Yönetim sistemi denetimlerinde sıkça karşılaşılan bir durum olan hedef yönetimi ile performans yönetimi süreçlerinin birbiriyle karıştırılması neredeyse insana doğrusunu unutturacak cinsten. Yıllardır gerek bilgi güvenliği…
ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardının uygulanma oranı son yıllarda hızla artış göstermektedir. Ülke yönetimlerinin bilgi güvenliği/siber güvenlik kavramlarının önemini anlaması, Kişisel Veri Koruma…
Her kuruluşun kendince stratejisi, hedefi ve amaçları farklı da olsa nihayetinde ortak amaçlar kârlılık ve sürdürülebilirliktir. Bu hususların her biri farklı risklere maruz kalabiliyor. Kuruluşların…
Genç yaşıma rağmen çok sayıda denetim faaliyeti gerçekleştirme imkânı buldum. Bilgi Güvenliği, İş Sürekliliği, IT servis yönetimi gibi alanlarda gerçekleştirdiğim denetimlerde çok az sayıda işletmenin…
Olası yaşanabilecek bir felaket sonrası veri yedeklerinden yada replikasyondan dönüş herkesin birincil planıdır. Ancak burada “Zaman” faktörü ön plana çıkmaktadır. Yedeğin, replikasyonun ne kadar sürede alındığı ne kadar zamanda geri dönülebileceği büyük önem taşır. Bu nedenle RTO, RPO, ve MTPD süreçleri kritik olarak değerlendirilmesi gereken süreçlerdir.
İşletmelerin neredeyse büyük bir kısmı sadece verilerini yedekleyerek kendilerini güvende hissetmektedir. Ancak durum tam olarak böyle değildir. Geri dönüşü yapılabileceğinden emin olunmayan, Gizlilik, Bütünlük ve Erişilebilirlik unsurlarının sağlanamadığı bir yedek büyük risk taşır. Dolayısıyla alınan veri yedeklerinin kuruluşun gereksinimleri doğrultusunda alınıp, korunması, saklanması ve belirli sıklıkta geri dönüş testlerinin yapılması bu riski minimum seviyeye indirecektir. Referans aldığımız ISO 27001, ISO 27002 ve ISO 22301 standartları yedekleme ve yedekten geri dönüş testlerinin nasıl yapılması gerektiği konusunda bize yol göstermektedir.
ISO 27001 Bilgi güvenliği yönetim sistemi kapsamında bilgi varlıkları üzerindeki risklerin değerlendirilmesi gerekmektedir. Ancak daha önce risk değerlendirmesi yapmamış biri için tehdit ve zayıflıkların belirlenmesi oldukça zor olabilir.
Bu durumda ISO 27005 standardına göz atmayı öneriyoruz. ISO 27005 standardı bize tehdit ve zayıflıkları katalog halinde sunmaktadır. ISO 27005 Standardının Ek-C ve Ek-D kataloglarının derlenmiş haline aşağıdaki linklerden ulaşabilirsiniz.
