ISO/IEC 27001:2022
BÄ°LGÄ° GÜVENLİĞİ, SÄ°BER GÜVENLÄ°K VE KİŞİSEL GÄ°ZLÄ°LİĞİN
KORUNMASI - BÄ°LGÄ° GÜVENLİĞİ YÖNETÄ°M SÄ°STEMÄ°
ISO/IEC 27001:2022
ISO 27001:2022 Bilgi GüvenliÄŸi Yönetim Sistemi
Bilgi güvenliÄŸinin saÄŸlanabilmesi bilginin gizliliÄŸinin, bütünlüÄŸünün ve eriÅŸilebilirliÄŸinin yeterli düzeylerde saÄŸlanabilmesi ile mümkündür. Bilgi güvenliÄŸi temelde aÅŸağıdaki üç unsuru hedefler:
​
-
Gizlilik (Confidentiality)
-
Bütünlük (Integrity)
-
EriÅŸilebilirlik (Availability)
Bilgi GüvenliÄŸi Yönetim Sistemi kısaltılmış adıyla BGYS, kurumun hassas bilgilerini yönetebilmek amacıyla benimsenen sistematik bir yaklaşımdır. BGYS’nin temel amacı hassas bilginin korunmasıdır. “ISO/IEC 27001 Bilgi GüvenliÄŸi Yönetim Sistemleri – Gereksinimler” standardı kullanılmaktadır. Bu standart, BGYS’ni kurumun tüm iÅŸ riskleri baÄŸlamında kurmak, gerçekleÅŸtirmek, izlemek, gözden geçirmek, sürdürmek ve iyileÅŸtirmek için gereksinimleri kapsamaktadır.
ISO 27001:2022 EK-A YENÄ° KONTROLLER
ISO 27001:2013’te 114 olan Ek-A maddeleri 2022 sürümü ile 93’e düÅŸürülmüÅŸtür. Ä°ki sürüm arasındaki Ek-A maddeleri arasındaki deÄŸiÅŸiklikler aÅŸağıdaki gibidir.
A.5.7 : (Yeni) Tehdit Ä°stihbaratı; Bilgi güvenliÄŸi tehditleriyle ilgili bilgiler, tehdit istihbaratı üretmek için toplanmalı ve analiz edilmelidir.
A.5.9 : (DeÄŸiÅŸiklik) Bilgi Envanteri ve DiÄŸer Ä°lgili Varlıklar; Sahipler de dâhil olmak üzere bir bilgi envanteri ve diÄŸer ilgili varlıklar geliÅŸtirilmeli ve muhafaza edilmelidir.
A.5.10 : (DeÄŸiÅŸiklik) Bilgilerin ve DiÄŸer Ä°lgili Varlıkların Kabul Edilebilir Kullanımı; Kabul edilebilir kullanım için kurallar ve bilgi ve diÄŸer ilgili varlıkların iÅŸlenmesi için prosedürler tanımlanmalı, belgelenmeli ve uygulanmalıdır.
A.5.17 : (Yeni) Kimlik DoÄŸrulama Bilgileri; Kimlik doÄŸrulama bilgilerinin tahsisi ve yönetimi, personele kimlik doÄŸrulama bilgilerinin uygun ÅŸekilde ele alınması konusunda tavsiyede bulunmak da dâhil olmak üzere bir yönetim süreci tarafından kontrol edilmelidir.
A.5.18 : (DeÄŸiÅŸiklik) EriÅŸim Hakları; Bilgiye ve diÄŸer ilgili varlıklara eriÅŸim hakları, kuruluÅŸun konuya özel politikasına ve eriÅŸim kontrolü kurallarına uygun olarak saÄŸlanmalı, gözden geçirilmeli, deÄŸiÅŸtirilmeli ve kaldırılmalıdır.
A.5.22 : (DeÄŸiÅŸiklik) Tedarikçi Hizmetlerinin Ä°zlenmesi, Gözden Geçirilmesi ve DeÄŸiÅŸiklik Yönetimi; KuruluÅŸ, tedarikçi bilgi güvenliÄŸi uygulamaları ve hizmet sunumundaki deÄŸiÅŸiklikleri düzenli olarak izlemeli, gözden geçirmeli, deÄŸerlendirmeli ve yönetmelidir.
A.5.23 : (Yeni) Bulut Hizmetlerinin Kullanımı Ä°çin Bilgi GüvenliÄŸi; Bulut hizmetleri edinme, kullanma, yönetme ve bulut hizmetlerinden çıkış süreçleri, kuruluÅŸun bilgi güvenliÄŸi gereksinimlerine uygun olarak oluÅŸturulmalıdır.
A.5.24 : (DeÄŸiÅŸiklik) Bilgi GüvenliÄŸi Olay Yönetimi Planlaması ve Hazırlığı; KuruluÅŸ, bilgi güvenliÄŸi olay yönetimi süreçlerini, rollerini ve sorumluluklarını tanımlayarak, kurarak ve ileterek bilgi güvenliÄŸi olaylarını yönetmeyi planlamalı ve hazırlamalıdır.
A.5.29 : (DeÄŸiÅŸiklik) Kesinti Sırasında Bilgi GüvenliÄŸi; KuruluÅŸ, kesinti sırasında bilgi güvenliÄŸini uygun bir düzeyde nasıl sürdüreceÄŸini planlamalıdır.
A.5.30 : (Yeni) Ä°ÅŸ SürekliliÄŸi Ä°çin BÄ°T Hazırlığı; Bilgi güvenliÄŸi ile ilgili yasal, yasal, düzenleyici ve sözleÅŸmeye dayalı gereksinimler ve kuruluÅŸun bu gereksinimleri karşılama yaklaşımı tanımlanmalı, belgelenmeli ve güncel tutulmalıdır.
A.7.4 : (Yeni) Fiziksel Güvenlik Ä°zleme; Tesisler, yetkisiz fiziksel eriÅŸime karşı sürekli olarak izlenmelidir.
A.7.10 : (Yeni) Depolama Ortamı; Depolama ortamı, kuruluÅŸun sınıflandırma ÅŸemasına ve iÅŸleme gereksinimlerine uygun olarak edinme, kullanım, nakliye ve imha yaÅŸam döngüleri boyunca yönetilmelidir.
A.8.1 : (Yeni) Kullanıcı Uç Nokta Cihazları; Kullanıcı uç nokta cihazlarında saklanan, iÅŸlenen veya bunlarla eriÅŸilebilen bilgiler korunmalıdır.
A.8.9 : (Yeni) Konfigürasyon Yönetimi; Donanım, yazılım, hizmetler ve aÄŸların güvenlik yapılandırmaları dahil olmak üzere yapılandırmaları oluÅŸturulmalı, belgelenmeli, uygulanmalı, izlenmeli ve gözden geçirilmelidir.
A.8.10 : (Yeni) Bilgi Silme; Bilgi sistemlerinde, cihazlarda veya diğer herhangi bir depolama ortamında saklanan bilgiler, artık gerekmediğinde silinmelidir.
A.8.11 : (Yeni) Veri Maskeleme; Veri maskeleme, ilgili mevzuat dikkate alınarak, kuruluÅŸun eriÅŸim kontrolüne iliÅŸkin konuya özel politikasına ve diÄŸer ilgili konuya özel politikalara ve iÅŸ gereksinimlerine uygun olarak kullanılmalıdır.
A.8.12 : (Yeni) Veri Sızıntısı Önleme; Veri sızıntısını önleme önlemleri, hassas bilgileri iÅŸleyen, depolayan veya ileten sistemlere, aÄŸlara ve diÄŸer tüm cihazlara uygulanmalıdır.
A.8.16 : (Yeni) Ä°zleme Faaliyetleri; AÄŸlar, sistemler ve uygulamalar anormal davranışlar için izlenmeli ve olası bilgi güvenliÄŸi olaylarını deÄŸerlendirmek için uygun önlemler alınmalıdır.
A.8.23 : (Yeni) Web Filtreleme; Kötü amaçlı içeriÄŸe maruz kalmayı azaltmak için harici web sitelerine eriÅŸim Yönetilmelidir.
A.8.28 : (Yeni) Güvenli Kodlama; Yazılım geliÅŸtirmede güvenli kodlama ilkeleri uygulanmalıdır.
A.8.34 : (Yeni) Denetim Testleri Sırasında Bilgi Sistemlerinin Korunması; Denetim testleri ve operasyonel sistemlerin deÄŸerlendirilmesini içeren diÄŸer güvence faaliyetleri, test eden kiÅŸi ile uygun yönetim arasında planlanmalı ve kararlaÅŸtırılmalıdır.
​
ISO/IEC 27001:2022 standardı 25 Ekim 2022 tarihinde yayımlanmıştır. 31 Ekim 2025 tarihine kadar belgeli tüm kuruluÅŸların ISO/IEC 27001:2022’ye geçiÅŸinin tamamlanması gerekmektedir. GeçiÅŸ çalışmaları ve deÄŸiÅŸiklik fark analizleri için danışman ekibimize ulaÅŸabilirsiniz.
​
​