BLOG
ISO 27001 MADDELERİ VE DOKUMANLARI

ISO 27001:2022 Standardı Maddeleri ve Dokümanları Nelerdir?

ISO 27001:2022 bilgi güvenliği yönetim sisteminin oluşturulması ve sürdürülmesi açısından işletmelere kapsamlı bir yapı sunar. İşletmelerin bilgi güvenliğini sağlamaları amacıyla uyulması gereken ana ve alt maddeler ile EK-A kontrolleri de dahil olmak üzere tüm gereklilikler, ISO 27001 Belgesi almak isteyen kuruluşların süreçlerini düzenler. Her maddeyi karşılamak amacıyla gerekli dokümanlar belirli bir yapı ve disiplin gerektirir. Aşağıda ISO 27001:2022 maddeleri ve ilgili dokümanların detayları yer almaktadır.

1. ISO 27001 Madde 1 Kapsam

Bilgi güvenliği yönetim sisteminin (BGYS) hangi sınırlar içinde uygulanacağı ve kapsamının ne olduğu belirlenir. İşletme, BGYS’nin hangi bölümlerinde geçerli olduğunu açıkça tanımlamalıdır.

  • Dökümanları: ISO 27001 Kapsam Belgesi

2.  ISO 27001 Madde 2 Atıf Yapılan Standartlar

Bu madde, ISO 27001:2022 ile bağlantılı olan diğer standartları tanımlar. İşletmenin uyduğu diğer standartların da belirtilmesi gerekir.

  • Dökümanları: ISO 27001 Standart Referans Listesi

3. ISO 27001 Madde 3 Terimler ve Tarifler

Bu madde, bilgi güvenliği yönetim sistemi ile ilgili kullanılan terim ve tarifleri açıklar. Ortak bir terminoloji oluşturulmalıdır.

  • Dökümanları: ISO 27001 Terimler ve Tanımlar Rehberi

4. ISO 27001 Madde 4 Kuruluş Bağlamı

4.1 Kuruluşun ve Bağlamının Anlaşılması

İşletme, iç ve dış bağlamını anlamalıdır. İşletmenin faaliyetlerini ve bilgi güvenliği sistemini etkileyen faktörler tanımlanmalıdır.

  • DDökümanları: ISO 27001 Bağlam Analizi

4.2 İlgili Tarafların İhtiyaç ve Beklentileri

İşletmenin bilgi güvenliği yönetim sistemi üzerindeki etkileri olan taraflar ve bu tarafların beklentileri belirlenir.

  • Dökümanları: ISO 27001 İlgili Tarafların Beklenti Analizi

4.3 BGYS’nin Kapsamının Belirlenmesi

Bilgi güvenliği yönetim sisteminin hangi faaliyetleri kapsayacağı tanımlanmalıdır.

  • Dökümanları: ISO 27001 BGYS Kapsam Tanımlama Dokümanı

4.4 Bilgi Güvenliği Yönetim Sistemi

İşletmenin BGYS’yi kurması, uygulaması, sürdürebilirliği ve sürekli iyileştirilmesi gerekmektedir.

  • Dökümanları: ISO 27001 Bilgi Güvenliği Yönetim Sistemi Politikası

5. ISO 27001 Madde 5 Liderlik

5.1 Liderlik ve Taahhüt

Üst yönetimin BGYS’ye liderlik etmesi ve taahhüt vermesi gereklidir. Bilgi güvenliği hedeflerinin yönetim tarafından desteklenmesi gerekir.

  • Dökümanları: ISO 27001 Yönetim Taahhüt Beyanı

5.2 Bilgi Güvenliği Politikası

Bilgi güvenliği politikası oluşturulmalı ve tüm çalışanlarla paylaşılmalıdır. Politika, işletmenin bilgi güvenliği yaklaşımını açıklar.

  • Dökümanları: ISO 27001 Bilgi Güvenliği Politikası

5.3 Organizasyonel Roller, Sorumluluklar ve Yetkiler

Bilgi güvenliği yönetim sistemi kapsamında görev ve sorumluluklar net bir şekilde belirlenmelidir.

  • Dökümanları: ISO 27001 Sorumluluk ve Yetki Matrisi

6. ISO 27001 Madde 6 Planlama

6.1 Risk Değerlendirme ve Risk Yönetimi

İşletmenin karşılaştığı bilgi güvenliği riskleri belirlenmeli ve bu riskler yönetilmelidir. Risk yönetimi, işletmenin bilgi varlıklarını koruma altına alır.

  • Dökümanları: ISO 27001 Risk Yönetim Planı

6.2 Bilgi Güvenliği Hedefleri ve Planlama

Bilgi güvenliği hedefleri belirlenmeli ve bu hedeflere ulaşma yolları planlanmalıdır.

  • Dökümanları: ISO 27001 Bilgi Güvenliği Hedefleri ve Planı

7. ISO 27001 Madde 7 Destek

7.1 Kaynaklar

Bilgi güvenliği yönetim sisteminin devamı için gerekli kaynaklar belirlenmeli ve sağlanmalıdır.

  • Dökümanları: ISO 27001 Kaynak Planı

7.2 Yetkinlik

Çalışanların bilgi güvenliği konusunda yetkin hale gelmeleri sağlanmalıdır. Eğitimler planlanmalı ve düzenli olarak güncellenmelidir.

  • Dökümanları: ISO 27001 Yetkinlik Matrisi ve Eğitim Planı

7.3 Farkındalık

Çalışanlar, bilgi güvenliği yönetim sisteminin önemini anlamalı ve farkındalık eğitimlerine katılmalıdır.

  • Dökümanları: ISO 27001 Farkındalık Eğitim Programı

7.4 İletişim

Bilgi güvenliği ile ilgili iç ve dış iletişim süreçleri netleştirilmelidir.

  • Dökümanları: ISO 27001 İletişim Planı

7.5 Dokümantasyon Gereksinimleri

Bilgi güvenliği yönetim sistemine dair gerekli dokümanlar oluşturulmalı, düzenlenmeli ve güncellenmelidir.

  • Dökümanları: ISO 27001 Doküman Kontrol Prosedürü

8. ISO 27001 Madde 8 Operasyon

8.1 Operasyonel Planlama ve Kontrol

Bilgi güvenliği yönetim sistemi süreçleri uygulanmalı ve sürekli izlenmelidir. Operasyonel kontrollerle sistem işler durumda tutulmalıdır.

  • Dökümanları: ISO 27001 Operasyonel Kontrol Planı

8.2 Risklerin Yönetimi

Risk yönetimi süreçleri uygulanmalı ve bilgi güvenliği riskleri azaltılmalıdır.

  • Dökümanları: ISO 27001 Risk Azaltma Planı

8.3 Değişiklik Yönetimi

İşletme süreçlerinde yapılan değişikliklerin bilgi güvenliği açısından değerlendirilmesi ve uygun kontrollerin uygulanması gerekmektedir.

  • Dökümanları: ISO 27001 Değişiklik Yönetim Planı

9. ISO 27001 Madde 9 Performans Değerlendirme

9.1 İzleme, Ölçme, Analiz ve Değerlendirme

Bilgi güvenliği yönetim sisteminin performansı düzenli olarak izlenmeli, ölçülmeli ve analiz edilmelidir. Elde edilen sonuçlara göre iyileştirmeler yapılmalıdır.

  • Dökümanları: ISO 27001 Performans Değerlendirme Raporu

9.2 İç Denetim

BGYS’nin uygunluğunu sağlamak amacıyla iç denetimler gerçekleştirilmelidir.

  • Dökümanları: ISO 27001 İç Denetim Planı ve Raporu

9.3 Yönetimin Gözden Geçirmesi

Üst yönetim, BGYS’yi düzenli olarak gözden geçirmeli ve iyileştirme fırsatlarını değerlendirmelidir.

  • Dökümanları: ISO 27001 Yönetim Gözden Geçirme Raporu

10. ISO 27001 Madde 10 İyileştirme

10.1 Uygunsuzluklar ve Düzeltici Faaliyetler

Uygunsuzluklar tespit edilmeli ve düzeltici faaliyetler uygulanmalıdır.

  • Dökümanları: ISO 27001 Uygunsuzluk ve Düzeltici Faaliyet Planı

10.2 Sürekli İyileştirme

Bilgi güvenliği yönetim sistemi sürekli iyileştirilmeli ve daha etkin hale getirilmelidir.

  • Dökümanları: ISO 27001 Sürekli İyileştirme Planı

EK-A: Kontrol Hedefleri ve Kontroller

Bu bölüm, işletmenin bilgi güvenliği yönetim sisteminde uygulaması gereken 114 kontrolü ve kontrol hedeflerini içerir. Her kontrol, işletmenin bilgi güvenliği risklerini minimize etmek amacıyla belirlenmiştir. Kontroller, bilgi güvenliği politikaları, varlık yönetimi, erişim kontrolü, kriptografi ve operasyon güvenliği gibi çeşitli alanlarda yapılacak uygulamalardır.

Kontrol Listesi , Varlık Yönetim Planı, Erişim Kontrol Politikası , Olay Yönetimi Prosedürü,

Bu maddeler ve ilgili dokümantasyonlar, ISO 27001 Belgesi almak için gerekli tüm gereksinimleri karşılar. İşletme, her maddeye uygun olarak dokümantasyonunu hazırlayarak bilgi güvenliği yönetim sistemini başarıyla sürdürebilir.

Sorularınız, Görüşleriniz ve Önerileriniz İçin Buradayız!
Bizimle İletişime Geçebilirsiniz

En Kısa Sürede Geri Dönüş Yapılacaktır.

BİZE ULAŞIN