ISO27001:2022 Versiyonuna Göre Zorunlu Belgeler

Yeni ISO27001:2022 versiyonu ile artık zorunlu olan belgeleri hiç merak ettiniz mi? Eğer merak ettiyseniz sizin için yeni versiyon ile zorunlu olan belgeleri listeledik.

Zorunlu ISO 27001 belgeleri ve kayıtlarından bazıları şunlardır.

  • BGYS Kapsam belgesi
  • Bilgi Güvenliği Politikası
  • Risk Değerlendirme Raporu
  • Uygulanabilirlik Beyanı
  • İç Denetim Raporu

Zorunlu olarak hazırlanması gereken ISO 27001:2022 Belgeleri

Firmanızın ISO 27001 ile uyumlu olmasını istiyor iseniz olması gereken belgeler tablodaki gibidir.

Belgelenmesi gerekenler ISO 27001 referansı Genellikle aracılığıyla belgelenir
BGYS Kapsamı Madde 4.3 BGYS Kapsam belgesi
Bilgi güvenliği politikası Madde 5.2 Bilgi Güvenliği Politikası
Risk değerlendirme ve risk işleme süreci Madde 6.1.2 Risk Değerlendirmesi ve Tedavi Metodolojisi
Uygulanabilirlik Beyanı Madde 6.1.3 d) Uygulanabilirlik Beyanı
Risk tedavi planı Madde 6.1.3 e, 6.2 ve 8.3 Risk Tedavi Planı
Bilgi güvenliği hedefleri Madde 6.2 Güvenlik Hedefleri Listesi
Risk değerlendirmesi ve tedavi raporu Madde 8.2 ve 8.3 Risk Değerlendirmesi ve Tedavi Raporu
Varlıkların envanteri Kontrol A.5.9* Varlıkların Envanteri veya Risk Kayıt Defterindeki Varlıkların Listesi
Varlıkların kabul edilebilir kullanımı Kontrol A.5.10* BT Güvenlik Politikası
Olay müdahale prosedürü Kontrol A.5.26* Olay Yönetimi Prosedürü
Yasal, düzenleyici ve sözleşmeden doğan gereklilikler Kontrol A.5.31* Yasal, Mevzuat ve Sözleşme Gereksinimlerinin Listesi
BT yönetimi için güvenlik işletim prosedürleri Kontrol A.5.37* Bilgi İşlem Departmanı İçin Güvenlik Prosedürleri
Güvenlik rollerinin ve sorumluluklarının tanımı Kontroller A.6.2 ve A.6.6* Anlaşmalar, gizlilik sözleşmeleri ve her bir güvenlik politikası ve prosedüründe sorumlulukların belirlenmesi
Güvenlik yapılandırmalarının tanımı Kontrol A.8.9* Bilgi İşlem Departmanı İçin Güvenlik Prosedürleri
Güvenli sistem mühendisliği ilkeleri Kontrol A.8.27* Güvenli Geliştirme Politikası

 

Not: Ek A kontrollerinin gerektirdiği ISO 27001 belgeleri veya kayıtları, yalnızca ilgili taraflardan bu kontrollerin uygulanmasını talep edecek riskler veya gereksinimler varsa zorunludur.

Zorunlu olan ISO 27001 kayıtları

Yeni BGYS ile zorunlu olan kayıtları da sizin için hazırladık.

Ne kaydedilmeli ISO 27001 referansı Genellikle aracılığıyla kaydedilir
Eğitimler, beceriler, deneyim ve nitelikler Madde 7.2 Eğitim sertifikaları ve özgeçmişler
İzleme ve ölçüm sonuçları Madde 9.1 Ölçüm raporu
İç denetim programı Madde 9.2 İç Denetim Programı
İç denetimlerin sonuçları Madde 9.2 İç Denetim Raporu
Yönetim incelemesinin sonuçları Madde 9.3 Yönetim Gözden Geçirme Tutanakları
Düzeltici eylemlerin sonuçları Madde 10.2 Düzeltici Faaliyet Formu
Kullanıcı etkinlikleri, istisnalar ve güvenlik olaylarının günlükleri Kontrol A.8.15* Bilgi sistemlerinde otomatik oturum açma

 

Zorunlu Olmayan Ama Hazırlanan Diğer ISO 27001 Belgeleri

Uygulama için, özellikle Ek A’daki güvenlik kontrolleri için kullanılabilecek çok sayıda zorunlu olmayan ISO 27001 belgesi vardır. Ancak hepsi için aynı şeyleri söyleyemeyiz. Bu döküman ve belgelerden en çok kullanılanları şu şekilde söyleyebiliriz;

  • Belge ve Kayıt Kontrolü Prosedürü (madde 7.5, kontrol A.5.33)
  • İç Denetim Prosedürü (madde 9.2)
  • Düzeltici Faaliyet Prosedürü (madde 10.2)
  • Bilgi Sınıflandırma Politikası (kontroller A.5.10, A.5.12 ve A.5.13)
  • Bilgi Transfer Politikası (kontrol A.5.14)
  • Erişim Kontrol Politikası (kontrol A.5.15)
  • Şifre Politikası (A.5.16, A.5.17 ve A.8.5’i kontrol eder)
  • Tedarikçi Güvenlik Politikası (A.5.19, A.5.21, A.5.22 ve A.5.23 kontrolleri)
  • Felaket Kurtarma Planı (kontroller A.5.29, A.5.30 ve A.8.14)
  • Mobil Cihaz, Uzaktan Çalışma ve Evden Çalışma Politikası (kontroller A.6.7, A.7.8, A.7.9 ve A.8.1)
  • Güvenli Alanlarda Çalışma Prosedürleri (kontroller A.7.4 ve A.7.6)
  • Temiz Masa ve Temiz Ekran Politikası (kontrol A.7.7)
  • Kendi Cihazını Getir (BYOD) Politikası (kontroller A.7.8 ve A.8.1)
  • İmha ve Yok etme Politikası (A.7.10, A.7.14 ve A.8.10 kontrolleri)
  • Yedekleme Politikası (kontrol A.8.13)
  • Şifreleme Politikası (kontrol A.8.24)
  • Değişiklik Yönetimi Politikası (kontrol A.8.32)

Yenilenen ISO27001:2022 İle Zorunlu Olan Belge Ve Kayıtlar Nasıl Etkilenir?

Belgeler hakkında konuşunca yeni ISO 27001 bizlere iyi haberler ile gelmekte.

  • Yeni ISO 27001:2022 eski versiyona göre daha az zorunlu belge gereksinimi sağlamakta.
  • ISO27001:2022 ile karşımıza çıkan 11 adet yeni güvenlik kontrolü olmasına rağmen, bunlar için yeni bir belge yazmamıza gerek yoktur. ISO27001:2013 için hazırladığımız belgelere bu kontroller ile ilgili yeni bölümler vermemiz yeterlidir. Aşağıdaki tabloya sizin için hazırladık.

ISO 27001:2022’deki yeni güvenlik kontrolleri

Bu kontrollerin dahil edilebileceği mevcut ISO 27001 belgeleri

A.5.7 Tehdit istihbaratı Olay Yönetimi Prosedürü
A.5.23 Bulut hizmetlerinin kullanımı için bilgi güvenliği Tedarikçi Güvenlik Politikası
A.5.30 İş sürekliliği için BİT hazırlığı Felaket kurtarma planı
A.7.4 Fiziksel güvenlik izleme Güvenli Alanlarda Çalışma Prosedürleri
A.8.9 Konfigürasyon yönetimi Bilgi İşlem Departmanı İçin Güvenlik Prosedürleri
A.8.10 Bilgi silme Bertaraf ve İmha Politikası
A.8.11 Veri maskeleme Güvenli Geliştirme Politikası
A.8.12 Veri sızıntısı önleme Bilgi İşlem Departmanı İçin Güvenlik Prosedürleri
A.8.16 İzleme faaliyetleri Bilgi İşlem Departmanı İçin Güvenlik Prosedürleri
A.8.23 Web filtreleme Bilgi İşlem Departmanı İçin Güvenlik Prosedürleri
A.8.28 Güvenli kodlama Güvenli Geliştirme Politikası

 

Tabloda belirttiğimiz gibi önceden hazırladığımız belgelerin içerisine yeni gelen kontrolleri eklememiz yeterlidir.

 

Sizin için ISO 27001:2022 versiyonu ile zorunlu olan belgeleri listeledik ve eski sürümü ile karşılaştırdık. CertBy ve ekibi ISO 27001:2022 için gerekli olan tüm hazırlıklarını tamamladı. Size ve kurumunuza en iyi hizmetleri ve kaliteyi verebilmek için en kısa sürede görüşmek üzere.