1
Sayfa No 1/32
KAYNAŞLI MESLEK YÜKSEKOKULU BİLGİ
GÜVENLİĞİ
EL KİTABI
Sayfa No
İçindekiler
Önsöz ………..4
Revizyon Listesi ……….5
Onay ………....…6
A. Genel ………...7
B. Bilgi Güvenliği El Kitabı Revizyonu………..7
C. Meslek Yüksekokulumuzun Tanıtımı……….8
Bilgi Güvenliği Politikalarımız ………9
1. Amaç ……….14
2. Kapsam ……….14
3. Hariç Tutulan Standart Maddeleri ………14
4. Meslek Yüksekokulumuzun Bağlamı ………...14
4.1.Kuruluş ve Bağlamının Anlaşılması ……….14
4.2.İlgili Tarafların İhtiyaç ve Beklentilerinin Anlaşılması……….16
4.3.Bilgi Güvenliği Yönetim Sisteminin Kapsamının Belirlenmesi ………...17
4.4.Bilgi güvenliği Yönetim Sistemi………17
5. Liderlik………...18
5.1.Liderlik ve Taahhüt………18
5.2.Politika………18
5.3.Kurumsal Görev, Sorumluluklar ve Yetkiler………..19
6. Planlama………..20
6.1.Risk ve Fırsatları Belirleme……….20
6.2.Bilgi Güvenliği Amaçları ve Planlama………22
Sayfa No
7. Destek ………24
7.1.Kaynaklar………...24
7.2.Yeterlilik………24
7.3.Farkındalık,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,24 7.4.İletişim………...25
7.5.Yazlı Bilgiler……….25
8. İşletim………27
8.1.İşletim Planlaması ve Kontrolü……….27
8.2.Bilgi Güvenliği Risk Değerlendirme……….28
8.3.Bilgi Güvenliği Risk İşleme………..28
9. Performans Değerlendirme………29
9.1.İzleme, Ölçme, Analiz ve Değerlendirme………..29
9.2.İç Değerlendirme………30
9.3.Yönetimin Gözden Geçirmesi……….31
10. İyileştirme………32
10.1.Uygunsuzluk ve Düzeltici Faaliyet………32
10.2. Sürekli İyileştirme……….32
Sayfa No
ÖNSÖZ
Bu El Kitabı Düzce Üniversitesi Kaynaşlı Meslek Yüksekokulu’nun bilgi güvenliği sağlanması için programlarını, politikalarını ve amaçlarını ortaya koyar. Meslek yüksekokulumuzda yürütülen eğitim hizmetleri için Bilgi Güvenliği bir yaşam felsefesi olarak belirlemiş ve hizmet alan kişi, kurum ve kuruluşlara, dürüst ve prensipli kararlarla Bilgi Güvenliği hizmet vermeyi kendisine amaç edinmiştir.
Bilgi Güvenliği Yönetim sistemi ilkeleri doğrultusunda çalışmalarını sürdürmeye başlamış olan meslek yüksekokulumuz TS EN ISO 27001 Bilgi Güvenliği Yönetim Sistemi standartlarını ve Düzce Üniversitesi Bilgi Güvenliği Yönetim Sistemi Politikası ’nı kılavuz olarak almıştır.
Düzce Üniversitesi Kaynaşlı Meslek Yüksekokulu misyonu ve vizyonu çerçevesinde vermiş olduğu eğitim hizmetlerinin Bilgi Güvenliği seviyesini her zaman en üst seviyede tutmayı ilke edinmiştir.
4
Sayfa No
REVİZYON LİSTESİ
Doküman No Rev.
No
Revizyon
Tarihi Revizyon Sebebi Revize Eden
Sayfa No
ONAY
Bu El Kitabının, TS EN ISO 27001 Bilgi Güvenliği Yönetim Sistemi gerekleri kılavuz alınarak çalışmalarını yürüten Kaynaşlı Meslek Yüksekokulu’muzun Düzce Üniversitesi Bilgi Güvenliği Yönetim Sistemi Politikasını, Amaçlarını (Hedeflerini) ve Sistem Dokümantasyonunu kapsadığını taahhüt ederiz.
Meslek yüksekokulu yönetimi, TS EN ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı gereği aşağıdaki konuları taahhüt eder. Bunlar;
a) Bilgi Güvenliği Yönetim Sistemi Politikası ve bilgi güvenliği amaçlarının oluşturulmasını ve kuruluşun stratejik amaç ve hedefleri ile uyumlu olmasının temin edilmesi,
b) Bilgi güvenliği yönetim sisteminin şartlarının kuruluşun süreçleri ile bütünleştirilmesinin temin edilmesi,
c) Bilgi güvenliği yönetim sistemi için gerekli olan kaynakların erişilebilirliğinin temin edilmesi, ç) Etkin bilgi güvenliği yönetim sisteminin şartlarına uyum sağlamanın öneminin duyurulması, d) Bilgi güvenliği yönetim sisteminin hedeflenen çıktılarının başarılmasının temin edilmesi, e) Bilgi güvenliği yönetim sisteminin etkinliğine katkı sağlamaları için kişilerin yönlendirilmesi, eğitilmesi ve desteklenmesi,
f) Sürekli iyileştirmenin desteklenmesi
g) Kendi sorumluluk alanlarında liderliklerini sergileyebilmeleri için diğer ilgili yönetim rollerinin desteklenmesi.
Sayfa No
A. GENEL
Bilgi Güvenliği El Kitabı'nın revizyonu ve dağıtımı Kalite Komisyonu’nun sorumluluğundadır.
Revizyon istekleri Dokümantasyon Prosedürü esaslarına göre değerlendirilir. Ayrıca Bilgi Güvenliği El Kitabını yılda en az bir defa Yönetimi Gözden Geçirme Toplantısı öncesi gözden geçirir gerekli görülen değişiklikleri yapar ve güncellenmesi gereken dokümanların güncelleştirilmesini sağlayarak yönetimin onaya sunar.
B. BİLGİ GÜVENLİĞİ EL KİTABI REVİZYONu
Bilgi Güvenliği El Kitabında yapılan revizyonun duyurulması işleminde aşağıdaki işlemler takip edilir.
1. Yapılan tüm revizyonlar, tüm birim personeline web sitesi aracılığı ile duyurulur.
2. Revizyonlar, “Revizyon Listesine" işlenir ve bir sıra numarası verilir.
3. Gerçekleştirilen revizyonlar revizyon takip formu ile kayıt altına alınır. Kalite Komisyonu tarafından arşivlenir.
4. İç denetimler sırasında tüm birim personellerinin en son revizyonu, Bilgi Güvenliği El Kitabına ulaşabildikleri kontrol edilir.
5. Revizyon yapılan sayfalara revizyon numaraları (01, 02, 03 .... ) ve revizyon tarihleri işlenir.
Sayfa No
1. Kullanılan Adı
DÜZCE ÜNİVERSİTESİ KAYNAŞLI MESLEK YÜKSEKOKULU 2. Kuruluş Adresi
Kaynaşlı Meslek Yüksekokulu
Merkez Mahallesi Kültür Caddesi Belediye İş Merkezi Kat:1 81900 Kaynaşlı / DÜZCE
Telefon: 0 (380) 544 28 11 Faks: 0 380 544 28 12 www.kmyo.duzce.edu.tr
3. Kuruluş Tarihi
Kaynaşlı Meslek Yüksekokulu (KMYO); Düzce Üniversitesi’nin 2006 yılında eğitime açılmasıyla Kaynaşlı’ da 2007 yılında başlatılan meslek yüksekokulu kurma çalışmaları sonucunda, 2547 sayılı Kanunun 2880 sayılı Kanunla değişik 7/d- 2. maddesi uyarınca 2008 yılında kurulmuştur.
4. Faaliyet Konusu
Düzce Üniversitesi Kaynaşlı Meslek Yüksekokulu’nda yaygın-örgün eğitim, araştırma ve idari hizmetler verilmektedir.
5. Tarihçe
Kaynaşlı Meslek Yüksekokulu, öğrencileri alanlarında uzmanlaşmaya ve güncel teknolojiyi kullanarak bilgilerini sürekli yenilemeye yönlendirmek; alanlarında kazandıkları bilgi ve becerilerini sorumlu meslek elemanı anlayışı ile birleştirerek, toplumda yer almalarını sağlamak amacıyla çalışmalarını sürdürmektedir. Meslek Yüksekokulumuz Kaynaşlı Belediyesi’nin Düzce Üniversitesi’ne tahsis ettiği, toplam 3500 m2 alana sahip olan hizmet binası katında faaliyet göstermektedir. İlk kurulduğunda Harita ve Kadastro, Yapı Ressamlığı ve Lojistik Programları aktif iken, zaman içerisinde Dış Ticaret, Çevre Koruma Kontrol Geleneksel El Sanatları, Polimer Teknolojileri ve Acil Durum ve Afet Yönetimi programlarını da bünyesine dâhil etmiştir.
Sayfa No
BİLGİ GÜVENLİĞİ POLİTİKALARIMIZ
Meslek yüksekokulumuzun politikaları, Düzce Üniversitesi Bilgi Güvenliği Yönetim Sistemi Politikasına uygun olarak hazırlanır. Meslek yüksekokulumuzda TS EN ISO 27001 Bilgi Güvenliği kılavuzluğunda aşağıdaki belgeler Düzce Üniversitesi Bilgi Güvenliği Yönetim Sistemi Politikasına uygun olarak oluşturmuştur. Bunlar;
Erişim Kontrol Politikası,
Temiz Masa Temiz Ekran Politikası,
Güvenli Geliştirme Politikası,
Tedarikçi İlişkileri Politikası,
Düzce Üniversitesi Bilgi Güvenliği Yönetim Sistemi Politikası,
TS EN ISO 27001 Bilgi Güvenliği Yönetim Sisteminin ana teması; insan, alt yapı, yazılım, donanım, öğrenci bilgileri, kuruluş bilgileri, personel bilgileri, üçüncü şahıslara ait bilgiler ve finansal kaynaklar içerisinde bilgi güvenliği yönetiminin sağlandığını göstermek, risk yönetimini güvence altına almak, bilgi güvenliği yönetimi süreç performansını ölçmek ve bilgi güvenliği ile ilgili konularda üçüncü taraflarla olan ilişkilerin düzenlenmesini sağlamaktır.
Bu doğrultuda BGYS Politikamızın amacı;
İçeriden veya dışarıdan, bilerek ya da bilmeyerek meydana gelebilecek her türlü tehdide karşı bilgi varlıklarını korumak, bilgiye erişebilirliği iş prosesleriyle gerektiği şekilde sağlamak, yasal mevzuat gereksinimlerini karşılamak,
Yürütülen tüm faaliyetlerde Bilgi Güvenliği Yönetim Sisteminin üç temel öğesinin sürekliliğini sağlamak.
Gizlilik : Önem taşıyan bilgilere yetkisiz erişimlerin önlenmesi,
Bütünlük : Bilginin doğruluk ve bütünlüğünün sağlandığının gösterilmesi,
Erişebilirlik : Yetkisi olanların gerektiği hallerde bilgiye ulaşılabilirliğinin gösterilmesi,
Sadece elektronik ortamda tutulan verilerin değil; yazılı, basılı, sözlü ve benzeri ortamda bulunan tüm verilerin güvenliği ile ilgilenmek.
Bilgi Güvenliği Yönetimi eğitimlerini tüm personele vererek bilinçlendirmeyi sağlamak.
Bilgi Güvenliğindeki gerçekte var olan veya şüphe uyandıran tüm açıkların, BGYS Ekibine rapor etmek ve BGYS Koordinatörü tarafından soruşturulmasını sağlamak.
Sayfa No
İş süreklilik planları hazırlamak, sürdürmek ve test etmek.
Bilgi Güvenliği konusunda periyodik olarak değerlendirmeler yaparak mevcut riskleri tespit etmek.
Değerlendirmeler sonucunda, aksiyon planlarını gözden geçirmek ve takibini yapmak.
Sözleşmelerden doğabilecek her türlü anlaşmazlık ve çıkar çatışmasını engellemek.
Bilgiye erişebilirlik ve bilgi sistemleri için iş gereksinimlerini karşılamaktır.
Erişim Kontrol Politikası,
Meslek yüksekokulumuzun iç taleplerine zamanında ve doğru çözümler bulabilmemiz için yasal mevzuata uygun şekilde verinin bütünlüğünün sağlanması için:
Oryantasyon aşamasında personele gerekli bilgiler aktarılmış,
Gerekli altyapı ve donanım belirlenmiş,
Gerekli altyapı ve donanımın kesintisiz olarak sağlanması için, gerekli kaynaklar ayrılmış,
Akademik ve idari personeller, öğrenciler ve meslek yüksekokulumuza gelen misafirlerimizin bilgilerinin korunması açısından yapılması gerekenler personelimize eğitimlerle aktarılmış, üniversite çalışanlarımıza “iş sözleşmeleri” ile sorumlulukları yazılı hale getirilmiş,
Tüm verilerin yedeklenmesi amacıyla gerekli alt yapı belirlenip, sorumlular tanımlanmış,
Network üzerinde gerekli erişim işlemleri sınırlandırılmış,
Bilgi güvenliği konusundaki 3 temel prensibi gizlilik, bütünlük ve yetkililerce erişilebilirlik prensipleri belirlenmiştir.
Sayfa No
Temiz Masa Temiz Ekran Politikası,
Temiz Masa Temiz Ekran Politikamızın amacı, normal çalışma saatleri süresince ve dışında bilgiye yetkisiz erişim, bilgi kaybı ve hasarı risklerini azaltmak amacıyla kâğıtlar ve kaldırılabilir depolama ortamları ve kişisel bilgisayarlar için gerekli şartları tanımlamaktır.
Akademik ve idari personelin aşağıdaki şartlara uygun davranmaları gerekmektedir.
1. Çalışma saatleri dışında bilgisayarlar kapalı ya da kilitli şekilde bırakılmalıdır. Çalışma saatleri içerisinde başından ayrıldığında mutlaka bilgisayar kilitli bırakılmalıdır.(Ekran koruyucu 5-10 dk arasında devreye girmelidir ve şifre koruması olmalıdır.)
2. Yazıcıların üzerinde kişisel bilgileri ve gizli bilgileri içeren dokümanlar(müsvedde olsalar bile)bırakılmamalıdır.
3. Yazıcı ile işlem tamamlandığından yazıcı kilit ekranına alınmalıdır.
4. Yazıcı şifreleri personel dışındakilerle paylaşılmamalıdır.
5. Mesai bitiminde çalışma masası üzerinde kurum veya kişisel bilgileri içeren bir evrak bırakılmamalıdır.
6. Kuruma ait dokümante edilmiş gizli bilgiler kilitli ortamda tutulmalıdır.
7. Gizlilik dereceli evraklar, işlevini tamamladıktan sonra imha edilmelidir.
8. Kuruma ait antetli kağıtlar kilitli dolaplarda tutulmalıdır.
9. Hassas ve sınıflandırılmış bilgi basıldığında yazıcıdan hemen temizlenir.
10. Bilgisayarların masaüstlerinde kuruma ait özel bilgiler içeren dokümanlar bulundurulmamalıdır.
11. Bilgisayarlara ait olan şifreler kesinlikle kâğıt ortamlara yazılı bir şekilde bırakılmamalı.
Sayfa No
Güvenli Geliştirme Politikası,
Güvenli geliştirme, güvenli hizmet için bir gerekliliktir. Bu amaçla öncelikle güvenli geliştirme ortamları kullanılacaktır. Eğitim-öğretim ve araştırma hizmetlerimizin yaşam döngüsü dâhilinde, tasarım aşamasında güvenlik gereksinimleri belirlenerek, bu güvenlik gereksinimlerinin uygulanması sağlanacaktır. Eğitim-öğretim hizmetlerimizde güvenlik kontrol noktaları oluşturularak yapılan testlerde bu güvenlik kontrollerine uyulması sağlanacaktır. Tüm geliştiriciler açıklıklardan kaçınma, açıklıkları bulma ve düzeltme konusunda kendilerini sürekli geliştireceklerdir.
Sayfa No
Tedarikçi İlişkileri Politikası,
Tedarikçilerimizin, Kaynaşlı Meslek Yüksekokulu’nda uygulanan Bilgi Güvenliği Yönetim Sistemi Şartlarına uygun olarak faaliyet göstermesini beklemekteyiz. Özellikle bilgi sistemlerimize erişim sağlayan bakım hizmetleri gerçekleştiren ya da sistemi temini sağlayan tedarikçilerin bu konulara uyumu büyük önem göstermektedir. Uyumun sağlanmaması yasal yaptırımları beraberinde getirecektir.
Tedarikçilerimizin özellikle yapılacak tedarikçi sözleşmelerine uyum sağlaması önemlidir. Bu sözleşmeler verilerini korumakla yükümlü olduğumuz akademik personel, idari personel, öğrencilerimiz ve hizmet alıcıları için ayrı önem taşımaktadır.
Bu kapsamda;
Tedarikçilerimizin yasal gereklilikleri yerine getiren ve bu politika ve kurallar ile beraber iş etiği ile bağlantılı olan diğer tüm dokümanlardaki gerekliliklere bağlı tedarikçiler olması gerekmektedir.
Tedarikçi seçiminde; mali performans, tecrübe, teknik yeterlilik vb. kriterlerin yanında bu alanda olumlu bir geçmişe sahip olmaları ve önceki yıllara ait değerlendirme sonuçları dikkate alınır.
Tedarikçi seçimi ve yönetimi için ilgili üniversitemizin daire başkanları onaylı tedarikçi listesi hazırlama, yönetme ve takip sistemlerinin kurulmasından sorumludur.
Birlikte çalışmaya karar verdiğimiz tedarikçilerimizi seçerken objektif kriterlere göre değerlendiriyoruz. Kaynaşlı Meslek Yüksekokulu olarak tedarikçilerimiz ile iş ilişkilerimizde karşılıklı değer yaratmayı hedeflemekteyiz.
Kaynaşlı Meslek Yüksekokulu olarak tedarikçilerimizin yasalara, kurallara, düzenlemelere bağlı kalmasını hedefleriz. Tedarikçilerin, birlikte çalıştıkları tedarikçilerin ve taşeronlarının işle ilgili uygulamalar konusunda bilgi sahibi olmasını bekleriz.
Kaynaşlı Meslek Yüksekokulu, bu kurallara uymayan tedarikçilerle ilişkilerini sonlandırma hakkını saklı tutar.
Sayfa No
Referans:
Düzce Üniversitesi Bilgi Güvenliği Yönetim Sistemi Politikası
PO -004 Erişim Kontrol Politikası,
PO-005 Temiz Masa Temiz Ekran Politikası, PO-006 Güvenli Geliştirme Politikası, PO-007 Tedarikçi İlişkileri Politikası, 1. AMAÇ
Meslek yüksekokulumuz, yürürlükteki mevzuat şartlarına ve TS EN ISO 27001 Bilgi Güvenliği Yönetim Sistemine uygun şekilde faaliyetlerini sürdürerek, hizmet alanların beklentilerine en iyi şekilde cevap verebilmeyi amaç edinmiştir. Bu doğrultuda sistemin sürekli iyileştirilmesi ve etkinliğinin artırılması amacıyla Bilgi Güvenliği Yönetim Sistemini kurmuş ve bu El Kitabını sistemin etkin olarak kullanılması ve çalıştırılması için oluşturmuştur.
2. KAPSAM
Meslek yüksekokulumuz tarafından mevzuat çerçevesinde yerine getirilen faaliyetlerin tümü TS EN ISO 27001 Bilgi Güvenliği Yönetim Sistemi şartlarına uyumu sağlamaya yöneliktir.
3. HARİÇ TUTULAN STANDART MADDELERİ
Düzce Üniversitesi Kaynaşlı Meslek Yüksekokulu Müdürlüğü kapsam dışında tutulacak olan standart maddelerin tespitinden sorumludur. Meslek yüksekokulumuzda, TS EN ISO 27001 Bilgi Güvenliği Yönetim Sisteminde hariç tutulan madde bulunmamaktadır.
4. ÜNİVERSİTEMİZİN BAĞLAMI
4.1. Kuruluş ve Bağlamının Anlaşılması:
Düzce Üniversitesi Kaynaşlı Meslek Yüksekokulu olarak stratejik hedeflerimiz ve Düzce Üniversitesi Bilgi Güvenliği politikası doğrultusunda Bilgi Güvenliği Yönetim Sistemimizin amaçlanan hedeflere ulaşabilme yeteneğini etkileyen iç ve dış hususlar aşağıdaki gibi tayin edilmiştir.
Sayfa No
Yüksekokulumuzda iç husus olarak;
İdare, üniversitemize ilişkin yapı, roller ve yükümlülükler,
Yerine getirilecek politikalar, hedefler ve stratejiler,
Kaynaklar ve bilgi birikimi cinsinden anlaşılan yetenekler (örneğin, anapara, zaman, kişiler, süreçler, sistemler ve teknolojiler),
İç paydaşlarla ilişkiler ve onların algılamaları ve değerleri,
Üniversitemizin kültürü,
Bilgi sistemleri, bilgi akışı ve karar alma süreçleri (resmi ve gayrı resmi),
Kuruluş tarafından uyarlanan standartlar, kılavuzlar ve modeller,
Sözleşmeye ilişkin ilişkilerin biçim ve genişliği.
Fiziksel altyapı yeterliliği,
Yüksekokulumuzda dış husus olarak;
YÖK tarafından belirlenen kurallar,
Eğitim Hizmetleri ve Araştırma-Geliştirme faaliyetleri için yayınlanan yasal şartlar (Kanun, Yönetmelik, Talimat, Genelge, Tebliğ vb.)
Uluslararası, ulusal, bölgesel veya yerel olmak üzere, sosyal ve kültürel, politik, finansal, teknolojik, ekonomik, doğal ve rekabetçi ortam,
Kuruluşun hedefleri üzerinde etkisi bulunan kilit sürücüler ve eğilimler,
Dış paydaşlarla ilişkiler ve onların algılamaları ve değerleri.
Belirlenen iç ve dış hususlarla ilgili bilgi izlenmekte ve Yönetimi Gözden Geçirme toplantılarında değerlendirilmektedir.
Sayfa No
4.2. İlgili Tarafların İhtiyaç ve Beklentilerinin Anlaşılması
a) Bilgi Güvenliği Yönetim Sistemi ile İlgili Taraflar
Üniversitemizde, Bilgi Güvenliği Yönetim Sistemi ile ilgili taraflar:
1) Tüzel Kişilik,
2) Öğretim Elemanları ve İdari Personeller, 3) Tedarikçiler,
4) Öğrenciler, 5) Dış Paydaşlar
b) Tarafların Bilgi Güvenliği İle İlgili Gereksinimleri:
Bilgi Güvenliği Yönetim Sistemi ile ilgili beklentileri:
İlgili Taraf Beklentiler
Tüzel Kişilik
- Prestijinin korunması,
- Elde ettiği bilgi birikiminin korunması, - Yasal şartlara uyum,
Çalışanlar - Uygun çalışma şartları,
Tedarikçiler
- Rahat hizmet verebilme, - Zamanında ödeme alma, - Çalışma sürekliliği,
Öğrenciler
- Şartlara uygun hizmetlerin alınması, - Hizmette sürekliliğin sağlanması,
- Eğitim ve Öğrenim için gerekli imkânların sağlanması (yurt, yemekhane, kütüphane, sosyal faaliyetler vb.)
Dış Paydaşlar
- Yasal şartlara uyum - Geri bildirim sistemi
- İstek ve şikâyetlerin dikkate alınması
Sayfa No
Meslek yüksekokulumuzda ilgili tarafları ve şartlarını yıllık periyodlarda yapılan Yönetim Gözden Geçirme toplantıları ile gözden geçirmektedir.
4.3. Bilgi Güvenliği Yönetim Sistemi Kapsamının Belirlenmesi
Kaynaşlı Meslek Yüksekokulu mevcut faaliyet alanları için, tarafların şartlarını karşılamak amacıyla TS EN ISO 27001 standardına uygun olarak bir Bilgi Güvenliği Yönetim Sistemi kurmuştur. Kurulan sistem meslek yüksekokulumuzun tüm bölümlerini, çalışanları, dış hizmet aldığımız tedarikçilerimiz, hizmet verdiğimiz öğrenciler ve yüksekokulumuza gelen misafirlerimizi/ziyaretçilerimiz için uygulanmaktadır.
Bilgi Güvenliği Yönetim Sistemimizin kapsamı yüksekokulumuz, öğrencilerimiz, tedarikçilerimiz ve personelimiz için sözlü ve elektronik ortamdaki tüm bilgi çeşitlerini içermektedir.
Düzce Üniversitesi Kaynaşlı Meslek Yüksekokulu olarak TS EN ISO 27001 Bilgi Güvenliği Yönetim Sisteminin kapsamı belirlenirken aşağıdaki konuları dikkate alınmıştır. Bunlar;
İç ve dış hususlar (Madde 4.1.),
İlgili tarafların ihtiyaç ve beklentileri (Madde 4.2.),
Üniversitemiz tarafından gerçekleştirilen faaliyetler arasındaki ara yüzler, bağımlılıklar ve diğer kuruluşlar tarafından gerçekleştirilen faaliyetler
Yüksekokulumuzun kapsamı ve hariç tutulan maddeler ilgili bölümlerde tanımlanmıştır.
4.4. Bilgi Güvenliği Yönetim Sistemi ve Politikaları
Yüksekokulumuzda, TS EN ISO 27001 standardın şartlarına uygun olarak, ihtiyaç duyulan politikalar ve bunların birbiri ile etkileşimi bölümler bazında hazırlanarak tanımlanmıştır. Bilgi Güvenliği Yönetim Sistemi kurularak uygulamakta, sürekliliği sağlamakta ve sürekli iyileştirilmektedir.
17
Sayfa No
5. LİDERLİK
5.1. Liderlik ve Bağımlılık
Üst yönetim aşağıdakileri yerine getirerek Bilgi Güvenliği Yönetim Sistemi için liderlik ve bağımlılık göstermiştir:
a) Bilgi Güvenliği Yönetim Sistemi Politikası ve bilgi güvenliği amaçlarının oluşturulmasını ve kuruluşun stratejik amaç ve hedefleri ile uyumlu olmasının temin edilmesi (Madde 7
Politikalarımız),
b) Bilgi güvenliği yönetim sisteminin şartlarının kuruluşun süreçleri ile bütünleştirilmesinin temin edilmesi (Madde 4),
c) Bilgi güvenliği yönetim sistemi için gerekli olan kaynakların erişilebilirliğinin temin edilmesi (Madde 7.1.),
ç) Etkin bilgi güvenliği yönetiminin ve bilgi güvenliği yönetim sisteminin şartlarına uyum sağlamanın öneminin duyurulması (Madde 7.2, Madde 7.3, Madde 7.4.),
d) Bilgi güvenliği yönetim sisteminin hedeflenen çıktılarının başarılmasının temin edilmesi (Madde 8),
e) Bilgi güvenliği yönetim sisteminin etkinliğine katkı sağlamaları için kişilerin yönlendirilmesi ve desteklenmesi (Madde 9),
f) Sürekli iyileştirmenin desteklenmesi (Madde 10),
g) Kendi sorumluluk alanlarında liderliklerini sergileyebilmeleri için diğer ilgili yönetim rollerinin desteklenmesi (Madde 5.3),
5.2. Politika
5.2.1. Bilgi Güvenliği Yönetim Sistemi Politikasının Oluşturulması
Üst yönetim Bilgi Güvenliği Yönetim Sistemi Politikasını oluşturmuştur. Buna göre politika:
a) Üniversitemizin ve meslek yüksekokulumuzun amacına uygun,
b) Bilgi güvenliği amaçlarını içeren (Bk. Madde 6.2) veya bilgi güvenliği amaçlarını belirlemek için bir çerçeve sağlayan,
c) Bilgi güvenliği ile ilgili uygulanabilir şartların karşılanmasına dair bir taahhüt içeren,
Sayfa No
ç) Bilgi güvenliği yönetim sisteminin sürekli iyileştiren bir yapıya sahiptir.
5.2.2. Bilgi Güvenliği Yönetim Sistemi Politikasının duyurulması
a) Bilgi Güvenliği Yönetim Sistemi kapsamında politikalar dokümante edilmiştir. Bunlar;
Bilgi Güvenliği Yönetim Sistemi Politikası,
Erişim Kontrol Politikası (PO-004),
Temiz Masa Temiz Ekran Politikası (PO-005),
Güvenli Geliştirme Politikası (PO-006),
Tedarikçi İlişkileri Politikası (PO-007),
b) Verilen eğitimler ile meslek yüksekokulumuz içerisinde duyurulmuştur.
c) Web sitesinde yayınlanarak ilgili tarafların erişimine açılmıştır.
5.3. Kurumsal Görev, Sorumluluklar ve Yetkiler
Yüksekokulumuzun genel yapısı Organizasyon Şeması üzerinden tanımlanmıştır. Organizasyon şemasına uygun olarak da bölümler bazında Görev, Yetki ve Sorumluluklar dokümante edilerek Organizasyon El Kitabı (EK-003) oluşturulmuştur.
Ayrıca:
a) Bilgi Güvenliği Yönetim Sisteminin, bu standardın şartlarını karşılanması güvence altına alınmıştır.
b) Bilgi Güvenliği yönetim sisteminin performansı ve iyileştirme için fırsatlar ile ilgili raporlama yapılması planlanmıştır.
Sayfa No
6. PLANLAMA
6.1. Risk ve Fırsatları Ele Alan Faaliyetler 6.1.1. Genel:
Yüksekokulumuzda, Bilgi Güvenliği Yönetim Sistemi planlamasında Madde 4.1’de atıf yapılan hususları, Madde 4.3’de atıf yapılan şartları ve aşağıda belirtilen risk ve fırsatların değerlendirilmesini tayin etmek için Risk Analizi Prosedürü oluşturmuş ve uygulamaktadır:
a) Bilgi Güvenliği yönetim sisteminin amaçlanan çıktısına/çıktılarına ulaşabileceğine güvence vermek,
b) İstenmeyen etkileri önlemek veya azaltmak, c) Sürekli iyileşmenin başarılması,
Yüksekokulumuz aşağıdakileri planlamaktadır:
a) Bu risk ve fırsatları belirleme faaliyetlerini,
b) Faaliyetleri Bilgi Güvenliği Yönetim Sistemi prosesleri içerisine nasıl entegre edeceği ve uygulayacağını,
c) Bu faaliyetlerin etkinliğini nasıl değerlendireceğini.
Risk ve fırsatları ele alma faaliyetleri, ürün ve hizmetlerin uygunluğuna potansiyel etkisi ile orantılıdır.
Meslek yüksekokulumuz risk analizi için risk kriterleri oluşturulmuş, tekrarlanan riskler için geçerli ve karşılaştırılabilir sonuçlar üretmesi için yöntemler belirlenmiştir.
Risklerin analizi sonucunda risk seviyeleri belirlenmiş ve bu risklere ilişkin önlemler Risk Analizi içerisinde belirlenmiştir.
Referans: PR-005 Risk Analizi Prosedürü
Sayfa No
6.1.2. Bilgi Güvenliği Risk Değerlendirme
Meslek yüksekokulumuz, akademik ve idari birimlerinde Bilgi Güvenliğini sağlamak ve geliştirmek için risk değerlendirme süreçlerini aşağıdaki maddelere uygun olarak tasarlamıştır.
Bilgi Güvenliği Risk Değerlendirme için:
a) Aşağıdakileri içeren bilgi güvenliği risk kriterlerinin oluşturulması ve sürdürülmesi:
1. Risk kabul kriterleri,
2. Bilgi güvenliği risk değerlendirmesi yapılması için kriterler,
b) Tekrarlanan bilgi güvenliği risk değerlendirmelerinin tutarlı, geçerli ve karşılaştırılabilir sonuçlar üretmesinin temin edilmesi,
c) Bilgi güvenliği risklerinin tespit edilmesi:
1. Bilgi güvenliği yönetim sistemi kapsamı dâhilindeki bilginin gizlilik, bütünlük ve erişilebilirlik kayıpları ile ilgili risklerin tespit edilmesi için bilgi güvenliği risk analizi prosedürünün (PR-005) uygulanması,
2. Risk sahiplerinin belirlenmesi,
d) Bilgi güvenliği risklerinin analiz edilmesi:
1. Madde 6.1.2 c) 1) de belirlenen riskler gerçekleştiği takdirde muhtemel sonuçların değerlendirilmesi,
2. Madde 6.1.2 c) 1) de belirlenen risklerin gerçekleşmesi ihtimalinin gerçekçi bir şekilde değerlendirilmesi,
3. Risk seviyelerinin belirlenmesi,
e) Bilgi güvenliği risklerinin değerlendirilmesi:
1. Risk analizi sonuçlarının Madde 6.1.2.a)’da oluşturulan risk kriterleri ile karşılaştırılması,
2. Analiz edilen risklerin risk işleme için önceliklendirilmesi,
Meslek yüksekokulumuz bilgi güvenliği risk değerlendirme süreci ile ilgili olarak yazılı bilgilerin muhafaza edileceği yapıyı kurmuş ve işletmektedir.
21
Sayfa No
6.1.3. Bilgi Güvenliği Risk İşleme
Düzce Üniversitesi Kaynaşlı Meslek Yüksekokulu aşağıdakileri gerçekleştirmek için bir bilgi güvenliği risk işleme süreci tanımlamış ve uygulamaktadır. Bunlar;
a) Risk değerlendirme sonuçlarını dikkate alarak uygun bilgi güvenliği risk işleme seçeneklerinin seçilmesi,
b) Seçilen bilgi güvenliği risk işleme seçeneklerinin uygulanmasında gerekli olan tüm kontrollerin belirlenmesi,
c) Seçilen bilgi güvenliği risk işleme seçeneklerinin uygulanmasında gerekli olan “tüm kontroller” ve “referans kontrol amaçları ve kontroller” karşılaştırılması ve gerekli hiçbir kontrolün gözden kaçırılmadığının doğrulanması,
d) Gerekli kontrollerin gerekçelendirmesi, uygulanıp uygulanmadıklarını ve “referans kontrol amaçları ve kontroller” kontrollerin dışarıda bırakılmasının gerekçelendirmesini içeren bir Uygulanabilirlik Bildirgesi üretilmesi,
e) Bir bilgi güvenliği risk işleme planının formüle edilmesi,
f) Bilgi güvenliği risk işleme planına dair risk sahiplerinin onayının alınması ve artık bilgi güvenliği risklerinin kabulü,
6.2. Bilgi Güvenliği Amaçları ve Planlama
Kurumumuz Bilgi Güvenliği amaçları yıllık yapılan Yönetimi Gözden Geçirme toplantıları ile gözden geçirilmektedir.
Bilgi Güvenliği amaçları:
a) Bilgi Güvenliği Yönetim Sistemi Politikası ile uyumlu olmalı, b) Ölçülebilir olmalı(uygulanabilirse),
c) Uygulanabilir bilgi güvenliği şartlarını ve risk değerlendirme ve risk işlemenin sonuçlarını dikkate almalı,
22
Sayfa No
d) Duyurulmalı,
e) Uygun şekilde güncellenmelidir.
Bilgi Güvenliği amaçlarının nasıl başarılacağı aşağıdaki unsurlar planlanarak belirlenmiştir.
a) Ne yapılacağı,
b) Hangi kaynakların gerekeceği, c) Kimin sorumlu olacağı, d) Ne zaman tamamlanacağı,
e) Sonuçların nasıl değerlendirileceği.
Sayfa No
7. DESTEK 7.1.Kaynaklar
Düzce Üniversitesi Kaynaşlı Meslek Yüksekokulu yönetimi, Bilgi Güvenliği Yönetim Sistemi’nin uygulanması, sürdürülmesi ve etkinliğinin sürekli iyileştirilmesi için ihtiyaç duyulan kaynakları tayin etmekte ve sağlamaktadır.
7.2.Yeterlilik
Düzce Üniversitesi Kaynaşlı Meslek Yüksekokulu bünyesinde görevin gerektirdiği öğrenim, eğitim, beceri, tecrübe ve yeterliliğe sahip personelin temin edilmesi esastır.
a) Bilgi güvenliği performansını etkileyen kendi kontrolü altında çalışan kişilerin gerekli yeterliliklerinin belirlenmesi,
b) Uygun öğretim, eğitim veya tecrübe temelinde bu kişilerin yeterliliklerinin temin edilmesi, c) Uygun olduğu durumlarda, gerekli yeterliliğin sağlanması için girişimde bulunulması ve bu
girişimlerin etkinliğinin değerlendirilmesi,
d) Yeterliliğin delili olarak uygun yazılı bilgilerin muhafaza edilmesi.
7.3. Farkındalık;
Meslek yüksekokulumuz kontrolü dâhilinde görev yapan kişiler aşağıdakilerin farkında olmalıdır:
a) Bilgi Güvenliği Yönetim Sistemi Politikası,
b) İyileştirilmiş bilgi güvenliği performansının faydaları da dâhil bilgi güvenliği yönetim sisteminin etkinliğine yaptıkları katkı,
c) Bilgi güvenliği yönetim sistemi şartlarına uyum sağlamamanın sonuçları.
Meslek yüksekokulumuzda, görev yapan Öğretim Elemanı ve İdari Personeller için (FR-004 Hizmet İçi Eğitim Talep Formu) kurulan Bilgi Güvenliği Yönetim Sisteminin farkındalığını sağlamak için eğitimler organize edilmektedir.
Referans: FR-004 Eğitim Talep Formu
Sayfa No
7.4. İletişim
Kuruluş aşağıdakileri içeren bilgi güvenliği yönetim sistemi ile ilgili dâhili ve harici iletişim ihtiyaçlarını belirlemelidir:
a) İletişimin konusu,
b) Ne zaman iletişim kurulacağı, c) Kiminle iletişim kurulacağı, d) Kimin iletişim kuracağı,
e) İletişimin hangi süreçten etkileneceği.
7.5. Yazılı Bilgiler 7.5.1. Genel
Meslek yüksekokulumuzda Bilgi Güvenliği yönetim sistemi aşağıdakileri içermektedir.
a) TS EN ISO 27001 Standardında istenen dokümante edilmiş bilgiyi,
b) Kuruluşumuz tarafından, Bilgi Güvenliği yönetim sisteminin etkinliğini artırmak için belirlenen dokümante edilmiş bilgiyi.
Bilgi Güvenliği Yönetim Sistemimizin yazılı bilgilerin boyutu aşağıdaki maddeleri dikkate alınarak oluşturulmuştur. Bunlar;
1. Kuruluşun büyüklüğü ve faaliyetlerinin, süreçlerinin, ürünlerinin ve hizmetlerinin türleri,
2. Süreçlerin ve etkileşimlerinin karmaşıklığı 3. Kişilerin yeterliliği.
Sayfa No
7.5.2. Oluşturma ve Güncelleme
Meslek yüksekokulumuz; dokümante edilmiş bilgileri oluştururken ve güncellerken aşağıdakileri uygun şekilde PR-001 Dokümanların Kontrolü Prosedüründe ile güvence altına almıştır:
a) Tanımlama ve açıklama (örneğin, bir başlık, tarih, yazar veya referans numarası), b) Biçim (örneğin, dil, yazılım sürümü, grafikler) ve ortam (örneğin, kâğıt, elektronik), c) Uygunluk ve doğruluğun gözden geçirilmesi ve onaylanması.
7.5.3. Yazılı Bilgilerin Kontrolü
7.5.3.1. Bilgi Güvenliği yönetim sistemi ve bu standart tarafından istenen dokümante edilmiş bilgi, aşağıdakileri güvence altına almak için kontrol edilmektedir.
a) Gereken yerde ve zamanda kullanım için erişilebilir ve uygun olmasını,
b) Doğru bir şekilde korunması (örneğin, gizliliğin yok olması, uygun olmayan kullanım veya bütünlüğün kaybolması).
7.5.3.2. Dokümante edilmiş bilginin kontrolü için kuruluşumuz aşağıdaki faaliyetlerden uygulanabilir olanları PR-001 Dokümanların Kontrolü Prosedürü ile belirlemiştir:
a) Dağıtım, erişim, kullanım ve tekrar kullanımı,
b) Okunaklılığın korunması da dahil olmak üzere saklama ve koruma, c) Değişikliklerin kontrolü (örneğin, sürüm kontrolü vb.),
d) Muhafaza etme ve yok etme.
Meslek yüksekokulumuzda çıktı olarak dokümante edilmiş kayıtlar;
Öğretim Programı kapsamındaki dokümante edilmiş bilgiler bölümlerde muhafaza edilmektedir.
İdari bölümlerde dokümante edilmiş bilgiler kendi bölümlerinde muhafaza edilmektedir.
Bölümlerde tutulan kayıtların süresi dolduğunda Öğrenci İşleri ve Arşiv birimlerine aktarılmaktadır. Dokümante edilmiş bilgiler belirlenen imha süresine kadar burada muhafaza edilmektedir.
Üniversitemizin faaliyetlerini etkileyen iç kaynaklı dokümante edilmiş bilgilerin takibi FR-001 Doküman Hazırlama ve Revizyon İstek Formu ile Kalite Komisyonu tarafından takip edilir.
Referans: PR-001 Dokümanların Kontrolü Prosedürü FR-001 Doküman Hazırlama ve Revizyon İstek Formu
Sayfa No
8. EĞİTİM VE ÖĞRENİM (OPERASYONEL) 8.1. Eğitim ve Öğrenimin Planlaması ve Kontrolü
Düzce Üniversitesi Kaynaşlı Meslek Yüksekokulu bünyesinde, öğrencilere, akademisyenlere ve idari birim personeline sunulan hizmetler; 2547 sayılı Yükseköğretim Kanunu ve 124 sayılı Yükseköğretim Üst Kuruluşları ile Yükseköğretim Kurumlarının İdari Teşkilatı Hakkında Kanun Hükmünde Kararname hükümlerine uygun olarak tespit edilen akademik ve idari birimler tarafından gerçekleştirilir.
Üniversitemizde eğitim öğretim hizmetlerinin etkin bir şekilde gerçekleştirilebilmesi için, bu hizmetler sunulmadan önce gerekli planlama ve hazırlık faaliyetlerinin gerçekleştirilir.
Eğitim öğretim hizmetlerinin planlanması; eğitim verilecek bölüm ve programlar, bölüm ve programların kontenjanları, tüm birimler için akademik takvim hazırlanması, kayıtların yapılması, derslerin öğretim elemanlarının belirlenmesi, eğitim kabulü için sınav programlarının hazırlanması işlemlerini kapsar. Eğitim ve Öğrenimin şartlarına uygunluğu sağlamak için ihtiyaç duyulan kaynakların tayin edilmiştir.
Eğitim verilen bölüm ve programlar iç değerlendirmesi öğrencilerin başarı seviyesini gösteren sınavların içeriği ve sonuçları değerlendirilmektedir. Dış değerlendirme olarak üniversitemizin bağlı olduğu YÖK tarafından yapılan değerlendirme ve kontroller ile yapılmaktadır.
Eğitim öğretim hizmetlerinin planlanması ile ilgili metotlar, ilgili yasal mevzuat şartları da dikkate alınarak belirlenmiştir.
Referans: KL-001 Program Öz Değerlendirme Kılavuzu FR-031 Program Başarı Analiz Formu
Sayfa No
8.2. Bilgi Güvenliği Risk Değerlendirme
Meslek yüksekokulumuz, aşağıda belirtilen kriterleri de dikkate alarak, bilgi güvenliği risk değerlendirmelerini planlanan aralıklarda veya önemli değişiklikler önerildiğinde veya meydana geldiğinde gerçekleştirmelidir.
a) Aşağıdakileri içeren bilgi güvenliği risk kriterlerinin oluşturulması ve sürdürülmesi:
1. Risk kabul kriterleri,
2. Bilgi güvenliği risk değerlendirmesi yapılması için kriterler,
Bilgi güvenliği risk değerlendirmesinin sonuçlarına dair yazılı bilgiler muhafaza edilmektedir.
8.3. Bilgi Güvenliği Risk İşleme
Çalışmalar PR-005 BGYS Risk Analiz Prosedürü ’nde tanımlanmıştır. Bilgi güvenliği risk işlemesinin sonuçlarına ait yazılı bilgileri muhafaza etmektedir.
Referans: PR-005 BGYS Risk Analiz Prosedürü
Sayfa No
9. PERFORMANS DEĞERLENDİRME
9.1. İzleme, Ölçme, Analiz ve Değerlendirme
Bilgi Güvenliği Yönetim Sisteminin etkinliğini ve uygunluğunu değerlendirmek ve sistemi sürekli iyileştirmek amacına yönelik olarak neler yapılabileceğini tespit etmek için veriler toplanır ve analiz edilir. Veriler yapılan anketlerden ve/veya gelen şikâyet ve önerilerden elde edilir.
Meslek yüksekokulumuz aşağıdakileri konuları belirlemiştir.
a) Bilgi güvenliği süreçleri ve kontrolleri dâhil olmak üzere neyin izlenmesi ve ölçülmesinin gerekli olduğu,
b) Geçerli sonuçları temin etmek için, uygun izleme, ölçme, analiz ve değerlendirme yöntemleri,
Seçilen yöntemlerin geçerli kabul edilebilmesi için karşılaştırılabilir ve tekrar üretilebilir sonuçlar üretmesi gerekmektedir.
c) İzleme ve ölçmenin ne zaman yapılacağı, d) İzlemeyi ve ölçmeyi kimin yapacağı,
e) İzleme ve ölçme sonuçlarının ne zaman analiz edileceği ve değerlendirileceği, f ) Bu sonuçları kimin analiz edeceği ve değerlendireceği.
Meslek yüksekokulumuz, izleme ve ölçme sonuçlarına dair delil olarak uygun yazılı bilgileri muhafaza edecek yapıyı oluşturmuştur.
Bilgi Güvenliği Yönetim Sistemi dokümantasyonu, mevzuatın zorunlu kıldığı veya Bilgi Güvenliği Yönetim Sistemi için gerek görülen raporlar ile bunların hazırlanma ve yayınlanmasına ilişkin metotları tanımlamaktadır.
Sayfa No
9.2. İç Değerlendirme
Yönetim sisteminin, ilgili standart, mevzuat ve Üniversitemiz Sürekli İyileştirme Koordinatörlüğü tarafından oluşturulan ekiplerce yönetim sisteminin şartlarına uygunluğunu ve sistemin etkin olarak uygulandığını ve sürdürüldüğünü teyit etmek için planlı aralıklarla iç değerlendirme yapılır.
Meslek yüksekokulumuz, bilgi güvenliği yönetim sisteminin, aşağıdaki hususları yerine getirip getirmediği konusunda bilgi elde etmek için planlanan aralıklarda iç tetkikler gerçekleştirmektedir:
a) Aşağıdakilerle uyumlu olup olmadığı;
1. Bilgi güvenliği yönetim sistemi ile ilgili olarak kuruluşun kendi şartları, 2. Bu standardın şartları,
b) Etkin bir şekilde uygulanması ve sürdürülmesi.
Kuruluş aşağıdakileri gerçekleştirmelidir:
c) Sıklık, yöntemler, sorumluluklar, gereksinimleri planlama ve raporlama da dâhil olmak üzere bir tetkik programının/programlarının planlanması, oluşturulması, uygulanması ve sürdürülmesi.
Tetkik programı/programları ilgili süreçlerin önemini ve önceki tetkiklerin sonuçlarını dikkate almalıdır,
d) Her bir tetkik için tetkik kriterlerinin ve kapsamın tanımlanması,
e) Tetkik sürecinin tarafsızlığı ve objektifliğini temin edecek şekilde tetkikçilerin seçimi ve tetkiklerin yürütülmesi,
f ) Tetkik sonuçlarının uygun yönetim kademesine raporlanmasının temin edilmesi,
g) Tetkik programı/programları ve tetkik sonuçlarının delil teşkil eden yazılı bilgilerinin muhafaza edilmesi.
Değerlendirme sonrası takip faaliyetleri sürdürülerek çalışmaların amaca ulaşması sağlanır.
Sayfa No
Referans:
D.Ü. Önlisans/Lisans Eğitimi-Öğretimi Öğrenci Danışmanlığı Yönergesi PR-003 Görüşlerin Alınması ve Değerlendirilmesi Prosedürü
FR-013. Öğrenci Dilek ve Temenni Formu 9.3. Yönetimin Gözden Geçirmesi
Düzce Üniversitesi Kaynaşlı Meslek Yüksekokulu’nda, Bilgi Güvenliği yönetim sisteminin uygunluğunun, yeterliliğinin ve etkinliğinin sürekliliğini sağlamak amacıyla planlanmış aralıklarla Yönetim Gözden Geçirmesi faaliyetleri yürütülür.
Yönetimin gözden geçirmesi aşağıdakileri ele alınmaktadır:
a) Önceki gözden geçirmelerinden gelen görevlerin durumu,
b) Bilgi güvenliği yönetim sistemini ilgilendiren dış ve iç konulardaki değişiklikler, c) Aşağıdakiler deki gelişmeler dâhil bilgi güvenliği performansına dair geri bildirim:
1. Uygunsuzluklar ve düzeltici faaliyetler, 2. İzleme ve ölçme sonuçları,
3. İç ve Dış değerlendirme sonuçları,
4. Bilgi güvenliği amaçlarının yerine getirilmesi, d) İlgili taraflardan geri bildirimler,
e) Risk değerlendirme sonuçları ve risk işleme planının durumu, f ) Sürekli iyileştirme için fırsatlar.
Meslek yüksekokulumuz, yönetimin gözden geçirmesinin sonuçlarının delili olarak FR-025 YGG Formu ile kayıt altına almaktadır.
Sayfa No
10. İYİLEŞTİRME
10.1. Uygunsuzluk ve Düzeltici Faaliyet
Düzce Üniversitesi Kaynaşlı Meslek Yüksekokulu, uygunsuzlukların nedenini gidermek ve tekrarını önlemek için gerekli tedbirleri PR.002 Uygun Olmayan Hizmetin Kontrolü Prosedürüne göre almaktadır.
Karşılaşılan uygunsuzluğun sebebini ortadan kaldıracak “düzeltici faaliyet”
belirlenir ve uygulanır. Bu sistemde, ilgili prosedür doğrultusunda tespit edilen uygunsuzluklar ele alınmakta; hizmetler ve Bilgi Güvenliği Yönetim Sistemi ile ilgili olan uygunsuzlukların sebepleri detaylı bir şekilde araştırılmakta; bu uygunsuzlukların sebeplerini yok etmek için gerekli olan düzeltici faaliyetler tamamlanmakta ve düzeltici faaliyetlerin gerçekleşip gerçekleşmediğinin kontrolü yapılmaktadır. Düzeltici faaliyetler; bu konuda oluşturulan düzeltici faaliyet formuna uygunsuzluk açıkça tarif edilecek şekilde yazılır. Açılan düzeltici faaliyetlerin en geç belirtilen bitiş süresinde ilgili sorumlusu veya onun delege ettiği kişiler tarafından gözden geçirilir.
Referans: PR.002 Uygun Olmayan Hizmetin Kontrolü Prosedürü
10.2. Sürekli İyileştirme
Bilgi Güvenliği Yönetim sisteminin etkinliği, Bilgi Güvenliği Yönetim Sistemi Politikasının ve amaçların anlaşılıp uygulanmasının sağlanması, iç ve dış değerlendirme sonuçlarının analizi, düzeltici faaliyetlerin etkin bir şekilde uygulanması ve yönetimin gözden geçirmesi yoluyla iyileştirilmektedir.
