ISO 27001:2022 standardı, organizasyonların bilgi varlıklarını güvence altına almak amacıyla “Ek-A” bölümü içerisinde, bilgi güvenliği risklerine karşı alınması gereken kontrolleri ve önlemleri tanımlayan 93 kontrol maddesinden oluşan kapsamlı bir kontrol listesi tanımlamıştır. Söz konusu kontrol maddelerine yönelik olarak yapılan yorumlamalarda maddelere ait konular şu şekildedir;
| No | Konu |
| 5 | Kurumsal Kontroller |
| 5.1 | Bilgi güvenliği politikası yönetimi |
| 5.2 | Rollerin ve sorumlulukların tanımı |
| 5.3 | Çıkar çatışmalarının önlenmesi |
| 5.4 | Üst yönetim taahhüdü |
| 5.5 | Yetkili mercilerle iletişim |
| 5.6 | Dış paydaşlarla iş birliği |
| 5.7 | Tehdit bilgisi toplama ve analiz |
| 5.8 | Projelerde güvenlik entegrasyonu |
| 5.9 | Bilgi varlıklarının envanteri |
| 5.10 | Varlıkların uygun kullanımı |
| 5.11 | Kurumsal varlıkların iadesi |
| 5.12 | Bilgi sınıflandırma kriterleri |
| 5.13 | Bilgi etiketleme süreçleri |
| 5.14 | Bilgi paylaşımı ve aktarımı |
| 5.15 | Erişim yetkilendirme kuralları |
| 5.16 | Dijital kimliklerin yönetimi |
| 5.17 | Kimlik doğrulama bilgileri |
| 5.18 | Erişim haklarının atanması ve kontrolü |
| 5.19 | Tedarikçi risk yönetimi |
| 5.20 | Tedarikçi sözleşmelerinde güvenlik şartları |
| 5.21 | Bilgi ve İletişim Teknolojileri tedarik zincirinde bilgi güvenliğini yönetme |
| 5.22 | Tedarikçi hizmetlerinin izlenmesi, gözden geçirilmesi ve değişiklik yönetimi |
| 5.23 | Bulut hizmetlerinin kullanımı için bilgi güvenliği |
| 5.24 | İhlal yönetimi hazırlığı |
| 5.25 | İhlal durumlarının değerlendirilmesi |
| 5.26 | İhlal olaylarına müdahale |
| 5.27 | İhlallerden öğrenilen dersler |
| 5.28 | Dijital delil yönetimi |
| 5.29 | Kesinti anında güvenlik sürekliliği |
| 5.30 | İş sürekliliği için Bilgi ve İletişim Teknoloji planlaması |
| 5.31 | Yasal ve sözleşmesel gereklilikler |
| 5.32 | Fikri mülkiyetin korunması |
| 5.33 | Kayıt güvenliği |
| 5.34 | Kişisel verilerin korunması |
| 5.35 | Bağımsız güvenlik denetimi |
| 5.36 | Politika ve standartlara uyum |
| 5.37 | Belgelendirilmiş işletim süreçleri |
| 6 | Kişi Kontrolleri |
| 6.1 | Aday geçmiş kontrolü |
| 6.2 | İstihdam şartlarının belirlenmesi |
| 6.3 | Farkındalık ve eğitim programı |
| 6.4 | Disiplin yönetimi |
| 6.5 | Ayrılan personelin yükümlülükleri |
| 6.6 | Gizlilik taahhütleri |
| 6.7 | Uzaktan çalışma güvenliği |
| 6.8 | Güvenlik olayı raporlama süreci |
| 7 | Fiziksel Kontroller |
| 7.1 | Güvenli alan sınırlarının belirlenmesi |
| 7.2 | Fiziksel erişim kontrolü |
| 7.3 | Çalışma alanlarının fiziksel güvenliği |
| 7.4 | Fiziksel erişim izleme |
| 7.5 | Fiziksel ve çevresel risk yönetimi |
| 7.6 | Güvenli bölgelerde davranış kuralları |
| 7.7 | Temiz masa ve ekran politikası |
| 7.8 | Ekipman güvenliği |
| 7.9 | Mobil varlıkların korunması |
| 7.10 | Veri taşıyıcılarının yönetimi |
| 7.11 | Destek yazılım kullanım denetimi |
| 7.12 | Kablo ve altyapı koruması |
| 7.13 | Donanım bakım süreçleri |
| 7.14 | Ekipman imhası ve yeniden kullanımı |
| 8 | Teknolojik Kontroller |
| 8.1 | Uç nokta güvenliği |
| 8.2 | Yönetici erişim kontrolü |
| 8.3 | Bilgiye sınırlı erişim |
| 8.4 | Kod ve geliştirme erişimi |
| 8.5 | Güvenli kimlik doğrulama |
| 8.6 | Bilgi Teknolojileri kaynak kapasite yönetimi |
| 8.7 | Zararlı yazılım koruması |
| 8.8 | Zafiyet yönetimi |
| 8.9 | Sistem yapılandırma denetimi |
| 8.10 | Veri silme politikası |
| 8.11 | Veri maskeleme teknikleri |
| 8.12 | Veri sızıntısı kontrolü |
| 8.13 | Veri yedekleme yönetimi |
| 8.14 | İşlem sürekliliği altyapısı |
| 8.15 | Kayıt (log) yönetimi |
| 8.16 | Sistem izleme ve olay tespiti |
| 8.17 | Zaman eşitlemesi |
| 8.18 | Yetkili yazılım kullanım kontrolü |
| 8.19 | Yazılım kurulum denetimi |
| 8.20 | Ağ altyapı güvenliği |
| 8.21 | Ağ servis güvenliği |
| 8.22 | Ağ segmentasyonu |
| 8.23 | Web erişim denetimi |
| 8.24 | Kriptografik koruma yöntemleri |
| 8.25 | Güvenli yazılım geliştirme süreci |
| 8.26 | Uygulama güvenliği kriterleri |
| 8.27 | Güvenli sistem tasarımı |
| 8.28 | Güvenli kodlama uygulamaları |
| 8.29 | Yazılım testlerinde güvenlik |
| 8.30 | Harici yazılım geliştirme yönetimi |
| 8.31 | Bilgi Teknolojileri ortam ayrımı |
| 8.32 | Sistem değişikliklerinin kontrolü |
| 8.33 | Test verisi güvenliği |
| 8.34 | Test sırasında sistem güvenliği |
PDF;
Not: ISO/IEC 27001:2022 standardının Ek-A bölümünde tanımlı kontroller telif hakkı koruması altındadır. Bu çalışmada, ilgili kontroller özetlenmiş ve yazar tarafından yorumlanarak ifade edilmiştir.
Kaynaklar
International Organization for Standardization & International Electrotechnical Commission. (2022). ISO/IEC 27001:2022: Information security, cybersecurity and privacy protection – Information security management systems – Requirements. ISO. https://www.iso.org/standard/27001