Doğrudan yukarı raporlayabilir, ya da CIO’ya bağlı olabilir, önemli olan birimin bağımsızlığı. Yeri geldiğinde bir güvenlik ihlaline neden olan CEO’yu dahi ihbar edebilmelidir. Işverenin elektronik gözetim hakkı çerçevesinde ve elbette yasalara bağlı olarak tüm şüpheli girişimleri tespit edebilmelidir. Bilgi güvenliği ve bu kapsamda yapılan BT denetimleri bu organizasyonun altında konumlanmış ise, kendisi CTO’ya bağlı dahi olsa denetimi bağımsız olarak yapabilmeli, raporlayabilmelidir.
ISO 27001:2005 versiyonunu hatırlayanlar bilir: “üst yönetim kendi içinden bir üyeyi Bilgi Güvenliği Yönetim Temsilcisi olarak atar.” ISO 27001: 2013 versiyonu: 5.3 Organizational roles, responsibilities and authorities Top management shall ensure that the responsibilities and authorities for roles relevant to information security are assigned and communicated. Top management shall assign the responsibility and authority for: a) ensuring that the information security management system conforms to the requirements of this International Standard; and b) reporting on the performance of the information security management system to top management. NOTE Top management may also assign responsibilities and authorities for reporting performance of the information security management system within the organization. Bilginize, Boyner Grup Innovation Lab | Information Security Manager Eski Büyükdere Caddesi Oycan Plaza, 34398 Istanbul/Maslak www.boynergrup.com<http://www.boynergrup.com/> From: Liste [mailto:[email protected]] On Behalf Of Serhat Erkan Sent: 25 May, 2018 10:42 To: [email protected] Subject: Re: [NetsecTR] Bilgi Güvenliği birimi hesabı nereye vermeli? CIO mu CEO mu? Merhaba, Bilgi Güvenliği ekibi, Teftiş kurulu ve İç Denetim ekibi değildir (bence). Kurumun bilgilerinin korunması için politikaların belirlenmesine ve 1.seviye kontrolüne yardımcı olur (veya olmalıdır). Denetlemek bu ekibin işi değildir veya olmamalıdır. Denetim ekipleri farklı olmalıdır ve diğer denetim ekipleri gibi CEO'ya veya GM'e veya daha da ütopik olabilir ama YK'na hesap vermelidir. Bilgi Güvenliği farkındalığımız -bence- bir çok ülkeden iyide olsa, temelde kaynak yetersizliğinden dolayı özellikle Finans Sektörü haricindeki sektörlerde henüz Güvenlik Operasyonu ekiplerinden bile ayrışamamışlardır ki direkt veya dolaylı olarak CIO veya CTO'ya hesap verirler. Saygılar, Serhat 2018-05-21 11:34 GMT+03:00 Tevfik Kızıl <[email protected]<mailto:[email protected]>>: Merhaba, Uzun zamandır merak ettiğim bir konu. Belki TR'için henüz erken diyenleriniz olabilir. Ama bu konuda yapılmış araştırmalar mevcut. Sizin de firkrinizi almak istedim. Sizce Bilgi Güvenliği birimi nasıl konumlandırılmalı? Nereye hesap vermeli? IT dışında düşünülebilinir mi? Sizin de görüşlerinizi almak istedim. Aşağıdaki linklerde genel olarak CISO'ların direk olarak CEO'ya hesap vermesi görüşü bulunuyor. Tabi bunun bazı sıkıntılarından da bahsediyor. https://www.cio.co.uk/it-security/eight-reasons-ciso-should-report-ceo-not-cio-3634350/ https://www.greathorn.com/should-the-ciso-report-to-the-ceo/ https://www.csoonline.com/article/2365827/security-leadership/maybe-it-really-does-matter-who-the-ciso-reports-to.html https://www.csoonline.com/article/2363210/data-protection/target-top-security-officer-reporting-to-cio-seen-as-a-mistake.html https://www.csoonline.com/article/3132007/it-strategy/cisos-it-s-time-to-bury-the-hatchet-with-your-cio.html https://www.csoonline.com/article/3025946/techology-business/reporting-to-ceo-reduces-risks-and-costs-but-change-comes-slowly.html ------------------------------------------------- Ücretsiz Phishing Domain Tespiti ve Alarm Servisi - https://services.normshield.com/phishing-domain-search -------------------------------------------------
------------------------------------------------- Ücretsiz Phishing Domain Tespiti ve Alarm Servisi - https://services.normshield.com/phishing-domain-search -------------------------------------------------
