Bilgi Güvenliği Yönetim Sistemi

BT Departmanı için Güvenlik Prosedürleri

Nisan 24, 2025
0 3.278 3 dakika okuma süresi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi

BT Departmanı için Güvenlik Prosedürleri

Kod: [belge kodu]
Versiyon: [belge versiyon numarası]
Versiyon Tarihi: [versiyon tarihi]
Yazar: [yazar adı]
Onaylayan: [onaylayan kişi]
Gizlilik Seviyesi: [gizlilik seviyesi]

Değişiklik Geçmişi

Tarih Versiyon Oluşturan Değişiklik Açıklaması
0.1 [versiyon] [Oluşturucu Temel belge taslağı

İçindekiler

  1. AMAÇ, KAPSAM VE KULLANICILAR ……………………………………………………… 4

  2. BAĞLANTI DOKÜMANLARI ………………………………………………………………… 4

  3. BİLGİ VE İLETİŞİM TEKNOLOJİLERİ İÇİN OPERASYONEL PROSEDÜRLER …………………… 4
    3.1 DEĞİŞİKLİK YÖNETİMİ ………………………………………………………………….. 4
    3.2 KONFIGÜRASYON YÖNETİMİ ………………………………………………………….. 5
    3.3 KAPASİTE YÖNETİMİ ……………………………………………………………………. 5
    3.4 VİRÜS KORUMA ……………………………………………………………………………. 5
    3.5 VERİ YEDEKLEME …………………………………………………………………………. 5
    3.5.1 Yedekleme Prosedürü …………………………………………………………………. 5
    3.5.2 Yedekleme Kopyalarının Test Edilmesi ………………………………………. 5
    3.6 AĞ GÜVENLİĞİ YÖNETİMİ …………………………………………………………….. 6
    3.7 AĞ HİZMETLERİ …………………………………………………………………………….. 6
    3.8 VERİ SİLME ………………………………………………………………………………….. 6
    3.9 CİHAZ VE MEDYA İMHA VE DEĞİŞİMİ ………………………………………….. 6
    3.9.1 Cihazlar …………………………………………………………………………………….. 7
    3.9.2 Depolama Medyası ……………………………………………………………………… 7
    3.9.3 Kağıt Medya …………………………………………………………………………….. 7
    3.9.4 Silme ve İmha Kayıtları; İmha Komisyonu ………………………………… 7
    3.10 BİLGİ TRANSFERİ ………………………………………………………………………… 7
    3.10.1 Elektronik İletişim Kanalları ……………………………………………………… 7
    3.10.2 Dış Taraflarla İlişkiler ……………………………………………………………….. 8
    3.11 KAYNAK KODUNUN YÖNETİLMESİ ………………………………………………… 8
    3.12 YARARLI PROGRAMLARIN KULLANIMI ………………………………………….. 8
    3.13 LOG KAYITLARI VE SİSTEM İZLEME ………………………………………………. 8

Bu Makaleyede Göz Atmalısın!  ISO 27001 Madde 7.2 - Yeterlilik

1. AMAÇ, KAPSAM VE KULLANICILAR

Amaç:
Bu prosedür, [Şirket Adı]’nın BT departmanında çalışanların bilgi güvenliğini sağlamak amacıyla izlenmesi gereken güvenlik önlemlerini belirler. Tüm BT süreçlerinde güvenlik risklerinin en aza indirilmesi ve veri bütünlüğünün korunması hedeflenir.

Kapsam:
Bu prosedür, şirketin tüm BT sistemlerini kapsar, aynı zamanda tüm BT personelinin uyması gereken kuralları belirler. Ayrıca, güvenlik protokollerinin nasıl uygulanacağı ve sistemlerin nasıl korunacağına dair yönergeler sunar.

Kullanıcılar:
BT departmanındaki tüm çalışanlar ve dış kaynak sağlayıcıları, bu güvenlik prosedürlerine uymak zorundadır.

2. BAĞLANTI DOKÜMANLARI

  • ISO/IEC 27001:2013 – Bilgi Güvenliği Yönetim Sistemi (BGYS)

  • ISO/IEC 27002:2013 – Bilgi Güvenliği Kontrol Yönergeleri

  • KVKK – Kişisel Verilerin Korunması Kanunu

  • ISO/IEC 22301:2012 – İş Sürekliliği Yönetim Sistemi

3. BİLGİ VE İLETİŞİM TEKNOLOJİLERİ İÇİN OPERASYONEL PROSEDÜRLER

3.1 Değişiklik Yönetimi

  • Prosedür: Tüm BT sistemlerinde yapılacak değişiklikler, önceden planlanmalı, onaylanmalı ve belirlenen prosedürlere uygun olarak uygulanmalıdır.

  • Değişiklik Kayıtları: Her değişiklik kaydedilmeli ve gerektiğinde geri alınabilir olmalıdır.

3.2 Konfigürasyon Yönetimi

  • Sistem Konfigürasyonları: Tüm sistemler için geçerli konfigürasyonlar belirlenmeli, herhangi bir değişiklikte sistemin stabilitesi göz önünde bulundurulmalıdır.

  • Konfigürasyon İzleme: Konfigürasyon değişiklikleri düzenli olarak izlenmeli ve raporlanmalıdır.

3.3 Kapasite Yönetimi

  • Yedek Kapasite Planlaması: Sistemlerin kapasite limitleri aşılmamalıdır. Yedek kapasite ve sistem ölçeklendirme önlemleri planlanmalıdır.

  • Performans İzleme: Sistem performansı, yük altında test edilip izlenmeli ve herhangi bir darboğaz anında müdahale edilmelidir.

3.4 Virüs Koruma

  • Antivirüs Yazılımı Kullanımı: Tüm bilgisayarlar, ağ cihazları ve sunucular için güncel antivirüs yazılımları kullanılmalıdır.

  • Virüs Tarama: Sistemde her gün virüs taraması yapılmalı ve şüpheli dosyalar derhal karantinaya alınmalıdır.

3.5 Veri Yedekleme

  • Yedekleme Prosedürü: Tüm kritik veriler düzenli olarak yedeklenmeli ve yedekler güvenli bir ortamda saklanmalıdır.

  • Yedek Testleri: Yedeklerin düzenli olarak geri yükleme testleri yapılmalıdır.

Bu Makaleyede Göz Atmalısın!  ISO 27001 A.5.3 Görevlerin Ayrılması
3.5.1 Yedekleme Prosedürü

Verilerin günlük, haftalık ve aylık yedeklerinin alınması sağlanmalıdır. Yedekler, fiziksel ve bulut ortamlarında güvenli bir şekilde saklanmalıdır.

3.5.2 Yedekleme Kopyalarının Test Edilmesi

Yedekleme kopyaları, belirli aralıklarla test edilmelidir. Bu testler, yedeklerin geri yüklenebilir olduğunu doğrulamak için yapılır.

3.6 Ağ Güvenliği Yönetimi

  • Firewall ve Ağ İzleme: Şirket ağı, güvenlik duvarları ve izleme araçları ile korunmalıdır.

  • Ağ Güvenliği Protokolleri: Ağ üzerinde kullanılan tüm protokoller güvenli olmalı, şifreleme ve kimlik doğrulama mekanizmaları kullanılmalıdır.

3.7 Ağ Hizmetleri

  • Ağ Erişimi: Çalışanlar, yalnızca iş ihtiyaçlarına uygun ağ hizmetlerine erişim sağlamalıdır.

  • VPN Kullanımı: Uzaktan erişim için güvenli sanal özel ağ (VPN) bağlantıları kullanılmalıdır.

3.8 Veri Silme

  • Veri Silme Prosedürü: Kullanılmayan veya geçerliliğini yitiren veriler, güvenli bir şekilde silinmelidir.

  • Silme Süreci: Veriler, erişilemez hale getirilmeli ve fiziksel ortamdan tamamen silinmelidir.

3.9 Cihaz ve Medya İmha ve Değişimi

  • Cihaz İmhası: Kullandığı ömrünü tamamlayan cihazlar, güvenli bir şekilde imha edilmelidir.

  • Medya İmhası: Depolama aygıtları, verilerin geri getirilemeyecek şekilde silinmesi sağlanmalıdır.

3.9.1 Cihazlar

Taşınabilir cihazlar, personel tarafından kullanılan her türlü donanım düzenli aralıklarla imha edilmeli ve silinmelidir.

3.9.2 Depolama Medyası

Verilerin saklandığı depolama cihazları, yasal düzenlemelere uygun şekilde fiziksel olarak imha edilmelidir.

3.9.3 Kağıt Medya

Kağıt üzerindeki veriler, kişisel veriler ve şirket bilgileri güvenli bir şekilde yok edilmelidir.

3.9.4 Silme ve İmha Kayıtları; İmha Komisyonu

İmha işlemleri belgelenmeli, ilgili komisyon tarafından onaylanmalıdır.

3.10 Bilgi Transferi

  • Elektronik İletişim Kanalları: Şirket içi ve dışı iletişimlerde şifreleme ve güvenlik protokolleri kullanılmalıdır.

  • Dış Taraflarla İlişkiler: Dış kaynaklarla yapılan her türlü bilgi transferi, güvenlik önlemleri alınarak yapılmalıdır.

3.11 Kaynak Kodunun Yönetilmesi

  • Versiyon Kontrolü: Yazılım geliştirme süreçlerinde kullanılan kaynak kodları, uygun versiyon kontrol sistemleri ile izlenmelidir.

  • Erişim Yetkileri: Kaynak koduna erişim, sadece yetkili personele verilmelidir.

Bu Makaleyede Göz Atmalısın!  ISO 27001 Kontrolü A.5.2 - Bilgi Güvenliği Rolleri ve Sorumlulukları

3.12 Yararlı Programların Kullanımı

  • Yetkisiz Programlar: Şirket ortamında yalnızca onaylı ve güvenli yazılımlar kullanılmalıdır.

  • Yazılım Güncellemeleri: Tüm yazılımlar, güvenlik güncellemeleri için düzenli olarak kontrol edilmelidir.

3.13 Log Kayıtları ve Sistem İzleme

  • Log Yönetimi: Sistem üzerinde yapılan her işlem kaydedilmeli, şüpheli etkinlikler tespit edilmelidir.

  • İzleme Araçları: Sistem güvenliği izlenmeli, her türlü anormal durum derhal raporlanmalıdır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi: Kapsamlı Uygulama Rehberi

Nisan 24, 2025
0 3.278 3 dakika okuma süresi

İlgili Makaleler

fotoğrafı

ISO 27001 Madde 7.4 – İletişim

Nisan 25, 2025
fotoğrafı

ISO 27001 Bilgi güvenliği politikaları

Nisan 26, 2025
fotoğrafı

ISO 27001 Madde 7.5: Belgelenmiş Bilgiler

Nisan 25, 2025
fotoğrafı

Dahili Denetim Kontrol Listesi

Nisan 24, 2025

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu