ISO 27001:2022 Ek A Rehberi (Kontrollerin Mantığı, Yapısı ve Listesi)
Ek A’nın Amacı ve Mantığı
ISO 27001 standardı, farklı sektörlerdeki ve büyüklükteki kuruluşlar için esneklik sağlar. Çünkü her kuruluşun risk profili ve güvenlik ihtiyaçları farklıdır.
Bu yüzden ISO 27001, bir şirketin kendi ihtiyaçlarına göre seçebileceği 93 kontrol sunar.
Bir şirket, hangi kontrolleri uygulayacağını risk değerlendirmesi yaparak ve ilgili tarafların beklentilerini dikkate alarak belirler.
Seçilen kontroller daha sonra Uygulanabilirlik Beyanı (Statement of Applicability – SoA) belgesinde listelenir.
Daha fazla bilgi için → ISO 27001 Risk Değerlendirmesi, Tedavisi ve Yönetimi Rehberi incelenebilir.
Ek A Yapısı ve Kontrollerin Listesi
ISO 27001:2022’deki kontroller 4 ana bölüm altında toplanmıştır:
| Bölüm | Açıklama | Kontrol Sayısı |
|---|---|---|
| A.5 | Kurumsal kontroller | 37 |
| A.6 | İnsan kaynakları kontrolleri | 8 |
| A.7 | Fiziksel kontroller | 14 |
| A.8 | Teknolojik kontroller | 34 |
| Toplam | 93 |
A.5 – Kurumsal kontroller — bu bölüm, esas olarak bilgi güvenliği yönetimiyle ilgili olan 37 kontrolü açıklamaktadır:
-
Kontrol 5.10 – Bilginin ve diğer ilişkili varlıkların kabul edilebilir kullanımı
-
Kontrol 5.20 – Tedarikçi sözleşmeleri kapsamında bilgi güvenliğinin ele alınması
-
Kontrol 5.21 – BT tedarik zincirinde bilgi güvenliğinin yönetimi
-
Kontrol 5.22 – Tedarikçi hizmetinin izlenmesi, gözden geçirilmesi ve değişim yönetimi
-
Kontrol 5.23 – Bulut hizmetlerinin kullanımı için bilgi güvenliği
-
Kontrol 5.24 – Bilgi güvenliği olay yönetimi planlama ve hazırlığı
-
Kontrol 5.25 – Bilgi güvenliği olaylarının değerlendirilmesi ve karar verilmesi
-
Kontrol 5.26 – Bilgi güvenliği olaylarına yanıt
-
Kontrol 5.27 – Bilgi güvenliği olaylarından ders çıkarma
-
Kontrol 5.28 – Kanıtların toplanması
-
Kontrol 5.29 – Kesinti sırasında bilgi güvenliği
-
Kontrol 5.30 – İş sürekliliği için BT hazırlığı
-
Kontrol 5.31 – Yasal, kanuni, düzenleyici ve sözleşmesel gereklilikler
-
Kontrol 5.32 – Fikri mülkiyet hakları
-
Kontrol 5.33 – Kayıtların korunması
-
Kontrol 5.34 – Kişisel Bilgilerin gizliliği ve korunması
-
Kontrol 5.35 – Bilgi güvenliğinin bağımsız incelemesi
-
Kontrol 5.36 – Bilgi güvenliği politikalarına, kurallarına ve standartlarına uyum
-
Kontrol 5.37 – Belgelenmiş işletim prosedürleri
A.6 – İnsan kaynakları kontrolleri — bu bölüm, insan kaynaklarının güvenli yönetimiyle ilgili sekiz kontrolü açıklamaktadır:
-
Kontrol 6.1 – Tarama
-
Kontrol 6.2 – İstihdam şartları ve koşulları
-
Kontrol 6.3 – Bilgi güvenliği farkındalığı, eğitimi ve öğretimi
-
Kontrol 6.4 – Disiplin süreci
-
Kontrol 6.5 – İşten ayrılma veya iş değişikliğinden sonraki sorumluluklar
-
Kontrol 6.6 – Gizlilik veya ifşa etmeme anlaşmaları
-
Kontrol 6.7 – Uzaktan çalışma
-
Kontrol 6.8 – Bilgi güvenliği olay raporlaması
A.7 – Fiziksel kontroller — bu bölüm, bilgilerin güvenliğini etkileyebilecek fiziksel ortamın korunmasıyla ilgili 14 kontrolü açıklamaktadır:
-
Kontrol 7.1 – Fiziksel güvenlik çevreleri
-
Kontrol 7.2 – Fiziksel giriş
-
Kontrol 7.3 – Ofislerin, odaların ve tesislerin güvenliğinin sağlanması
-
Kontrol 7.4 – Fiziksel güvenlik izleme
-
Kontrol 7.5 – Fiziksel ve çevresel tehditlere karşı koruma
-
Kontrol 7.6 – Güvenli alanlarda çalışma
-
Kontrol 7.7 – Masayı temizleyin ve ekranı temizleyin
-
Kontrol 7.8 – Ekipman yerleştirme ve koruma
-
Kontrol 7.9 – Tesis dışındaki varlıkların güvenliği
-
Kontrol 7.10 – Depolama ortamı
-
Kontrol 7.11 – Yardımcı programları destekleme
-
Kontrol 7.12 – Kablolama güvenliği
-
Kontrol 7.13 – Ekipman bakımı
-
Kontrol 7.14 – Ekipmanın güvenli bir şekilde bertaraf edilmesi veya yeniden kullanılması
A.8 – Teknolojik kontroller — bu bölüm, esas olarak BT güvenliğiyle ilgili olan 34 kontrolü açıklamaktadır:
-
Kontrol 8.1 – Kullanıcı uç nokta aygıtları
-
Kontrol 8.2 – Ayrıcalıklı erişim hakları
-
Kontrol 8.3 – Bilgi erişim kısıtlaması
-
Kontrol 8.4 – Kaynak koduna erişim
-
Kontrol 8.5 – Güvenli kimlik doğrulama
-
Kontrol 8.6 – Kapasite yönetimi
-
Kontrol 8.7 – Kötü amaçlı yazılımlara karşı koruma
-
Kontrol 8.8 – Teknik güvenlik açıklarının yönetimi
-
Kontrol 8.9 – Yapılandırma yönetimi
-
Kontrol 8.10 – Bilgi silme
-
Kontrol 8.11 – Veri maskeleme
-
Kontrol 8.12 – Veri sızıntısının önlenmesi
-
Kontrol 8.13 – Bilgi yedekleme
-
Kontrol 8.14 – Bilgi işleme tesislerinin yedekliliği
-
Kontrol 8.15 – Günlük Kaydı
-
Kontrol 8.16 – İzleme faaliyetleri
-
Kontrol 8.17 – Saat senkronizasyonu
-
Kontrol 8.18 – Ayrıcalıklı yardımcı programların kullanımı
-
Kontrol 8.19 – İşletim sistemlerine yazılım kurulumu
-
Kontrol 8.20 – Ağ güvenliği
-
Kontrol 8.21 – Ağ hizmetlerinin güvenliği
-
Kontrol 8.22 – Ağların ayrılması
-
Kontrol 8.23 – Web filtreleme
-
Kontrol 8.24 – Kriptografinin kullanımı
-
Kontrol 8.25 – Güvenli geliştirme yaşam döngüsü
-
Kontrol 8.26 – Uygulama güvenlik gereksinimleri
-
Kontrol 8.27 – Güvenli sistem mimarisi ve mühendislik prensipleri
-
Kontrol 8.28 – Güvenli kodlama
-
Kontrol 8.29 – Geliştirme ve kabul aşamasındaki güvenlik testleri
-
Kontrol 8.30 – Dış kaynaklı geliştirme
-
Kontrol 8.31 – Geliştirme, test ve üretim ortamlarının ayrılması
-
Kontrol 8.32 – Değişim yönetimi
-
Kontrol 8.33 – Test bilgisi
-
Kontrol 8.34 – Denetim testleri sırasında bilgi sistemlerinin korunması
Ek Bilgiler
-
Ek A, doğrudan “uygulanması gereken kontroller” listesi değildir. Uygunluk için her kontrolün risk bazlı olarak değerlendirilmesi gerekir.
-
Uygulanabilirlik Beyanı (SoA) belgesi, hangi kontrollerin seçildiğini ve neden seçildiğini (veya seçilmediğini) açıkça belgelendirmek için zorunludur.
-
ISO 27001:2022 ile birlikte bazı kontroller birleştirildi, bazı yeni kontroller eklendi (örneğin, Tehdit İstihbaratı, Bulut Hizmetlerinin Güvenliği gibi).
