ISO 27001:2022 Kontrolü A.5.14 – Bilgi Aktarımı

Temeller

ISO 27001 kontrolü A.5.14, şirketlerin, kuruluş içinde veya kuruluş ile üçüncü taraflar arasında paylaşılan bilgilerin korunmasını sağlamak amacıyla bilgi aktarımı ile ilgili kuralları, prosedürleri ve anlaşmaları tanımlamalarını gerektirir. Bu kontrol, bilgilerin aktarımı sırasında gizliliğin, bütünlüğün ve erişilebilirliğin korunmasını sağlamak için önemlidir.

Bilgi aktarımı, şirketler arasında, tedarikçilerle veya iş ortaklarıyla, hatta müşterilerle yapılan bilgi paylaşımlarını içerir. Bu bilgi paylaşımları doğru güvenlik önlemleri alınarak yapılmalı ve olası veri sızıntılarına, kayıplarına veya değişikliklerine karşı korunmalıdır. Aksi takdirde, bilgilere yetkisiz erişim riski artar.

Belgeleme

ISO 27001 kontrolü A.5.14, bilgi aktarımıyla ilgili kuralların ve prosedürlerin belgelendirilmesi için aşağıdaki belgeler kullanılabilir:

• BT Departmanı için Güvenlik Prosedürleri: Küçük ölçekli şirketler için, bilgi aktarım süreçlerinin güvenliği ile ilgili prosedürlerin yazılması önerilir.

• Bilgi Transfer Politikası: Orta ve büyük ölçekli şirketler için, bilgi aktarım süreçlerini tanımlayan resmi bir politika yazılması önerilir. Bu politika, organizasyondaki tüm bilgi transferlerini düzenler ve güvenliğini sağlar.

Bu politikalar zorunlu değildir ancak orta ve büyük ölçekli şirketler için önerilir.

Uygulama

A.5.14 Bilgi Aktarımı kontrolüne uymak için aşağıdaki adımlar uygulanabilir:

• Teknoloji:

  • Bilgi aktarımı için gereken teknoloji, genellikle şirketlerde zaten mevcuttur.

  • Şirketler, verileri aktarmadan önce kriptografi kullanarak bilgilerin şifrelenmesini sağlayabilir. Bu, bilginin yalnızca yetkili alıcı tarafından okunabilir olmasını temin eder.

  • Ağ cihazları (örneğin, yönlendiriciler, güvenlik duvarları) doğru yapılandırılarak, mesajların doğru kişilere yönlendirilmesi sağlanabilir.

  • Bilgilerin güvenli bir şekilde iletildiğini kontrol etmek için çeşitli ağ güvenlik önlemleri de kullanılabilir.

• Organizasyon/İşlemler:

  • Bilgi aktarımı sırasında izlenecek kurallar ve adımlar tanımlanmalıdır. Bu kurallar, yalnızca bilginin doğruluğunu ve güvenliğini değil, aynı zamanda doğru kişilere aktarılmasını da sağlamalıdır.

  • Gerektiğinde, üçüncü taraflarla yapılacak bilgi aktarımı için resmi anlaşmalar yapılmalıdır. Bu anlaşmalar, tarafların bilgi güvenliğini nasıl sağlayacaklarını belirlemelidir.

  • Bilgi aktarım süreçleri, bir Bilgi Aktarım Politikası veya BT Departmanı Güvenlik Prosedürleri aracılığıyla belgelendirilebilir.

• İnsanlar:

  • Çalışanlara, şirket içindeki ve dışındaki paylaşılan bilgilerin neden korunması gerektiği konusunda eğitim verin.

  • Bilgi paylaşımı sırasında, bilgilerin nasıl korunacağı ve doğru alıcıya nasıl iletileceği konusunda çalışanlar bilinçlendirilmelidir.

  • Eğitim programları, bilgilerin doğru alıcıya iletilip iletilmediğini nasıl doğrulayacaklarını içermelidir.

Denetim Kanıtı

Sertifika denetimi sırasında denetçiler, A.5.14 Bilgi Aktarımı kontrolüne ilişkin aşağıdaki kanıtları arayabilirler:

• Bilgi Aktarımı ile İlgili Prosedürler ve Kurallar:

  • Bilgi aktarımı sırasında korunması gereken bilgiler için prosedürler ve kurallar tanımlandı mı?

  • Bilgi aktarımına ilişkin güvenlik önlemleri ve kurallar belgelenmiş mi?

• Anlaşmalar ve Protokoller:

  • Üçüncü taraflarla yapılan bilgi aktarımına dair anlaşmalar var mı?

  • Bu anlaşmalar, güvenlik standartlarını belirtiyor ve verilerin doğru bir şekilde aktarılmasını sağlıyor mu?

Bu kanıtların varlığı, denetçinin şirketin bilgi aktarımı süreçlerini güvenli bir şekilde uygulayıp uygulamadığını değerlendirmesine yardımcı olacaktır.

ISO 27001 A.5.14 kontrolü, şirketlerin bilgi aktarımını güvenli hale getirmek için kritik bir adımdır. Bu kontrol, bilgi paylaşımı sırasında veri sızıntılarını ve yetkisiz erişimi engellemeyi amaçlar. Kuralları, prosedürleri ve anlaşmaları belirlemek, bilgi aktarım süreçlerini daha güvenli hale getirebilir ve şirketin genel bilgi güvenliğini artırabilir.

ISO 27001 BGYS Nedir?