ISO/IEC 27001:2022
BİLGİ GÜVENLİĞİ, SİBER GÜVENLİK VE KİŞİSEL GİZLİLİĞİN
KORUNMASI - BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ
ISO/IEC 27001:2022
ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi
Bilgi güvenliğinin sağlanabilmesi bilginin gizliliğinin, bütünlüğünün ve erişilebilirliğinin yeterli düzeylerde sağlanabilmesi ile mümkündür. Bilgi güvenliği temelde aşağıdaki üç unsuru hedefler:
-
Gizlilik (Confidentiality)
-
Bütünlük (Integrity)
-
Erişilebilirlik (Availability)
Bilgi Güvenliği Yönetim Sistemi kısaltılmış adıyla BGYS, kurumun hassas bilgilerini yönetebilmek amacıyla benimsenen sistematik bir yaklaşımdır. BGYS’nin temel amacı hassas bilginin korunmasıdır. “ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler” standardı kullanılmaktadır. Bu standart, BGYS’ni kurumun tüm iş riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsamaktadır.
ISO 27001:2022 EK-A YENİ KONTROLLER
ISO 27001:2013’te 114 olan Ek-A maddeleri 2022 sürümü ile 93’e düşürülmüştür. İki sürüm arasındaki Ek-A maddeleri arasındaki değişiklikler aşağıdaki gibidir.
A.5.7 : (Yeni) Tehdit İstihbaratı; Bilgi güvenliği tehditleriyle ilgili bilgiler, tehdit istihbaratı üretmek için toplanmalı ve analiz edilmelidir.
A.5.9 : (Değişiklik) Bilgi Envanteri ve Diğer İlgili Varlıklar; Sahipler de dâhil olmak üzere bir bilgi envanteri ve diğer ilgili varlıklar geliştirilmeli ve muhafaza edilmelidir.
A.5.10 : (Değişiklik) Bilgilerin ve Diğer İlgili Varlıkların Kabul Edilebilir Kullanımı; Kabul edilebilir kullanım için kurallar ve bilgi ve diğer ilgili varlıkların işlenmesi için prosedürler tanımlanmalı, belgelenmeli ve uygulanmalıdır.
A.5.17 : (Yeni) Kimlik Doğrulama Bilgileri; Kimlik doğrulama bilgilerinin tahsisi ve yönetimi, personele kimlik doğrulama bilgilerinin uygun şekilde ele alınması konusunda tavsiyede bulunmak da dâhil olmak üzere bir yönetim süreci tarafından kontrol edilmelidir.
A.5.18 : (Değişiklik) Erişim Hakları; Bilgiye ve diğer ilgili varlıklara erişim hakları, kuruluşun konuya özel politikasına ve erişim kontrolü kurallarına uygun olarak sağlanmalı, gözden geçirilmeli, değiştirilmeli ve kaldırılmalıdır.
A.5.22 : (Değişiklik) Tedarikçi Hizmetlerinin İzlenmesi, Gözden Geçirilmesi ve Değişiklik Yönetimi; Kuruluş, tedarikçi bilgi güvenliği uygulamaları ve hizmet sunumundaki değişiklikleri düzenli olarak izlemeli, gözden geçirmeli, değerlendirmeli ve yönetmelidir.
A.5.23 : (Yeni) Bulut Hizmetlerinin Kullanımı İçin Bilgi Güvenliği; Bulut hizmetleri edinme, kullanma, yönetme ve bulut hizmetlerinden çıkış süreçleri, kuruluşun bilgi güvenliği gereksinimlerine uygun olarak oluşturulmalıdır.
A.5.24 : (Değişiklik) Bilgi Güvenliği Olay Yönetimi Planlaması ve Hazırlığı; Kuruluş, bilgi güvenliği olay yönetimi süreçlerini, rollerini ve sorumluluklarını tanımlayarak, kurarak ve ileterek bilgi güvenliği olaylarını yönetmeyi planlamalı ve hazırlamalıdır.
A.5.29 : (Değişiklik) Kesinti Sırasında Bilgi Güvenliği; Kuruluş, kesinti sırasında bilgi güvenliğini uygun bir düzeyde nasıl sürdüreceğini planlamalıdır.
A.5.30 : (Yeni) İş Sürekliliği İçin BİT Hazırlığı; Bilgi güvenliği ile ilgili yasal, yasal, düzenleyici ve sözleşmeye dayalı gereksinimler ve kuruluşun bu gereksinimleri karşılama yaklaşımı tanımlanmalı, belgelenmeli ve güncel tutulmalıdır.
A.7.4 : (Yeni) Fiziksel Güvenlik İzleme; Tesisler, yetkisiz fiziksel erişime karşı sürekli olarak izlenmelidir.
A.7.10 : (Yeni) Depolama Ortamı; Depolama ortamı, kuruluşun sınıflandırma şemasına ve işleme gereksinimlerine uygun olarak edinme, kullanım, nakliye ve imha yaşam döngüleri boyunca yönetilmelidir.
A.8.1 : (Yeni) Kullanıcı Uç Nokta Cihazları; Kullanıcı uç nokta cihazlarında saklanan, işlenen veya bunlarla erişilebilen bilgiler korunmalıdır.
A.8.9 : (Yeni) Konfigürasyon Yönetimi; Donanım, yazılım, hizmetler ve ağların güvenlik yapılandırmaları dahil olmak üzere yapılandırmaları oluşturulmalı, belgelenmeli, uygulanmalı, izlenmeli ve gözden geçirilmelidir.
A.8.10 : (Yeni) Bilgi Silme; Bilgi sistemlerinde, cihazlarda veya diğer herhangi bir depolama ortamında saklanan bilgiler, artık gerekmediğinde silinmelidir.
A.8.11 : (Yeni) Veri Maskeleme; Veri maskeleme, ilgili mevzuat dikkate alınarak, kuruluşun erişim kontrolüne ilişkin konuya özel politikasına ve diğer ilgili konuya özel politikalara ve iş gereksinimlerine uygun olarak kullanılmalıdır.
A.8.12 : (Yeni) Veri Sızıntısı Önleme; Veri sızıntısını önleme önlemleri, hassas bilgileri işleyen, depolayan veya ileten sistemlere, ağlara ve diğer tüm cihazlara uygulanmalıdır.
A.8.16 : (Yeni) İzleme Faaliyetleri; Ağlar, sistemler ve uygulamalar anormal davranışlar için izlenmeli ve olası bilgi güvenliği olaylarını değerlendirmek için uygun önlemler alınmalıdır.
A.8.23 : (Yeni) Web Filtreleme; Kötü amaçlı içeriğe maruz kalmayı azaltmak için harici web sitelerine erişim Yönetilmelidir.
A.8.28 : (Yeni) Güvenli Kodlama; Yazılım geliştirmede güvenli kodlama ilkeleri uygulanmalıdır.
A.8.34 : (Yeni) Denetim Testleri Sırasında Bilgi Sistemlerinin Korunması; Denetim testleri ve operasyonel sistemlerin değerlendirilmesini içeren diğer güvence faaliyetleri, test eden kişi ile uygun yönetim arasında planlanmalı ve kararlaştırılmalıdır.
ISO/IEC 27001:2022 standardı 25 Ekim 2022 tarihinde yayımlanmıştır. 31 Ekim 2025 tarihine kadar belgeli tüm kuruluşların ISO/IEC 27001:2022’ye geçişinin tamamlanması gerekmektedir. Geçiş çalışmaları ve değişiklik fark analizleri için danışman ekibimize ulaşabilirsiniz.