Professional Documents
Culture Documents
UEKAE BGYS0013-ISO IEC 27001 Denetim Listesi PDF
UEKAE BGYS0013-ISO IEC 27001 Denetim Listesi PDF
ARATIRMA ENSTTS
SRM 1.10
21.02.2008
NSZ
Ulusal Elektronik ve Kriptoloji Aratrma Enstits (UEKAE)'nn misyonu, "bilgi
gvenlii, haberleme ve ileri elektronik alanlarnda Trkiye'nin teknolojik
bamszln salamak ve srdrmek iin nitelikli insan gc ve uluslararas
dzeyde kabul grm altyaps ile, bilimsel ve teknolojik zmler retmek ve
uygulamaktr". Bu ana hedef gz nnde bulundurularak belirlenen "bilgi
gvenlii, haberleme ve ileri elektronik
alanlarnda
yeni teknolojilerin
ve lkenin ihtiyac
olan teknolojilerin
TBTAK UEKAE
BLGLENDRME
TBTAK UEKAE
NDEKLER
1. GR .................................................................................................................................................... 5
TBTAK UEKAE
1. GR
ISO 27001 standard BGYS kurmak isteyen kuruluun risk analizi almasnn ardndan
eitli kontrolleri devreye sokarak mevcut riskleri tedavi etmesini ve kabul edilebilir risk
seviyesinin altna indirmesini art komaktadr. Bu kontroller 27001 standard ierisinde
vazgeilemez dokman olarak gsterilen ISO 27002 standardnda detayl olarak
aklanmaktadr.
1.1 Ama ve Kapsam
Bu dokman esasen ISO 27002 standardnn dz yaz formatndan anket formatna
dntrlm bir zetidir. Dokmann amac bir kurumun ISO 27002 kontrolleri asndan
durumunu tespit etmekle grevli uzman veya uzmanlar desteklemektir.
1.2 Hedeflenen Kitle
Dokman, kurumlarnn hali hazrda 27002 kontrolleri asndan ne durumda olduunu
tespit etmek isteyen BGYS uygulamaclar, BGYS almalarn denetlemek isteyen kurum
ynetimi, i tetkik grevlileri veya d tetkik elemanlar tarafndan kullanlabilir.
1.3 Ksaltmalar
BGYS
UEKAE
TBTAK UEKAE
GVENLK POLTKASI
Denetim alan, hedefi ve sorusu
Sonular
Standart
Blm
Bulgular
1.1
5.1
1.1.1
5.1.1
Bilgi gvenlii
politikas belgesi
(idari)
(ISO 27002:2005
standardnn 0.6 Bilgi
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
salanm m?
Referans
Kontrol
Denetim sorusu
listesi
1.1.2
5.1.2
Bilgi gvenlii
politikasnn
gzden
geirilmesi
TBTAK UEKAE
Uyumluluk
(idari)
TBTAK UEKAE
Sonular
Standart
Blm
Bulgular
2.1
6.1
Kurum i Organizasyon
2.1.1
6.1.1
Ynetimin bilgi
gvenlii
taahhd
Referans
Kontrol
Denetim sorusu
listesi
(idari)
2.1.2
6.1.2
Bilgi gvenlii
koordinasyonu
(idari)
2.1.3
6.1.3
gerekletiriliyor mu?
Bilgi gvenlii
sorumluluklarnn
atanmas
(idari)
(ISO 27002:2005
standardnn 0.6 Bilgi
TBTAK UEKAE
Uyumluluk
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
2.1.4
2.1.5
6.1.4
6.1.5
Bilgi ileme
aralar iin
yetkilendirme
sreci
(idari)
Gizlilik
anlamalar
(idari)
2.1.6
6.1.6
Otoritelerle
iletiim
(idari)
2.1.7
6.1.7
Uzmanlk
gruplar ile
iletiim
TBTAK UEKAE
(idari)
2.1.8
6.1.8
gzden
geirilmesi
(idari)
2.2
6.2
2.2.1
6.2.1
nc taraf
eriiminde
risklerin
tanmlanmas
(idari)
2.2.2
6.2.2.
Mterilerle
alrken
gvenlik
alnyor mu?
(idari)
10
TBTAK UEKAE
2.2.3
6.2.3
nc taraf
szlemelerinde
TBTAK UEKAE
11
VARLIK YNETM
Denetim alan, hedefi ve sorusu
Sonular
Standart
Blm
Bulgular
3.1
7.1
3.1.1
7.1.1
Varlk envanteri
Referans
Kontrol
Denetim sorusu
Uyumluluk
listesi
(idari)
TBTAK UEKAE
3.1.2
3.1.3
7.1.2
7.1.3
Varlklarn
sahipleri
(idari)
Varlklarn kabul
edilebilir bir
biimde
kullanlmas
(idari)
3.2
7.2
Bilgi Snflandrmas
3.2.1
7.2.1
Snflandrma
rehberleri
(idari)
3.2.2
7.2.2
TBTAK UEKAE
Bilginin
13
14
etiketlenmesi ve
ilenmesi
tanmlanm m?
(idari)
TBTAK UEKAE
PERSONEL GVENL
Denetim alan, hedefi ve sorusu
Sonular
Standart
Blm
Bulgular
4.1
8.1
e almadan nce
4.1.1
8.1.1
Roller ve
sorumluluklar
(idari)
Referans
Kontrol
Denetim sorusu
listesi
4.1.2
8.1.2
Personel
gzetleme
(idari)
4.1.3
8.1.3
TBTAK UEKAE
e alnmann
artlar
15
Uyumluluk
(idari)
4.2
8.2
alma Srasnda
4.2.1
8.2.1
Ynetimin
sorumluluklar
(idari)
4.2.2
4.2.3
8.2.2
8.2.3
Bilgi gvenlii
bilinci ve eitim
(idari)
(ISO 27002:2005
standardnn 0.6 Bilgi
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
haberdar ediliyorlar m?
Disiplin sreci
(idari)
16
4.3
8.3
4.3.1
8.3.1
TBTAK UEKAE
sorumluluklar
(idari)
4.3.2
8.3.2
Varlklarn iade
edilmesi
(idari)
4.3.3
8.3.3
Eriim haklarnn
kaldrlmas
(idari + teknik)
TBTAK UEKAE
17
Sonular
Standart
Blm
Bulgular
5.1
9.1
Gvenlik Alan
5.1.1
9.1.1
Fiziksel gvenlik
snr
Referans
Kontrol
Denetim sorusu
listesi
(idari + teknik)
5.1.2
9.1.2
Fiziksel giri
kontrolleri
(idari + teknik)
kurulmu mu?
a) Ziyaretilerin giri ve k zamanlar kaydediliyor
mu?
b) Hassas bilgilerin bulunduu alanlar (kimlik
dorulama kart ve PIN korumas gibi yntemlerle)
yetkisiz eriime kapatlm m?
c) Tm personel ve ziyaretiler gvenlik elemanlar
18
TBTAK UEKAE
Uyumluluk
5.1.3
9.1.3
Ofislerin ve
odalarn
m?
gvenliinin
salanmas
(idari + teknik)
5.1.4
9.1.4
Harici ve evresel
tehditlerden
korunma
(idari + teknik)
TBTAK UEKAE
19
5.1.5
9.1.5
Gvenli alanlarda
alma
(idari + teknik)
5.1.6
9.1.6
Halka ak
alanlardan,
ykleme ve
datm
alanlarndan
eriim
(idari + teknik)
20
5.2
9.2
Ekipman Gvenlii
5.2.1
9.2.1
Ekipman
TBTAK UEKAE
yerleimi ve
korumas
indirilmesine allm m?
(idari + teknik)
5.2.2
9.2.2
Destek hizmetleri
(idari + teknik)
TBTAK UEKAE
21
5.2.3
9.2.3
Kablolama
gvenlii
(idari + teknik)
a) Kablolar yeraltnda m?
b) Karmann (interference) olmamas iin g
kablolar ile iletiim kablolar ayrlm m?
c) Hatal balantlarn olmamas iin ekipman ve
kablolar aka etiketlenmi ve iaretlenmi mi?
Hassas ve kritik bilgiler iin ekstra gvenlik nlemleri
alnm m?
d) Alternatif yol ve iletiim kanallar mevcut mu?
e) Fiber optik altyap mevcut mu?
f) Balant panelleri ve odalara kontroll eriim
altyaps kurulmu mu?
5.2.4
9.2.4
Ekipman bakm
(idari + teknik)
22
salanyor mu?
5.2.5
9.2.5
Kurum d
ekipmann
gvenlii
(idari + teknik)
5.2.6
9.2.6
Ekipmann
gvenli imhas ya
da tekrar
kullanm
(idari + teknik)
5.2.7
9.2.7
TBTAK UEKAE
Varlklarn
kurumdan
karlmas
oluturulmu mu?
(idari + teknik)
24
TBTAK UEKAE
Sonular
Standart
Blm
Bulgular
6.1
10.1
6.1.1
10.1.1
Belgelenmi
iletme
Referans
Kontrol
Denetim sorusu
listesi
prosedrleri
(idari)
a) Sistem ama/kapama,
b) Yedekleme,
c) Cihazlarn bakm,
d) Bilgisayar odasnn kullanlmas,
gibi sistem faaliyetleri prosedrlere balanm m?
letme prosedrlerine, ihtiyac olan tm kullanclar
eriebiliyor mu?
Bu prosedrlere resmi belge muamelesi yaplyor mu?
(Yaplan tm deiiklikler iin ynetim yetkilendirmesi
gerekiyor mu?)
6.1.2
10.1.2
TBTAK UEKAE
Deiim kontrol
25
Uyumluluk
(idari)
mu?
a) Asl sistemler ve uygulama programlar sk bir
deiim kontrolne tabi tutuluyor mu?
b) Deiikliklerle ilgili planlama ve test yaplyor mu?
c) Programlarda yaplan deiiklikler iin kaytlar
tutuluyor mu?
d) Deiikliklerin, gvenlik dahil olmak zere
potansiyel etkileri deerlendiriliyor mu?
e) Deiiklikler iin resmi onay prosedrleri var m?
f) lgili personele deiiklik detaylar bildiriliyor mu?
g) Baarsz deiikliklerin onarlmas ve geri alnmas
ile ilgili sorumluluklar belirleyen prosedrler var
m?
6.1.3
10.1.3
Grevler ayrl
(idari)
6.1.4
26
10.1.4
Gelitirme
sistemi, test
TBTAK UEKAE
sistemi ve aktif
sistemlerin
ayrlmas
(idari + teknik)
6.2
10.2
6.2.1
10.2.1
Hizmet alma
(idari)
6.2.2
10.2.2
nc taraf
hizmetlerinin
gzden
geirilmesi
(idari + teknik)
6.2.3
10.2.3
TBTAK UEKAE
nc taraf
hizmetlerindeki
deiikliklerin
ynetilmesi
27
(idari)
6.3
10.3
6.3.1
10.3.1
6.3.2
10.3.2
Sistem kabul
(idari + teknik)
28
TBTAK UEKAE
6.4
10.4
6.4.1
10.4.1
Kt niyetli
yazlmlara kar
kontroller
(idari + teknik)
TBTAK UEKAE
6.4.2
10.4.2
Mobil
yazlmlarla ilgili
denetimler
olunuyor mu?
(idari + teknik)
30
6.5
10.5
Yedekleme
6.5.1
10.5.1
Bilgi yedekleme
TBTAK UEKAE
(idari + teknik)
6.6
10.6
A Gvenliinin Ynetilmesi
6.6.1
10.6.1
A kontrolleri
TBTAK UEKAE
(idari + teknik)
6.6.2
10.6.2
A hizmetlerinin
gvenlii
(idari + teknik)
32
TBTAK UEKAE
6.7
10.7
6.7.1
10.7.1
Tanabilir
depolama
ortamlarnn
prosedrler var m?
ynetimi
(idari)
belgelenmi mi?
a) Daha fazla gerekmedii iin kurum dna
karlacak yeniden kullanlabilir ortamlar (disket
vs.) okunamaz hale getiriliyor mu?
b) Organizasyondan karlan tm ortam malzemeleri
iin yetkilendirme gereklidir ve bu ilemlerin hepsi
iin resmi kaytlarn tutulmas gerekir. Bu kaytlar
tutuluyor mu?
c) Ortam malzemelerinin gvenlii salanyor mu?
d) Tanabilir hafza ortamlarn destekleyen ara yzler
gerekten gerekmedike kapal tutuluyor mu?
6.7.2
10.7.2
Depolama
ortamnn imhas
(idari + teknik)
TBTAK UEKAE
mi?
c) mha edilen ortamlarn kayd tutuluyor mu?
6.7.3
10.7.3
prosedrleri
(idari)
6.7.4
10.7.4
Sistem
dokmantasyonu
gvenlii
(idari + teknik)
korunuyor mu?
a) Sistem dokmantasyonu gvenli bir ortamda
bulunduruluyor mu?
b) Sistem dokmantasyonuna eriim listesi asgari
dzeyde tutulmu mu? Yetkilendirme sistemin
sahibi tarafndan yaplm m?
34
TBTAK UEKAE
6.8
10.8
6.8.1
10.8.1
Bilgi dei tokuu Her trl iletiim ortamnda bilginin gvenliini salamak
ile ilgili politika
ve prosedrler.
uygulanyor mu?
(idari + teknik)
TBTAK UEKAE
35
6.8.2
6.8.3
10.8.2
10.8.3
Bilgi ve yazlm
deiim
anlamalar
(idari)
Nakil esnasndaki
bilgi ortamnn
gvenlii
(idari + teknik)
6.8.4
10.8.4
Elektronik
mesajlamann
mu?
gvenlii
(idari + teknik)
36
6.8.5
10.8.5
Ofis bilgi
sistemleri
(idari + teknik)
6.9
10.9
6.9.1
10.9.1
Elektronik ticaret
gvenlii
(idari + teknik)
TBTAK UEKAE
37
6.9.2
10.9.2
On-line
ilemler
(idari + teknik)
6.9.3
10.9.3
Halka ak bilgi
(idari + teknik)
6.10
10.10
6.10.1
10.10.1
Olay kaytlarnn
tutulmas
(idari + teknik)
38
Kullanc kimlikleri,
Oturuma giri ve k tarihleri ve zamanlar,
Eer mmknse terminal kimlii,
Baarl ve reddedilmi sistem eriim denemeleri,
TBTAK UEKAE
6.10.2
10.10.2
Sistem
kullanmnn
gzetlenmesi
mu?
(idari + teknik)
6.10.3
10.10.3
Kayt bilgilerinin
muhafazas
(idari + teknik)
6.10.4
10.10.4
Ynetici ve
iletmen kaytlar
(idari + teknik)
TBTAK UEKAE
6.10.5
10.10.5
Hata kaytlar
(idari + teknik)
6.10.6
10.10.6
Saat
senkronizasyonu
(teknik)
40
TBTAK UEKAE
ERM DENETM
Denetim alan, hedefi ve sorusu
Sonular
Standart
Blm
Bulgular
7.1
11.1
7.1.1
11.1.1
Eriim denetimi
politikas
Referans
Kontrol
Denetim sorusu
listesi
(idari)
belgelenmi mi?
Eriim denetimi hem fiziksel, hem ilevsel boyutlar ile
deerlendirilmi mi?
Eriim denetimi politikas btn kullanclar veya kullanc
gruplar iin eriim kurallarn ve haklarn aka belirtiyor
mu?
Kullanclara ve servis salayclarna eriim denetimiyle
hangi i gereksinimlerinin karlanaca iyice aklanm
m?
Politika belgesi aadaki konular ieriyor mu?
TBTAK UEKAE
41
Uyumluluk
7.2
11.2
7.2.1
11.2.1
Kullanc kayd
(idari + teknik)
42
TBTAK UEKAE
7.2.2
11.2.2
Ayrcalk
ynetimi
mu?
(idari + teknik)
7.2.3
11.2.3
Kullanc parola
ynetimi
(idari + teknik)
7.2.4
11.2.4
Kullanc eriim
haklarnn gzden
geirilmesi
TBTAK UEKAE
43
(idari)
7.3
11.3
Kullanc Sorumluluklar
7.3.1
11.3.1
Parola kullanm
(idari + teknik)
7.3.2
11.3.2
Babo kullanc
ekipman
(idari + teknik)
44
TBTAK UEKAE
7.3.3.
11.3.3
Temiz masa ve
temiz ekran
politikas
Kurulu bilgi veya bilgi ilem aralar ile ilgili olarak temiz
(idari + teknik)
7.4
11.4
A Eriimi Denetimi
7.4.1
11.4.1
A hizmetlerinin
kullanlmas ile
ilgili politikalar
(idari)
TBTAK UEKAE
45
7.4.2
11.4.2
Harici balantlar
iin kullanc
kimlii
mu?
dorulamas
(idari + teknik)
7.4.3
11.4.3
Alarda cihaz
kimlii belirleme
(idari + teknik)
7.4.4
11.4.4
kullanlyor mu?
Uzak ynetim ve
yaplandrma
portlarnn
korunmas
(idari + teknik)
46
TBTAK UEKAE
7.4.5
11.4.5
Alardaki ayrm
(idari + teknik)
7.4.6
11.4.6
A balants
kontrolleri
(idari + teknik)
kstlanm m?
a) Elektronik mesaj,
b) Tek veya ift ynl dosya aktarm,
c) nteraktif eriim,
d) Balant zaman ve sresi
ile ilgili kstlamalar getirilmi mi?
7.4.7
11.4.7
A ynlendirme
kontrolleri
(idari + teknik)
TBTAK UEKAE
47
7.5
11.5
7.5.1
11.5.1
Terminal oturum
ama ilemleri
(idari + teknik)
7.5.2
48
11.5.2
Kullanc
tanmlamas ve
TBTAK UEKAE
dorulamas
(idari + teknik)
7.5.3
11.5.3
Parola ynetim
sistemi
(idari + teknik)
sahip mi?
a) Kullanclar bireysel parolalarn kullanmna
zorluyor mu?
b) Kullanclarn kendi parolalarn semelerine ve
deitirmelerine izin veriyor mu?
c) Kullancy kuvvetli parola semeye zorluyor mu?
d) Kullancy belli zamanlarda parolasn deitirmeye
zorluyor mu?
e) Sisteme ilk girite geici parolay deitirmeye
zorluyor mu?
f) Eski parolalar hatrlayarak tekrar kullanlmalarna
engel oluyor mu?
g) Parolalar a stnden gnderilirken ve saklanrken
kriptolama gibi yntemlerle korunuyor mu?
7.5.4
11.5.4
TBTAK UEKAE
Yardmc sistem
49
programlarnn
kullanlmas
(idari + teknik)
7.5.5
11.5.5
Oturum zaman
am
kapatlyor mu?
(idari + teknik)
7.5.6
11.5.6
7.6
11.6
7.6.1
11.6.1
Bilgi eriimi
kstlamas
(teknik)
eriim kstlanm m?
Kullanclarn bilgiyi yazma, okuma, silme veya altrma
haklar dzenleniyor mu?
7.6.2
50
11.6.2
Duyarl sistem
yaltm
TBTAK UEKAE
(idari + teknik)
7.7
11.7
7.7.1
11.7.1
ve iletiim
(idari + teknik)
TBTAK UEKAE
51
7.7.2
11.7.2
Uzaktan alma
(idari + teknik)
52
TBTAK UEKAE
Sonular
Standart
Blm
Bulgular
8.1
12.1
8.1.1
12.1.1
Gvenlik
gereksinimlerinin
analizi ve
Referans
Kontrol
Denetim sorusu
listesi
zelletirilmesi
(idari + teknik)
8.2
12.2
8.2.1
12.2.1
Girdi verilerinin
TBTAK UEKAE
53
Uyumluluk
kontrol
(teknik)
(ISO 27002:2005
standardnn 0.6 Bilgi
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
8.2.2
12.2.2
Mesaj btnl
kt verilerinin
kontrol
(teknik)
54
(ISO 27002:2005
standardnn 0.6 Bilgi
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
12.2.4
kontrol
(teknik)
8.2.4
(ISO 27002:2005
standardnn 0.6 Bilgi
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
12.2.3
yaplyor?
ileyiin
(teknik)
8.2.3
TBTAK UEKAE
(ISO 27002:2005
standardnn 0.6 Bilgi
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
Bu erevede
a) kt verilerin makul deerler alp almad,
b) Tm verinin ilenip ilenmedii,
c) kt veriyi ileyen sisteme verinin btnln ve
doruluunu snamasn salayacak bilginin verilip
verilmedii
kontrol edilebilir.
8.3
12.3
Kriptografik Kontroller
8.3.1
12.3.1
Kriptografik
kontrollerin
kullanmna
uygulamaya alnm m?
ilikin politika
Politika oluturulurken
(idari + teknik)
TBTAK UEKAE
55
8.3.2
12.3.2
Kriptografik
anahtar ynetimi
(idari + teknik)
8.4
12.4
8.4.1
12.4.1
almakta olan
yazlmn
denetimi
(idari + teknik)
56
bulunduruluyor mu?
8.4.2
12.4.2
Sistem test
verilerinin
korunuyor mu?
korunmas
(idari + teknik)
8.4.3
12.4.3
Program kaynak
ktphanesine
eriimin kontrol
(idari + teknik)
8.5
12.5
8.5.1
12.5.1
Deiim kontrol
prosedrleri
(idari + teknik)
8.5.2
12.5.2
TBTAK UEKAE
letim sistemi
57
deiiklerinin
ardndan
uygulamalarn
teknik olarak
gzden
geirilmesi.
(idari + teknik)
8.5.3
12.5.3
Yazlm
paketlerinde
yaplacak
deiikliklerin
kullanlmaldr.)
kstlanmas
(idari + teknik)
58
TBTAK UEKAE
8.5.4
12.5.4
Bilgi kaa
(idari + teknik)
8.5.5
12.5.5
D kaynakl
8.6
12.6
TBTAK UEKAE
a) Lisans anlamas,
b) Fikri mlkiyet haklar,
c) Kalite gvencesi,
d) Denetleme iin eriim hakk,
e) Kurulum ncesi Trojan kod aramas iin test
hususlar dnlm m?
8.6.1
12.6.1
Teknik
aklklarn
denetimi
(idari + teknik)
(ISO 27002:2005
standardnn 0.6 Bilgi
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
60
TBTAK UEKAE
Sonular
Standart
Blm
Bulgular
9.1
13.1
9.1.1
13.1.1
Bilgi gvenlii
olaylarnn rapor
Referans
Kontrol
Denetim sorusu
listesi
edilmesi
(idari)
9.1.2
13.1.2
TBTAK UEKAE
Bilgi gvenlii
zafiyetlerinin
Uyumluluk
rapor edilmesi
(idari)
9.2
13.2
9.2.1
13.2.1
Sorumluluklar ve
prosedrler
(idari)
(ISO 27002:2005
standardnn 0.6 Bilgi
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
62
almalar yaplrken
o Canl sisteme sadece yetkili personelin
erimesine,
o Acil dzeltme almalarnn dokmante
edilmesine,
o almalarn dzenli olarak ynetime
bildirilmesi ve ynetim tarafndan gzden
geirilmesine ve
o Bilgi sistemlerinin btnlnn asgari
gecikme ile salanmasna
dikkat ediliyor mu?
9.2.2
13.2.2
Bilgi gvenlii
olaylarndan
deneyim edinme
(idari + teknik)
(ISO 27002:2005
standardnn 0.6 Bilgi
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
9.2.3
13.2.3
Delil toplama
(idari + teknik)
(ISO 27002:2005
standardnn 0.6 Bilgi
gvenliine giri
bal altnda umumi
TBTAK UEKAE
uygulamalar arasnda
gsterilmitir)
64
TBTAK UEKAE
SREKLL YNETM
Denetim alan, hedefi ve sorusu
Sonular
Standart
Blm
Bulgular
10.1
14.1
10.1.1
14.1.1
sreklilii
ynetim srecinin
mevcut mu?
bilgi gvenliini
Referans
Kontrol
Denetim sorusu
listesi
iermesi
(idari)
(ISO 27002:2005
standardnn 0.6 Bilgi
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
10.1.2
14.1.2
TBTAK UEKAE
sreklilii ve
Uyumluluk
risk analizi
(idari)
(ISO 27002:2005
standardnn 0.6 Bilgi
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
10.1.3
14.1.3
Bilgi gvenliini
ieren i
sreklilii
planlarnn
gelitirilmesi ve
uygulanmas
(ISO 27002:2005
standardnn 0.6 Bilgi
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
66
TBTAK UEKAE
(idari)
10.1.4
14.1.4
sreklilii
planlama
erevesi
(idari)
(ISO 27002:2005
standardnn 0.6 Bilgi
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
10.1.5
14.1.5
TBTAK UEKAE
sreklilii
planlarnn test
edilmesi, bakm
ve yeniden
personelin
deerlendirilmesi
(idari + teknik)
(ISO 27002:2005
standardnn 0.6 Bilgi
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
68
TBTAK UEKAE
UYUM
Denetim alan, hedefi ve sorusu
Sonular
Standart
Blm
Bulgular
11.1
15.1
11.1.1
15.1.1
lgili yasalarn
belirlenmesi
Referans
Kontrol
Denetim sorusu
listesi
(idari)
11.1.2
15.1.2
IPR (Fikri
mlkiyet haklar)
(idari + teknik)
(ISO 27002:2005
standardnn 0.6 Bilgi
gvenliine giri
bal altnda kurumun
kanuni ykmllkleri
TBTAK UEKAE
69
Uyumluluk
asndan nemli
olduu belirtilmektedir)
11.1.3
15.1.3
Kurumsal
kaytlarn
korunmas
(idari + teknik)
(ISO 27002:2005
standardnn 0.6 Bilgi
70
TBTAK UEKAE
gvenliine giri
bal altnda kurumun
kanuni ykmllkleri
asndan nemli
olduu belirtilmektedir)
11.1.4
15.1.4
Verinin
korunmas ve
kiisel bilginin
mahremiyeti
(idari)
(ISO 27002:2005
standardnn 0.6 Bilgi
gvenliine giri
bal altnda kurumun
kanuni ykmllkleri
asndan nemli
olduu belirtilmektedir)
11.1.5.
15.1.5
Bilgi ilem
birimlerinin
yanl
mu?
kullanmnn
nlenmesi
TBTAK UEKAE
(idari + teknik)
11.1.6
15.1.6
Kriptografik
kontrollerin
dzenlenmesi
(idari + teknik)
11.2
72
15.2
TBTAK UEKAE
11.2.1
15.2.1
Gvenlik
politikalarna ve
standartlara uyum
(idari + teknik)
11.2.2
15.2.2
Teknik uyum
kontrol
(idari + teknik)
mu?
Teknik uyumluluk testleri sadece yetkili personel eliinde
yaplyor mu?
Szma (Penetrasyon) testleri ve aklk analizleri
yaplyorsa bu esnada sistem gvenliinin sekteye
uramamas iin gerekli tedbirler alnyor mu?
TBTAK UEKAE
73
11.3
15.3
11.3.1
15.3.1
Bilgi sistemleri
denetim
kontrolleri
(idari + teknik)
planlama yapld m?
Denetim gereksinimleri ve kapsam konusunda ynetim ile
anlamaya varld m?
Yazlm ve veri ile ilgili kontroller salt okuma eklinde
gerekletiriliyor mu?
11.3.2
15.3.2
Denetim
aralarnn
korunmas
(idari + teknik)
74
TBTAK UEKAE