Merhaba, ISO 27001, bilgi sınıflandırma ve etiketleme ile ilgili olarak (A.8.2) tanımların ve teknik önlemlerin varlığını sorgular. Denetçinin, sorusuna "Onlar ne ya?!" derseniz, evet Major alırsınız :-) Fakat, temel bir sınıflandırma (kurum içi/dışı/ticari vb.) ve derecelendirme (tasnif dışı, genel, gizli, çok gizli, vb.) yaparak bu süreci en temel yapısı ile kurabilirsiniz. Buradaki uygulama eksikleri veya (Gizlilik-Bütünlük-Erişilebilirlik) çalışma şekilleri konularındaki durumlara göre Denetçi minör ya da gözlem konularını irdeleyebilir, ama Major yapamaz...
DLP ise, bence ayrı bir konu. Zira, DLP'nin amacı, kurum için özel bazı anahtarlara göre verilerin içeride ya da dışarıda dolaşımını kontrol altında tutmaktır. Teknik olarak alınacak önlemler silsilesi.. "Atlatma" konusundaki yeteneklerin artması ile artık zayıf bir koruma kalkanı durumuna düşmek üzere kanımca. KVKK ise, "kişisel verilere" odaklanmış bir yasa. KVKK ile gelen yeni süreçlerde 27001 daha iyi uygulama çerçevesi durumunda (kurumun yayınladığı teknik önlemler örnekleri de 27001 tabanlı zaten). Saygılar Volkan Evrin Volkan Evrin Kurumsal Uygulamalar ve Bilgi Güvenliği Müdürü Ar-Ge Merkezi D +90 850 251 6012 F +90 312 267 0244 www.karel.com.tr<http://www.karel.com.tr> Bu e-posta işbu bağlantıyı kullanarak erişebileceğiniz koşullara tabidir: http://www.karel.com.tr/eposta-hukuki-sartlari ________________________________ From: Çağrı [mailto:[email protected]] Sent: Friday, June 21, 2019, 11:29 AM To: [email protected]<mailto:[email protected]> Subject: [NetsecTR] Ynt: ISO27001 Veri Sınıflandırma (Major Bulgu) Merhaba, Konu DLP’ye kaymış gibi anladım. Aslında benim sormak istediğim DLP olsun veya olmasın “Veri Sınıflandırması” yapılmadığı durumlarda ISO27001 sertifikasını almaya engel bir durum oluşur mu? Yapmayan kurumlarda denetçinin “Major Bulgu” yazdığı durumlar oluşuyorMUŞ. Veri Sınıflandırmasını Manuel olarak yapmak çok zahmetli ve bence yönetmesi oldukça zor bir konu bunu bir ürünle çözmek çok daha makul olarak gözüküyor. DLP zaten alacağız KVK olsun veya olmasın ama alırken Cososys gibi Veri Sınıflandırması olmayan (ucuz) bir ürünü tercih edelim mi etmeyelim mi onun araştırmasını yapıyorum. Cososys’de ayrıca Network DLP de yok (bildiğim kadarıyla) ama bu da dediğim gibi DLP konuları. Asıl öğrenmek istediğim konu veri sınıflandırması yapılmasa majör bulgu olur mu? İyi çalışmalar dilerim. ------------------------------------------------- Ücretsiz Phishing Domain Tespiti ve Alarm Servisi - https://services.normshield.com/phishing-domain-search ------------------------------------------------- [cid:Karel_Mail_Signature_b1f9b961-79f2-4fd2-8bdc-a276c5adc9d4.jpg]<http://www.karel.com.tr/sirket-profili>
------------------------------------------------- Ücretsiz Phishing Domain Tespiti ve Alarm Servisi - https://services.normshield.com/phishing-domain-search -------------------------------------------------
