Anasayfa / Blog / ISO/IEC 27001:2013 Standart Yapısı

ISO/IEC 27001:2013 Standart Yapısı

0 Giriş
1 Kapsam
2 Atıf yapılan standartlar ve/veya dokümanlar
3 Tanımlar ve terimler
4 Kuruluşun Yapısı
4.1 Kuruluşu ve yapısını anlama
4.2 İlgili tarafların ihtiyaç ve beklentilerini anla-mak
4.3 Bilgi Güvenliği Yönetim Sistemi kapsamının belirlenmesi
4.4 Bilgi Güvenliği Yönetim Sistemi
5 Liderlik
5.1 Liderlik ve taahhüt
5.2 Politika
5.3 Görev, sorumluluk ve yetki
6 Planlama
6.1 Risklere ve Fırsatlara Yönelik Eylemler
6.2 Bilgi Güvenliği Hedefleri ve Planlama
7 Destek
7.1 Kaynaklar
7.2 Yetkinlik
7.3 Farkındalık
7.4 İletişim
7.5 Dokümante Bilgi
8 Operasyon
8.1 Operasyonel planlama ve kontrol
8.2 Bilgi güvenliği risk değerlendirmesi
8.3 Bilgi güvenliği risk işleme
9 Performans değerlendirme
9.1 İzleme, ölçme, analiz ve değerlendirme
9.2 İç denetim
9.3 Yönetimin gözden geçirmesi
10 İyileştirme
10.1 Uygunsuzluk ve düzeltici faaliyet
10.2 Sürekli iyileştirme
Ek A Kontrol amaçları ve kontroller

 

Standart Maddelerine Genel Bakış

0. Giriş

ISO 27001:2005 versiyonuna göre giriş bölümü kısaltılmış ve PUKÖ modeli kaldırılmıştır. Bu deği-şiklikle birlikte kuruluşun BGYS’ni uygularken PUKÖ yaklaşımı dışında da sürekli iyileştirme için bir model seçmesine fırsat verilmiştir.

1. Kapsam

Ek A’daki herhangi bir kontrolün dışarıda tutulabi-leceğine dair atıf kaldırılmıştır.

2. Atıf yapılan standartlar ve/veya dokümanlar

Sadece ISO/IEC 27000 Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği yönetim sistemleri – Genel bakış ve sözlük standardına atıf yapılmaktadır.

3. Tanım ve Terimler

Standardın yeni revizyonunda tanım ve terimler bulunmamaktadır. Bu maddede ISO/IEC 27000 standardına atıf yapılmaktadır.

4. Kuruluşun Yapısı

BGYS yapısı şartlarına yönelik yeni bir maddedir. Ayrıca yeni versiyon ile değişen bir kavram olan önleyici faaliyete de gönderme yapmaktadır.
Kuruluşun amaçlanan BGYS çıktılarına ulaşmasına etki edebilecek iç ve dış boyutları tanımlamasını ve ilgili tarafların şartlarını göz önünde bulundura-rak BGYS kapsamının belirlenmesi gerektiği anla-tılmaktadır. Boyut kavramı yalnızca problemleri içermemektedir. Bu kavram hakkında daha fazla bilgi için ISO 31000:2009 Risk Yönetimi Standardı 5.3 maddesine bakılabilir.
Yeni versiyonun 4.2 maddesiyle BGYS’nin kurulmasında ilgili tarafların şartları, ihtiyaç ve beklentilerinin anlaşılmış olması istenmektedir. Şartlar ya-sal ve düzenleyici gereksinimler veya sözleşmeden kaynaklanan gereksinimler olabilir.
Kuruluşun Yapısı maddesinin son alt maddesi 4.4; kuruluşun ISO 27001:2013 standardı gereğince bir Bilgi Güvenliği Yönetim Sistemi kurmasını, uygula-masını, sürdürmesini ve sürekli iyileştirmesini istemektedir.

5. Liderlik

Bu maddedeki şartlar kuruluşun en üst düzeyde temsil edildiği “Üst Yönetim” kavramı üzerinedir.
Bilgi güvenliği politikasının üst yönetim tarafından oluşturulması bu maddenin şartlarından biridir. Standart politikanın içermesi gereken karakteristik ve özellikleri de tanımlamaktadır. Son olarak bu maddede üst yönetimin gerekli atamaları yaparak bilgi güvenliği ile ilgili görev, sorumluk ve yetkileri belirlemesi istenmekte, kuruluş içinde oluşturulan BGYS’nin ISO 27001 standardına uyumunu gözetmek ve BGYS’nin performansının raporlanması olmak üzere önemli iki görev üzerinde durulmaktadır.

6. Planlama

Planlama maddesinin alt maddesi 6.1.1 Genel, 4.1 ve 4.2 maddeleri ile birlikte önleyici faaliyetleri ele alma konusunda yeni bir yaklaşım sunmaktadır. Planlama maddesi risk değerlendirme ve risk işleme ile ilgili şartlar sunmaktadır. 6.1.1’de BGYS risk ve fırsatlarının ele alınması, 6.1.2’de risk değerlendirme ve 6.1.3’te ise bilgi güvenliği risk işleme ile ilgili şartlar yer almaktadır.
Madde 6.1.2, Bilgi Güvenliği Risk Değerlendirmesi: Bu madde özellikli olarak bilgi güvenliği risklerinin değerlendirilmesini ele alır. ISO 31000 standardıyla uyumlu olarak standardın bu yeni versiyonunda bilgi güvenliği risklerinin belirlenmesi için ön koşul olan varlıkların, tehditlerin ve zayıflıkların tanımlanması şartı kaldırılmıştır. Böylelikle kuruluşlar için risk değerlendirme yöntemi seçenekleri artmıştır. Ayrıca bu maddede risk değerlendirme kabul kriterlerine atıf yapıldığı görülmektedir.
Önceki versiyonda yer alan “varlık sahibi” kavramı yerine yeni versiyon “risk sahibi” olarak ele almıştır. Risk sahiplerinin risk işleme planını ve artık riskleri onaylaması istenmektedir. Diğer bir deyişle kuruluşların risklerin sonucunu, olasılıklarını ve seviyelerini değerlendirmesi beklenmektedir.
Madde 6.1.3, Bilgi Güvenliği Risk İşleme: ISO/IEC 27001:2005’ten farklı olarak kontrollerin Ek A’dan seçilmesi yerine risk işleme prosesi sırasında belirlenmesine atıf yapılmaktadır.
Bununla birlikte, standart herhangi bir gerekli kontrolün göz ardı edilmemesi için bir çapraz kontrol olarak EK A’nın kullanımını korur. Uygulanabilirlik Bildirgesi oluşturmak standardın bu versiyonunda da değişmeyen bir şarttır. Risk işleme planının oluşturulması ve onaylanması yine bu maddenin şartıdır.
Madde 6.2, Bilgi Güvenliği Hedefleri ve Ulaşılabilmesi için Planlama: Bu madde kuruluşun ilgili fonksiyon ve seviyelerinde bilgi güvenliği hedeflerinin oluşturulmasını istemektedir.

7. Destek

Bilgi güvenliği yönetim sisteminin kurulması, uygulaması, sürdürülmesi ve sürekli iyileştirilmesi için gerekli kaynakların sağlanması şartı bu maddede belirtilmiştir. Diğer yönetim sistem standartlarında da olduğu gibi kaynaklar; insan kaynakları, bütçe, ilgili ekipman vb. içermektedir. Standardın 2005 versiyonu ile benzer olarak kuruluş içerisindeki yetkinlik, farkındalık ve eğitim konularındaki şartlar yine bu madde içindedir.
Standardın bir önceki versiyonundan farklı olarak oluşturulan yeni “dokümante bilgi” kavramı bir önceki versiyonun doküman ve kayıt şartları ile hemen hemen aynıdır. ISO/IEC 27001:2013 standardında istenen dokümante bilgiler;

  • BGYS kapsamı
  • Bilgi güvenliği politikası
  • Risk değerlendirme prosesi
  • Risk işleme prosesi
  • Uygulanabilirlik Bildirgesi
  • Bilgi Güvenliği Hedefleri
  • Standardın istediği diğer kayıt ve dokümanlar

8. Operasyon

Bu madde daha çok ‘uygulama’ şartlarını içerir. Önceki maddelerde istenen; bilgi güvenliği hedefleri, risk değerlendirme, risk işleme gibi plan ve proseslerin gerçekleştirilmesi için şartları sıralar.

9. Performans Değerlendirme

Bu maddede, izleme, ölçme, analiz ve değerlendirme, iç denetim, yönetimin gözden geçirmesi şartları anlatılmaktadır. 9.1 maddesi bilgi güvenliği yönetim sistemini uygulamak isteyen kuruluşların sistemlerinin etkinliğini ve bilgi güvenliği performanslarını izlemelerini gerektirir.
İç denetim şartları bir önceki versiyonla hemen hemen aynı olmakla birlikte iç denetçilerin kendi çalışmalarını denetlememesi gerekliği farklı bir şekilde ifade edilerek “tarafsızlık ve bağımsızlık” kavramlarına gönderme yapılmıştır. 2005 versiyonunda yer alan “Denetlenen alandan sorumlu olan yönetim, saptanan uygunsuzlukların ve bunların nedenlerinin giderilmesi için, gereksiz gecikmeler olmaksızın önlemlerin alınmasını sağlamalıdır” şartı iç denetim maddesinden kaldırılarak, iç denetim sonucu alınması gereken aksiyonlara yönelik şartlar 10.1 uygunsuzluk ve düzeltici faaliyetler maddesi altında belirtilmiştir.
9.3 Yönetimin gözden geçirmesi şartları çoğunlukla aynı kalmakla birlikte gözden geçirmenin yılda bir kez yapılması şartı kaldırılmıştır. Ancak kuruluşların “düzenli ve planlı aralıklarla” gözden geçirme yapması şartı halen geçerliliği sürdürmektedir.

10. İyileştirme

ISO/IEC 27001:2013 versiyonunun önleyici faaliyetleri ele alış biçimi değiştiğinden yeni versiyonda önleyici faaliyet maddesi kaldırılmıştır. Ancak düzeltici faaliyet şartları devam etmekte ve yeni şartlar sunmaktadır. Sürekli iyileştirme şartları BGYS’nin etkinliğinin uygunluğu ve yeterliliğini kapsayacak şekilde genişletilmiştir.

EK A Kontroller ve Kontrol Amaçları

Ek A’da yer alan kontrol noktalarının sayısı 133’ten 114’e düşmüş, ana kontrol maddeleri 11’den 15’e yükselmiştir. Mevcut kontrollerden bazıları aynı kaldığı gibi, bazıları silinmiştir. Yeni versiyonda bir önceki versiyonla benzer kontroller bulunmakla birlikte yeni kontrol noktaları da bulunmaktadır. Tekrarların önlenmesi için bazı kontrollerin de yeniden gruplandırıldığı görülmektedir.

 

 Yeni Kontroller – ISO/IEC 27001:2013

A.6.1.5  Proje yönetiminde BG
A.12.6.2  Yazılım kurulumunda sınırlamalar
A.14.2.1  Güvenlik geliştirme politikası
A.14.2.5  Güvenlik sistemi mühendisliği prensipleri
A.14.2.6  Güvenlik geliştirme ortamı
A.14.2.8  Sistem güvenlik testi
A.15.1.1  Tedarikçi ilişkileri için BG politikası
A.15.1.3  Tedarik zincirinde bilgi ve iletişim teknolojisi
A.16.1.4  BG olaylarında değerlendirme ve karar
A.16.1.5  BG kazalarına tepki
A.17.2.1  Bilgi işleme tesislerinin uygunluğu

Kaldırılan Kontroller – ISO/27001:2005

A.6.1.1 – A.6.1.2 – A.6.1.4 – A.6.2.1 – A.6.2.2 – A.10.7.4 – A.10.8.5 – A.11.4.2 – A.11.4.3 A.11.4.4 – A.11.4.6 – A.11.4.7 – A.11.6.2 – A.12.2.1 – A.12.2.2 – A.12.2.3 – A.12.2.4 – A.12.5.4 – A.15.1.5 – A.15.3.2

Kontrol edin...

ISO 27001 Nedir? | ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nedir?

ISO 27001 Nedir? | ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nedir? ISO 27001, Uluslararası Standart …

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı Doküman Yönetim Sistemi Yazılımı
ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi ISO 27001 Baş Denetçi Eğitimi