Merhabalar, "Majör bulgu" oluşmasının -diğer olasılıkları hariç tutmadan- ilk planda iki temel nedeni olduğunu belirtebilirim:
1- BGYS'nizinde 10.madde gereği saglanmiyordur; tekrar eden minor bulgunuz mevcuttur, 2- BGYS'nizde zorunlu maddelerin sartlarindaki minumum gerekleri saglamada yapisal islevsizlikleriniz mevcuttur, Sebebi, belirttiğiniz şekilde bir teknik bir onlemin eksikliğine dair olan bir bulgu PUKO dongusunde yapısal bir soruna karşılık gelmemektedir, Konun animsattigi ustad Bruce'un dediği sözü not olarak bırakmak isterim: "If you think technology can solve your security problems, then you don't understand the problems and you don't understand the technology" Selamlar & Sevgiler, Ozgur Erdogan Principal Security Consultant, MBA BSI Auditor-Tutor, IMI Licenced Negotiator-Mediator Electronics & Telecommunication Engineer *Linkedin*: http://linkd.in/1ve0uhR Mobile: +90 530 305 5820 *"The best ideas I have are what I have learned from others"* *Ralph Waldo Emerson* 21 Haz 2019 Cum 12:33 tarihinde Tugba Ozturk <[email protected]> şunu yazdı: > Sınıflandırma kvkk için önemli adımlardan biri olan veri envanterini > çıkarmada önemli. > Iso 27001 in veri sınıflandırması ile kvkk da kastedilen aynı değil. Siz > kvkk da veri keşfi yapar unstructured ortamda da varsa iletişim bilgisi > finansal Bilgi (kredi kartı iban vs pci dss için de önemli) gibi > kategorilerde saklanmış verileri Dlp discoverer ile tespit eder teri > gelirse siler ya da saklandığını bilir verbise kaydedersiniz . > > Iso 27001 de ise veri sınıflandırma dan kasıt gizli, şirket içi dahili > gibi sizin adlandıracağınız Bilgi sınıflarıdır. Şirket içi prosedür > dahilidir de kişisel veriler gizlidir mesela. Bu açıdan dlp ile ilgisi yok. > Sadece şöyle bir durum var, bir iso 27001 denetçisi kvkk ya uyum için > gereksinimleri karşılamadığınızı çok açık şekilde tespit ederse buna bulgu > yazabilir, ancak hiç bir denetçi ne de kurul size dlpde neden veri keşfiniz > yok diye ne ceza ne de bulgu yazabilir.. > > > iPhone’umdan gönderildi > > Hamit Altındağ <[email protected]> şunları yazdı (21 Haz 2019 > 10:39): > > > Herkese Merhaba, > > > > Bir DLP ürünü almak üzereyiz. Sınıflandırması içinde olan bir ürün > tercih etmek için ikna edilmeye çalışılıyorum. Neden olarak da veri > sınıflandırma yapamayan iki şirket denetçi şirket tarafından major bulgu > aldıklarını dile getirdiler. Eskiden bu konuda major bulgu olmuyordu en > azından ben duymuyordum. Bu durum/duyum doğru mudur? Düşüncelerinizi almak > istedim. > > > > İyi çalışmalar dilerim. > > ------------------------------------------------- > > Ücretsiz Phishing Domain Tespiti ve Alarm Servisi - > https://services.normshield.com/phishing-domain-search > > > > ------------------------------------------------- > ------------------------------------------------- > Ücretsiz Phishing Domain Tespiti ve Alarm Servisi - > https://services.normshield.com/phishing-domain-search > > -------------------------------------------------
------------------------------------------------- Üyelikten ayrılmak için [email protected] adresine mail atabilirsiniz. -------------------------------------------------
