Visa Hesap ve İşlem Bilgileri Programı Kontrol Listesi

Orta Düzey
Son güncelleme: 13.10.2008 14:55:11

İnsan Kaynakları Politikası

1. Çalışanlara ve sözleşmeli firmalara yönelik güvenlik politikalarınız var mı?

2. Hesap ve İşlem bilgilerine erişebilen personelinizin geçmişine yönelik araştırma yaptınız mı?

3. Güvenlik hassasiyeti ve eğitimi verilmekte midir?

4. Şirketin güvenlik politikası şirketin tüm personeline duyurulmuş mudur?

5. Güvenlikten sorumlu birisi var mıdır?

6. Tüm personel güvenlik ile ilgili sorumluluklarını bilmekte midir?

7. Güvenlik politikaları yazılı mıdır?

8. Tüm ilgili personelin güvenlik ile ilgili yetki ve sorumlulukları tanımlanmış mıdır?

Erişim Kontrolü

9. Hesap ve İşlem Bilgileri firmanın diüer tüm verileri ile entegre bir yapıda mıdır?

10. Bu bilgilere erişim "gerektiği kadar" prensibine göre verilmiş midir?

11. Ayrıcalıklı ve idari hesaplar dikkatlice kontrol ediliyor mu?

12. Kişilerin hesap bilgilerinin tamamı görülebiliyor mu?

13. İşlemdeki veriler uygulama testlerinde kullanılıyor mu?

14. Firamanın içeri ve dışarı erişimleri kişisel modemlere mi bağlıdır?

15. Müşteri listeleri başka bir firmaya satılıyor yada kullandırılıyor mu?

16. Şifreli ekran koruyucular yada terminal kilitleri kullanılıyor mu?

Hesap Güvenliği

17. Kullanıcı adı ve şifrelere ilişkin yazılı standartlar var mıdır ve uygulanıyor mu?

18. Yeni hesaplara ortak, süresiz geçerli ve yerleşik şifreler veriliyor mu?

19. Genellikle kullanıcı hesapları kullanılıyor yada paylaşılıyor mu?

20. Kullanıcı hesapları periyodik olarak gözden geçirilip, aktif olmayanlar siliniyor mu?

21. Kullanıcıların şifrelerini her 30 günde bir değiştirmeleri gerekiyor mu?

22. Şifre yada hesapların silinmesi için güçlü doğrulama yapılıyor mu?

Erişim İzleme

23. Güvenlik ile ilgili olaylar saklanıyor ve periyodik olarak gözden geçiriliyor mu?

24. Kullanıcı tanımlama, bilgiye erişim gün ve saati, network adresi, işlem ve program başlatma konularında denetimler yapılıyor mu?

25. Kullanıcı hesapları 5 yanlış giriş denemesinde kitleniyor mu?

26. Denetleme kayıtları izinsiz giriş, değiştirme veya silmeye karşı saklanıyor mu?

Ağ Kontrolleri

27. Tüm dış network bağlantıları için güvenlik duvarı(firewall) kurulmuş mudur?

28. Firewal’a erişim yetkileri sadece yetkili personel ile sınırlandırılmış mıdır?

29. Tüm dış network bağlantılarına hak kazanmak için formal bir süreç var mıdır?

30. Eğer uzaktan erişim mümkünse bunun için güçlü şifreleme kullanılıyor mu?

31. İnternet kullanımına ve hesap bilgileri hakkında görüşme konusunda politikalar var mıdır?

Şifreleyerek Veri saklama

32. Dışarıdan erişilebilen hesap bilgileri şifrelenerek saklanıyor mu?

Şifreli Veri Transferi

33. Hesap bilgileri içeren emailler ile ilgili kontroller var mıdır?

34. Hesap bilgileri içeren emailler şifrelenerek gönderiliyor mu?

35. Telnet vb. bağlantılar var mıdır?

36. Email ile hesap bilgileri taşınıyor mu?

Kötü Kodlar

37. Anti virüs yazılımları kullanıyor musunuz?

38. Anti virüs yazılımı düzenli olarak güncelleniyor mu?

39. Hafızada ssürekli yer alan programlar düzenli olarak gözden geçiriliyor mu?

Güvenlik Yamaları

40. İşletim sistemine g,venlik yamaları düzenli olarak yapılıyor mu?

41. Güvenlik programının gözden geçirilmesi ve güncellenmesi yeni teknolojiler ve zayıflıklar göz önünde tutularak yapılıyor mu?

Tedarikçiler

42. Sistem yazılımında standart yazılım kurulumumu kullanılıyor? Tedarikçi ayarlarımı kullanılıyor?

Fiziksel Güvenlik

43. Ekipman bakımı prosedürler doğrultusunda yapılıyor mu?

44. Çoklu seviyede güvenlik kontrolleri yapılıyor mu? (24 saat izleme vb.)

45. İlgili bölüm ve odalar kilitli tutuluyor mu?

46. Hesap bilgileri yazdırılıyor mu?

47. Bilgiler sadece yetkili personelin girebildiği güvenli alanlarda mı saklanıyor?

48. Hesap bilgilerinin tutulduğu ortam temiz midir?

Veri yok etme

49. Veri yok etme prosedürlere göre yapılıyor mu?

Test

50. Sözleşmeye bağlı olarak birlikte çalıştığınız 3.partilere uyguladığınız güvenlik denetlemeleri var mıdır?

51. Hesap bilgilerinin korunmasına ilişkin güvenlik denetimleri yapıyor musunuz?

52. Uygulamalar gerçek olarak başlamadan önce tüm hesap bilgilerine ilişkin güvenlik denetimlerini yapıyor musunuz?

53. Uzaktan erişilebilen host’ları periyodik olarak olası zayıflıklara karşı denetliyor musunuz?

54. Güvenlik politikalarının uygunluğunu düzenli olarak denetliyor musunuz?

55. Tüm sistemsel değişimleri değişim yönetimi prosedürlerine göre ele alıyor musunuz?

56. Kullanılan her platform için güvenlik standartları belirlenmiş midir?

57. Yazılımda yada uygulamalarda güvenlik standart olarak aranıyor mu?

Güvenlik Yanıtı

58 Tüm personel güvenlik olayının ne olduğunu anlamış ve karşılaştığı durumda neyi nasıl kime raporlayacağını biliyor mu?

59. Acil durum planları yazılı olarak hazırlanmış mıdır?

60. Hesap bilgilerinin olduğu yere izinsiz girişi önceden algılayıp ilgili personele ileten bir izleme sistemi var mıdır?

61. Dış müdahaleleri önceden haber verebilecek yeterlilik mevcut mudur?

62. Visa Hesap bilgileri güvenlik standartlarından haberi var mıdır?

63. İş risklerinin tanımlandığı ve ölçülebildiği süreçler mevcut mudur?

Servis Sağlayıcı Standartları

64. Tüm sözleşme ve anlaşmalar hesap bilgileri güvenlik standartlarını içeriyor mu?

65. Tüm sözleşme ve anlaşmalar gizlilik maddesi içeriyor mu?

Bu Makaleyi Değerlendirin

Bu makale size yardımcı oldu mu? Evet Hayır