DOKÜMAN TARİHİ:

ISO 27001 BGYS EL KİTABI DOKÜMAN NO:

REV. TARİH/NO:

İÇİNDEKİLER

Madde No. Konusu Sayfa No

-- İçindekiler 1
-- Firma Tanıtımı 2
4. Kuruluşun Bağlamı 3
4.1 Kuruluşun ve Bağlamının Anlaşılması 3
4.2. İlgili Tarafların İhtiyaç ve Beklentilerinin Anlaşılması 3
4.3 KAPSAM VE HARİÇ TUTMALAR 4
4.4 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ 4
5 LİDERLİK 4
6 PLANLAMA 8
7 DESTEK 9
8 İŞLETİM 11
9 PERFORMANS DEĞERLENDİRME 12
10 İYİLEŞTİRME 14
Dağıtım 15

HAZIRLAYAN KONTROL EDEN ONAYLAYAN

 DOKÜMAN TARİHİ:
ISO 27001 BGYS EL KİTABI DOKÜMAN NO:
REV. TARİH/NO:

ÖRNEK FİRMA TANITIMI

Bilişim teknolojileri alanındaki tüm sistemler ve bağlı ürünleri ile endüstriyel ürünler, yazılım geliştirme ve
danışmanlık hizmetleri alanında hizmet sunmak amacıyla …. yılında kurulan ÖRNEK LTD. ŞTİ., bugün Türkiye’nin
bilişim teknolojileri alanında önde gelen ………… firmaları arasında yer almaktadır.

Kurulduğu günden bugüne, dünya çapında gerçekleştirdiği dev işbirliklerinin yanı sıra Türkiye’de farklı sektörlerde
faaliyet gösteren birçok kuruma, kaliteli ürün ve hizmet sunan ÖRNEK Şirketimiz, attığı doğru adımlarla yedi yıl gibi
kısa bir sürede, hızlı bir yükseliş gerçekleştirerek sektörün aranılan markaları arasında da yerini aldı.

Eylül 2020’de, Türkiye’de ilk olarak dünya markası bir bilgisayarın, üretimini yüzde yüz yerli sermaye ile
gerçekleştiren ve bir Türk markası olan ÖRNEK Firmamız, üretilen tüm bilgisayarların, montaj, kontrol, yazılım
yüklemeleri, test aşamaları, bakım ve garanti kontrollerinin gerçekleştirildiği üretim tesisi ise, günde yaklaşık 1500
adet kişisel bilgisayar (PC) üretimi kapasitesi ile hizmet veriyor.

Müşteri memnuniyeti odaklı hizmet anlayışı ile yoluna devam eden ÖRNEK Firmamız, kalitesinden ödün vermeden
üretimini gerçekleştirdiği ürünleri, aynı zamanda müşteri ihtiyacına paralel olarak geliştirdiği özel yazılımlar ile
birleştirerek, müşterilerine anahtar teslim çözümler sunuyor.

Üretim tesislerinde ISO 9001:2015 kalite standartları çerçevesinde hizmet sunan ÖRNEK Firmamız Bilişim, üretim
faaliyetlerinin yanı sıra Bankacılık, Telekomünikasyon, Finans, Perakende, Ulaştırma, Sağlık, Enerji ve Eğitim
alanlarında doğan bilişim teknolojileri ihtiyaçlarına da, yine ihtiyaca özel olarak geliştirdiği KİOSK, Sanal POS, Yakın
Alan İletişimi Teknolojisi (NFC) ve Akıllı Kart Sistemleri’ni kullanarak farklı yaklaşımlar geliştiriyor ve bu özel çözümleri
kullanıcıları ile buluşturuyor.

Terminallere yönelik AR-GE çalışmalarını da sürdüren ÖRNEK Firmamız, öncü ve başarılı kimliğinin yanı sıra kendisine
hedef Pazar seçtiği …….., ……… ve ………. Bölgelerin de lider kuruluş olma yönündeki hedefine ulaşmak için
çalışmalarına hızla devam ediyor.

4. KURULUŞUN BAĞLAMI
4.1 Kuruluşun ve Bağlamının Anlaşılması
Kuruluşumuz, 3.taraflara karşı bilgi güvenliğini sağlamak adına dokümante edilmiş bir BGYS’ni , tüm ticari
faaliyetlerimizi ve oluşabilecek riskleri kapsayacak şekilde kurmuş, gerçekleştirmiş, işletmekte, gözden geçirmekte,
sürdürmekte ve sürekli olarak geliştirmektedir.

Bu bağlamda BGYS’yi etkileyebilecek İç hususlar;

Personel,
Kaynak ihtiyaçları,
Yazılım ve Donanım yapısı,
Fiziksel ortam yapısı,
Enerji birimleri olarak sıralanmaktadır.Bu hususların dışında BGYS’yi etkileyebilecek dış faktörler aşağıda
sıralanmıştır.
Siber saldırılar,
Uzun süreli enerji kesintileri,
Kötü niyetli 3.taraflar,
Doğal afetler,
Tedarikçiler.
HAZIRLAYAN KONTROL EDEN ONAYLAYAN
 DOKÜMAN TARİHİ:
ISO 27001 BGYS EL KİTABI DOKÜMAN NO:
REV. TARİH/NO:

4.2 İlgili Tarafların İhtiyaç ve Beklentilerinin Anlaşılması

Kuruluşumuz ISO 27001:2017 kapsamında ilgili tarafları belirlemiştir.Buna
göre;müşterilerimiz,tedarikçilerimiz,personelimiz,tüm özel ve kamu kuruluşları,özel ilgi grupları ilgili taraflar olarak
belirlenmiştir.
Firmamızın ana fonksiyonu hizmet spesifikasyonlarında belirtilen özellikler doğrultusunda; belirli bir zaman periyodu
içerisinde ve sözleşmelere göre müşteri tarafından tanımlanan hizmetleri ve firmamızda uygulamaya konulan Bilgi
Güvenliği Yönetim Sisteminin kuruluşumuzun kullandığı bütün temel yazılım, hizmet sunumu ve satış faaliyetlerini
kapsamaktadır. Bu faaliyetler aşağıda belirtildiği gibidir:

Hizmet üretim ve satışı,

Almakta olduğumuz özel yazılım destekleri

Kuruluşumuz da, hizmet kalitemize etkisi bulunabilecek tüm “ISO 27001:2017” standart maddeleri, Bilgi Güvenliği
Yönetim Sistemi’nin kapsamına alınmıştır. Konuya ilave olarak şirketimizde ISO 9001:2015 ve ISO 27001:2017
standardıyla ilgili bazı dokümanlar entegre olarak hazırlanmış ve uygulamaya alınmıştır.

4.3 KAPSAM VE HARİÇ TUTMALAR

Kapsam

“Bilişim teknolojileri alanındaki tüm sistemler ve bağlı ürünler, endüstriyel ürünler, yeni nesil ödeme kaydedici
cihazlar, ar-ge hizmeti, yazılım geliştirme ve danışmanlık hizmetleri, ödeme sistemleri geliştirme, yönetim ve altyapı
hizmetleri, veri merkezi yönetim ve altyapı hizmetleri kapsamında bilgi güvenliğinin sağlanması”

Hariç Tutmalar

Standardın kapsam dışı bırakılmış maddesi yoktur.

4.4.BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ

Kuruluşumuz, 3.taraflara karşı bilgi güvenliğini sağlamak adına dokümante edilmiş bir BGYS’ni , tüm ticari
faaliyetlerimizi ve oluşabilecek riskleri kapsayacak şekilde kurmuş, gerçekleştirmiş, işletmekte, gözden geçirmekte,
sürdürmekte ve sürekli olarak geliştirmektedir

5.LİDERLİK

5.1 Liderlik Ve Bağlılık

HAZIRLAYAN KONTROL EDEN ONAYLAYAN

 DOKÜMAN TARİHİ:
ISO 27001 BGYS EL KİTABI DOKÜMAN NO:
REV. TARİH/NO:

 ÖRNEK FİRMAMIZ bir Bilgi Güvenliği Yönetim Politikası oluşturmuştur.

 Bilgi Güvenliği Yönetim Sistemi için “ Risk İşleme Planı” hazırlanmış ve uygulamaya konmuştur.
 Bilgi güvenliği için sorumluluklar ve roller belirlenmiş olup “Organizasyon Şeması”, uygulamalar verilen roller
ve saptanmış sorumluluklar dahilinde gerçekleştirilmektedir.
 Kuruluş içerisinde, bilgi güvenliğinin amaçlarını karşılamanın ve bilgi güvenliği politikalarına uyumun önemini,
yasaya karşı sorumlulukları ve sürekli iyileştirmenin gerekliliği eğitim toplantılarında tüm çalışanlara
aktarılmaktadır.
 Kuruluşumuzda, BGYS’yi kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve
iyileştirmek için gerekli kaynaklar sağlanmaktadır.
 Riskleri kabul etme ve kabul edilebilir risk seviyelerini belirleme “ Risk Yönetim Süreci”nde belirtildiği şekilde
gerçekleştirilmektedir.
 BGYS iç denetimleri Madde 9.2 de belirtildiği şekilde gerçekleştirilmektedir.
 Üst Yönetim, Madde 9.3 de belirtildiği şekilde gözden geçirme işlemlerini sağlamaktadır.

5.2 Politika

ÖRNEK FİRMAMIZ aşağıda bulunan politikayı kurum içinde duyurmuş aynı zamanda İlgili tarafların erişebilmesi
için Web Sitesinde paylaşmıştır.

ISO 27001:2017 KALİTE POLİTİKAMIZ

ÖRNEK FİRMAMIZ faaliyetleri esnasında hizmet vermekte olduğu müşterilerinin özel erişim/bağlantı bilgilerine,kritik
cihazlara ait özel konfigürasyon ve iletişim bilgilerine sahip olabilmektedir. Hizmet verilen kurum ve kuruluşların
güvenini temin etmek ve verdiğimiz hizmetler için kullandığımız bilgi varlıklarımızın güvenliğini sağlamamız öncelikli
amacımızdır.
Bu bağlamda; iş birliğinde bulunduğumuz müşteriler, resmi ve özel kurumlar ile ilişkilerimiz çok değerlidir. Sunmakta
olduğumuz hizmetlerin sürekliliği, elimizde tuttuğumuz bilgilerin gizliliği, müşterilerin veya kendi içimizdeki bilgi
varlıklarının bütünlüğü yüksek öneme sahiptir. Bu amaçla;

 ISO 27001:2017 sistemini kurduk, etkinliğini sürekli iyileştirmeyi taahhüt ederiz.

 Risklerimizi sürekli gözden geçiriyor ve kabul edilebilir seviyenin üstündeki riskler için kontroller uyguluyoruz.

 Çalışanlarımızın bilgi güvenliği bilinçlerini yüksek tutarız.

 TC yasa ve yönetmeliklerine tam olarak uymayı taahhüt ederiz.

 Bu politikayı yılda bir kez gözden geçirerek güncel tutarız.

5.3 Kurumsal Roller,Sorumluluklar ve Yetkiler

ÖRNEK FİRMAMIZ Kalite Yönetim Temsilcisi ISO 27001:2017 Bilgi Güvenliği Yönetim Sistemi eğitimlerini almış
olma şartı aranarak üst yönetim tarafından atanır.
ÖRNEK FİRMAMIZ çalışan personelin uygun eğitim, öğrenim, beceri ve deneyim yönünden yeterli olup olmadığı
firma üst yönetimi tarafından belirlenmiş olan görev yetki ve sorumluluklarına uygun nitelikte seçilerek
belirlenmektedir.
ÖRNEK FİRMAMIZ üst yönetimi tarafından çalışan personelin; yaptığı faaliyetlerin öneminin ve uygunluğunun
farkında olmasını, katkılarını sağlamak, emek, zaman, malzeme ve maliyet konularında bilinçlendirmek, araçların ve
teçhizatların verimli bir şekilde kullanılması konusunda, eğitim, bilgi ve beceri eksikliğinden kaynaklanan kayıpları ve
HAZIRLAYAN KONTROL EDEN ONAYLAYAN
 DOKÜMAN TARİHİ:
ISO 27001 BGYS EL KİTABI DOKÜMAN NO:
REV. TARİH/NO:

iş kazalarını en aza indirmek, yeni veya boşalacak kadrolara eleman yetiştirmek ve iş başı eğitimlerini vermek
suretiyle eğitim ihtiyaçları giderilir. Eğitim Sorumlusu Kalite Yönetim Temsilcisi’dir.
Eğitim toplantıları her yılın ocak ayı içinde, geçmiş yılın eğitim çalışmalarını değerlendirmek, eğitim ihtiyaçlarını
gözden geçirmek ve gelecek yıla ait Kalite Yönetim Sistemi&Bilgi Güvenliği Yönetim Sistemi şeklinde entegre
edilmiş “ Yıllık Eğitim Planını ” oluşturmak için toplanır. Bu toplantıya Genel Müdür, Kalite Yönetim Temsilcisi ve
Birim Sorumluları katılır. Yıllık eğitim planı tüm Birim Sorumlularına bilgisayar ortamında dağıtılır.
Eğitim toplantıları, yıl sonu toplantısı haricinde, gerek görüldüğü veya talepte bulunulduğu takdirde, planlanan
çalışmalar ile uygulama arasındaki farklılıkları, karşılaşılan problemlerin nedenlerini ve çözüm önerilerini, yıllık
planda yapılması gereken değişiklikleri, personelin yaptığı faaliyetlerin öneminin ve uygunluğunun farkında
olmasını sağlamak için personelinde katkılarını sağlamak amacıyla neler yapılması gerektiğini görüşmek için de
yapılabilir.
Yeni araç, cihaz vs. alınmasından sonra ilgili kullanım ve bakım kataloglarının da olduğu, eğitim amacıyla
kullanılabilecek tüm dokümanların temin edilmesi Kalite Yönetim Temsilcisi’nin sorumluluğundadır. Bu tür sistem
ve araçlarla ilgili eğitimler sistem devreye alınmadan önce ilgili birim sorumluları ve eğitim sorumlusu tarafından
organize edilir. Gerekirse satın alma sözleşmelerinde eğitim verilmesi için satışı yapan firmadan yardım alınacağı
belirtilir.
Yıllık eğitim planında aşağıdaki bilgiler mutlaka belirtilir :
- Eğitimin konusu
- Eğitim türü
- Eğitimi verecek kişi
- Katılımcı sayısı
Firma içi eğitimlerde eğitim tamamlandıktan sonra Kalite Yönetim Sistemi&Bilgi Güvenliği Yönetim Sistemi
şeklinde entegre edilmiş Eğitim Katılım Formu katılımcılara imzalatılır.
Eğitimler kaydedilir ve personel özlük dosyalarında saklanır.
Eğitim, öğretim, beceri ve deneyim konusunda personelle ilgili tüm kayıtlar Kalite Yönetim Sistemi&Bilgi
Güvenliği Yönetim Sistemi şeklinde entegre edilmiş Kayıtların Kontrolü Prosedürü’nde anlatıldığı gibi tarafından
arşivde saklanır.

5.2.1 Kaynakların Sağlanması

Kuruluşumuz;
a) Bir BGYS’yi kurma, gerçekleştirme, işletme, izleme, gözden geçirme, sürekliliğini sağlama ve iyileştirme,
b) Bilgi güvenliği prosedürlerinin iş gereksinimlerini desteklemesini sağlama,
c) Yasal ve düzenleyici gereksinimleri ve sözleşmeden doğan güvenlik yükümlülüklerini tanımlama ve ifade etme,
d) Gerçekleştirilen tüm kontrollerin doğru uygulanmasıyla uygun güvenliği sürdürme,
e) Gerektiğinde gözden geçirmeleri gerçekleştirme ve bu gözden geçirme sonuçlarına uygun olarak hareket etme
f) İhtiyaç olduğunda, BGYS’nin etkinliğini iyileştirme.
İçin gereken kaynaklara karar vermiş ve bunları sağlamaktadır.

Bu kaynaklar:

- Binalar, çalışma alanları ve bununla ilgili tesisler,

- Proses teçhizatı (yazılım, donanım),
- Destek hizmetler (taşıma veya iletişim gibi)

HAZIRLAYAN KONTROL EDEN ONAYLAYAN

 DOKÜMAN TARİHİ:
ISO 27001 BGYS EL KİTABI DOKÜMAN NO:
REV. TARİH/NO:

- İnsan kaynakları
şeklinde sıralanabilir. Bu kaynakların sağlanması “İş Sürekliliği Yönetimi Prosedürü’nde anlatıldığı şekilde
gerçekleştirilmektedir.

6.PLANLAMA
6.1 Risk ve Fırsatları Ele Alan Faaliyetler
6.1.1. Genel
Kuruluşumuzda, iş bilgisi güvenliği ve yasal ve düzenleyici gereksinimler de göz önünde bulundurularak, risk kabul
kriterlerini ve risk seviyelerini de içerecek şekilde risk değerlendirme metodolojisi tanımlanmış ve ilgili konular “Risk
Yönetim Süreci” içinde belirtilmiştir.

6.1.2 Bilgi Güvenliği Risk Değerlendirmesi

Kuruluşumuzda, BGYS kapsamındaki varlıklar ve bu varlıkların sahipleri tanımlanmış hazırlanmıştır. Bu varlıklar için
tehditler, bu tehditlerin ortaya çıkabileceği açıklıklar ve varlıkların üzerinde oluşturabilecekleri etkiler tanımlanmış ve
“Risk Yönetim Süreci” içinde belirtilmiştir.

Kuruluşumuzda, bilgi güvenliği açısından, varlıklar üzerinde oluşabilecek olumsuzluklardan dolayı gerçekleşebilecek
olumsuz iş etkilerinin değerlendirmeleri, mevcut tehditler ve açıklıklar yoluyla gerçekleşebilecek başarısızlıklar, risk
seviyelerini tahmin etme ve risklerin kabul edilip edilemeyeceğini belirleme uygulamaları gerçekleştirilmekte olup
bunlar “Risk Yönetim Süreci” içinde detaylı olarak değerlendirilmiştir.

6.1.3 Bilgi Güvenliği Risk İşleme

Risklerin İşlenmesi İçin Seçenekleri Tanımlama ve Değerlendirme eylemleri gerçekleştrilmekte olup “Risk Yönetim
Süreci” içinde detaylı olarak değerlendirilmiştir.

Kuruluşumuzda, kontrol amaçları ve kontroller, risk değerlendirme ve risk işleme gereksinimlerini karşılamak için
seçilmiş olup, uygulama “Risk Yönetim Süreci” dahilinde gerçekleştirilmektedir.

Sunulan artık risklere ilişkin yönetim onayları kuruluşumuzda tam olarak gerçekleştirilmektedir.

Kuruluşumuzda, BGYS’ni gerçekleştirmek ve işletmek için yönetim yetkilendirmesi edinme uygulamaları

gerçekleştirilmekte olup, “Risk Yönetim Süreci” içinde detaylı olarak verilmiştir.
Kuruluşumuzda;
1)Kontrol amaçları ve kontroller ve bunların seçilme nedenleri,
2) Mevcut gerçekleştirilmiş kontrol amaçları ve kontroller ve
3) ISO 27001:2017 standardı Ek A’daki kontrol amaçları ve kontrollerden herhangi birinin dışarıda bırakılması ve
bunların dışarıda bırakılmasının sebeplerini içerecek şekilde “Uygulanabilirlik Bildirgesi” hazırlanmıştır.

6.2.Bilgi Güvenliği Amaçları ve Bu Amaçları Başarmak İçin Planlama

1- Bünyemizde, gerek yazılım, gerekse tüm ticari faaliyetlerimize ait bilgiyi koruyarak, kuruluşumuzu maddi ve
dışarıya karşı güvensizlik oluşturabilecek olaylardan korumak,
HAZIRLAYAN KONTROL EDEN ONAYLAYAN
 DOKÜMAN TARİHİ:
ISO 27001 BGYS EL KİTABI DOKÜMAN NO:
REV. TARİH/NO:

2- Hizmet verdiğimiz sözleşmeli firmalardaki bilgiyi koruyarak hem kuruluşumuzu hem de müşterilerimizi
maddi ve dışarıya karşı güvensizlik oluşturabilecek olaylardan korumaktır.

7.DESTEK

7.1 Kaynaklar

Kuruluşumuz Bilgi Güvenliği Yönetim Sisteminin kurulması,uygulanması,sürdürülmesi ve sürekli iyileştirilmesi için

gerekli olan kaynakları belirlemiştir ve bu kaynakları sağlamaktadır.

7.2 Yeterlilik
Mevcut durumdan, saptanmış hedeflere ulaşabilmek için izlenecek politikanın, uygulanacak yöntemlerin, kullanılacak
kaynakların belirlenip, yapılacak çalışmaların ortaya konulması eğitim uygulamalarının gerçekleştirilmesi Firmamız ‘ın
Eğitim Sistemi’ni oluşturmaktadır.

Tespit edilen eğitim ihtiyaçlarının firmamız bünyesinde yapılıp yapılamayacağına BGYS Temsilcisi ve Genel müdür ile
birlikte karar verir, eğitim planı hazırlanır. Hazırlanan eğitim programının daha önceden hazırlanmış olan eğitim
bütçesine uymaması durumunda alınması gereken eğitim öncelikleri belirlenir ve buna göre bütçeye uygun bir eğitim
programı hazırlanır.

Eğitim faaliyetlerinin sürekliliğini sağlayan ve kalite ile ilgili faaliyetleri uygulayan tüm personelin, yıllık eğitim planına
göre hazırlanmış eğitim programlarına uygun olarak eğitimleri sağlanır. İşe yeni başlayan personel için ‘Oryantasyon
Eğitimi’ uygulanmakta ve kayıtları tutulmaktadır.

BGYS performansını etkileyebilecek işleri yapan personel, İdari İşler tarafından belirlenmiş olan tahsil düzeyleri,
geçmiş deneyimleri, aldıkları ilave eğitimlere göre değerlendirilir ve işe alınırlar.

İşe alınışta başvuru formları üzerinden değerlendirme İdari İşler tarafından yapılır ve son kararı Genel Müdür verir.

İşe alınan personel hakkındaki genel bilgiler İdari İşler tarafından işlenir.

İşe almada şirketteki farklı pozisyonlar için gerekli tahsil düzeylerine ilişkin tablo, geçmiş deneyimler ve aldıkları ilave
eğitimler personel seçiminde önemli kriterlerdir.

Yeni gelenlerin işbaşı eğitim programları, yeni pozisyonları için gerekli bilgiye sahip olmaları amacı ile bölüm
sorumluları tarafından hazırlanır.

Personelin sahip olması gereken niteliklerin belirlenmesi ve izlenmesi, ihtiyaç tespit edilen alanlarda eğitimlerin
planlanması, teknik alanda ve kalite gibi alanlarda bilincin artırılması eğitimlerinin verilmesi, eğitim sonuçlarının
değerlendirilmesi ilgili prosedüre göre yürütülür yıllık eğitim çalışmaları ve sonuçları, Yönetimin Gözden Geçirme
Toplantısının girdilerinden bir tanesidir. Eğitim kayıtları elektronik ortamda saklanır.

7.3 FARKINDALIK

Kuruluşumuz tarafından verilen veya organize edilen eğitimlerde;

Personelin Bilgi Güvenliği Politikası,

İyileştirilmiş bilgi güvenliği sisteminin faydaları,

HAZIRLAYAN KONTROL EDEN ONAYLAYAN

 DOKÜMAN TARİHİ:
ISO 27001 BGYS EL KİTABI DOKÜMAN NO:
REV. TARİH/NO:

Personelin bilgi güvenliği sistemine olan katkısı ve bilgi güvenliği şartlarına uyum sağlamanın katkılarının bilincine
varması ve farkındalık yaratmak hedeflenmektedir.

7.4 İletişim

Kuruluşumuz iletişim kanallarını belirlemiştir.Bu kanallar elektronik posta,telefon,faks ve yazılı iletişim kanallarıdır.

Bu çerçevede ÖRNEK FİRMAMIZ ACİL DURUMLARDA ARANACAKLAR LİSTESİ hazırlanmıştır.Bu listede

hangi durumlarda kimin aranacağı belirtilmektedir.Bilgi İşlem sorunlarında Erişim Matrisi oluşturulmuştur.

Kuruluşumuzda, BGYS’nin gerçekleştirilmesi ve İşletilmesi,

a) Bilgi güvenlik risklerini yönetmek için uygun yönetim eylemini, kaynakları ve öncelikleri tanımlayan bir risk işleme
planı hazırlanması,
b) Rollerin ve sorumlulukların tahsisini içeren, tanımlanan kontrol amaçlarına ulaşmak için risk işleme planının
gerçekleştirmesi,
c) Kontrol amaçlarını karşılamak için Madde 4.2.1.g’de seçilen kontrolleri gerçekleştirmesi,
d) Seçilen kontroller veya kontrol gruplarının etkinliğinin nasıl ölçüleceğini tanımlama ve karşılaştırılabilir ve yeniden
üretilebilir sonuçlar üretmek amacıyla kontrol etkinliğini değerlendirmek için bu ölçümlerin nasıl kullanılacağının
belirlenmesi,
e) Eğitim ve farkında olma programlarının gerçekleştirilmesi,
f) BGYS’nin işleyişinin yönetilmesi,
g) BGYS kaynaklarının yönetilmesi,
h) Güvenlik olaylarını anında saptayabilme ve güvenlik ihlal olaylarına hemen yanıt verebilme kabiliyetine sahip
prosedürlerin ve diğer kontrolleri gerçekleştirilmesi,
göz önünde bulundurularak “İş Sürekliliği Yönetim Prosedürüne göre gerçekleştirilmektedir.

7.5 YAZILI BİLGİLER

7.5.1 Genel

ÖRNEK FİRMAMIZ’ da kurulmuş olan dokümantasyon aşağıdakileri kapsamaktadır:

a) BGYS politikası,
b) BGYS kapsamı,
c) BGYS’yi destekleyici prosedürler ve kontroller,
d) Risk değerlendirme metodolojisinin bir tanımı,
e) Risk değerlendirme raporu,
f) Risk işleme planı,
g) Kuruluş tarafından, bilgi güvenliği proseslerinin etkin planlanmasını, işletilmesini ve kontrolünü sağlamak için
ihtiyaç duyulan dokümante edilmiş prosedürler ve kontrollerin etkinliğinin nasıl ölçüleceğini tanımlama,
h) Bu standart tarafından gerek duyulan kayıtlar,
i) Uygulanabilirlik Bildirgesi.

7.5.2 Oluşturma ve Güncelleme

ÖRNEK FİRMAMIZ’ da dokümanların kontrolü, Kalite Yönetim Sistemi&Bilgi Güvenliği Yönetim Sistemi eklinde
entegre edilmiş “Doküman Kontrolü Prosedürü” doğrultusunda gerçekleştirilmektedir.

7.5.3.Yazılı Bilgilerin Kontrolü

HAZIRLAYAN KONTROL EDEN ONAYLAYAN

 DOKÜMAN TARİHİ:
ISO 27001 BGYS EL KİTABI DOKÜMAN NO:
REV. TARİH/NO:

ÖRNEK FİRMAMIZ’ da kayıtların kontrolü, Kalite Yönetim Sistemi&Bilgi Güvenliği Yönetim Sistemi şeklinde entegre
edilmiş “Kayıtların Kontrolü Prosedürü” doğrultusunda gerçekleştirilmektedir.

8.İŞLETİM

8.1 İşletimsel Planlama ve Kontrol

Kuruluşumuz bilgi güvenliği şartlarını karşılamak ve madde 6.1 de belirlenen faaliyetleri gerçekleştirmek için gerekli
olan süreçleri planlamakta, uygulamakta ve kontrol etmektedir. Kuruluşumuz Bilgi Güvenliği Amaçlarına ulaşabilmek
için planları uygulamaktadır.

Kuruluşumuzda yazılı bilgiler kayıtların kontrolü prosedürüne göre saklanmaktadır.

Planlanan değişiklikler kontrol edilmekte istenmeyen değişikliklerin kötü etkileri için anında aksiyon
oluşturulmaktadır.

Dış kaynaklı prosesler belirlenmiş ve kontrol altına alınmıştır.

8.2 Bilgi Güvenliği Risk Değerlendirme

Kuruluşumuz madde 6.1.2’de belirlenmiş kriterleri dikkate alarak Risk Değerlendirmesi yapmakta,yılda bir bu
değerlendirme gözden geçirilmekte,önemli değişiklikler durumunda veya faydalı öneri geldiğinde doküman
güncellenmektedir.Risk değerlendirmeleri Kayıtların Kontrolü Prosedürüne göre muhafaza edilmektedir.

8.3. Bilgi Güvenliği Risk İşleme

Kuruluşumuz Bilgi Güvenliği Risk İşleme Planını uygulamakta ve kayıtları muhafaza etmektedir.

9.PERFORMANS DEĞERLENDİRME

9.1. İzleme,Ölçme,Analiz ve Değerleendirme

Kuruluşumuzda, BGYS’nin izlenmesi ve gözden geçirilmesi faaliyetleri,

a) İzleme ve gözden geçirme prosedürlerini ve diğer kontrolleri aşağıdakileri gerçekleştirmek için yürütme:

1) İşleme sonuçlarındaki hataları anında saptama,

2) Denenen ve başarılı olan güvenlik kırılmaları ve ihlal olaylarını anında tanımlama,
3) Yönetimin, kişilere devredilen ya da bilgi teknolojisince gerçekleştirilen güvenlik faaliyetlerinin beklenen biçimde
çalışıp çalışmadığını belirleyebilmesini sağlama,
4) Güvenlik olaylarını saptama ve belirteçler kullanarak güvenlik ihlal olaylarını önlemeye yardım etme,
5) Bir güvenlik kırılmasını çözmek için alınan önlemlerin etkili olup olmadığına karar verme.

b) Güvenlik denetimlerinin sonuçları, ihlal olayları, etkinlik ölçümleri sonuçları ve tüm ilgili taraflardan önerileri ve
geri bildirimleri dikkate alarak BGYS’nin etkinliğinin düzenli olarak gözden geçirilmesini üstlenme.

c) Güvenlik gereksinimlerinin karşılandığını doğrulamak için kontrollerin etkinliğini ölçme.

d) Aşağıdakilerde oluşacak değişiklikleri dikkate alarak, risk değerlendirmeyi planlanmış aralıklarda ve artık riskleri ve
belirlenmiş kabul edilebilir risk seviyelerini gözden geçirme:
1) Kuruluş,
HAZIRLAYAN KONTROL EDEN ONAYLAYAN
 DOKÜMAN TARİHİ:
ISO 27001 BGYS EL KİTABI DOKÜMAN NO:
REV. TARİH/NO:

2) Teknoloji,
3) İş amaçları ve prosesleri,
4) Tanımlanmış tehditler,
5) Gerçekleştirilen kontrollerin etkinliği ve
6) Yasal ve düzenleyici ortamdaki değişiklikler, değiştirilmiş anlaşma yükümlülükleri ve sosyal iklimdeki değişiklikler
gibi dış olaylar.

e) Planlanan aralıklarda iç BGYS denetimlerini gerçekleştirme

f) Kapsamın uygun kalması ve BGYS prosesindeki iyileştirmelerin tanımlanmasını sağlamak için, BGYS’nin yönetim
tarafından düzenli olarak gözden geçirilmesini üstlenme.

g) İzleme ve gözden geçirme faaliyetlerindeki bulguları dikkate alarak güvenlik planlarını güncelleştirme.

9.2. İç Tetkik
Kuruluşumuzda, BGYS iç denetimleri, BGYS kontrol amaçlarının, kontrollerinin, proseslerinin ve prosedürlerinin
aşağıdakileri gerçekleştirip gerçekleştirmediğini belirlemek için planlanan aralıklarda gerçekleştirilmektedir:

a) Bu standardın gerekleri ve ilgili yasa ya da düzenlemelere uyum,

b) Tanımlanan bilgi güvenliği gereksinimlerine uyum,
c) Etkin olarak gerçekleştirilip sürdürüldüğü,
d) Beklendiği gibi işleyip işlemediği.

İç tetkikler Kalite Yönetim Sistemi&Bilgi Güvenliği Yönetim Sistemi şeklinde entegre edilmiş “İç Tetkik Prosedürü”ne
uygun olarak gerçekleştirilmektedir.

9.3 Yönetimin Gözden Geçirmesi

ÖRNEK FİRMAMIZ da, yılda en az iki kez olmak üzere ve bunun dışında toplantı yapılmasına ihtiyacı duyulduğu
tarihlerde gözden geçirme toplantıları düzenlenir. Bu toplantılara Genel Müdür, Kalite Yönetim Temsilcisi ve Birim
Sorumluları katılırlar.
Gözden geçirme toplantıları firmada yapılan kuruluş içi denetimler (yılda en az iki kez ve entegre İç Tetkik
Prosedürü’ne göre) sonrasında denetimin bitmesinden en geç bir ay sonra yapılır. Ancak Genel Müdür isteğiyle veya
Kalite Yönetim Temsilcisi’nin önerisi ile denetimler öncesinde de gözden geçirme toplantıları yapılabilir.
Toplantı tarihi Genel Müdür ve Kalite Yönetim Temsilcisi tarafından belirlenerek ilgili Birim sorumlularına en az bir
hafta öncesinden duyurulur. Periyodik gözden geçirme toplantılarına ait gündem Kalite Yönetim Temsilcisi tarafından
hazırlanır, Genel Müdür’ün onayından sonra katılacak kişilere toplantıdan önce elden dağıtılır. İlgili Birim Sorumluları
toplantının gündemi ile ilgili olarak hazırlık yaparlar.
Gündem, Kalite Yönetim Temsilcisi tarafından oluşturulan toplantı sırasında tüm katılımcılara okunarak bildirilir.
Toplantıların raportörü toplantıya katılanları “Toplantı Tutanağı” işaretleyerek, toplantı sırasında alınan kararları ve
sorumlusunu forma yazar. Bu tutanaklar toplantıya katılanlara bir kopya olarak dağıtılır. Orijinal kopya kayıt olarak
arşivde Kalite Yönetim Temsilcisi tarafından muhafaza edilir.
Gözden Geçirme Girdisi
Yönetimin gözden geçirmesinin girdileri aşağıdakileri içermektedir:

a) BGYS denetimleri ve gözden geçirmelerinin sonuçları,

HAZIRLAYAN KONTROL EDEN ONAYLAYAN

 DOKÜMAN TARİHİ:
ISO 27001 BGYS EL KİTABI DOKÜMAN NO:
REV. TARİH/NO:

b) İlgili taraflardan edinilen geri bildirimler,

c) Kuruluşta BGYS’nin performansını ve etkinliği artırmak için kullanılabilecek teknikler, ürünler ya da prosedürler,
d) İyileştirici ve düzeltici faaliyetlerin durumu,
e) Önceki risk değerlendirmede uygun olarak ifade edilmeyen açıklıklar ya da tehditler,
f) Etkinlik ölçümlerinin sonuçları,
g) Önceki yönetim gözden geçirmelerinden izleme eylemleri,
h) BGYS’yi etkileyebilecek herhangi bir değişiklik
i) İyileştirme için öneriler.

Gözden geçirme çıktısı

Yönetimin gözden geçirmesinin çıktıları, aşağıdakilerle ilgili her kararı ve eylemi içermektedir:

a) BGYS etkinliğini iyileştirme.

b) Risk değerlendirme ve risk işleme planını güncelleştirme.
c) Gerektiğinde, BGYS üzerinde etkisi olabilecek iç ya da dış olaylara karşılık vermek için bilgi güvenliğini
etkileyen prosedür ve kontrol değişiklikleri, aşağıdakilere değişiklikleri içerir:
1) İş gereksinimleri,
2) Güvenlik gereksinimleri,
3) Mevcut iş gereksinimlerini etkileyen iş prosesleri,
4) Düzenleyici ya da yasal gereksinimler,
5) Anlaşma yükümlülükleri ve
6) Risk seviyeleri ve/veya risk kabul kriterleri.
d) Kaynak ihtiyaçları.
e) Kontrollerin etkinliğinin nasıl ölçüldüğünü iyileştirme.
10 İYİLEŞTİME
10.1 Uygunsuzluk ve Düzeltici Faaliyet

Kuruluşumuzda tekrarları engellemek için, BGYS gereksinimleriyle uygunsuzlukların nedenlerini gidermek üzere
gerekli önlemler alınmaktadır. Kuruluşumuzda, aşağıdaki gereklilikleri karşılamak üzere düzeltici faaliyetler entegre
Düzeltici ve İyileştirici Faaliyetler Prosedürü’ne göre gerçekleştirilir.

a) Uygunsuzlukları tanımlama,
b) Uygunsuzlukların nedenlerini belirleme,
c) Uygunsuzlukların tekrarlanmamasını sağlamak için ihtiyaç duyulan faaliyetleri değerlendirme,
d) Gereken düzeltici faaliyetleri belirleme ve gerçekleştirme,
e) Gerçekleştirilen faaliyetlerin sonuçlarını kaydetme
f) Gerçekleştirilen düzeltici faaliyetleri gözden geçirme.

Kuruluşumuzda, tekrar ortaya çıkmalarını önlemek için, BGYS gereksinimleriyle olası uygunsuzlukların nedenlerini
gidermek üzere alınacak önlemler belirlenmektedir.

Kuruluşumuzda, aşağıdaki gereklilikleri karşılamak üzere iyileştirici faaliyetler entegre Düzeltici ve İyileştirici
Faaliyetler Prosedürüne göre gerçekleştirilir.

a) Olası uygunsuzlukları ve bunların nedenlerini belirleme,

b) Uygunsuzlukların ortaya çıkmasını önleme faaliyeti ihtiyacını değerlendirme,
c) İhtiyaç duyulan iyileştirici faaliyetleri belirleme ve gerçekleştirme,
d) Gerçekleştirilen faaliyetlerin sonuçlarını kaydetme
HAZIRLAYAN KONTROL EDEN ONAYLAYAN
 DOKÜMAN TARİHİ:
ISO 27001 BGYS EL KİTABI DOKÜMAN NO:
REV. TARİH/NO:

e) Gerçekleştirilen iyileştirici faaliyetleri gözden geçirme.

10.2 Sürekli İyileştirme

ÖRNEK FİRMAMIZ, bilgi güvenlik politikasını, güvenlik amaçlarını, denetim sonuçlarını, izlenen olayların analizini,
düzeltici ve iyileştirici faaliyetleri ve yönetimin gözden geçirmelerini kullanarak BGYS etkinliğini sürekli
iyileştirmektedir.

HAZIRLAYAN KONTROL EDEN ONAYLAYAN