ISO/IEC Bilgi Güvenliği, Siber Güvenlik ve Gizliliğin Korunması Standartları 
Özet Bilgilendirme 
Bölüm-1

ISO/IEC 27001:2022
Bilgi Güvenliği Yönetim Sistemleri

Celal Ünalp 

Genel Bakış

Bu bilgi notu, bir bilgi güvenliği yönetim sisteminin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesine yönelik gereklilikleri sağlamak amacıyla hazırlanmıştır. Bilgi güvenliği yönetim sisteminin benimsenmesi bir kuruluş için stratejik bir karardır. Bir kuruluşun bilgi güvenliği yönetim sisteminin kurulması ve uygulanması, kuruluşun ihtiyaçlarından ve hedeflerinden, güvenlik gereksinimlerinden, kullanılan organizasyonel süreçlerden ve organizasyonun büyüklüğünden ve yapısından etkilenir. Tüm bu etkileyici faktörlerin zaman içinde organik olarak değişmesi beklenmektedir.

Bilgi güvenliği yönetim sistemi (BGYS), bir risk yönetimi süreci uygulayarak bilginin gizliliğini, bütünlüğünü ve kullanılabilirliğini korur ve ilgili taraflara risklerin yeterince yönetildiğine dair güven verir.

BGYS’nin kuruluşun süreçlerinin ve genel yönetim yapısının bir parçası olması ve bunlarla entegre olması; süreçlerin, bilgi sistemlerinin ve kontrollerin tasarımında bilgi güvenliğinin dikkate alınması önemlidir. BGYS uygulamasının kurumun güncel ve gelecek ihtiyaçlarına uygun olarak ölçeklendirilmesi beklenmektedir.

Bu bilgi notu, kuruluşun kendi bilgi güvenliği gereksinimlerini karşılama yeteneğini değerlendirmek için iç ve dış taraflarca kullanılabilir.

Annex SL (SL Ekleri) Hakkında

ISO uzun yıllardır kalite ve çevreden, bilgi güvenliği, iş sürekliliği yönetimi ve kayıt yönetimine kadar çeşitli konularda birçok yönetim sistemi standardı oluşturmuştur. Paylaşımların ortak unsurları olmasına rağmen, ISO yönetim sistemi standartları çok farklı şekil ve yapılarda yayınlanmıştır. Bu ortak yapı eksikliği, uygulama aşamasında bazı karışıklıklar ve zorluklara sebep olmaktadır. Bu karışıklıklar ve zorluklar ISO standartlarında Annex SL yapısına geçilmesine yol açmıştır. Başlangıçta, ISO 9001 ve ISO 14001 arasındaki uyumluluğu koordine etmek için kurulan Annex SL, tüm ISO yönetim sistemi standartları için uygulanabilir bir taslak haline getirilmiştir.

Farklı yönetim sistemlerinin bütünleşmesini sağlamak ve çoklu yönetim sistemlerinin kurulmasını kolaylaştırıp, cazip hale getirmek için oluşturulan bir taslak yapı olan Annex SL, birden fazla yönetim sistemi arasında yeni kavramları aşılamak için de bir fırsat oluşturmaktadır.
 

Annex SL standartların uygulanabilir ve ortak terimlerle ortak yapıda yayınlanmaları, anlaşılabilir olmaları için sahip olmaları gereken özellikleri açıklamış ve 4 tane ek ile de yardımcı kontroller yayınlamıştır.

Bu bilgi notu, ISO/IEC Direktifleri EK SL, Kısım 1, Birleştirilmiş ISO Eki'nde tanımlanan üst düzey yapıyı, aynı alt madde başlıklarını, aynı metni, ortak terimleri ve temel tanımları uygular ve bu nedenle Ek SL'yi benimsemiş olan diğer yönetim sistemi standartlarıyla uyumluluğu korur.

Ek SL'de tanımlanan bu ortak yaklaşım, iki veya daha fazla yönetim sistemi standardının gerekliliklerini karşılayan tek bir yönetim sistemini çalıştırmayı seçen kuruluşlar için faydalı olacaktır.

ISO 27001:2022 BGYS Gereksinimleri

Kapsam ve Tanımlar

Bu bilgi notu, kuruluş bağlamında bir bilgi BGYS kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesine yönelik gereksinimleri belirtir ve aynı zamanda kuruluşun ihtiyaçlarına göre uyarlanmış bilgi güvenliği risklerinin değerlendirilmesi ve azaltılmasına yönelik gereksinimleri de içerir. Bu bilgi notunda belirtilen gereklilikler geneldir ve türü, büyüklüğü veya niteliği ne olursa olsun tüm kuruluşlara uygulanabilecek şekilde tasarlanmıştır.

ISO/IEC 27000 İlgili terimler ve tanımlarla birlikte bilgi güvenliği yönetim sistemi standartlar ailesine (ISO/IEC 27003, ISO/IEC 27004 ve ISO/IEC 27005 dahil) atıfta bulunarak, bilgi güvenliği yönetim sistemlerine genel bakışı ve kelime dağarcığını açıklar.

Bu bilgi notunun amaçları doğrultusunda, ISO/IEC 27000'de verilen aşağıdaki terimler ve tanımlar geçerlidir :