Risk Yönetimi Bingöl KHB Güvenliği Politikaları Eğitimi Sedat ADEMOĞLU

Slides:



Advertisements
Benzer bir sunumlar
HASSAS GÖREV Hakan YÜKSEL Mart.
Advertisements

Günümüz şartları altında insanların en büyük kaygısı artık can ve mal güvenliği haline geldi. Pek çok güvenlik sistemi artık karşılanamayacak kadar pahalı.
RİSK DEĞERLENDİRME PROSEDÜRÜ-1
RİSK KAVRAMI RİSKLERİN BELİRLENMESİ
Amaçlar  Verinin üretildiği yerden ve üretildiği anda elektronik ortamdan alınması  İnsan emeği ve hataların en aza indirilmesi  Birbirine bağlı süreçlerde.
BİLGİ GÜVENLİĞİ.
Sağlıklı ve Güvenli Tesisler
KAMU İÇ KONTROL SİSTEMİ STRATEJİ GELİŞTİRME DAİRE BAŞKANLIĞI
Defterdarlıklar İç Kontrol Eğitimi 10 Mart-27 Nisan 2013
ACİL DURUM VE EYLEM PLANI
İZMİR HALK SAĞLIĞI MÜDÜRLÜĞÜ Çalışan Sağlığı Şube Müdürlüğü
Öğretim İhtiyacını Belirleme
Günümüzde ticari şirketler ve devlet kurumları işlerini sürdürebilmek için yoğun bir şekilde bilgi kullanımına yönelmişlerdir. Zaman geçtikçe bilginin.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike.
BİLGİ GÜVENLİĞİ MEHTAP KILIÇ
ISO Çevre Yönetim Sistemi ve Çevresel Risk Analizi
6331 Sayılı İş Sağlığı ve Güvenliği Kanunu
Bingöl Kamu Hastaneleri Birliği
Hassas Görevler hassas…çok….
ACİL EYLEM PLANI HAZIRLIĞI
OHSAS YÖNETİM SİSTEMİ TANIMLAR
SİVİL SAVUNMA.
ELEKTRONİK ORTAMDA DENETİME GENEL BAKIŞ Prof. Dr
İç Kontrol Nedir? İdarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak faaliyetlerin; - etkili, ekonomik ve verimli bir şekilde yürütülmesini,
Bingöl KHB Güvenliği Politikaları Eğitimi
Risk Yönetimi KOCAELİ ÜNİVERSİTESİ İç Denetim Birimi Başkanlığı.
Strateji Geliştirme Başkanlığı. Strateji Geliştirme Başkanlığı.
Hedef A.1. : Deprem Bilgi Altyapısının Geliştirilmesi; Deprem bilgi altyapısının geliştirilmesi, güçlendirilmesi, sürdürülebilirliğinin sağlanması bu altyapıyı.
LOGO EJDER ORUÇ Teknik Düzenleme ve Standardizasyon Dairesi Başkanı.
İÇ KONTROL UYUM EYLEM PLANI VE YOL HARİTASI. İÇ KONTROL İç kontrol genel olarak idarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak;
Kurumsal İçerik Yönetimi Kapsamında Bilgi Güvenliği
RİSK ANALİZİ VE YER SEÇİMİ
İŞ GÜVENLİĞİ UYGULAMALARINDA YÖNETİM SİSTEMLERİNİN ENTEGRASYONU
ISO ÇEVRE YÖNETİM SİSTEMİ TEMEL EĞİTİMİ
Türk Hava Kurumu Üniversitesi
AFETLER ve AFET YÖNETİMİ (SAU-026)
İstanbul İl Sağlık Müdürlüğü
Bilişim Teknolojileri Kullanımında Güvenlik Temel Kavramlar ve Bilgi Güvenliği.
Türkiye Kamu Hastaneleri Kurumu Strateji Geliştirme Daire Başkanlığı
AFETLER ve AFET YÖNETİMİ (SAU-026)
Bilişim Teknolojileri Güvenliği. BT Güvenliği Bilişim teknolojisi kullanan bir kuruluşun en önemli hedeflerinden biri bu teknolojiyi gerektiği gibi çalışır.
İŞ SAĞLIĞI VE GÜVENLİĞİ
Kurumsal Ağlarda Uzak ve Merkezi İşlem Birimlerinin Sanallaştırılması: Bir Uygulama Emrah ÇOLAK, SGK Aydın ÇETİN, Gazi Üniversitesi ŞUBAT 2016.
Ulusal Bilgi Sistemleri Güvenlik Programı Bilge KARABACAK 8 Haziran 2007, Ankara.
DİSASTER CENTER FELAKET MERKEZİ. Felaket Kurtarma (Disaster Recovery) Her kurum için, vermekte olduğu hizmeti herhangi bir nedenden dolayı veremez duruma.
TS EN ISO 13485: 2003TIBBI C İ HAZ ÜRET İ C İ LER İ İ Ç İ N KAL İ TES S İ STEMLER İ TS EN –ISO 13485: 2003 Standardı TS-EN ISO 9001 : 2008 standardı temel.
TS EN ISO/IEC Personel belgelendirme sertifikalandırma işi yapmak isteyen kurum ve kuruluşların akreditasyon şartlarını içeren uluslararası bir standarttır.
KAMU YÖNETİMİNDE İÇ KONTROL SİSTEMİ ve İÇ KONTROL EYLEM PLANININ UYGULANMASI KAMU YÖNETİMİNDE İÇ KONTROL SİSTEMİ ve İÇ KONTROL EYLEM PLANININ UYGULANMASI.
MESLEK HASTALIKLARINDAN KORUNMA
İstanbulUzman İSG Kültürü DRUZ.
Network Access Kontrol Ağ Erişim Kontrolü (NAC) Hüsnü DemirHüseyin YüceGökhan Akın ODTÜMarmara.
ETA-FTA-BOWTIE RİSK DEĞERLENDİRMESİ
Sosyal Hizmet Uzmanının Önemi
Laboratuvar Güvenliği ve Temizliği
Periyodik Kontroller-Ölçümler
BİLİŞİM TEKNOLOJİLERİNİN TEMELLERİ
Kaçak akim koruma şalterleri teknik eğitim semineri Şahin keskin
6.2. Personel Sağlığı ve İş Güvenliği
TEHLİKE, ZARAR GÖREBİLİRLİK, RİSK VE AFET İLİŞKİSİ
ISO HACCP ve ISO22000.
Felaket Merkezi Berk Aydoğdu
İç Denetimin İş ve İşleyişinde Katma Değeri Destekleme Yöntemleri
ISO BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ
KONULAR RİSK ANALİZİ ÜRETİM SÜRECİ (LIFE – CYCLE) DEĞERLENDİRMESİ
NİŞANTAŞI ÜNİVERSİTESİ
ISO Hijyen Uygulamaları
NİŞANTAŞI ÜNİVERSİTESİ
KALABALIK RİSK YÖNETİMİ VE ACİL DURUM PLANLAMASI
İŞ SAĞLIĞI ve GÜVENLİĞİ EĞİTİMİ
TEHLİKE ve RİSK LABORATUVAR ÇALIŞANLARI İÇİN BİYOLOJİK TEHLİKELERE KARŞI TEMEL BİYOGÜVENLİK KURALLARI Keep Lab Safety Keep You Healthy ( TR01-KA )
Sunum transkripti:

Risk Yönetimi Bingöl KHB Güvenliği Politikaları Eğitimi Sedat ADEMOĞLU Bingöl Kamu Hastaneleri Birliği Genel Sekreterliği

Genellikle risk olumsuz bir durum yani tehlike olarak değerlendirilir. Risk Nedir ? Risk, Fransızca risque olarak dilimize geçmiş olup sözlük anlamı “Riziko, zarara uğrama tehlikesi” şeklindedir Risk (riziko), bir olayın gerçekleşme olasılığı ve olaydan etkilenme olanağı olarak tanımlanmaktadır. Genellikle risk olumsuz bir durum yani tehlike olarak değerlendirilir. Bu nedenle risklerin olumsuz etkilerinden zarar görmemek için olasılıklar göz önüne alınarak, önlemler almaya yönelik, çalışma ve planlama faaliyetlerini içeren ve risk yönetimi olarak anılan bir disiplin ortaya çıkmıştır.

Risk Yönetimi Risk Yönetimi ise bir kurumun ya da kuruluşun çalışabilirliği, ticari kuruluşlar içinse öncelikle kârlılığını olumsuz yönde etkileyebilecek risk faktörlerinin belirlenmesi, ölçülmesi ve en alt düzeye indirilmesi sürecidir. Risk yönetiminde, riskin tamamıyla ortadan kaldırılması mümkün değildir.

Risk Yönetimi Kavramları Varlıklar Bilgi Değeri Taşıyan Varlıklar Tehditler Kurum içi yada kurum dışı tehlike Açıklık & Zayıflıklar Tehlikeye Sebep Yönlerimiz Olasılık Riskin Gerçekleşme İhtimali İşe Etki İşe ve sisteme olan yansıması

Varlık nedir ? Varlık, sistemin bir parçası olan ve kurum için değeri olan her şeydir. Varlık kurum için değer taşıdığından korunması gerekir. Bir BT sisteminde sadece yazılım ve donanımlar varlık olarak düşünülmemelidir. Bilgi, Donanım (kişisel bilgisayarlar, yazıcılar, sunucular), Yazılım (işletim sistemleri, geliştirilen uygulamalar, ofis programları), Haberleşme cihazları (telefonlar, hatlar, kablolar, modemler, anahtarlama cihazları), Dokümanlar(stratejik toplantıların tutanakları, sözleşmeler vb.), Üretilen hizmet, Servisler, Personel, Kurumun prestiji / imajı

Risk Yönetimi Kavramları Varlık Değeri Tablosu Düşük (1-2) Varlığın zarar görmesi bilgi sistemini çok az etkiler. Bilgi sistemi işlemeye devam eder. Zarar görmesi, kurumun ismini etkilemez. Orta (3) Varlığın zarar görmesi bilgi sistemini etkiler. Bilgi sistemi işlemeye devam eder ancak Varlığın yerine konması gereklidir. Zarar görmesi kurumun ismini kötü yönde çok az etkileyebilir. Yüksek (4) Varlığın zarar görmesi bilgi sistemini oldukça etkiler. Bilgi sistemi yarı yarıya kullanılabilir. Varlığın yerine konması gerekir. Zarar görmesi, kurumun ismini kötü yönde etkiler. Çok Yüksek (5) Varlığın bilgi sisteminin işlemesinde önemli rolü vardır. Varlığın zarar görmesi bilgi sisteminin işlerliğini büyük ölçüde etkiler ya da bilgi sistemi kullanılamaz hale gelir. Zarar görmesi, kurumun ismini çok kötü yönde etkiler.

Tehdit Nedir ? Tehdit, herhangi bir tehdit kaynağının kasıtlı olarak veya kazayla bir açıklığı kullanarak varlıklara zarar verme potansiyelidir. Tehdit kaynağı ise varlıklara zarar verme olasılığı olan olaylar ve durumlar olarak tanımlanabilir. Doğal tehditler: Deprem, sel, toprak kayması, yıldırım düşmesi, fırtına gibi tehditler. Çevresel tehditler: Uzun süreli elektrik kesintileri, hava kirliliği, sızıntılar vs. İnsan kaynaklı Tehditler: İnsanlar tarafından yapılan veya yol açılan bilinçli veya Bilinçsiz olaylar. Örneğin yanlış veri girişi, ağ saldırıları, zararlı yazılımların yüklenmesi, yetkisiz erişimler vs.

Tehdit kaynağı Tehdit Tehdidin Kaynağı Doğal Tehdit => D Personel hataları K Bakım hataları/eksiklikleri Yazılım hataları B,K Lisanssız yazılım kullanımı Yazılımların yetkisiz kullanılması Kullanıcı kimlik bilgilerinin çalınması Zararlı yazılımlar Yetkisiz kişilerin ağa erişimi B Ağ cihazlarının arızalanması Hat kapasitelerinin yetersiz kalması Ağ trafiğinin dinlenmesi İletim hatlarının hasar görmesi İletişimin dinlenmesi Mesajların yanlış yönlendirilmesi Mesajların yetkisiz kişilere yönlendirilmesi İnkar etme Kaynakların yanlış kullanımı Kullanıcı hataları Personel yetersizliği Doğal Tehdit => D Çevresel Tehdit =>Ç İnsan Kaynakları Kazara=> K İnsan Kaynakları Bilinçli=> B Tehdit Tehdidin Kaynağı Deprem D Sel Fırtına Yıldırım Endüstriyel bilgi sızması B,K Bombalama ve silahlı saldırı B Yangın Güç kesintisi B,K,Ç Su kesintisi Havalandırma sisteminin arızalanması Donanım arızaları K Güç dalgalanmaları K,Ç Tozlanma Ç Elektrostatik boşalma Hırsızlık Saklama ortamlarının izinsiz kullanılması Saklama ortamlarının eskiyip kullanılmaz duruma gelmesi

Risk Yönetimi Kavramları Tehdit in İşe Etkisi Değer Tablosu Düşük (1-2) Tehdit in iş üzerinde küçük etkisi olur. Varlığı tamir etmeye ya da yeniden konfigüre etmeye gerek yoktur. Orta (3) Tehditin etkisi küçük olmasına ve birkaç kişi ya da kuruluş tarafından söylenmesine rağmen, tehditin somut bir zararı olabilir. Hasarın giderilmesi ve önlem alınması için bir takım harcamalar olabilir. Yüksek (4) İşe ya da sistemin sahiplerine ve yöneticilerine kötü ün kazandırabilir ve/veya kaynakta önemli zararlar olur. Hasarın giderilmesi ve önlem alınması için önemli harcamalar gerekebilir. Çok Yüksek (5) İşe büyük ölçüde zarar verir ve/veya birçok kişi ve kurumun kendisi zarardan etkilenebilir. Zarar gören sistemde büyük ölçüde yeniden yapılandırma gerekmektedir. Tehdit Olasılık Değer Tablosu Düşük (1-2) 5 senelik bir sürede iki ya da üç defa Orta (3-4) Senede ya da daha kısa bir sürede bir kere olabilir Yüksek (5) Ayda ya da daha kısa bir sürede bir kez olabilir Çok Yüksek (6) Ayda ya da daha kısa bir sürede bir çok kez olabilir

Zayıflık (Açıklık) Değer Tablosu Açıklık / Zayıflık Açıklık, sistem güvenlik prosedürlerinde, tasarımda, uygulamada veya iç kontrollerde bulunan ve bilgi güvenliği ihlal olayına sebep olabilecek zayıflık, hata veya kusurlardır. Açıklıklar tek başlarına tehlike oluşturmazlar ve gerçekleşmeleri için bir tehdidin mevcut olması gerekir. Zayıflık (Açıklık) Değer Tablosu Düşük (1-2) Tehdidin kullanabileceği zayıflığı yok denecek kadar azdır. Orta (3) Tehdidin kullanabileceği zayıflığı vardır ancak azdır. Yüksek (4) Tehdidin kullanabileceği zayıflığı vardır. Çok Yüksek (5) Tehdidin kullanabileceği zayıflığı vardır ve yüksektir.

TS ISO/IEC 27001 Risk değerlendirme metodolojisi Risk değerlendirme raporu Risk işleme planı

Risk Yönetimi Metodolojisi Hesaplama Metodu Risk Yönetimi çalışması; Varlık Kritik Değeri= ((Varlık Değeri (1-5)+ İşe Etkisi (1-6) )-1 ) Mutlak Risk Değeri= ((Tehdit (1-6) + Zayıflık(1-5)-1) Gerçek Risk Değeri = Varlık Kritik Değeri * Mutlak Risk Değeri

Risk Değerlendirme

Risk Eylem Kararları Riskten Kaçınma Risk Azaltma / Kontrol Risk teşkil eden konudan vazgeçmek Risk Azaltma / Kontrol 27001 kontrol maddeleri Risk Transferi Risk teşkil eden konuyu sözleşme ile başka tarafa devretme Riskin Kabulü Sonuçları kabul etme

Risk İzleme Zaman geçtikçe mevcut tehditler ve zayıflıklar değişebilir 27001 Kontrol Maddeleri ile alınan kontroller neticesinde risk azalmış olabilir Kurumun kendi belirleyeceği zaman aralıklarında 3 ay 6 ay gibi dönemlerde kabul edilen metodolojiyi kullanarak tekrar risk değerlendirmesi yapılmalı Ve dönemsel olarak karşılaştırılmalıdır

Geri bildirim: Gizlilik Politikası Geri bildirim
Proje hakkında: SlidePlayer Kullanım şartları

© 2024 SlidePlayer.biz.tr Inc. All rights reserved.