ISO 27001:2022 Standardı Maddeleri ve Dokümanları
ISO 27001:2022 bilgi güvenliği yönetim sisteminin oluşturulması ve sürdürülmesi açısından işletmelere kapsamlı bir yapı sunar. İşletmelerin bilgi güvenliğini sağlamaları amacıyla uyulması gereken ana ve alt maddeler ile EK-A kontrolleri de dahil olmak üzere tüm gereklilikler, ISO 27001 Belgesi almak isteyen kuruluşların süreçlerini düzenler. Her maddeyi karşılamak amacıyla gerekli dokümanlar belirli bir yapı ve disiplin gerektirir. Aşağıda ISO 27001:2022 maddeleri ve ilgili dokümanların detayları yer almaktadır.
1. ISO 27001 Madde 1 Kapsam
Bilgi güvenliği yönetim sisteminin (BGYS) hangi sınırlar içinde uygulanacağı ve kapsamının ne olduğu belirlenir. İşletme, BGYS’nin hangi bölümlerinde geçerli olduğunu açıkça tanımlamalıdır.
-
Kapsam Belgesi
2. ISO 27001 Madde 2 Atıf Yapılan Standartlar
Bu madde, ISO 27001:2022 ile bağlantılı olan diğer standartları tanımlar. İşletmenin uyduğu diğer standartların da belirtilmesi gerekir.
-
Standart Referans Listesi
3. ISO 27001 Madde 3 Terimler ve Tarifler
Bu madde, bilgi güvenliği yönetim sistemi ile ilgili kullanılan terim ve tarifleri açıklar. Ortak bir terminoloji oluşturulmalıdır.
-
Terimler ve Tanımlar Rehberi
4. ISO 27001 Madde 4 Kuruluş Bağlamı
4.1 Kuruluşun ve Bağlamının Anlaşılması
İşletme, iç ve dış bağlamını anlamalıdır. İşletmenin faaliyetlerini ve bilgi güvenliği sistemini etkileyen faktörler tanımlanmalıdır.
-
Bağlam Analizi
4.2 İlgili Tarafların İhtiyaç ve Beklentileri
İşletmenin bilgi güvenliği yönetim sistemi üzerindeki etkileri olan taraflar ve bu tarafların beklentileri belirlenir.
-
İlgili Tarafların Beklenti Analizi
4.3 BGYS’nin Kapsamının Belirlenmesi
Bilgi güvenliği yönetim sisteminin hangi faaliyetleri kapsayacağı tanımlanmalıdır.
-
BGYS Kapsam Tanımlama Dokümanı
4.4 Bilgi Güvenliği Yönetim Sistemi
İşletmenin BGYS’yi kurması, uygulaması, sürdürebilirliği ve sürekli iyileştirilmesi gerekmektedir.
-
Bilgi Güvenliği Yönetim Sistemi Politikası
5. ISO 27001 Madde 5 Liderlik
5.1 Liderlik ve Taahhüt
Üst yönetimin BGYS’ye liderlik etmesi ve taahhüt vermesi gereklidir. Bilgi güvenliği hedeflerinin yönetim tarafından desteklenmesi gerekir.
-
Yönetim Taahhüt Beyanı
5.2 Bilgi Güvenliği Politikası
Bilgi güvenliği politikası oluşturulmalı ve tüm çalışanlarla paylaşılmalıdır. Politika, işletmenin bilgi güvenliği yaklaşımını açıklar.
-
Bilgi Güvenliği Politikası
5.3 Organizasyonel Roller, Sorumluluklar ve Yetkiler
Bilgi güvenliği yönetim sistemi kapsamında görev ve sorumluluklar net bir şekilde belirlenmelidir.
-
Sorumluluk ve Yetki Matrisi
6. ISO 27001 Madde 6 Planlama
6.1 Risk Değerlendirme ve Risk Yönetimi
İşletmenin karşılaştığı bilgi güvenliği riskleri belirlenmeli ve bu riskler yönetilmelidir. Risk yönetimi, işletmenin bilgi varlıklarını koruma altına alır.
-
Risk Yönetim Planı
6.2 Bilgi Güvenliği Hedefleri ve Planlama
Bilgi güvenliği hedefleri belirlenmeli ve bu hedeflere ulaşma yolları planlanmalıdır.
-
Bilgi Güvenliği Hedefleri ve Planı
7. ISO 27001 Madde 7 Destek
7.1 Kaynaklar
Bilgi güvenliği yönetim sisteminin devamı için gerekli kaynaklar belirlenmeli ve sağlanmalıdır.
-
Kaynak Planı
7.2 Yetkinlik
Çalışanların bilgi güvenliği konusunda yetkin hale gelmeleri sağlanmalıdır. Eğitimler planlanmalı ve düzenli olarak güncellenmelidir.
-
Yetkinlik Matrisi ve Eğitim Planı
7.3 Farkındalık
Çalışanlar, bilgi güvenliği yönetim sisteminin önemini anlamalı ve farkındalık eğitimlerine katılmalıdır.
-
Farkındalık Eğitim Programı
7.4 İletişim
Bilgi güvenliği ile ilgili iç ve dış iletişim süreçleri netleştirilmelidir.
-
İletişim Planı
7.5 Dokümantasyon Gereksinimleri
Bilgi güvenliği yönetim sistemine dair gerekli dokümanlar oluşturulmalı, düzenlenmeli ve güncellenmelidir.
-
Doküman Kontrol Prosedürü
8. ISO 27001 Madde 8 Operasyon
8.1 Operasyonel Planlama ve Kontrol
Bilgi güvenliği yönetim sistemi süreçleri uygulanmalı ve sürekli izlenmelidir. Operasyonel kontrollerle sistem işler durumda tutulmalıdır.
-
Operasyonel Kontrol Planı
8.2 Risklerin Yönetimi
Risk yönetimi süreçleri uygulanmalı ve bilgi güvenliği riskleri azaltılmalıdır.
-
Risk Azaltma Planı
8.3 Değişiklik Yönetimi
İşletme süreçlerinde yapılan değişikliklerin bilgi güvenliği açısından değerlendirilmesi ve uygun kontrollerin uygulanması gerekmektedir.
-
Değişiklik Yönetim Planı
9. ISO 27001 Madde 9 Performans Değerlendirme
9.1 İzleme, Ölçme, Analiz ve Değerlendirme
Bilgi güvenliği yönetim sisteminin performansı düzenli olarak izlenmeli, ölçülmeli ve analiz edilmelidir. Elde edilen sonuçlara göre iyileştirmeler yapılmalıdır.
-
Performans Değerlendirme Raporu
9.2 İç Denetim
BGYS’nin uygunluğunu sağlamak amacıyla iç denetimler gerçekleştirilmelidir.
-
İç Denetim Planı ve Raporu
9.3 Yönetimin Gözden Geçirmesi
Üst yönetim, BGYS’yi düzenli olarak gözden geçirmeli ve iyileştirme fırsatlarını değerlendirmelidir.
-
Yönetim Gözden Geçirme Raporu
10. ISO 27001 Madde 10 İyileştirme
10.1 Uygunsuzluklar ve Düzeltici Faaliyetler
Uygunsuzluklar tespit edilmeli ve düzeltici faaliyetler uygulanmalıdır.
-
Uygunsuzluk ve Düzeltici Faaliyet Planı
10.2 Sürekli İyileştirme
Bilgi güvenliği yönetim sistemi sürekli iyileştirilmeli ve daha etkin hale getirilmelidir.
-
Sürekli İyileştirme Planı
EK-A: Kontrol Hedefleri ve Kontroller
Bu bölüm, işletmenin bilgi güvenliği yönetim sisteminde uygulaması gereken 114 kontrolü ve kontrol hedeflerini içerir. Her kontrol, işletmenin bilgi güvenliği risklerini minimize etmek amacıyla belirlenmiştir. Kontroller, bilgi güvenliği politikaları, varlık yönetimi, erişim kontrolü, kriptografi ve operasyon güvenliği gibi çeşitli alanlarda yapılacak uygulamalardır.
Kontrol Listesi , Varlık Yönetim Planı, Erişim Kontrol Politikası , Olay Yönetimi Prosedürü,
Bu maddeler ve ilgili dokümantasyonlar, ISO 27001 Belgesi almak için gerekli tüm gereksinimleri karşılar. İşletme, her maddeye uygun olarak dokümantasyonunu hazırlayarak bilgi güvenliği yönetim sistemini başarıyla sürdürebilir.