ISO 27001 Nedir?
ISO/IEC 27001, Uluslararası Standardizasyon Örgütü (ISO) ve Uluslararası Elektroteknik Komisyonu (IEC) tarafından ortaklaşa yayımlanan ve Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulumu, uygulanması, izlenmesi ve sürekli iyileştirilmesi için gereksinimleri tanımlayan uluslararası standarttır.
2022 yılında güncellenen ISO/IEC 27001:2022 sürümü, bulut güvenliği, tehdit istihbaratı ve veri maskeleme gibi güncel konuları kapsayan yeni kontrol maddeleriyle birlikte gelmiştir.
Neden ISO 27001?
- Müşteri ve İş Ortağı Güveni: Sertifika, bilgi güvenliğine yatırım yaptığınızın bağımsız denetimle doğrulanmış kanıtıdır.
- Yasal Uyumluluk: KVKK, GDPR ve PCI DSS gibi düzenlemelerin gerektirdiği güvenlik tedbirlerini sistematik biçimde karşılar.
- İhale ve Tedarikçi Gereksinimleri: Kamu ihaleleri ve büyük kurumsal sözleşmelerde ISO 27001 sertifikası giderek zorunlu hale gelmektedir.
- Olay Azaltma: Standart risk yönetimi yaklaşımı, güvenlik olaylarının sıklığını ve etkisini azaltır.
- Rekabet Avantajı: Sektörde güvenilir tedarikçi konumunu pekiştirir.
BGYS'nin Kapsamı
ISO 27001, yalnızca teknoloji değil; insan, süreç ve teknoloji üçlüsünü kapsayan bütünleşik bir yaklaşım benimser:
- Bilgi varlıklarının envanteri ve sınıflandırması
- Risk değerlendirme ve risk işleme süreci
- Güvenlik politikaları ve prosedürleri
- Personel farkındalık eğitimleri
- Fiziksel ve çevresel güvenlik
- Erişim kontrolü ve kimlik yönetimi
- Olay yönetimi ve iş sürekliliği
ISO 27001:2022 Yapısı — Yüksek Seviye Yapı (HLS)
Standart, 10 ana maddeden oluşur:
- Madde 4: Kuruluşun bağlamı — iç/dış paydaşlar, kapsam belirleme
- Madde 5: Liderlik — üst yönetim taahhüdü, politika, roller
- Madde 6: Planlama — risk değerlendirme, hedefler
- Madde 7: Destek — kaynaklar, yetkinlik, iletişim, dokümantasyon
- Madde 8: Operasyon — risk işleme planının uygulanması
- Madde 9: Performans değerlendirme — iç denetim, yönetim gözden geçirme
- Madde 10: İyileştirme — uygunsuzluk yönetimi, sürekli iyileştirme
Ek A Kontrolleri — ISO 27001:2022
ISO 27001:2022, Ek A'da 4 tema altında 93 kontrol içerir (önceki sürümde 114 kontrol vardı):
- Örgütsel Kontroller (37): Politikalar, roller, tedarikçi güvenliği, iş sürekliliği
- İnsan Kontrolleri (8): İşe alım güvenliği, eğitim, disiplin süreci
- Fiziksel Kontroller (14): Çevre güvenliği, fiziksel erişim, temiz masa politikası
- Teknolojik Kontroller (34): Kimlik doğrulama, şifreleme, güvenli geliştirme, log yönetimi
2022 sürümüyle eklenen 11 yeni kontrol şunlardır: Tehdit istihbaratı, bulut güvenliği, ICT sürekliliği, veri maskeleme, fiziksel güvenlik izleme, yapılandırma yönetimi, bilgi silme, veri sızıntısı önleme, web filtreleme, güvenli kodlama, uygulama güvenliği.
Sertifikasyon Süreci
- Aşama 1 — Gap Analizi: Mevcut durum ile standart gereksinimleri karşılaştırılır; eksiklikler tespit edilir.
- Aşama 2 — Uygulama: Politikalar, prosedürler ve teknik kontroller hayata geçirilir. Tipik süre: 6–18 ay.
- Aşama 3 — İç Denetim: Sertifikasyon öncesi iç denetimle eksiklikler giderilir.
- Aşama 4 — Belgelendirme Denetimi (Aşama 1): Akredite belgelendirme kuruluşu dokümantasyonu ve hazırlık durumunu inceler.
- Aşama 5 — Belgelendirme Denetimi (Aşama 2): Saha denetimi; kontrollerin fiilen uygulandığı doğrulanır.
- Aşama 6 — Gözetim Denetimleri: Yılda bir gözetim, 3 yılda bir yeniden belgelendirme denetimi yapılır.
SOA (Uygulanabilirlik Beyanı)
Statement of Applicability (SOA), 93 kontrolün hangilerinin uygulandığını, hangilerinin kapsam dışı tutulduğunu ve gerekçelerini içeren zorunlu belgedir. Denetçilerin incelediği temel belgeler arasında yer alır.
Sonuç
ISO 27001 sertifikası, bilgi güvenliğini kurum kültürünün bir parçası haline getiren ve sürekli iyileştirme döngüsünü tetikleyen en güçlü uluslararası araçtır. Lider Network, ISO 27001 gap analizi, BGYS kurulumu ve sertifikasyon danışmanlığı konularında hizmet vermektedir.