ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Farkındalık Eğitimi Alper Öztürk ISO/IEC 27001:2013 Başdenetçi Hoşgeldiniz • Telefonlar-Eğitimin bölünmesine sebebiyet verilmemeli • Kayıt cihazları-Sınıf içinde bulundurulmamalı • Öğle yemeği/Aralar – Zamanında dönülmeli • Eğitimin süresi Alper Öztürk - ISO/IEC 27001:2013 2 Tanışma İsim/Soyisim Meslek/Mezun Olunan Okul Çalıştığı Birim/Konum Yönetim Sistemleri Bilgisi/Deneyimi TS ISO/IEC 27001 bilgisi Eğitimden beklentiler Alper Öztürk - ISO/IEC 27001:2013 3 Giriş International International Organization for Electrotechnical Standardization Commission Alper Öztürk - ISO/IEC 27001:2013 4 Tanımlar Bilgi  İnsan aklının erebileceği olgu, gerçek ve ilkelerin bütünü, bili, malumat (isim,TDK)  Kurallardan yararlanarak kişinin veriye yönelttiği anlam (bilişim,TDK)  Kuruluştaki diğer varlıklar gibi, kuruluş için önem taşıyan ve bu nedenle de en iyi şekilde korunması gereken bir varlık Alper Öztürk - ISO/IEC 27001:2013 5 Siber Saldırılar Bilgi sistemi Bozulmaları •DDos Yönetim sistemi •Kötü Tasarım Aksamaları •Yazılım hatası •Kayıt yetersizliği •Eksik yedekleme •Eğitim Eksikliği •,,,, •Prosedür ihlali BİLGİ Doğal Afetler İnsan faktörleri •Sel •İşleme Hatası •Yangın •Bakım hatası Çevresel •Deprem •Kötü niyetli çalşanlar •Terör •Patlamalar •… 6 Alper Öztürk - ISO/IEC 27001:2013 Tanımlar Bilgi : Bilgi hangi şekli alırsa alsın ya da hangi ortamla iletilirse iletilsin, mutlaka uygun bir şekilde korunmalı. Alper Öztürk - ISO/IEC 27001:2013 7 Tanımlar Bilgi Ortamları  Kağıt üzerine basılmış, yazılmış  Elektronik olarak saklanan  Kurumsal videolarda gösterilen  Söyleşiler sırasında sözlü olarak aktarılan  Kuruluş çalışanlarının özlük bilgisi Alper Öztürk - ISO/IEC 27001:2013 8 Tanımlar  Güvenlik: İç veya dış kaynaklı, kasıtlı veya kasıtsız olabilecek tehditlerin kabul edilebilir seviyeye çekilmesi  Bilgi güvenliği: kuruluştaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çaplı tehditlerden korunmasını sağlar. Alper Öztürk - ISO/IEC 27001:2013 9 Tanımlar Varlık (Asset) Kuruluş için değeri olan herhangi bir şey. Bilgi Varlığı (Information Asset) Kuruluş için değer ifade eden herhangi değerli bilgi veya veri (TS ISO/IEC 27000) Varlık örnekleri: bilgi (satış bilgilerini içeren hatlar, kablolar, modemler) dosyalar, ürün bilgileri, dokümanlar(stratejik toplantıların veritabanları) tutanakları, sözleşmeler) donanım (kişisel bilgisayarlar, üretilen mallar ,servisler yazıcılar, sunucular) mali değerler (çekler, para, fonlar) yazılım (işletim sistemleri, geliştirilen uygulamalar, ofis personel programları) kurumun prestiji/imajı haberleşme cihazları (telefonlar, Alper Öztürk - ISO/IEC 27001:2013 10