Etiket Arşivi: eğitim

Oca 17 2012

Satış Temsilcisi

Educore Egitim ve Danışmanlık Ltd.Şti., ITIL, Yönetim Sistemleri ve  Six Sigma egitimlerinde PeopleCert tarafından yetkilendirilmiş eğitim kurumudur.Akredite Kurs Sağlayıcı, Akredite Egitim Organizasyonu ve Akredite Sınav Merkezi ünvanları ile çalışmakta ve denetçi/baş denetçi/danışman/baş danışman sertifikaları için alınması zorunlu olan eğitimleri global olarak sunmaktadır.

Satış Temsilcisi (tam zamanlı- yarı zamanlı)

Şehir: Istanbul Anadolu

Genel Nitelikler:

  • Satış alanında kariyer hedefleyen,
  • İnsan ilişkilerinde iletişim becerisi yüksek,
  • İkna kabiliyeti yüksek ve diksiyonu düzgün,
  • Hedefle çalışabilen ve takım çalışmasına uygun,
  • İyi derecede İngilizce bilen,
  • MS Office Programlarını kullanabilen,
  • Tercihen B sınıfı ehliyete sahip.

İş Tanımı:

  • Eğitimlerimizin tanıtımını ve satışını gerçekleştirecek,
  • Sahada firmamıza yeni müşteri kazanımı sağlayacak,
  • Mevcut müşterilerle ilişkileri yürütecek,
  • Raporlama yapacak,
    Primli çalışabilecek, Satış Temsilcileri aramaktayız.

İlgilenen kişilerin fotoğraflı özgeçmişlerini info@educore.com.tr adresine göndermeleri rica olunur.

Online başvuru için: http://www.educore.com.tr/hr.php

 

Oca 15 2012

COBIT 4.1 Foundation Eğitimi 27 Ocak’ta Başlıyor!

Tarih: 27-28 OCAK 2012

Eğitim Saatleri: 09:30-18:00

Adres: EDUCORE EĞİTİM MERKEZİ, Karakolhane Cad. Duatepe Sok. 38/2 Kadıköy Istanbul

COBIT 4.1 Foundation Training Description

The Control Objectives for Information and related Technology (COBIT) is a set of best practices (framework) for information technology (IT) management created by the Information Systems Audit and Control Association (ISACA), and the IT Governance Institute (ITGI) in 1996. COBIT provides managers, auditors, and IT users with a set of generally accepted measures, indicators, processes and best practices to assist them in maximizing the benefits derived through the use of information technology and developing appropriate IT governance and control in a company. The COBIT 4.1 course covers the following content:

  • Need for an IT control framework and how this is addressed by COBIT
  • The elements of the COBIT Framework with practical examples
  • IT governance issues and how COBIT addresses the need for sound IT governance practices
  • The components of the COBIT Framework
  • How to apply COBIT in practice

Duration 2 Days Classroom

  • How IT management issues are affecting organizations
  • The need for a control framework driven by the need for IT Governance
  • How COBIT meets the requirement for an IT Governance Framework
  • How COBIT is used with other standards and best practices
  • The functions that COBIT provides and the benefits of using COBIT
  • The COBIT Framework and all the components of COBIT (Control Objectives, Control Practices, Management Guidelines, Assurance Guidelines)
  • How to apply COBIT in a practical situation
  • How the use of COBIT is supported by the ITGI

Audience IT Auditors, Quality managers, IT support staff, IT consultants, IT process consultants, key business users, IT auditors, quality consultants, IT service providers, and purchase managers.

Bilgi ve Kayıt için: http://www.educore.com.tr/egitim-basvuru-formu.php

Oca 15 2012

Sanallaştırma Uzmanlığı Eğitimi

Course Outline Eğitim Tarihi:21-22 Ocak 2012Eğitim saatleri: 09:30-17:30

Adres: Educore Eğitim Merkezi, Karakolhane Cad. Duatepe Sok. 38/2 Kadıköy Istanbul

1- Sanallaştırma Nedir? VMWare’in genel özellikleri nelerdir, konu başlıkları.

2- VMWare Virtual Center ve VSphare ESX server kurulumu.  (Anlatım ve Lab çalışması)

3- Sanal sunucu yaratma, klonlama, Snap Shot ve editing özellikleri (Anlatım ve Lab çalışması

4- Networking : VSwitch, Teaming etc vs…? (Anlatım ve Lab çalışması)

5- Storage: Vmotion ve Storage Vmotion nedir? Nasil kurulur? Nasil calistirilir? (Anlatım ve Lab çalışması)

6- HA nedir? Nasıl kurulur? Nasıl çalıştırılır? (Anlatım ve Lab çalışması)

7- DRS nedir? Nasıl çalıştırılır? (Anlatım ve Lab çalışması)

8- Fault Toelerant özelliği (Anlatım ve Lab çalışması)

9- VMWare Converter ile fiziksel sunucuların sanal sunucu haline getirilmesi (Anlatım ve Lab çalışması)

10- Data Recovery ve Backup ozelligi (Anlatım ve Lab çalışması)

11- Pratik bilgiler, Sorular ve Cevaplar

Eğitim Ücreti: 500 TL + KDV

http://www.educore.com.tr/egitim-basvuru-formu.php
Oca 15 2012

ITIL Foundation Eğitimi Başlıyor!

ITIL Foundation Training + Exam

Tarih: 25-27 Ocak 2012

Eğitim Saatleri: 09:30-18:00

Adres: EDUCORE EĞİTİM MERKEZİ, Karakolhane Cad. Duatepe Sk. No:38/2 Kadıköy İstanbul

Course Overview

The purpose of the ITIL Foundation certificate in IT Service Management is to certify that the candidate has gained knowledge of the ITIL terminology, structure and basic concepts and has comprehended the core principles of ITIL practices for Service Management.

The ITIL Foundation certificate in IT Service Management is not intended to enable the holders of the certificate to apply the ITIL practices for Service Management without further guidance.

The target group of the ITIL Foundation certificate in IT Service Management is drawn from:

• Individuals who require a basic understanding of the ITIL framework and how it may be used to enhance the quality of IT service management within an organization. • IT professionals that are working within an organization that has adopted and adapted ITIL who need to be informed about and thereafter contribute to an ongoing service improvement programme.

This may include but is not limited to, IT professionals, business managers and business process owners.

Learning Objectives

Candidates can expect to gain knowledge and understanding in the following upon successful completion of the education and examination components related to this certification.

• Service management as a practice (comprehension)

• The ITIL service lifecycle (comprehension)

• Generic concepts and definitions (awareness)

• Key principles and models (comprehension)

• Selected processes (awareness)

• Selected functions (awareness)

• Selected roles (awareness)

• Technology and architecture (awareness)

• Competence and training (awareness)

 

Course Content

Unit 1 Service Management as a Practice

Unit 2 The Service Lifecycle

Unit 3 Generic Concepts and Definitions

Unit 4 Key Principles and Models

Unit 5 Processes

Unit 6 Functions

Unit 7 Roles

Unit 8 Technology and Architecture

Unit 9 ITIL Qualification Scheme

Unit 10 Mock Exam

 

Unit 1: Service Management as a Practice

The purpose of this unit is to help the candidate to define Service and to comprehend and explain the concept of Service Management as a practice. Specifically, candidates must be able to: 01-1. Describe the concept of Good Practice 01-2. Define and explain the concept of a Service 01-3. Define and explain the concept of Service Management 01-4. Define Functions and Processes 01-5. Explain the process model and the characteristics of processes

Unit 2 The Service Lifecycle

The purpose of this unit is to help the candidate to understand the value of the Service Lifecycle, how the processes integrate with each other, throughout the Lifecycle and explain the objectives and business value for each phase in the Lifecycle Specifically, candidates must be able to: 02-2. Describe the structure, scope, components and interfaces of the Service Lifecycle 02-3. Account for the main goals and objectives of Service Strategy 02-4. Account for the main goals and objectives of Service Design 02-5. Briefly explain what value Service Design provides to the business 02-6. Account for the main goals and objectives of Service Transition 02-7. Briefly explain what value Service Transition provides to the business 02-8. Account for the main goals and objectives of Service Operations 02-9. Briefly explain what value Service Operation provides to the business 02-10. Account for the main goals and objectives of Continual Service Improvement

Unit 3: Generic Concepts and Definitions

The purpose of this unit is to help the candidate to define some of the key terminology and explain the key concepts of Service Management. Specifically, candidates must be able to define and explain the following key concepts:

03-1. Utility and Warranty 03-2. Resources, Capabilities and Assets 03-3. Service Portfolio 03-4. Service Catalogue (Business Service Catalogue and Technical Service Catalogue) 03-5. The role of IT Governance across the Service Lifecycle 03-6. Business Case 03-7. Risk 03-9. Service Provider (the candidate is not expected to know the detail of each of the three types of Service Providers) 03-10. Supplier 03-11. Service Level Agreement (SLA) 03-12. Operational Level Agreement (OLA) 03-13. Contract 03-14. Service Design Package (SD Appendix A) 03-15. Availability 03-16. Service Knowledge Management System (SKMS) 03-17. Configuration Item (CI) 03-18. Configuration Management System 03-19. Definitive Media Library (DML) 03-20. Service Change 03-21. Change Types (Normal, Standard and Emergency) 03-22. Release Unit 03-23. Concept of Seven R’s of Change Management 03-24. Event 03-25. Alert (SO Glossary) 03-26. Incident 03-27. Impact, Urgency and Priority 03-28. Service Request

03-29. Problem 03-30. Workaround 03-31. Known Error 03-32. Known Error Data Base (KEDB) 03-33. The role of communication in Service Operation 03-34. Service Assets 03-35. Release policy

Unit 4: Key Principles and Models

The purpose of this unit is to help the candidate to comprehend and account for the key principles and models of Service Management and to balance some of the opposing forces within Service Management. Specifically, candidates must be able to:

Service Strategy 04-2. Describe basics of Value Creation through Services Service Design 04-3. Understand the importance of People, Processes, Products and Partners for Service Management 04-4. Understand the five major aspects of Service Design Service Portfolio Design • Identification of Business Requirements, definition of Service Requirements and Design of ServicesTechnology and architectural designProcess designMeasurement design Continual Service Improvement 04-8. Explain the Plan, Do, Check and Act (PDCA) Model to control and manage Quality 04-9. Explain the Continual Service Improvement Model 04-10. Understand the role of measurement for Continual Service Improvement and explain the following key elements: • The role of KPIs in the Improvement Process • Baselines

• Types of metrics(technology metrics, process metrics, service metrics)

Unit 5: Processes

The purpose of this unit is to help the candidate understand how the Service Management processes contribute to the Service Lifecycle, to explain the high level objectives, scope, basic concepts, activities and challenges for five of the core processes, and to state the objectives and some of the basic concepts for thirteen of the remaining processes including how they relate to each other.

The list of activities to be included from each process is the minimum required and should not be taken as an exhaustive list. Specifically, candidates must be able to:

Service Strategy State the objectives and basic concepts for: 05-21. Demand Management The following list must be covered: • Challenges in managing demand for Services • Activity-based Demand Management (Patterns of business activity • Business activity patterns and user profiles 05-22. Financial Management • Business case

Service Design Explain the high level objectives, basic concepts, process activities and relationships for: 05-31. Service Level Management (SLM)

The following list must be covered: • Service-based SLA • Multi-level SLAs • Service level requirements (SLRs) • SLAM chart • Service review • Service improvement plan (SIP)

State the objectives and basic concepts for:

05-41. Service Catalogue Management 05-42. Availability Management • Service availability • Component availability • Reliability • Maintainability • Serviceability 05-43. Information Security Management • Security framework • Information security policy • Information security management system 05-44. Supplier Management • Supplier Contract Database 05-45. Capacity Management • Capacity plan • Business capacity management • Service capacity management • Component capacity management 05-46. IT Service Continuity Management • Business Continuity Plans • Business Continuity Management • Business Impact Analysis • Risk Analysis

Service Transition Explain the high level objectives, basic concepts, process activities and relationships for: 05-51. Change Management • Types of change request • Change process models and workflows • Standard change • Remediation Planning • Change Advisory Board / Emergency Change Advisory Board

05-52. Service Asset and Configuration Management to include: • The Configuration Model • Configuration items • Configuration Management System (CMS) • Definitive Media Library • Configuration baseline State the objectives and basic concepts for: 05-61. Release and Deployment Management 05-62. Knowledge Management DIKW & SKMS

Service Operation Explain the high level objectives, basic concepts, process activities and relationships for: 05-71. Incident Management 05-72. Problem Management, not PM techniques State the objectives and basic concepts for: 05-81. Event Management 05-82. Request Fulfilments 05-83. Access Management

Unit 6: Functions

The purpose of this unit is to help the candidate to explain the role, objectives and organizational structures of the Service Desk function, and to state the role, objectives and overlap of three other functions. Specifically, candidates must be able to:

06-1. Explain the role, objectives and organizational structures for • The Service Desk function 06-2. State the role, objectives and organizational overlap of: • The Technical Management function • The Application Management function • The IT Operations Management function (IT Operations Control and Facilities Management)

Unit 7: Roles

The purpose of this unit is to help the candidate to account for and to be aware of the responsibilities of some of the key roles in Service Management. Specifically, candidates must be able to: 07-1. Account for the role and the responsibilities of the • Process owner Service owner 07-2. Recognize the RACI model and explain its role in determining organizational structure.

Unit 8: Technology and Architecture

The purpose of this unit is to help the candidate to 08-2. Understand how Service Automation assists with integrating Service Management processes

Unit 9: ITIL Qualification Scheme The purpose of this unit is to help the candidate to 09-1. Explain the ITIL Qualification scheme, distinguish between the purposes of the two intermediate streams, mention the included certificates, ITIL Expert and ITIL Master, and understand the different options for further training.

Mock Exam The purpose of this unit is to help the candidate to pass the ITIL Foundation exam. Specifically, candidates must: 10-1. Sit minimum one ITIL Foundation mock exam.

Course Duration & Exam Three (3) days – includes lecture, exam preparation and exam. Exam Duration: 60 minutes. Exam Language: English Exam passing score: 28/40 or 70%

Accreditation Educore is an authorized training organization for ITIL, Management Systems and Six Sigma by PeopleCert Group. Educore is approved as Accredited Courseware Provider, Accredited Training Provider and Accredited Exam Center by People Cert Group for ITIL, ISO 27001, ISO 20000. Educore offers training programs for Auditor/Lead Auditor/Consultant/Lead Consultant certifications internationally. Educore organizes training programs and related exams in its branches in Istanbul, Ankara, Londra, California

Eğitim kayıt için;

http://www.educore.com.tr/egitim-basvuru-formu.php

EDUCORE EĞİTİM MERKEZİ

Karakolhane Cad. Duatepe Sk. No:38/2 Kadıköy İstanbul Türkiye

Tel: +90 216 348 26 73  Fax: +90 216 449 24 84

 

Ara 2 2011

Educore Aralık Eğitim ve Seminer Takvimi

Aralık 2011- Eğitim ve Seminer Takvimi:

http://www.educore.com.tr/dec_train/

http://www.educore.com.tr/egitim-basvuru-formu.php

Educore Çağrı Merkezi:

Eki 15 2011

CIISP Hazırlık Eğitimleri- Ankara

ANKARA
CISSP HAZIRLIK EĞİTİMLERİ:

Haftasonu Eğitimi: 29 Ekim; 12, 19, 26 Kasım; 3 Aralık; 10 Aralık (12 saat soru çözme)

Haftaiçi Eğitimi: 14 – 18 Kasım; 10 Aralık (12 saat soru çözme)

İSTANBUL
CISSP HAZIRLIK EĞİTİMLERİ:

Hafta
sonu Eğitimi: 30 Ekim; 13, 20, 27 Kasım; 4 Aralık; 11 Aralık (12 saat soru çözme)

Haftaiçi Eğitimi: 21 – 25 Kasım; 11 Aralık (12 saat soru çözme)

Eğitimlerimiz 40 saat konu anlatımı ve 12 saat yoğunlaştırılmış örnek soru çözme şeklinde
düzenlenmiştir.

CISSP eğitimlerimize katılan herkes CISO CLUB üyesi olacaktır. Kulübümüz, bilgi
güvenliği liderleri için sosyal birliktelik oluşturmak amacıyla kuruldu. Web
sayfamızda http://armones.com/ciso-club linkinde
daha ayrıntılı açıklanmaktadır.

20 Ekim tarihine kadar kayıt olunması durumunda %20 erken kayıt indirimi
uygulanmaktadır.

Eğitimi alan kişi, CISSP sınavını geçememesi halinde, eğitimi 2012 yılı içinde
%50 indirimli olarak tekrar alma imkanına sahiptir.

Eğitim
içeriği, ayrıntılı bilgi ve fiyat için:

E-mail: info@ciso-club.com , bilgi@armones.com

Telefon: 0312 217 27 39

Saygılarımızla,

Aysun
Tuncer
Coach @ Armones CISO-CLUB

0 533 325 52 63

Eyl 1 2011

Educore Eğitim Merkezi Açıldı!

Educore’un 5. şubesi olan Eğitim Merkezi Kadıköy’de açıldı.

Aşağıdaki linkten eğitim merkezinden görüntüler  görebilir ve açılışa özel eğitimlere uygulanan %50 indirim fırsatından faydalanabilirsiniz.

Güncel eğitim takvimini ve indirimli eğitimleri 0216 348 26 73 nolu telefondan öğrenebilirsiniz. Eğitim merkezi görüntüleri için:  http://www.educore.com.tr/educore-egitim-merkezi.php

Educore Eğitim Merkezi Kadıköy şubesinin açılışı sebebiyle %50 indirimli akredite ITIL Foundation 2011
Edition eğitimimize davetlisiniz. Eğitim akredite olup 3 gün sürmektedir. Eğitim bedeli 1000 USD’den bir seferliğine 500 USD’ye indirilmiştir. Eğitime 200 USD değerindeki akredite sınav da dahildir. Eğitim sonunda sınav yapılacak ve katılımcılar uluslararası geçerli
ITIL Foundation sertifikası alacaklardır.

Eğitim bilgileri ve online kayıt için:

http://itilv3foundationtraining.eventbrite.com/

ITIL V3, 2007 yılında yayınlanmıştır ve Ağustos 2011′de güncellenmiştir. Educore, Türkiye’deki PeopleCert ve APMG
tarafından tanınan tek Türk akredite yetkili eğitim merkezidir. Aynı zamanda ders içeriği sağlayıcı olarak eğitim içeriğini
2011 sürümüne göre düzenlemiştir ve Türkiye’de bir ilk olan yeni versiyon ITIL Foundation eğitimine sizleri davet etmektedir.

Ücretsiz deneme sınavı ve online eğitim sistemimize ücretsiz kayıt için 
www.educoreuniversity.com adresinden

LMS bölümüne girip kaydınızı yaptırabilirsiniz.

Ücretsiz prestudy materyallerine ulaşmak ve ücretsiz ön deneme sınavı almak için çağrı merkezimizi de arayabilirsiniz.

Eğitim ücretinin kredi kartı ile taksitli ödenmesi de mümkündür.

Yeni eğitim merkezimizde görüşmek üzere.

Educore Eğitim Merkezi

www.educore.com.tr

www.educoreuniversity.org

Çağrı Merkezi:
 0216 348 26 73 (0216 348CORE)

Karakolhane Cad. Duatepe Sok. No:38 Kadıköy Istanbul

Mar 13 2011

Yönetim Sorumluğu

Yönetimin, ISO/IEC 27001 standardındaki Madde 5 ile uyumlu olarak; BGYS’nin kurulması, gerçekleştirilmesi, işletilmesi, izlenmesi ve gözden geçirilmesi, sürekliliğinin sağlanması ve iyileştirilmesinde üstlendiği prosesler ve faaliyetler için var olduğunu kanıtlaması önemlidir. Bilgi güvenlik politikasının tesisinden başlayarak, hedeflerin belirlenmesi, rollerin ve sorumlulukların verilmesi, bilgi güvenlik yönetiminin öneminin işe iletilmesi, kaynakların BGYS için tedarik edilmesi, yönetimin gözden geçirme sürecini uygulayarak risk kabul ölçütüne ve kabul edilebilir risk seviyesine karar verilmesi; gerçek, pozitif, şeffaf destek verilen ve kendisini adamış bir yönetime ihtiyaç gösterir.

Yönetim kararlarının yazıya dökülmesi ve yazıya dökülen bu kararların, kendisini işe adamış olan kuruluşun bilgi güvenliği yönetim prosesine sahip olduğunu kanıtlaması için gösterilmesi amacıyla kullanılabilir.

Kuruluş BGYS standardında tanımlanan gereksinimlerin ve proseslerin gerçekleştirilmesi için yeterli kaynakları sağladığından emin olmalıdır. Bu husus, Madde 4 ila Madde 7’de tanımlananların tümünü içerir.

Kuruluş, kaynakların ISO/IEC 27001’deki Madde 5.2’ye uygun olarak doğru bir biçimde yönetilmesini de temin etmelidir. Kaynakların gerekli olduğu bazı faaliyetler bulunmaktadır: Risk belirlemede kullanılacak kaynaklar, kontrollerin gerçekleştirilmesi için gerekli olan kaynaklar, eğitim ve BGYS bir kez kurulduktan sonra onu güncel tutmak ve iş için her gün etkin olmasını sağlamak için gerekli olan kaynaklar. Bu faaliyetlerin her birisi için, yeterli kaynağın tahsis edilmesini destekleyen planlar da hazır olmalıdır.
Kuruluş, eğitim ve farkındalık gereksinimlerini tanımlamalı ve BGYS’in etkin olduğunu ve söz konusu bu bilgi güvenliğinin günlük olarak pazarlandığının uygun bir biçimde bildirilmesini temin etmek amacıyla tüm kullanıcılara, kuruluşun idari personeline ve yöneticilere uygun eğitim verilmelidir.
Verilecek eğitim, bilgi güvenliği için rol ve işlev ile belli sorumluluklarla orantılı olmalıdır. Genel eğitim ve farkındalık programının bir parçası olarak, kuruluş bilgi güvenlik yönetimini içine almalı ve eğitilen kişilere doğru rollerin ve sorumlulukların verildiğinden ve rol ve sorumluluk verilen bu kişilerin bilgi güvenlik yönetimi konularıyla uğraşacak yeterlikte olduklarından emin olmalıdır. Burada geçen yeterlik düzeyi, herkesin sahip olması gereken basit anlama ve yeterlik düzeyinden – örneğin; parola kullanımı, fiziki güvenliğin temelleri, elektronik postanın doğru kullanımı, virüslerden korunma, vs. – tüm çalışanların sahip olması beklenmeyen daha karmaşık yeterlik düzeyine – örnek: koruma duvarı oluşturulması, bilgi güvenlik ihlal olayı işlem sürecinin yönetilmesi, vb. – kadar olabilir.
Kuruluş içerisinde eğitime katılan personelin eğitim kayıtları, personelin beceri düzeyinin genel hatlarıyla ortaya konulması ve kuruluş içerisinde gerçekleştirilen eğitim faaliyetlerinin kanıtlanması için muhafaza edilmelidir. Eğitimin ne kadar etkili olduğunun ve düşünülen hedeflere ulaşılıp ulaşılmadığının değerlendirilmesi için de bu kayıtlar önemlidir.

 

BGYS iç denetimleri

İç BGYS denetimleri (Bu denetimler üçüncü tarafın yaptığı denetimler olmayıp kuruluş tarafından yapılan denetimlerdir.) yapılması ISO/IEC 27001’in 6’ncı maddesi gereğince bir zorunluluktur. Kuruluş, kontrol hedeflerinin, kontrollerin, prosedürlerin ve proseslerin tanımlanan güvenlik gereksinimlerini karşılayıp karşılamadığını ve yürürlükteki yasal mevzuatla uyumlu olup olmadığını tespit etmek için BGYS denetimleri yapmalıdır.

BGYS denetimleri aynı zamanda kontrollerin etkin bir biçimde gerçekleştirilip gerçekleştirilmediğini; kontrol hedeflerinin, kontrollerin, prosedürlerin ve proseslerin beklenildiği şekilde işe yarayıp yaramadığını da ortaya koymalıdır. Kuruluşun BGYS denetimlerini ne zaman yapılacağına ilişkin planları olmalı ve planlama sorumluluğu, denetimlerin yapılması ve sonuçların kayıt altına alınması yazıya dökülmelidir. BGYS iç denetimleri, denetçinin tarafsız olması, dokümantasyonun ve sonuçların rapor edilmesi gibi tüm denetimlerde görülen gereksinimlerle uyumlu olmalıdır.

BGYS’in yönetim tarafından gözden geçirilmesi

Yönetimin, ISO/IEC 27001 standardının 7’nci maddesine göre kuruluşun BGYS’nin belirlenen bir plan ve gözden geçirme programına göre incelemesi önemlidir. BGYS’nin gözden geçirilmesi, BGYS’nin iyileştirmeler ve değişiklikler yapılıp yapılmamasına ihtiyacı bulunup bulunmadığı konusunda kuruluşun tespitte bulunmasını ve karar vermesini sağlar.

Kontrol et aşaması BGYS’nin, hâlâ geçerli olup olmadığı ve yeterli bilgi güvenliği sağlayıp sağlamadığını tespit etmek ve değerlendirmek için BGYS’nin ve değişen tehdit durumunun iş ve işletim ortamındaki değişikliklerinin izlenmesi ve gözden geçirilmesi üzerinde durur. Durumun gözden geçirilmesinden sonra, bazı ilke ve işlemlerin eklenmesi/değiştirilmesi/geliştirilmesi; ya da bazı teknik kontrol önlemlerinin eklenmesi/değiştirilmesi/geliştirilmesi gerekebilir anlamı çıkar.

Düzenli olarak BGYS’nin gözden geçirilmesi ve denetimi yapılmazsa; BGYS güncelliğini, etkinliğini yitirebilir ve kuruluşun karşılaşacağı risklerin yönetiminde yetersiz kalabilir. Bunun sonunda da kuruluş, artık daha fazla işe yaramayacak olan bir BGYS’ye yatırım yapmış olur.

Kuruluşun göz önüne alması gereken çeşitli denetim ve gözden geçirme yolları vardır: İlk taraf denetimi ve gözden geçirmesi (ör: BGYS iç denetimi), ikinci taraf denetimi ve gözden geçirmesi (örnek: bir müşteri gereksiniminden doğan gereksinim ya da sözleşmeden kaynaklanan düzenleme) veya üçüncü taraf denetimi ve gözden geçirmesi (ör: bağımsız üçüncü taraf belgelendirme kuruluşu tarafından yürütülen bir BGYS belgelendirmesi)

ISO/IEC 27001’de Madde 7.2 ve Madde 7.3, yönetsel gözden geçirmelerin giriş ve çıkışları için belirgin gereksinimler tanımlar. Kuruluşun, gözden geçirmeler için yeterli ve doğru bilgiyi girdiğinden emin olması,doğru kararların alınması ve uygun eylemlerin yapılmasını sağlaması bakımından önemlidir.
Kuruluşlar, yönetsel gözden geçirmelere sahip olma gayretine gireceklerse, bu durumda zaman ve kaynak kaybına neden olmadan doğru kararları alabilmesi için yeterli bilgiye sahip olmaları önemlidir.

Kuruluşun üçüncü taraf sertifikasyonuna gidip gitmemesi bir yönetim kararıdır; ancak zorunlu değildir.

Bununla birlikte, BGYS standardının 1 ila 8’inci maddelerinde belirtilen gereksinimlerin tümü sertifikasyon için zorunludur.

BGYS iyileştirmeleri
Risk, iç ve dış koşullardan etkilenerek sürekli olarak değişir. Bundan dolayı “Kontrol et aşaması”nda tanımlanan değişikliklere karşılık olarak yapılan gözden geçirmeler ile risk ortaya çıkmadan önce riski yönetmek önemlidir. Kuruluş ISO/IEC 27001 Madde 8.2 ve 8.3’de tanımlandığı şekilde, tanımlanan her türlü BGYS iyileştirmesini gerçekleştirecek ve alınması gereken düzeltici ve önleyici önlemleri gösteren prosesleri önceden belirlemelidir.

Kuruluş BGYS’nin gerçekleştirilmesinde ve işletilmesindeki uyumsuzlukları tanımlamalı, bu uyumsuzlukların nedenlerini tespit etmeli ve uyumsuzluklarla tekrar karşılaşılmaması için gereken düzeltici önlemleri almalıdır.

Bu önlemlerin öngörülen hedefin elde edilmesini sağlaması için sonuçlar kayıt altına alınmalı ve gözden geçirilmelidir.
Yukarıda sayılanlara ek olarak kuruluş, BGYS gereksinimleriyle ortaya çıkabilecek olası uyumsuzluklar ile bu uyumsuzlukların nedenlerini tanımlamak için gerekli olan önlemleri de tespit etmelidir. Bu önlemlerin alınması ihtiyacı değerlendirilmeli ve önlem alınacaksa, önce bu önlem tanımlanmalı ve sonra da tanımlanan bu önlem alınmalıdır. Burada özellikle, önlemin alınacağı yerin büyük bir olasılıkla, riskli bir ortam olacağı düşünüldüğünde, risk durumundaki değişiklikler de dikkate alınmalıdır. Bu tür önlemlerin sonuçları, önlemlerin uygun olup olmadığı ve öngörülen hedeflerin elde edilmesini sağlayıp sağlamadığının değerlendirilmesi için kayıt altına alınmalı ve sonradan gözden geçirilmelidir.

 

Mar 13 2011

BGYS’nin Gerçekleştirilmesi ve İşletimi

Uygula aşaması için ISO/IEC 27001 Madde 4.2.2’de tanımlanan “-ecek”,”-acak” ifadeleri; kuruluşun Planla aşaması’nda kurulan BGYS’in gerçekleştirilmesi ve işletilmesi için uygun proses kümesine sahip olunmasını temin etmesi amacıyla tasarlanmıştır.

“Uygula Aşaması”ndaki farklı adımlar aşağıdaki gibidir:

a) Bir risk giderme planının formül edilmesi.

Bu plan, tanımlanmış riskleri yönetmek için hangi yönetim eylemlerine başvurulması gerektiği, bu eylemlerin öncelikleri, sınırlayıcı faktörler, son bildirim tarihleri ve gerekli kaynakların neler olduğunun ana hatlarını ortaya koymalıdır. Bilgi güvenliği risklerini yönetme sürecinde başvurulan eylemlerin sorumluluğunun, BGYS’deki yöneticilerin ve kullanıcıların konuyla ilgili güvenlik sorumluluklarında olduğu kadar açıkça ortaya konulmasına ihtiyaç vardır. Başka iş prosesleri ve planlarının da risk giderme planıyla koordine edilmesine ihtiyaç duyulabilir.

b) Risk giderme planının gerçekleştirilmesi.

Kuruluş, BGYS için gerekli olan fon kaynağını, rollerin ve sorumlulukların paylaşımını göz önüne alan bir risk giderme planı ile seçilen kontrol hedefleri ve önlemleri sisteminin gerçekleştirilmesi amacıyla bir dizi süreç belirlemelidir. Bu proseste tanımlanan eylemler, roller ve sorumluluklar yazıya dökülmelidir.

c) Kontrol hedeflerini karşılaması için seçilen kontrollerin gerçekleştirilmesi.

Kuruluş, risk giderme planında yer alan eylemler, öncelikler, kaynaklar, roller ve sorumluluklarla birlikte seçilen kontrollerin gerçekleştirilmesi için prosedürleri ortaya koymalıdır. Kaynak israfını önlemek için gerçekleştirme derecesi (örneğin; ne kadar eğitim, kayıt veya raporlama),çok dikkatlice karar vermeyi gerektirir. Lüzumsuz gerçekleştirme; tüm kontrol etkinliğinde bir azalmayla sonuçlanan, kontrolden etkilenen personelin rahatsızlık duymasına neden olabilir.

Güvenlik ve kontrol, daima insanların yaşamları ve çalışma pratikleri üzerinde etkilidir; ancak hiçbir zaman sıkıntıya sebep olmamalıdır.

d) Kontrol etkinliğinin ölçülmesi ve değerlendirilmesi.

Seçilen kontrollerin gerçekleştirilmesiyle birlikte kontrol etkinliğinin ölçülmesini ve değerlendirilmesini mümkün kılan anlamların da ortaya konulması gereklidir. Kontroller, seçildiği bilgi güvenliği risk(ler)inin yönetiminde işe yaramalıdır. Bu nedenle kuruluş, kontrollerin öngörülen hedefleri elde etmesini temin için kontrollerin etkinliğini nasıl ölçmek istediğini belirlemelidir. Tüm kontrollerin grup hâlinde etkinliğinin ölçülmesi usulü uygun ve anlamlı olduğu sürece kontrolleri gruplar halinde ayırmak mümkün olduğu gibi, bu kontrol gruplarına uygulanacak olan ölçütleri tanımlamak da mümkündür.

Kontrol etkinliğinin belirlenmesinde kullanılan ölçütler, karşılaştırılabilir ve yeniden elde edilebilir sonuçlar vermelidir. Bu ölçütler, kontrollerin maliyet etkinliğini de ortaya koymalıdır. Genellikle bir kontrol için gerçekleştirmenin birden fazla derecesi vardır ve elde edilen faydalar, ilave edilen güvenliğin elde ettiği gerçek kullanım ile karşılaştırılmalıdır. Kontrollerin etkinliğinin ölçülmesi için tanımlanan anlamlar,kuruluşun kontrol etkinliğinin belirlenmesinde nasıl kullanıldığını göstermek için belgelendirme amacıyla yazıya dökülmelidir.

e) Eğitim ve farkındalık programının gerçekleştirilmesi.

Kuruluş, BGYS sorumlulukları olan personelin verilen görevleri yerine getirme konusunda yeterli olmalarını sağlamak için uygun bir farkındalık ve eğitim programı uygulamalıdır. Program gerekli yeterlikleri belirlemeli, bu gereksinimleri karşılamak için gerekli olan eğitimi sunmalı, eğitimin etkinliğini değerlendirmeli ve kazanılan yetilerin ve niteliklerin kaydını tutmalıdır.

Güvenliğin, insanların yaptıkları işi engellemek için var olmadığı unutulmamalıdır. Güvenlik, insanların yaptıkları işi daha kontrollü yapmalarını sağlamalıdır. Güvenlik, insanların verilen sorumlulukları yerine getirdiğini göstermeli ve kıymetlerini hiçbir şüpheye meydan vermeksizin ortaya koymalı ve niteliklerini geliştirmelidir. Çalışanlar, iyi seviyede gerçekleştirilmiş güvenliğin rahatsızlık kaynağından daha çok faydası olduğunu kısa sürede anlayacaklardır.

f) BGYS’nin işletilmesinin idaresi.

Kuruluş, BGYS’yi tanımlanan kontroller, politikalar ve prosedürlere uygun olarak işletmelidir. BGYS’nin gün gün işletilmesi, kurulan güvenlik düzenlemelerinin tasarlandığı gibi işlevini yerine getirip getirmediğinin değerlendirilmesi amacıyla “Kontrol et aşaması” için gerek duyulan bilgiyi sağlamalıdır. Bu değerlendirmenin yapılabilmesi için BGYS’nin işletimi sırasında gerekli olan tüm belgelerin ve kayıtların toplanması önemlidir.

g) BGYS için kaynakların idaresi.

Kuruluş, BGYS’yi işletmek, izlemek, gözden geçirmek, sürekli kılmak ve geliştirmek için gerekli olan kaynakları tanımlamalı ve sağlamalıdır. Yeterli kaynakların sağlanması,ayrıntıları Madde 3.9’da tanımlanan genel yönetim sorumluluğunun bir parçasıdır.

h) İhlal olaylarını idare etmek için prosedürlerin ve kontrollerin gerçekleştirilmesi.

Kuruluş, bilgi güvenliği olaylarını tanımlamak ve rapor etmek, bu olayları değerlendirmek, olaylara etkili bir biçimde karşılık vermek, bilgi güvenliği ihlal olaylarının vereceği zararı sınırlamak için gerekli olan prosedürleri ve kontrolleri belirlemelidir. Bilgi güvenliği ihlal olaylarının tümünün kaydı çoğaltılabilir olmalı ve kuruluş, ihlal olaylarını değerlendirmek ve bu olaylardan dersler almak için usuller belirlemelidir. İhlal olayı yönetimi tarafından yapılan kayıtlar, uygulama sırasında riski belirlerken ya da riski ortadan kaldırma kararları alınırken anlam ifade edip etmediği ve gerçekleştirilen kontrollerin tasarlandığı şekilde işleyip işlemediği konusunda değerlendirme yapabilmek için çok değerli bir kaynaktır.