UEKAE BGYS0013-ISO IEC 27001 Denetim Listesi PDF

ULUSAL ELEKTRONK VE KRPTOLOJ
ARATIRMA ENSTTS
Dokman Kodu: BGYS-009
TS ISO/IEC 27001 DENETM

LSTES
SRM 1.10
21.02.2008
Hazrlayan: Fikret Ottekin
P.K. 74, Gebze, 41470 Kocaeli, TRKYE

Tel: (0262) 648 1000
Faks: (0262) 648 1100
http://www.uekae.tubitak.gov.tr
uekae@uekae.tubitak.gov.tr
TS ISO /IEC 27001 Denetim Lis tes i
NSZ
Ulusal Elektronik ve Kriptoloji Aratrma Enstits (UEKAE)'nn misyonu, "bilgi
gvenlii, haberleme ve ileri elektronik alanlarnda Trkiye'nin teknolojik
bamszln salamak ve srdrmek iin nitelikli insan gc ve uluslararas
dzeyde kabul grm altyaps ile, bilimsel ve teknolojik zmler retmek ve
uygulamaktr". Bu ana hedef gz nnde bulundurularak belirlenen "bilgi
gvenlii, haberleme ve ileri elektronik
alanlarnda
yeni teknolojilerin
gelitirilmesine nclk eden uluslararas bilim, teknoloji ve retim merkezi

olmak" vizyonuna ulalabilmesi
ve lkenin ihtiyac
olan teknolojilerin
gelitirilmesi iin Enstit'nn akredite test ortam ve laboratuarlarnda temel ve

uygulamal aratrmalar yaplmakta ve ihtiya sahiplerine teknik destek
salanmaktadr.
Bu dokman, BGYS (Bilgi Gvenlii Ynetim Sistemi) kurmak isteyen kurumlar

iin yardmc kaynak olarak hazrlanmtr. Tm kurum ve kurulular bu
dokmandan faydalanabilir.
Bu dokmanda anlatlanlar tamamen tavsiye niteliindedir.

UEKAE, yaplan uygulamalardan doabilecek zararlardan sorumlu
deildir. Bu dokman UEKAEnin izni olmadan deitirilemez.
TBTAK UEKAE
BLGLENDRME
Bu dokmann oluturulmasnda emei geen A Gvenlii personeline ve dokman gzden

geirip fikirlerini ne srerek dokmann olgunlamasna katkda bulunan Ali Dinkana ve
Fatih Koa teekkr bor biliriz.
TBTAK UEKAE
NDEKLER
1. GR .................................................................................................................................................... 5
1.1 Ama ve Kapsam .................................................................................................................5

1.2 Hedeflenen Kitle ..................................................................................................................5
1.3 Ksaltmalar...........................................................................................................................5
2. TS ISO/IEC 27001 DENETM LSTES ........................................................................................... 6
GVENLK POLTKASI ..................................................................................................................... 6
BLG GVENL ORGANZASYONU ........................................................................................... 8
VARLIK YNETM ............................................................................................................................ 12
PERSONEL GVENL .................................................................................................................... 15
FZKSEL VE EVRESEL GVENLK ........................................................................................... 18
LETM VE LETME YNETM ............................................................................................... 25
ERM DENETM.............................................................................................................................. 41
BLG SSTEM TEDAR, GELTRLMES VE BAKIMI ..................................................... 53
BLG GVENL OLAYLARI YNETM ................................................................................. 61
SREKLL YNETM ............................................................................................................ 65
UYUM ..................................................................................................................................................... 69
TBTAK UEKAE
1. GR
ISO 27001 standard BGYS kurmak isteyen kuruluun risk analizi almasnn ardndan
eitli kontrolleri devreye sokarak mevcut riskleri tedavi etmesini ve kabul edilebilir risk
seviyesinin altna indirmesini art komaktadr. Bu kontroller 27001 standard ierisinde
vazgeilemez dokman olarak gsterilen ISO 27002 standardnda detayl olarak
aklanmaktadr.
1.1 Ama ve Kapsam
Bu dokman esasen ISO 27002 standardnn dz yaz formatndan anket formatna
dntrlm bir zetidir. Dokmann amac bir kurumun ISO 27002 kontrolleri asndan
durumunu tespit etmekle grevli uzman veya uzmanlar desteklemektir.
1.2 Hedeflenen Kitle
Dokman, kurumlarnn hali hazrda 27002 kontrolleri asndan ne durumda olduunu
tespit etmek isteyen BGYS uygulamaclar, BGYS almalarn denetlemek isteyen kurum
ynetimi, i tetkik grevlileri veya d tetkik elemanlar tarafndan kullanlabilir.
1.3 Ksaltmalar
BGYS
: Bilgi Gvenlii Ynetim Sistemi
UEKAE
: Ulusal Elektronik ve Kriptoloji Aratrma Enstits
TBTAK UEKAE
2. TS ISO/IEC 27001 DENETM LSTES
GVENLK POLTKASI
Denetim alan, hedefi ve sorusu
Sonular
Standart
Blm
Bulgular
1.1
5.1
Bilgi Gvenlii Politikas
1.1.1
5.1.1
Bilgi gvenlii
st ynetim tarafndan onaylanm bilgi gvenlii
politikas belgesi
politikas belgesi var m?
(idari)
Bu belge yaynlanm ve tm alanlara ulatrlmas
(ISO 27002:2005
standardnn 0.6 Bilgi
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
salanm m?
Referans
Kontrol
Denetim sorusu
listesi
Bilgi gvenlii politikas st ynetimin bilgi gvenlii

ynetimi ile ilgili taahhdn ve kurumsal yaklam
yanstyor mu?
1.1.2
5.1.2
Bilgi gvenlii
Politikann sahibi, tanmlanm bir sre eliinde belgeyi
politikasnn
gzden geiriyor mu?
gzden
Gzden geirme sreci, nemli deiikliklerin olmas
geirilmesi
durumunda gzden geirmenin olmasn salayacak

ekilde mi? (rnek: nemli gvenlik olaylar, yeni
TBTAK UEKAE
Uyumluluk
(idari)
aklklar ya da kurumsal, teknik altyapda olan

deiiklikler)
Bilgi gvenlii politikasnn gelitirilmesi,
deerlendirilmesi ve gzden geirilmesinden sorumlu biri
var m? (Bilgi Gvenlii politikasnn sahibi) Politika
sahibinin sorumluluklar ynetim tarafndan onaylanm
m?
Bilgi gvenlii politikasnn gzden geirilmesi ile ilgili
prosedr var m? Bu prosedr ynetimin gzden geirme
srecine katlmasn ngryor mu?
Ynetimin gzden geirmesi sonucunda
Bilgi gvenliine kurumsal yaklam,
Uygulanan kontroller ve
Bilgi gvenlii iin kaynak ayrlmas ve
sorumlularn atanmas
konularnda iyileme salanyor mu?
-
Ynetimin gzden geirmesi ile ilgili kaytlar saklanyor

mu?
Yeni gvenlik politikas ynetimin onayna sunuluyor mu?
TBTAK UEKAE
BLG GVENL ORGANZASYONU

Sonular
Standart
Blm
Bulgular
2.1
6.1
Kurum i Organizasyon
2.1.1
6.1.1
Ynetimin bilgi
Ynetim, kurum iinde uygulanacak gvenlik tedbirlerini
gvenlii
aktif olarak destekliyor mu? Destek, bilgi gvenlilii ile
taahhd
ilgili hedeflerin belirlenmesi, kurumun taahhtte
Referans
Kontrol
Denetim sorusu
listesi
(idari)
2.1.2
6.1.2
Bilgi gvenlii
Bilgi gvenlii almalarnn koordinasyonu, kuruluun
koordinasyonu
farkl blmlerinden gelen yetkililer tarafndan
(idari)
2.1.3
6.1.3
bulunmas ve sorumlularn atanmas ile verilebilir.
gerekletiriliyor mu?
Bilgi gvenlii
Kiisel varlklarn korunmas ve belirli gvenlik
sorumluluklarnn
srelerinin yrtlmesi iin sorumluluklar aka
atanmas
tanmlanm m? (Bilgi gvenlii sorumluluklar
(idari)
tanmlanm m? tanmlarna bilgi gvenlii

sorumluluklar eklenmi mi?)
(ISO 27002:2005
TBTAK UEKAE
Uyumluluk
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
2.1.4
2.1.5
6.1.4
6.1.5
Bilgi ileme
Yazlm, Donanm vb. yeni bilgi ilem aralar sisteme
aralar iin
eklenirken kullanm amac ve ekli gz nnde
yetkilendirme
bulundurularak ynetim onayndan geiriliyor mu?
sreci
Yeni aralar tm gvenlik politikalar ile uyumlu mu ve
(idari)
tm gvenlik ihtiyalarna cevap veriyor mu?
Gizlilik
Kuruluun bilgi varlklarn korumak iin yapmak zorunda
anlamalar
olduu gizlilik anlamalar ile ilgili ihtiyalar ak olarak
(idari)
tanmlanm durumda mdr ve gzden geirilmekte midir?

Gizlilik anlamalar bilginin yasal yollarla korunmas iin
gerekli artlar ieriyor mu?
2.1.6
6.1.6
Otoritelerle
Gerektiinde emniyet, itfaiye vb. kurulularla kimin ne
iletiim
zaman irtibat kuracan ve olayn nasl rapor edileceini
(idari)
2.1.7
6.1.7
tarif eden bir prosedr mevcut mu?
Uzmanlk
Kurulu gvenlik konusunda uzmanlam forum,
gruplar ile
topluluklar ve profesyonel derneklerle irtibat halinde mi?
iletiim
TBTAK UEKAE
(idari)
2.1.8
6.1.8
Bilgi gvenliinin Organizasyon ierisindeki uygulama ile gvenlik politikas

bamsz olarak
esaslarnn ayn olduu, gvenlik politikasnn etkin ve
gzden
uygulanabilir olduu dzenli bir ekilde bamsz bir
geirilmesi
kurum veya kurulu tarafndan veya kurum iinden
(idari)
bamsz bir deneti araclyla denetleniyor mu?

Gzden geirmenin sonular kaydediliyor ve ynetime
bildiriliyor mu?
2.2
6.2
nc Taraf Eriiminin Gvenlii
2.2.1
6.2.1
nc taraf
Bilgi sistemlerine nc taraflarn eriiminden
eriiminde
kaynaklanacak riskler belirleniyor ve eriim hakk
risklerin
verilmeden nce bununla ilgili tedbirler alnyor mu?
tanmlanmas
Kurum ierisinde grevlendirilmi nc parti alanlar
(idari)
iin riskler belirlenmi ve bunun iin uygun kontroller

uygulamaya geirilmi midir?
2.2.2
6.2.2.
Mterilerle
Mterilere kuruluun bilgi veya varlklarna erime hakk
alrken
verilmeden nce gvenlik ihtiyalar ile ilgili tedbirler
gvenlik
alnyor mu?
(idari)
10
TBTAK UEKAE
2.2.3
6.2.3
nc taraf
nc tarafn kuruma ait bilgi veya bilgi ilem aralar ile
szlemelerinde
ilgili eriim, ilem veya iletiimi ile ilgili dzenlemeler
gvenlik gerekleri yapan szlemelerde kurumun gvenlik ihtiyalar

karlanyor mu?
(idari)
TBTAK UEKAE
11
VARLIK YNETM
Sonular
Standart
Blm
Bulgular
3.1
7.1
Varlklarla ilgili sorumluluklar
3.1.1
7.1.1
Varlk envanteri
Referans
Kontrol
Denetim sorusu
Uyumluluk
listesi
(idari)
nemli tm bilgi varlklarn ieren bir varlk envanteri

tutuluyor mu? Envanter hazrlanrken aada belirtilen
varlk trlerinin tamam gz nnde bulundurulmu mu?
-
Bilgi: Veri Taban, szleme ve anlamalar, sistem

dokmantasyonu vb.
Yazlm varlklar: Uygulama yazlmlar, sistem
yazlmlar ve yazlm gelitirme aralar.
Fiziksel varlklar: Bilgisayarlar ve iletiim aralar.
Hizmete dnk varlklar: Bilgisayar ve iletiim
hizmetleri, stma, aydnlatma, g vb.
Personel: Nitelik ve tecrbeleri ile birlikte.
Soyut varlklar: Kuruluun itibar ve imaj gibi.
Varlk envanteri herhangi bir afetten sonra normal alma

artlarna dnmek iin gereken (varln tr, format,
konumu, deeri gibi) tm bilgileri iermelidir.
12
TBTAK UEKAE
3.1.2
3.1.3
7.1.2
7.1.3
Varlklarn
Btn varlklarn sahibi var m?
sahipleri
Varlklarn sahipleri aracl ile
(idari)
a) Her varln tanml ve onayl bir gvenlik snf ve

eriim kstlamasna sahip olmas ve
b) Bunlarn her varlk iin periyodik olarak gzden
geirilmesi
gvence altna alnyor mu?
Varlklarn kabul
Bilgi ilem aralar ile ilgili bilgi ve varlklarn kabul

edilebilir kullanmlar ile ilgili dzenlemeler yaplm m?
Bu dzenlemeler belgelenmi mi ve uygulanyor mu?
edilebilir bir
biimde
a) E-posta ve internet kullanmna ait dzenleme var

m?
kullanlmas
b) Mobil cihazlarn kullanm konusunda bir

dzenleme var m?
(idari)
c) Tanabilir depolama ortamlarnn kullanmna ait

bir dzenleme var m?
3.2
7.2
Bilgi Snflandrmas
3.2.1
7.2.1
Snflandrma
Bilgi varlklar deeri, yasal durumu ve hassasiyeti gz
rehberleri
nnde bulundurularak snflandrlm m?
(idari)
Ynetim tarafndan onaylanm bir snflandrma

dokman var m?
3.2.2
7.2.2
TBTAK UEKAE
Bilginin
Kurumun benimsedii bilgi snflandrma planna gre
13
14
etiketlenmesi ve
bilginin etiketlenmesi ve idare edilmesi iin prosedrler
ilenmesi
tanmlanm m?
(idari)
Bu prosedrler uygulanyor mu?
TBTAK UEKAE
PERSONEL GVENL
Sonular
Standart
Blm
Bulgular
4.1
8.1
e almadan nce
4.1.1
8.1.1
Roller ve
Kurumun bilgi gvenlii politikas uyarnca personele
sorumluluklar
den gvenlik rol ve sorumluluklar belgelenmi mi?
(idari)
e alnacak personele yklenecek rol ve sorumluluklar
Referans
Kontrol
Denetim sorusu
listesi
aka tanmlanm ve ie alnmadan nce personel

tarafndan iyice anlalmas salanm m?
4.1.2
8.1.2
Personel
bavurularnda, ie alnacak personel iin dorulama
gzetleme
testleri yaplyor mu?
(idari)
Dorulama testleri iddia edilen akademik ya da

profesyonel vasflarn doruluunu ve bamsz kimlik
dorulama testlerini kapsyor mu?
4.1.3
8.1.3
TBTAK UEKAE
e alnmann
Kurum alanlarnn gizlilik ve aa karmama (non-
artlar
disclosure) anlamalarn ie alnma artnn bir paras
15
Uyumluluk
(idari)
olarak imzalamalar isteniyor mu?

Bu anlama ie alnan personelin ve kuruluun bilgi
gvenlii sorumluluklarn kapsyor mu?
4.2
8.2
alma Srasnda
4.2.1
8.2.1
Ynetimin
Ynetim, alanlarndan ve nc parti kullanclarndan
sorumluluklar
uygulamakta olduu politika ve prosedrler uyarnca
(idari)
4.2.2
4.2.3
8.2.2
8.2.3
gvenlik tedbirlerini almalarn istiyor mu?
Bilgi gvenlii
Kurumun tm alanlar ve nc parti kullanclar
bilinci ve eitim
uygun bilgi gvenlii eitimlerini alyorlar m?
(idari)
Kurumsal politika ve prosedrlerdeki deiikliklerden
(ISO 27002:2005
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
haberdar ediliyorlar m?
Disiplin sreci
Kurum alanlarnn, gvenlik politika ve prosedrlerine
(idari)
uymamas durumunda devreye girecek bir disiplin sreci

var m?
16
4.3
8.3
Grev deiiklii veya iten ayrlma
4.3.1
8.3.1
Ayrlma ile ilgili
ten ayrlma veya grev deiiklii srasnda yaplmas
TBTAK UEKAE
sorumluluklar
(idari)
4.3.2
8.3.2
gerekenler ak olarak belirlenmi ve ilgili kiilere

sorumluluklar bildirilmi mi?
Varlklarn iade
ten ayrlma, kontratn veya anlamann sona ermesi
edilmesi
halinde kurum alanlarnn veya nc parti
(idari)
kullanclarnn stnde bulunan kurulua ait tm

varlklarn iade edilmesini salayan bir sre mevcut mu?
4.3.3
8.3.3
Eriim haklarnn
ten ayrlma, kontratn veya anlamann sona ermesi
kaldrlmas
halinde veya grev deiiklii halinde kurum alanlarnn
(idari + teknik)
veya nc parti kullanclarnn kuruluun bilgi

varlklarna veya bilgi ilem aralarna eriim haklar
kaldrlyor veya gerektii ekilde yeniden dzenleniyor
mu?
TBTAK UEKAE
17
FZKSEL VE EVRESEL GVENLK

Sonular
Standart
Blm
Bulgular
5.1
9.1
Gvenlik Alan
5.1.1
9.1.1
Fiziksel gvenlik
Bilgi ileme servisini korumak amacyla herhangi bir
snr
fiziksel snr gvenlii tesisi kurulmu mu? (kart kontroll
Referans
Kontrol
Denetim sorusu
listesi
(idari + teknik)
giri, duvarlar, insanl nizamiye)

Fiziksel snr gvenlii, iindeki bilgi varlklarnn
gvenlik ihtiyalar ve risk deerlendirme srecinin
sonucuna gre oluturulmu mu?
5.1.2
9.1.2
Fiziksel giri
Kurum ierisinde belli yerlere sadece yetkili personelin
kontrolleri
giriine izin verecek ekilde kontrol mekanizmalar
(idari + teknik)
kurulmu mu?
a) Ziyaretilerin giri ve k zamanlar kaydediliyor
mu?
b) Hassas bilgilerin bulunduu alanlar (kimlik
dorulama kart ve PIN korumas gibi yntemlerle)
yetkisiz eriime kapatlm m?
c) Tm personel ve ziyaretiler gvenlik elemanlar
18
TBTAK UEKAE
Uyumluluk
tarafndan rahata tehis edilmelerini salayacak

kimlik kartlarn devaml takyorlar m?
d) Gvenli alanlara eriim haklar dzenli olarak
gzden geiriliyor mu?
5.1.3
9.1.3
Ofislerin ve
Ofisler ve odalarla ilgili fiziksel gvenlik nlemleri alnm
odalarn
m?
gvenliinin
salanmas
(idari + teknik)
5.1.4
9.1.4
Harici ve evresel
Yangn, sel, deprem, patlama ve dier tabii afetler veya
tehditlerden
toplumsal kargaa sonucu oluabilecek hasara kar fiziksel
korunma
koruma tedbirleri alnm ve uygulanmakta mdr?
(idari + teknik)
TBTAK UEKAE
a) Personel gvenlii ve sal ile ilgili

ynetmelikler uygulanm m?
b) Kritik tesisler kolayca ulalamayacak yerlere
kurulmu mu?
c) Binada bilgi ilem faaliyetlerinin yrtldne
dair iaret, tabela vb. bulunmamasna dikkat
edilmi mi?
d) Bilgi ilem merkezlerinin konumunu ieren
dhili/harici telefon rehberleri halka kapal m?
a) Komu tesislerden kaynaklanan potansiyel tehdit

var m?
b) Yedeklenmi materyal ve yedek sistemler ana
tesisten yeterince uzak bir yerde konulandrlm
m?
19
5.1.5
9.1.5
Gvenli alanlarda
Gvenli bir alann mevcut olduu ile ilgili olarak veya
alma
burada yrtlmekte olan eitli faaliyetlerle ilgili olarak
(idari + teknik)
personel ve nc parti alanlar iin htiyac kadar

bilme prensibi uygulanyor mu?
Kayt cihazlarnn gvenli alanlara sokulmasna engel
olunuyor mu?
Kullanlmayan gvenli alanlar kilitleniyor ve dzenli
olarak kontrol ediliyor mu?
Kt niyetli giriimlere engel olmak iin gvenli
blgelerde yaplan almalara nezaret ediliyor mu?
5.1.6
9.1.6
Halka ak
Bilgi ilem servisleri ile
alanlardan,
a) Datm ve ykleme alanlar ve

b) Yetkisiz kiilerin tesislere girebilecei noktalar
birbirinden izole edilmi mi?
ykleme ve
datm
alanlarndan
eriim
(idari + teknik)
20
5.2
9.2
Ekipman Gvenlii
5.2.1
9.2.1
Ekipman
Ekipman yerleimi yaplrken evresel tehditler ve yetkisiz
TBTAK UEKAE
yerleimi ve
eriimden kaynaklanabilecek zararlarn asgari dzeye
korumas
indirilmesine allm m?
(idari + teknik)
5.2.2
9.2.2
Destek hizmetleri
(idari + teknik)
a) Ekipman, gereksiz eriim asgari dzeye indirilecek

ekilde yerletirilmi mi?
b) Kritik veri ieren aralar yetkisiz kiiler tarafndan
gzlenemeyecek ekilde yerletirilmi mi?
c) zel koruma gerektiren ekipman izole edilmi mi?
d) Nem ve scaklk gibi parametreler izleniyor mu?
e) Hrszlk, yangn, duman, patlayclar, su, toz,
sarsnt, kimyasallar, elektromanyetik radyasyon,
sel gibi potansiyel tehditlerden kaynaklanan
riskleri drc kontroller uygulanm m?
Paratoner var m?
f) Bilgi ilem aralarnn yaknnda yeme, ime ve
sigara ime konularn dzenleyen kurallar var m?
Elektrik, su, kanalizasyon ve iklimlendirme sistemleri

destekledikleri bilgi ilem dairesi iin yeterli dzeyde mi?
a) Elektrik ebekesine yedekli balant, kesintisiz g
kayna gibi nlemler ile ekipmanlar elektrik
arzalarndan koruyacak tedbirler alnm m?
Yedek jeneratr ve jeneratr iin yeterli dzeyde
yakt var m?
b) Su balants iklimlendirme ve yangn sndrme
sistemlerini destekleyecek dzeyde mi?
c) Acil durumlarda iletiimin kesilmemesi iin servis
salaycdan iki bamsz hat alnm m? Kurum
bu konuda yasal ykmllklerini yerine getirmi
mi?
TBTAK UEKAE
21
5.2.3
9.2.3
Kablolama
G ve iletiim kablolarnn fiziksel etkilere ve dinleme
gvenlii
faaliyetlerine kar korunmas iin nlemler alnm m?
(idari + teknik)
a) Kablolar yeraltnda m?
b) Karmann (interference) olmamas iin g
kablolar ile iletiim kablolar ayrlm m?
c) Hatal balantlarn olmamas iin ekipman ve
kablolar aka etiketlenmi ve iaretlenmi mi?
Hassas ve kritik bilgiler iin ekstra gvenlik nlemleri
alnm m?
d) Alternatif yol ve iletiim kanallar mevcut mu?
e) Fiber optik altyap mevcut mu?
f) Balant panelleri ve odalara kontroll eriim
altyaps kurulmu mu?
5.2.4
9.2.4
Ekipman bakm
(idari + teknik)
22
Ekipmann bakm doru ekilde yaplyor mu?

a) Ekipmann bakm, reticinin tavsiye ettii zaman
aralklarnda ve reticinin tavsiye ettii ekilde
yaplyor mu?
b) Bakm sadece yetkili personel tarafndan yaplyor
mu?
c) Tm pheli ve mevcut arzalar ve bakm
almalar iin kayt tutuluyor mu?
d) Ekipman bakm iin kurum dna karlrken
kontrolden geiyor mu? indeki hassas bilgiler
siliniyor mu?
e) Ekipman sigortalysa, gerekli sigorta artlar
TBTAK UEKAE
salanyor mu?
5.2.5
9.2.5
Kurum d
Kurum alan dnda bilgi ileme iin kullanlacak ekipman
ekipmann
iin ynetim tarafndan yetkilendirme yaplyor mu?
gvenlii
a) Tesis dna karlan ekipmann babo

braklmamasna, seyahat halinde dizst
bilgisayarlarn el bagaj olarak tanmasna dikkat
ediliyor mu?
b) Cihazn muhafaza edilmesi ile ilgili olarak retici
firmann talimatlarna uyuluyor mu?
c) Evden alma ile ilgili tedbirler alnm m?
d) Sigorta cihazlarn tesis dnda korunmasn
kapsyor mu?
Kurum alan dnda kullanlacak ekipmanlar iin
(idari + teknik)
uygulanacak gvenlik nlemleri, tesis dnda almaktan

kaynaklanacak farkl riskler deerlendirilerek belirlenmi
mi?
5.2.6
9.2.6
Ekipmann
gvenli imhas ya
da tekrar
kullanm
a) Ekipman imha edilmeden nce gizli bilginin

bulunduu depolama cihaz fiziksel olarak imha
ediliyor mu?
b) Depolama cihaznn ierdii bilginin bir daha
okunamamas iin klasik silme veya format
ilemlerinin tesinde yeterli dzeyde ilem
yaplyor mu?
(idari + teknik)
5.2.7
9.2.7
TBTAK UEKAE
Varlklarn
Ekipman, bilgi veya yazlmn yetkilendirme olmadan tesis

23
kurumdan
dna karlmamasn salayan kontrol mekanizmas
karlmas
oluturulmu mu?
(idari + teknik)
Kurum varlklarnn yetkisiz olarak kurum dna

karldn saptamak iin denetleme yaplyor mu?
Kurum alanlar bu tip denetlemelerden haberdar m?
24
TBTAK UEKAE
LETM VE LETME YNETM

Sonular
Standart
Blm
Bulgular
6.1
10.1
letme Prosedrleri ve Sorumluluklar
6.1.1
10.1.1
Belgelenmi
letme prosedrleri yazlm m ve gncelleniyor mu?
iletme
Bilgi ilem ve iletiim ile ilgili
Referans
Kontrol
Denetim sorusu
listesi
prosedrleri
(idari)
a) Sistem ama/kapama,
b) Yedekleme,
c) Cihazlarn bakm,
d) Bilgisayar odasnn kullanlmas,
gibi sistem faaliyetleri prosedrlere balanm m?
letme prosedrlerine, ihtiyac olan tm kullanclar
eriebiliyor mu?
Bu prosedrlere resmi belge muamelesi yaplyor mu?
(Yaplan tm deiiklikler iin ynetim yetkilendirmesi
gerekiyor mu?)
6.1.2
10.1.2
TBTAK UEKAE
Deiim kontrol
Bilgi ilem sistemlerinde yaplan deiiklikler denetleniyor
25
Uyumluluk
(idari)
mu?
a) Asl sistemler ve uygulama programlar sk bir
deiim kontrolne tabi tutuluyor mu?
b) Deiikliklerle ilgili planlama ve test yaplyor mu?
c) Programlarda yaplan deiiklikler iin kaytlar
tutuluyor mu?
d) Deiikliklerin, gvenlik dahil olmak zere
potansiyel etkileri deerlendiriliyor mu?
e) Deiiklikler iin resmi onay prosedrleri var m?
f) lgili personele deiiklik detaylar bildiriliyor mu?
g) Baarsz deiikliklerin onarlmas ve geri alnmas
ile ilgili sorumluluklar belirleyen prosedrler var
m?
Bilgi ilem sistemlerinde yaplan deiikliklerin

ynetilmemesi sonucunda sk sk sistem hatalarnn ve
gvenlik aklarnn ortaya kt unutulmamaldr.
6.1.3
10.1.3
Grevler ayrl
(idari)
Bilginin veya bilgi servislerinin kazara ya da kasten yanl

kullanmn veya yetkisiz deitirilme riskini azaltmak iin
grevler ve sorumluluklar ayrlm m?
Bir iin yetkilendirilmesi ile o iin gerekletirilmesi farkl
kiiler tarafndan yaplyor mu?
6.1.4
26
10.1.4
Gelitirme
Gelitirme ve test ortamlar esas alma ortamndan
sistemi, test
ayrlm m? rnein, gelitirilmekte olan yazlm ile
TBTAK UEKAE
sistemi ve aktif
kullanlmakta olan yazlm farkl bilgisayarlarda
sistemlerin
altrlmaldr. Gerekli grld yerde gelitirme ve test
ayrlmas
ortamlar da birbirinden ayrlmaldr.
(idari + teknik)
6.2
10.2
nc taraflardan alnan hizmetin ynetilmesi
6.2.1
10.2.1
Hizmet alma
(idari)
nc taraftan hizmet alma anlamasnda belirtilen

hizmetlerin tanmnn, gvenlik seviyesinin ve denetiminin
gerekletirilmesini ve srdrlmesini gvence altna almak
iin nc taraf gerekli tedbirleri alm m?
6.2.2
10.2.2
nc taraf
nc taraflardan alnan hizmetler, raporlar ve kaytlar
hizmetlerinin
dzenli olarak izleniyor ve gzden geiriliyor mu?
gzden
nc taraflardan alnan yukardaki hizmetler, raporlar ve
geirilmesi
kaytlar dzenli aralklarla denetime tabii tutuluyor mu?
(idari + teknik)
6.2.3
10.2.3
TBTAK UEKAE
nc taraf
Bilgi gvenlii politikalar, prosedrleri ve denetimlerinde
hizmetlerindeki
yaplan bakm ve iyiletirmeleri de ieren hizmet alm
deiikliklerin
deiiklikleri ynetiliyor mu?
ynetilmesi
Deiiklik ynetimi erevesinde iin iindeki srelerin
27
(idari)
kritiklii hesaba katlyor ve riskler gzden geiriliyor mu?
6.3
10.3
Sistem Planlama ve Kabul Etme
6.3.1
10.3.1
Kapasite ynetimi Gereken sistem performansn salamak iin sistem

(idari + teknik)
kaynaklarnn ne oranda kullanld izleniyor ve ileriye

dnk kapasite ihtiyacnn projeksiyonu yaplyor mu?
(nemli sunumcularn stndeki sabit disk alannn, RAM
ve CPU kullanmlarnn izlenmesi gerekir)
Mevcut aktiviteler ve yeni balayacak aktiviteler iin
kapasite ihtiyalar belirleniyor mu?
Tedarik sresi uzun veya fiyat yksek ekipmann alnmas
ile ilgili planlamalar dikkatle gerekletiriliyor mu?
6.3.2
10.3.2
Sistem kabul
(idari + teknik)
Yeni bilgi sistemleri, ykseltmeler ve yeni versiyonlar iin

sistem kabul etme kriterleri tespit edilmi ve belgelenmi
mi?
Resmi kabulden nce gerekli testler yaplyor mu?
Resmi kabul gereklemeden yeni sistemin
kullanlmamasna dikkat ediliyor mu?
28
TBTAK UEKAE
Resmi kabulden nce aadaki hususlara dikkat ediliyor

mu?
a)
b)
c)
d)
Mevcut sistemlerle birlikte alabilirlik

Toplam sistem gvenlii stndeki etkileri
Eitim ihtiyac
Kullanm kolayl (kullanc hatalarna meydan
vermeme asndan)
6.4
10.4
Kt Niyetli Yazlmlara Kar Korunma
6.4.1
10.4.1
Kt niyetli
Kt niyetli yazlmlara kar bulma, nleme ve dzeltme
yazlmlara kar
tedbirleri alnm m? Kullanc bilinci oluturulmu mu?
kontroller
(idari + teknik)
TBTAK UEKAE
a) Gvenlik politikas yetkisiz yazlm kullanmay

yasaklyor mu?
b) Yabanc alardan ve dier medyadan dosya veya
yazlm alnmasna ilikin risklerden nasl
korunulacana ilikin politika var m?
c) Kritik i srelerini altran sistemler dzenli
olarak taranarak yetkilendirilmemi yazlm
ilaveleri veya dosyalarn mevcut olup olmad
aratrlyor mu?
d) Kt niyetli yazlmlara kar bulma ve nleme
fonksiyonlarn yerine getiren programlar kurulmu
ve dzenli olarak gncellemeleri yaplyor mu?
Tarama motorlar ve imza dosyalar gncelleniyor
mu?
e) A stnden veya dier ara yzlerden masast
bilgisayarlara veya sunuculara giren dosyalar, eposta ekleri ve balanlan internet sayfalarnn
29
ierikleri kontrol ediliyor mu?

f) Kt niyetli yazlmlardan korunma sistemleri,
bunlarla ilgili eitimler, saldrlarn rapor edilmesi
ve saldr sonras tedavi ile ilgili ynetim
prosedrleri ve sorumluluklar belirlenmi mi?
g) Saldr sonras i sreklilii iin plan yaplm m?
h) Kt niyetli yazlmlarla ilgili gncel bilgiler
izleniyor mu?
6.4.2
10.4.2
Mobil
Sadece yetkilendirilmi mobil yazlmlar kullanlyor mu?
yazlmlarla ilgili
Yetkilendirilmemi mobil yazlmn almasna engel
denetimler
olunuyor mu?
(idari + teknik)
Yetkilendirilmi mobil yazlmn gvenlik politikas

uyarnca almas konfigrasyon aracl ile gvence
altna alnyor mu?
(Mobil yazlm, bir bilgisayardan dierine tanan ve
otomatik olarak alan yazlmlara denir. Kullancnn
herhangi bir mdahalesi olmadan belli bir grevi yerine
getirirler).
30
6.5
10.5
Yedekleme
6.5.1
10.5.1
Bilgi yedekleme
Yedekleme politikas uyarnca bilgi ve yazlmlarn
TBTAK UEKAE
(idari + teknik)
yedeklenmesi ve yedeklerin test edilmesi dzenli olarak

yaplyor mu? Bir felaket veya sistem hatasndan sonra
gerekli tm bilgilerin ve yazlmlarn kurtarlmasn
salayacak yedekleme kabiliyeti mevcut mu?
a) Yedeklemenin hangi dzeyde yaplaca
tanmlanm m? Yedeklemenin hangi sklkla
yaplaca kurumun ihtiyalar uyarnca ayarlanm
m?
b) Onarm (geri dn) prosedrleri belgelenmi mi?
Yedek kopyalar kayt altna alnm m?
c) Alnan yedeklerin bir kopyas ana sitede meydana
gelebilecek bir felaketten etkilenmeyecek mesafede
fiziksel ve evresel etkenlerden korunarak
saklanyor mu?
d) Yedekleme ortam dzenli olarak test ediliyor mu?
e) Onarm prosedrleri dzenli olarak kontrol ve test
ediliyor mu? letim prosedrlerinde belirtilen
zaman dilimlerinde geri dn yapld kontrol
ediliyor mu?
f) mrn tamamlayan yedekleme nitelerinin takibi
yaplyor mu?
g) Gizliliin nem arz ettii durumlarda yedekler
kriptolanyor mu?
h) Yedekleme ortamnn gvenli biimde imhas iin
izlenen bir yntem var m?
6.6
10.6
A Gvenliinin Ynetilmesi
6.6.1
10.6.1
A kontrolleri
TBTAK UEKAE
A yneticileri, alardaki verinin gvenlii ve bal

31
(idari + teknik)
bulunan servislere yetkisiz eriimi engellemek iin gerekli

tedbirleri alm m?
a) Alarn iletme sorumluluu mmkn olan yerlerde
bilgisayar iletmenlerinden ayrlm m?
b) Uzaktan eriim donanmnn/donanmlarnn
ynetimi iin sorumluluklar ve prosedrler
belirlenmi mi?
c) Halka ak alardan ve telsiz alardan geen verinin
btnln ve gizlilii korumak, aa bal
sistemleri ve uygulamalar korumak iin zel
tedbirler alnm m? (VPN, eriim kontrol ve
kriptografik nlemler gibi)
d) A servislerini optimize etmek ve bilgi ilem
altyaps ile ilgili kontrollerin koordinasyonunu ve
kuruluun tamamnda uygulanmasn salamak
zere ynetim faaliyetleri gerekletiriliyor mu?
6.6.2
10.6.2
A hizmetlerinin
Kurumun iinden salanacak veya dardan alnacak a
gvenlii
hizmetlerinin her birinin ynetilmesi ve gvenlii ile ilgili
(idari + teknik)
ihtiyalar belirleniyor mu? Bu ihtiyalar hizmet

salayclar ile yaplan anlamalarda yer alyor mu?
A hizmetleri salaycsnn, stnde anlama salanan
servislerin gvenli olarak verilmesi ve ynetilmesi ile ilgili
imkn ve kabiliyetlere sahip olduu tespit edilmi mi?
Alnan hizmetin kurulu tarafndan izlenmesi ve
denetlenmesi konusunda anlamaya varlm m?
32
TBTAK UEKAE
6.7
10.7
Bilgi ortam ynetimi ve gvenlik
6.7.1
10.7.1
Tanabilir
Teyp, disk, disket, kaset, hafza kartlar ve yazl raporlar
depolama
gibi sklebilir bilgisayar ortamlarnn ynetilmesi ile ilgili
ortamlarnn
prosedrler var m?
ynetimi
Tm prosedrler ve yetki seviyeleri aka tanmlanm ve
(idari)
belgelenmi mi?
a) Daha fazla gerekmedii iin kurum dna
karlacak yeniden kullanlabilir ortamlar (disket
vs.) okunamaz hale getiriliyor mu?
b) Organizasyondan karlan tm ortam malzemeleri
iin yetkilendirme gereklidir ve bu ilemlerin hepsi
iin resmi kaytlarn tutulmas gerekir. Bu kaytlar
tutuluyor mu?
c) Ortam malzemelerinin gvenlii salanyor mu?
d) Tanabilir hafza ortamlarn destekleyen ara yzler
gerekten gerekmedike kapal tutuluyor mu?
6.7.2
10.7.2
Depolama
Daha fazla kullanlmayacak bilgi ortam resmi prosedrler
ortamnn imhas
uyarnca emniyetli bir biimde imha ediliyor mu?
(idari + teknik)
TBTAK UEKAE
a) Emniyetli imhaya tabii tutulacak varl belirlemek

iin prosedr var m?
b) Emniyetli imha ii dardan bir firmaya
yaptrlyorsa gereken gvenlik nlemlerini
uygulayan bir firmann seilmesine dikkat edildi
33
mi?
c) mha edilen ortamlarn kayd tutuluyor mu?
6.7.3
10.7.3
Bilgi depolama ve Bilginin yetkisiz olarak aklanmasna veya yanl

ileme
kullanmna engel olmak iin bilginin ynetilmesi ve
prosedrleri
saklanmas ile ilgili prosedrler oluturulmu mu?
(idari)
6.7.4
10.7.4
a) Tm ortamlar gizlilik dereceleri uyarnca

etiketleniyor ve ynetiliyor mu?
b) Yetkisiz kiilerin bilgiye eriimine engel olmak iin
eriim kstlamas uygulanyor mu?
c) Bilgiye eriim yetkisi olan kiiler resmi ve
gncellenmekte olan bir belgede belirtilmi mi?
d) Veri girdisinin eksiksiz olduu, ilemin hatasz
tamamland ve kt onayndan getii kontrol
ediliyor mu?
e) Veri datmnn en alt dzeyde tutulmas
salanyor mu?
Sistem
lemler, prosedrler, veri yaplar, yetkilendirme
dokmantasyonu
ilemlerinin uygulama tanmlar gibi bir dizi duyarl bilgiyi
gvenlii
ieren sistem dokmantasyonu yetkisiz eriimden
(idari + teknik)
korunuyor mu?
a) Sistem dokmantasyonu gvenli bir ortamda
bulunduruluyor mu?
b) Sistem dokmantasyonuna eriim listesi asgari
dzeyde tutulmu mu? Yetkilendirme sistemin
sahibi tarafndan yaplm m?
34
TBTAK UEKAE
6.8
10.8
Bilgi ve Yazlm Dei Tokuu
6.8.1
10.8.1
Bilgi dei tokuu Her trl iletiim ortamnda bilginin gvenliini salamak
ile ilgili politika
iin resmi bir dei toku politikas veya prosedr
ve prosedrler.
uygulanyor mu?
(idari + teknik)
Elektronik iletiim aralar ile ilgili prosedr ve kontroller

aadaki durumlar dzenliyor mu?
a) Bilginin kopyalanmas, tahribi, ieriinin veya
yolunun deitirilmesinden korunma.
b) Elektronik iletiim aracl ile alnabilecek kt
niyetli yazlmlarn tespiti ve bertaraf edilmesi.
c) Mesajlara eklenmi hassas bilgilerin korunmas.
d) Elektronik iletiim yntemlerinin kullanm ile ilgili
rehber ve politikalar.
e) Telsiz veri iletiiminin ierdii riskler de gz nne
alnarak kullanlmas.
f) Bilginin btnln ve gizliliini korumak iin
kriptografik tekniklerin kullanlmas.
g) ile ilgili yazmalarn saklanmas ve imhas.
h) Fotokopi makinesi, yazc ve faks cihazlarnda
hassas bilgi ieren belgelerin braklmamas.
i) Elektronik mesajlarn harici posta kutularna
iletilmemesi iin yaplacak dzenlemeler.
j) Personelin telefon konumalar srasnda hassas
bilgilerin aa kmamas iin tedbirli davranmas.
k) Cevap verme makinelerine hassas bilgi ieren
mesajlar braklmamas.
TBTAK UEKAE
35
l) Faks cihazlarnn kullanlmas ile ilgili risklerin

personele anlatlmas.
m) Gizli grmelerin halka ak yerlerde yaplmamas.
6.8.2
6.8.3
10.8.2
10.8.3
Bilgi ve yazlm
Kurum ile dier taraf arasnda bilgi ve yazlm deiiminin
deiim
artlarn dzenleyen anlama yaplm m?
anlamalar
Bu anlamada i bilgilerinin duyarll ile ilgili gvenlik
(idari)
konularna deinilmi mi?
Nakil esnasndaki
Nakil halindeki bilgi, yetkisiz eriime, bilinsiz kt
bilgi ortamnn
kullanma veya deitirilmelere kar korunuyor mu?
gvenlii
(idari + teknik)
6.8.4
10.8.4
Elektronik
Elektronik olarak tanan bilgi gerektii gibi korunuyor
mesajlamann
mu?
gvenlii
(idari + teknik)
36
a) Gvenilir ara veya kuryeler kullanlyor mu?

b) Kuryelerin kimliini kontrol etmek iin prosedr
gelitirilmi mi?
c) Nakil esnasnda varl fiziksel hasardan koruyacak
paketleme yaplyor mu?
a) Mesajlar yetkisiz eriimden korunuyor mu?

b) Mesajn doru adrese gitmesi salanyor mu?
c) Elektronik posta hizmetinin sreklilii ve
gvenilirlii yksek mi?
d) Elektronik imza gibi yasal ykmllkler var m?
TBTAK UEKAE
Eer varsa gerei yerine getirilmi mi?

e) Halka ak sistemler (Instant Messaging gibi)
kullanlmadan nce ynetimden onay alnyor mu?
6.8.5
10.8.5
Ofis bilgi
Elektronik ofis sistemlerinin birbirine balanmas ile ilgili
sistemleri
olarak burada bulunan bilginin korunmas iin politika ve
(idari + teknik)
prosedrler gelitirilmi ve kullanlm m?

a) dari sistemdeki ve muhasebe sistemindeki aklar
dikkate alnm m?
b) Bilgi paylamnn ynetilmesi iin politika ve
tedbirler mevcut mu?
c) Sistemde gerekli koruma yoksa gizli belgeler ve
hassas i bilgileri sistem dnda tutulmu mu?
6.9
10.9
Elektronik Ticaret Hizmetleri
6.9.1
10.9.1
Elektronik ticaret
Halka ak alar vastas ile tanan elektronik ticaret
gvenlii
bilgileri, hileli kazan faaliyetleri, anlama itilaflar ya da
(idari + teknik)
bilginin deiiklie maruz kalmas gibi bir dizi a ebekesi

tehdidine kar korunmu mu?
Kriptografik nlemler alnm m? (Elektronik ticaret ile
ilgili risklerin ou kriptografik tedbirlerin uygulanmas ile
bertaraf edilebilmektedir).
Ticaret ortaklar arasndaki elektronik ticaret dzenlemeleri,
TBTAK UEKAE
37
iki taraf bilgilendiren, yetkilendirme detaylarnn dahil

olduu, zerinde anlama salanan ticari artlarn yazl
olduu bir belge ile tespit edilmi midir?
6.9.2
10.9.2
On-line
On-line ilemlerle ilgili bilgi hatal gnderme, hatal
ilemler
ynlendirme, mesajn yetkisiz kiiler tarafndan ifa
(idari + teknik)
edilmesi, deitirilmesi, kopyalanmas veya tekrar

gnderilmesine kar korunuyor mu?
6.9.3
10.9.3
Halka ak bilgi
(idari + teknik)
Halka ak bilginin btnl yetkisiz kiilerin deiiklik

yapmamas iin korunuyor mu?
Sistem stnde teknik aklk testleri yaplyor mu?
Halka ak sisteme konmadan nce bilginin onaylanmasn
salayan belgelenmi bir sre var m?
6.10
10.10
Sistem Eriiminin Gzlenmesi ve Kullanm
6.10.1
10.10.1
Olay kaytlarnn
Eriimi gzlemek ve gerektii takdirde soruturmalarda
tutulmas
kullanmak zere gerekli sistemlerde kullanc faaliyetleri ve
(idari + teknik)
gvenlik ile ilgili olay kaytlar tutuluyor ve bu kaytlar

belirli bir sre boyunca saklanyor mu?
a)
b)
c)
d)
38
Kullanc kimlikleri,
Oturuma giri ve k tarihleri ve zamanlar,
Eer mmknse terminal kimlii,
Baarl ve reddedilmi sistem eriim denemeleri,
TBTAK UEKAE
e) Sistem konfigrasyonunda yaplan deiiklikler,

f) Ayrcalklarn kullanlmas,
g) Hangi dosyalara eriimin gerekletii
ile ilgili kaytlar tutuluyor mu?
h) Sistem yneticilerinin kendi faaliyetlerini silme
yetkisine sahip olmamas gerekir.
6.10.2
10.10.2
Sistem
Bilgi ilem aralarnn kullanmnn gzlenmesi ile ilgili
kullanmnn
prosedrler gelitirilmi mi? Bu prosedrler uygulanyor
gzetlenmesi
mu?
(idari + teknik)
Sistem kullanm kaytlar dzenli olarak gzden geiriliyor

mu?
Bilgi ilem aralarnda yaplan ilemlerin hangi dzeyde
kaydedilecei risk deerlendirme almas sonucunda
belirlenmi mi?
6.10.3
10.10.3
Kayt bilgilerinin
Kayt alma aralar ve kayt bilgileri yetkisiz eriim ve
muhafazas
deitirmeye kar korunuyor mu?
(idari + teknik)
6.10.4
10.10.4
Ynetici ve
iletmen kaytlar
(idari + teknik)
TBTAK UEKAE
Ynetici ve iletmen faaliyetlerinin kayd tutuluyor mu?

a) Baarl veya baarsz faaliyetin tarihi ve zaman,
b) Faaliyetle ilgili bilgi (rnein sistemde oluan hata
ve alnan tedbir),
c) lemin hangi kullanc hesab stnde ve hangi
39
ynetici tarafndan yapld,

d) Hangi srelerin etkilendii
kaydediliyor mu?
letmen kaytlar, dzenli olarak inceleniyor mu?
6.10.5
10.10.5
Hata kaytlar
Hatalar rapor edilip dzeltici tedbirler alnyor mu?
(idari + teknik)
Bilgi ilem ya da iletiim sistemleri ile ilgili olarak

kullanclar tarafndan rapor edilen hatalarn kayd tutuluyor
mu?
Hatalarn tatmin edici bir ekilde giderildiinden emin
olmak iin hata kaytlar gzden geiriliyor mu?
6.10.6
10.10.6
Saat
Sistem bilgisayarlar veya dier bilgi sistemi cihazlarnn
senkronizasyonu
saatleri standart bir zaman bilgisine gre ayarlanm m?
(teknik)
Bilgisayar saatlerinin doru ayarlanm olmas farkl

bilgisayarlardan alnm olay kaytlarnn birlikte
incelenebilmesi asndan byk nem arz etmektedir. Bu i
iin NTP protokol kullanlabilir.
40
TBTAK UEKAE
ERM DENETM
Sonular
Standart
Blm
Bulgular
7.1
11.1
Eriim Denetimi Gereksinimleri
7.1.1
11.1.1
Eriim denetimi
Eriimle ilgili i ve gvenlik ihtiyalar gz nnde
politikas
bulundurularak eriim denetimi politikas oluturulmu ve
Referans
Kontrol
Denetim sorusu
listesi
(idari)
belgelenmi mi?
Eriim denetimi hem fiziksel, hem ilevsel boyutlar ile
deerlendirilmi mi?
Eriim denetimi politikas btn kullanclar veya kullanc
gruplar iin eriim kurallarn ve haklarn aka belirtiyor
mu?
Kullanclara ve servis salayclarna eriim denetimiyle
hangi i gereksinimlerinin karlanaca iyice aklanm
m?
Politika belgesi aadaki konular ieriyor mu?
TBTAK UEKAE
41
Uyumluluk
a) Her bir i srecinin gvenlik ihtiyalar,

b) sreleri ile ilgili tm bilgiler ve bu bilgilerin yz
yze olduu riskler,
c) Bilginin yaylmas ve yetkilendirme ile ilgili
politikalar, bilginin snflandrlmas, gvenlik
seviyeleri ve gerektii kadar bilme prensibi.
d) Farkl sistem ve alardaki bilginin snflandrlmas
ve eriim denetimine ilikin politikalarn tutarl
olmas,
e) Bilgiye eriimle ilgili olarak kontratlardan ve yasal
ykmllklerden kaynaklanan artlarn yerine
getirilmesi,
f) Kurumun yaygn kullanc profilleri ile ilgili eriim
haklar ve
g) Eriimin talep edilmesi, yetkilendirilmesi ve
ynetilmesi grevlerinin birbirinden ayrlmas.
Eriim haklarnn Yasaklanmadka her ey serbesttir

deil zin verilmedike her ey yasaktr prensibine gre
verilmesine dikkat edilmelidir.
7.2
11.2
Kullanc Eriiminin Ynetilmesi
7.2.1
11.2.1
Kullanc kayd
(idari + teknik)
Bilgi sistemlerine ve servislerine eriim hakk vermek iin

resmi bir kullanc kayd girme ve kullanc kayd silme
prosedr var m?
a) Sistem kaytlar ile ilikilendirme ve sorumlu
tutulabilme asndan kullanc kimliklerinin her
kullanc iin farkl olmasna dikkat ediliyor mu?
42
TBTAK UEKAE
b) Bilgi sistemini ve servisini kullanabileceine dair

sistem sahibi kullancya yetki vermi mi?
c) Verilen eriim hakk kurumsal gvenlik politikasna
ve grevler ayrl ilkesine uygun mu?
d) Kullanclara eriim haklar ile ilgili yazl belge
veriliyor ve kullanclardan eriim artlarn
anladklarna ilikin imzal belge alnyor mu?
e) Grevi deien veya kurulutan ayrlan personelin
eriim haklar derhal gncelleniyor mu?
7.2.2
11.2.2
Ayrcalk
Ayrcalklarn kullanm snrlandrlm m ve denetleniyor
ynetimi
mu?
(idari + teknik)
Ayrcalklar kullanmas gereken prensibine gre ve resmi

bir yetkilendirme sreci sonunda m verilmi?
7.2.3
11.2.3
Kullanc parola
Kullanc parolalarnn atanmas ya da deitirilmesi resmi
ynetimi
bir prosedr uyarnca yaplyor mu? a
(idari + teknik)
Kullanclara parolalarn sakl tutacaklarna dair bir

anlama imzalatlyor mu? b
7.2.4
11.2.4
Kullanc eriim
Kullanc eriim haklarnn dzenli aralklarla kontrol
haklarnn gzden
edilmesini salayan resmi bir sre var m?
geirilmesi
TBTAK UEKAE
43
(idari)
7.3
11.3
Kullanc Sorumluluklar
7.3.1
11.3.1
Parola kullanm
(idari + teknik)
Kullanc parolalarnn seilmesi ve kullanlmas ile ilgili

gvenlik tedbirleri uygulanyor mu?
a) Sistem tarafndan geici olarak verilen parolalarn
kullanc tarafndan sisteme ilk girite deitirilmesi
salanyor mu?
b) Kullanclar zor krlacak parolalar semeleri
konusunda bilinlendirilmi mi?
c) Kiisel parolalarn hi kimse ile paylalmamasna,
yazl veya elektronik ortamlarda kaydedilmemesine
dikkat ediliyor mu?
d) Kullanclar dzenli aralklarla veya sistem
gvenlii ile ilgili bir kuku olutuktan sonra
parolalarn deitirmeye zorlanyor mu?
e) Kullanclar kiisel ilerinde kullandklar parolalar
kuruluun i srelerinde kullanmamalar gerektii
konusunda bilinlendirilmi mi?
7.3.2
11.3.2
Babo kullanc
Atl cihazlara ait gvenlik gereksinimlerinden, bu cihazlar
ekipman
koruma prosedrlerinden ve bu cihazlar korumak iin
(idari + teknik)
zerlerine den sorumluluklardan kullanclarn ve i

ortaklarnn haberleri var m? (i biten kullanclarn
bilgisayarn kapatmas ve ifreli ekran koruyucularn
kullanlmas gibi)
44
TBTAK UEKAE
7.3.3.
11.3.3
Temiz masa ve
Kurulu kat ve tanabilir elektronik depolama ortamlar
temiz ekran
ile ilgili olarak temiz masa politikas uyguluyor mu?
politikas
Kurulu bilgi veya bilgi ilem aralar ile ilgili olarak temiz
(idari + teknik)
ekran politikas uyguluyor mu?

a) Hassas bilgileri ieren kat ve elektronik depolama
ortamlarnn kullanlmad zaman kilitlenmesi,
b) Bilgisayar bandan kalkarken personelin
oturumunu kapamas veya ancak parola ile
alabilen ekran koruyucu vb. nlemleri devreye
sokmas,
c) Gelen/giden postaya eriim noktalarnn ve faks
cihazlarnn denetlenmesi,
d) Fotokopi makinesi, tarayc, saysal fotoraf
makinesi gibi kopyalama teknolojilerinin yetkisiz
olarak kullanlmamas ve
e) Hassas bilgi ieren dokmanlarn yazc stnde
braklmamas
konularna zen gsterilmelidir.
7.4
11.4
A Eriimi Denetimi
7.4.1
11.4.1
A hizmetlerinin
Kullanclarn sadece kullanma yetkisine sahip olduklar a
kullanlmas ile
servislerine eriebilmesi salanm m?
ilgili politikalar
Alar ve a servisleri ile ilgili olarak aadaki konular
(idari)
dzenleyen politikalar uygulanyor mu?
TBTAK UEKAE
45
a) Kimin hangi alara ve a servislerine

eriebileceini belirlemek iin yetkilendirme
prosedr tanmlanm m?
b) A balantlarn korumak ve a servislerine eriimi
engellemek iin ynetim denetimleri ve sreleri
belirlenmi mi?
7.4.2
11.4.2
Harici balantlar
Sisteme dardan yaplacak kullanc balantlar iin
iin kullanc
kullanc kimlii dorulama mekanizmalar uygulanyor
kimlii
mu?
dorulamas
(Kripto tabanl teknikler veya klasik challange-response
(idari + teknik)
mekanizmalar ile zlebilir. VPN zmleri de bu

teknikleri kullanmaktadr.)
7.4.3
11.4.3
Alarda cihaz
Balantnn belli bir cihaz kullanlarak yapldndan emin
kimlii belirleme
olmak iin otomatik cihaz kimlii belirleme yntemleri
(idari + teknik)
7.4.4
11.4.4
kullanlyor mu?
Uzak ynetim ve
Ynetim ve yaplandrma portlarna fiziksel ve ilevsel
yaplandrma
eriimi denetleyen bir gvenlik mekanizmas var m?
portlarnn
korunmas
(idari + teknik)
46
TBTAK UEKAE
7.4.5
11.4.5
Alardaki ayrm
(idari + teknik)
Bilgi sistemi stndeki kullanc ve servisler gruplara

ayrlm m?
Kurumun a dahili ve harici etki alanlarna blnm m?
Etki alanlar kurumun eriim kontrol politikas ve eriim
ihtiyalar uyarnca oluturulmu mu?
Etki alanlar snr gvenlii sistemleri ile korunuyor mu?
Telsiz alarn dier alardan ayrlmas ile ilgili olarak
alma yaplm m?
7.4.6
11.4.6
A balants
Kurum snrlarnn dna taan alar ve a balantlarnn
kontrolleri
kullanm kurumun eriim kontrol politikas uyarnca
(idari + teknik)
kstlanm m?
a) Elektronik mesaj,
b) Tek veya ift ynl dosya aktarm,
c) nteraktif eriim,
d) Balant zaman ve sresi
ile ilgili kstlamalar getirilmi mi?
7.4.7
11.4.7
A ynlendirme
A ynlendirme kontrolleri, bilgisayar balantlarnn ve
kontrolleri
bilgi aknn eriim politikasna uygun gereklemesini
(idari + teknik)
salayacak ekilde tanmlanm m?

A iletiimi kaynak adres ve hedef adreslere bal olarak
TBTAK UEKAE
47
gvenlik duvar vb. cihazlar aracl ile kontrol ediliyor

mu?
7.5
11.5
letim Sistemi Eriim Denetimi
7.5.1
11.5.1
Terminal oturum
Oturum ama ilemleri yetkisiz eriim olasln asgari
ama ilemleri
dzeye indirecek ekilde dzenlenmi mi?
(idari + teknik)
7.5.2
48
11.5.2
a) Sistem ve uygulamaya ilikin olarak yetkisiz

kullancya yardmc olabilecek bilgiler oturuma
giri baaryla tamamlanana kadar gizleniyor mu?
b) Bilgisayarda sadece yetkili personel tarafndan
eriilebileceini bildiren uyar mesaj gsteriliyor
mu?
c) Oturuma giri sadece tm girdi verilerinin
dorulanmasndan sonra m salanyor? Bir hata
durumu varsa sistem verinin hangi ksmnn doru
veya yanl olduu bilgisini gizliyor mu?
d) Sistem tarafndan izin verilen baarsz giri
denemelerine snrlama getirilmi mi? Oturuma
giri ilemi iin zaman snr var m?
e) Baarsz giri denemeleri kaydediliyor mu?
f) A stnden ifrenin ak olarak gnderilmemesi
salanyor mu?
Kullanc
Gerektiinde sistem kaytlarnn incelenmesi ve bir ilemin
tanmlamas ve
sorumlusunun bulunabilmesi asndan her bir kullancya
TBTAK UEKAE
dorulamas
kendine zg bir kullanc kimlii verilmi mi?
(idari + teknik)
Sistem yneticilerine ait kullanc kimlikleri birbirinden

farkl m?
Kurum bnyesinde kullanlan kullanc tanmlama ve
yetkilendirme mekanizmalar i gereklerine uygun mu?
7.5.3
11.5.3
Parola ynetim
Kurum bnyesinde kullanlan belirli bir parola ynetim
sistemi
sistemi var m? Parola ynetim sistemi aadaki zelliklere
(idari + teknik)
sahip mi?
a) Kullanclar bireysel parolalarn kullanmna
zorluyor mu?
b) Kullanclarn kendi parolalarn semelerine ve
deitirmelerine izin veriyor mu?
c) Kullancy kuvvetli parola semeye zorluyor mu?
d) Kullancy belli zamanlarda parolasn deitirmeye
zorluyor mu?
e) Sisteme ilk girite geici parolay deitirmeye
zorluyor mu?
f) Eski parolalar hatrlayarak tekrar kullanlmalarna
engel oluyor mu?
g) Parolalar a stnden gnderilirken ve saklanrken
kriptolama gibi yntemlerle korunuyor mu?
7.5.4
11.5.4
TBTAK UEKAE
Yardmc sistem
Sistem aralarnn sistem zelliklerini ve uygulama
49
programlarnn
programlarnn yetkilerini aarak ekstra ilemler yapmad
kullanlmas
kontrol ediliyor mu?
(idari + teknik)
7.5.5
11.5.5
Oturum zaman
Kullanlmayan oturumlar tanml bir sre sonunda
am
kapatlyor mu?
(idari + teknik)
7.5.6
11.5.6
Balant sresinin Kurum dndan veya halka ak alanlardan yksek riskli

snrlandrlmas
(idari + teknik)
uygulamalara eriim durumunda

a) Balant sresi kstlanm m?
b) Kullanc belli aralklarla kimliini tekrar
dorulamaya zorlanyor mu?
7.6
11.6
Uygulama Eriimi Denetimi
7.6.1
11.6.1
Bilgi eriimi
Eriim kontrol politikas uyarnca kullanclar ve destek
kstlamas
personeli iin bilgi sistemleri fonksiyonlar ve bilgilerine
(teknik)
eriim kstlanm m?
Kullanclarn bilgiyi yazma, okuma, silme veya altrma
haklar dzenleniyor mu?
7.6.2
50
11.6.2
Duyarl sistem
Uygulamann duyarll uygulama sahibi tarafndan
yaltm
aklanm ve belgelenmi mi?
TBTAK UEKAE
(idari + teknik)
Duyarl bilgilerin bulunduu sistemler dier sistemlerden

izole edilmi mi?
(Kendisine ait bilgisayarda altrlmas, ayr a blmesine
yerletirilmesi, a kaynaklarnn ayrlmas, sadece gerekli
uygulamalar ile iletiim kurulmas vb. zolasyon fiziksel
veya ilevsel olarak gerekletirilebilir.)
7.7
11.7
Mobil Bilgi lem ve Uzaktan alma
7.7.1
11.7.1
Mobil bilgi ilem
Dizst bilgisayar, cep bilgisayar, cep telefonu, akll
ve iletiim
kartlar vb. mobil bilgi ilem ve iletiim aralarnn
(idari + teknik)
kullanlmasndan kaynaklanan risklerden korunmak iin

benimsenmi bir politika ve uygulanmakta olan gvenlik
nlemleri var m?
Mobil bilgi ilem politika belgesi fiziksel koruma, eriim
denetimi, kriptografik denetimler, yedekleme ve virs
korumas konularn ieriyor mu?
Mobil bilgi ilem aralarnn halka ak yerler, toplant
odalar gibi korumasz ortamlarda kullanlmas srasnda
yetkisiz eriime ve bilginin aa kmasna kar
kriptografik tekniklerin kullanlmas gibi nlemler alnyor
mu?
TBTAK UEKAE
51
Hrszla kar nlemler alnyor mu? Hassas bilgi ieren

aralarn babo braklmamasna zen gsteriliyor mu?
7.7.2
11.7.2
Uzaktan alma
(idari + teknik)
Uzaktan alma faaliyetleri iin organizasyonun gvenlik

politikasna uygun plan ve prosedrler gelitirilmi mi?
Uzaktan almann yaplaca yerde ekipman ve bilginin
alnmasna, bilgiye yetkisiz eriim yaplmasna, kuruluun
dahili sistemlerine uzaktan yetkisiz eriime ve bilgi ilem
aralarnn ktye kullanlmasna engel olmak iin uygun
nlemler alnm m?
52
TBTAK UEKAE
BLG SSTEM TEDAR, GELTRLMES VE BAKIMI

Sonular
Standart
Blm
Bulgular
8.1
12.1
Bilgi Sistemlerinin Gvenlik Gereksinimleri
8.1.1
12.1.1
Gvenlik
Yeni sistemlerin gelitirilmesi veya mevcut sistemlerin
gereksinimlerinin
iyiletirilmesi ile ilgili ihtiyalar belirlenirken gvenlik
analizi ve
gereksinimleri gz nne alnyor mu?
Referans
Kontrol
Denetim sorusu
listesi
zelletirilmesi
(idari + teknik)
a) Ortaya konan gvenlik gereksinimleri bilgi

varlklarnn deerini ve bir gvenlik a
dolaysyla oluabilecek zarar yanstyor mu?
b) Sistem gelitirilirken iin bandan itibaren
gvenlik ihtiyalar gz nnde bulunduruluyor
mu?
c) Satn alnan rnler iin resmi bir test ve tedarik
sreci iletiliyor mu?
8.2
12.2
Uygulamalarn Doru almas
8.2.1
12.2.1
Girdi verilerinin
TBTAK UEKAE
Uygulama sistemlerinin girdilerinin doru ve uygun
53
Uyumluluk
kontrol
(teknik)
(ISO 27002:2005
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
8.2.2
12.2.2
Mesaj btnl
iin uygulamalara kontrol mekanizmalar yerletirilmi mi?

Uygulamalar, ilem srasnda oluacak hatalarn veri
btnln bozma olasln asgari dzeye indirecek
ekilde tasarlanm m?
Mesaj btnl gereksinimini belirlemek iin gvenlik
ihtiyalar deerlendirilmi ve gereken nlemler alnm
m?
Mesaj dorulama yntemi olarak kriptografik teknikler
kullanlyor mu?
kt verilerinin
Saklanan bilgilerin stnde gerekletirilen ilemlerin
kontrol
doru ve artlara uygun olduundan emin olmak iin
(teknik)
54
kontroller uygulanyor mu?
veya kastl olarak bozulup bozulmadn kontrol etmek
(ISO 27002:2005
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
12.2.4
tablolar (dviz kurlar, vergi oranlar gibi) girilerine
kontrol
(teknik)
8.2.4
hareketlerinin daimi veri (isim, adres, vb) ve parametre
Doru girilmi bilginin ilem srasnda hata sonucunda
(ISO 27002:2005
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
12.2.3
yaplyor?
ileyiin
(teknik)
8.2.3
olduuna dair kontrol yaplyor mu? Ne tr kontroller
uygulama ktlarnn denetimi yaplyor mu?
TBTAK UEKAE
(ISO 27002:2005
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
Bu erevede
a) kt verilerin makul deerler alp almad,
b) Tm verinin ilenip ilenmedii,
c) kt veriyi ileyen sisteme verinin btnln ve
doruluunu snamasn salayacak bilginin verilip
verilmedii
kontrol edilebilir.
8.3
12.3
Kriptografik Kontroller
8.3.1
12.3.1
Kriptografik
Bilginin korunmas iin kriptografik kontrollerin
kontrollerin
kullanlmasn dzenleyen politika gelitirilmi ve
kullanmna
uygulamaya alnm m?
ilikin politika
Politika oluturulurken
(idari + teknik)
TBTAK UEKAE
a) Bilginin korunmas ile ilgili genel prensipler ve

ynetimin konuya yaklam gz nnde
bulundurulmu mu?
b) Kullanlacak gvenlik seviyesine karar vermek iin
risk deerlendirmesi yaplm m?
c) Tanabilir ortamlar ve iletiim kanallarndaki
hassas bilginin korunmas iin kriptografik
kontrollerin uygulanmas dnlm m?
d) Anahtar ynetimi ile ilgili gvenlik hususlar
dzenlenmi mi? (anahtarn saklanmas, anahtarn
kaybolmas durumunda ifrelenmi bilginin
kurtarlmas vb)
e) Roller ve sorumluluklar tanmlanm m?
55
8.3.2
12.3.2
Kriptografik
Kurumun kriptografik teknikleri kullanmasna imkn
anahtar ynetimi
salamak iin anahtar ynetimi gerekletiriliyor mu?
(idari + teknik)
Anahtar ynetim sistemi tanml standartlar, prosedrler ve

gvenli yntemler esas alnarak oluturulmu mu?
Alglanan risk ve kullanm artlar uyarnca anahtarlarn
snrl bir sre boyunca kullanlabilmesi iin gereken
dzenlemeler yaplm m? c
8.4
12.4
Sistem Dosyalarnn Gvenlii
8.4.1
12.4.1
almakta olan
alan sistemlere yazlm yklenmesini -bozulma riskini
yazlmn
asgariye indirmek iin- dzenleyen prosedrler var m?
denetimi
(idari + teknik)
56
a) Yazlm ykleme, eitimli sistem yneticileri

tarafndan ve sadece ynetim yetkilendirmesi ile
yaplyor mu?
b) alan sistemde gelitirilmekte olan yazlm ve
derleyici bulunmamas salanm m?
c) letim sistemi ve uygulama yazlmlarnn iyice
test edilmeden yklenmemesine dikkat ediliyor
mu?
d) Konfigrasyon kontrol sistemi aracl ile eski ve
yeni yazlm srmleri, yazlmla ilgili
dokmantasyon ve konfigrasyon bilgileri ve
sistem dokmantasyonu saklanyor mu?
e) nc taraflardan alnm yazlmn kullanlmas,
gvenlii ve bakm ile ilgili riskler gz nnde
TBTAK UEKAE
bulunduruluyor mu?
8.4.2
12.4.2
Sistem test
Sistem testi iin kullanlan veri dikkatle oluturuluyor ve
verilerinin
korunuyor mu?
korunmas
(Kiisel bilgiler ve dier hassas bilgileri ieren aktif veri
(idari + teknik)
tabannn sistem testi iin kullanlmasndan kanlmal,

canl sistem bilgileri test srasnda kullanlacaksa iindeki
gizli bilgiler karlmaldr.)
8.4.3
12.4.3
Program kaynak
Program kaynak kodlarnn bulunduu ktphanelere
ktphanesine
eriim sk bir ekilde denetleniyor mu?
eriimin kontrol
(Bu nlem yetkilendirilmemi, kontrolsz deiikliklere
(idari + teknik)
engel olmak iindir).
8.5
12.5
Gelitirme ve Destek Srelerinde Gvenlik
8.5.1
12.5.1
Deiim kontrol
Bilgi sistemleri zerinde yaplacak deiiklikler resmi
prosedrleri
kontrol prosedrleri aracl ile denetleniyor mu?
(idari + teknik)
Yeni sistem ilaveleri ve byk deiiklikler resmi bir

belgeleme, tarif, test ve kalite kontrol sreci uyarnca
8.5.2
12.5.2
TBTAK UEKAE
letim sistemi
letim sisteminde yaplan deiikliklerin ardndan kritik
57
deiiklerinin
uygulamalarn gzden geirilip test edilmesini salayan
ardndan
sre veya prosedrler gelitirilmi mi?
uygulamalarn
Deiiklik gerekletirilmeden belli bir zaman nce ilgili
teknik olarak
yerlere haber verilerek test ve gzden geirmelerin
gzden
yaplmas salanyor mu?
geirilmesi.
(idari + teknik)
8.5.3
12.5.3
Yazlm
Yazlm paketleri zerinde deiiklik yaplmas gerekten
paketlerinde
gerekli olduu durumlar dnda engelleniyor mu? (Hazr
yaplacak
yazlmlar mmkn olduu srece deitirilmeden
deiikliklerin
kullanlmaldr.)
kstlanmas
Deiikliin kanlmaz olduu durumlarda
(idari + teknik)
58
a) Programn gml kontrollerine ve btnlne

ilikin srelerin tahrip edilmemesine,
b) reticiden izin almak gerekip gerekmediinin
dnlmesine,
c) Gerekli deiikliklerin retici tarafndan standart
yazlm gncellemeleri erevesinde
gerekletirilip gerekletirilemeyeceinin
soruturulmasna,
d) Deiiklik sonucunda yazlmn bakmnn kurulu
tarafndan srdrlmesi gerekirse bu durumun
kabul edilebilir olup olmadnn
deerlendirilmesine
TBTAK UEKAE
dikkat ediliyor mu?
8.5.4
12.5.4
Bilgi kaa
Bilgi kaana kar denetim var m?
(idari + teknik)
Kurum dna kan ortamlarn denetlenmesi, personel ve

sistem aktivitelerinin izlenmesi ve bilgisayar ortamndaki
kaynak kullanmnn izlenmesi gibi denetimler yaplyor
mu?
Sistem ve yazlm btnl ynnden akl dk olan
(ISO/IEC 15408 Ortak Kriterler standardna uygun)
rnlerin kullanlmas tercih edilmi mi?
zleme yapan kii veya kurumlarn bilgi edinmesine engel
olmak iin sistem ve iletiim karakteristii maskeleniyor
mu?
8.5.5
12.5.5
D kaynakl
D kaynakl yazlm gelitirme faaliyetleri izleniyor ve
yazlm gelitirme denetleniyor mu?

(idari + teknik)
8.6
12.6
TBTAK UEKAE
a) Lisans anlamas,
b) Fikri mlkiyet haklar,
c) Kalite gvencesi,
d) Denetleme iin eriim hakk,
e) Kurulum ncesi Trojan kod aramas iin test
hususlar dnlm m?
Teknik Aklk Ynetimi

59
8.6.1
12.6.1
Teknik
Kullanlan bilgi sistemlerinin teknik aklklar ile ilgili
aklklarn
bilgiler zamannda toplanyor, bunlara bal olarak
denetimi
kurumun nasl etkilenecei deerlendiriliyor ve riski
(idari + teknik)
(ISO 27002:2005
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
azaltmak iin uygun tedbirler alnyor mu?

a) Varlk envanterinin gncel ve eksiksiz olarak
tutulmasna zen gsteriliyor mu?
b) Teknik aklk ynetimi ile ilgili rol ve
sorumluluklar belirlenmi mi?
(Yazlm irketleri yama karma konusunda zaman zaman
byk bask altnda kalmakta ve kardklar yamalar
problemlere zm getiremeyebilmektedir.
Bu konuda Deiiklik Ynetimi bal altndaki
prosedrler gz nnde bulundurulabilir)
60
TBTAK UEKAE
BLG GVENL OLAYLARI YNETM

Sonular
Standart
Blm
Bulgular
9.1
13.1
Bilgi Gvenlii Olaylarnn ve Zafiyetlerin Rapor Edilmesi
9.1.1
13.1.1
Bilgi gvenlii
Gvenlik olaylarn mmkn olduunca hzl bir ekilde
olaylarnn rapor
raporlamak iin resmi bir prosedr var m?
Referans
Kontrol
Denetim sorusu
listesi
edilmesi
(idari)
9.1.2
13.1.2
TBTAK UEKAE
a) Raporlama prosedr ile birlikte olaya yant

vermek iin yaplacaklar belirten bir prosedr var
m?
b) Raporlama prosedr ve bavuru noktas tm
personel tarafndan biliniyor mu?
c) Bavuru noktasndaki personel her zaman
ulalabilir durumda ve olaya mdahale edebilecek
yetkinlikte mi?
d) Tm personel ve nc parti alanlarna
karlatklar bilgi gvenlii olaylarn hzla
bildirme konusunda ykml olduklar aklanm
m?
Bilgi gvenlii
Kurum alanlarnn sistem ve servislerdeki gvenlik
zafiyetlerinin
zafiyetlerini ya da bunlar kullanan tehditleri bildirmesi

61
Uyumluluk
rapor edilmesi
iin resmi bir raporlama prosedr var m?
(idari)
Raporlama prosedr kolayca kullanlabilecek ekilde

hazrlanm m?
(Personel ve nc taraf alanlar zafiyetlerin varln
kantlamak iin test ve giriimler yapmaktan kanmaldr.
Aksi halde sistemde hasar oluabilecei gibi testi yapan
personel de sulu durumuna debilir).
9.2
13.2
Bilgi Gvenlii Olaylarnn Ynetimi ve yiletirmeler
9.2.1
13.2.1
Sorumluluklar ve
Bilgi gvenlii olaylarna hzl, etkili ve dzenli bir
prosedrler
biimde karlk verebilmek iin ynetime ait sorumluluk
(idari)
(ISO 27002:2005
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
62
belirlenmi, prosedrler oluturulmu mu?

Bilgi gvenlii olaylarn ortaya karmak iin sistemler,
sistemlerin aklklar ve retilen alarmlar izleniyor mu?
a) Aadaki farkl olay tiplerini ele almak zere
prosedrler gelitirilmi mi?
o Bilgi sisteminin kmesi
o Kt niyetli yazlm
o Servis d brakma saldrs
o Eksik veya hatal veri girii
o Gizlilik ve btnl bozan ihlaller
o Bilgi sisteminin ktye kullanlmas
b) Denetim sonular ve deliller toplanyor ve gvenli
bir biimde saklanyor mu?
c) A kapatmak ve hatalar dzeltmek iin gereken
TBTAK UEKAE
almalar yaplrken
o Canl sisteme sadece yetkili personelin
erimesine,
o Acil dzeltme almalarnn dokmante
edilmesine,
o almalarn dzenli olarak ynetime
bildirilmesi ve ynetim tarafndan gzden
geirilmesine ve
o Bilgi sistemlerinin btnlnn asgari
gecikme ile salanmasna
dikkat ediliyor mu?
9.2.2
13.2.2
Bilgi gvenlii
Bilgi gvenlii olaylarn tehis eden, bunlarn
olaylarndan
snflandrlmasn, saylmasn ve maliyetlerinin
deneyim edinme
hesaplanmasn salayan bir mekanizma var m?
(idari + teknik)
Gemi bilgi gvenlii olaylarndan salanan tecrbe
(ISO 27002:2005
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
9.2.3
13.2.3
Delil toplama
(idari + teknik)
(ISO 27002:2005
gvenliine giri
bal altnda umumi
TBTAK UEKAE
tekrarlanan veya byk hasar meydana getiren olaylarn

tespit edilmesinde kullanlyor mu?
Bilgi gvenlii olaynn ardndan ahs veya kurulularla

ilgili yasal ilem yaplyor mu?
Olayla ilgili deliller toplanyor, muhafaza ediliyor ve ilgili
yarg organna sunuluyor mu?
63
uygulamalar arasnda
gsterilmitir)
64
TBTAK UEKAE
SREKLL YNETM
Sonular
Standart
Blm
Bulgular
10.1
14.1
Sreklilii Ynetiminin Bilgi Gvenlii Boyutu
10.1.1
14.1.1
sreklilii
Kurum bnyesinde i sreklilii iin gelitirilmi bir sre
ynetim srecinin
mevcut mu?
bilgi gvenliini
Bu sre bilgi gvenlii ihtiyalarna yer veriyor mu?
Referans
Kontrol
Denetim sorusu
listesi
iermesi
(idari)
(ISO 27002:2005
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
10.1.2
14.1.2
TBTAK UEKAE
sreklilii ve
Sre i sreklilii ile ilgili olarak aada belirtilen

konulara deiniyor mu?
a) Kuruluun yz yze olduu riskler
b) Kritik i sreleri ile ilgili varlklar
c) Bilgi gvenlii olaylar yznden
gerekleebilecek kesintilerin etkisi
d) lave nleyici tedbirlerin belirlenmesi ve
uygulanmas
e) Bilgi gvenliini de ieren i sreklilii planlarnn
belgelenmesi
srelerinde kesinti yaratan veya yaratabilecek olaylar,

65
Uyumluluk
risk analizi
(idari)
(ISO 27002:2005
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
kesintilerin yarataca etki, gerekleme olaslklar ve

bilgi gvenlii asndan sonular ile birlikte belirlenmi
mi?
Bu tr kesintilerin etkisini belirlemek iin risk analizi
yaplm m?
Risk analizi, bilgi gvenlii ile ilgili sonular iermekle
birlikte sadece bilgi ilem deil tm i srelerini gz
nnde bulundurarak ve tm srelerin sahipleri ile birlikte
gerekletirilmi mi?
Risk analizinin sonular uyarnca i sreklilii ile ilgili
geni kapsaml strateji belirlenmi mi?
10.1.3
14.1.3
Bilgi gvenliini
Kritik srelerin kesintiye uramasnn ardndan kurum
ieren i
tarafndan belirlenmi zaman aral iinde i srecinin
sreklilii
onarlmas ve belli bir seviyedeki bilgiye ulalabilmesi
planlarnn
iin planlar gelitirilmi mi?
gelitirilmesi ve
Plan, sorumluluklarn belirlenmesi ve anlalmas, kabul
uygulanmas
edilebilir hasarn belirlenmesi, onarm prosedrnn
(ISO 27002:2005
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
66
belirlenmesi, prosedrn dzenli aralklarla test edilmesi

ve belgelenmesine deiniyor mu?
TBTAK UEKAE
(idari)
10.1.4
14.1.4
sreklilii
Tm planlarn tutarl olmas, bilgi gvenlii ihtiyalarnn
planlama
tutarl olarak salanmas, test ve bakmla ilgili nceliklerin
erevesi
belirlenmesi iin i sreklilii planlar tek bir ereve
(idari)
(ISO 27002:2005
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
uyarnca hazrlanyor ve gncelleniyor mu?

sreklilii plan
a) Bilgi sistemleri eriilebilirlii ile ilgili yaklamn,
b) Kurtarma plan ve plann harekete geirilmesi iin
gereken artlar,
c) Plann blmlerini yerine getirmekle sorumlu
kiileri
d) Plann sahibini
aka belirtiyor mu?
Yeni ihtiyalar ortaya ktnda prosedrler gerektii gibi
gncelleniyor mu?
Prosedrlere kuruluun deiiklik ynetimi program
ierisinde yer verilerek i sreklilii ynetiminin her
zaman uygun ekilde ele alnmas salanyor mu?
10.1.5
14.1.5
TBTAK UEKAE
sreklilii
sreklilii planlar gncellik ve etkinliklerinin snanmas
planlarnn test
asndan dzenli olarak test ediliyor mu?
edilmesi, bakm
Testler aracl ile onarm ekibinin yeleri ve dier ilgili

67
ve yeniden
personelin
deerlendirilmesi
a) Planlardan ve i sreklilii ile ilgili

sorumluluklarndan haberdar olduu ve
b) Plan devreye sokulduu zaman stlenecekleri roln
ne olduunu bilip bilmedikleri
snanyor mu?
(idari + teknik)
(ISO 27002:2005
gvenliine giri
bal altnda umumi
uygulamalar arasnda
gsterilmitir)
68
TBTAK UEKAE
UYUM
Sonular
Standart
Blm
Bulgular
11.1
15.1
Yasal Gereklere Uyumluluk
11.1.1
15.1.1
lgili yasalarn
Her bir bilgi sistemi iin ilgili btn yasal, dzenleyici ve
belirlenmesi
szlemeye bal gereksinimler ve gereksinimleri
Referans
Kontrol
Denetim sorusu
listesi
(idari)
salamak iin kullanlacak kurumsal yaklam ak ekilde

tanmlanm ve belgelenmi mi?
Bu gereksinimleri karlamak amacyla kontroller ve
bireysel sorumluluklar tanmlanm ve belgelenmi mi?
11.1.2
15.1.2
IPR (Fikri
Kullanl1makta olan yazlm ve dier her trl materyal ile
mlkiyet haklar)
ilgili olarak yasal kstlamalara uyulmas asndan kopya
(idari + teknik)
hakk, dzenleme hakk, ticari marka gibi haklarn
(ISO 27002:2005
gvenliine giri
bal altnda kurumun
kanuni ykmllkleri
TBTAK UEKAE
kullanlmasn gvence altna alan prosedrler yrrle

sokulmu mu?
69
Uyumluluk
asndan nemli
olduu belirtilmektedir)
Bu prosedrler uygulanyor mu?

Fikri mlkiyet olabilecek materyalin korunmas iin
aadaki hususlara zen gsteriliyor mu?
a) Yazlm vb. dier rnlerin yasal olarak
kullanlmasn ngren Fikri Mlkiyet Haklarna
Uyum politikasnn yaynlanmas.
b) Kullanm haklarnn inenmemesi iin yazlmn
sadece gvenilir kaynaklardan salanmas.
c) Mlkiyet haklarn ispatlamak iin delil olarak
kullanlabilecek lisans szlemesi, orijinal disk,
kullanc rehberi vb. materyalin muhafaza edilmesi.
d) Azami kullanc saysnn ihlal edilmemesini
salamak iin tedbirler alnmas.
e) Yazlm ve dier rnler iin sadece lisansl
versiyonlarn kullanldnn kontrollerle
denetlenmesi.
f) Film, mzik, kitap, makale ve dier materyalin telif
hakk kanununun izin verdii artlar dna karak
format dnmne tabii tutulmamas, ksmen
veya tamamen kopyalanmamas ve oaltlmamas.
11.1.3
15.1.3
Kurumsal
Organizasyonun nemli kaytlar kanun, kontrat, anlama
kaytlarn
ve iin doasndan kaynaklanan gereksinimler uyarnca
korunmas
kaybolmaya ve bozulmaya kar korunuyor mu?
(idari + teknik)
Kaytlarn saklanmas iin kullanlan ortamn zaman iinde
(ISO 27002:2005
70
bozulabilecei gz nnde bulunduruluyor mu? b
TBTAK UEKAE
gvenliine giri
bal altnda kurumun
kanuni ykmllkleri
asndan nemli
Veri saklama sistemi seilirken belli bir sre sonra

teknoloji deiiklii dolaysyla kaytlarn okunamaz hale
gelmemesi iin gerekli tedbirler alnm m? Donanmsal
ve yazlmsal format uyumunu salamak iin gerekli
program ve tehizat kaytlarla birlikte saklanyor mu?
11.1.4
15.1.4
Verinin
Yasalar veya mevcut kontratlar uyarnca veriyi ve kiisel
korunmas ve
bilgilerin gizliliini korumak iin kurumsal politika ve
kiisel bilginin
kontroller oluturulmu mu?
mahremiyeti
Kiisel bilginin ilenmesi ile ilgisi olan tm personel
(idari)
politikadan haberdar edilmi mi?
(ISO 27002:2005
gvenliine giri
bal altnda kurumun
kanuni ykmllkleri
asndan nemli
11.1.5.
15.1.5
Bilgi ilem
Kullanclarn bilgi ilem tesislerini ynetim tarafndan
birimlerinin
yetkilendirilmemi iler iin kullanmasna engel olunuyor
yanl
mu?
kullanmnn
nlenmesi
TBTAK UEKAE
a) Tm kullanclara bilgi ilem tesisinin kullanm ile

ilgili yetkililerin ne olduu yazl olarak bildirilmi
ve bu belgeler kullanclara imzalatldktan sonra
kurum tarafndan muhafaza altna alnm m?
71
(idari + teknik)
11.1.6
15.1.6
b) Tesislerin ve elektronik bilgi ilem ekipmannn

yetkisiz kullanma engel olmak iin gzetim
altnda tutulduu kullanclara bildirilmi mi?
c) Yetkisiz eriim tespit edildii takdirde bu durum
disiplin srecinin veya yasal srecin devreye
sokulmas iin ilgili kullancnn yneticisine
bildiriliyor mu?
d) Oturum aldnda bilgisayar ekrannda girilen
sistemin kuruma ait olduunu ve yetkisiz girie
izin verilmediini belirten uyar mesaj kyor
mu?
Kriptografik
Kriptografik kontroller sektrel ya da ulusal anlamalara
kontrollerin
ve kanunlara uygun olarak dzenlenmi mi?
dzenlenmesi
Aada belirtilen ilemler srasnda yasa ve anlamalara
(idari + teknik)
uyum gz nnde bulunduruluyor mu?

a) Kriptografik ilemler yapan bilgisayar yazlm ve
donanmnn ihracat ve ithalat ile ilgili kstlamalar
b) Kriptografik ilemlerin eklenmesine hazr olarak
tasarlanm bilgisayar yazlm ve donanmnn
ihracat ve ithalat ile ilgili kstlamalar,
c) Kriptolama ile ilgili kstlamalar,
d) Kriptolu bilgiye ulusal otoriteler tarafndan
eriilmek istenmesi durumunda kullanlacak
yntemler.
11.2
72
15.2
Gvenlik Politikas ile Uyum ve Teknik Uyum
TBTAK UEKAE
11.2.1
15.2.1
Gvenlik
Yneticiler kendi sorumluluk alanlarnda gvenlik
politikalarna ve
politikalarna ve standartlara uyum asndan- gvenlik
standartlara uyum
prosedrlerinin doru olarak uygulanp uygulanmadn
(idari + teknik)
kontrol ediyor mu?

Kontrol ya da gzden geirme sonucunda bir
uyumsuzluun bulunmas halinde ynetici
a) Uyumsuzluun nedenini ve tekrar etmemesi iin
alnmas gereken tedbirleri belirliyor mu?
b) Tedbirin uygulanmasn salyor ve sonular
gzden geiriyor mu?
c) Gzden geirme sonular ve tedbirler kayt altna
alnyor mu?
11.2.2
15.2.2
Teknik uyum
Bilgi sistemleri, gvenlik uygulama standartlar ile
kontrol
uyumun salanmas iin dzenli olarak kontrol ediliyor
(idari + teknik)
mu?
Teknik uyumluluk testleri sadece yetkili personel eliinde
yaplyor mu?
Szma (Penetrasyon) testleri ve aklk analizleri
yaplyorsa bu esnada sistem gvenliinin sekteye
uramamas iin gerekli tedbirler alnyor mu?
TBTAK UEKAE
73
11.3
15.3
Bilgi Sistemi Denetimi le lgili Hususlar
11.3.1
15.3.1
Bilgi sistemleri
Denetleme gereksinim ve aktiviteleri dolaysyla
denetim
almakta olan sistemler stnde kontroller yaplrken, i
kontrolleri
srecinin asgari dzeyde zarar grmesi iin dikkatle
(idari + teknik)
planlama yapld m?
Denetim gereksinimleri ve kapsam konusunda ynetim ile
anlamaya varld m?
Yazlm ve veri ile ilgili kontroller salt okuma eklinde
11.3.2
15.3.2
Denetim
Yazlm ve veri dosyalar gibi sistem denetleme gerelerine
aralarnn
eriim, herhangi bir yanl veya kt niyetli kullanma
korunmas
kar korumaya alnm m?
(idari + teknik)
Sistem denetleme gereleri -ilave koruma

salanmadysa- gelitirme sisteminden ve almakta
olan sistemden ayrlm m?
74
TBTAK UEKAE

UEKAE BGYS0013-ISO IEC 27001 Denetim Listesi PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

UEKAE BGYS0013-ISO IEC 27001 Denetim Listesi PDF

Uploaded by

Copyright:

Available Formats

ULUSAL ELEKTRONK VE KRPTOLOJ

Dokman Kodu: BGYS-009

TS ISO/IEC 27001 DENETM

Hazrlayan: Fikret Ottekin

P.K. 74, Gebze, 41470 Kocaeli, TRKYE

TS ISO /IEC 27001 Denetim Lis tes i

gelitirilmesine nclk eden uluslararas bilim, teknoloji ve retim merkezi

gelitirilmesi iin Enstit'nn akredite test ortam ve laboratuarlarnda temel ve

Bu dokman, BGYS (Bilgi Gvenlii Ynetim Sistemi) kurmak isteyen kurumlar

Bu dokmanda anlatlanlar tamamen tavsiye niteliindedir.

TS ISO /IEC 27001 Denetim Lis tes i

Bu dokmann oluturulmasnda emei geen A Gvenlii personeline ve dokman gzden

TS ISO /IEC 27001 Denetim Lis tes i

1.1 Ama ve Kapsam .................................................................................................................5

TS ISO /IEC 27001 Denetim Lis tes i

: Bilgi Gvenlii Ynetim Sistemi

: Ulusal Elektronik ve Kriptoloji Aratrma Enstits

TS ISO /IEC 27001 Denetim Lis tes i

2. TS ISO/IEC 27001 DENETM LSTES

Bilgi Gvenlii Politikas

st ynetim tarafndan onaylanm bilgi gvenlii

politikas belgesi var m?

Bu belge yaynlanm ve tm alanlara ulatrlmas

Bilgi gvenlii politikas st ynetimin bilgi gvenlii

Politikann sahibi, tanmlanm bir sre eliinde belgeyi

gzden geiriyor mu?

Gzden geirme sreci, nemli deiikliklerin olmas

durumunda gzden geirmenin olmasn salayacak

TS ISO /IEC 27001 Denetim Lis tes i

aklklar ya da kurumsal, teknik altyapda olan

Ynetimin gzden geirmesi ile ilgili kaytlar saklanyor

TS ISO /IEC 27001 Denetim Lis tes i

BLG GVENL ORGANZASYONU

Ynetim, kurum iinde uygulanacak gvenlik tedbirlerini

aktif olarak destekliyor mu? Destek, bilgi gvenlilii ile

ilgili hedeflerin belirlenmesi, kurumun taahhtte

Bilgi gvenlii almalarnn koordinasyonu, kuruluun

farkl blmlerinden gelen yetkililer tarafndan

bulunmas ve sorumlularn atanmas ile verilebilir.

Kiisel varlklarn korunmas ve belirli gvenlik

srelerinin yrtlmesi iin sorumluluklar aka

tanmlanm m? (Bilgi gvenlii sorumluluklar

tanmlanm m? tanmlarna bilgi gvenlii

TS ISO /IEC 27001 Denetim Lis tes i

Yazlm, Donanm vb. yeni bilgi ilem aralar sisteme

eklenirken kullanm amac ve ekli gz nnde

bulundurularak ynetim onayndan geiriliyor mu?

Yeni aralar tm gvenlik politikalar ile uyumlu mu ve

tm gvenlik ihtiyalarna cevap veriyor mu?

Kuruluun bilgi varlklarn korumak iin yapmak zorunda

olduu gizlilik anlamalar ile ilgili ihtiyalar ak olarak

tanmlanm durumda mdr ve gzden geirilmekte midir?

Gerektiinde emniyet, itfaiye vb. kurulularla kimin ne

zaman irtibat kuracan ve olayn nasl rapor edileceini

tarif eden bir prosedr mevcut mu?

Kurulu gvenlik konusunda uzmanlam forum,

topluluklar ve profesyonel derneklerle irtibat halinde mi?

TS ISO /IEC 27001 Denetim Lis tes i

Bilgi gvenliinin Organizasyon ierisindeki uygulama ile gvenlik politikas

esaslarnn ayn olduu, gvenlik politikasnn etkin ve

uygulanabilir olduu dzenli bir ekilde bamsz bir

kurum veya kurulu tarafndan veya kurum iinden

bamsz bir deneti araclyla denetleniyor mu?