ISO 27001 Belgesi BGYS Zorunlu Olan ve Olmayan Dokümanlar Nelerdir?

Blog - 22OCAK'20

ISO 27001 Belgesi BGYS Zorunlu Olan ve Olmayan Dokümanlar Nelerdir?

Hasan Şahap

2013 yılında yayınlanan ve tam bir bilgi güvenliği alt yapısı oluşturan ISO 27001 Standardı revizyonu ile kuruluşlar bu yeni 2013 revizyonunda hangi doküman ve kayıtların zorunlu olduğunu bilmeleri gerekmektedir. Bu gereklilikler az mı olacak, çok mu olacak? standarda göre kuruluşların karar vermesi ve gereklilikleri yerine getirmesi de gerekliliklerdendir.


ISO 27001 zorunlu belgelerinin neler olduğu ve zorunlu olmayıp ta kararı kuruluşa bırakılan dokümantasyon bilgileri aşağıda verilmiştir.


ISO 27001 Belgesi Standardı BGYS için Zorunlu Doküman ve Kayıtlar Nelerdir?


ISO 27001 BGYS Dokümanlar ve Kayıtlar


ISO 27001 Belgesi, Bilgi Güvenliği Yönetim Sistemi’ ne uygun dokümantasyona/dokümante bilgiye sahip olmak için aşağıdaki maddelere göre doküman ve kayıt yapısını oluşturmalısınız.


ISO 27001 Zorunlu Dokümanlar;


1.Madde 4.3 için; BGYS Kapsam Dokümanı,


2.Madde 5.2 ve 6.2 için; Bilgi güvenliği politikası ve hedefleri,


3.Madde 6.1.2 için; Risk değerlendirmesi ve risk bertaraf metodolojisi,


4.Madde 6.1.3 d için; Uygulanabilirlik Beyanı,


5.Madde 6.1.3’ e ve 6.2 için; Risk Bertaraf Planı,


6.Madde 8.2 için; Risk değerlendirme raporu,


7.Madde A.7.1.2 ve A.13.2.4 için; Güvenlik rollerinin ve sorumluluklarının tanımı,


8.Madde A.8.1.1 için; Varlıkların envanteri,


9.Madde A.8.1.3 için; Varlıkların kabul edilebilir kullanımı,


10.Madde A.9.1.1 için Erişim kontrol politikası,


11.Madde A.12.1.1BT yönetimi için işletim prosedürleri,


12.Madde A.14.2.5 için; Güvenli sistem mühendisliği ilkeleri,


13.Madde A.15.1.1 için; Tedarikçi güvenlik politikası,


14.Madde A.16.1.5 için; Olay yönetimi prosedürü,


15.Madde A.17.1.2 için; İş sürekliliği prosedürleri,


16.Madde A.18.1.1Yasal, düzenleyici ve sözleşme gereklilikleri.


ISO 27001 Zorunlu Kayıtlar


1.Madde 7.2 için; Eğitim, beceri, deneyim ve niteliklerin kayıtları,


2.Madde 9.1 için; İzleme ve ölçüm sonuçları,


3.Madde 9.2 için; İç denetim programı,


4.Madde 9.2 için; İç denetimlerin sonuçları,


5.Madde 9.3 için; Yönetim incelemesinin (YGG) sonuçları,


6.Madde 10.1 için; Düzeltici faaliyetlerin sonuçları,


7.Madde A.12.4.1 ve A.12.4.3 için; Kullanıcı etkinliklerinin, istisnalarının ve güvenlik olaylarının günlükleri.


ISO 27001 Zorunlu Olmayan Doküman ve Kayıtlar


ISO 27001 BGYS (Bilgi Güvenliği Yönetim Sistemi) uygulaması için, özellikle Ek A'daki güvenlik kontrollerinde kullanılabilecek çok sayıda ISO 27001 zorunlu olmayan doküman ve kayıt bulunur. Ancak, zorunlu olmayan bu belgeler isteğe bağlı kullanılmalı ve sisteme yük getirmeyecek halde olmalıdır.


Bu dokümanlar;


1.Madde 7.5 için; Doküman kontrolü prosedürü ve Kayıtların kontrolü prosedürü,


2.Madde 9.2 için; İç denetim prosedürü,


3.Madde 10.1 için; Düzeltici faaliyet prosedürü,


4.Madde A.6.2.1 için; Kendi cihaz politikanız,


5.Madde A.6.2.1 için; Mobil cihaz ve uzaktan çalışma politikası,


6.Madde A.8.2.1, A.8.2.2 ve A.8.2.3 için; Bilgi sınıflandırma politikası,


7.Madde A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1 ve A.9.4.3 için; Şifre politikası,


8.Madde A.8.3.2 ve A.11.2.7 için; Bertaraf ve imha politikası,


9.Madde A.11.1.5 için; Güvenli alanlarda çalışma prosedürleri,


10.Madde A.11.2.9 için; Açık masa ve net ekran politikası,


11.Madde A.12.1.2 ve A.14.2.4 için: Değişim yönetimi politikası,


12.Madde A.12.3.1 için; Yedekleme politikası,


13.Madde A.13.2.1, A.13.2.2 ve A.13.2.3 için; Bilgi aktarım politikası,


14.Madde A.17.1.1 için; Ticari etki analizi,


15.Madde A.17.1.3 için; Alıştırma ve test planı,


16.Madde A.17.1.3 için; Bakım ve inceleme planı,


17.Madde A.17.2.1 için; İş sürekliliği stratejisi.


ISQ Belgelendirme olarak, zorunlu olan ya da olmayan ISO 27001 Belgesi yönetim sistemi uygunluğu ön denetimi ya da ISO 27001 Belgelendirme talepleriniz için uygun şartlarda teklifler sunuyoruz.