top of page
banner 1-01.png

ISO/IEC 27001:2022 

BİLGİ GÜVENLİĞİ, SİBER GÜVENLİK VE KİŞİSEL GİZLİLİĞİN

KORUNMASI - BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ

iso_27001_02.png

ISO/IEC 27001:2022 

ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi

Bilgi güvenliğinin sağlanabilmesi bilginin gizliliğinin, bütünlüğünün ve erişilebilirliğinin yeterli düzeylerde sağlanabilmesi ile mümkündür. Bilgi güvenliği temelde aşağıdaki üç unsuru hedefler:

  • Gizlilik (Confidentiality)

  • Bütünlük (Integrity)

  • Erişilebilirlik (Availability)

 

Bilgi Güvenliği Yönetim Sistemi kısaltılmış adıyla BGYS, kurumun hassas bilgilerini yönetebilmek amacıyla benimsenen sistematik bir yaklaşımdır. BGYS’nin temel amacı hassas bilginin korunmasıdır. “ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler” standardı kullanılmaktadır. Bu standart, BGYS’ni kurumun tüm iş riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsamaktadır.

ISO 27001:2022 EK-A YENİ KONTROLLER

ISO 27001:2013’te 114 olan Ek-A maddeleri 2022 sürümü ile 93’e düşürülmüştür. İki sürüm arasındaki Ek-A maddeleri arasındaki değişiklikler aşağıdaki gibidir.

A.5.7 : (Yeni) Tehdit İstihbaratı; Bilgi güvenliği tehditleriyle ilgili bilgiler, tehdit istihbaratı üretmek için toplanmalı ve analiz edilmelidir.

A.5.9 : (Değişiklik) Bilgi Envanteri ve Diğer İlgili Varlıklar; Sahipler de dâhil olmak üzere bir bilgi envanteri ve diğer ilgili varlıklar geliştirilmeli ve muhafaza edilmelidir.

A.5.10 : (Değişiklik) Bilgilerin ve Diğer İlgili Varlıkların Kabul Edilebilir Kullanımı; Kabul edilebilir kullanım için kurallar ve bilgi ve diğer ilgili varlıkların işlenmesi için prosedürler tanımlanmalı, belgelenmeli ve uygulanmalıdır.

A.5.17 : (Yeni) Kimlik Doğrulama Bilgileri; Kimlik doğrulama bilgilerinin tahsisi ve yönetimi, personele kimlik doğrulama bilgilerinin uygun şekilde ele alınması konusunda tavsiyede bulunmak da dâhil olmak üzere bir yönetim süreci tarafından kontrol edilmelidir.

A.5.18 : (Değişiklik) Erişim Hakları; Bilgiye ve diğer ilgili varlıklara erişim hakları, kuruluşun konuya özel politikasına ve erişim kontrolü kurallarına uygun olarak sağlanmalı, gözden geçirilmeli, değiştirilmeli ve kaldırılmalıdır.

A.5.22 : (Değişiklik) Tedarikçi Hizmetlerinin İzlenmesi, Gözden Geçirilmesi ve Değişiklik Yönetimi; Kuruluş, tedarikçi bilgi güvenliği uygulamaları ve hizmet sunumundaki değişiklikleri düzenli olarak izlemeli, gözden geçirmeli, değerlendirmeli ve yönetmelidir.

A.5.23 : (Yeni) Bulut Hizmetlerinin Kullanımı İçin Bilgi Güvenliği; Bulut hizmetleri edinme, kullanma, yönetme ve bulut hizmetlerinden çıkış süreçleri, kuruluşun bilgi güvenliği gereksinimlerine uygun olarak oluşturulmalıdır.

A.5.24 : (Değişiklik) Bilgi Güvenliği Olay Yönetimi Planlaması ve Hazırlığı; Kuruluş, bilgi güvenliği olay yönetimi süreçlerini, rollerini ve sorumluluklarını tanımlayarak, kurarak ve ileterek bilgi güvenliği olaylarını yönetmeyi planlamalı ve hazırlamalıdır.

A.5.29 : (Değişiklik) Kesinti Sırasında Bilgi Güvenliği; Kuruluş, kesinti sırasında bilgi güvenliğini uygun bir düzeyde nasıl sürdüreceğini planlamalıdır.

A.5.30 : (Yeni) İş Sürekliliği İçin BİT Hazırlığı; Bilgi güvenliği ile ilgili yasal, yasal, düzenleyici ve sözleşmeye dayalı gereksinimler ve kuruluşun bu gereksinimleri karşılama yaklaşımı tanımlanmalı, belgelenmeli ve güncel tutulmalıdır.

A.7.4 : (Yeni) Fiziksel Güvenlik İzleme; Tesisler, yetkisiz fiziksel erişime karşı sürekli olarak izlenmelidir.

A.7.10 : (Yeni) Depolama Ortamı; Depolama ortamı, kuruluşun sınıflandırma şemasına ve işleme gereksinimlerine uygun olarak edinme, kullanım, nakliye ve imha yaşam döngüleri boyunca yönetilmelidir.

A.8.1 : (Yeni) Kullanıcı Uç Nokta Cihazları; Kullanıcı uç nokta cihazlarında saklanan, işlenen veya bunlarla erişilebilen bilgiler korunmalıdır.

A.8.9 : (Yeni) Konfigürasyon Yönetimi; Donanım, yazılım, hizmetler ve ağların güvenlik yapılandırmaları dahil olmak üzere yapılandırmaları oluşturulmalı, belgelenmeli, uygulanmalı, izlenmeli ve gözden geçirilmelidir.

A.8.10 : (Yeni) Bilgi Silme; Bilgi sistemlerinde, cihazlarda veya diğer herhangi bir depolama ortamında saklanan bilgiler, artık gerekmediğinde silinmelidir.

A.8.11 : (Yeni) Veri Maskeleme; Veri maskeleme, ilgili mevzuat dikkate alınarak, kuruluşun erişim kontrolüne ilişkin konuya özel politikasına ve diğer ilgili konuya özel politikalara ve iş gereksinimlerine uygun olarak kullanılmalıdır.

A.8.12 : (Yeni) Veri Sızıntısı Önleme; Veri sızıntısını önleme önlemleri, hassas bilgileri işleyen, depolayan veya ileten sistemlere, ağlara ve diğer tüm cihazlara uygulanmalıdır.

A.8.16 : (Yeni) İzleme Faaliyetleri; Ağlar, sistemler ve uygulamalar anormal davranışlar için izlenmeli ve olası bilgi güvenliği olaylarını değerlendirmek için uygun önlemler alınmalıdır.

A.8.23 : (Yeni) Web Filtreleme; Kötü amaçlı içeriğe maruz kalmayı azaltmak için harici web sitelerine erişim Yönetilmelidir.

A.8.28 : (Yeni) Güvenli Kodlama; Yazılım geliştirmede güvenli kodlama ilkeleri uygulanmalıdır.

A.8.34 : (Yeni) Denetim Testleri Sırasında Bilgi Sistemlerinin Korunması; Denetim testleri ve operasyonel sistemlerin değerlendirilmesini içeren diğer güvence faaliyetleri, test eden kişi ile uygun yönetim arasında planlanmalı ve kararlaştırılmalıdır.

ISO/IEC 27001:2022 standardı 25 Ekim 2022 tarihinde yayımlanmıştır. 31 Ekim 2025 tarihine kadar belgeli tüm kuruluşların ISO/IEC 27001:2022’ye geçişinin tamamlanması gerekmektedir.  Geçiş çalışmaları ve değişiklik fark analizleri için danışman ekibimize ulaşabilirsiniz.

bottom of page