SecHard
5.5.1. ISO 27001 Compliance
- seda peker
- Abdullah Can Çakar
Bilgi Güvenliği Yönetim Sistemi (BGYS) standardına uyumluluk anlamına gelir. ISO 27001, bilgi güvenliğinin temel ilkeleri olan gizlilik, bütünlük ve erişilebilirlik kapsamında bir dizi güvenlik kontrolünü tanımlayan uluslararası bir standarttır.
ISO 27001 Compliance'ın amacı, kuruluşların bilgi varlıklarını, tehditlerden ve risklerden korumaktır. Bu amaçla, ISO 27001, kuruluşlara bilgi güvenliğini yönetmek için bir çerçeve sunmaktadır.
ISO 27001 Compliance, Uluslararası Standartlar Organizasyonu (ISO) tarafından çıkarılmıştır. ISO 27001, 2005 yılında yayınlanmıştır ve 2013 yılında güncellenmiştir.
ISO 27001 Compliance, her türden kuruluş için faydalı olabilir. Ancak, özellikle aşağıdaki kuruluşlar için kullanılması önerilir:
· Kritik altyapıya sahip kuruluşlar
· Büyük ve karmaşık kuruluşlar
· Siber saldırılara karşı hassas olan kuruluşlar
ISO 27001 Compliance'ın sağladığı faydalar şunlardır:
· Bilgi varlıklarını korur.
· Bilgi güvenliği risklerini azaltır.
· Yasal yükümlülükleri yerine getirir.
· Kurumsal itibarı güçlendirir.
ISO 27001 Compliance'a uyum sağlamak için, kuruluşların aşağıdaki adımları atmaları gerekmektedir:
ISO 27001 standardını inceleyin ve kuruluşunuz için uygun bir BGYS geliştirin.
BGYS'nizi uygulayın ve etkinliğini değerlendirin.
BGYS'nizi düzenli olarak gözden geçirin ve güncelleyin.
ISO 27001 Compliance, kuruluşların bilgi varlıklarını korumalarına ve yasal yükümlülüklerini yerine getirmelerine yardımcı olacak önemli bir araçtır.
ISO 27001 Compliance'ın temel gereksinimleri şunlardır:
· Risk yönetimi: Kuruluşların bilgi güvenliği risklerini tanımlaması, değerlendirmesi ve azaltması gerekir.
· Politikalar ve prosedürler: Kuruluşların bilgi güvenliği politikaları ve prosedürleri geliştirmesi gerekir.
· Denetim ve izleme: Kuruluşların bilgi güvenliğinin etkinliğini düzenli olarak denetlemesi ve izlemesi gerekir.
ISO 27001 Compliance, kuruluşların bilgi varlıklarını korumalarına yardımcı olacak çeşitli araç ve kaynakları da sağlamaktadır. Bu araçlar ve kaynaklar arasında, ISO 27001 kılavuzları, eğitim materyalleri ve denetim hizmetleri yer almaktadır.
Madde | Sechard Tarafından Uygulanabilirlik |
|---|---|
5.1 - Policies for information security | Uygulanabilir |
5.2 - Information security roles and responsibilities | Uygulanabilir |
5.3 - Segregation of duties | Uygulanabilir Değil |
5.4 - Management responsibilities | Uygulanabilir Değil |
5.5 - Contact with authorities | Uygulanabilir Değil |
5.6 - Contact with special interest groups | Uygulanabilir Değil |
5.7 - Threat intelligence | Uygulanabilir Değil |
5.8 - Information security in project management | Uygulanabilir Değil |
5.9 - Inventory of information and other associated assets | Uygulanabilir |
5.10 - Acceptable use of information and other associated assets | Uygulanabilir |
5.11 - Return of assets | Uygulanabilir |
5.12 - Classification of information | Uygulanabilir |
5.13 - Labelling of information | Uygulanabilir |
5.14 - Information transfer | Uygulanabilir Değil |
5.15 - Access control | Uygulanabilir |
5.16 - Identity management | Uygulanabilir |
5.17 - Authentication information | Uygulanabilir |
5.18 - Access rights | Uygulanabilir |
5.19 - Information security in supplier relationships | Uygulanabilir Değil |
5.20 - Addressing information security within supplier agreements | Uygulanabilir Değil |
5.21 - Managing information security in the information and communication technology (ICT) supply chain | Uygulanabilir Değil |
5.22 - Monitoring review and change management of supplier services | Uygulanabilir Değil |
5.23 - Information security for use of cloud services | Uygulanabilir |
5.24 - Information security incident management planning and preparation | Uygulanabilir Değil |
5.25 - Assessment and decision on information security events | Uygulanabilir Değil |
5.26 - Response to information security incidents | Uygulanabilir Değil |
5.27 - Learning from information security incidents | Uygulanabilir Değil |
5.28 - Collection of evidence | Uygulanabilir Değil |
5.29 - Information security during disruption | Uygulanabilir Değil |
5.30 - ICT readiness for business continuity | Uygulanabilir Değil |
5.31 - Legal statutory regulatory and contractual requirements | Uygulanabilir Değil |
5.32 - Intellectual property rights | Uygulanabilir Değil |
5.33 - Protection of records | Uygulanabilir Değil |
5.34 - Privacy and protection of personal identifiable information (PII) | Uygulanabilir Değil |
5.35 - Independent review of information security | Uygulanabilir Değil |
5.36 - Compliance with policies rules and standards for information security | Uygulanabilir |
5.37 - Documented operating procedures | Uygulanabilir Değil |
6.1 - Screening | Uygulanabilir Değil |
6.2 - Terms and conditions of employment | Uygulanabilir Değil |
6.3 - Information security awareness education and training | Uygulanabilir Değil |
6.4 - Disciplinary process | Uygulanabilir Değil |
6.5 - Responsibilities after termination or change of employment | Uygulanabilir Değil |
6.6 - Confidentiality or non-disclosure agreements | Uygulanabilir Değil |
6.7 - Remote working | Uygulanabilir |
6.8 - Information security event reporting | Uygulanabilir |
7.1 - Physical security perimeters | Uygulanabilir Değil |
7.2 - Physical entry | Uygulanabilir Değil |
7.3 - Securing offices rooms and facilities | Uygulanabilir Değil |
7.4 - Physical security monitoring | Uygulanabilir Değil |
7.5 - Protecting against physical and environmental threats | Uygulanabilir Değil |
7.6 - Working in secure areas | Uygulanabilir Değil |
7.7 - Clear desk and clear screen | Uygulanabilir Değil |
7.8 - Equipment siting and protection | Uygulanabilir Değil |
7.9 - Security of assets off-premises | Uygulanabilir Değil |
7.10 - Storage media | Uygulanabilir Değil |
7.11 - Supporting utilities | Uygulanabilir Değil |
7.12 - Cabling security | Uygulanabilir Değil |
7.13 - Equipment maintenance | Uygulanabilir Değil |
7.14 - Secure disposal or re-use of equipmen | Uygulanabilir Değil |
8.1 - User end point devices | Uygulanabilir |
8.2 - Privileged access rights | Uygulanabilir |
8.3 - Information access restriction | Uygulanabilir |
8.4 - Access to source code | Uygulanabilir Değil |
8.5 - Secure authentication | Uygulanabilir |
8.6 - Capacity management | Uygulanabilir Değil |
8.7 - Protection against malware | Uygulanabilir Değil |
8.8 - Management of technical vulnerabilities | Uygulanabilir |
8.9 - Configuration management | Uygulanabilir Değil |
8.10 - Information deletion | Uygulanabilir Değil |
8.11 - Data masking | Uygulanabilir Değil |
8.12 - Data leakage prevention | Uygulanabilir Değil |
8.13 - Information backup | Uygulanabilir Değil |
8.14 - Redundancy of information processing facilities | Uygulanabilir Değil |
8.15 - Logging | Uygulanabilir Değil |
8.16 - Monitoring activities | Uygulanabilir |
8.17 - Clock synchronization | Uygulanabilir Değil |
8.18 - Use of privileged utility programs | Uygulanabilir Değil |
8.19 - Installation of software on operational systems | Uygulanabilir |
8.20 - Networks security | Uygulanabilir |
8.21 - Security of network services | Uygulanabilir |
8.22 - Segregation of networks | Uygulanabilir Değil |
8.23 - Web filtering | Uygulanabilir Değil |
8.24 - Use of cryptography | Uygulanabilir |
8.25 - Secure development life cycle | Uygulanabilir Değil |
8.26 - Application security requirements | Uygulanabilir |
8.27 - Secure system architecture and engineering principles | Uygulanabilir |
8.28 - Secure coding | Uygulanabilir Değil |
8.29 - Security testing in development and acceptance | Uygulanabilir Değil |
8.30 - Outsourced development | Uygulanabilir Değil |
8.31 - Separation of development test and production environments | Uygulanabilir Değil |
8.32 - Change management | Uygulanabilir Değil |
8.33 - Test information | Uygulanabilir Değil |
8.34 - Protection of information systems during audit testing | Uygulanabilir |
SecHard