Yeni ISO27001:2022 versiyonu ile artık zorunlu olan belgeleri hiç merak ettiniz mi? Eğer merak ettiyseniz sizin için yeni versiyon ile zorunlu olan belgeleri listeledik.
Zorunlu ISO 27001 belgeleri ve kayıtlarından bazıları şunlardır.
- BGYS Kapsam belgesi
- Bilgi Güvenliği Politikası
- Risk Değerlendirme Raporu
- Uygulanabilirlik Beyanı
- İç Denetim Raporu
Zorunlu olarak hazırlanması gereken ISO 27001:2022 Belgeleri
Firmanızın ISO 27001 ile uyumlu olmasını istiyor iseniz olması gereken belgeler tablodaki gibidir.
Belgelenmesi gerekenler | ISO 27001 referansı | Genellikle aracılığıyla belgelenir |
BGYS Kapsamı | Madde 4.3 | BGYS Kapsam belgesi |
Bilgi güvenliği politikası | Madde 5.2 | Bilgi Güvenliği Politikası |
Risk değerlendirme ve risk işleme süreci | Madde 6.1.2 | Risk Değerlendirmesi ve Tedavi Metodolojisi |
Uygulanabilirlik Beyanı | Madde 6.1.3 d) | Uygulanabilirlik Beyanı |
Risk tedavi planı | Madde 6.1.3 e, 6.2 ve 8.3 | Risk Tedavi Planı |
Bilgi güvenliği hedefleri | Madde 6.2 | Güvenlik Hedefleri Listesi |
Risk değerlendirmesi ve tedavi raporu | Madde 8.2 ve 8.3 | Risk Değerlendirmesi ve Tedavi Raporu |
Varlıkların envanteri | Kontrol A.5.9* | Varlıkların Envanteri veya Risk Kayıt Defterindeki Varlıkların Listesi |
Varlıkların kabul edilebilir kullanımı | Kontrol A.5.10* | BT Güvenlik Politikası |
Olay müdahale prosedürü | Kontrol A.5.26* | Olay Yönetimi Prosedürü |
Yasal, düzenleyici ve sözleşmeden doğan gereklilikler | Kontrol A.5.31* | Yasal, Mevzuat ve Sözleşme Gereksinimlerinin Listesi |
BT yönetimi için güvenlik işletim prosedürleri | Kontrol A.5.37* | Bilgi İşlem Departmanı İçin Güvenlik Prosedürleri |
Güvenlik rollerinin ve sorumluluklarının tanımı | Kontroller A.6.2 ve A.6.6* | Anlaşmalar, gizlilik sözleşmeleri ve her bir güvenlik politikası ve prosedüründe sorumlulukların belirlenmesi |
Güvenlik yapılandırmalarının tanımı | Kontrol A.8.9* | Bilgi İşlem Departmanı İçin Güvenlik Prosedürleri |
Güvenli sistem mühendisliği ilkeleri | Kontrol A.8.27* | Güvenli Geliştirme Politikası |
Not: Ek A kontrollerinin gerektirdiği ISO 27001 belgeleri veya kayıtları, yalnızca ilgili taraflardan bu kontrollerin uygulanmasını talep edecek riskler veya gereksinimler varsa zorunludur.
Zorunlu olan ISO 27001 kayıtları
Yeni BGYS ile zorunlu olan kayıtları da sizin için hazırladık.
Ne kaydedilmeli | ISO 27001 referansı | Genellikle aracılığıyla kaydedilir |
Eğitimler, beceriler, deneyim ve nitelikler | Madde 7.2 | Eğitim sertifikaları ve özgeçmişler |
İzleme ve ölçüm sonuçları | Madde 9.1 | Ölçüm raporu |
İç denetim programı | Madde 9.2 | İç Denetim Programı |
İç denetimlerin sonuçları | Madde 9.2 | İç Denetim Raporu |
Yönetim incelemesinin sonuçları | Madde 9.3 | Yönetim Gözden Geçirme Tutanakları |
Düzeltici eylemlerin sonuçları | Madde 10.2 | Düzeltici Faaliyet Formu |
Kullanıcı etkinlikleri, istisnalar ve güvenlik olaylarının günlükleri | Kontrol A.8.15* | Bilgi sistemlerinde otomatik oturum açma |
Zorunlu Olmayan Ama Hazırlanan Diğer ISO 27001 Belgeleri
Uygulama için, özellikle Ek A’daki güvenlik kontrolleri için kullanılabilecek çok sayıda zorunlu olmayan ISO 27001 belgesi vardır. Ancak hepsi için aynı şeyleri söyleyemeyiz. Bu döküman ve belgelerden en çok kullanılanları şu şekilde söyleyebiliriz;
- Belge ve Kayıt Kontrolü Prosedürü (madde 7.5, kontrol A.5.33)
- İç Denetim Prosedürü (madde 9.2)
- Düzeltici Faaliyet Prosedürü (madde 10.2)
- Bilgi Sınıflandırma Politikası (kontroller A.5.10, A.5.12 ve A.5.13)
- Bilgi Transfer Politikası (kontrol A.5.14)
- Erişim Kontrol Politikası (kontrol A.5.15)
- Şifre Politikası (A.5.16, A.5.17 ve A.8.5’i kontrol eder)
- Tedarikçi Güvenlik Politikası (A.5.19, A.5.21, A.5.22 ve A.5.23 kontrolleri)
- Felaket Kurtarma Planı (kontroller A.5.29, A.5.30 ve A.8.14)
- Mobil Cihaz, Uzaktan Çalışma ve Evden Çalışma Politikası (kontroller A.6.7, A.7.8, A.7.9 ve A.8.1)
- Güvenli Alanlarda Çalışma Prosedürleri (kontroller A.7.4 ve A.7.6)
- Temiz Masa ve Temiz Ekran Politikası (kontrol A.7.7)
- Kendi Cihazını Getir (BYOD) Politikası (kontroller A.7.8 ve A.8.1)
- İmha ve Yok etme Politikası (A.7.10, A.7.14 ve A.8.10 kontrolleri)
- Yedekleme Politikası (kontrol A.8.13)
- Şifreleme Politikası (kontrol A.8.24)
- Değişiklik Yönetimi Politikası (kontrol A.8.32)
Yenilenen ISO27001:2022 İle Zorunlu Olan Belge Ve Kayıtlar Nasıl Etkilenir?
Belgeler hakkında konuşunca yeni ISO 27001 bizlere iyi haberler ile gelmekte.
- Yeni ISO 27001:2022 eski versiyona göre daha az zorunlu belge gereksinimi sağlamakta.
- ISO27001:2022 ile karşımıza çıkan 11 adet yeni güvenlik kontrolü olmasına rağmen, bunlar için yeni bir belge yazmamıza gerek yoktur. ISO27001:2013 için hazırladığımız belgelere bu kontroller ile ilgili yeni bölümler vermemiz yeterlidir. Aşağıdaki tabloya sizin için hazırladık.
ISO 27001:2022’deki yeni güvenlik kontrolleri |
Bu kontrollerin dahil edilebileceği mevcut ISO 27001 belgeleri |
A.5.7 Tehdit istihbaratı | Olay Yönetimi Prosedürü |
A.5.23 Bulut hizmetlerinin kullanımı için bilgi güvenliği | Tedarikçi Güvenlik Politikası |
A.5.30 İş sürekliliği için BİT hazırlığı | Felaket kurtarma planı |
A.7.4 Fiziksel güvenlik izleme | Güvenli Alanlarda Çalışma Prosedürleri |
A.8.9 Konfigürasyon yönetimi | Bilgi İşlem Departmanı İçin Güvenlik Prosedürleri |
A.8.10 Bilgi silme | Bertaraf ve İmha Politikası |
A.8.11 Veri maskeleme | Güvenli Geliştirme Politikası |
A.8.12 Veri sızıntısı önleme | Bilgi İşlem Departmanı İçin Güvenlik Prosedürleri |
A.8.16 İzleme faaliyetleri | Bilgi İşlem Departmanı İçin Güvenlik Prosedürleri |
A.8.23 Web filtreleme | Bilgi İşlem Departmanı İçin Güvenlik Prosedürleri |
A.8.28 Güvenli kodlama | Güvenli Geliştirme Politikası |
Tabloda belirttiğimiz gibi önceden hazırladığımız belgelerin içerisine yeni gelen kontrolleri eklememiz yeterlidir.
Sizin için ISO 27001:2022 versiyonu ile zorunlu olan belgeleri listeledik ve eski sürümü ile karşılaştırdık. CertBy ve ekibi ISO 27001:2022 için gerekli olan tüm hazırlıklarını tamamladı. Size ve kurumunuza en iyi hizmetleri ve kaliteyi verebilmek için en kısa sürede görüşmek üzere.