Bilgi ve İletişim Güvenliği Uyumluluk SON tarihi Temmuz 2022.
Sızma Testleri ve Güvenlik Denetimlerinin Gerçekleştirilmesi
Kurum sistemlerinin güvenlik açıklarını ve saldırı yüzeyini belirlemek için düzenli aralıklarla harici ve dâhili sızmatestleri ve güvenlik denetimleri gerçekleştirilmelidir. Sızma testleri ve güvenlik denetimleri gerçekleştirilmeden önce testi gerçekleştirecek taraftan, test süresince elde edilen hiçbir verinin yetkisiz kişilere verilmemesi, aktarılmaması ve ifşa edilmemesine yönelik taahhüt alınmalıdır. Sızma testi ve güvenlik denetimi kapsamı tanımlanmalı ve dokümante edilmelidir. Sosyal mühendislik testleri de sızma testi kapsamına dâhil edilmelidir.
Sızma Testlerinin Kullanıcı Profillerine Göre Gerçekleştirilmesi
Sağlıklı ve gerçek hayata uygun bir sızma testi için testler sırasında anonim kullanıcılar, misafir kullanıcılar, çalışanlar, kurumdan hizmet alan kullanıcılar ve kuruma destek veren kullanıcılar gibi farklı yetki seviyesindeki kullanıcı profilleri kullanılmalıdır.
Sızma Testi ve Güvenlik Denetimi Bulgularının Seviyelendirilmesi
Sızma testi ve güvenlik denetimi bulguları karşılaştırılabilir bir puanlama yöntemi dikkate alınarak raporlanmalıdır.
Sızma Testleri ve Güvenlik Denetimlerinin Periyodu
Sızma testleri ve güvenlik denetimleri yılda en az 1 defa yapılmalıdır
Kurum Ağına Eklenen Yazılımın ve Donanımın Kontrolü
Kurum ağına eklenecek donanıma veya yazılıma, ağa dâhil edilmeden önce zafiyet taraması ve güvenlik denetimi yapılmalıdır.
