Regülasyon Uyumluluk Hizmetleri

Regülasyon Uyumluluk Hizmetleri

✉ Hizmet Teklifi Alın

NewEx olarak bilgi güvenliği ve siber güvenlik alanındaki 15 yıllık tecrübemiz bize regülasyonların kurum ve kuruluşların güvenlik altyapılarını iyileştirebilmeleri için en sağlıklı yol olduğunu gösterdi. Uluslararası arenada çıkan kanunlar (GDPR, UNCAN…), standartlar (ISO 27001, ISO 27701, NIST SP800…) ve güvenlik frameworkleri (CIS 20, NIST CSF…) kurum ve kuruluşlara ışık tutmakta. NewEx tüm standartlarda danışmanlıklar yapmamakta, sadece aşağıda sıraladığımız / uzman olduğu alanlarda müşterilerine büyük özveri ile başarı odaklı hizmetler sunmaktadır. NewEx olarak tüm kanun ve regülasyonlar kapsamında gerek kontrolleri belirler ve dokümante ederken gerekse yatırım tavsiyelerini belirlerken temel mottomuz tecrübe ve doğruluktur.

Bilgi Güvenliği Yönetim Sistemi’nin temel felsefesi tüm bilgi varlıkları ve tüm veri transfer yollarını kontrol altında tutmaktır. ISO 27001 BGYS standardının bu yaklaşımı içinde bilgi güvenliği barındıran diğer tüm kanun ve regülasyonların (KVKK, SPK, Risk Merkezi, YYS…) güvenlik sac ayakları için bir platform oluşturmasını sağlar.

Bilgi Güvenliği Yönetim Sistemi risk based bir standart olup sadece dokümantasyon olarak görülmemeli veya rijit teknik kontrollerden ibaret olduğu düşünülmemelidir.

Kurum ve kuruluşlarda bilgi güvenliği çalışmaları yapılmadan önce bilgi varlıklarının envanterleri çıkarılır ve risk analizleri yapılır. Bu çalışmalar sonucunda kurumlarda ne tür bilgi varlıkları var ve üzerlerinde ne tür riskler var diye bir analiz yapmış olur ve bir risk seviyesi belirlemiş olursunuz. Bilgi varlıkları ve bilgi transfer yolları üzerindeki kontrollerde ne kadar ileri gidileceğine bu risk seviyesine göre karar verilmelidir. Sonrasında diğer tüm politika, prosedür ve talimatlar bu kontroller göz önünde bulundurularak oluşturulmalıdır.

İş Sürekliliği Yönetim Sistemi beklenmedik kesintilere karşı hassas kurum ve kuruluşlar için doğru iş sürekliliği yapısının kurulması için en geçerli kılavuzdur. Sürdürülebilir kapasite ve kabul edilebilir kesinti/kayıp için kurumlar gerekli planlamaları yapmış olmalı, doğru dokümantasyon, eğitim ve tatbikatlarla bu planları desteklemelidir.

İş sürekliliği altyapısının doğru kurgulanabilmesi için iş sürekliliği yönetim sisteminin doğru algılanması gerekir. İş sürekliliği günümüzde sadece bilgi teknolojilerinin bir sorumluluğu gibi düşünülmekte, ISO 22301 İş Sürekliliği Yönetim Sistemi de sadece bilgi teknolojileri ile ilgili bir standart sanılmakta ve hatta ISO 27001 BGYS Standardının bir parçası gibi lanse edilmektedir (ISO 27001 standardında iş sürekliliği sadece bilgi güvenliğinin sürekliliği olarak geçer).

İş sürekliliğinin sağlanabilmesi için doğru planlama, doğru planlama için doğru danışmanlık ve doğru danışmanlık için uzman danışmanlar gerekmektedir. Bu bağlamda NewEx olarak sizlere hizmet vermekten memnuniyet duyarız.

Yolsuzluk ve rüşvet, dünyanın en zorlu sorunlarından birisidir. Bununla birlikte, ulusal ve uluslararası düzeyde rüşvetle mücadele çabalarına rağmen yolsuzluk, önemli bir sorun olmaya devam etmektedir. Bu sorunun farkında olan Uluslararası Standardizasyon Örgütü (“ISO”), kuruluşların yolsuzluk ve rüşvet gibi etik dışı davranışlarla mücadele etmelerine yardımcı olmak için ISO 37001’i yayınlamıştır.

Ekim 2016’da yayınlanan ISO 37001 standardı; kuruluşlara proaktif bir Yolsuzlukla Mücadele Yönetim Sistemi uygulama ve sürdürme konusunda yardımcı olma amacıyla tasarlanan, yasal uyum odaklı ve etik iş kültürünü teşvik eden bir standarttır.

ISO 37001, United Nations Convention against Corruption (UNCAC)-Birleşmiş Milletler Yolsuzlukla Mücadele Sözleşmesi, European Anti-Corruption Conventions-Avrupa Yolsuzlukla Mücadele Sözleşmeleri, USA Foreign Corrupt Practices Act-ABD Rüşvetin Önlenmesi ve Yabancı Ülkelerde Yolsuzluk Uygulamaları Kanunu ve England Bribery Act-İngiltere Rüşvet Yasası gibi uyum yasaları ile aynı protokolü uygulayarak tüm dünyada tanınan ve küresel mücadeleyi güçlendiren evrensel bir standarttır.

ISO 37001’in Kurumunuza Getirmiş Olduğu Katkılar Nelerdir?

ISO 37001:2016, etik ve yolsuzluk karşıtı bir yönetim sisteminin kurulması, uygulanması, sürdürülmesi, gözden geçirilmesi ve geliştirilmesi için gereksinimleri belirtir ve rehberlik eder. Sistem bağımsız olabilir veya genel bir yönetim sistemine entegre edilebilir. ISO 37001:2016, kurum veya kuruluşun faaliyetleriyle bağlantılı olarak aşağıdakileri ele almaktadır:

• Kamu, özel ve kâr amacı gütmeyen sektörlerde yolsuzluk; • Kurum tarafından yolsuzluk; • Kurum adına çalışan veya ürün/hizmet alan/satan kuruluş personeli tarafından yolsuzluk; • Kurumun iş ortakları tarafından kurum adına hareket eden, kurum yararına veya zararına etik dışı tutumlar; • Rüşvet; • Kurum faaliyetleri ile ilgili olarak kurum personelinin yolsuzluğu; • İş ortaklarıyla ilgili yolsuzluk; • Doğrudan ve dolaylı yolsuzluk (Örneğin; Üçüncü bir tarafça veya üçüncü taraf aracılığıyla teklif edilen veya kabul edilen etik dışı fayda)

Türk Hukukunda Yolsuzluk ve Rüşvete İlişkin Düzenlemeler Nelerdir?

Yolsuzluk ve Rüşvete dair mevzuatımızda yer alan bir kısım düzenlemelere aşağıda yer verilmiş olup ülkemizin taraf olduğu uluslararası anlaşmalar ve Kurumunuzun ticari ilişki içerisinde olduğu uluslararası firmaların talebi doğrultusunda gerek yerel hukuka gerekse yabancı ülke hukukuna ve uluslararası hukuktan doğan düzenlemelere de ISO 37001 çerçevesinde entegrasyonu gerekebilmektedir.

ISO / IEC 27017, bulut hizmeti sağlayıcıları ve kullanıcıları için daha güvenli bir bulut tabanlı ortam oluşturmak ve güvenlik sorunları riskini azaltmak için geliştirilmiş bir güvenlik standardıdır. ISO 27017 bulut hizmetleri için ISO / IEC 27002’ye dayalı bilgi güvenliği kontrollerini tanımlayan güvenlik kılavuzudur.

Günümüzde uzaktan çalışma ve bulut teknolojilerinin artan kullanım sıklığı güvenlik standartlarını da bu alanda evrilmeye itmiştir. Bulut teknolojileri üzerinden hizmet veren firmalar ve bulut teknolojilerini kullanan firmalar güvenlik sıkılaştırmaları için, altyapılarının olgunluk seviyelerinin kontrolü için ISO 27017 standardına uyumu en kısa sürede gerçekleştirmelidirler.

NewEx olarak teknik ve güvenlik tecrübemizle sizlere bulut güvenliğinizin standardizasyonu alanında hizmet vermekten mutluluk duyarız.

ISO / IEC 27701: 2019, ISO / IEC 27001’in bir kişisel veri güvenliği için geliştirilmiş halidir. Tasarım amacı, bir Kişisel Veri Yönetim Sistemi (PIMS) kurmak, uygulamak, sürdürmek ve sürekli olarak iyileştirmek için mevcut Bilgi Güvenliği Yönetim Sistemini ek gereksinimlerle geliştirmektir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi kişisel veriler de dahil tüm bilgi varlıkları ve bu varlıkların transfer yollarını kontrol altında tutmayı hedefler. KVKK ile gelen teknik güvenlik gereksinimleri ISO 27001 Bilgi Güvenliği Yönetim Sistemi kapsamında yapılan çalışmalar ile daha rahat standardize edilebilmektedir.

ISO 27701 ile tüm kişisel verilerin (Personally Identifiable Information – PII) yönetimi için bir standardizasyon sağlanmaktadır. Turkak tarafından da akredite edilen standart, kurum ve kuruluşlarda 6698 Kişisel Verilerin Korunması Kanunu kapsamında yapılan çalışmalar için ciddi bir olgunluk seviyesi göstergesi olacaktır. ISO 27701 Kişisel Veri Yönetim Sistemi kurulumu ve denetimi ile firmalar KVKK nezdinde kendi bünyelerinde daha önce yapılmış çalışmaların yeterliliğini denetleyebilecek, süreci standardize edebileceklerdir.

NewEx olarak, KVKK, ISO 27001 ve ISO 27701 projelerinizde tecrübeli ekiplerimizle sizlere danışmanlık vermekten memnuniyet duyarız.

6698 sayılı Kişisel Verilerin Korunması Kanunu 2016 yılında yayınlandı her geçen gün hem kurum ve kuruluşların hem de bireylerin gündelik hayatına daha çok nüfuz etti. Kanun bireylerin kişisel verilerinin yanlış veya alt niyetli kullanımının önüne geçmeyi hedeflemekle birlikte, kişisel veri işleyen her sektörden, her büyüklükte firma için de iletişim ve veri depolama başta olmak üzere birçok kuralı değiştirdi. Kurum ve kuruluşlar bir taraftan kişisel veri işleme metotlarını düzenlerken bir taraftan da bu verilerin güvenliğini sağlamak zorundalar. Kişisel Verileri Koruma Kurumu’nun bildirimleri incelendiğinde idari uygunsuzluklarla birlikte çok fazla veri sızıntısı kaynaklı ceza da görülebilmekte. https://www.kvkk.gov.tr/Icerik/5406/Kurul-Karar-Ozetleri

Kanuna uyum multidisipliner bir yaklaşım gerektirmekte. Bu bağlamda bir taraftan tüm kişisel veri işleme yolları ve mevcut veriler kanun nezdinde değerlendirmeye alınarak gerekli idari, dokümantasyonel çalışmalar tamamlanmalı bir taraftan da gerekli teknik tedbirler uygulanmalıdır. 6698 sayılı kanuna uyum çalışmaları sürdürülürken dikkat edilmesi gereken en önemli konu danışmanlık veren avukatın / hukuk bürosunun sektörel kanunlara hâkimiyeti olmalıdır. Hizmet verilen sektöre uygun olarak hukuk müşavirlerinin sağlık, finans, havacılık, enerji, dış ticaret gibi sektöre özel uzmanlıklarının olması beklenmelidir. NewEx çalışmakta olduğu ulusal ve uluslararası hukuk bürolarıyla, bu bağlamda tam kapsamlı bir danışmanlık hizmeti sunmaktadır. Bu bağlamda 4 konuda bizlerden hizmet alabilirsiniz; – KVKK uyum süreci, hukuki ve teknik danışmanlığı – İş Süreçleri Analizi ve Danışmanlığı – Veri Etki Analizi, Veri Güvenliği ve Bilgi Teknolojileri – KVKK Denetimi, Mevcut Durum Analizi ve Raporlama

Kanuna uyum sürecinin bir sonu olmadığı bilinmeli ve projelerde minimum sürede maksimum uyum planlanmalıdır. Kontrollerde risk ve maliyet analizleri doğru yapılmalı, gereksiz yatırımlardan kaçınılmalıdır.

Uluslararası alanda tüm ülkeler, siber güvenliği sağlamak için çalışmalar yürütmekteler. Siber güvenlik alanında birçok ulusal ve uluslararası kanun ve regülasyon yayınlandı ve yayınlanmaya devam etmekte. Özel komiteler kurulmakta ve güvenlik için frameworkleri oluşturulmakta. Ülkemizde de bu çalışmalar siber güvenlik çalıştayları ile başladı, siber güvenlik eylem planları yayınlandı. Ulusal Siber Olaylara Müdahale (USOM) Merkezi’nin kurulmasının peşinden kritik altyapılar ve devlet kurumları başta olmak üzere SOME ekiplerinin oluşturulması, yayınlanan sektörel SOME’lere uyumun sağlanması istenmiştir.

SOME ekiplerinin nasıl kurulacağı, organizasyon, teknik altyapı ve eğitim gereksinimleri gibi birçok ayrıntı sektörel SOME’ler (EPDK, SHGM…) tarafından oluşturulmuştur. Günümüzde sadece kritik altyapılar ve devlet kurumları değil bilgi güvenliğine önem veren tüm kuruluşlarda SOME çalışmaları yürütülmektedir.

SOME çalışmalarınızda ekiplerin oluşturulması (organizasyon, yetkinlik, eğitim…), bilgi teknolojileri mimarisinin SOME’ye uygun hale getirilmesi, SOME uygunluk oranınızın değerlendirilmesi ve eğitim gibi birçok alanda NewEx olarak müşterilerimize hizmet sunmaktayız.

Cumhur Başkanlığı Dijital Dönüşüm Ofisi, 10.07.2020 tarihinde Bilgi ve İletişim Güvenliği Rehberini yayınladı. Bu rehber siber güvenlik alanında Türkiye’de ve uluslararası arenada yayınlanmış kapsam ve derli toplu olması açısından örneğine az rastlanır bir kaynak oluşturmakta. Tüm kurum ve kuruluşlar için yol gösterici nitelikteki bu rehber özel sektör tarafından da takip edilmekte ve yol haritası olarak kullanılmakta.

Rehbere uyum sürecin bilgi güvenliği ve siber güvenlik danışmanlığı alanında sahip olduğumuz teknik ve yönetsel becerilerimizle sizlere destek olmaktan memnuniyet duyarız.

PCI (Payment Card Industry) aralarında American Express, MasterCard Worlwide ve Visa gibi üyelerin bulunduğu bir konsey tarafından yayınlanmıştır ve kredi kartının işlenmesi, iletilmesi, saklanması gibi aşamalarda uyulması gereken güvenlik kurallarını belirlemektedir. PCI-DSS (Payment Card Industry-Data Security Standard) ödeme sistemleri ile ilişkili süreçlerde uyulması gereken fiziksel ve mantıksal gereksinimleri tanımlamaktadır. Bilgi güvenliği ve siber güvenlik alanında uzman kadrolarımızla sizlere PCI-DSS çalışmaları kapsamında da hizmet vermekten memnuniyet duyarız.