| A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1 | 27001:2022 | Konu | Uygulanma Durumu | Kontrol | Uygulanma veya hariç tutulma sebebi | Yapılan Kontrol Kanıtları | ISO 27001 İşletmeKontrol Açıklaması | Uygulama Artefaktı | ||||||||||||||||||
2 | 5 | Kurumsal Kontroller | ||||||||||||||||||||||||
3 | 5.1 | Bilgi güvenliği politikaları | Bilgi güvenliği politikası ve konuya özgü politikalar tanımlanmalı, yönetim tarafından onaylanmalı, yayımlanmalı, ilgili personele ve ilgili taraflara iletilmeli ve onlar tarafından onaylanmalı ve planlı aralıklarla ve önemli değişiklikler olması durumunda gözden geçirilmelidir. | Yönetim yönlendirmesinin sürekli uygunluğunu, yeterliliğini, etkinliğini ve bilgi güvenliği desteğini ticari, yasal, meşru, düzenleyici ve sözleşme gerekliliklerine uygun olarak sağlamak. | ||||||||||||||||||||||
4 | 5.2 | Bilgi güvenliği rolleri ve sorumlulukları | Bilgi güvenliği rolleri ve sorumlulukları, kuruluşun ihtiyaçlarına göre tanımlanmalı ve dağıtılmalıdır. | Kurum içinde bilgi güvenliğinin uygulanması, işletilmesi ve yönetimi için tanımlanmış, onaylanmış ve anlaşılmış bir yapı oluşturmak. | ||||||||||||||||||||||
5 | 5.3 | Görevler ayrılığı | Çakışan görevler ve çatışan sorumluluk alanları birbirinden ayrılmalıdır. | Dolandırıcılık, hata ve bilgi güvenliği kontrollerinin atlanması riskini azaltmak. | ||||||||||||||||||||||
6 | 5.4 | Yönetim sorumlulukları | Yönetim, tüm personelinin bilgi güvenliğini kuruluşun oluşturulmuş bilgi güvenliği politikasına, konuya özgü politika ve prosedürlerine uygun olarak uygulamasını zorunlu tutmalıdır. | Yönetimin bilgi güvenliğindeki rolünü anlamasını sağlamak ve tüm personelin bilgi güvenliği sorumluluklarını bilmesini ve yerine getirmesini sağlamaya yönelik eylemlerde bulunmak. | ||||||||||||||||||||||
7 | 5.5 | Yetkililerle iletişim | Kuruluş, ilgili makamlarla iletişim kurmalı ve sürdürmelidir. | Kurum ile ilgili yasal, düzenleyici ve denetleyici otoriteler arasında bilgi güvenliğine ilişkin olarak uygun bilgi akışının gerçekleşmesini sağlamaktır. | ||||||||||||||||||||||
8 | 5.6 | Özel ilgi gruplarıyla iletişim | Kuruluş, özel ilgi grupları veya diğer uzman güvenlik forumları ve profesyonel derneklerle iletişim kurmalı ve sürdürmelidir. | Bilgi güvenliği ile ilgili olarak uygun bilgi akışının gerçekleşmesini sağlamak. | ||||||||||||||||||||||
9 | 5.7 | Tehdit istihbaratı | Bilgi güvenliği tehditlerine ilişkin bilgiler, tehdit istihbaratı oluşturmak için toplanmalı ve analiz edilmelidir. | Uygun azaltma önlemlerinin alınabilmesi için kuruluşun tehdit ortamı hakkında farkındalık sağlamak. | ||||||||||||||||||||||
10 | 5.8 | Proje yönetiminde bilgi güvenliği | Bilgi güvenliği proje yönetimine entegre edilmelidir. | Projeler ve çıktılarla ilgili bilgi güvenliği risklerinin, proje yaşam döngüsü boyunca proje yönetiminde etkin bir şekilde ele alınmasını sağlamak. | ||||||||||||||||||||||
11 | 5.9 | Bilgi envanteri ve diğer ilgili varlıklar | Sahipler de dahil olmak üzere bilgi ve diğer ilgili varlıkların bir envanteri geliştirilmeli ve sürdürülmelidir. | Bilgi güvenliğini korumak ve uygun sahiplik ataması yapmak için kuruluşun bilgilerini ve diğer ilişkili varlıkları belirlemek. | ||||||||||||||||||||||
12 | 5.10 | Bilgilerin ve diğer ilişkili varlıkların kabul edilebilir kullanımı | Bilgilerin ve diğer ilgili varlıkların işlenmesine yönelik kabul edilebilir kullanım kuralları ve prosedürler tanımlanmalı, dokümante edilmeli ve uygulanmalıdır. | Bilgilerin ve diğer ilişkili varlıkların uygun şekilde korunmasını, kullanılmasını ve işlenmesini sağlamak. | ||||||||||||||||||||||
13 | 5.11 | Varlıkların iadesi | Personel ve diğer ilgili taraflar, istihdamlarının, sözleşmelerinin veya anlaşmalarının değiştirilmesi veya feshedilmesi üzerine ellerinde bulunan tüm kurumsal varlıkları uygun şekilde iade etmelidir. | İstihdamı, sözleşmeyi veya anlaşmayı değiştirme veya feshetme sürecinin bir parçası olarak kuruluşun varlıklarını korumak. | ||||||||||||||||||||||
14 | 5.12 | Bilgilerin sınıflandırılması | Bilgiler; gizlilik, bütünlük, kullanılabilirlik ve bağıntılı ilgili taraf gerekliliklerine dayalı olarak kuruluşun bilgi güvenliği ihtiyaçlarına göre sınıflandırılmalıdır. | Kuruluş için önemine uygun olarak bilgilerin korunma ihtiyaçlarının tanımlanmasını ve anlaşılmasını sağlamak. | ||||||||||||||||||||||
15 | 5.13 | Bilgilerin etiketlenmesi | Bilgi etiketleme için uygun bir dizi prosedür geliştirilmeli ve kuruluş tarafından benimsenen bilgi sınıflandırma şemasına göre uygulanmalıdır. | Bilgi sınıflandırmasının iletişimini kolaylaştırmak ve bilgi işleme ve yönetiminin otomasyonunu desteklemek. | ||||||||||||||||||||||
16 | 5.14 | Bilgi aktarımı | Kuruluş içindeki ve kuruluş ile diğer taraflar arasındaki her tip aktarım tesisi için bilgi aktarım kuralları, prosedürleri veya anlaşmaları yürürlükte olmalıdır. | Bir kuruluş içinde ve herhangi bir harici ilgili tarafla aktarılan bilgilerin güvenliğini sağlamak. | ||||||||||||||||||||||
17 | 5.15 | Erişim kontrolü | Bilgiye ve diğer ilgili varlıklara fiziksel ve mantıksal erişimi kontrol etmeye yönelik kurallar, iş ve bilgi güvenliği gereksinimlerine dayalı olarak oluşturulmalı ve uygulanmalıdır. | Bilgilere ve diğer ilgili varlıklara yetkili erişimi sağlamak ve yetkisiz erişimi önlemek. | ||||||||||||||||||||||
18 | 5.16 | Kimlik yönetimi | Kimliklerin tüm yaşam döngüsü yönetilmelidir. | Kuruluşun bilgilerine ve diğer ilgili varlıklara erişen bireylerin ve sistemlerin benzersiz bir şekilde tanımlanmasına izin vermek ve erişim haklarının uygun şekilde atanmasını sağlamak. | ||||||||||||||||||||||
19 | 5.17 | Kimlik doğrulama (kanıtlama) bilgileri | Kimlik doğrulama bilgilerinin tahsisi ve yönetimi, personele kimlik doğrulama bilgilerinin uygun şekilde kullanılması konusunda tavsiye verilmesi de dahil olmak üzere bir yönetim süreci tarafından kontrol edilmelidir. | Öğenin (antitenin) kimlik doğrulamasını uygun bir şekilde sağlamak ve kimlik doğrulama süreçlerindeki başarısızlıkları önlemek. | ||||||||||||||||||||||
20 | 5.18 | Erişim hakları | Bilgiye ve diğer ilişkili varlıklara erişim hakları, kuruluşun erişim kontrolüne ilişkin konuya özgü politikasına ve kurallarına uygun olarak sağlanmalı, gözden geçirilmeli, değiştirilmeli ve kaldırılmalıdır. | Bilgilere ve diğer ilgili varlıklara erişimi, iş gerekliliklerine göre tanımlanmasını ve yetkilendirilmesini sağlamak. | ||||||||||||||||||||||
21 | 5.19 | Tedarikçi ilişkilerinde bilgi güvenliği | Tedarikçinin ürün veya hizmetlerinin kullanımıyla ilgili bilgi güvenliği risklerini yönetmek için süreçler ve prosedürler tanımlanmalı ve uygulanmalıdır. | Tedarikçi ilişkilerinde üzerinde anlaşmaya varılmış bir düzeyde bilgi güvenliği sağlamak. | ||||||||||||||||||||||
22 | 5.20 | Tedarikçi anlaşmalarında bilgi güvenliğinin ele alınması | İlgili bilgi güvenliği gereklilikleri, tedarikçi ilişkisinin tipine dayandırılarak her tedarikçi ile oluşturulmalı ve üzerinde anlaşmaya varılmalıdır. | Tedarikçi ilişkilerinde üzerinde anlaşmaya varılmış bir düzeyde bilgi güvenliği sağlamak. | ||||||||||||||||||||||
23 | 5.21 | BİT tedarik zincirinde bilgi güvenliğini yönetme | BİT ürünleri ve hizmetleri tedarik zinciri ile ilişkili bilgi güvenliği risklerini yönetmek için süreçler ve prosedürler tanımlanmalı ve uygulanmalıdır. | Tedarikçi ilişkilerinde üzerinde anlaşmaya varılmış bir düzeyde bilgi güvenliği sağlamak. | ||||||||||||||||||||||
24 | 5.22 | Tedarikçi hizmetlerinin izlenmesi, gözden geçirilmesi ve değişiklik yönetimi | Kuruluş, tedarikçi bilgi güvenliği uygulamaları ve hizmet sunumundaki değişiklikleri düzenli olarak izlemeli, gözden geçirmeli, değerlendirmeli ve yönetmelidir. | Tedarikçi anlaşmaları doğrultusunda üzerinde anlaşmaya varılmış bir bilgi güvenliği ve hizmet sunumu düzeyini sürdürmek. | ||||||||||||||||||||||
25 | 5.23 | Bulut hizmetlerinin kullanımı için bilgi güvenliği | Bulut hizmetlerinin edinilmesi, kullanılması, yönetimi ve bulut hizmetlerinden çıkış süreçleri, kuruluşun bilgi güvenliği gerekliliklerine uygun olarak oluşturulmalıdır. | Bulut hizmetlerinin kullanımı için bilgi güvenliğini belirlemek ve yönetmek. | ||||||||||||||||||||||
26 | 5.24 | Bilgi güvenliği ihlal olayı yönetimi planlaması ve hazırlığı | Kuruluş, bilgi güvenliği ihlal olayı yönetimi süreçlerini, rollerini ve sorumluluklarını tanımlayarak, oluşturarak ve ileterek bilgi güvenliği ihlal olaylarını yönetmeyi planlamalı ve hazırlamalıdır. | Bilgi güvenliği olaylarına ilişkin iletişim de dahil olmak üzere, bilgi güvenliği ihlal olaylarına hızlı, etkili, tutarlı ve düzenli müdahale sağlamak. | ||||||||||||||||||||||
27 | 5.25 | Bilgi güvenliği olaylarında değerlendirme ve karar verme | Kuruluş, bilgi güvenliği olaylarını değerlendirmeli ve bunların bilgi güvenliği ihlal olayları olarak kategorize edilip edilmeyeceğine karar vermelidir. | Bilgi güvenliği olaylarının etkin bir şekilde sınıflandırılmasını ve önceliklendirilmesini sağlamak. | ||||||||||||||||||||||
28 | 5.26 | Bilgi güvenliği ihlal olaylarına müdahale | Bilgi güvenliği ihlal olaylarına, dokümante edilmiş prosedürlere uygun olarak yanıt verilmelidir. | Bilgi güvenliği ihlal olaylarına verimli ve etkili müdahale sağlamak. | ||||||||||||||||||||||
29 | 5.27 | Bilgi güvenliği ihlal olaylarından ders çıkarma | Bilgi güvenliği ihlal olaylarından elde edilen bilgiler, bilgi güvenliği kontrollerini güçlendirmek ve iyileştirmek amacıyla kullanılmalıdır. | Gelecekteki ihlal olaylarının olasılığını veya sonuçlarını azaltmak. | ||||||||||||||||||||||
30 | 5.28 | Kanıt toplama | Kuruluş, bilgi güvenliği olaylarıyla ilgili kanıtların tanımlanması, toplanması, elde edilmesi ve korunması için prosedürler oluşturmalı ve uygulamalıdır. | Disiplin ve yasal işlemler amacıyla bilgi güvenliği ihlal olaylarına ilişkin kanıtların tutarlı ve etkili bir şekilde yönetilmesini sağlamak. | ||||||||||||||||||||||
31 | 5.29 | Kesinti sırasında bilgi güvenliği | Kuruluş, kesinti sırasında bilgi güvenliğini uygun bir seviyede nasıl sürdüreceğini planlamalıdır. | Kesinti sırasında bilgileri ve diğer ilişkili varlıkları korumak. | ||||||||||||||||||||||
32 | 5.30 | İş sürekliliği için BİT hazırlığı | BİT hazırlığı, iş sürekliliği hedefleri ve BİT sürekliliği gereklilikleri temelinde planlanmalı, uygulanmalı, sürdürülmeli ve test edilmelidir. | Kesinti sırasında kuruluşun bilgilerinin ve diğer ilgili varlıkların kullanılabilirliğini sağlamak. | ||||||||||||||||||||||
33 | 5.31 | Yasal, meşru, düzenleyici ve sözleşmeye tabi gereklilikler | Bilgi güvenliği ile ilgili yasal, meşru, düzenleyici ve sözleşmeye tabi gereklilikler ve kuruluşun bu gereklilikleri karşılama yaklaşımı belirlenmeli, dokümante edilmeli ve güncel tutulmalıdır. | Bilgi güvenliği ile ilgili yasal, meşru, düzenleyici ve sözleşmeye tabi gerekliliklere uyumu sağlamak. | ||||||||||||||||||||||
34 | 5.32 | Fikri mülkiyet hakları | Kuruluş, fikri mülkiyet haklarını korumak için uygun prosedürleri uygulamalıdır. | Fikri mülkiyet hakları ve tescilli ürünlerin kullanımı ile ilgili yasal, meşru, düzenleyici ve sözleşmeye tabi gerekliliklere uyumu sağlamak. | ||||||||||||||||||||||
35 | 5.33 | Kayıtların korunması | Kayıtlar kayıp olma, tahrif edilme, sahtesini yapma, yetkisiz erişim ve yetkisiz yayıma karşı korunmalıdır. | Kayıtların korunması ve mevcudiyeti ile ilgili yasal, meşru, düzenleyici ve sözleşme gerekliliklerinin yanı sıra topluluk veya toplumsal beklentilere uygunluğu sağlamak. | ||||||||||||||||||||||
36 | 5.34 | Kişiyi tespit bilgisinin (PII'nin) gizliliği ve korunması | Kuruluş, yürürlükteki yasalara ve düzenlemelere ve sözleşme gerekliliklerine göre gizliliğin korunmasına ve PII'nin korunmasına ilişkin gereklilikleri belirlemeli ve karşılamalıdır. | PII’nin korunmasının bilgi güvenliği yönleriyle ilgili yasal, meşru, düzenleyici ve sözleşmeye tabi gerekliliklere uyumu sağlamak. | ||||||||||||||||||||||
37 | 5.35 | Bilgi güvenliğinin bağımsız gözden geçirilmesi | İnsanlar, süreçler ve teknolojiler dahil olmak üzere Kuruluşun bilgi güvenliğini yönetme yaklaşımı ve uygulanması, planlanan aralıklarla veya önemli değişiklikler meydana geldiğinde bağımsız olarak gözden geçirilmelidir. | Kuruluşun bilgi güvenliğini yönetme yaklaşımının sürekli uygunluğunu, yeterliliğini ve etkinliğini sağlamak. | ||||||||||||||||||||||
38 | 5.36 | Bilgi güvenliği politikalarına, kurallarına ve standartlarına uygunluk | Kurumun bilgi güvenliği politikasına, konuya özgü politikalarına, kurallarına ve standartlarına uyum düzenli olarak gözden geçirilmelidir. | Bilgi güvenliğinin kuruluşun bilgi güvenliği politikası, konuya özgü politika, kural ve standartlarına uygun olarak uygulanmasını ve işletilmesini sağlamak. | ||||||||||||||||||||||
39 | 5.37 | Dokümante edilmiş işletim prosedürleri | Bilgi işleme imkanları için işletim prosedürleri doküman haline getirilmeli ve bunlara ihtiyaç duyan personele sağlanmalıdır. | Bilgi işlem tesislerinin doğru ve güvenli çalışmasını sağlamak. | ||||||||||||||||||||||
40 | 6.00 | Kişi Kontrolleri | ||||||||||||||||||||||||
41 | 6.1 | Tarama | Tüm personel adaylarına dair geçmiş doğrulama kontrolleri, kuruluşa katılmadan önce ve sürekli olarak yürürlükteki kanunlar, yönetmelikler ve etik değerler dikkate alınarak yapılmalı ve işin gereklilikleri, erişilecek bilgilerin sınıflandırılmasına ve algılanan risklere orantılı olmalıdır. | Tüm personelin, değerlendirildikleri roller için uygun ve seçim kiterlerine sahip olmasını ve istihdamları sırasında seçkin ve uygun kalmasını sağlamak. | ||||||||||||||||||||||
42 | 6.2 | İstihdam hüküm ve koşulları | İş akdi sözleşmelerinde, personelin ve kuruluşun bilgi güvenliğine ilişkin sorumlulukları belirtilmelidir. | Personelin, dikkate alındıkları roller için bilgi güvenliği sorumluluklarını anlamalarını sağlamak. | ||||||||||||||||||||||
43 | 6.3 | Bilgi güvenliği farkındalığı, eğitim ve öğretim | Kuruluşun personeli ve bağıntılı ilgili taraflar, iş işlevleriyle ilgili olarak, uygun bilgi güvenliği farkındalığı, eğitim ve öğretim ve kuruluşun bilgi güvenliği politikası, konuya özgü politikalar ve prosedürler hakkında düzenli güncellemeler almalıdır. | Personelin ve bağıntılı ilgili tarafların bilgi güvenliği sorumluluklarının farkında olmalarını ve bunları yerine getirmelerini sağlamak. | ||||||||||||||||||||||
44 | 6.4 | Disiplin süreci | Bilgi güvenliği politikası ihlali gerçekleştiren personele ve diğer bağıntılı ilgili taraflara karşı işlem yapılması için bir disiplin süreci resmileştirilmeli ve iletilmelidir. | Personelin ve diğer bağıntılı ilgili tarafların bilgi güvenliği politikası ihlalinin sonuçlarını anlamasını sağlamak, ihlali gerçekleştiren personel ve diğer bağıntılı ilgili tarafları caydırmak ve bunlarla uygun şekilde ilgilenmek | ||||||||||||||||||||||
45 | 6.5 | İstihdamın sonlandırılması veya değiştirilmesinden sonraki sorumluluklar | İstihdamın sona ermesinden veya değiştirilmesinden sonra geçerli olan bilgi güvenliği sorumlulukları ve görevleri tanımlanmalı, yürürlüğe konulmalı ve ilgili personele ve diğer ilgili taraflara iletilmelidir. | İstihdamı veya sözleşmeleri değiştirme veya feshetme sürecinin bir parçası olarak kuruluşun çıkarlarını korumak. | ||||||||||||||||||||||
46 | 6.6 | Gizlilik veya ifşa etmeme anlaşmaları | Kuruluşun bilgilerin korunmasına yönelik ihtiyaçlarını yansıtan gizlilik veya ifşa etmeme anlaşmaları personel ve diğer bağıntılı taraflarca tanımlanmalı, döküman haline getirilmeli, düzenli olarak gözden geçirilmeli ve imzalanmalıdır. | Personel veya harici taraflarca erişilebilen bilgilerin gizliliğini korumak. | ||||||||||||||||||||||
47 | 6.7 | Uzaktan çalışma | Personel, uzaktan çalışırken kuruluşun tesisleri dışında erişilen, işlenen veya depolanan bilgileri korumak için güvenlik önlemleri uygulanmalıdır. | Personel uzaktan çalışırken bilgi güvenliğini sağlamak. | ||||||||||||||||||||||
48 | 6.8 | Bilgi güvenliği olay raporlaması | Kuruluş, personelin gözlemlenen veya şüphelenilen bilgi güvenliği olaylarını uygun kanallar aracılığıyla zamanında raporlaması için bir mekanizma sağlamalıdır. | Personel tarafından tespit edilebilen bilgi güvenliği olaylarının zamanında, tutarlı ve etkili bir şekilde raporlanmasını desteklemek. | ||||||||||||||||||||||
49 | 7.0 | Fiziksel Kontroller | ||||||||||||||||||||||||
50 | 7.1 | Fiziksel güvenlik sınırları | Bilgi ve diğer ilişkili varlıkları içeren alanları korumak için güvenlik sınırları tanımlanmalı ve kullanılmalıdır. | Kuruluşun bilgilerine ve diğer ilişkili varlıklara yetkisiz fiziksel erişimi, hasarı ve müdahaleyi önlemek. | ||||||||||||||||||||||
51 | 7.2 | Fiziksel giriş | Güvenli alanlar, uygun giriş kontrolleri ve erişim noktaları ile korunmalıdır. | Kuruluşun bilgilerine ve diğer ilişkili varlıklara yalnızca yetkili fiziksel erişimin gerçekleşmesini sağlamak. | ||||||||||||||||||||||
52 | 7.3 | Ofislerin, odaların ve tesislerin güvenliğini sağlama | Ofisler, odalar uygulanmalıdır. | Kuruluşun bilgilerine ve ofisler, odalar ve tesislerdeki diğer ilgili varlıklara yetkisiz fiziksel erişimi, hasarı ve müdahaleyi önlemek. | ||||||||||||||||||||||
53 | 7.4 | Fiziksel güvenlik izleme | Tesisler yetkisiz fiziksel erişime karşı sürekli olarak izlenmelidir. | Yetkisiz fiziksel erişimi tespit etmek ve caydırmak. | ||||||||||||||||||||||
54 | 7.5 | Fiziksel ve çevresel tehditlere karşı koruma | Doğal afetler ve altyapıya yönelik diğer kasıtlı veya kasıtsız fiziksel tehditler gibi fiziksel ve çevresel tehditlere karşı koruma tasarımlanmalı ve uygulanmalıdır. | Fiziksel ve çevresel tehditlerden kaynaklanan olayların sonuçlarını önlemek veya azaltmak. | ||||||||||||||||||||||
55 | 7.6 | Güvenli alanlarda çalışma | Güvenli alanlarda çalışmaya yönelik güvenlik önlemleri tasarımlanmalı ve uygulanmalıdır. | Güvenli alanlardaki bilgileri ve diğer ilişkili varlıkları hasardan ve bu alanlarda çalışan personelin yetkisiz müdahalesinden korumak. | ||||||||||||||||||||||
56 | 7.7 | Temiz masa ve temiz ekran | Kağıtlar ve çıkarılabilir depolama ortamları için temiz masa kuralları ve bilgi işleme tesisleri için temiz ekran kuralları tanımlanmalı ve uygun şekilde uygulanmalıdır. | Normal çalışma saatleri içinde ve dışında masalar, ekranlar ve diğer erişilebilir konumlardaki bilgilere yetkisiz erişim, bilgi kaybı ve hasar riskini azaltmak. | ||||||||||||||||||||||
57 | 7.8 | Ekipman yerleşimi ve koruması | Ekipman güvenli bir şekilde yerleştirilmeli ve korunmalıdır. | Fiziksel ve çevresel tehditlerden ve yetkisiz erişim ve hasardan kaynaklanan riskleri azaltmak. | ||||||||||||||||||||||
58 | 7.9 | Şirket dışındaki varlıkların güvenliği | Kuruluş dışındaki varlıklar korunmalıdır. | Kuruluş dışında kullanılan cihazların kaybolmasını, hasar görmesini, çalınmasını veya ele geçirilmesini ve kuruluşun işletimlerinin kesintiye uğramasını önlemek. | ||||||||||||||||||||||
59 | 7.10 | Depolama ortamı | Depolama ortamları, kuruluşun sınıflandırma şemasına ve taşıma gerekliliklerine uygun olarak edinme, kullanma, taşıma ve yok edilme yaşam döngüleri boyunca yönetilmelidir. | Depolama ortamındaki bilgilerin yalnızca izin verilen şekilde ifşa edilmesini, değiştirilmesini, kaldırılmasını veya yok edilmesini sağlamak. | ||||||||||||||||||||||
60 | 7.11 | Destek programları | Bilgi işleme tesisleri, destekleyici altyapı hizmetlerindeki arızalardan kaynaklanan elektrik kesintilerinden ve diğer kesintilerden korunmalıdır. | Destekleyici altyapı hizmetlerinin arızalanması ve kesintiye uğraması yüzünden bilgilerin ve diğer ilgili varlıkların kaybolmasını, hasar görmesini veya ele geçirilmesini veya kuruluşun işletimlerinin kesintiye uğramasını önlemek. | ||||||||||||||||||||||
61 | 7.12 | Kablo güvenliği | Güç, veri veya destekleyici bilgi servislerini taşıyan kablolar, dinleme, girişim veya hasara karşı korunmalıdır. | Kuruluşun güç ve iletişim kablolamasından kaynaklanan nedenlerle bilgilerin ve diğer ilgili varlıkların kaybolmasını, hasar görmesini, çalınmasını veya ele geçirilmesini ve kururluşun faaliyetlerinin kesintiye uğramasını önlemek. | ||||||||||||||||||||||
62 | 7.13 | Ekipman bakımı | Bilginin kullanılabilirliğini (yararlanabilirliğini), bütünlüğünü ve gizliliğini sağlamak için ekipman bakımı doğru bir şekilde yapılmalıdır. | Bakım eksikliğinden kaynaklanan nedenlerle bilgilerin ve diğer ilgili varlıkların kaybolmasını, hasar görmesini, çalınmasını veya ele geçirilmesini ve kuruluşun işletimlerinin kesintiye uğramasını önlemek. | ||||||||||||||||||||||
63 | 7.14 | Ekipmanın güvenli bir şekilde imha edilmesi veya yeniden kullanılması | Depolama ortamı içeren ekipman öğeleri, tüm hassas verilerin ve lisanslı yazılımların yok edilmeden veya tekrar kullanılmadan önce kaldırıldığından veya güvenli bir şekilde üzerine yazıldığından emin olmak için doğrulanmalıdır. | İmha edilecek veya yeniden kullanılacak ekipmandan bilgi sızıntısını önlemek. | ||||||||||||||||||||||
64 | 8.00 | Teknolojik Kontroller | ||||||||||||||||||||||||
65 | 8.1 | Kullanıcı uç nokta cihazları | Kullanıcı uç nokta cihazlarında depolanan, bunlar tarafından işlenen veya bunlar aracılığıyla erişilen bilgiler korunmalıdır. | Kullanıcı uç nokta cihazlarının kullanılmasıyla ortaya çıkan risklere karşı bilgileri korumak. | ||||||||||||||||||||||
66 | 8.2 | Ayrıcalıklı erişim hakları | Ayrıcalıklı erişim haklarının tahsisi ve kullanımı sınırlandırılmalı ve yönetilmelidir. | Yalnızca yetkili kullanıcılara, yazılım bileşenlerine ve hizmetlere ayrıcalıklı erişim hakları sağlamak. | ||||||||||||||||||||||
67 | 8.3 | Bilgi erişim kısıtlaması | Bilgilere ve diğer ilgili varlıklara erişim, erişim kontrolü konusunda oluşturulmuş konuya özgü politikaya uygun olarak kısıtlanmalıdır. | Yalnızca yetkili erişimi sağlamak, bilgilere ve diğer ilgili varlıklara yetkisiz erişimi önlemek. | ||||||||||||||||||||||
68 | 8.4 | Kaynak koduna erişim | Kaynak koduna, geliştirme araçlarına ve yazılım kütüphanelerine okuma ve yazma erişimi uygun şekilde yönetilmelidir. | Yetkisiz işlevsellik girişini önlemek, kasıtsız veya kötü niyetli değişikliklerden kaçınmak ve değerli fikri mülkiyetin gizliliğini korumak. | ||||||||||||||||||||||
69 | 8.5 | Güvenli kimlik doğrulama (kanıtlama) | Güvenli kimlik doğrulama teknolojileri ve prosedürleri, bilgi erişim kısıtlamalarına ve erişim kontrolüne ilişkin konuya özgü politikaya dayalı olarak uygulanmalıdır. | Sistemlere, uygulamalara ve hizmetlere erişim verildiğinde bir kullanıcının veya bir öğenin kimliğinin güvenli bir şekilde doğrulanmasını sağlamak. | ||||||||||||||||||||||
70 | 8.6 | Kapasite yönetimi | Kaynakların kullanımı izlenmeli ve mevcut ve beklenen kapasite gereklilikleri doğrultusunda ayarlanmalıdır. | Bilgi işleme tesisleri, insan kaynakları, ofisler ve diğer tesislerin gerekli kapasitelerini sağlamak. | ||||||||||||||||||||||
71 | 8.7 | Kötü amaçlı yazılıma karşı koruma | Kötü amaçlı yazılıma karşı koruma uygulanmalı ve uygun kullanıcı farkındalığı ile desteklenmelidir. | Bilgilerin ve diğer ilgili varlıkların kötü amaçlı yazılımlara karşı korunmasını sağlamak. | ||||||||||||||||||||||
72 | 8.8 | Teknik güvenlik açıklarının yönetimi | Kullanımda olan bilgi sistemlerinin teknik açıklıkları hakkında bilgi edinilmeli, kuruluşun bu açıklara maruz kalma durumu değerlendirilmeli ve uygun önlemler alınmalıdır. | Teknik açıklıklardan yararlanmayı önlemek. | ||||||||||||||||||||||
73 | 8.9 | Yapılandırma yönetimi | Donanım, yazılım, hizmetler ve ağların güvenlik yapılandırmaları da dahil olmak üzere yapılandırmaları oluşturulmalı, doküman haline getirilmeli, uygulanmalı, izlenmeli ve gözden geçirilmelidir. | Donanım, yazılım, hizmetler ve ağların gerekli güvenlik ayarlarıyla doğru şekilde çalışmasını ve yapılandırmanın yetkisiz veya yanlış değişikliklerle değiştirilmemesini sağlamak. | ||||||||||||||||||||||
74 | 8.10 | Bilgi silme | Bilgi sistemlerinde, cihazlarda veya diğer herhangi bir depolama ortamında saklanan bilgiler, artık gerekli olmadığında silinmelidir. | Hassas bilgilerin gereksiz yere ifşa edilmesini önlemek ve bilgilerin silinmesi için yasal, meşru, düzenleyici ve sözleşmeye tabi gerekliliklere uymak. | ||||||||||||||||||||||
75 | 8.11 | Veri maskeleme | Veri maskeleme, ilgili mevzuat dikkate alınarak, kuruluşun konuya özgü erişim kontrolü politikası ve ilgili diğer konuya özgü politikalara ve iş gerekliliklerine uygun olarak kullanılmalıdır. | PII dahil olmak üzere hassas verilerin açığa çıkmasını sınırlamak ve yasal, meşru, düzenleyici ve sözleşmeye tabi gerekliliklere uymak. | ||||||||||||||||||||||
76 | 8.12 | Veri sızıntısı önleme | Hassas bilgileri işleyen, depolayan veya ileten sistemlere, ağlara ve diğer tüm cihazlara veri sızıntısı önleme önlemleri uygulanmalıdır. | Bilgilerin kişiler veya sistemler tarafından izinsiz olarak ifşa edilmesini ve çıkarılmasını tespit etmek ve önlemek. | ||||||||||||||||||||||
77 | 8.13 | Bilgi yedekleme | Bilgilerin, yazılımların ve sistemlerin yedek kopyaları muhafaza edilmeli ve üzerinde anlaşmaya varılan konuya özgü yedekleme politikasına uygun olarak düzenli bir şekilde test edilmelidir. | Veri veya sistemlerin kaybından kurtarmayı etkinleştirmek. | ||||||||||||||||||||||
78 | 8.14 | Bilgi işleme tesislerinin fazlalığı | Bilgi işleme imkanlarında, kullanılabilirlik gerekliliklerini karşılamak için yeterli miktarda yedekleme sağlanmalıdır. | Bilgi işlem tesislerinin sürekli çalışmasını sağlamak. | ||||||||||||||||||||||
79 | 8.15 | Günlük kaydı (Log tutma) | Faaliyetleri, istisnaları, hataları ve diğer ilgili olayları kaydeden kayıtlar (loglar) üretilmeli, depolanmalı, korunmalı ve analiz edilmelidir. | Olayları kaydetmek, kanıt oluşturmak, kayıt (log) bilgilerinin bütünlüğünü sağlamak, yetkisiz erişimi önlemek, bilgi güvenliği ihlal olayına yol açabilecek bilgi güvenliği olaylarını belirlemek ve soruşturmaları desteklemek. | ||||||||||||||||||||||
80 | 8.16 | İzleme faaliyetleri | Ağlar, sistemler ve uygulamalar anomali içeren davranışlara karşı izlenmeli ve potansiyel bilgi güvenliği ihlal olaylarını değerlendirmek için uygun önlemler alınmalıdır. | Anormal davranışları ve olası bilgi güvenliği ihlal olaylarını tespit etmek. | ||||||||||||||||||||||
81 | 8.17 | Saat senkronizasyonu | Kuruluş tarafından kullanılan bilgi işlem sistemlerinin saatleri, onaylanmış zaman kaynaklarına senkronize edilmelidir. | Güvenlikle ilgili olayların ve diğer kayıtlı verilerin korelasyonunu ve analizini sağlamak ve bilgi güvenliği ihlal olaylarına yönelik soruşturmaları desteklemek. | ||||||||||||||||||||||
82 | 8.18 | Ayrıcalıklı destek programların kullanımı | Sistem ve uygulama kontrollerini geçersiz kılabilecek destek programların kullanımı kısıtlanmalı ve sıkı bir şekilde kontrol edilmelidir. | Destek programların kullanımının sisteme zarar vermemesini sağlamak ve bilgi güvenliği için uygulama kontrolleri yapmak. | ||||||||||||||||||||||
83 | 8.19 | İşletim sistemlerine yazılım kurulumu | İşletim sistemlerinde yazılım kurulumunu güvenli bir şekilde yönetmek için prosedürler ve önlemler uygulanmalıdır. | İşletimde olan sistemlerin bütünlüğünü sağlamak ve teknik güvenlik açıklarından yararlanmayı önlemek. | ||||||||||||||||||||||
84 | 8.20 | Ağ güvenliği | Sistemlerdeki ve uygulamalardaki bilgileri korumak için ağlar ve ağ cihazları güvenlik altına alınmalı, yönetilmeli ve kontrol edilmelidir. | Ağlardaki bilgileri ve onu destekleyen bilgi işleme tesislerini ağ yoluyla tehlikeye girmekten korumak. | ||||||||||||||||||||||
85 | 8.21 | Ağ hizmetlerinin güvenliği | Ağ hizmetlerinin güvenlik mekanizmaları, hizmet seviyeleri ve hizmet gereklilikleri belirlenmeli, uygulanmalı ve izlenmelidir. | Ağ hizmetlerinin kullanımında güvenliği sağlamak. | ||||||||||||||||||||||
86 | 8.22 | Ağların ayrılması | Kuruluş ağlarında bilgi hizmetleri grupları, kullanıcılar ve bilgi sistemleri ayrılmalıdır. | Ağı güvenlik sınırlarında bölmek ve iş gereksinimleri esas alınarak bunların aralarındaki trafiği kontrol etmek. | ||||||||||||||||||||||
87 | 8.23 | Web filtreleme | Harici web sitelerine erişim, kötü amaçlı içeriğe maruz kalmayı azaltacak şekilde yönetilmelidir. | Sistemleri kötü amaçlı yazılımlardan korumak ve yetkisiz web kaynaklarına erişimi engellemek. | ||||||||||||||||||||||
88 | 8.24 | Kriptografi kullanımı | Kriptografik anahtar yönetimi de dahil olmak üzere kriptografinin etkin kullanımına yönelik kurallar tanımlanmalı ve uygulanmalıdır. | İş ve bilgi güvenliği gerekliliklerine göre ve kriptografi ile ilgili yasal, meşru, düzenleyici ve sözleşmeye tabi gereklilikleri dikkate alarak, bilgilerin gizliliğini, gerçekliğini veya bütünlüğünü korumak için kriptografinin doğru ve etkin kullanımını sağlamak. | ||||||||||||||||||||||
89 | 8.25 | Güvenli geliştirme yaşam döngüsü | Yazılım ve sistemlerin güvenli bir şekilde geliştirilmesi için kurallar oluşturulmalı ve uygulanmalıdır. | Bilgi güvenliğinin, yazılım ve sistemlerin güvenli geliştirme yaşam döngüsü içinde tasarımlanmasını ve uygulanmasını sağlamak. | ||||||||||||||||||||||
90 | 8.26 | Uygulama güvenlik gereklilikleri | Uygulamalar geliştirilirken veya edinilirken bilgi güvenliği gereklilikleri; tanımlanmalı, belirtilmeli ve onaylanmalıdır. | Uygulamaları geliştirirken veya satın alırken tüm bilgi güvenliği gerekliliklerinin tanımlanmasını ve ele alınmasını sağlamak. | ||||||||||||||||||||||
91 | 8.27 | Güvenli sistem mimarisi ve mühendislik ilkeleri | Güvenli sistemlerin mühendisliğine yönelik ilkeler oluşturulmalı, dokümante edilmeli, sürdürülmeli ve herhangi bir bilgi sistemi geliştirme faaliyetine uygulanmalıdır. | Bilgi sistemlerinin geliştirme yaşam döngüsü içinde güvenli bir şekilde tasarımlanmasını, uygulanmasını ve işletilmesini sağlamak. | ||||||||||||||||||||||
92 | 8.28 | Güvenli kodlama | Güvenli kodlama ilkeleri yazılım geliştirmeye uygulanmalıdır. | Yazılımın güvenli bir şekilde yazılmasını sağlamak, böylece yazılımdaki olası bilgi güvenliği açıklarının sayısını azaltmak. | ||||||||||||||||||||||
93 | 8.29 | Geliştirme ve kabul aşamasında güvenlik testi | Güvenlik test süreçleri, geliştirme yaşam döngüsünde tanımlanmalı ve uygulanmalıdır. | Uygulamalar veya kod üretim ortamına yüklendiğinde bilgi güvenliği gerekliliklerinin karşılanıp karşılanmadığını doğrulamak. | ||||||||||||||||||||||
94 | 8.30 | Dış kaynaklı geliştirme | Kuruluş, dış kaynak yoluyla sistem geliştirme ile ilgili faaliyetleri yönetmeli, izlemeli ve gözden geçirmelidir. | Dış kaynaklı sistem geliştirmede, kuruluşun gerektirdiği bilgi güvenliği önlemlerinin alınmasını sağlamak. | ||||||||||||||||||||||
95 | 8.31 | Geliştirme, test ve canlı (gerçek) ortamlarının ayrılması | Geliştirme, test ve canlı ortamlar birbirinden ayrılmalı ve güvenlik altına alınmalıdır. | Geliştirme ve test faaliyetleriyle canlı ortamı (üretim ortamını) ve verileri tehlikeye atmaktan korumak. | ||||||||||||||||||||||
96 | 8.32 | Değişiklik yönetimi | Bilgi işleme tesisleri ve bilgi sistemlerindeki değişiklikler, değişiklik yönetimi prosedürlerine tabi olmalıdır. | Değişiklikleri yürütürken bilgi güvenliğini korumak. | ||||||||||||||||||||||
97 | 8.33 | Test bilgisi | Test bilgileri uygun şekilde seçilmeli, korunmalı ve yönetilmelidir. | Testin uygunluğunu ve test için kullanılan işletim ile ilgili bilgilerin korunmasını sağlamak. | ||||||||||||||||||||||
98 | 8.34 | Denetim testi sırasında bilgi sistemlerinin korunması | İşletim sistemlerin değerlendirilmesini içeren tetkik testleri ve diğer güvence faaliyetleri, test uzmanı ve uygun yönetim arasında planlanmalı ve kararlaştırılmalıdır. | Tetkik ve diğer güvence faaliyetlerinin işletim sistemleri ve iş süreçleri üzerindeki etkisini en aza indirmek. | ||||||||||||||||||||||
99 | ||||||||||||||||||||||||||
100 |