ISO 27001 EK-A Kontrolleri

ISO/IEC 27001:2022 Ek-A Kontrol Grupları

1. Organizasyonel Kontroller (37 Kontrol)

Bu grup, kurumun genel yönetimsel stratejilerini ve bilgi güvenliği politikalarını kapsar.

• A.5.1 Bilgi güvenliği politikaları: Politikaların oluşturulması ve gözden geçirilmesi.
• A.5.7 Tehdit istihbaratı: (Yeni) Tehditler hakkında bilgi toplama ve analiz etme.
• A.5.23 Bulut hizmetleri güvenliği: (Yeni) Bulut servis sağlayıcılarının yönetimi.
• A.5.30 İş sürekliliği: Bilgi güvenliğinin kesinti anlarında sürdürülmesi.
• A.5.37 Envanter yönetimi: Bilgi varlıklarının tanımlanması ve sahipliği.

2. İnsan Kontrolleri (8 Kontrol)

Çalışanların işe alım öncesi, esnası ve işten ayrılma süreçlerindeki güvenliğini hedefler.

• A.6.1 Tarama: İşe alım öncesi özgeçmiş ve güvenlik kontrolleri.
• A.6.3 Eğitim ve farkındalık: Çalışanlara yönelik periyodik siber güvenlik eğitimleri.
• A.6.7 Gizlilik taahhütleri: NDA (Gizlilik Sözleşmeleri) yönetimi.
• A.6.8 Uzaktan çalışma: Evden veya ofis dışından çalışma güvenliği.

3. Fiziksel Kontroller (14 Kontrol)

Ofis, veri merkezi ve donanımların fiziksel güvenliğini sağlar.

• A.7.2 Fiziksel giriş: Kartlı geçiş sistemleri, resepsiyon kontrolleri.
• A.7.4 Fiziksel güvenlik izleme: Kamera (CCTV) ve alarm sistemleri.
• A.7.10 Medya imhası: Kağıt imha makineleri veya dijital verilerin güvenli silinmesi.
• A.7.14 Temiz masa ve temiz ekran: Hassas bilgilerin açıkta bırakılmaması.

4. Teknolojik Kontroller (34 Kontrol)

Doğrudan BT altyapısı, ağ ve yazılım güvenliğine odaklanır.

• A.8.1 Kullanıcı cihazları: Şirket bilgisayarlarının ve telefonlarının yönetimi.
• A.8.5 Güvenli oturum açma: Şifre politikaları ve MFA (Çok faktörlü doğrulama).
• A.8.11 Veri maskeleme: (Yeni) Hassas verilerin gizlenmesi teknikleri.
• A.8.16 İzleme kayıtları (Logging): Sistem loglarının tutulması ve incelenmesi.
• A.8.28 Güvenli kodlama: Yazılım geliştirme süreçlerinde güvenlik prensipleri.

Yeni Versiyondaki “Nitelikler” (Attributes) Sistemi

ISO 27001 belgesi; 2022 versiyonu ile gelen en büyük yeniliklerden biri, her kontrolün beş farklı nitelikle etiketlenebilmesidir. Bu sistem, denetçilerin ve bilgi güvenliği yöneticilerinin kontrolleri filtrelemesini sağlar:

1. Kontrol Tipleri: (Önleyici, Tespit Edici, Düzeltici)
2. Bilgi Güvenliği Özellikleri: (Gizlilik, Bütünlük, Erişilebilirlik)
3. Siber Güvenlik Kavramları: (Tanımla, Koru, Tespit Et, Yanıtla, Kurtar)
4. Operasyonel Yetkinlikler: (Yönetişim, Varlık Yönetimi, Bilgi Koruması vb.)
5. Güvenlik Alanları: (Ağ Güvenliği, Uygulama Güvenliği vb.)