Bilgi Güvenliği Yönetim Sistemi

Bilgi Sistemi Gereksinimlerinin Belirtilmesi

Nisan 24, 2025
0 669 2 dakika okuma süresi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi

Bilgi Sistemi Gereksinimlerinin Belirtilmesi (BGYS)
Doküman Kodu: [Doküman Kodu]
Versiyon: [Doküman Versiyon Numarası]
Yayımlanma Tarihi: [Tarih]
Yazar: [Yazar Adı]
Onaylayan: [Onaylayan Kişi Adı]
Gizlilik Seviyesi: [Gizlilik Seviyesi]

1. AMAÇ, KAPSAM VE KULLANICILAR

1.1 Amaç

Bu dokümanın amacı, organizasyonun bilgi sistemleri için güvenlik gereksinimlerini belirleyerek, bu gereksinimlerin BGYS (Bilgi Güvenliği Yönetim Sistemi) çerçevesinde yerine getirilmesini sağlamaktır. Ayrıca, bilgi sistemlerinin güvenliğini artırmaya yönelik gerekli adımların atılması hedeflenmektedir.

1.2 Kapsam

Bu politika, organizasyonun tüm bilgi sistemleri için geçerlidir ve sistemlerin güvenliğini sağlamak amacıyla belirlenen gereksinimlere yöneliktir. Ayrıca, iç ve dış denetimlerin gereksinimlere uyumu sağlaması için bir çerçeve sunar.

1.3 Kullanıcılar

Bu politika, bilgi güvenliği süreçlerinde görev alan tüm çalışanları ve yönetici düzeyindeki personeli kapsar.

2. REFERANS DOKÜMANLAR

  • ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi (BGYS) Standardı

  • ISO 27002:2022 Bilgi Güvenliği Kontrol Standartları

  • ISO 27005:2022 Risk Yönetimi Rehberi

  • İç Yönergeler ve Prosedürler

3. BİLGİ SİSTEMİ GEREKSİNİMLERİNİN BELİRTİLMESİ

3.1 Risk Değerlendirmesi

Geliştirme ve işletim süreçlerinin güvenliğini sağlamak için bilgi sistemlerine yönelik riskler sürekli olarak değerlendirilmelidir. Tüm güvenlik gereksinimlerinin bu riskler göz önünde bulundurularak belirlenmesi gerekmektedir.

Bu Makaleyede Göz Atmalısın!  ISO 27001 Madde 6 – Planlama

3.2 Geliştirme Ortamının Güvenliği

Geliştirme ortamları, yalnızca yetkili personel tarafından erişilebilen ve güvenli bir şekilde yapılandırılmış olmalıdır. Sistemlerin geliştirilmesi esnasında, veri bütünlüğü ve güvenliği sağlanmalıdır.

3.3 Güvenli Sistem Mühendisliği İlkeleri

Sistemlerin güvenliği, tasarım aşamasında başlamalıdır. Bu nedenle, yazılım ve donanım geliştirme süreçlerinde güvenli mühendislik ilkelerinin uygulanması esastır. Bu, güvenlik açıklarının önceden tespit edilmesini ve önlenmesini sağlar.

3.4 Güvenli Kodlama

Yazılım geliştirme süreçlerinde, güvenli kodlama standartları takip edilmelidir. Kodlama sırasında ortaya çıkabilecek güvenlik açıkları minimize edilerek, kötü niyetli yazılımların sisteme girmesi engellenmelidir.

3.5 Güvenlik Gereksinimleri

Tüm bilgi sistemleri, gizlilik, bütünlük ve erişilebilirlik gibi temel güvenlik gereksinimlerine uygun olarak tasarlanmalı ve uygulanmalıdır. Güvenlik gereksinimleri, organizasyonun iş hedeflerine ve mevzuatlara uygun olmalıdır.

3.6 Kamuya Açık Ağlara İlişkin Güvenlik Gereksinimleri

Kamuya açık ağlar üzerinden gerçekleşen veri iletişimi şifreleme gibi güvenlik önlemleri ile korunmalıdır. Bu, dış tehditlere karşı bilgilerin güvenliğini sağlar.

3.7 Güvenlik Gereksinimlerinin Test Edilmesi ve Kontrol Edilmesi

Geliştirilen sistemlerin güvenlik gereksinimlerini karşılayıp karşılamadığı, düzenli aralıklarla test edilmeli ve kontrol edilmelidir. Bu testler, sisteme yönelik potansiyel tehditlerin tespit edilmesini sağlar.

3.8 Depo Yönetimi (Repository)

Tüm yazılım ve sistem bileşenleri güvenli bir şekilde saklanmalı, yalnızca yetkilendirilmiş kullanıcılar erişim sağlamalıdır. Yazılım geliştirme ve test verileri bu şekilde korunmalıdır.

3.9 Versiyon Kontrolü

Sistem yazılımlarının ve güvenlik güncellemelerinin her bir versiyonu, belirli bir versiyon kontrol sistemi ile izlenmelidir. Bu sayede, yazılımda yapılacak her değişiklik doğru şekilde kayıt altına alınabilir.

3.10 Değişiklik Kontrolü

Herhangi bir yazılım veya sistem değişikliği, uygun onay süreçlerinden geçmelidir. Değişikliklerin güvenlik üzerindeki etkileri analiz edilmeli ve gerekli önlemler alınmalıdır.

3.11 Test Verilerinin Korunması

Test verileri, gerçek verilerle aynı güvenlik önlemleri ile korunmalıdır. Bu verilerin herhangi bir şekilde dışa sızması, organizasyonun güvenliğini tehdit edebilir.

Bu Makaleyede Göz Atmalısın!  Uygulanabilirlik Beyanı

3.12 Gerekli Güvenlik Eğitimi

Tüm yazılım geliştirme ve güvenlik süreçlerinde görev alan personel, sürekli olarak güvenlik konusunda eğitim almalıdır. Bu eğitimler, sistemlerin güvenli bir şekilde yönetilmesi ve güvenlik açıklarının önlenmesi için önemlidir.

4. KAYITLARIN YÖNETİLMESİ

Bu dokümanın gerekliliklerine dayalı olarak, ilgili tüm kayıtlar güvenli bir şekilde saklanmalı ve izlenmelidir. Kayıtlar, belirlenen süre boyunca korunmalı ve gerektiğinde denetim amaçlı erişilebilir olmalıdır.

5. GEÇERLİLİK VE DOKÜMAN YÖNETİMİ

Bu politika, [belirtilen geçerlilik tarihi] itibariyle geçerli olacak ve düzenli olarak gözden geçirilecektir. Politika değişiklikleri, organizasyonun ihtiyaçları doğrultusunda yapılacaktır.

Doküman Yönetimi
Dokümanın gözden geçirilmesi ve güncellenmesi, yıllık olarak yapılacak ve doküman sürüm numarası değiştirilecektir.

6. EKLER

Ek 1: [Güvenlik Gereksinimlerine İlişkin Ekstra Bilgiler]
Ek 2: [Risk Değerlendirme Raporları]
Ek 3: [Test Sonuçları ve Güvenlik Kontrol Sonuçları]

Not: Bu doküman, şirket içindeki tüm yazılım geliştirme süreçlerinde güvenliği sağlamak ve korumak amacıyla oluşturulmuştur. Uygulamada herhangi bir sorun oluşması durumunda, güvenlik prosedürleri gözden geçirilecek ve güncellenmesi sağlanacaktır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi: Kapsamlı Uygulama Rehberi

Nisan 24, 2025
0 669 2 dakika okuma süresi

İlgili Makaleler

fotoğrafı

Risk Tedavi Planı

Nisan 24, 2025
fotoğrafı

ISO 27001 Madde 7.2 – Yeterlilik

Nisan 24, 2025
fotoğrafı

ISO 27001 Madde 7.1 – Kaynaklar

Nisan 24, 2025
fotoğrafı

ISO 27001 Kontrolü A.5.18: Erişim Hakları

Nisan 26, 2025

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu