ISO 27001, bilgi güvenliği yönetim sistemleri için uluslararası bir standarttır. ISO 27001:2022, en güncel versiyonudur ve bilgi güvenliği yönetim sisteminin kurulumunu, uygulamasını, sürdürülmesini ve sürekli olarak iyileştirilmesini sağlar. Standardın temel maddeleri şu şekildedir:
1. Kapsam (Scope)
Bu bölüm, ISO 27001 standardının kapsamını belirler ve hangi organizasyonlar ve alanlar için geçerli olduğunu açıklar.
2. Normatif Referanslar (Normative References)
Standartta belirtilen diğer belgeler ve referans standartlar hakkında bilgi verir. ISO 27001’in gereklilikleri, bu referanslara dayanır.
3. Terimler ve Tanımlar (Terms and Definitions)
Standarda özgü terimler ve tanımların açıklandığı bölümdür.
4. Kontekst (Context of the Organization)
- 4.1. Organizasyonun ve Bağlamının Anlaşılması: Organizasyonun iç ve dış çevresi, ihtiyaçları ve beklentilerinin belirlenmesi.
- 4.2. İlgili Tarafların İhtiyaç ve Beklentilerinin Anlaşılması: Bilgi güvenliğiyle ilgili tarafların ihtiyaçları ve beklentileri.
- 4.3. Bilgi Güvenliği Yönetim Sisteminin Kapsamı: Bilgi güvenliği yönetim sisteminin sınırları ve kapsamı.
- 4.4. Bilgi Güvenliği Yönetim Sisteminin Kurulması ve Sürdürülmesi: Bilgi güvenliği yönetim sisteminin oluşturulması ve devam ettirilmesi.
5. Liderlik (Leadership)
- 5.1. Liderlik ve Taahhüt: Üst yönetimin bilgi güvenliği yönetim sistemine liderlik etmesi ve taahhüt göstermesi.
- 5.2. Bilgi Güvenliği Politikası: Bilgi güvenliği ile ilgili organizasyon politikalarının oluşturulması.
- 5.3. Kurumsal Roller, Sorumluluklar ve Yetkiler: Bilgi güvenliği yönetim sisteminin organizasyondaki rolleri, sorumlulukları ve yetkileri.
6. Planlama (Planning)
- 6.1. Riskler ve Fırsatlar ile İlgili Eylemler: Risklerin ve fırsatların belirlenmesi ve bunlara yönelik eylemler.
- 6.2. Bilgi Güvenliği Hedefleri ve Bunlara Ulaşma: Bilgi güvenliği hedeflerinin belirlenmesi ve bu hedeflere ulaşmak için gereken planların yapılması.
7. Destek (Support)
- 7.1. Kaynaklar: Bilgi güvenliği yönetim sistemi için gerekli kaynakların sağlanması.
- 7.2. Yeterlilik: Çalışanların yeterliliklerinin sağlanması ve geliştirilmesi.
- 7.3. Bilgi ve İletişim: Bilgi güvenliği yönetim sisteminin etkin bir şekilde iletişim ve bilgi akışı.
- 7.4. Dokümantasyon Gereklilikleri: Dokümantasyonun kontrolü ve yönetimi.
8. Çalışma (Operation)
- 8.1. Operasyonel Planlama ve Kontrol: Bilgi güvenliği ile ilgili süreçlerin planlanması ve kontrol edilmesi.
- 8.2. Risk ve Fırsatların Yönetimi: Risklerin ve fırsatların etkin bir şekilde yönetilmesi.
9. Performans Değerlendirmesi (Performance Evaluation)
- 9.1. İzleme, Ölçme, Analiz ve Değerlendirme: Bilgi güvenliği yönetim sisteminin performansının izlenmesi ve değerlendirilmesi.
- 9.2. İç Denetim: Bilgi güvenliği yönetim sisteminin iç denetimlerinin yapılması.
- 9.3. Yönetim Gözden Geçirmesi: Üst yönetimin bilgi güvenliği yönetim sisteminin gözden geçirilmesi.
10. İyileştirme (Improvement)
- 10.1. Genel: Bilgi güvenliği yönetim sisteminin sürekli iyileştirilmesi için genel gereklilikler.
- 10.2. Olası Durumların Yönetimi: Bilgi güvenliği ihlallerinin ve diğer olası durumların yönetimi.
ISO 27001, bilgi güvenliğini yönetmek için kapsamlı bir çerçeve sunar ve organizasyonların bilgi güvenliği risklerini sistematik bir şekilde ele almalarına yardımcı olur.