Professional Documents
Culture Documents
EK ISO 27001 BGYS El Kitabı
EK ISO 27001 BGYS El Kitabı
İÇİNDEKİLER
Bilişim teknolojileri alanındaki tüm sistemler ve bağlı ürünleri ile endüstriyel ürünler, yazılım geliştirme ve
danışmanlık hizmetleri alanında hizmet sunmak amacıyla …. yılında kurulan ÖRNEK LTD. ŞTİ., bugün Türkiye’nin
bilişim teknolojileri alanında önde gelen ………… firmaları arasında yer almaktadır.
Kurulduğu günden bugüne, dünya çapında gerçekleştirdiği dev işbirliklerinin yanı sıra Türkiye’de farklı sektörlerde
faaliyet gösteren birçok kuruma, kaliteli ürün ve hizmet sunan ÖRNEK Şirketimiz, attığı doğru adımlarla yedi yıl gibi
kısa bir sürede, hızlı bir yükseliş gerçekleştirerek sektörün aranılan markaları arasında da yerini aldı.
Eylül 2020’de, Türkiye’de ilk olarak dünya markası bir bilgisayarın, üretimini yüzde yüz yerli sermaye ile
gerçekleştiren ve bir Türk markası olan ÖRNEK Firmamız, üretilen tüm bilgisayarların, montaj, kontrol, yazılım
yüklemeleri, test aşamaları, bakım ve garanti kontrollerinin gerçekleştirildiği üretim tesisi ise, günde yaklaşık 1500
adet kişisel bilgisayar (PC) üretimi kapasitesi ile hizmet veriyor.
Müşteri memnuniyeti odaklı hizmet anlayışı ile yoluna devam eden ÖRNEK Firmamız, kalitesinden ödün vermeden
üretimini gerçekleştirdiği ürünleri, aynı zamanda müşteri ihtiyacına paralel olarak geliştirdiği özel yazılımlar ile
birleştirerek, müşterilerine anahtar teslim çözümler sunuyor.
Üretim tesislerinde ISO 9001:2015 kalite standartları çerçevesinde hizmet sunan ÖRNEK Firmamız Bilişim, üretim
faaliyetlerinin yanı sıra Bankacılık, Telekomünikasyon, Finans, Perakende, Ulaştırma, Sağlık, Enerji ve Eğitim
alanlarında doğan bilişim teknolojileri ihtiyaçlarına da, yine ihtiyaca özel olarak geliştirdiği KİOSK, Sanal POS, Yakın
Alan İletişimi Teknolojisi (NFC) ve Akıllı Kart Sistemleri’ni kullanarak farklı yaklaşımlar geliştiriyor ve bu özel çözümleri
kullanıcıları ile buluşturuyor.
Terminallere yönelik AR-GE çalışmalarını da sürdüren ÖRNEK Firmamız, öncü ve başarılı kimliğinin yanı sıra kendisine
hedef Pazar seçtiği …….., ……… ve ………. Bölgelerin de lider kuruluş olma yönündeki hedefine ulaşmak için
çalışmalarına hızla devam ediyor.
4. KURULUŞUN BAĞLAMI
4.1 Kuruluşun ve Bağlamının Anlaşılması
Kuruluşumuz, 3.taraflara karşı bilgi güvenliğini sağlamak adına dokümante edilmiş bir BGYS’ni , tüm ticari
faaliyetlerimizi ve oluşabilecek riskleri kapsayacak şekilde kurmuş, gerçekleştirmiş, işletmekte, gözden geçirmekte,
sürdürmekte ve sürekli olarak geliştirmektedir.
Kuruluşumuz da, hizmet kalitemize etkisi bulunabilecek tüm “ISO 27001:2017” standart maddeleri, Bilgi Güvenliği
Yönetim Sistemi’nin kapsamına alınmıştır. Konuya ilave olarak şirketimizde ISO 9001:2015 ve ISO 27001:2017
standardıyla ilgili bazı dokümanlar entegre olarak hazırlanmış ve uygulamaya alınmıştır.
Kapsam
“Bilişim teknolojileri alanındaki tüm sistemler ve bağlı ürünler, endüstriyel ürünler, yeni nesil ödeme kaydedici
cihazlar, ar-ge hizmeti, yazılım geliştirme ve danışmanlık hizmetleri, ödeme sistemleri geliştirme, yönetim ve altyapı
hizmetleri, veri merkezi yönetim ve altyapı hizmetleri kapsamında bilgi güvenliğinin sağlanması”
Hariç Tutmalar
Kuruluşumuz, 3.taraflara karşı bilgi güvenliğini sağlamak adına dokümante edilmiş bir BGYS’ni , tüm ticari
faaliyetlerimizi ve oluşabilecek riskleri kapsayacak şekilde kurmuş, gerçekleştirmiş, işletmekte, gözden geçirmekte,
sürdürmekte ve sürekli olarak geliştirmektedir
5.LİDERLİK
5.2 Politika
ÖRNEK FİRMAMIZ aşağıda bulunan politikayı kurum içinde duyurmuş aynı zamanda İlgili tarafların erişebilmesi
için Web Sitesinde paylaşmıştır.
ÖRNEK FİRMAMIZ faaliyetleri esnasında hizmet vermekte olduğu müşterilerinin özel erişim/bağlantı bilgilerine,kritik
cihazlara ait özel konfigürasyon ve iletişim bilgilerine sahip olabilmektedir. Hizmet verilen kurum ve kuruluşların
güvenini temin etmek ve verdiğimiz hizmetler için kullandığımız bilgi varlıklarımızın güvenliğini sağlamamız öncelikli
amacımızdır.
Bu bağlamda; iş birliğinde bulunduğumuz müşteriler, resmi ve özel kurumlar ile ilişkilerimiz çok değerlidir. Sunmakta
olduğumuz hizmetlerin sürekliliği, elimizde tuttuğumuz bilgilerin gizliliği, müşterilerin veya kendi içimizdeki bilgi
varlıklarının bütünlüğü yüksek öneme sahiptir. Bu amaçla;
Risklerimizi sürekli gözden geçiriyor ve kabul edilebilir seviyenin üstündeki riskler için kontroller uyguluyoruz.
iş kazalarını en aza indirmek, yeni veya boşalacak kadrolara eleman yetiştirmek ve iş başı eğitimlerini vermek
suretiyle eğitim ihtiyaçları giderilir. Eğitim Sorumlusu Kalite Yönetim Temsilcisi’dir.
Eğitim toplantıları her yılın ocak ayı içinde, geçmiş yılın eğitim çalışmalarını değerlendirmek, eğitim ihtiyaçlarını
gözden geçirmek ve gelecek yıla ait Kalite Yönetim Sistemi&Bilgi Güvenliği Yönetim Sistemi şeklinde entegre
edilmiş “ Yıllık Eğitim Planını ” oluşturmak için toplanır. Bu toplantıya Genel Müdür, Kalite Yönetim Temsilcisi ve
Birim Sorumluları katılır. Yıllık eğitim planı tüm Birim Sorumlularına bilgisayar ortamında dağıtılır.
Eğitim toplantıları, yıl sonu toplantısı haricinde, gerek görüldüğü veya talepte bulunulduğu takdirde, planlanan
çalışmalar ile uygulama arasındaki farklılıkları, karşılaşılan problemlerin nedenlerini ve çözüm önerilerini, yıllık
planda yapılması gereken değişiklikleri, personelin yaptığı faaliyetlerin öneminin ve uygunluğunun farkında
olmasını sağlamak için personelinde katkılarını sağlamak amacıyla neler yapılması gerektiğini görüşmek için de
yapılabilir.
Yeni araç, cihaz vs. alınmasından sonra ilgili kullanım ve bakım kataloglarının da olduğu, eğitim amacıyla
kullanılabilecek tüm dokümanların temin edilmesi Kalite Yönetim Temsilcisi’nin sorumluluğundadır. Bu tür sistem
ve araçlarla ilgili eğitimler sistem devreye alınmadan önce ilgili birim sorumluları ve eğitim sorumlusu tarafından
organize edilir. Gerekirse satın alma sözleşmelerinde eğitim verilmesi için satışı yapan firmadan yardım alınacağı
belirtilir.
Yıllık eğitim planında aşağıdaki bilgiler mutlaka belirtilir :
- Eğitimin konusu
- Eğitim türü
- Eğitimi verecek kişi
- Katılımcı sayısı
Firma içi eğitimlerde eğitim tamamlandıktan sonra Kalite Yönetim Sistemi&Bilgi Güvenliği Yönetim Sistemi
şeklinde entegre edilmiş Eğitim Katılım Formu katılımcılara imzalatılır.
Eğitimler kaydedilir ve personel özlük dosyalarında saklanır.
Eğitim, öğretim, beceri ve deneyim konusunda personelle ilgili tüm kayıtlar Kalite Yönetim Sistemi&Bilgi
Güvenliği Yönetim Sistemi şeklinde entegre edilmiş Kayıtların Kontrolü Prosedürü’nde anlatıldığı gibi tarafından
arşivde saklanır.
Kuruluşumuz;
a) Bir BGYS’yi kurma, gerçekleştirme, işletme, izleme, gözden geçirme, sürekliliğini sağlama ve iyileştirme,
b) Bilgi güvenliği prosedürlerinin iş gereksinimlerini desteklemesini sağlama,
c) Yasal ve düzenleyici gereksinimleri ve sözleşmeden doğan güvenlik yükümlülüklerini tanımlama ve ifade etme,
d) Gerçekleştirilen tüm kontrollerin doğru uygulanmasıyla uygun güvenliği sürdürme,
e) Gerektiğinde gözden geçirmeleri gerçekleştirme ve bu gözden geçirme sonuçlarına uygun olarak hareket etme
f) İhtiyaç olduğunda, BGYS’nin etkinliğini iyileştirme.
İçin gereken kaynaklara karar vermiş ve bunları sağlamaktadır.
Bu kaynaklar:
- İnsan kaynakları
şeklinde sıralanabilir. Bu kaynakların sağlanması “İş Sürekliliği Yönetimi Prosedürü’nde anlatıldığı şekilde
gerçekleştirilmektedir.
6.PLANLAMA
6.1 Risk ve Fırsatları Ele Alan Faaliyetler
6.1.1. Genel
Kuruluşumuzda, iş bilgisi güvenliği ve yasal ve düzenleyici gereksinimler de göz önünde bulundurularak, risk kabul
kriterlerini ve risk seviyelerini de içerecek şekilde risk değerlendirme metodolojisi tanımlanmış ve ilgili konular “Risk
Yönetim Süreci” içinde belirtilmiştir.
Kuruluşumuzda, bilgi güvenliği açısından, varlıklar üzerinde oluşabilecek olumsuzluklardan dolayı gerçekleşebilecek
olumsuz iş etkilerinin değerlendirmeleri, mevcut tehditler ve açıklıklar yoluyla gerçekleşebilecek başarısızlıklar, risk
seviyelerini tahmin etme ve risklerin kabul edilip edilemeyeceğini belirleme uygulamaları gerçekleştirilmekte olup
bunlar “Risk Yönetim Süreci” içinde detaylı olarak değerlendirilmiştir.
Kuruluşumuzda, kontrol amaçları ve kontroller, risk değerlendirme ve risk işleme gereksinimlerini karşılamak için
seçilmiş olup, uygulama “Risk Yönetim Süreci” dahilinde gerçekleştirilmektedir.
Sunulan artık risklere ilişkin yönetim onayları kuruluşumuzda tam olarak gerçekleştirilmektedir.
1- Bünyemizde, gerek yazılım, gerekse tüm ticari faaliyetlerimize ait bilgiyi koruyarak, kuruluşumuzu maddi ve
dışarıya karşı güvensizlik oluşturabilecek olaylardan korumak,
HAZIRLAYAN KONTROL EDEN ONAYLAYAN
DOKÜMAN TARİHİ:
ISO 27001 BGYS EL KİTABI DOKÜMAN NO:
REV. TARİH/NO:
2- Hizmet verdiğimiz sözleşmeli firmalardaki bilgiyi koruyarak hem kuruluşumuzu hem de müşterilerimizi
maddi ve dışarıya karşı güvensizlik oluşturabilecek olaylardan korumaktır.
7.DESTEK
7.1 Kaynaklar
7.2 Yeterlilik
Mevcut durumdan, saptanmış hedeflere ulaşabilmek için izlenecek politikanın, uygulanacak yöntemlerin, kullanılacak
kaynakların belirlenip, yapılacak çalışmaların ortaya konulması eğitim uygulamalarının gerçekleştirilmesi Firmamız ‘ın
Eğitim Sistemi’ni oluşturmaktadır.
Tespit edilen eğitim ihtiyaçlarının firmamız bünyesinde yapılıp yapılamayacağına BGYS Temsilcisi ve Genel müdür ile
birlikte karar verir, eğitim planı hazırlanır. Hazırlanan eğitim programının daha önceden hazırlanmış olan eğitim
bütçesine uymaması durumunda alınması gereken eğitim öncelikleri belirlenir ve buna göre bütçeye uygun bir eğitim
programı hazırlanır.
Eğitim faaliyetlerinin sürekliliğini sağlayan ve kalite ile ilgili faaliyetleri uygulayan tüm personelin, yıllık eğitim planına
göre hazırlanmış eğitim programlarına uygun olarak eğitimleri sağlanır. İşe yeni başlayan personel için ‘Oryantasyon
Eğitimi’ uygulanmakta ve kayıtları tutulmaktadır.
BGYS performansını etkileyebilecek işleri yapan personel, İdari İşler tarafından belirlenmiş olan tahsil düzeyleri,
geçmiş deneyimleri, aldıkları ilave eğitimlere göre değerlendirilir ve işe alınırlar.
İşe alınışta başvuru formları üzerinden değerlendirme İdari İşler tarafından yapılır ve son kararı Genel Müdür verir.
İşe alınan personel hakkındaki genel bilgiler İdari İşler tarafından işlenir.
İşe almada şirketteki farklı pozisyonlar için gerekli tahsil düzeylerine ilişkin tablo, geçmiş deneyimler ve aldıkları ilave
eğitimler personel seçiminde önemli kriterlerdir.
Yeni gelenlerin işbaşı eğitim programları, yeni pozisyonları için gerekli bilgiye sahip olmaları amacı ile bölüm
sorumluları tarafından hazırlanır.
Personelin sahip olması gereken niteliklerin belirlenmesi ve izlenmesi, ihtiyaç tespit edilen alanlarda eğitimlerin
planlanması, teknik alanda ve kalite gibi alanlarda bilincin artırılması eğitimlerinin verilmesi, eğitim sonuçlarının
değerlendirilmesi ilgili prosedüre göre yürütülür yıllık eğitim çalışmaları ve sonuçları, Yönetimin Gözden Geçirme
Toplantısının girdilerinden bir tanesidir. Eğitim kayıtları elektronik ortamda saklanır.
7.3 FARKINDALIK
Personelin bilgi güvenliği sistemine olan katkısı ve bilgi güvenliği şartlarına uyum sağlamanın katkılarının bilincine
varması ve farkındalık yaratmak hedeflenmektedir.
7.4 İletişim
Kuruluşumuz iletişim kanallarını belirlemiştir.Bu kanallar elektronik posta,telefon,faks ve yazılı iletişim kanallarıdır.
a) BGYS politikası,
b) BGYS kapsamı,
c) BGYS’yi destekleyici prosedürler ve kontroller,
d) Risk değerlendirme metodolojisinin bir tanımı,
e) Risk değerlendirme raporu,
f) Risk işleme planı,
g) Kuruluş tarafından, bilgi güvenliği proseslerinin etkin planlanmasını, işletilmesini ve kontrolünü sağlamak için
ihtiyaç duyulan dokümante edilmiş prosedürler ve kontrollerin etkinliğinin nasıl ölçüleceğini tanımlama,
h) Bu standart tarafından gerek duyulan kayıtlar,
i) Uygulanabilirlik Bildirgesi.
ÖRNEK FİRMAMIZ’ da dokümanların kontrolü, Kalite Yönetim Sistemi&Bilgi Güvenliği Yönetim Sistemi eklinde
entegre edilmiş “Doküman Kontrolü Prosedürü” doğrultusunda gerçekleştirilmektedir.
ÖRNEK FİRMAMIZ’ da kayıtların kontrolü, Kalite Yönetim Sistemi&Bilgi Güvenliği Yönetim Sistemi şeklinde entegre
edilmiş “Kayıtların Kontrolü Prosedürü” doğrultusunda gerçekleştirilmektedir.
8.İŞLETİM
Kuruluşumuz bilgi güvenliği şartlarını karşılamak ve madde 6.1 de belirlenen faaliyetleri gerçekleştirmek için gerekli
olan süreçleri planlamakta, uygulamakta ve kontrol etmektedir. Kuruluşumuz Bilgi Güvenliği Amaçlarına ulaşabilmek
için planları uygulamaktadır.
Planlanan değişiklikler kontrol edilmekte istenmeyen değişikliklerin kötü etkileri için anında aksiyon
oluşturulmaktadır.
Kuruluşumuz madde 6.1.2’de belirlenmiş kriterleri dikkate alarak Risk Değerlendirmesi yapmakta,yılda bir bu
değerlendirme gözden geçirilmekte,önemli değişiklikler durumunda veya faydalı öneri geldiğinde doküman
güncellenmektedir.Risk değerlendirmeleri Kayıtların Kontrolü Prosedürüne göre muhafaza edilmektedir.
Kuruluşumuz Bilgi Güvenliği Risk İşleme Planını uygulamakta ve kayıtları muhafaza etmektedir.
9.PERFORMANS DEĞERLENDİRME
b) Güvenlik denetimlerinin sonuçları, ihlal olayları, etkinlik ölçümleri sonuçları ve tüm ilgili taraflardan önerileri ve
geri bildirimleri dikkate alarak BGYS’nin etkinliğinin düzenli olarak gözden geçirilmesini üstlenme.
d) Aşağıdakilerde oluşacak değişiklikleri dikkate alarak, risk değerlendirmeyi planlanmış aralıklarda ve artık riskleri ve
belirlenmiş kabul edilebilir risk seviyelerini gözden geçirme:
1) Kuruluş,
HAZIRLAYAN KONTROL EDEN ONAYLAYAN
DOKÜMAN TARİHİ:
ISO 27001 BGYS EL KİTABI DOKÜMAN NO:
REV. TARİH/NO:
2) Teknoloji,
3) İş amaçları ve prosesleri,
4) Tanımlanmış tehditler,
5) Gerçekleştirilen kontrollerin etkinliği ve
6) Yasal ve düzenleyici ortamdaki değişiklikler, değiştirilmiş anlaşma yükümlülükleri ve sosyal iklimdeki değişiklikler
gibi dış olaylar.
f) Kapsamın uygun kalması ve BGYS prosesindeki iyileştirmelerin tanımlanmasını sağlamak için, BGYS’nin yönetim
tarafından düzenli olarak gözden geçirilmesini üstlenme.
g) İzleme ve gözden geçirme faaliyetlerindeki bulguları dikkate alarak güvenlik planlarını güncelleştirme.
9.2. İç Tetkik
Kuruluşumuzda, BGYS iç denetimleri, BGYS kontrol amaçlarının, kontrollerinin, proseslerinin ve prosedürlerinin
aşağıdakileri gerçekleştirip gerçekleştirmediğini belirlemek için planlanan aralıklarda gerçekleştirilmektedir:
İç tetkikler Kalite Yönetim Sistemi&Bilgi Güvenliği Yönetim Sistemi şeklinde entegre edilmiş “İç Tetkik Prosedürü”ne
uygun olarak gerçekleştirilmektedir.
Kuruluşumuzda tekrarları engellemek için, BGYS gereksinimleriyle uygunsuzlukların nedenlerini gidermek üzere
gerekli önlemler alınmaktadır. Kuruluşumuzda, aşağıdaki gereklilikleri karşılamak üzere düzeltici faaliyetler entegre
Düzeltici ve İyileştirici Faaliyetler Prosedürü’ne göre gerçekleştirilir.
a) Uygunsuzlukları tanımlama,
b) Uygunsuzlukların nedenlerini belirleme,
c) Uygunsuzlukların tekrarlanmamasını sağlamak için ihtiyaç duyulan faaliyetleri değerlendirme,
d) Gereken düzeltici faaliyetleri belirleme ve gerçekleştirme,
e) Gerçekleştirilen faaliyetlerin sonuçlarını kaydetme
f) Gerçekleştirilen düzeltici faaliyetleri gözden geçirme.
Kuruluşumuzda, tekrar ortaya çıkmalarını önlemek için, BGYS gereksinimleriyle olası uygunsuzlukların nedenlerini
gidermek üzere alınacak önlemler belirlenmektedir.
Kuruluşumuzda, aşağıdaki gereklilikleri karşılamak üzere iyileştirici faaliyetler entegre Düzeltici ve İyileştirici
Faaliyetler Prosedürüne göre gerçekleştirilir.