Teşekkür ederim yorumunuz için Zühtü Bey Evet doğru tespitlerde bulunmuşsunuz, ancak bu belgelendirmeyi gerçekten bilgi güvenliğini kurmak isteyen firma sayısı oldukça az. Genellikle firmaların ticari hedeflerine ulaşmasında bir araç olarak kullanılıyor. Kaldı ki devlet diyor ki benim ihalelerime girebilmen için bu belgeyi alman gerekiyor. Bunu duyan firmalarda özensiz bir hazırlanma ile bu belgeye sahip oluyorlar. Ben şimdiye kadar verdiğim tüm firmalarda gerçekten bir bilgi güvenliği kurma hevesi ile işe başlasam da gün sonunda firmadan daha kısa sürede nasıl alırız para versek olmaz mı taleplerini duyuyorum.
İşte tam da burada bu özensiz yapılan işlemleri düzenli hale getirilmesi ve gerçekten uygulanmasına az da olsa katkı sağlamasını istiyorum. Sosyal sorumluluk projesi olarak bile düşündüm ancak mali durumum ne yazı kki müsaade etmedi. Umarım anlatabilmişimdir. Özgür ÇİFTCİ | Bilgi Güvenliği Yöneticisi Netinternet Bilişim Teknolojileri A.Ş. Pamukkale Üniversitesi Teknoloji Geliştirme Bölgesi Telefon-Fax : 0 850 885 0 885 GSM : 533 894 11 96 Kimden: zühtü kayalı Gönderilme: 2 Ekim 2017 Pazartesi 16:08 Kime: liste@netsectr.org Konu: Re: [NetsecTR] Ynt: Ynt: YNT: ISO 27001 Danışmanın doküman hazırlamak, kayıt oluşturmak gibi sorumlulukları yoktur. Ancak ülkemiz şartlarında firmaların danışmanlardan bu yönde talepleri öncelikli olmaktadır. Ancak bir risk analizini yapmak, risklerin belirlenmesinde yol göstermek, varlık sınıflandırma süreçlerini belirlemek veya politika / prosedür / süreçlerin çerçevelerini belirlemek bu tür uygulamaların harcı değildir. Bir BGYS sistemini kurmanın süresi 3-4 ay olmak gibi bir zorunluluğu yoktur. BGYS kurmayı 1-2 aya çekmek gibi bir durum da sağlıklı değildir. BGYS'nin kuruluş süreci ile dokümantasyon sürecini eşlenik görmek de bizi yanlışa götürebilir. BGYS'nin kuruluşu farklı sürelerde gerçekleşebilir. Bunu sıkılaştırma, yazılımdan çok kurumun yönetiminin bakışı, yaklaşımı, çalışanların katılımcılığı belirleyici olacaktır. Yazılımı asli bir unsurdan daha çok kolaylaştırıcı destek unsuru olarak olarak ele almak doğrudur. selamlar Saygılarımla, Zühtü Kayalı 0507.378 78 80 2 Ekim 2017 14:01 tarihinde Özgür ÇİFTCİ <ozgur.cif...@ni.net.tr> yazdı: Evet doğrudur. Temsilci yine aynı mantık ile denetlenecek ancak bir panel ile daha rahat ve kolay denetlenebilecek. Bende 27001 denetçisi olarak firmalarda kontrolleri soru şeklinde uygularken firmalardaki temsilciler klasör içerisinde doküman aramak yada doküman içerisinde paragraf aramak gibi birçok durumla karşılaşıyor. Hangi kontrolleri uyguladıklarını tarif ve tespit etmesi de cabası. İşleri daha farklı yönetilebilir bir yapıya dönüştürmeyi hedefliyorum. Aklımdaki tek soru işareti; buna değer mi? Özgür ÇİFTCİ | Bilgi Güvenliği Yöneticisi Netinternet Bilişim Teknolojileri A.Ş. Pamukkale Üniversitesi Teknoloji Geliştirme Bölgesi Telefon-Fax : 0 850 885 0 885 GSM : 533 894 11 96 Kimden: Talat Özoral Gönderilme: 2 Ekim 2017 Pazartesi 13:46 Kime: liste@netsectr.org; ozgur.cif...@ni.net.tr Konu: Re: [NetsecTR] Ynt: YNT: ISO 27001 Merhaba Özgür Bey, Öncelikle kendimi tanıtayım izninizle; Firmamızda ISO 27001/9001/20000/22301 yönetim sistemleri yöneticisi olarak çalışıyorum ve aynı zamanda bu standartlarda baş denetçiyim. Bahsetmiş olduğunuz yazılım, naçizane fikrim olarak, evet belki denetimlerde denetlenenin elini kuvvetlendirecektir ve diğer zamanlarda da doküman yönetimi ve güncellemeleri konusunda çok kolaylıklar sağlayacaktır, ancak her halükarda denetim sırasında firmanın denetçi karşısına çıkaracağı bir Yönetim Sistemleri Temsilcisi gerekmektedir. Standartlar özellikle bu görev için atanmış bir kişi olmasını istiyor. Bu kişi denetimler sırasında hem cevap veren konumunda yer alır, hem de yönlendirmeleri ile denetçilere rehber rolünü üstlenir. Saygılarımla, Talat Özoral 2 Ekim 2017 13:28 tarihinde Özgür ÇİFTCİ <ozgur.cif...@ni.net.tr> yazdı: Teşekkür ederim ilginiz için Gizem Hanım Piyasada buna benzer yazılımların olduğunu görmüştüm. Hem paket yazılım olarak hem de sas olarak. Ancak benim düşüncem farklı bir kurgu ile bu işi gerçekleştirmek. Şuan %30’luk bir kısmını tamamladım ancak böyle bir proje tamamlandığında kullanılıp kullanılmayacağı ile ilgili birkaç yorum. Eğer isterseniz özel olarak yetki verebilirim size. Panel içerisine göz atabilirsiniz. Özgür ÇİFTCİ | Bilgi Güvenliği Yöneticisi Netinternet Bilişim Teknolojileri A.Ş. Pamukkale Üniversitesi Teknoloji Geliştirme Bölgesi Telefon-Fax : 0 850 885 0 885 GSM : 533 894 11 96 Kimden: Gizem ADLIĞ Gönderilme: 2 Ekim 2017 Pazartesi 12:51 Kime: liste@netsectr.org Konu: [NetsecTR] YNT: ISO 27001 Özgür Bey merhabalar, Bahsetmiş olduğunuz süreçleri az çok karşılayan bazı yazılımlarla denetimlerde karşılaşmış olduğumu belirtmek isterim. Süreçle alakalı size nasıl yardımcı olabilirim? Kimden: Liste [mailto:liste-boun...@netsectr.org] Yerine Özgür ÇIFTCI Tarih: 2 Ekim 2017 Pazartesi 11:14 Kime: liste@netsectr.org Konu: [NetsecTR] ISO 27001 Merhaba ISO 27001 tüm dokümantasyon ve iş sürekliliği süreçlerini Web üzerinden Sas olarak otomatize etmeyi düşünüyorum. Yani doküman hazırlamak, varlık ve risk analizlerinin panel üzerinden tıklama yöntemi ile kolaylaştırmayı hedefliyorum. Bir firma danışman ile ortalama 3-4 ay arasında tamamladığı süreçleri (Uygulama hariç) panel ile 1-2 ay gibi bir sürede tamamlanmasını hedefliyorum. Firmada eğer bir kalite yöneticisi olduğunu varsaydığımızda danışman firmalara gerek kalmadan belgesini kolaylıkla almasını sağlayacağım. Mevcut belgeye sahip olan firmalar ise süreç ve dokümanlarını sisteme aktararak denetlemelerde sorun yaşamadan geçeceklerini düşünüyorum. Tabi sadece 27001 yönetimi ile kalmayacak. Bir sonraki seviye 22301, 20000-1, 9001 gibi belgeler ile sistemi çoğaltacağım. Bu kapsamda değeri görüşlerinize ve yorumlarınıza ihtiyaç duyuyorum. Şimdiden teşekkür ederim. Özgür ÇİFTCİ | Bilgi Güvenliği Yöneticisi Netinternet Bilişim Teknolojileri A.Ş. Pamukkale Üniversitesi Teknoloji Geliştirme Bölgesi Telefon-Fax : 0 850 885 0 885 GSM : 533 894 11 96 ------------------------------------------------- Normshield Free Threat Intelligence Services https://services.normshield.com ------------------------------------------------- ------------------------------------------------- Normshield Free Threat Intelligence Services https://services.normshield.com -------------------------------------------------
------------------------------------------------- Normshield Free Threat Intelligence Services https://services.normshield.com -------------------------------------------------