“Kontrolsüz bir sistem, kapısı açık bir kasa gibidir.”

Bu Yazıda Neyi Konuşacağız?

ISO 27001’in Ek A’sı, bilgi güvenliği risklerini yönetmek için uygulanabilecek kontrollerin listesini içerir. Toplam 93 kontrol vardır ve her biri, riskin kaynağına uygun bir önlem önerir. Ancak hepsi her kurum için gerekli değildir. Bu kontroller, risk analizine göre seçilir ve hayata geçirilir.

Ek A'nın Amaçladığı Nedir?

- Kurumun güvenlik açıklarını sistematik şekilde yönetmek

- Risklere karşı güçlü, belgelenmiş önlemler almak

- Sadece BT değil, insan ve süreç odaklı riskleri de kapsamak

2022 Güncellemesiyle Gelen Yapı:

ISO 27002:2022 ile uyumlu hale gelen kontrol yapısı, 14 ana kategori yerine artık 4 tema altında toplanıyor. Bu sayede daha sade, uygulanabilir ve esnek bir yapı sağlanmış durumda.

1. Organizasyonel Kontroller (A.5)

Politikalar, görev tanımları, mobil çalışma, tedarikçi yönetimi gibi yönetsel tedbirler.

2. İnsan Kaynaklarıyla İlgili Kontroller (A.6)

Çalışanlar işe başlamadan önce, çalışırken ve ayrılırken alınacak güvenlik önlemleri.

3. Fiziksel Kontroller (A.7)

Fiziksel erişim, ekipman güvenliği, çevresel tehditlere karşı koruma.

4. Teknolojik Kontroller (A.8)

BT sistemleri, şifreleme, erişim yönetimi, log kayıtları, antivirüs ve ağ güvenliği gibi teknik kontroller.

Tavsiye:

Bu kontroller birer 'to do list' değil. Her biri bir güvenlik problemi karşısında geliştirilen çözümler gibi düşünülmeli. Kuruma özel risk analizi yapılmadan kontrol seçmek, reçetesiz ilaç kullanmak gibidir.

Son Söz:

Ek A, ISO 27001’in kas gücüdür. Sistemi güçlendiren bu kontrolleri sıradaki yazılarda kategori kategori ele alacağız. İlk durağımız: Organizasyonel Kontroller. Hazırsan başlayalım.