ISO 27001 Rehberi

ISO 27001 Standart Maddeleri Nelerdir?

ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı; kuruluşların bilgi varlıklarını sistematik şekilde korumasını, bilgi güvenliği risklerini yönetmesini, yasal ve sözleşmesel yükümlülüklerini daha kontrollü şekilde takip etmesini ve bilgi güvenliği performansını sürekli iyileştirmesini amaçlayan uluslararası bir yönetim sistemi standardıdır. Bu rehberde ISO’nun anlamını, TS ISO/IEC 27001 ifadesini, standart maddelerini ve Ek A bilgi güvenliği kontrollerinin işletmeler için ne ifade ettiğini ayrıntılı olarak inceleyebilirsiniz.

ISO 27001 Standart Maddeleri
Ana Konu ISO 27001 Standart Yapısı
Odak Noktası Madde 4-10 ve Ek A Kontrolleri
Hedef Standardı Doğru Anlamak
TOEM Uzmanından Not

ISO 27001 standardı yalnızca bilgi güvenliği prosedürlerinden veya teknik güvenlik uygulamalarından oluşmaz. Standardın temel amacı; kuruluşun bilgi varlıklarını, bilgi güvenliği risklerini, uygulanabilir kontrollerini, yasal ve sözleşmesel yükümlülüklerini planlı, ölçülebilir ve sürekli geliştirilebilir bir yapıya dönüştürmektir. Denetimlerde değerlendirilen konu yalnızca dokümanlar değil, Bilgi Güvenliği Yönetim Sisteminin günlük faaliyetlerde gerçekten uygulanıyor olmasıdır.

ISO Nedir?

ISO (International Organization for Standardization), dünya genelinde kabul gören uluslararası standartları hazırlayan ve yayımlayan bağımsız bir standardizasyon kuruluşudur.

ISO’nun temel amacı; ülkeler arasında ortak kalite, güvenlik, verimlilik, çevre, bilgi güvenliği ve yönetim anlayışının oluşturulmasını sağlamaktır. Günümüzde kalite yönetiminden bilgi güvenliğine, çevre yönetiminden gıda güvenliğine kadar çok sayıda uluslararası standart ISO tarafından yayımlanmaktadır.

Sıklıkla düşünülenin aksine ISO herhangi bir kuruluşa belge düzenlemez. ISO yalnızca standardı yayımlar. Belgelendirme işlemleri ise bağımsız ve akredite belgelendirme kuruluşları tarafından gerçekleştirilir.

TS ISO/IEC 27001 Ne Anlama Gelir?

ISO 27001 standardının tam adı çoğu zaman TS ISO/IEC 27001 olarak görülmektedir. Bu ifade standardın farklı kabul ve yayın aşamalarını göstermektedir.

KısaltmaAçıklaması
TSTürk Standardı olarak TSE tarafından yayımlandığını ifade eder.
ISOStandardın Uluslararası Standardizasyon Örgütü tarafından yayımlandığını ifade eder.
IECElektroteknik ve bilgi teknolojileri alanındaki uluslararası standart yapısını ifade eder.
27001Bilgi Güvenliği Yönetim Sistemi standardının numarasıdır.

Dolayısıyla TS ISO/IEC 27001, aynı standardın hem uluslararası hem de Türkiye’de kabul edilen resmi sürümünü ifade etmektedir.

ISO 27001 Standardı Nasıl Yapılandırılmıştır?

ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı, kuruluşların bilgi güvenliği yönetimini sistematik ve sürdürülebilir şekilde yürütebilmesi amacıyla hazırlanmış on ana bölümden oluşur.

İlk üç madde standardın genel yapısını tanımlarken, uygulamaya esas olan hükümler 4 ila 10. maddeler arasında yer alır. Belgelendirme denetimlerinde kuruluşların yönetim sistemi uygunluğu bu maddeler esas alınarak değerlendirilir.

ISO 27001’i birçok yönetim sistemi standardından ayıran önemli fark ise Ek A bilgi güvenliği kontrolleridir. Kuruluş, risk değerlendirmesi sonucunda uygulanacak kontrolleri belirler, Uygulanabilirlik Bildirgesi (SoA) ile gerekçelendirir ve seçilen kontrollerin uygulama kanıtlarını oluşturur.

BölümKonuDenetimde Değerlendirilir mi?
1KapsamBilgilendirme
2Atıf Yapılan StandartlarBilgilendirme
3Terimler ve TariflerBilgilendirme
4Kuruluşun BağlamıEvet
5LiderlikEvet
6PlanlamaEvet
7DestekEvet
8OperasyonEvet
9Performans DeğerlendirmeEvet
10İyileştirmeEvet
Ek ABilgi Güvenliği KontrolleriRisk ve SoA kapsamında değerlendirilir

İlk Üç Madde Neden Farklıdır?

ISO 27001 standardının ilk üç maddesi doğrudan uygulanması gereken şartları içermez.

Bu bölümler standardın kapsamını, kullanılan referansları ve ortak terminolojiyi tanımlar. Bu nedenle belgelendirme denetimlerinde esas değerlendirme Madde 4 ile başlar.

ISO 27001 denetimlerinde Madde 4-10 yönetim sistemi gereklilikleri değerlendirilirken, Ek A kontrolleri de kuruluşun risk değerlendirmesi ve Uygulanabilirlik Bildirgesi doğrultusunda incelenir.

Madde 4 - Kuruluşun Bağlamı

ISO 27001 standardının temelini oluşturan ilk uygulama maddesi Kuruluşun Bağlamıdır.

Bu madde, kuruluşun yalnızca kendi faaliyetlerini değil; bilgi güvenliği yönetim sistemini etkileyebilecek iç ve dış faktörleri, ilgili tarafları, yasal ve sözleşmesel yükümlülükleri ve bilgi güvenliği kapsamını analiz etmesini ister.

Başka bir ifadeyle kuruluş önce kendisini, bilgi varlıklarını, faaliyetlerini, teknolojik altyapısını, ilgili taraflarını ve bilgi güvenliği bağlamını doğru tanımalıdır.

Kuruluş; faaliyet gösterdiği sektörü, müşteri ve tedarikçi beklentilerini, yasal düzenlemeleri, bilgi teknolojileri altyapısını, dış kaynaklı hizmetlerini, bulut kullanımını, lokasyonlarını, bilgi güvenliği risklerini ve organizasyonel yapısını belirlemeli; Bilgi Güvenliği Yönetim Sistemini bu bilgiler doğrultusunda oluşturmalıdır.

Madde 4 Alt Başlıkları

MaddeAçıklama
4.1Kuruluş ve bağlamının anlaşılması
4.2İlgili tarafların ihtiyaç ve beklentileri
4.3Bilgi Güvenliği Yönetim Sistemi kapsamının belirlenmesi
4.4Bilgi Güvenliği Yönetim Sisteminin oluşturulması

Denetçi Bu Maddede Neye Bakar?

ISO 27001 denetimlerinde Madde 4 değerlendirilirken aşağıdaki konular özellikle incelenir:

  • Kuruluş iç ve dış hususlarını belirlemiş mi?
  • İlgili taraf analizi yapılmış mı?
  • BGYS kapsamı doğru tanımlanmış mı?
  • Kapsama dahil edilen süreçler, lokasyonlar, bilgi varlıkları ve teknolojik altyapı net mi?
  • Dış kaynaklı hizmetler, tedarikçiler ve bulut hizmetleri kapsamla ilişkilendirilmiş mi?
  • BGYS kapsamı risk değerlendirmesi ve Ek A kontrolleriyle uyumlu mu?
Denetçi Bakış Açısı

Kuruluşlar çoğu zaman Madde 4’ü yalnızca “İç ve Dış Hususlar Listesi” hazırlamak olarak değerlendiriyor. Oysa bu madde, tüm Bilgi Güvenliği Yönetim Sisteminin temelidir. Varlık envanteri, risk değerlendirmesi, SoA, bilgi güvenliği hedefleri ve Ek A kontrolleri doğrudan bu kapsam ve bağlam çalışmaları üzerine kurulmalıdır.

TOEM Uzman Yorumu

Danışmanlık projelerinde en sık karşılaştığımız eksikliklerden biri, Madde 4 çalışmalarının yalnızca doküman hazırlamak amacıyla yapılmasıdır. Oysa iç ve dış hususlar ile ilgili taraf analizleri düzenli olarak gözden geçirildiğinde; bilgi güvenliği risklerinin daha doğru belirlenmesi, yasal ve sözleşmesel yükümlülüklerin daha etkin takip edilmesi ve bilgi güvenliği hedeflerinin gerçek ihtiyaçlara göre oluşturulması mümkün olur.

Madde 5 - Liderlik

ISO 27001 standardının başarıyla uygulanabilmesi için en önemli unsur üst yönetimin sürece aktif katılım göstermesidir. Bu nedenle standardın beşinci maddesi tamamen liderlik kavramına ayrılmıştır.

Bilgi Güvenliği Yönetim Sistemi yalnızca bilgi işlem biriminin, bilgi güvenliği sorumlusunun veya danışmanın sorumluluğunda değildir. Üst yönetim, sistemin etkin şekilde uygulanmasını sağlamalı, gerekli kaynakları sağlamalı ve bilgi güvenliği kültürünün kuruluş genelinde benimsenmesine öncülük etmelidir.

Bir denetimde en çok değerlendirilen konulardan biri de yönetimin bilgi güvenliği yönetim sistemine gerçekten sahip çıkıp çıkmadığıdır.

Madde 5 Alt Başlıkları

MaddeAçıklama
5.1Liderlik ve taahhüt
5.2Bilgi Güvenliği Politikası
5.3Görev, yetki ve sorumluluklar

Denetçi Bu Maddede Neye Bakar?

Denetimlerde aşağıdaki hususlar değerlendirilir:

  • Üst yönetim bilgi güvenliği yönetim sistemini destekliyor mu?
  • Bilgi Güvenliği Politikası kuruluşa uygun mu?
  • Bilgi güvenliği hedefleri yönetim tarafından takip ediliyor mu?
  • Görev, yetki ve sorumluluklar açık şekilde tanımlanmış mı?
  • Çalışanlar bilgi güvenliği politikasını ve kendi bilgi güvenliği sorumluluklarını biliyor mu?
  • Üst yönetim BGYS performansını düzenli olarak değerlendiriyor mu?
Denetçi Bakış Açısı

ISO 27001 denetimlerinde yalnızca bilgi güvenliği sorumlusuyla görüşmek yeterli değildir. Denetçiler, üst yönetimin Bilgi Güvenliği Yönetim Sistemine gerçekten liderlik edip etmediğini, bilgi güvenliği politikasını sahiplenip sahiplenmediğini ve bilgi güvenliği performansının yönetim tarafından izlenip izlenmediğini de değerlendirir.

Madde 6 - Planlama

Madde 6, ISO 27001 standardının en kritik bölümlerinden biridir. Bu madde, kuruluşun bilgi güvenliği risklerini ve fırsatlarını sistematik şekilde ele almasını ister.

Bu kapsamda kuruluş; bilgi güvenliği risk değerlendirme metodolojisini belirlemeli, risk kriterlerini oluşturmalı, bilgi güvenliği risklerini analiz etmeli, risk işleme seçeneklerini seçmeli, gerekli kontrolleri belirlemeli, Uygulanabilirlik Bildirgesi (SoA) hazırlamalı ve bilgi güvenliği hedeflerini planlamalıdır.

Planlama faaliyetleri, ISO 27001 sisteminin sürdürülebilirliği açısından kritik öneme sahiptir.

Madde 6 Alt Başlıkları

MaddeAçıklama
6.1Riskleri ve fırsatları belirleme faaliyetleri
6.1.2Bilgi güvenliği risk değerlendirmesi
6.1.3Bilgi güvenliği risk işleme
6.2Bilgi güvenliği hedefleri ve bunlara ulaşmak için planlama
6.3Değişikliklerin planlanması

Denetçi Bu Maddede Neye Bakar?

Denetimlerde aşağıdaki konular incelenir:

  • Risk değerlendirme yöntemi tanımlanmış mı?
  • Risk kabul kriterleri belirlenmiş mi?
  • Varlıklar, tehditler, zafiyetler ve risk sahipleri değerlendirilmiş mi?
  • Risk seviyeleri tutarlı ve karşılaştırılabilir şekilde hesaplanmış mı?
  • Risk işleme planı hazırlanmış mı?
  • Ek A kontrolleri risk sonuçlarıyla ilişkilendirilmiş mi?
  • Uygulanabilirlik Bildirgesi (SoA) hazırlanmış ve güncel mi?
  • Bilgi güvenliği hedefleri ölçülebilir ve takip edilebilir mi?
TOEM Uzmanından Not

ISO 27001 standardında planlama yalnızca risk listesi oluşturmak anlamına gelmez. Varlık envanteri, risk değerlendirme yöntemi, risk işleme planı, SoA, bilgi güvenliği hedefleri ve değişikliklerin planlanması birlikte ele alınmalıdır. Etkin bir planlama yapılmadan Ek A kontrollerinin sahada doğru uygulanması zordur.

Madde 7 - Destek

Bilgi Güvenliği Yönetim Sisteminin etkin şekilde çalışabilmesi için gerekli kaynakların sağlanması Madde 7 kapsamında ele alınmaktadır.

Bu madde yalnızca insan kaynağını değil; altyapıyı, yetkinlikleri, farkındalık çalışmalarını, iletişim süreçlerini ve dokümante edilmiş bilgiyi de kapsamaktadır.

Başarılı bir bilgi güvenliği yönetim sistemi, yeterli kaynaklarla desteklenmediği sürece sürdürülebilir değildir.

Madde 7 Alt Başlıkları

MaddeAçıklama
7.1Kaynaklar
7.2Yeterlilik
7.3Farkındalık
7.4İletişim
7.5Dokümante Edilmiş Bilgi

Denetçi Bu Maddede Neye Bakar?

Denetçiler özellikle aşağıdaki konuları değerlendirir:

  • Personelin bilgi güvenliği açısından yetkinliği yeterli mi?
  • Eğitim kayıtları mevcut mu?
  • Çalışanlar bilgi güvenliği politikası, bilgi varlıkları ve sorumlulukları konusunda farkındalık sahibi mi?
  • İç ve dış iletişim süreçleri tanımlanmış mı?
  • Doküman ve kayıt kontrolü etkin şekilde uygulanıyor mu?
  • BGYS dokümanları gizlilik, bütünlük ve erişilebilirlik açısından korunuyor mu?
Sahadan Deneyim

Belgelendirme denetimlerinde en sık karşılaşılan uygunsuzluklardan biri, bilgi güvenliği dokümanlarının hazırlanmış olmasına rağmen çalışanlar tarafından bilinmemesi veya sahada uygulanmamasıdır. Bilgi Güvenliği Yönetim Sistemi, yalnızca prosedürlerden değil, bu prosedürlerin günlük faaliyetlere ve çalışan davranışlarına yansımasından oluşur.

Madde 8 - Operasyon

ISO 27001 standardının uygulama açısından en kritik bölümlerinden biri olan Madde 8, kuruluşun planladığı bilgi güvenliği süreçlerini sahada nasıl uyguladığını kapsar.

Bu madde; operasyonel planlama ve kontrol, bilgi güvenliği risk değerlendirmelerinin tekrarlanması, risk işleme planının uygulanması ve dış kaynaklı süreçlerin kontrol edilmesi gibi faaliyetleri içerir.

Kuruluş, bilgi güvenliği risklerini yalnızca dokümante etmekle kalmamalı; seçilen kontrolleri operasyonel olarak uygulamalı ve uygulama kanıtlarını oluşturmalıdır.

Madde 8 Alt Başlıkları

MaddeAçıklama
8.1Operasyonel planlama ve kontrol
8.2Bilgi güvenliği risk değerlendirmesi
8.3Bilgi güvenliği risk işleme

Denetçi Bu Maddede Neye Bakar?

Madde 8 kapsamında denetçiler özellikle aşağıdaki konuları inceler:

  • Bilgi güvenliği süreçleri planlı şekilde uygulanıyor mu?
  • Risk değerlendirmeleri planlı aralıklarla veya önemli değişikliklerde güncelleniyor mu?
  • Risk işleme planı uygulanıyor mu?
  • Seçilen Ek A kontrollerine ilişkin uygulama kanıtları mevcut mu?
  • Dış kaynaklı süreçler, tedarikçiler ve bulut hizmetleri kontrol altında mı?
  • Değişiklikler bilgi güvenliği açısından değerlendiriliyor mu?
Denetçi Bakış Açısı

ISO 27001 denetimlerinde en fazla objektif kanıt talep edilen bölümlerden biri Madde 8’dir. Çünkü kuruluşun Bilgi Güvenliği Yönetim Sistemi, operasyonel süreçlerde nasıl uygulandığı üzerinden değerlendirilir. Risk işleme planı, SoA, erişim kayıtları, loglar, yedekleme kanıtları, zafiyet yönetimi ve olay kayıtları bu maddenin önemli kanıtlarıdır.

Madde 9 - Performans Değerlendirme

Bilgi Güvenliği Yönetim Sistemi kurulduktan sonra sistemin ne kadar etkili çalıştığının düzenli olarak ölçülmesi gerekir. Madde 9’un temel amacı, bilgi güvenliği performansını izlemek, analiz etmek ve iyileştirme fırsatlarını belirlemektir.

Bu kapsamda kuruluş; bilgi güvenliği performans göstergelerini takip etmeli, kontrollerin etkinliğini değerlendirmeli, iç tetkikler gerçekleştirmeli ve yönetimin gözden geçirmesi toplantılarını planlı şekilde yürütmelidir.

Madde 9 Alt Başlıkları

MaddeAçıklama
9.1İzleme, ölçme, analiz ve değerlendirme
9.2İç tetkik
9.3Yönetimin gözden geçirmesi

Denetçi Bu Maddede Neye Bakar?

Denetçiler aşağıdaki kayıt ve uygulamaları değerlendirir:

  • Bilgi güvenliği performans göstergeleri takip ediliyor mu?
  • Ek A kontrollerinin etkinliği değerlendiriliyor mu?
  • İç tetkikler planlı olarak gerçekleştiriliyor mu?
  • İç tetkik bulguları kayıt altına alınıyor mu?
  • Yönetimin Gözden Geçirmesi toplantıları düzenli yapılıyor mu?
  • Risk değerlendirme sonuçları ve risk işleme planı yönetim tarafından değerlendiriliyor mu?
  • Alınan kararların takibi sağlanıyor mu?
Sahadan Deneyim

Belgelendirme denetimlerinde sık karşılaşılan eksikliklerden biri, bilgi güvenliği performans göstergelerinin yalnızca denetim öncesinde hazırlanmasıdır. Etkin bir Bilgi Güvenliği Yönetim Sistemi; olaylar, erişim ihlalleri, zafiyetler, yedekleme başarı oranları, farkındalık eğitimleri, risk durumu ve kontrol etkinliği gibi verilerin düzenli olarak izlenmesiyle güçlenir.

Madde 10 - İyileştirme

ISO 27001 standardının son maddesi olan İyileştirme, Bilgi Güvenliği Yönetim Sisteminin yaşayan bir yapı olmasını sağlar.

Standarda göre kuruluş yalnızca mevcut bilgi güvenliği uygunsuzluklarını gidermekle yetinmemeli, aynı zamanda sistemin etkinliğini sürekli geliştirmeli ve bilgi güvenliği risklerini azaltacak fırsatları değerlendirmelidir.

Sürekli iyileştirme yaklaşımı, ISO 27001’in temel prensiplerinden biridir ve sistemin uzun vadeli başarısını destekler.

Madde 10 Alt Başlıkları

MaddeAçıklama
10.1Sürekli iyileştirme
10.2Uygunsuzluk ve düzeltici faaliyet

Denetçi Bu Maddede Neye Bakar?

Madde 10 kapsamında aşağıdaki uygulamalar değerlendirilir:

  • Bilgi güvenliği uygunsuzlukları kayıt altına alınıyor mu?
  • Kök neden analizi yapılıyor mu?
  • Düzeltici faaliyetler planlanıyor ve takip ediliyor mu?
  • Tekrarlayan bilgi güvenliği uygunsuzlukları önleniyor mu?
  • Bilgi güvenliği kontrollerini geliştiren iyileştirme faaliyetleri kanıtlarla gösterilebiliyor mu?
TOEM Uzmanından Not

ISO 27001’de iyileştirme yalnızca uygunsuzluk ortaya çıktığında yapılan bir faaliyet değildir. Kuruluşun risk seviyesini azaltması, olay yönetimini güçlendirmesi, erişim kontrollerini iyileştirmesi, zafiyetleri azaltması veya çalışan farkındalığını artırması sürekli iyileştirme yaklaşımının bir parçasıdır.

ISO 27001 Ek A Kontrolleri Nelerdir?

ISO 27001 standardının en önemli bölümlerinden biri Ek A bilgi güvenliği kontrolleridir.

Ek A kontrolleri, kuruluşun bilgi güvenliği risklerini işlemek için başvurabileceği kontrol referanslarını içerir. Ancak bu kontroller otomatik olarak uygulanacak sabit bir liste değildir. Kuruluş, bilgi güvenliği risk değerlendirmesi sonucunda hangi kontrollerin gerekli olduğunu belirler ve bu kararları Uygulanabilirlik Bildirgesi (SoA) içerisinde açıklar.

ISO/IEC 27001 yapısında Ek A kontrolleri dört ana grupta ele alınır:

Kontrol GrubuKontrol SayısıKapsam
5. Organizasyonel Kontroller37Yönetişim, politika, roller, varlık yönetimi, tedarikçiler, bulut, olay yönetimi, iş sürekliliği ve uyum
6. İnsan Kontrolleri8İşe alım, farkındalık, eğitim, gizlilik, uzaktan çalışma ve personel sorumlulukları
7. Fiziksel Kontroller14Fiziksel güvenlik, giriş kontrolü, güvenli alanlar, ekipman, kablolama, medya ve çevresel koruma
8. Teknolojik Kontroller34Erişim, kimlik doğrulama, loglama, ağ güvenliği, yedekleme, kriptografi, zafiyet yönetimi ve güvenli geliştirme

Organizasyonel Kontroller

Organizasyonel kontroller, Bilgi Güvenliği Yönetim Sisteminin yönetsel omurgasını oluşturur. Bu kontroller; politika, sorumluluk, varlık yönetimi, bilgi sınıflandırma, tedarikçi yönetimi, bulut hizmetleri, olay yönetimi, iş sürekliliği ve uyum gibi konuları kapsar.

Politika ve Yönetişim
Bilgi güvenliği politikaları, roller, sorumluluklar, görevlerin ayrılığı, yönetim sorumlulukları ve bağımsız gözden geçirme faaliyetleri bu kapsamda değerlendirilir.
Varlık ve Bilgi Yönetimi
Bilgi envanteri, kabul edilebilir kullanım, varlıkların iadesi, bilgi sınıflandırması, etiketleme ve bilgi transferi süreçleri yönetilir.
Tedarikçi ve Bulut Güvenliği
Tedarikçi ilişkilerinde bilgi güvenliği, tedarikçi sözleşmeleri, BİT tedarik zinciri, tedarikçi hizmetlerinin izlenmesi ve bulut hizmetleri ele alınır.
Olay, Süreklilik ve Uyum
Bilgi güvenliği olay yönetimi, kanıt toplama, kesinti sırasında bilgi güvenliği, BİT sürekliliği, yasal gereklilikler, kayıtların korunması ve kişisel veri güvenliği değerlendirilir.

İnsan Kontrolleri

İnsan kontrolleri, bilgi güvenliği kültürünün kuruluş genelinde uygulanmasını hedefler. Çalışanların, yüklenicilerin ve dış tarafların bilgi güvenliği sorumluluklarını anlaması bu bölümün temel amacıdır.

İşe Alım ve İstihdam
Personel taraması, istihdam şartları, gizlilik yükümlülükleri ve görev değişikliği veya işten ayrılış sonrası sorumluluklar değerlendirilir.
Farkındalık ve Davranış
Bilgi güvenliği farkındalığı, eğitim, disiplin süreci, uzaktan çalışma ve bilgi güvenliği olaylarının bildirilmesi süreçleri incelenir.

Fiziksel Kontroller

Fiziksel kontroller, bilgi varlıklarının bulunduğu alanların, ekipmanların ve fiziksel ortamların korunmasını sağlar. ISO 27001’de bilgi güvenliği yalnızca dijital sistemlerle sınırlı değildir; fiziksel erişim ve çevresel güvenlik de sistemin ayrılmaz parçasıdır.

Güvenli Alanlar
Fiziksel güvenlik çevreleri, fiziksel girişler, ofis ve oda güvenliği, fiziksel güvenlik izleme ve güvenli alanlarda çalışma uygulamaları değerlendirilir.
Ekipman ve Ortam Güvenliği
Ekipman yerleşimi, tesis dışı varlık güvenliği, depolama ortamı, destekleyici hizmetler, kablolama güvenliği, bakım ve güvenli imha süreçleri incelenir.

Teknolojik Kontroller

Teknolojik kontroller, bilgi sistemlerinin, ağların, uygulamaların, kullanıcı cihazlarının ve teknik altyapının korunmasına yönelik kontrollerden oluşur.

Erişim ve Kimlik Güvenliği
Kullanıcı cihazları, ayrıcalıklı erişim hakları, bilgiye erişim kısıtlamaları, kaynak kod erişimi, güvenli kimlik doğrulama ve yetkili yardımcı program kullanımı değerlendirilir.
Teknik Operasyon Güvenliği
Kapasite yönetimi, zararlı yazılım koruması, teknik zafiyet yönetimi, yapılandırma yönetimi, bilgi silme, veri maskeleme ve veri sızıntısı önleme incelenir.
Loglama, İzleme ve Süreklilik
Yedekleme, bilgi işleme tesislerinin yedekliliği, loglama, izleme faaliyetleri, saat senkronizasyonu ve ağ güvenliği uygulamaları ele alınır.
Güvenli Geliştirme ve Test
Güvenli yazılım geliştirme yaşam döngüsü, uygulama güvenliği gereklilikleri, güvenli mimari, güvenli kodlama, güvenlik testleri, dış kaynaklı geliştirme ve test ortamı yönetimi değerlendirilir.
Denetçi Bakış Açısı

Ek A kontrollerinde denetçi yalnızca kontrolün listede yer alıp almadığına bakmaz. Kontrolün risk değerlendirmesiyle ilişkisini, SoA içerisindeki gerekçesini, uygulama durumunu ve objektif kanıtlarını birlikte değerlendirir. Bir kontrol uygulanmıyorsa bunun gerekçesi açık, tutarlı ve risk değerlendirmesiyle uyumlu olmalıdır.

ISO 27001 Denetimlerinde En Sık Karşılaşılan Uygunsuzluklar

ISO 27001 belgelendirme ve gözetim denetimlerinde tespit edilen uygunsuzlukların önemli bir bölümü, standardın yanlış anlaşılmasından veya Bilgi Güvenliği Yönetim Sisteminin günlük faaliyetlere tam olarak yansıtılamamasından kaynaklanmaktadır.

Kuruluşların başarılı bir denetim süreci geçirebilmesi için yalnızca doküman hazırlaması yeterli değildir. Risk değerlendirmesinin doğru yapılması, Ek A kontrollerinin uygulanması, SoA’nın güncel tutulması ve uygulama kayıtlarının oluşturulması büyük önem taşır.

Madde 6 - Planlama
Risk değerlendirmesinin yüzeysel yapılması, risk kabul kriterlerinin belirsiz olması, varlık envanterinin eksik hazırlanması veya SoA ile risk işleme planının uyumsuz olması.
Madde 7 - Destek
Dokümante edilmiş bilgilerin güncel tutulmaması, çalışanların bilgi güvenliği politikası, bilgi sınıflandırması ve olay bildirimi konularında yeterli farkındalığa sahip olmaması.
Madde 8 - Operasyon
Seçilen Ek A kontrollerinin sahada uygulanmaması, erişim kontrolleri, loglama, yedekleme, zafiyet yönetimi veya tedarikçi güvenliği kayıtlarının eksik olması.
Madde 9 - Performans Değerlendirme
İç tetkiklerin yalnızca belge almak amacıyla yürütülmesi, yönetimin gözden geçirmesinin etkin olmaması veya bilgi güvenliği performans göstergelerinin düzenli takip edilmemesi.

Denetçi Bakış Açısı

Denetçi Bakış Açısı

ISO 27001 denetimlerinde amaç yalnızca eksiklik bulmak değildir. Denetçiler, kuruluşun Bilgi Güvenliği Yönetim Sistemini gerçekten uygulayıp uygulamadığını ve sistemin bilgi güvenliği risklerini sürekli iyileştirme mantığıyla yönetip yönetmediğini değerlendirir. Hazırlanmış dokümanlar kadar, bu dokümanların teknik ve operasyonel uygulamalara nasıl yansıdığı da denetimin önemli bir parçasıdır.

Sahadan Deneyim

Sahadan Deneyim

Danışmanlık verdiğimiz birçok kuruluşta, belgelendirme öncesinde yapılan kapsamlı BGYS ön değerlendirmeleri sayesinde potansiyel uygunsuzluklar denetimden önce tespit edilmekte ve gerekli iyileştirmeler zamanında gerçekleştirilmektedir. Bu yaklaşım hem denetim sürecini kolaylaştırmakta hem de bilgi güvenliği yönetim sisteminin kuruluş içinde daha etkin uygulanmasını sağlamaktadır.

Denetçi Tavsiyesi

Denetçi Tavsiyesi

ISO 27001 standardını yalnızca belgelendirme amacıyla uygulamak yerine günlük bilgi güvenliği faaliyetlerinin doğal bir parçası haline getirin. Yönetim sistemi ne kadar aktif kullanılırsa, hem denetim süreci o kadar kolay geçer hem de kuruluşun bilgi güvenliği olgunluğu, müşteri güveni ve iş sürekliliği önemli ölçüde gelişir.

ISO 27001 Standardını Uygularken Dikkat Edilmesi Gerekenler

Başarılı bir Bilgi Güvenliği Yönetim Sistemi oluşturabilmek için aşağıdaki temel prensiplerin dikkate alınması önerilir.

Varlık Envanterini Doğru Belirleyin
Bilgi, yazılım, donanım, bulut hizmetleri, fiziksel kayıtlar, süreçler ve kritik altyapı unsurlarını gerçek uygulamalar üzerinden değerlendirin.
Risk Analizini SoA ile Uyumlu Tutun
Risk değerlendirmesi, risk işleme planı ve Uygulanabilirlik Bildirgesi birbirini desteklemeli ve seçilen Ek A kontrolleri açık gerekçelerle açıklanmalıdır.
Teknik Kontrolleri Kanıtlayın
Erişim yönetimi, loglama, yedekleme, zafiyet yönetimi, ağ güvenliği ve olay yönetimi gibi kontrollerin yalnızca dokümanda değil sahada da uygulandığından emin olun.
Sürekli İyileştirmeyi Benimseyin
Bilgi Güvenliği Yönetim Sistemini yaşayan bir yapı olarak görün ve risklerinizi, kontrollerinizi ve performansınızı düzenli olarak gözden geçirerek geliştirmeye devam edin.

TOEM Uzmanından Son Değerlendirme

ISO 27001 standardı, yalnızca bir belgelendirme şartı değil; kuruluşların bilgi varlıklarını daha planlı, daha ölçülebilir ve daha sürdürülebilir şekilde yönetmesini sağlayan uluslararası bir yönetim modelidir.

Standart maddelerinin ve Ek A kontrollerinin doğru anlaşılması ve etkin şekilde uygulanması; bilgi güvenliği risklerinin azaltılması, yasal ve sözleşmesel uyumun güçlendirilmesi, müşteri güveninin artırılması ve sürekli iyileştirme kültürünün oluşturulması açısından önemli katkılar sağlar.

TOEM Kalite olarak yürüttüğümüz danışmanlık ve denetim hazırlık çalışmalarında temel hedefimiz, kuruluşların yalnızca ISO 27001 Belgesi almasını değil; standardın sağladığı bilgi güvenliği yönetimi yaklaşımını uzun vadeli bir kurumsal kültüre dönüştürmesini desteklemektir.

Bu Konular da İlginizi Çekebilir

ISO 27001 Bilgi Güvenliği Yönetim Sistemi hakkında daha kapsamlı bilgi edinmek ve belgelendirme sürecini bütün yönleriyle değerlendirmek için aşağıdaki rehberlerimizi de inceleyebilirsiniz.

Sık Sorulan Sorular

ISO 27001 standardı kaç ana maddeden oluşur?

ISO 27001 standardı toplam 10 ana maddeden oluşur. Uygulamaya esas hükümler Madde 4 ile Madde 10 arasında yer alır. Ayrıca Ek A kapsamında bilgi güvenliği kontrolleri bulunur.

ISO 27001 Ek A nedir?

Ek A, kuruluşların bilgi güvenliği risklerini yönetmek için kullanabileceği bilgi güvenliği kontrollerini içeren referans listedir. Kontroller risk değerlendirmesi sonucuna göre seçilir ve SoA içerisinde gerekçelendirilir.

ISO 27001 standardında kaç Ek A kontrolü vardır?

ISO 27001'in güncel yapısında Ek A kontrolleri dört ana grupta toplanır ve toplam 93 kontrolden oluşur.

ISO 27001 standardının en önemli maddesi hangisidir?

Standartta tüm maddeler birbiriyle bağlantılıdır. Ancak Madde 6 Planlama, risk değerlendirmesi, risk işleme ve SoA ilişkisi nedeniyle ISO 27001 uygulamalarında kritik öneme sahiptir.

Bilgi güvenliği risk değerlendirmesi hangi maddede yer alır?

Bilgi güvenliği risk değerlendirmesi ISO 27001 standardının 6.1.2 maddesi ve 8.2 maddesi kapsamında ele alınmaktadır.

Uygulanabilirlik Bildirgesi hangi maddeyle ilişkilidir?

Uygulanabilirlik Bildirgesi, yani SoA, ISO 27001 standardının 6.1.3 Bilgi Güvenliği Risk İşleme maddesiyle ilişkilidir.

İç tetkik hangi maddede yer almaktadır?

İç tetkik faaliyetleri ISO 27001 standardının 9.2 maddesinde düzenlenmektedir.

Yönetimin Gözden Geçirmesi hangi maddede yer alır?

Yönetimin Gözden Geçirmesi toplantıları Madde 9.3 kapsamında değerlendirilmektedir.

Düzeltici faaliyet hangi maddede bulunmaktadır?

Uygunsuzlukların yönetimi ve düzeltici faaliyetler ISO 27001 standardının 10.2 maddesinde yer almaktadır.

ISO 27001 yalnızca bilişim firmaları için mi geçerlidir?

Hayır. ISO 27001 standardı bilgi işleyen, saklayan, ileten veya bilgi varlıklarını koruması gereken her ölçekte ve her sektörde faaliyet gösteren kuruluşlar tarafından uygulanabilir.

ISO 27001 maddelerini ezberlemek gerekli midir?

Hayır. Önemli olan madde numaralarını ezberlemek değil, her maddenin amacını ve kuruluş içerisindeki bilgi güvenliği yönetimi uygulamasını doğru anlamaktır.

ISO 27001 Danışmanlığı

ISO 27001 Standardını Doğru Uygulamak İçin Uzman Desteği Alın

ISO 27001 standardının doğru anlaşılması ve etkin şekilde uygulanması, başarılı bir belgelendirme sürecinin temelini oluşturur. TOEM Kalite olarak Bilgi Güvenliği Yönetim Sisteminizin kurulması, geliştirilmesi ve belgelendirme sürecine hazırlanması konusunda uzman danışmanlık desteği sunuyoruz.

ISO belgesi fiyatı ve teklif

Ön teklif almak için butona tıklayarak teklif sayfamıza geçebilir, talebinizi orada iletebilirsiniz; ekibimiz değerlendirdikten sonra size dönüş yapar.