ISO 27001 BGYS Danışmanlığı | TRSİBER Bilişim
top of page
banner 1-01.png

ISO/IEC 27001:2022 

BÄ°LGÄ° GÜVENLİĞİ, SÄ°BER GÜVENLÄ°K VE KİŞİSEL GÄ°ZLÄ°LİĞİN

KORUNMASI - BÄ°LGÄ° GÜVENLİĞİ YÖNETÄ°M SÄ°STEMÄ°

iso_27001_02.png

ISO/IEC 27001:2022 

ISO 27001:2022 Bilgi GüvenliÄŸi Yönetim Sistemi

Bilgi güvenliÄŸinin saÄŸlanabilmesi bilginin gizliliÄŸinin, bütünlüÄŸünün ve eriÅŸilebilirliÄŸinin yeterli düzeylerde saÄŸlanabilmesi ile mümkündür. Bilgi güvenliÄŸi temelde aÅŸağıdaki üç unsuru hedefler:

​

  • Gizlilik (Confidentiality)

  • Bütünlük (Integrity)

  • EriÅŸilebilirlik (Availability)

 

Bilgi GüvenliÄŸi Yönetim Sistemi kısaltılmış adıyla BGYS, kurumun hassas bilgilerini yönetebilmek amacıyla benimsenen sistematik bir yaklaşımdır. BGYS’nin temel amacı hassas bilginin korunmasıdır. “ISO/IEC 27001 Bilgi GüvenliÄŸi Yönetim Sistemleri – Gereksinimler” standardı kullanılmaktadır. Bu standart, BGYS’ni kurumun tüm iÅŸ riskleri baÄŸlamında kurmak, gerçekleÅŸtirmek, izlemek, gözden geçirmek, sürdürmek ve iyileÅŸtirmek için gereksinimleri kapsamaktadır.

ISO 27001:2022 EK-A YENÄ° KONTROLLER

ISO 27001:2013’te 114 olan Ek-A maddeleri 2022 sürümü ile 93’e düÅŸürülmüÅŸtür. Ä°ki sürüm arasındaki Ek-A maddeleri arasındaki deÄŸiÅŸiklikler aÅŸağıdaki gibidir.

A.5.7 : (Yeni) Tehdit Ä°stihbaratı; Bilgi güvenliÄŸi tehditleriyle ilgili bilgiler, tehdit istihbaratı üretmek için toplanmalı ve analiz edilmelidir.

A.5.9 : (DeÄŸiÅŸiklik) Bilgi Envanteri ve DiÄŸer Ä°lgili Varlıklar; Sahipler de dâhil olmak üzere bir bilgi envanteri ve diÄŸer ilgili varlıklar geliÅŸtirilmeli ve muhafaza edilmelidir.

A.5.10 : (DeÄŸiÅŸiklik) Bilgilerin ve DiÄŸer Ä°lgili Varlıkların Kabul Edilebilir Kullanımı; Kabul edilebilir kullanım için kurallar ve bilgi ve diÄŸer ilgili varlıkların iÅŸlenmesi için prosedürler tanımlanmalı, belgelenmeli ve uygulanmalıdır.

A.5.17 : (Yeni) Kimlik DoÄŸrulama Bilgileri; Kimlik doÄŸrulama bilgilerinin tahsisi ve yönetimi, personele kimlik doÄŸrulama bilgilerinin uygun ÅŸekilde ele alınması konusunda tavsiyede bulunmak da dâhil olmak üzere bir yönetim süreci tarafından kontrol edilmelidir.

A.5.18 : (DeÄŸiÅŸiklik) EriÅŸim Hakları; Bilgiye ve diÄŸer ilgili varlıklara eriÅŸim hakları, kuruluÅŸun konuya özel politikasına ve eriÅŸim kontrolü kurallarına uygun olarak saÄŸlanmalı, gözden geçirilmeli, deÄŸiÅŸtirilmeli ve kaldırılmalıdır.

A.5.22 : (DeÄŸiÅŸiklik) Tedarikçi Hizmetlerinin Ä°zlenmesi, Gözden Geçirilmesi ve DeÄŸiÅŸiklik Yönetimi; KuruluÅŸ, tedarikçi bilgi güvenliÄŸi uygulamaları ve hizmet sunumundaki deÄŸiÅŸiklikleri düzenli olarak izlemeli, gözden geçirmeli, deÄŸerlendirmeli ve yönetmelidir.

A.5.23 : (Yeni) Bulut Hizmetlerinin Kullanımı Ä°çin Bilgi GüvenliÄŸi; Bulut hizmetleri edinme, kullanma, yönetme ve bulut hizmetlerinden çıkış süreçleri, kuruluÅŸun bilgi güvenliÄŸi gereksinimlerine uygun olarak oluÅŸturulmalıdır.

A.5.24 : (DeÄŸiÅŸiklik) Bilgi GüvenliÄŸi Olay Yönetimi Planlaması ve Hazırlığı; KuruluÅŸ, bilgi güvenliÄŸi olay yönetimi süreçlerini, rollerini ve sorumluluklarını tanımlayarak, kurarak ve ileterek bilgi güvenliÄŸi olaylarını yönetmeyi planlamalı ve hazırlamalıdır.

A.5.29 : (DeÄŸiÅŸiklik) Kesinti Sırasında Bilgi GüvenliÄŸi; KuruluÅŸ, kesinti sırasında bilgi güvenliÄŸini uygun bir düzeyde nasıl sürdüreceÄŸini planlamalıdır.

A.5.30 : (Yeni) Ä°ÅŸ SürekliliÄŸi Ä°çin BÄ°T Hazırlığı; Bilgi güvenliÄŸi ile ilgili yasal, yasal, düzenleyici ve sözleÅŸmeye dayalı gereksinimler ve kuruluÅŸun bu gereksinimleri karşılama yaklaşımı tanımlanmalı, belgelenmeli ve güncel tutulmalıdır.

A.7.4 : (Yeni) Fiziksel Güvenlik Ä°zleme; Tesisler, yetkisiz fiziksel eriÅŸime karşı sürekli olarak izlenmelidir.

A.7.10 : (Yeni) Depolama Ortamı; Depolama ortamı, kuruluÅŸun sınıflandırma ÅŸemasına ve iÅŸleme gereksinimlerine uygun olarak edinme, kullanım, nakliye ve imha yaÅŸam döngüleri boyunca yönetilmelidir.

A.8.1 : (Yeni) Kullanıcı Uç Nokta Cihazları; Kullanıcı uç nokta cihazlarında saklanan, iÅŸlenen veya bunlarla eriÅŸilebilen bilgiler korunmalıdır.

A.8.9 : (Yeni) Konfigürasyon Yönetimi; Donanım, yazılım, hizmetler ve aÄŸların güvenlik yapılandırmaları dahil olmak üzere yapılandırmaları oluÅŸturulmalı, belgelenmeli, uygulanmalı, izlenmeli ve gözden geçirilmelidir.

A.8.10 : (Yeni) Bilgi Silme; Bilgi sistemlerinde, cihazlarda veya diğer herhangi bir depolama ortamında saklanan bilgiler, artık gerekmediğinde silinmelidir.

A.8.11 : (Yeni) Veri Maskeleme; Veri maskeleme, ilgili mevzuat dikkate alınarak, kuruluÅŸun eriÅŸim kontrolüne iliÅŸkin konuya özel politikasına ve diÄŸer ilgili konuya özel politikalara ve iÅŸ gereksinimlerine uygun olarak kullanılmalıdır.

A.8.12 : (Yeni) Veri Sızıntısı Önleme; Veri sızıntısını önleme önlemleri, hassas bilgileri iÅŸleyen, depolayan veya ileten sistemlere, aÄŸlara ve diÄŸer tüm cihazlara uygulanmalıdır.

A.8.16 : (Yeni) Ä°zleme Faaliyetleri; AÄŸlar, sistemler ve uygulamalar anormal davranışlar için izlenmeli ve olası bilgi güvenliÄŸi olaylarını deÄŸerlendirmek için uygun önlemler alınmalıdır.

A.8.23 : (Yeni) Web Filtreleme; Kötü amaçlı içeriÄŸe maruz kalmayı azaltmak için harici web sitelerine eriÅŸim Yönetilmelidir.

A.8.28 : (Yeni) Güvenli Kodlama; Yazılım geliÅŸtirmede güvenli kodlama ilkeleri uygulanmalıdır.

A.8.34 : (Yeni) Denetim Testleri Sırasında Bilgi Sistemlerinin Korunması; Denetim testleri ve operasyonel sistemlerin deÄŸerlendirilmesini içeren diÄŸer güvence faaliyetleri, test eden kiÅŸi ile uygun yönetim arasında planlanmalı ve kararlaÅŸtırılmalıdır.

​

ISO/IEC 27001:2022 standardı 25 Ekim 2022 tarihinde yayımlanmıştır. 31 Ekim 2025 tarihine kadar belgeli tüm kuruluÅŸların ISO/IEC 27001:2022’ye geçiÅŸinin tamamlanması gerekmektedir.  GeçiÅŸ çalışmaları ve deÄŸiÅŸiklik fark analizleri için danışman ekibimize ulaÅŸabilirsiniz.

​

​

bottom of page