Uyum Risk ve Yönetişim

Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Bilgi ve İletişim Güvenliği Rehberi

Dünyada GRC sistemleri olarak bilinen Governance, Risk management and Compilance karşılığı olarak ülkemizde işletilmektedir.

Rehber, devlet teşkilatı içerisinde yer alan kurum ve kuruluşlar ile kritik altyapı hizmeti veren işletmelerden bilgi işlem birimi barındıranları veya bilgi işlem hizmetlerini sözleşmeler çerçevesinde üçüncü taraflardan alanları kapsamaktadır.

Bilgi ve İletişim Güvenliği Rehberi’nde, varlık grupları oluşturularak bunların bilgi güvenliğine olan etkisini belirlemek üzere anket çalışması yapılır. Anket çalışması sonucunda ortaya çıkan puan varlık grubunun kritiklik derecesini belirler. Belirlenen kritiklik derecesine karşılık gelen tedbirler varlık grubuna uygulanır. Dolayısıyla BGYS’de varlık özelinde yapılan çalışmalar, Rehber’de varlık grupları üzerinden yapılmaktadır.

1- Ağ ve Sistemler, 2- Uygulamalar 3- Taşınabilir Cihaz ve Ortamlar
4- IoT Cihazları 5- Personel 6- Fiziksel Mekânlar

Şirketimiz Rehberin gerekli dokümantasyon çalışması ve BIGDES girişleri için tecrübe ve bilgisi ile hizmet vermektedir.

Günümüz şartlarında etkili bir siber güvenlik programı, insan, teknoloji ve süreçlerin bütünleşik bir güvenlik vizyonu etrafında tasarlanmasını gerektiriyor. Siber güvenlik mimarisi, yalnızca teknik bir çizim değil, kurumsal risk toleransı ve iş hedefleri ile uyumlu bir yönetim stratejisinin yansımasıdır.

Kurumun yasal yükümlüklere ve düzenleyici kurumların uyguladığı siber güvenlik politikalarına uyması için her politika, prosedür, talimat ve kontrollerin gerektirdiği diğer belge ve formlar hazırlanacaktır. Her kurumun mimari ihtiyacı ve bilgi güvenliği yönetim sistemi farklıdır. Standartlar bunlar için kılavuzlar oluşturmuşlardır. ISO:27001 üzerine 27004 veya 27019 benzeri kılavuzlarda kritik altyapılarınızı da kapsama alarak, kurumsal güvenlik mimarinizi oluşturmak, geliştirmek veya yeniden düzenlemek için hizmetlerimizi sunuyoruz.

Enerji Piyasası Düzenleme Kurumu (EPDK) Siber Güvenlik Yetkinlik Yönetmeliği'nin kontrollerine tam uyum sağlayarak, düzenleyici kurumun etki alanındaki kritik altyapı işletmecilerinin (EKS/OT) siber risklere karşı fiziksel ve mantıksal düzeyde en üst düzeyde korunmasını kapsamında danışmanlık hizmetleri sunuyoruz.

Boşluk analizi, raporlamalar ve diğer dokümantasyon ihtiyaçlarınızı karşılıyor, düzenlemelere uyum sağlamak için gereken teknoloji ve süreçler için gereksinim raporları hazırlıyoruz.

Kuruluşunuzdaki tüm personelin ve ilgili tarafların bilgi güvenliği sorumluluklarının farkında olmalarını ve bu sorumlulukları eksiksiz yerine getirmelerini sağlamak amacıyla kapsamlı farkındalık, eğitim ve öğretim programları sunuyoruz.

Bu eğitimler, kurumunuzun korunması gereken bilgileri ve bu bilgileri korumak için uygulanmakta olan bilgi güvenliği kontrolleri dikkate alınarak, Bilgi Güvenliği Politikası, konuya özgü politikalar ve ilgili prosedürler doğrultusunda oluşturulmaktadır.

Temel İçerik Başlıkları:

Personelin ve bağıntılı ilgili tarafların bilgi güvenliği rollerini ve sorumluluklarını anlamalarını sağlamak.

Bilgi güvenliği ihlal olaylarından alınan dersler üzerine inşa edilerek sürekli güncel tutulmak ve bilgi güvenliği kontrollerini güçlendirmek

Çalışanların geçerli bilgi güvenliği kurallarına ve yükümlülüklerine (yasa, tüzük, yönetmelik, sözleşme ve anlaşmalar dikkate alınarak) aşina olmaları ve bunlara uymaları ihtiyacını karşılamak.

Bu eğitim ve farkındalık programlarının oluşturulması ve uygulanması, kuruluşunuzun, bir BGYS’de (Bilgi Güvenliği Yönetim Sistemi) risk iyileştirme (işleme) için bilgi güvenliği kontrollerini belirlemesi ve uygulaması amacıyla referans olarak kullanılan TS EN ISO/IEC 27002 standardının (Kontrol 6.3) temel bir parçasıdır