Bilgi Güvenliği Politikası
EITCA Akademi Bilgi Güvenliği Politikası
Bu belge, etkinliğini ve uygunluğunu sağlamak için düzenli olarak gözden geçirilen ve güncellenen Avrupa BT Sertifikasyon Enstitüsü'nün Bilgi Güvenliği Politikasını (ISP) belirtir. EITCI Bilgi Güvenliği Politikasında son güncelleme 7 Ocak 2023 tarihinde yapılmıştır.
Bölüm 1. Giriş ve Bilgi Güvenliği Politikası Beyanı
1.1. Giriş
Avrupa BT Sertifikasyon Enstitüsü, bilginin gizliliğini, bütünlüğünü ve kullanılabilirliğini ve paydaşlarımızın güvenini korumada bilgi güvenliğinin önemini kabul etmektedir. Kişisel veriler de dahil olmak üzere hassas bilgileri yetkisiz erişim, ifşa, değiştirme ve imhadan korumaya kararlıyız. Müşterilerimize güvenilir ve tarafsız sertifika hizmetleri sağlama misyonumuzu desteklemek için etkili bir Bilgi Güvenliği Politikası sürdürüyoruz. Bilgi Güvenliği Politikası, bilgi varlıklarını koruma ve yasal, düzenleyici ve sözleşmeden doğan yükümlülüklerimizi yerine getirme taahhüdümüzü ana hatlarıyla belirtir. Politikamız, bilgi güvenliği yönetimi ve belgelendirme kuruluşlarının operasyon standartları için önde gelen uluslararası standartlar olan ISO 27001 ve ISO 17024 ilkelerine dayanmaktadır.
1.2. Politika Bildirimi
Avrupa BT Sertifikasyon Enstitüsü aşağıdakileri taahhüt eder:
- Bilgi varlıklarının gizliliğini, bütünlüğünü ve kullanılabilirliğini korumak,
- Sertifikasyon süreç ve operasyonlarını gerçekleştirirken bilgi güvenliği ve veri işleme ile ilgili yasal, düzenleyici ve sözleşmeden doğan yükümlülüklere uymayı,
- Bilgi güvenliği politikasını ve ilgili yönetim sistemini sürekli iyileştirmek,
- Çalışanlara, yüklenicilere ve katılımcılara yeterli eğitim ve farkındalığın sağlanması,
- Bilgi güvenliği politikasının ve ilgili bilgi güvenliği yönetim sisteminin uygulanmasına ve sürdürülmesine tüm çalışanları ve yüklenicileri dahil etmek.
1.3. kapsam
Bu politika, Avrupa BT Sertifikasyon Enstitüsü tarafından sahip olunan, kontrol edilen veya işlenen tüm bilgi varlıkları için geçerlidir. Bu, sistemler, ağlar, yazılımlar, veriler ve belgeler gibi tüm dijital ve fiziksel bilgi varlıklarını içerir. Bu politika, bilgi varlıklarımıza erişen tüm çalışanlar, yükleniciler ve üçüncü taraf hizmet sağlayıcılar için de geçerlidir.
1.4. uyma
Avrupa BT Sertifikasyon Enstitüsü, ISO 27001 ve ISO 17024 dahil olmak üzere ilgili bilgi güvenliği standartlarına uymayı taahhüt eder. Devam eden alaka düzeyini ve bu standartlarla uyumluluğunu sağlamak için bu politikayı düzenli olarak gözden geçiriyor ve güncelliyoruz.
Bölüm 2. Kurumsal Güvenlik
2.1. Kuruluş Güvenlik Hedefleri
Kurumsal güvenlik önlemleri uygulayarak, bilgi, varlık ve veri işleme uygulama ve prosedürlerimizin en üst düzeyde güvenlik ve bütünlük içinde yürütülmesini ve ilgili yasal mevzuat ve standartlara uyum sağlamayı amaçlıyoruz.
2.2. Bilgi Güvenliği Rolleri ve Sorumlulukları
Avrupa BT Sertifikasyon Enstitüsü, kuruluş genelinde bilgi güvenliği için rolleri ve sorumlulukları tanımlar ve iletir. Bu, bilgi güvenliği bağlamında bilgi varlıkları için net bir sahiplik atamayı, bir yönetişim yapısı oluşturmayı ve kuruluş genelinde çeşitli roller ve departmanlar için belirli sorumlulukları tanımlamayı içerir.
2.3. Risk Yönetimi
Kişisel verilerin işlenmesiyle ilgili riskler dahil olmak üzere kuruluşa yönelik bilgi güvenliği risklerini belirlemek ve öncelik sırasına koymak için düzenli risk değerlendirmeleri yapıyoruz. Bu riskleri azaltmak için uygun kontroller oluşturuyoruz ve iş ortamındaki ve tehdit ortamındaki değişikliklere dayalı olarak risk yönetimi yaklaşımımızı düzenli olarak gözden geçiriyor ve güncelliyoruz.
2.4. Bilgi Güvenliği Politikaları ve Prosedürleri
Sektörün en iyi uygulamalarına dayanan ve ilgili düzenlemelere ve standartlara uyan bir dizi bilgi güvenliği politikası ve prosedürü oluşturuyor ve sürdürüyoruz. Bu politikalar ve prosedürler, kişisel verilerin işlenmesi de dahil olmak üzere bilgi güvenliğinin tüm yönlerini kapsar ve etkinliklerini sağlamak için düzenli olarak gözden geçirilir ve güncellenir.
2.5. Güvenlik Farkındalığı ve Eğitimi
Kişisel verilere veya diğer hassas bilgilere erişimi olan tüm çalışanlara, yüklenicilere ve üçüncü taraf ortaklara düzenli güvenlik farkındalığı ve eğitim programları sağlıyoruz. Bu eğitim, kimlik avı, sosyal mühendislik, parola hijyeni ve diğer bilgi güvenliği en iyi uygulamaları gibi konuları kapsar.
2.6. Fiziksel ve Çevresel Güvenlik
Tesislerimize ve bilgi sistemlerimize yetkisiz erişim, hasar veya müdahaleye karşı koruma sağlamak için uygun fiziksel ve çevresel güvenlik kontrolleri uyguluyoruz. Buna erişim kontrolleri, gözetim, izleme ve yedek güç ve soğutma sistemleri gibi önlemler dahildir.
2.7. Bilgi Güvenliği Olay Yönetimi
Meydana gelebilecek herhangi bir bilgi güvenliği olayına hızlı ve etkili bir şekilde yanıt vermemizi sağlayan bir olay yönetimi süreci oluşturduk. Bu, olayların raporlanması, üst makama iletilmesi, soruşturulması ve çözülmesine yönelik prosedürlerin yanı sıra tekrarlanmayı önleme ve olaya müdahale yeteneklerimizi geliştirmeye yönelik önlemleri içerir.
2.8. Operasyonel Süreklilik ve Felaket Kurtarma
Bir kesinti veya felaket durumunda kritik operasyon fonksiyonlarımızı ve hizmetlerimizi sürdürmemizi sağlayan operasyonel süreklilik ve felaket kurtarma planları oluşturduk ve test ettik. Bu planlar, veri ve sistemlerin yedeklenmesi ve kurtarılmasına yönelik prosedürleri ve kişisel verilerin kullanılabilirliğini ve bütünlüğünü sağlamaya yönelik önlemleri içerir.
2.9. Üçüncü Taraf Yönetimi
Kişisel verilere veya diğer hassas bilgilere erişimi olan üçüncü taraf ortaklarla ilişkili riskleri yönetmek için uygun kontroller oluşturuyor ve sürdürüyoruz. Durum tespiti, sözleşmeden doğan yükümlülükler, izleme ve denetimler gibi önlemlerin yanı sıra gerektiğinde ortaklıkları sona erdirme önlemleri de buna dahildir.
Bölüm 3. İnsan Kaynakları Güvenliği
3.1. İstihdam Taraması
Avrupa BT Sertifikasyon Enstitüsü, hassas bilgilere erişimi olan kişilerin güvenilir ve gerekli beceri ve niteliklere sahip olmasını sağlamak için bir istihdam taraması süreci oluşturmuştur.
3.2. Erişim Kontrolü
Çalışanların yalnızca iş sorumlulukları için gerekli bilgilere erişimi olmasını sağlamak için erişim kontrolü politikaları ve prosedürleri oluşturduk. Erişim hakları, çalışanların yalnızca ihtiyaç duydukları bilgilere erişimini sağlamak için düzenli olarak gözden geçirilir ve güncellenir.
3.3. Bilgi Güvenliği Farkındalık ve Eğitimi
Tüm çalışanlarımıza düzenli olarak bilgi güvenliği farkındalık eğitimleri veriyoruz. Bu eğitim, parola güvenliği, kimlik avı saldırıları, sosyal mühendislik ve siber güvenliğin diğer yönleri gibi konuları kapsar.
3.4. Kabul Edilebilir Kullanım
İş amacıyla kullanılan kişisel cihazlar da dahil olmak üzere bilgi sistemlerinin ve kaynaklarının kabul edilebilir kullanımını özetleyen bir kabul edilebilir kullanım politikası oluşturduk.
3.5. Mobil Cihaz Güvenliği
Parola kullanımı, şifreleme ve uzaktan silme özellikleri dahil olmak üzere mobil cihazların güvenli kullanımı için politikalar ve prosedürler oluşturduk.
3.6. Fesih İşlemleri
Avrupa BT Sertifikasyon Enstitüsü, hassas bilgilere erişimin derhal ve güvenli bir şekilde iptal edilmesini sağlamak için istihdamın veya sözleşmenin feshine yönelik prosedürler oluşturmuştur.
3.7. Üçüncü Şahıs Personel
Hassas bilgilere erişimi olan üçüncü taraf personelin yönetimi için prosedürler oluşturduk. Bu politikalar tarama, erişim kontrolü ve bilgi güvenliği farkındalığı eğitimini içerir.
3.8. Olayları Raporlama
Bilgi güvenliği olaylarını veya endişelerini uygun personele veya yetkililere bildirmek için politikalar ve prosedürler oluşturduk.
3.9. Gizlilik Sözleşmeleri
Avrupa BT Sertifikasyon Enstitüsü, hassas bilgileri yetkisiz ifşadan korumak için çalışanların ve yüklenicilerin gizlilik anlaşmaları imzalamasını zorunlu kılar.
3.10. Disiplin işlemleri
Avrupa BT Sertifikasyon Enstitüsü, çalışanlar veya yükleniciler tarafından bilgi güvenliği politikasının ihlal edilmesi durumunda uygulanacak disiplin cezaları için politikalar ve prosedürler oluşturmuştur.
Bölüm 4. Risk Değerlendirmesi ve Yönetimi
4.1. Risk değerlendirmesi
Bilgi varlıklarımıza yönelik potansiyel tehditleri ve güvenlik açıklarını belirlemek için periyodik risk değerlendirmeleri yapıyoruz. Olasılıklarına ve potansiyel etkilerine göre riskleri belirlemek, analiz etmek, değerlendirmek ve öncelik sırasına koymak için yapılandırılmış bir yaklaşım kullanıyoruz. Sistemler, ağlar, yazılımlar, veriler ve belgeler dahil olmak üzere bilgi varlıklarımızla ilişkili riskleri değerlendiriyoruz.
4.2. Risk Tedavisi
Riskleri azaltmak veya kabul edilebilir bir düzeye indirmek için bir risk işleme süreci kullanırız. Risk işleme süreci, uygun kontrollerin seçilmesini, kontrollerin uygulanmasını ve kontrollerin etkinliğinin izlenmesini içerir. Kontrollerin uygulanmasını risk düzeyine, mevcut kaynaklara ve iş önceliklerine göre önceliklendiriyoruz.
4.3. Risk İzleme ve İnceleme
İlgili ve etkili kalmasını sağlamak için risk yönetimi sürecimizin etkinliğini düzenli olarak izliyor ve gözden geçiriyoruz. Risk yönetimi sürecimizin performansını ölçmek ve iyileştirme fırsatlarını belirlemek için metrikler ve göstergeler kullanırız. Devam eden uygunluğunu, yeterliliğini ve etkililiğini sağlamak için periyodik yönetim incelemelerimizin bir parçası olarak risk yönetimi sürecimizi de gözden geçiriyoruz.
4.4. Risk Tepki Planlaması
Tanımlanmış herhangi bir riske etkili bir şekilde yanıt verebilmemizi sağlamak için yürürlükte olan bir risk yanıt planımız var. Bu plan, risklerin tanımlanması ve raporlanması için prosedürlerin yanı sıra her bir riskin potansiyel etkisinin değerlendirilmesi ve uygun müdahale eylemlerinin belirlenmesi için süreçler içerir. Önemli bir risk olayı durumunda iş sürekliliğini sağlamak için acil durum planlarımız da mevcuttur.
4.5. Operasyonel Etki Analizi
Kesintilerin ticari operasyonlarımız üzerindeki potansiyel etkisini belirlemek için periyodik iş etki analizleri yaparız. Bu analiz, iş fonksiyonlarımızın, sistemlerimizin ve verilerimizin kritikliğinin değerlendirilmesinin yanı sıra kesintilerin müşterilerimiz, çalışanlarımız ve diğer paydaşlarımız üzerindeki potansiyel etkisinin değerlendirilmesini içerir.
4.6. Üçüncü Taraf Risk Yönetimi
Satıcılarımızın ve diğer üçüncü taraf hizmet sağlayıcılarımızın da riskleri uygun şekilde yönetmesini sağlamak için bir üçüncü taraf risk yönetimi programımız mevcuttur. Bu program, üçüncü taraflarla ilişki kurmadan önce durum tespiti kontrollerini, üçüncü taraf faaliyetlerinin sürekli izlenmesini ve üçüncü taraf risk yönetimi uygulamalarının periyodik değerlendirmelerini içerir.
4.7. Olay Müdahalesi ve Yönetimi
Herhangi bir güvenlik olayına etkili bir şekilde yanıt verebilmemizi sağlamak için bir olay müdahalesi ve yönetim planımız var. Bu plan, olayların tanımlanmasına ve raporlanmasına yönelik prosedürlerin yanı sıra her bir olayın etkisinin değerlendirilmesine ve uygun müdahale eylemlerinin belirlenmesine yönelik süreçleri içerir. Önemli bir olay durumunda kritik iş fonksiyonlarının devam edebilmesini sağlamak için yürürlükte olan bir iş sürekliliği planımız da var.
Bölüm 5. Fiziksel ve Çevresel Güvenlik
5.1. Fiziki Güvenlik Çevresi
Fiziksel tesisleri ve hassas bilgileri yetkisiz erişime karşı korumak için fiziksel güvenlik önlemleri oluşturduk.
5.2. Erişim Kontrolü
Yalnızca yetkili personelin hassas bilgilere erişmesini sağlamak için fiziksel tesisler için erişim kontrol politikaları ve prosedürleri oluşturduk.
5.3. Ekipman Güvenliği
Hassas bilgiler içeren tüm ekipmanların fiziksel olarak emniyete alınmasını ve bu ekipmana erişimin yalnızca yetkili personelle sınırlandırılmasını sağlıyoruz.
5.4. Güvenli İmha
Kağıt belgeler, elektronik ortam ve donanım dahil olmak üzere hassas bilgilerin güvenli bir şekilde imha edilmesi için prosedürler oluşturduk.
5.5. Fiziksel Çevre
Sıcaklık, nem ve aydınlatma dahil olmak üzere tesisin fiziksel ortamının hassas bilgilerin korunması için uygun olmasını sağlıyoruz.
5.6. Güç kaynağı
Tesislere giden güç kaynağının güvenilir olmasını ve elektrik kesintilerine veya dalgalanmalara karşı korunmasını sağlıyoruz.
5.7. Yangından Korunma
Yangın algılama ve söndürme sistemlerinin kurulumu ve bakımı dahil, yangından korunma politikaları ve prosedürleri oluşturduk.
5.8. Su Hasarı Koruması
Sel algılama ve önleme sistemlerinin kurulumu ve bakımı da dahil olmak üzere hassas bilgileri su hasarından korumak için politikalar ve prosedürler oluşturduk.
5.9. Ekipman Bakımı
Ekipmanın kurcalanma veya yetkisiz erişim belirtileri açısından incelenmesi dahil olmak üzere, ekipmanın bakımı için prosedürler oluşturduk.
5.10. Kabul Edilebilir Kullanım
Fiziksel kaynakların ve tesislerin kabul edilebilir kullanımını özetleyen kabul edilebilir bir kullanım politikası oluşturduk.
5.11. Uzaktan Erişim
Güvenli bağlantılar ve şifreleme kullanımı da dahil olmak üzere hassas bilgilere uzaktan erişim için politikalar ve prosedürler oluşturduk.
5.12. İzleme ve Gözetim
Yetkisiz erişimi veya kurcalamayı tespit etmek ve önlemek için fiziksel tesislerin ve ekipmanın izlenmesi ve gözetimi için politikalar ve prosedürler oluşturduk.
Parça. 6. İletişim ve Operasyon Güvenliği
6.1. Ağ Güvenliği Yönetimi
Güvenlik duvarlarının kullanımı, saldırı tespit ve önleme sistemleri ve düzenli güvenlik denetimleri dahil olmak üzere ağ güvenliğinin yönetimi için politikalar ve prosedürler oluşturduk.
6.2. Bilgi transferi
Şifreleme ve güvenli dosya aktarım protokollerinin kullanımı da dahil olmak üzere hassas bilgilerin güvenli aktarımı için politikalar ve prosedürler oluşturduk.
6.3. Üçüncü Taraf İletişimleri
Güvenli bağlantıların ve şifrelemenin kullanımı dahil olmak üzere hassas bilgilerin üçüncü taraf kuruluşlarla güvenli alışverişi için politikalar ve prosedürler oluşturduk.
6.4. Medyayı kontrol etme
Kağıt belgeler, elektronik ortamlar ve taşınabilir depolama cihazları dahil olmak üzere çeşitli ortamlardaki hassas bilgilerin işlenmesine yönelik prosedürler oluşturduk.
6.5. Bilgi Sistemleri Geliştirme ve Bakımı
Güvenli kodlama uygulamalarının kullanımı, düzenli yazılım güncellemeleri ve yama yönetimi dahil olmak üzere bilgi sistemlerinin geliştirilmesi ve bakımı için politikalar ve prosedürler oluşturduk.
6.6. Kötü Amaçlı Yazılım ve Virüslere Karşı Koruma
Bilgi sistemlerini kötü amaçlı yazılımlara ve virüslere karşı korumak için, virüsten koruma yazılımının kullanımı ve düzenli güvenlik güncellemeleri de dahil olmak üzere politikalar ve prosedürler oluşturduk.
6.7. Yedekleme ve Geri Yükleme
Veri kaybını veya bozulmayı önlemek için hassas bilgilerin yedeklenmesi ve geri yüklenmesi için politikalar ve prosedürler oluşturduk.
6.8. Etkinlik Yönetimi
Güvenlik olaylarının ve olaylarının tanımlanması, soruşturulması ve çözülmesi için politikalar ve prosedürler oluşturduk.
6.9. Güvenlik Açığı Yönetimi
Düzenli güvenlik açığı değerlendirmeleri ve yama yönetimi dahil olmak üzere bilgi sistemi güvenlik açıklarının yönetimi için politikalar ve prosedürler oluşturduk.
6.10. Erişim Kontrolü
Erişim kontrollerinin kullanımı, kullanıcı kimlik doğrulaması ve düzenli erişim gözden geçirmeleri dahil olmak üzere bilgi sistemlerine kullanıcı erişiminin yönetimi için politikalar ve prosedürler oluşturduk.
6.11. İzleme ve Günlüğe Kaydetme
Denetim izlerinin kullanımı ve güvenlik olay günlüğü kaydı dahil olmak üzere bilgi sistemi etkinliklerinin izlenmesi ve günlüğe kaydedilmesi için politikalar ve prosedürler oluşturduk.
Bölüm 7. Bilgi Sistemleri Edinim, Geliştirme ve Bakım
7.1. Gereksinimler
İş gereklilikleri, yasal ve düzenleyici gereklilikler ve güvenlik gereklilikleri dahil olmak üzere bilgi sistemi gerekliliklerinin tanımlanması için politikalar ve prosedürler oluşturduk.
7.2. Tedarikçi İlişkileri
Tedarikçilerin güvenlik uygulamalarının değerlendirilmesi de dahil olmak üzere üçüncü taraf bilgi sistemleri ve hizmetleri tedarikçileriyle olan ilişkilerin yönetimi için politikalar ve prosedürler oluşturduk.
7.3. Sistem Geliştirme
Güvenli kodlama uygulamalarının kullanımı, düzenli testler ve kalite güvencesi dahil olmak üzere bilgi sistemlerinin güvenli bir şekilde geliştirilmesi için politikalar ve prosedürler oluşturduk.
7.4. Sistem Testi
İşlevsellik testi, performans testi ve güvenlik testi dahil olmak üzere bilgi sistemlerinin testi için politikalar ve prosedürler oluşturduk.
7.5. Sistem Kabulü
Test sonuçlarının onaylanması, güvenlik değerlendirmeleri ve kullanıcı kabul testleri dahil olmak üzere bilgi sistemlerinin kabulü için politikalar ve prosedürler oluşturduk.
7.6. Sistem Bakımı
Düzenli güncellemeler, güvenlik yamaları ve sistem yedeklemeleri dahil olmak üzere bilgi sistemlerinin bakımı için politikalar ve prosedürler oluşturduk.
7.7. Sistemin Kullanımdan Kaldırılması
Donanım ve verilerin güvenli bir şekilde imha edilmesi de dahil olmak üzere bilgi sistemlerinin kullanımdan kaldırılmasına yönelik politikalar ve prosedürler oluşturduk.
7.8. Veri Saklama
Hassas verilerin güvenli bir şekilde saklanması ve imha edilmesi de dahil olmak üzere, verilerin yasal ve düzenleyici gerekliliklere uygun olarak saklanmasına yönelik politikalar ve prosedürler oluşturduk.
7.9. Bilgi Sistemleri İçin Güvenlik Gereksinimleri
Erişim kontrolleri, şifreleme ve veri koruma dahil olmak üzere bilgi sistemleri için güvenlik gereksinimlerinin belirlenmesi ve uygulanmasına yönelik politikalar ve prosedürler oluşturduk.
7.10. Güvenli Geliştirme Ortamları
Güvenli geliştirme uygulamalarının, erişim kontrollerinin ve güvenli ağ yapılandırmalarının kullanımı dahil olmak üzere bilgi sistemleri için güvenli geliştirme ortamlarına yönelik politikalar ve prosedürler oluşturduk.
7.11. Test Ortamlarının Korunması
Güvenli yapılandırmaların, erişim kontrollerinin ve düzenli güvenlik testlerinin kullanımı dahil olmak üzere bilgi sistemleri için test ortamlarının korunmasına yönelik politikalar ve prosedürler oluşturduk.
7.12. Güvenli Sistem Mühendisliği Prensipleri
Güvenlik mimarilerinin kullanımı, tehdit modelleme ve güvenli kodlama uygulamaları dahil olmak üzere bilgi sistemleri için güvenli sistem mühendisliği ilkelerinin uygulanmasına yönelik politikalar ve prosedürler oluşturduk.
7.13. Güvenli Kodlama Yönergeleri
Kodlama standartlarının kullanımı, kod incelemeleri ve otomatik testler dahil olmak üzere bilgi sistemleri için güvenli kodlama yönergelerinin uygulanmasına yönelik politikalar ve prosedürler oluşturduk.
Bölüm 8. Donanım Edinimi
8.1. Standartlara Bağlılık
Donanım varlıklarının güvenlik gereksinimlerimize uygun olarak tedarik edilmesini sağlamak için bilgi güvenliği yönetim sistemi (ISMS) için ISO 27001 standardına bağlıyız.
8.2. Risk değerlendirmesi
Potansiyel güvenlik risklerini belirlemek ve seçilen donanımın güvenlik gereksinimlerini karşıladığından emin olmak için donanım varlıklarını tedarik etmeden önce risk değerlendirmesi yapıyoruz.
8.3. Satıcı Seçimi
Donanım varlıklarını yalnızca güvenli ürünler sunma konusunda kanıtlanmış bir geçmişe sahip güvenilir satıcılardan temin ederiz. Satıcının güvenlik politikalarını ve uygulamalarını inceleriz ve ürünlerinin güvenlik gereksinimlerimizi karşıladığına dair güvence vermelerini isteriz.
8.4. Güvenli Taşıma
Taşıma sırasında kurcalamayı, hasarı veya hırsızlığı önlemek için donanım varlıklarının tesislerimize güvenli bir şekilde taşınmasını sağlıyoruz.
8.5. Orijinallik Doğrulaması
Sahte veya kurcalanmış olmadıklarından emin olmak için teslimat sırasında donanım varlıklarının orijinalliğini doğrularız.
8.6. Fiziksel ve Çevresel Kontroller
Donanım varlıklarını yetkisiz erişime, hırsızlığa veya hasara karşı korumak için uygun fiziksel ve çevresel kontrolleri uyguluyoruz.
8.7. Donanım Kurulumu
Tüm donanım varlıklarının belirlenmiş güvenlik standartları ve yönergelerine göre yapılandırılmasını ve kurulmasını sağlıyoruz.
8.8. Donanım İncelemeleri
Güvenlik gereksinimlerimizi karşılamaya devam etmelerini ve en son güvenlik yamaları ve güncellemeleri ile güncel olmalarını sağlamak için donanım varlıklarını periyodik olarak gözden geçiriyoruz.
8.9. Donanımın İmhası
Hassas bilgilere yetkisiz erişimi önlemek için donanım varlıklarını güvenli bir şekilde elden çıkarıyoruz.
Bölüm 9. Kötü Amaçlı Yazılım ve Virüslere Karşı Koruma
9.1. Yazılım Güncelleme Politikası
Sunucular, iş istasyonları, dizüstü bilgisayarlar ve mobil cihazlar dahil olmak üzere Avrupa BT Sertifikasyon Enstitüsü tarafından kullanılan tüm bilgi sistemlerinde güncel virüsten koruma ve kötü amaçlı yazılımdan koruma yazılımları bulunduruyoruz. Anti-virüs ve kötü amaçlı yazılımdan koruma yazılımının, virüs tanım dosyalarını ve yazılım sürümlerini düzenli olarak otomatik olarak güncelleyecek şekilde yapılandırılmasını ve bu sürecin düzenli olarak test edilmesini sağlıyoruz.
9.2. Anti-Virüs ve Kötü Amaçlı Yazılım Taraması
Virüsleri veya kötü amaçlı yazılımları tespit etmek ve kaldırmak için sunucular, iş istasyonları, dizüstü bilgisayarlar ve mobil cihazlar dahil olmak üzere tüm bilgi sistemlerini düzenli olarak tararız.
9.3. Devre Dışı Bırakma ve Değiştirmeme Politikası
Kullanıcıların herhangi bir bilgi sisteminde virüsten koruma ve kötü amaçlı yazılımdan koruma yazılımlarını devre dışı bırakmasını veya değiştirmesini yasaklayan politikalar uyguluyoruz.
9.4. İzleme
Herhangi bir virüs veya kötü amaçlı yazılım bulaşma olayını belirlemek ve bu tür olaylara zamanında müdahale etmek için virüsten koruma ve kötü amaçlı yazılımdan koruma yazılımı uyarılarımızı ve günlüklerimizi izliyoruz.
9.5. Kayıt Bakımı
Denetim amacıyla virüsten koruma ve kötü amaçlı yazılımdan koruma yazılımı yapılandırması, güncellemeler ve taramaların yanı sıra virüs veya kötü amaçlı yazılım bulaşma olaylarının kayıtlarını tutarız.
9.6. Yazılım İncelemeleri
Mevcut endüstri standartlarını karşıladığından ve ihtiyaçlarımıza uygun olduğundan emin olmak için virüsten koruma ve kötü amaçlı yazılımdan koruma yazılımımızın periyodik incelemelerini yaparız.
9.7. Eğitim ve Farkındalık
Tüm çalışanları virüs ve kötü amaçlı yazılımdan korumanın önemi ve şüpheli etkinliklerin veya olayların nasıl fark edilip rapor edileceği konusunda eğitmek için eğitim ve bilinçlendirme programları sağlıyoruz.
Bölüm 10. Bilgi Varlık Yönetimi
10.1. Bilgi Varlığı Envanteri
Avrupa BT Sertifikasyon Enstitüsü, sistemler, ağlar, yazılımlar, veriler ve belgeler gibi tüm dijital ve fiziksel bilgi varlıklarını içeren bir bilgi varlıkları envanteri tutar. Uygun koruma önlemlerinin uygulandığından emin olmak için bilgi varlıklarını kritiklik ve hassasiyetlerine göre sınıflandırıyoruz.
10.2. Bilgi Varlığı İşleme
Gizlilik, bütünlük ve kullanılabilirlik dahil olmak üzere sınıflandırmalarına göre bilgi varlıklarını korumak için uygun önlemleri uyguluyoruz. Tüm bilgi varlıklarının yürürlükteki yasalara, düzenlemelere ve sözleşme gerekliliklerine uygun olarak ele alınmasını sağlıyoruz. Ayrıca, tüm bilgi varlıklarının uygun şekilde saklanmasını, korunmasını ve artık ihtiyaç duyulmadığında imha edilmesini sağlıyoruz.
10.3. Bilgi Varlığı Mülkiyeti
Bilgi varlıklarının mülkiyetini, bilgi varlıklarını yönetmekten ve korumaktan sorumlu kişilere veya departmanlara atarız. Ayrıca, bilgi varlığı sahiplerinin bilgi varlıklarını korumaya yönelik sorumluluklarını ve sorumluluklarını anlamalarını sağlıyoruz.
10.4. Bilgi Varlığı Koruması
Bilgi varlıklarını korumak için fiziksel kontroller, erişim kontrolleri, şifreleme ve yedekleme ve kurtarma süreçleri dahil olmak üzere çeşitli koruma önlemleri kullanıyoruz. Ayrıca, tüm bilgi varlıklarının yetkisiz erişim, değişiklik veya imhaya karşı korunmasını sağlıyoruz.
Kısım 11. Erişim Kontrolü
11.1. Erişim Kontrol Politikası
Avrupa BT Sertifikasyon Enstitüsü, bilgi varlıklarına erişim verme, değiştirme ve iptal etme gerekliliklerini özetleyen bir Erişim Kontrol Politikasına sahiptir. Erişim kontrolü, bilgi güvenliği yönetim sistemimizin kritik bir bileşenidir ve bilgi varlıklarımıza yalnızca yetkili kişilerin erişebilmesini sağlamak için uygularız.
11.2. Erişim Kontrolü Uygulaması
Erişim kontrol önlemlerini en az ayrıcalık ilkesine dayalı olarak uyguluyoruz; bu, bireylerin yalnızca iş işlevlerini yerine getirmek için gerekli bilgi varlıklarına erişimi olduğu anlamına gelir. Kimlik doğrulama, yetkilendirme ve hesap oluşturma (AAA) dahil olmak üzere çeşitli erişim kontrol önlemleri kullanıyoruz. Bilgi varlıklarına erişimi kontrol etmek için erişim kontrol listelerini (ACL'ler) ve izinleri de kullanırız.
11.3. Şifre politikası
Avrupa BT Sertifikasyon Enstitüsü, parola oluşturma ve yönetme gerekliliklerini özetleyen bir Parola Politikasına sahiptir. En az 8 karakter uzunluğunda, büyük ve küçük harfler, sayılar ve özel karakterlerden oluşan güçlü parolalara ihtiyacımız var. Ayrıca, periyodik parola değişikliklerini zorunlu tutuyoruz ve önceki parolaların yeniden kullanılmasını yasaklıyoruz.
11.4. Kullanıcı Yönetimi
Kullanıcı hesapları oluşturmayı, değiştirmeyi ve silmeyi içeren bir kullanıcı yönetimi sürecimiz var. Kullanıcı hesapları, en az ayrıcalık ilkesine göre oluşturulur ve yalnızca kişinin iş işlevlerini yerine getirmesi için gerekli olan bilgi varlıklarına erişim verilir. Ayrıca kullanıcı hesaplarını düzenli olarak inceliyor ve artık ihtiyaç duyulmayan hesapları kaldırıyoruz.
Bölüm 12. Bilgi Güvenliği Olay Yönetimi
12.1. Olay Yönetimi Politikası
Avrupa BT Sertifikasyon Enstitüsü, güvenlik olaylarını tespit etmek, raporlamak, değerlendirmek ve bunlara yanıt vermek için gereklilikleri özetleyen bir Olay Yönetimi Politikasına sahiptir. Güvenlik olaylarını, bilgi varlıklarının veya sistemlerinin gizliliğini, bütünlüğünü veya kullanılabilirliğini tehlikeye atan herhangi bir olay olarak tanımlarız.
12.2. Olay Tespiti ve Raporlama
Güvenlik olaylarını derhal tespit etmek ve raporlamak için önlemler uyguluyoruz. Saldırı tespit sistemleri (IDS), virüsten koruma yazılımı ve kullanıcı raporlama dahil olmak üzere güvenlik olaylarını tespit etmek için çeşitli yöntemler kullanıyoruz. Ayrıca, tüm çalışanların güvenlik olaylarını bildirme prosedürlerinden haberdar olmalarını sağlar ve tüm şüpheli olayların rapor edilmesini teşvik ederiz.
12.3. Olay Değerlendirmesi ve Müdahale
Güvenlik olaylarını ciddiyetlerine ve etkilerine göre değerlendirmek ve bunlara yanıt vermek için bir sürecimiz var. Olayları, bilgi varlıkları veya sistemleri üzerindeki potansiyel etkilerine göre önceliklendiriyor ve bunlara yanıt vermek için uygun kaynakları tahsis ediyoruz. Ayrıca, güvenlik olaylarının belirlenmesi, kontrol altına alınması, analiz edilmesi, ortadan kaldırılması ve bunlardan kurtulma prosedürlerinin yanı sıra ilgili tarafları bilgilendirme ve olay sonrası incelemeler gerçekleştirme prosedürlerini içeren bir müdahale planımız da mevcuttur. Olay müdahale prosedürlerimiz, hızlı ve etkili bir müdahale sağlamak üzere tasarlanmıştır. güvenlik olaylarına Prosedürler, etkinliklerini ve uygunluklarını sağlamak için düzenli olarak gözden geçirilir ve güncellenir.
12.4. Olay Müdahale Ekibi
Güvenlik olaylarına müdahale etmekten sorumlu bir Olay Müdahale Ekibimiz (IRT) var. IRT, çeşitli birimlerin temsilcilerinden oluşur ve Bilgi Güvenliği Sorumlusu (ISO) tarafından yönetilir. IRT, olayların ciddiyetini değerlendirmekten, olayı kontrol altına almaktan ve uygun müdahale prosedürlerini başlatmaktan sorumludur.
12.5. Olay Raporlama ve İnceleme
Geçerli yasa ve yönetmeliklerin gerektirdiği şekilde, güvenlik olaylarını müşteriler, düzenleyici makamlar ve kolluk kuvvetleri dahil olmak üzere ilgili taraflara bildirmek için prosedürler oluşturduk. Ayrıca, olay müdahale süreci boyunca etkilenen taraflarla iletişimi sürdürür, olayın durumu ve etkisini azaltmak için alınan önlemler hakkında zamanında güncellemeler sağlarız. Ayrıca, temel nedeni belirlemek ve benzer olayların gelecekte meydana gelmesini önlemek için tüm güvenlik olaylarını gözden geçiriyoruz.
Bölüm 13. İş Sürekliliği Yönetimi ve Felaket Kurtarma
13.1. İş Sürekliliği Planlaması
Avrupa BT Sertifikasyon Enstitüsü kar amacı gütmeyen bir kuruluş olmasına rağmen, kesintiye uğrayan bir olay durumunda operasyonlarının sürekliliğini sağlamaya yönelik prosedürleri ana hatlarıyla belirleyen bir İş Sürekliliği Planına (BCP) sahiptir. BCP, tüm kritik işletim süreçlerini kapsar ve bir kesinti olayı sırasında ve sonrasında operasyonları sürdürmek için gereken kaynakları tanımlar. Ayrıca, bir kesinti veya felaket sırasında iş operasyonlarını sürdürme, kesintilerin etkisini değerlendirme, belirli bir kesintiye neden olan olay bağlamında en kritik işletim süreçlerini belirleme ve müdahale ve kurtarma prosedürleri geliştirme prosedürlerini ana hatlarıyla belirtir.
13.2. Felaket Kurtarma Planlaması
Avrupa BT Sertifikasyon Enstitüsü, bir kesinti veya felaket durumunda bilgi sistemlerimizi kurtarma prosedürlerini özetleyen bir Olağanüstü Durum Kurtarma Planına (DRP) sahiptir. DRP, veri yedekleme, veri geri yükleme ve sistem kurtarma prosedürlerini içerir. DRP, etkinliğini sağlamak için düzenli olarak test edilir ve güncellenir.
13.3. İş Etkisi Analizi
Kritik operasyon süreçlerini ve bunları sürdürmek için gereken kaynakları belirlemek için bir İş Etki Analizi (BIA) yürütüyoruz. BIA, kurtarma çabalarımıza öncelik vermemize ve kaynakları buna göre tahsis etmemize yardımcı olur.
13.4. İş Sürekliliği Stratejisi
BIA'nın sonuçlarına dayanarak, kesintiye uğratan bir olaya yanıt verme prosedürlerini ana hatlarıyla belirleyen bir İş Sürekliliği Stratejisi geliştiriyoruz. Strateji, BCP'yi etkinleştirme, kritik operasyon süreçlerini eski haline getirme ve ilgili paydaşlarla iletişim kurma prosedürlerini içerir.
13.5. Test ve Bakım
Etkinliklerini ve uygunluklarını sağlamak için BCP ve DRP'mizi düzenli olarak test ediyor ve sürdürüyoruz. BCP/DRP'yi doğrulamak ve iyileştirme alanlarını belirlemek için düzenli testler yapıyoruz. Ayrıca operasyonlarımızdaki veya tehdit ortamımızdaki değişiklikleri yansıtmak için BCP ve DRP'yi gerektiği şekilde güncelleriz. Test, masa üstü alıştırmaları, simülasyonları ve prosedürlerin canlı testini içerir. Ayrıca test sonuçlarına ve alınan derslere göre planlarımızı gözden geçiriyor ve güncelliyoruz.
13.6. Alternatif İşleme Siteleri
Bir kesinti veya felaket durumunda iş operasyonlarına devam etmek için kullanılabilecek alternatif çevrimiçi işleme siteleri bulunduruyoruz. Alternatif işleme siteleri, gerekli altyapı ve sistemlerle donatılmıştır ve kritik iş süreçlerini desteklemek için kullanılabilir.
Bölüm 14. Uyum ve Denetim
14.1. Yasa ve Yönetmeliklere Uyum
Avrupa BT Sertifikasyon Enstitüsü, veri koruma yasaları, endüstri standartları ve sözleşmeden doğan yükümlülükler dahil olmak üzere bilgi güvenliği ve gizliliği ile ilgili tüm geçerli yasa ve yönetmeliklere uymayı taahhüt eder. İlgili tüm gerekliliklere ve standartlara uygunluğu sağlamak için politikalarımızı, prosedürlerimizi ve kontrollerimizi düzenli olarak gözden geçiriyor ve güncelliyoruz. Bilgi güvenliği bağlamında takip ettiğimiz ana standartlar ve çerçeveler şunları içerir:
- Güvenlik açığı yönetimini temel bir bileşen olarak içeren bir Bilgi Güvenliği Yönetim Sisteminin (ISMS) uygulanması ve yönetimi için yönergeler sağlayan ISO/IEC 27001 standardı. Güvenlik açığı yönetimi de dahil olmak üzere bilgi güvenliği yönetim sistemimizi (ISMS) uygulamak ve sürdürmek için bir referans çerçevesi sağlar. Bu standart hükümlere uygun olarak, güvenlik açıkları da dahil olmak üzere bilgi güvenliği risklerini belirler, değerlendirir ve yönetiriz.
- ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Siber Güvenlik Çerçevesi, güvenlik açığı yönetimi de dahil olmak üzere siber güvenlik risklerinin belirlenmesi, değerlendirilmesi ve yönetilmesi için yönergeler sağlar.
- Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Siber güvenlik risklerini yönetmek için bağlı kaldığımız güvenlik açığı yönetimi de dahil olmak üzere bir dizi temel işlevle birlikte siber güvenlik risk yönetimini geliştirmeye yönelik Siber Güvenlik Çerçevesi.
- SANS Kritik Güvenlik Kontrolleri, siber güvenliği iyileştirmek için bir dizi 20 güvenlik denetimi içeren, güvenlik açığı yönetimi de dahil olmak üzere bir dizi alanı kapsar, güvenlik açığı taraması, yama yönetimi ve güvenlik açığı yönetiminin diğer yönleri hakkında özel rehberlik sağlar.
- Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS), bu bağlamda güvenlik açığı yönetimi açısından kredi kartı bilgilerinin işlenmesini gerektirir.
- Bilgi sistemlerimizin güvenli yapılandırmalarını sağlamak için temel kontrollerden biri olarak güvenlik açığı yönetimini içeren İnternet Güvenlik Kontrolleri Merkezi (CIS).
- Enjeksiyon saldırıları, bozuk kimlik doğrulama ve oturum yönetimi, siteler arası komut dosyası çalıştırma (XSS) vb. güvenlik açığı yönetimi çabalarımıza öncelik vermek ve web sistemlerimiz açısından en kritik risklere odaklanmak için OWASP İlk 10'a girdi.
14.2. İç Denetim
Bilgi Güvenliği Yönetim Sistemimizin (BGYS) etkinliğini değerlendirmek ve politikalarımızın, prosedürlerimizin ve kontrollerimizin takip edildiğinden emin olmak için düzenli iç denetimler gerçekleştiriyoruz. İç denetim süreci, uygunsuzlukların belirlenmesini, düzeltici eylemlerin geliştirilmesini ve iyileştirme çabalarının izlenmesini içerir.
14.3. Dış denetim
Yürürlükteki yasalara, yönetmeliklere ve endüstri standartlarına uygunluğumuzu doğrulamak için periyodik olarak dış denetçilerle görüşüyoruz. Uygunluğumuzu doğrulamak için gereken şekilde denetçilere tesislerimize, sistemlerimize ve belgelerimize erişim sağlıyoruz. Ayrıca, denetim sürecinde tespit edilen herhangi bir bulgu veya tavsiyeyi ele almak için dış denetçilerle birlikte çalışıyoruz.
14.4. Uyumluluk izleme
Yürürlükteki yasalara, düzenlemelere ve endüstri standartlarına uygunluğumuzu sürekli olarak izliyoruz. Uyumluluğu izlemek için üçüncü taraf sağlayıcıların periyodik değerlendirmeleri, denetimleri ve incelemeleri dahil olmak üzere çeşitli yöntemler kullanıyoruz. Ayrıca ilgili tüm gerekliliklere sürekli uyum sağlamak için politikalarımızı, prosedürlerimizi ve kontrollerimizi düzenli olarak gözden geçiriyor ve güncelliyoruz.
Bölüm 15. Üçüncü Taraf Yönetimi
15.1. Üçüncü Taraf Yönetim Politikası
Avrupa BT Sertifikasyon Enstitüsü, bilgi varlıklarımıza veya sistemlerimize erişimi olan üçüncü taraf sağlayıcıların seçilmesine, değerlendirilmesine ve izlenmesine ilişkin gereklilikleri özetleyen bir Üçüncü Taraf Yönetim Politikasına sahiptir. Politika, bulut hizmeti sağlayıcıları, satıcılar ve yükleniciler dahil olmak üzere tüm üçüncü taraf sağlayıcılar için geçerlidir.
15.2. Üçüncü Taraf Seçimi ve Değerlendirmesi
Bilgi varlıklarımızı veya sistemlerimizi korumak için yeterli güvenlik kontrollerine sahip olduklarından emin olmak için üçüncü taraf sağlayıcılarla ilişki kurmadan önce durum tespiti yaparız. Ayrıca, üçüncü taraf sağlayıcıların bilgi güvenliği ve gizliliği ile ilgili geçerli yasa ve düzenlemelere uyumunu da değerlendiriyoruz.
15.3. Üçüncü Taraf İzleme
Bilgi güvenliği ve gizliliği gereksinimlerimizi karşılamaya devam etmelerini sağlamak için üçüncü taraf sağlayıcıları sürekli olarak izleriz. Üçüncü taraf sağlayıcıları izlemek için periyodik değerlendirmeler, denetimler ve güvenlik olayı raporlarının gözden geçirilmesi dahil olmak üzere çeşitli yöntemler kullanıyoruz.
15.4. Sözleşme Gereksinimleri
Üçüncü taraf sağlayıcılarla yaptığımız tüm sözleşmelere bilgi güvenliği ve gizlilikle ilgili sözleşme gerekliliklerini dahil ediyoruz. Bu gereksinimler, veri koruma, güvenlik kontrolleri, olay yönetimi ve uyumluluk izleme için hükümleri içerir. Ayrıca, bir güvenlik olayı veya uyumsuzluk durumunda sözleşmelerin feshine yönelik hükümler de ekliyoruz.
Bölüm 16. Sertifikasyon Süreçlerinde Bilgi Güvenliği
16.1 Sertifikasyon Süreçlerinin Güvenliği
Sertifika almak isteyen kişilerin kişisel verileri de dahil olmak üzere, sertifika süreçlerimizle ilgili tüm bilgilerin güvenliğini sağlamak için yeterli ve sistematik önlemler alıyoruz. Bu, sertifikayla ilgili tüm bilgilere erişim, depolama ve iletim kontrollerini içerir. Bu önlemleri uygulayarak, belgelendirme süreçlerinin en üst düzeyde güvenlik ve bütünlük içinde yürütülmesini ve belgelendirme talebinde bulunan kişilerin kişisel verilerinin ilgili mevzuat ve standartlara uygun olarak korunmasını amaçlıyoruz.
16.2. Kimlik doğrulama ve yetkilendirme
Yalnızca yetkili personelin sertifika bilgilerine erişmesini sağlamak için kimlik doğrulama ve yetkilendirme kontrolleri kullanıyoruz. Erişim kontrolleri, personel rolleri ve sorumluluklarındaki değişikliklere göre düzenli olarak gözden geçirilir ve güncellenir.
16.3. Veri koruması
Verilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamak için uygun teknik ve organizasyonel önlemleri uygulayarak sertifikasyon süreci boyunca kişisel verileri koruyoruz. Buna şifreleme, erişim denetimleri ve düzenli yedeklemeler gibi önlemler dahildir.
16.4. Sınav Süreçlerinin Güvenliği
Sınav ortamının kopyalanmasını önlemek, izlemek ve kontrol etmek için uygun önlemleri uygulayarak sınav süreçlerinin güvenliğini sağlarız. Ayrıca, güvenli depolama prosedürleri aracılığıyla inceleme materyallerinin bütünlüğünü ve gizliliğini koruyoruz.
16.5. Sınav İçeriğinin Güvenliği
İçeriğe yetkisiz erişim, değişiklik veya ifşaya karşı korumak için uygun önlemleri uygulayarak sınav içeriğinin güvenliğini sağlıyoruz. Bu, sınav içeriği için güvenli depolama, şifreleme ve erişim kontrollerinin yanı sıra sınav içeriğinin yetkisiz dağıtımını veya yayılmasını önlemeye yönelik kontrolleri içerir.
16.6. Muayene Teslim Güvenliği
Sınav ortamına yetkisiz erişimi veya manipülasyonu önlemek için uygun önlemleri uygulayarak sınav sunumunun güvenliğini sağlıyoruz. Bu, kopya çekmeyi veya diğer güvenlik ihlallerini önlemek için sınav ortamının ve belirli sınav yaklaşımlarının izlenmesi, denetlenmesi ve kontrolü gibi önlemleri içerir.
16.7. Sınav Sonuçlarının Güvenliği
Sonuçların yetkisiz erişimine, değiştirilmesine veya ifşa edilmesine karşı korumak için uygun önlemleri uygulayarak inceleme sonuçlarının güvenliğini sağlıyoruz. Bu, inceleme sonuçları için güvenli depolama, şifreleme ve erişim kontrollerinin yanı sıra inceleme sonuçlarının yetkisiz dağıtımını veya yayılmasını önlemeye yönelik kontrolleri içerir.
16.8. Sertifika Verme Güvenliği
Dolandırıcılığı ve izinsiz sertifika verilmesini önlemek için uygun önlemleri uygulayarak sertifika verme güvenliğini sağlıyoruz. Bu, sertifika alan kişilerin kimliğinin doğrulanmasına yönelik kontrolleri ve güvenli saklama ve düzenleme prosedürlerini içerir.
16.9. Şikayet ve İtirazlar
Belgelendirme süreciyle ilgili şikayetleri ve itirazları yönetmek için prosedürler oluşturduk. Bu prosedürler, sürecin gizliliğini ve tarafsızlığını ve şikayet ve itirazlara ilişkin bilgilerin güvenliğini sağlamaya yönelik önlemleri içerir.
16.10. Belgelendirme Süreçleri Kalite Yönetimi
Süreçlerin etkinliğini, verimliliğini ve güvenliğini sağlamaya yönelik önlemleri içeren belgelendirme süreçleri için bir Kalite Yönetim Sistemi (QMS) oluşturduk. KYS, süreçlerin ve bunların güvenlik kontrollerinin düzenli denetimlerini ve incelemelerini içerir.
16.11. Sertifikasyon Süreçlerinin Güvenliğinin Sürekli İyileştirilmesi
Sertifikasyon süreçlerimizi ve bunların güvenlik kontrollerini sürekli iyileştirmeye kararlıyız. Bu, bilgi güvenliği yönetimi için ISO 27001 standardına ve ISO'ya uygun olarak iş ortamındaki değişikliklere, yasal gerekliliklere ve bilgi güvenliği yönetimindeki en iyi uygulamalara dayalı güvenlikle ilgili politika ve prosedürlerin düzenli olarak gözden geçirilmesini ve güncellenmesini içerir. 17024 belgelendirme kuruluşu çalışma standardı.
Bölüm 17. Kapanış Hükümleri
17.1. Politika İnceleme ve Güncelleme
Bu Bilgi Güvenliği Politikası, operasyonel gereksinimlerimizdeki, yasal gerekliliklerdeki veya bilgi güvenliği yönetimindeki en iyi uygulamalardaki değişikliklere dayalı olarak sürekli gözden geçirme ve güncellemelerden geçen canlı bir belgedir.
17.2. Uyumluluk izleme
Bu Bilgi Güvenliği Politikasına ve ilgili güvenlik kontrollerine uyumu izlemek için prosedürler oluşturduk. Uyum izleme, güvenlik kontrollerinin düzenli denetimlerini, değerlendirmelerini ve gözden geçirmelerini ve bunların bu politikanın hedeflerine ulaşmadaki etkinliğini içerir.
17.3. Güvenlik Olaylarını Raporlama
Bireylerin kişisel verileriyle ilgili olanlar da dahil olmak üzere bilgi sistemlerimizle ilgili güvenlik olaylarını raporlamak için prosedürler oluşturduk. Çalışanlar, yükleniciler ve diğer paydaşlar, güvenlik olaylarını veya şüphelenilen olayları mümkün olan en kısa sürede belirlenen güvenlik ekibine bildirmeye teşvik edilir.
17.4. Eğitim ve Farkındalık
Çalışanlara, yüklenicilere ve diğer paydaşlara bilgi güvenliği ile ilgili sorumluluk ve yükümlülüklerinin farkında olmalarını sağlamak için düzenli eğitim ve bilinçlendirme programları sağlarız. Bu, güvenlik politikaları ve prosedürleri ile bireylerin kişisel verilerinin korunmasına yönelik önlemleri içerir.
17.5. Sorumluluk ve Hesap Verebilirlik
Tüm çalışanları, yüklenicileri ve diğer paydaşları bu Bilgi Güvenliği Politikasına ve ilgili güvenlik kontrollerine uymaktan sorumlu ve sorumlu tutuyoruz. Ayrıca, etkili bilgi güvenliği kontrollerinin uygulanması ve sürdürülmesi için uygun kaynakların tahsis edilmesini sağlamaktan yönetimi sorumlu tutuyoruz.
Bu Bilgi Güvenliği Politikası, Euroepan IT Sertifikasyon Enstitüsü'nün bilgi güvenliği yönetim çerçevesinin kritik bir bileşenidir ve bilgi varlıklarını ve işlenmiş verileri koruma, bilgilerin gizliliğini, mahremiyetini, bütünlüğünü ve kullanılabilirliğini sağlama ve düzenleyici ve sözleşme gerekliliklerine uyma taahhüdümüzü gösterir.