HITRUST CSF, sağlık, finans, teknoloji, perakende, hükümet ve diğer önemli sektörlerde geniş bir uygulama yelpazesi sunar. Kuruluşlara uyum, güvenlik ve gizlilik konularında bütünleşmiş bir yol haritası sağlar. Özelleştirilebilir yapısıyla öne çıkan HITRUST CSF, mevzuata uyumu ve risk yönetimi süreçlerini kapsamlı bir şekilde ele alır. Kuruluşların özel ihtiyaçlarını anlamak için yakın iş birliği içinde çalışır ve mevcut uygulamaları optimize ederek kapsamlı bir güvenlik ve gizlilik standardı oluşturur. Sertifikalandırılabilir bu yaklaşım, kuruluşların işlerini daha güvenilir ve etkin bir biçimde yürütmelerini sağlar.
HITRUST Kontrol Listesini kullanarak kuruluşumuzun uygunluğunu değerlendirebilirsiniz. Listeyi gözden geçirerek, kuruluşunuzun hangi kategorilerde ne kadar uygun olduğunu belirleyebilirsiniz. Bu inceleme, güvenlik ve uyumluluk gereksinimlerimizi daha iyi anlamamıza yardımcı olacaktır.
1- Bilgi Koruma Programı: Yönetim, etik değerlere bağlılığı, gözetim yapılarını ve organizasyon hedeflerini belirledi mi? Resmi bir Bilgi Güvenliği Yönetim Programı (ISMP) var mı? Yıllık uygunluk değerlendirmeleri yapılıyor mu? Bu program, tüm gereklilikleri kapsayan politikalar ve prosedürler içermeli. İstihdama erişim koşulları, tüm personel için düzenli olarak dağıtılmalı ve belgelenmelidir. Organizasyon şeması, yıllık gözden geçirme sıklığı ve resmi dokümantasyonla belirlenmiş olmalıdır. Ayrıca, disiplin prosedürleri belirlenmeli ve bağımsız denetimler yıllık olarak gerçekleştirilmelidir.
2- Endpoint Koruması: Anti-virüs/anti-malware çözümleri, tüm cihazlara otomatik olarak güncellenmeli ve kötü amaçlı yazılımlara karşı gerçek zamanlı koruma sağlamalıdır. Ayrıca, spam ve kötü amaçlı kodların filtrelenmesi gerekmektedir. Uç noktalar için merkezi bir güvenlik duvarı ve güvenlik çözümü bulunmalıdır.
3- Taşınabilir Medya Güvenliği: Yönetim, çıkarılabilir medya kullanımını sınırlayan ve kayıt altına alan politikalar ve prosedürler belirlemelidir. Çıkarılabilir medya için uygun kullanım ve sanitasyon prosedürleri oluşturulmalı ve tüm bilgi varlıklarıyla ilişkili riskler göz önünde bulundurulmalıdır. Ayrıca, medyanın uygun şekilde şifrelenmesi ve kullanılması sağlanmalıdır.
4- Mobil Cihaz Güvenliği: Dizüstü bilgisayarlar ve cep telefonları için güvenlik kontrolleri uygulanmalıdır. Uzaktan çalışma risklerini kapsayan yıllık eğitimler düzenlenmeli ve tüm cihazlar güncel ve güvenli olmalıdır.
5- Kablosuz Güvenlik: Kablosuz erişim noktaları için uygun güvenlik yapılandırmaları ve tarama araçları kullanılmalıdır. Yetkisiz kablosuz noktaların taraması düzenli olarak yapılmalı ve erişim noktaları güvenli bir şekilde konumlandırılmalıdır.
6- Konfigürasyon Yönetimi: Değişiklik süreçleri kayıt altına alınmalı, yıllık teknik uygunluk kontrolleri yapılmalı, konfigürasyon yönetimi stratejisi oluşturulmalı ve yazılım konfigürasyonları için temel çizgiler belirlenmelidir.
7- Zarar Görebilirlik Yönetimi: Yönetim, kapsamlı bir varlık envanterine sahip mi ve güvenlik açıklarını izlemek için faaliyetleri var mı? Kapsamlı bir varlık envanterine sahip olmak ve güvenlik açıkları izlenirliği oluşturmak için önemlidir.
8- Ağ Koruması: Yönetim, trafik sınırlaması için uygun ağ yönlendirmesi ve güvenlik duvarlarına sahip mi? Trafik sınırlaması için uygun ağ yönlendirmesi ve güvenlik duvarları kullanılır veya yönlendirilebilir olmalıdır.
9- İletim Koruması: Yönetim, transit protokollerde şifrelemeyi kullanıyor mu ve bu şifrelemeyi tüm trafikte uyguluyor mu? Transit protokollerde şifreleme kullanılabilir ve bu şifreleme tüm trafikte uygulanması kolaylıkla sağlanması gerekmektedir.
10- Güvenlik Açığı Yönetimi: Yönetim, güvenli parola sıfırlama prosedürlerini uyguluyor mu? Güvenli parola sıfırlama prosedürleri oluşturulmalı ve uygulamalıdır.
11- Erişim Kontrolü: Yönetim, tüm hesap türleri ve erişim aşamaları için işe alım ve sonlandırmaları içeren erişim kontrolleri uyguluyor mu? Tüm hesapları içeren erişim kontrolleri uygulanmalıdır.
12- Denetim Günlüğü ve İzleme: Yönetim, kullanıcı eylemleri ve olaylar için uygun denetim kaydı ve izleme kontrolleri uyguluyor mu?
13- Eğitim, Öğretim ve Farkındalık: Yönetim, Tüm kullanıcılar için kapsamlı bir eğitim programı oluşturmalı ve farkındalığı artırmak için gerekli önlemleri alıp, uygulamalı.
14- Üçüncü Taraf Güvencesi: Satıcı yönetimi ve gözetim politikaları resmi olarak tanımlandı mı ve uygulamaya konuldu mu?
15- Olay Yönetimi: Uygun olay yönetimi politikaları ve prosedürleri uygulanır, arızaları, olayları ve endişeleri azaltmak için gerekli adımlar atılır.
16- İş Sürekliliği ve Felaket Kurtarma: Yönetim, güvenlik olaylarından, felaket senaryolarından veya beklenmedik iş kesintilerinden kurtulmak için politika ve prosedürleri resmi olarak tanımlayabilmelidir.
17- Risk Yönetimi: Kurum düzeyinde bir risk değerlendirmesi tamamlandı mı? Yönetim, iş aksamalarından kaynaklanan riskler için risk azaltma faaliyetlerini belirledi mi? Geçerli gerekliliklere uygun fiziksel ve çevresel güvenlikle ilgili süreçler oluşturulmalı.
18- Fiziksel ve Çevresel Güvenlik: Yönetim, geçerli gerekliliklere uygun fiziksel ve çevresel güvenlikle ilgili süreçler oluşturmalı.
19- Veri Koruma ve Gizlilik: Yönetim, yürürlükteki gerekliliklere uygun gizlilik politikaları ve prosedürleri oluşturulur. Ayrıca, gizlilik politikaları, prosedürleri ve bildirimleri konusunda gerekli adımlar atılır.
HITRUST dünya genelinde kabul gören kapsamlı ve esnek bir uyumluluk ve risk yönetim çözümüdür. Daha fazla bilgi ve HITRUST sertifikasyonu ile ilgili detaylı bilgi için lütfen info@cfecert.co.uk adresini ziyaret edin. HITRUST’ a geçerek işletmenizin güvenlik ve uyumluluk seviyesini artırmanıza yardımcı olabiliriz.
