştir.

x BG politikası madde 7
POL.PFR.BGYR.01 BG politikası madde 7 tanımlanmıştır tanımlanmıştır

x
BG politikası madde 22
POL.PFR.BGYR.01 BG politikası madde 22 tanımlanmıştır tanımlanmıştır
BG politikası madde 64
BG politikası madde 64 yaptırımlar ve x x yaptırımlar ve disiplin süreci
POL.PFR.BGYR.01 disiplin süreci olarak tanımlanmıştır olarak tanımlanmıştır

Personel seçme,
Personel seçme, yerleştirme, izin
yerleştirme, izin ve çıkış
ve çıkış prosedürü madde 6.3 x
prosedürü madde 6.3
tanımlanmıştır.
PRS.PFR.İK.001 tanımlanmıştır.

Bu dokümanda Varlık
Bu dokümanda Varlık envanteri
envanteri sheet'inde
sheet'inde varlık envanteri listesi
varlık envanteri listesi
bulunmaktadır.
FRM.PFR.BGYR.01 bulunmaktadır.
Bu dokümanda Varlık
Bu dokümanda Varlık envanteri
envanteri sheet'inde
sheet'inde varlık sahibi stünunda x x
varlık sahibi stünunda
tanımlanmıştır
FRM.PFR.BGYR.01 tanımlanmıştır

Bilgi sistemleri kullanım sistemlerinde x x Bilgi sistemleri kullanım

STD.PFR.BGYR.02 tanımlanmıştr. sistemlerinde tanımlanmıştr.
 İdari işler ve kalite
İdari işler ve kalite yoneticisi
Zimmet yoneticisi tarafından takip
tarafından takip edilmekte ve
tutanaklarıyla x x edilmekte ve Kişilerin
Kişilerin özlük dosyalarında
sağlanmaktadır. özlük dosyalarında
bulunmaktadır.
bulunmaktadır.

STD.PFR.BGRY.01_Varlık
Belirleme ve sınıflandırma
BGYS-FR.10 RİSK ANALİZİ RİSK standardı VE VARLIK
x x
İŞLEME PLANI VE VARLIK ENVANTERİ ENVANTERİ dokümanında
Varlık envanteri sayfasında
varlık envanteri listesi
STD.PFR.BGYR.01 bulunmaktadır.

BGYS-FR.10 RİSK ANALİZİ

BGYS-FR.10 RİSK ANALİZİ RİSK RİSK İŞLEME PLANI VE
İŞLEME PLANI VE VARLIK ENVANTERİ VARLIK ENVANTERİ
STD.PFR.BGRY.01- dokümanında Varlık envanteri
FRM.PFR.BGRY.01 sheet'inde varlık envanteri
Varlık_envanteri listesi bulunmaktadır.

STD.PFR.BGRY.01
Standardında sınıflandırılan
POL.PFR.BGRY.01 x x kurum varlıkları BG
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik Politikasında uygun kullanım
Politikası PolitikasıMadde 28, 37, 40, 44,45,, 50 yöntemleri tanımlanmıştır.

POL.PFR.BGRY.01 Bilgi
x x Güvenlik Politikası Madde 50
POL.PFR.BGRY.01 de Mobil Cihazların kullanım
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik türleri, yapılması gerekenler ve
Politikası Politikası Madde 50 sorumluluklar tanımlanmıştır.

POL.PFR.BGRY.01 Bilgi
Güvenlik Politikası Madde 59
POL.PFR.BGRY.01 x x da İmha yöntemleri ve
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik yapılması gerekenler
Politikası Politikası Madde 59 tanımlanmıştır.

Bilgi Sistemleri kullanımı

Standardında açıkça ifade
POL.PFR.BGRY.01 x x edilmiştir. Ayrıca Kurum
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik içerisinde Fiziksel erişim
Politikası Politikası Madde 26, 27, 28 kontrolü uygulanmaktadır.
POL.PFR.BGRY.01 Erişimler talep-onay
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik x x mekanizması içerisinde
Politikası Politikası Madde 48 kontrollü yapılmaktadır.
Bilgi Sistemleri kullanımı
POL.PFR.BGRY.01 x x standardında kurallar açıkça
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik belirtilmiş kontroller
Politikası Politikası Madde 48 tanımlanmıştır.

POL.PFR.BGRY.01 Erişimler talep-onay

Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik x x mekanizması içerisinde
Politikası Politikası Madde 48, 49 kontrollü yapılmaktadır
POL.PFR.BGRY.01 Erişimler talep-onay
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik x x mekanizması içerisinde
Politikası Politikası Madde 48, 49 kontrollü yapılmaktadır
POL.PFR.BGRY.01 Erişimler talep-onay
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik x x mekanizması içerisinde
Politikası Politikası Madde 48, 49 kontrollü yapılmaktadır
Yöntem Kurum tarafından
POL.PFR.BGRY.01 x x standart olarak belirlenmiş
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik sistem tarafından
Politikası Politikası Madde 48, 49 yapılmaktadır.
POL.PFR.BGRY.01 Erişimler talep-onay
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik x x mekanizması içerisinde
Politikası Politikası Madde 48, 49 kontrollü yapılmaktadır

POL.PFR.BGRY.01 x x Erişimler talep-onay

Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik mekanizması içerisinde
Politikası Politikası Madde 48, 49 kontrollü yapılmaktadır

POL.PFR.BGRY.01 Kurum içerisinde Erişimler gizli

Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik kimlik bilgileri ile yapılmaktadır
Politikası Politikası Madde 49 x ve paylaşaımı yasaklanmıştır.

Kurum Kullanıcı tiplerinin

POL.PFR.BGRY.01 erişimlerini prosedürlerle ve
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik uygun teknolojik yatırımlar ile
Politikası-BGYS Politikası Madde 47, 49 BGYS Madde 22 x kısıtlamıştır.

Kurum Kullanıcı tiplerinin

erişimlerini erişim politikasına
POL.PFR.BGRY.01 uygun olarak active directory
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik ve evrim programı ile
Politikası Politikası Madde 49 x yapmaktadır.
Kurum erişim politikası ve alt
yapısına uygun olarak iç ve dış
POL.PFR.BGRY.01 Bilgi Güvenlik erişme göre parola politikası
BGYS Madde 11, 12 Politikası Madde 48, 49 x uygulamaktadır.
POL.PFR.BGRY.01 Kurum ayrıcalıklı yazılımların
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik kullanımına dir erişim politikası
Politikası Politikası Madde 48, 49 x uygulamaktadır.

POL.PFR.BGRY.01 Erişim kontrolü dahilinde

Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik kullanıcılar program kaynak
Politikası Politikası Madde 48, 49 x koduna erişimleri kısıtlanmıştır.

POL.PFR.BGRY.01
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik Kurum elektronik iletişimlerinde
Politikası Politikası madde 68 x x SSL şifreleem kullanmaktadır.

Kuum elektronik iletişimlerinde

SSL şifreleem
POL.PFR.BGRY.01 kullanmaktadır.ve Anahtar
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik yapıları yıllık olarak kontrol
Politikası Politikası madde 68 x x edilir.

KurumFiiksel alanlar için

güvenlik politikası
uygulamaktadır. Bu bağlamda
kartlı giriş, CCTV sistemi
kullanılmaktadır. Ek olarak
Bina güvenlik sistemi 7/24 aktif
BGYS BGYS Madde 8 x x olarak bulunmaktadır.

KurumFiiksel alanlar için

güvenlik politikası
uygulamaktadır. Bu bağlamda
kartlı giriş, CCTV sistemi
kullanılmaktadır. Ek olarak
Bina güvenlik sistemi 7/24 aktif
BGYS BGYS Madde 9 olarak bulunmaktadır.

KurumFiiksel alanlar için

güvenlik politikası
uygulamaktadır. Bu bağlamda
kartlı giriş, CCTV sistemi
kullanılmaktadır. Ek olarak
Bina güvenlik sistemi 7/24 aktif
BGYS BGYS Madde 9 olarak bulunmaktadır.
 KurumFiiksel alanlar için
güvenlik politikası
uygulamaktadır. Bu bağlamda
kartlı giriş, CCTV sistemi
kullanılmaktadır. Ek olarak
Bina güvenlik sistemi 7/24 aktif
BGYS BGYS Madde 9 olarak bulunmaktadır.

KurumFiiksel alanlar için

güvenlik politikası
uygulamaktadır. Bu bağlamda
kartlı giriş, CCTV sistemi
kullanılmaktadır. Ek olarak
Bina güvenlik sistemi 7/24 aktif
BGYS BGYS Madde 9 ISG Uygulaması olarak bulunmaktadır.

KurumFiiksel alanlar için

güvenlik politikası
uygulamaktadır. Bu bağlamda
kartlı giriş, CCTV sistemi
kullanılmaktadır. Ek olarak
Bina güvenlik sistemi 7/24 aktif
BGYS BGYS Madde 9 ISG Uygulaması olarak bulunmaktadır.

KurumFiiksel alanlar için

güvenlik politikası
uygulamaktadır. Bu bağlamda
kartlı giriş, CCTV sistemi
POL.PFR.BGRY.01 kullanılmaktadır. Ek olarak
Bilgi Güvenlik Bina güvenlik sistemi 7/24 aktif
Politikası BGYS Madde 9 x olarak bulunmaktadır.

Kurum Teçhizat risklerini

azaltmak için teçhizat
bakımlarını yapmakta ve takip
POL.PFR.BGRY.01 etmektedir. Ayrıca Kurum Bina
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik Yönetimine ait UPS Cihazı
Politikası Politikası madde 53 -a, b, c,d x kullanmaktadır.

KurumFiiksel alanlar için

güvenlik politikası
uygulamaktadır. Bu bağlamda
kartlı giriş, CCTV sistemi
POL.PFR.BGRY.01 kullanılmaktadır. Ek olarak
Bilgi Güvenlik Bina güvenlik sistemi 7/24 aktif
Politikası BGYS Madde 9 x olarak bulunmaktadır.
 Kurum Teçhizat risklerini
POL.PFR.BGRY.01 azaltmak için teçhizat
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik bakımlarını yapmakta ve takip
Politikası Politikası madde 53 -a, b, c,d x etmektedir.
Kurum Teçhizat risklerini
POL.PFR.BGRY.01 azaltmak için teçhizat
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik bakımlarını yapmakta ve takip
Politikası Politikası madde 53 -a, b, c,d x etmektedir.

Kurum dışarısında sadece

mobil cihazlar bulunmaktadır
ve Kurum cihazlarla ilgili
POL.PFR.BGRY.01 riskleri gidermek için taşınabilir
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik cihazlar politikası
Politikası Politikası madde 51 x uygulamaktadır.

Kurum Taşınabilir cihazlar ve

POL.PFR.BGRY.01 imha politikası ile hassas
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik verilerin güvenliğini güvence
Politikası Politikası madde 51, 60 x altına alır.

Kurum taşınabilir gözetimsiz

cihazları güvence altına alma
POL.PFR.BGRY.01 amacıyla taşınabilir cihazlar
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik politikası ve Parola yönetimi
Politikası Politikası madde 51 x uygular.
Bilgi Sistemleri kullanımı
POL.PFR.BGRY.01 standardında kurallar açıkça
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik belirtilmiş kontroller
Politikası Politikası madde 46 x tanımlanmıştır.

POL.PFR.BGRY.01
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik
Politikası, BGYS Politikası, BGYS x Kurum ISO 27001:2013 standartına uygun p

BGYS BGYS Madde 10 x Kurum gerekli değişikliklerin yönetimi ile il

POL.PFR.BGRY.01
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik
Politikası, BGYS Politikası madde 36 x Kurum büyümeyle orantılı olarak kapasite pl
Firmamızda
geliştirme faaliyeti
yapılmayıp bu
faaliyetler tedarikçi
POL.PFR.BGRY.01 tarafından
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik
Politikası Politikası madde 55 üstlenilmiştir. x Kurum Geliştirme yapmamaktadır. Sadece Yede
 Kurum Kötücül yazılımlar için
Kurumsal anti virüs yazılımı ve
yedekleme prosedürü
POL.PFR.BGRY.01 kullanmaktadır. Ayrıca
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik kötüücül yazılımlara karşı
Politikası Politikası madde 38, 60 bilgilendirmede yapılmaktadır.

POL.PFR.BGRY.01 Kurum veri kaybını engellemek

Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik için yedekleme ve iş sürekliliği
Politikası Politikası madde 60 prosedürü kullanmaktadır.

POL.PFR.BGRY.01 Kurum sistem kayıtlarını yazılı

Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik sistemkayıtlrı politikası gereği
Politikası Politikası madde 30 x x tutmaktadır.

Sistem kayıtlarına erişimde

POL.PFR.BGRY.01 yetkilendirilmiş tedarikçi görev
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik yapmaktadır. Erişim kontrol
Politikası Politikası madde 30, 31 x politikası uygulanmaktadır.
Kurum yönetici kayıtları dahi
POL.PFR.BGRY.01 her türlü sistem olayını
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik kaydetmektedir ve
Politikası Politikası madde 30, 31, 35 x yedeklemektedir.
Kurum sistem saati Kurum
POL.PFR.BGRY.01 Alan yönetim sunucu
Bilgi Güvenlik tarafından otomatik olarak
Politikası BGYS madde 19 x x x yönetilmektedir.

Kurum yazılım kurumları için

tedarikçi anlaşması vardır.
POL.PFR.BGRY.01 Yanısıra yazılım kurulum
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik kontrolü için erişim kontrolü ve
Politikası Politikası madde 37 x x yazılım kullanımı belirlemiştir.

POL.PFR.BGRY.01 Kurum sistem loglarını ve

Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik kullanıcı tavsyelerini periyodik
Politikası Politikası madde 30 x aralıklarla denetlemektedir.

Kurum yazılım kurumları için

tedarikçi anlaşması vardır.
POL.PFR.BGRY.01 Yanısıra yazılım kurulum
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik kontrolü için erişim kontrolü ve
Politikası Politikası madde 37 x yazılım kullanımı belirlemiştir.
PRS.PRF.KM.07
DÜZELTİCİ , PRS.PRF.KM.07 DÜZELTİCİ , ÖNLEYİCİ Kurum İşletim sistemlerinin
ÖNLEYİCİ FAALİYETLER VE VERİ ANALİZİ gereksinimleri ve diğer
FAALİYETLER VE PROSEDÜRÜ, POL.PFR.BGRY.01 Bilgi planlama unsurlarını periyodik
VERİ ANALİZİ Güvenlik Politikası madde 36 Kapasite denetimlerle denetler ve analiz
PROSEDÜRÜ Planlama x eder.

POL.PFR.BGRY.01 Kurum Bilgi sistemlerini kontrol

Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik amacıyla ağ yönetim politikası
Politikası, Politikası madde 39 İletişim Ağı Yönetimi, tanımlamıştır ve
STD.PFR.BGRY.02 BGYS Madde 18 x yetkilendirmeleri ayrıştırmıştır.

Kurum ağ yönetimi
politikasında hizmetleri ve
POL.PFR.BGRY.01 yönetim gereksinimlerini
Bilgi Güvenlik tanımlamıştır. Ve bu kararlar
Politikası, periyodik olarak YGG lerde
STD.PFR.BGRY.02 BGYS Madde 17, 18 x gözden geçirilmektedir.
POL.PFR.BGRY.01
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik Kurum Ayrı kullanıcı haklar ile
Politikası Politikası madde 50 x ayrıştırılmıştır

POL.PFR.BGRY.01 Kurum Bilgiyazılımı

Uygulama transferinin hangi
tedariği
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik araçlarla ve koşullarda
yapan firma ile yapılan
Politikası
POL.PFR.BGRY.01 Politikası madde 41 x yapılacağını
anlaşmada bu belirlemiştir.
kontroller
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik kapsanacak şekilde ilişki
Politikası Politikası madde 53 x x kurulmuştur
Bilgi Sistemleri kullanımı
POL.PFR.BGRY.01 Standardında ve BG
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik politikasında kontroller ile
Politikası Politikası x beraber kapsanmıştır

Kurum gerek personel gerek

FRM.PFR.İK.001.05 tedarikçileri ile gizlilik
Personel GİZLİLİK FRM.PFR.İK.001.05 Personel GİZLİLİK anlaşmaları yaparak firma
Sözleşmesi Sözleşmesi x x bilgisini korumayı amaçlar.

POL.PFR.BGRY.01 Kurum Kapasite planlaması,

Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik ve güvenlik gereksinimlerini
Politikası Politikası madde 36, 56 x analiz ederek degerlendirir.
 Web sitesi ile ilgili içerik
kontrolleri tedarikçi firma
tarafından yapılmaktadır. Yanı
POL.PFR.BGRY.01 sıra internet üzerinden gelecek
Bilgi Güvenlik saldırılar için firewall
Politikası Erişim Denetimi ve kripkografik kontroller x kullanılmaktadır.

POL.PFR.BGRY.01 Kurum yetki ayrıştırması ile

Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik izinsiz ve hatalı kullanımı
Politikası Politikası x engellemektedir.

Kurum yazılım
geliştirmemektedir.
POL.PFR.BGRY.01 Uygulananbilir olması
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik durumunda kurum bir politika
Politikası Politikası madde 55 x belirlemiştir

Kurum yazılım
geliştirmemektedir. Ancak
yazılımların güncellenmesi
hususunu göz önünde
POL.PFR.BGRY.01 bulundurur ve gerekli sistem
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik değişikliklerini uygun
Politikası Politikası madde 32,54,55 x politikalarla destekler.

Kurum İşletim platformu

değişikliklerini değişim
POL.PFR.BGRY.01 yönetimi olarak görmektedir ve
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik uygun politikalar
Politikası Politikası madde 55, 57, 58 x uygulamaktadır.

POL.PFR.BGRY.01 Kurum erişim politikası

Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik uygulamaktadır ve kullanıcılara
Politikası Politikası x yönetici yetkisi verilmemktedir.

Kurum yazılım
geliştirmemektedir. Ancak
yazılımların güncellenmesi
hususunu göz önünde
bulundurur ve gerekli sistem
değişikliklerini uygun
politikalarla destekler. BGYS
POL.PFR.BGRY.01 kurumun ve bilgi sistemlerinin
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik güvenli sistem müh. Prensipleri
Politikası Politikası madde 55 x ile uyumlu olmasını sağlar.
 Kurum yazılım
geliştirmemektedir. Ancak
yazılımların güncellenmesi
hususunu göz önünde
bulundurur ve gerekli sistem
değişikliklerini uygun
politikalarla destekler. BGYS
kurumun ve bilgi sistemlerinin
güvenli sistem müh. Prensipleri
x ile uyumlu olmasını sağlar.

Kurum Dışarıdan yazılım

geliştirmemektedir. Kurum bu
kontrolü sözleşmeler
aracılığıyla sağlamaktadır.
Uygulananbilir olması
durumunda kurum bir politika
x belirlemiştir

Kurum yazılım
geliştirmemektedir.
Uygulananbilir olması
durumunda kurum bir politika
x belirlemiştir

Kurum sistem kabulü ve

POL.PFR.BGRY.01 güncellemeleri uygun
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik politikalarına göre yapmaktadır
Politikası Politikası madde 55, 57, 58 x ve geliştirme yapmamaktadır.

Kurum tedarikçileri ile verinin

ifşasına dair gizlilik anlaşmaları
Gizlilik anlaşmaları x x yapmaktadır.

Kurum tedarikçileri ile verinin

ifşasına dair gizlilik anlaşmaları
Gizlilik anlaşmaları x x yapmaktadır.

Kurum tedarikçileri ile verinin

ifşasına dair gizlilik anlaşmaları
Gizlilik anlaşmaları x x yapmaktadır.
Kurum tedarikçileri ile verinin
Tedarikçi anlaşmaları ifşasına dair gizlilik anlaşmaları
ve gizlilik anlaşmları x x yapmaktadır.
 Kurum ISO 9001:2008
Kapsamında Tedarikçi
değerlendirme politikası
uygulamaktadır ve periyodik
yönetim toplantılarında hizmet
PRS.PRF.KM.08 TEDARİKÇİ YÖNETİMİ kalitesini gözden
PRS.PRF.KM.08 PROSEDÜRÜ x geçirmektedir.

Kurum ISO 9001:2008

Kapsamında Tedarikçi
değerlendirme politikası
uygulamaktadır ve periyodik
yönetim toplantılarında hizmet
kalitesini gözden geçirmektedir
PRS.PRF.KM.08, PRS.PRF.KM.08 TEDARİKÇİ YÖNETİMİ ve yapılan risk analizinde
FRM PFR BGRY PROSEDÜRÜ, FRM PFR BGRY 09_Risk gerekli riskleri
09_Risk Analizi Analizi x değerlendirmektedir.

Kurum BG ihlal olaylarınının

yönetimi için ilgili prosedürü
POL.PFR.BGRY.01 uygulamaktadır ve
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik sorumluluklar politika
Politikası, BG ihlal Politikası madde 30 D ve 6, BG ihlal dökümanı sorumlulular
politikası politikası x x kısmında tanımlanmıştır.
Kurum BG ihlal olaylarınının
yönetimi ve raporlanması için
ilgili prosedürü
BG ihlal politikası BG ihlal politikası x x uygulamaktadır.

Kurum BG ihlal olaylarınının

yönetimi için ilgili prosedürü
uygulamaktadır ve
sorumluluklar politika
BG ihlal politikası, dökümanı sorumlulular
BGYS BG ihlal politikası, BGYS Madde 1-b x x kısmında tanımlanmıştır.

Kurum BG ihlal olaylarınının

yönetimi için ilgili prosedürü
uygulamaktadır ve
sorumluluklar politika
BG ihlal politikası, dökümanı sorumlulular
BGYS BG ihlal politikası, BGYS x kısmında tanımlanmıştır.

Kurum BG ihlal olaylarınının

yönetimi için ilgili prosedürü
uygulamaktadır ve
sorumluluklar politika
BG ihlal politikası, dökümanı sorumlulular
BGYS BG ihlal politikası, BGYS x kısmında tanımlanmıştır.
 Kurum BG ihlal olaylarınının
yönetimi için ilgili prosedürü
BG ihlal politikası, uygulamaktadır ve İhlal olayları
BGYS BG ihlal politikası, BGYS x YGG lerde görüşülmetedir.

Kurum BG ihlal olaylarınının

yönetimi için ilgili prosedürü
uygulamaktadır ve kayıt ve
analiz değerlendirmesi için
BG ihlal politikası, sistem kayıtları
BGYS BG ihlal politikası, BGYS x kullanılmaktadır.

Kuruluş iş sürekliliği prosedürü

BGYS, İş Sürekliliği ve yedekleme prosedürü
Prosedürü BGYS, İş Sürekliliği Prosedürü x uygulamaktadır.

Kurum iş sürekliliği
prosedürleri ile olumsuz
olaylara karşı hazırlıklıdır ve
BGYS, İş Sürekliliği olaylar YGG lerde görüşülerek
Prosedürü BGYS, İş Sürekliliği Prosedürü x önlemler alınır.

Kurum iş sürekliliği
prosedürleri ile olumsuz
olaylara karşı hazırlıklıdır ve
yıllık yapılan iç denetimlerle
doğruluğunu saglar. olaylar
BGYS, İş Sürekliliği BGYS, İş Sürekliliği Prosedürü, iç YGG lerde görüşülerek
Prosedürü denetim x önlemler alınır.

Kurum Bilgi sistemleri için

kapasite planlaması ve risk
analizi yapmaktadır. Yıllık
POL.PFR.BGRY.01 gözden geçirme Yönetim
Bilgi Güvenlik toplantılarında sonuçları
Politikası Kapasite planlaması x görüşülmektedir.

Kurum ilgili yasal zorunlulukları

tanımlamıştır ve gereklerine
uymaktadır. Yeni yasal
POL.PFR.BGRY.01 zorunluluklar gündeme
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik geldiğinde politikalar
Politikası Politikası madde 5, 62, 63 x x güncellenmektedir.
 Kurum ilgili yasal zorunlulukları
tanımlamıştır ve gereklerine
uymaktadır. Yeni yasal
POL.PFR.BGRY.01 zorunluluklar gündeme
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik geldiğinde politikalar
Politikası Politikası madde 62, 63 x x güncellenmektedir.

Kurum ilgili yasal zorunlulukları

tanımlamıştır. İlgili dökümanlar
ve kayıtlar yasal şartlara uygun
olarak yedeklenmekte ve
BGYS BGYS Madde 2, 8 x x x saklanmaktadır.

Kurum Personel bilgilerinin

korunmasını ve paylaşılmasını
uyguladığı politikalarla
BGYS BGYS Madde 6 Personel güvenliği x x güvence altına alır.

Kurum tüm yasal şartları göz

önünde bulundurmaktadır ve
POL.PFR.BGRY.01 uyumlu sertifikalar kullanarak
Bilgi Güvenlik POL.PFR.BGRY.01 Bilgi Güvenlik kendini güvence altına
Politikası Politikası madde 68 x x almaktadır.

Kurum periyodik iç denetim

YGG toplantıları ve
Belgelendirme denetimleri
BGYS BGYS madde 27 x x tesis etmektedir.

Kurum periyodik iç denetim

YGG toplantıları ve
Belgelendirme denetimleri
YGG YGG tutanakları x x tesis etmektedir.
Kurum periyodik iç denetim
YGG toplantıları ve
Belgelendirme denetimleri
YGG YGG ve iç denetim tutanakları x x tesis etmektedir.