ISO27001:2022 Versiyonuna Göre Zorunlu Belgeler

Yeni ISO27001:2022 versiyonu ile artık zorunlu olan belgeleri hiç merak ettiniz mi? Eğer merak ettiyseniz sizin için yeni versiyon ile zorunlu olan belgeleri listeledik.

Zorunlu ISO 27001 belgeleri ve kayıtlarından bazıları şunlardır.

  • BGYS Kapsam belgesi
  • Bilgi Güvenliği Politikası
  • Risk Değerlendirme Raporu
  • Uygulanabilirlik Beyanı
  • İç Denetim Raporu

Zorunlu olarak hazırlanması gereken ISO 27001:2022 Belgeleri

Firmanızın ISO 27001 ile uyumlu olmasını istiyor iseniz olması gereken belgeler tablodaki gibidir.

Belgelenmesi gerekenlerISO 27001 referansıGenellikle aracılığıyla belgelenir
BGYS KapsamıMadde 4.3BGYS Kapsam belgesi
Bilgi güvenliği politikasıMadde 5.2Bilgi Güvenliği Politikası
Risk değerlendirme ve risk işleme süreciMadde 6.1.2Risk Değerlendirmesi ve Tedavi Metodolojisi
Uygulanabilirlik BeyanıMadde 6.1.3 d)Uygulanabilirlik Beyanı
Risk tedavi planıMadde 6.1.3 e, 6.2 ve 8.3Risk Tedavi Planı
Bilgi güvenliği hedefleriMadde 6.2Güvenlik Hedefleri Listesi
Risk değerlendirmesi ve tedavi raporuMadde 8.2 ve 8.3Risk Değerlendirmesi ve Tedavi Raporu
Varlıkların envanteriKontrol A.5.9*Varlıkların Envanteri veya Risk Kayıt Defterindeki Varlıkların Listesi
Varlıkların kabul edilebilir kullanımıKontrol A.5.10*BT Güvenlik Politikası
Olay müdahale prosedürüKontrol A.5.26*Olay Yönetimi Prosedürü
Yasal, düzenleyici ve sözleşmeden doğan gerekliliklerKontrol A.5.31*Yasal, Mevzuat ve Sözleşme Gereksinimlerinin Listesi
BT yönetimi için güvenlik işletim prosedürleriKontrol A.5.37*Bilgi İşlem Departmanı İçin Güvenlik Prosedürleri
Güvenlik rollerinin ve sorumluluklarının tanımıKontroller A.6.2 ve A.6.6*Anlaşmalar, gizlilik sözleşmeleri ve her bir güvenlik politikası ve prosedüründe sorumlulukların belirlenmesi
Güvenlik yapılandırmalarının tanımıKontrol A.8.9*Bilgi İşlem Departmanı İçin Güvenlik Prosedürleri
Güvenli sistem mühendisliği ilkeleriKontrol A.8.27*Güvenli Geliştirme Politikası

 

Not: Ek A kontrollerinin gerektirdiği ISO 27001 belgeleri veya kayıtları, yalnızca ilgili taraflardan bu kontrollerin uygulanmasını talep edecek riskler veya gereksinimler varsa zorunludur.

Zorunlu olan ISO 27001 kayıtları

Yeni BGYS ile zorunlu olan kayıtları da sizin için hazırladık.

Ne kaydedilmeliISO 27001 referansıGenellikle aracılığıyla kaydedilir
Eğitimler, beceriler, deneyim ve niteliklerMadde 7.2Eğitim sertifikaları ve özgeçmişler
İzleme ve ölçüm sonuçlarıMadde 9.1Ölçüm raporu
İç denetim programıMadde 9.2İç Denetim Programı
İç denetimlerin sonuçlarıMadde 9.2İç Denetim Raporu
Yönetim incelemesinin sonuçlarıMadde 9.3Yönetim Gözden Geçirme Tutanakları
Düzeltici eylemlerin sonuçlarıMadde 10.2Düzeltici Faaliyet Formu
Kullanıcı etkinlikleri, istisnalar ve güvenlik olaylarının günlükleriKontrol A.8.15*Bilgi sistemlerinde otomatik oturum açma

 

Zorunlu Olmayan Ama Hazırlanan Diğer ISO 27001 Belgeleri

Uygulama için, özellikle Ek A’daki güvenlik kontrolleri için kullanılabilecek çok sayıda zorunlu olmayan ISO 27001 belgesi vardır. Ancak hepsi için aynı şeyleri söyleyemeyiz. Bu döküman ve belgelerden en çok kullanılanları şu şekilde söyleyebiliriz;

  • Belge ve Kayıt Kontrolü Prosedürü (madde 7.5, kontrol A.5.33)
  • İç Denetim Prosedürü (madde 9.2)
  • Düzeltici Faaliyet Prosedürü (madde 10.2)
  • Bilgi Sınıflandırma Politikası (kontroller A.5.10, A.5.12 ve A.5.13)
  • Bilgi Transfer Politikası (kontrol A.5.14)
  • Erişim Kontrol Politikası (kontrol A.5.15)
  • Şifre Politikası (A.5.16, A.5.17 ve A.8.5’i kontrol eder)
  • Tedarikçi Güvenlik Politikası (A.5.19, A.5.21, A.5.22 ve A.5.23 kontrolleri)
  • Felaket Kurtarma Planı (kontroller A.5.29, A.5.30 ve A.8.14)
  • Mobil Cihaz, Uzaktan Çalışma ve Evden Çalışma Politikası (kontroller A.6.7, A.7.8, A.7.9 ve A.8.1)
  • Güvenli Alanlarda Çalışma Prosedürleri (kontroller A.7.4 ve A.7.6)
  • Temiz Masa ve Temiz Ekran Politikası (kontrol A.7.7)
  • Kendi Cihazını Getir (BYOD) Politikası (kontroller A.7.8 ve A.8.1)
  • İmha ve Yok etme Politikası (A.7.10, A.7.14 ve A.8.10 kontrolleri)
  • Yedekleme Politikası (kontrol A.8.13)
  • Şifreleme Politikası (kontrol A.8.24)
  • Değişiklik Yönetimi Politikası (kontrol A.8.32)

Yenilenen ISO27001:2022 İle Zorunlu Olan Belge Ve Kayıtlar Nasıl Etkilenir?

Belgeler hakkında konuşunca yeni ISO 27001 bizlere iyi haberler ile gelmekte.

  • Yeni ISO 27001:2022 eski versiyona göre daha az zorunlu belge gereksinimi sağlamakta.
  • ISO27001:2022 ile karşımıza çıkan 11 adet yeni güvenlik kontrolü olmasına rağmen, bunlar için yeni bir belge yazmamıza gerek yoktur. ISO27001:2013 için hazırladığımız belgelere bu kontroller ile ilgili yeni bölümler vermemiz yeterlidir. Aşağıdaki tabloya sizin için hazırladık.

ISO 27001:2022’deki yeni güvenlik kontrolleri

Bu kontrollerin dahil edilebileceği mevcut ISO 27001 belgeleri

A.5.7 Tehdit istihbaratıOlay Yönetimi Prosedürü
A.5.23 Bulut hizmetlerinin kullanımı için bilgi güvenliğiTedarikçi Güvenlik Politikası
A.5.30 İş sürekliliği için BİT hazırlığıFelaket kurtarma planı
A.7.4 Fiziksel güvenlik izlemeGüvenli Alanlarda Çalışma Prosedürleri
A.8.9 Konfigürasyon yönetimiBilgi İşlem Departmanı İçin Güvenlik Prosedürleri
A.8.10 Bilgi silmeBertaraf ve İmha Politikası
A.8.11 Veri maskelemeGüvenli Geliştirme Politikası
A.8.12 Veri sızıntısı önlemeBilgi İşlem Departmanı İçin Güvenlik Prosedürleri
A.8.16 İzleme faaliyetleriBilgi İşlem Departmanı İçin Güvenlik Prosedürleri
A.8.23 Web filtrelemeBilgi İşlem Departmanı İçin Güvenlik Prosedürleri
A.8.28 Güvenli kodlamaGüvenli Geliştirme Politikası

 

Tabloda belirttiğimiz gibi önceden hazırladığımız belgelerin içerisine yeni gelen kontrolleri eklememiz yeterlidir.

 

Sizin için ISO 27001:2022 versiyonu ile zorunlu olan belgeleri listeledik ve eski sürümü ile karşılaştırdık. CertBy ve ekibi ISO 27001:2022 için gerekli olan tüm hazırlıklarını tamamladı. Size ve kurumunuza en iyi hizmetleri ve kaliteyi verebilmek için en kısa sürede görüşmek üzere.