5.5.2. ISO 27002 Compliance

Bilgi Güvenliği Kontrollerinin İyi Uygulamaları (Controls for Information Security) standardına uyumluluk anlamına gelir. ISO 27002, bilgi güvenliğinin temel ilkeleri olan gizlilik, bütünlük ve erişilebilirlik kapsamında bir dizi güvenlik kontrolünü tanımlayan uluslararası bir standarttır.

ISO 27002 Compliance'ın amacı, kuruluşların bilgi varlıklarını, tehditlerden ve risklerden korumak için etkili bir bilgi güvenliği yönetim sistemi (BGYS) geliştirmelerine yardımcı olmaktır. Bu amaçla, ISO 27002, kuruluşlara uygulayabilecekleri bir dizi güvenlik kontrolünü sunmaktadır.

ISO 27002 Compliance, Uluslararası Standartlar Organizasyonu (ISO) tarafından çıkarılmıştır. ISO 27002, 2005 yılında yayınlanmıştır ve 2022 yılında güncellenmiştir.

ISO 27002 Compliance, her türden kuruluş için faydalı olabilir. Ancak, özellikle aşağıdaki kuruluşlar için kullanılması önerilir:

· Kritik altyapıya sahip kuruluşlar

· Büyük ve karmaşık kuruluşlar

· Siber saldırılara karşı hassas olan kuruluşlar

ISO 27002 Compliance'ın sağladığı faydalar şunlardır:

· Bilgi varlıklarını korur.

· Bilgi güvenliği risklerini azaltır.

· Yasal yükümlülükleri yerine getirir.

· Kurumsal itibarı güçlendirir.

ISO 27002 Compliance'a uyum sağlamak için, kuruluşların aşağıdaki adımları atmaları gerekmektedir:

ISO 27002 standardını inceleyin ve kuruluşunuz için uygun bir BGYS geliştirin.
BGYS'nizi uygulayın ve etkinliğini değerlendirin.
BGYS'nizi düzenli olarak gözden geçirin ve güncelleyin.

ISO 27002 Compliance, kuruluşların bilgi varlıklarını korumalarına ve yasal yükümlülüklerini yerine getirmelerine yardımcı olacak önemli bir araçtır.

ISO 27002 Compliance'ın temel gereksinimleri şunlardır:

· Risk yönetimi: Kuruluşların bilgi güvenliği risklerini tanımlaması, değerlendirmesi ve azaltması gerekir.

· Politikalar ve prosedürler: Kuruluşların bilgi güvenliği politikaları ve prosedürleri geliştirmesi gerekir.

· Denetim ve izleme: Kuruluşların bilgi güvenliğinin etkinliğini düzenli olarak denetlemesi ve izlemesi gerekir.

ISO 27002 Compliance, kuruluşların bilgi varlıklarını korumalarına yardımcı olacak çeşitli araç ve kaynakları da sağlamaktadır. Bu araçlar ve kaynaklar arasında, ISO 27002 kılavuzları, eğitim materyalleri ve denetim hizmetleri yer almaktadır.

ISO 27001 ve ISO 27002 arasındaki temel fark, ISO 27001'in bir yönetim sistemi standardı olması, ISO 27002'nin ise bir kontrol listesi olmasıdır. ISO 27001, kuruluşların bir BGYS geliştirmelerine yardımcı olurken, ISO 27002, kuruluşların BGYS'leri için uygulayabilecekleri bir dizi güvenlik kontrolünü sunmaktadır.

Madde	Sechard Tarafından Uygulanabilirlik

Madde	Sechard Tarafından Uygulanabilirlik
5.1 - Policies for information security	Uygulanabilir
5.2 - Information security roles and responsibilities	Uygulanabilir
5.3 - Segregation of duties	Uygulanabilir Değil
5.4 - Management responsibilities	Uygulanabilir Değil
5.5 - Contact with authorities	Uygulanabilir Değil
5.6 - Contact with special interest groups	Uygulanabilir Değil
5.7 - Threat intelligence	Uygulanabilir Değil
5.8 - Information security in project management	Uygulanabilir Değil
5.9 - Inventory of information and other associated assets	Uygulanabilir
5.10 - Acceptable use of information and other associated assets	Uygulanabilir
5.11 - Return of assets	Uygulanabilir
5.12 - Classification of information	Uygulanabilir
5.13 - Labelling of information	Uygulanabilir Değil
5.14 - Information transfer	Uygulanabilir Değil
5.15 - Access control	Uygulanabilir
5.16 - Identity management	Uygulanabilir
5.17 - Authentication information	Uygulanabilir
5.18 - Access rights	Uygulanabilir
5.19 - Information security in supplier relationships	Uygulanabilir Değil
5.20 - Addressing information security within supplier agreements	Uygulanabilir Değil
5.21 - Managing information security in the information and communication technology (ICT) supply chain	Uygulanabilir Değil
5.22 - Monitoring review and change management of supplier services	Uygulanabilir Değil
5.23 - Information security for use of cloud services	Uygulanabilir
5.24 - Information security incident management planning and preparation	Uygulanabilir Değil
5.25 - Assessment and decision on information security events	Uygulanabilir Değil
5.26 - Response to information security incidents	Uygulanabilir Değil
5.27 - Learning from information security incidents	Uygulanabilir Değil
5.28 - Collection of evidence	Uygulanabilir Değil
5.29 - Information security during disruption	Uygulanabilir Değil
5.30 - ICT readiness for business continuity	Uygulanabilir Değil
5.31 - Legal statutory regulatory and contractual requirements	Uygulanabilir Değil
5.32 - Intellectual property rights	Uygulanabilir Değil
5.33 - Protection of records	Uygulanabilir Değil
5.34 - Privacy and protection of personal identifiable information (PII)	Uygulanabilir Değil
5.35 - Independent review of information security	Uygulanabilir Değil
5.36 - Compliance with policies rules and standards for information security	Uygulanabilir
5.37 - Documented operating procedures	Uygulanabilir Değil
6.1 - Screening	Uygulanabilir Değil
6.2 - Terms and conditions of employment	Uygulanabilir Değil
6.3 - Information security awareness education and training	Uygulanabilir Değil
6.4 - Disciplinary process	Uygulanabilir Değil
6.5 - Responsibilities after termination or change of employment	Uygulanabilir Değil
6.6 - Confidentiality or non-disclosure agreements	Uygulanabilir Değil
6.7 - Remote working	Uygulanabilir
6.8 - Information security event reporting	Uygulanabilir
7.1 - Physical security perimeters	Uygulanabilir Değil
7.2 - Physical entry	Uygulanabilir Değil
7.3 - Securing offices rooms and facilities	Uygulanabilir Değil
7.4 - Physical security monitoring	Uygulanabilir Değil
7.5 - Protecting against physical and environmental threats	Uygulanabilir Değil
7.6 - Working in secure areas	Uygulanabilir Değil
7.7 - Clear desk and clear screen	Uygulanabilir Değil
7.8 - Equipment siting and protection	Uygulanabilir Değil
7.9 - Security of assets off-premises	Uygulanabilir Değil
7.10 - Storage media	Uygulanabilir Değil
7.11 - Supporting utilities	Uygulanabilir Değil
7.12 - Cabling security	Uygulanabilir Değil
7.13 - Equipment maintenance	Uygulanabilir Değil
7.14 - Secure disposal or re-use of equipmen	Uygulanabilir Değil
8.1 - User end point devices	Uygulanabilir
8.2 - Privileged access rights	Uygulanabilir
8.3 - Information access restriction	Uygulanabilir
8.4 - Access to source code	Uygulanabilir Değil
8.5 - Secure authentication	Uygulanabilir
8.6 - Capacity management	Uygulanabilir Değil
8.7 - Protection against malware	Uygulanabilir Değil
8.8 - Management of technical vulnerabilities	Uygulanabilir
8.9 - Configuration management	Uygulanabilir Değil
8.10 - Information deletion	Uygulanabilir Değil
8.11 - Data masking	Uygulanabilir Değil
8.12 - Data leakage prevention	Uygulanabilir Değil
8.13 - Information backup	Uygulanabilir Değil
8.14 - Redundancy of information processing facilities	Uygulanabilir Değil
8.15 - Logging	Uygulanabilir Değil
8.16 - Monitoring activities	Uygulanabilir
8.17 - Clock synchronization	Uygulanabilir Değil
8.18 - Use of privileged utility programs	Uygulanabilir Değil
8.19 - Installation of software on operational systems	Uygulanabilir
8.20 - Networks security	Uygulanabilir
8.21 - Security of network services	Uygulanabilir
8.22 - Segregation of networks	Uygulanabilir Değil
8.23 - Web filtering	Uygulanabilir Değil
8.24 - Use of cryptography	Uygulanabilir
8.25 - Secure development life cycle	Uygulanabilir Değil
8.26 - Application security requirements	Uygulanabilir
8.27 - Secure system architecture and engineering principles	Uygulanabilir
8.28 - Secure coding	Uygulanabilir Değil
8.29 - Security testing in development and acceptance	Uygulanabilir Değil
8.30 - Outsourced development	Uygulanabilir Değil
8.31 - Separation of development test and production environments	Uygulanabilir Değil
8.32 - Change management	Uygulanabilir Değil
8.33 - Test information	Uygulanabilir Değil
8.34 - Protection of information systems during audit testing	Uygulanabilir