Siber yönetişim sözlüğü

Kontroller ve aksiyonlar uygulandıktan sonra kalan risk.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

BGYS, bilgi güvenliği yönetim sisteminin Türkçe kısaltmasıdır. Risk değerlendirmesi, politika seti, kontrol uygulaması, ölçüm, iç denetim, yönetim gözden geçirmesi ve düzeltici faaliyetlerin birlikte çalıştığı yönetim döngüsünü ifade eder.

Neden önemlidir: ISO 27001 hazırlığında asıl değer tek tek doküman üretmekten değil, güvenlik kararlarının düzenli bir sistem içinde alınmasından gelir. BGYS, güvenlik ekibi, hukuk, insan kaynakları, ürün ve yönetim ekipleri arasında ortak sahiplik yaratır ve kanıtların denetim zamanı değil süreç içinde oluşmasını sağlar.

Kullanıcı kimliğini doğrulamak için birden fazla doğrulama faktörü kullanılması.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

Dijital kesintileri önleme, dayanma, toparlanma ve öğrenme kabiliyeti.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

DORA, finans sektöründeki kurumların ve kritik ICT tedarikçilerinin dijital operasyonel dayanıklılık beklentilerini daha ölçülebilir hale getirir. Sadece teknik güvenlik kontrollerine bakmaz; olay yönetimi, üçüncü taraf bağımlılıkları, test yaklaşımı, kanıt yönetimi ve üst yönetim raporlaması gibi çalışma düzenini de kapsar.

Neden önemlidir: Türkiye merkezli bir teknoloji veya hizmet şirketi AB finans müşterileriyle çalışıyorsa, DORA soruları müşteri güven anketlerine ve sözleşme beklentilerine yansıyabilir. Hazırlık, hangi hizmetlerin kritik olduğunu, hangi kanıtların tutulduğunu ve tedarikçi riskinin kimin tarafından yönetildiğini netleştirir. Bu tanım hukuki yorum değil, yönetişim kapsamını anlamaya yönelik pratik bir açıklamadır.

Yüksek riskli veri işleme faaliyetleri için kullanılan veri koruma etki değerlendirmesi.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

Uygunsuzluk veya kontrol zafiyetinin kök nedenini gidermek için tanımlanan aksiyon.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

Kullanıcı ve sistemlere yalnızca görev için gerekli erişimin verilmesi ilkesi.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

Sistem, veri ve fonksiyonlara kimlerin erişebileceğini yöneten kontrol ailesi.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

Büyük kesinti veya felaket sonrası teknoloji hizmetlerini geri yükleme süreci.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

GDPR, Avrupa Birliği içinde veya AB bireylerinin kişisel verileriyle ilgili faaliyetlerde kişisel veri işleme kurallarını belirleyen kapsamlı bir düzenlemedir. Rıza, meşru menfaat, veri minimizasyonu, veri sahibi hakları, ihlal bildirimi ve aktarım mekanizmaları gibi birçok yönetişim konusunu içerir.

Neden önemlidir: Türkiye veya başka bir ülkedeki şirketler AB müşterileri, çalışanları veya kullanıcılarıyla çalışıyorsa GDPR beklentileri sözleşmelere ve güvenlik anketlerine girebilir. GDPR hazırlığı, KVKK ile benzer alanları paylaşsa da kapsam, belge seti ve aktarım değerlendirmeleri açısından ayrı takip edilmelidir.

Mahremiyet rolleri, kontrolleri, kanıtları ve hesap verebilirliği yöneten sistem.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

SOC 2 raporlarında güvenlik, erişilebilirlik, gizlilik ve mahremiyet gibi alanları değerlendiren kriterler.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

Müşteri güven süreçleri için tekrar kullanılabilen politika, rapor, diyagram ve kontrol kanıtları seti.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

Bilgi ve iletişim teknolojilerinden kaynaklanan riskleri belirleme, azaltma ve izleme disiplini.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

ISO 27001, bilgi güvenliği risklerini yönetmek için kurulan BGYS yapısını tarif eder. Politika yazmaktan daha fazlasıdır; kapsam belirleme, risk değerlendirme, kontrol sahipliği, kanıt toplama, iç denetim ve sürekli iyileştirme döngüsünün birlikte işlemesini bekler.

Neden önemlidir: B2B satış, yatırım süreci veya müşteri güven anketlerinde ISO 27001 hazırlığı sık sorulur. Standart, her kontrolün birebir aynı şekilde uygulanmasını değil, risklere göre gerekçeli bir yönetim sistemi kurulmasını hedefler. Bu nedenle iyi bir ISO 27001 çalışması, denetim gününden önce günlük operasyonun nasıl yönetildiğini gösteren kanıtlara dayanmalıdır.

ISO 27001 kontrollerinin nasıl yorumlanacağını açıklayan kontrol rehberi.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

Bilgi güvenliği risk yönetimine odaklanan ISO standardı.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

ISO 27001 ve ISO 27002 üzerine kurulan mahremiyet bilgi yönetimi genişletmesi.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

Yapay zeka yönetim sistemi için kullanılan yönetim sistemi standardı.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

Politika, kontrol ve kanıtların tasarlandığı gibi işleyip işlemediğini inceleyen bağımsız kontrol.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

Kişisel verisi işlenen gerçek kişi.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

Kesinti sırasında kritik iş operasyonlarını sürdürebilme kabiliyeti.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

Şirketin ihtiyacına göre belirli gün veya saatlerde çalışan CISO liderliği modeli.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

Bir kontrolün işletilmesi, bakımı ve kanıtlanmasından sorumlu kişi.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

KVKK, Türkiye’de kişisel verilerin işlenmesi, saklanması, aktarılması ve korunması için temel çerçeveyi oluşturur. Şirketler açısından konu yalnızca aydınlatma metni yayımlamak değildir; veri işleme amaçları, veri sorumlusu ve veri işleyen rolleri, saklama süreleri, üçüncü taraf aktarımları ve güvenlik tedbirleri birlikte yönetilmelidir.

Neden önemlidir: KVKK çalışması güvenlik yönetişimiyle doğrudan bağlantılıdır. Erişim kontrolü, loglama, veri sınıflandırma, tedarikçi değerlendirmesi ve olay müdahalesi kişisel veri riskini azaltan ana pratiklerdir. Bu açıklama hukuki tavsiye yerine operasyonel hazırlık perspektifi sunar.

Olayları tespit etmek, inceleme yapmak ve kontrol işletimini kanıtlamak için kayıt toplama ve izleme.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

Mahremiyet kontrollerinin sistem ve süreçlere en baştan gömülmesi yaklaşımı.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

Müşteri güvenlik anketi, bir alıcının tedarikçi güvenlik seviyesini anlamak için sorduğu kontrol ve kanıt sorularından oluşur. Genellikle erişim yönetimi, şifreleme, olay müdahalesi, yedekleme, tedarikçi yönetimi, mahremiyet ve denetim hazırlığı gibi alanları içerir.

Neden önemlidir: Kurumsal satışlarda zayıf veya tutarsız anket cevapları güven kaybına ve satış döngüsünün uzamasına neden olabilir. Hazır bir kanıt paketi, onaylı cevap tabanı ve kontrol sahipliği modeli ekiplerin daha hızlı, tutarlı ve doğru yanıt vermesine yardımcı olur.

Güvenlik olaylarını tespit etme, eskale etme, sınırlama ve toparlanma süreci.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

Bir politikadan onaylı, süreli ve risk kabulüyle yönetilen sapma.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

Bir kurumun hedefleri için kabul etmeye hazır olduğu risk türü ve seviyesi.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

Risk kaydı, güvenlik ve mahremiyet risklerinin sahipleri, olasılık ve etki değerlendirmeleri, tedavi kararları, kontrolleri ve güncel durumuyla takip edildiği temel yönetişim kaydıdır. İyi bir risk kaydı yalnızca risk listesi değildir; karar geçmişini, kabul gerekçesini ve takip aksiyonlarını görünür kılar.

Neden önemlidir: Yönetici raporlaması ve denetim hazırlığı için risklerin kime ait olduğu ve hangi tarihte hangi kararın verildiği net olmalıdır. Risk kaydı, teknik bulguları iş önceliğine bağlayarak bütçe, kaynak ve kabul kararlarını destekler.

Tam zamanlı CISO rolü olmadan yönetici seviyesinde siber güvenlik liderliği sağlayan model.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

Güvenlik risklerini, sahipliği, kontrolleri, raporlamayı ve yönetim kararlarını bağlayan işletim modeli.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

SOC 2, özellikle hizmet sağlayıcıların güvenlik, erişilebilirlik, gizlilik, işlem bütünlüğü ve mahremiyet kontrollerini bağımsız attestation raporu üzerinden anlatmasına yardımcı olur. ISO 27001 gibi bir sertifika standardı değildir; raporun kapsamı, dönem yapısı ve seçilen kriterler müşteri güveni açısından belirleyicidir.

Neden önemlidir: SaaS ve teknoloji şirketleri kurumsal müşterilerden güvenlik kanıtı istendiğinde SOC 2 raporlarını sık kullanır. Hazırlık süreci, kontrol sahiplerini, kanıt kaynaklarını, istisna yönetimini ve müşteri güvenlik anketlerinde kullanılacak cevap tabanını daha düzenli hale getirir.

Veri gizliliğini korumak için okunabilir veriyi korumalı forma dönüştüren teknik kontrol.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

Tedarikçi risk yönetimi, bir şirketin dış hizmet sağlayıcılarından gelen güvenlik, mahremiyet, süreklilik ve uyum risklerini değerlendirme sürecidir. Sadece satın alma aşamasında soru sormak değildir; kritik hizmet sınıflandırması, sözleşme beklentileri, kanıt toplama, periyodik gözden geçirme ve olay iletişimi gibi adımları kapsar.

Neden önemlidir: Bulut servisleri, SaaS araçları, danışmanlar ve AI tedarikçileri iş süreçlerinin parçası oldukça risk şirket dışına taşar. Yönetilebilir bir program, hangi tedarikçilerin kritik olduğunu, hangi kontrollerin kanıtlandığını ve risk kabulünün kim tarafından yapıldığını gösterir.

Uygulanabilirlik Bildirgesi, ISO 27001 kontrol setindeki kontrollerin kuruluş için uygulanıp uygulanmadığını ve bu kararların gerekçesini gösteren ana belgedir. Kontrol listesi gibi görünse de aslında kapsam, risk değerlendirmesi ve kontrol sahipliği kararlarının özetidir.

Neden önemlidir: Denetim hazırlığında SoA, hangi kontrollerin neden seçildiğini, hangilerinin kapsam dışında kaldığını ve uygulama durumunu açıklamak için kullanılır. Güncel tutulmayan bir SoA, kontrol gerçekliği ile belge seti arasında fark yaratır. Bu nedenle risk kaydı ve kanıt haritasıyla birlikte yönetilmelidir.

Dış hizmetler, sağlayıcılar, teknoloji firmaları ve iş ortakları kaynaklı riskleri yönetme disiplini.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

Virtual CISO modelinin kısaltmasıdır ve dış kaynaklı ya da kısmi güvenlik liderliğini ifade eder.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

Veri işleme envanteri, hangi kişisel verilerin hangi amaçla, hangi sistemlerde, kimlerle ve ne kadar süreyle işlendiğini gösteren yapılandırılmış kayıttır. KVKK ve GDPR çalışmalarında operasyonel görünürlük sağlar.

Neden önemlidir: Şirketler veri akışını bilmeden doğru aydınlatma metni, saklama planı, tedarikçi değerlendirmesi veya güvenlik kontrolü tasarlayamaz. Envanter, veri sınıflandırma, erişim kontrolü, yurt dışına aktarım değerlendirmesi ve olay müdahale kapsamının daha doğru belirlenmesine yardımcı olur.

Veri sorumlusunun talimatıyla kişisel veri işleyen taraf.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

Verinin hassasiyet, iş değeri ve kullanım kurallarına göre etiketlenmesi.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

Kişisel verilerin işleme amaç ve araçlarını belirleyen taraf.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.

Yapay zeka yönetişimi, AI araçlarının hangi veriyle, hangi amaçla, hangi risk sahipliği altında ve hangi insan gözetimiyle kullanılacağını belirleyen yönetim yaklaşımıdır. Sadece model seçimi veya teknik test değil; politika, kullanım senaryosu envanteri, veri sınıflandırma, tedarikçi değerlendirmesi ve karar kayıtlarını içerir.

Neden önemlidir: Üretken AI araçları ekipler tarafından hızla benimsenirken hassas veri, telif, doğruluk, tedarikçi bağımlılığı ve müşteri güveni riskleri ortaya çıkar. İyi bir yönetişim modeli, kullanımı tamamen engellemeden kabul edilebilir kullanım sınırlarını, istisna sürecini ve yönetici raporlamasını netleştirir.

Kişisel verinin bir ülkeden başka bir ülkeye aktarılması.

İlgili sayfalar: Sanal CISO, Kaynaklar ve Blog.