ISO 27001 standardı iki ana bölümden oluşur. Standart metni (Madde 4-10) sistemin nasıl “yönetileceğini” (politika, liderlik, risk analizi) anlatırken; Ek-A (Annex A) bölümü güvenliğin sahada nasıl “uygulanacağını” belirleyen teknik, fiziksel ve organizasyonel kontrolleri listeler.
2022 revizyonu ile Ek-A yapısı tamamen modernize edildi. Eski versiyondaki 114 kontrol, daha sade ve dinamik bir yaklaşımla 93 kontrol maddesine indirildi. Artık karmaşık 14 bölüm yerine, güvenliği 4 ana tema üzerinden yönetiyoruz. Bu rehberde, dijital kalenizi inşa edecek bu 93 kontrolün tamamını ve ISO 27701 (Kişisel Veri) ile olan bağını inceliyoruz.
2022 revizyonu ile eklenen 11 yeni madde, günümüzün siber risklerine karşı geliştirilmiştir.
-
Tehdit İstihbaratı (A.5.7): Dışarıdaki tehditleri önceden fark edip aksiyon almak.
-
Bulut Hizmetleri Güvenliği (A.5.23): Veri buluttaysa güvenliği kim sağlıyor?
-
ICT Sürekliliği (A.5.30): Bir kriz anında teknolojik sistemler nasıl geri döner?
-
Fiziksel Güvenlik İzleme (A.7.4): Sadece kilit değil, 7/24 görsel takip.
-
Yapılandırma Yönetimi (A.8.9): Cihazların güvenli kurulması (Hardening).
-
Bilginin Silinmesi (A.8.10): Artık gerekmeyen verinin kalıcı imhası.
-
Veri Maskeleme (A.8.11): Hassas verilerin gizlenerek korunması.
-
Veri Sızıntısını Önleme (A.8.12): DLP sistemleri ile sızıntı takibi.
-
İzleme Faaliyetleri (A.8.16): Anormal hareketlerin loglar üzerinden takibi.
-
Web Filtreleme (A.8.23): Zararlı internet sitelerine erişimin engellenmesi.
-
Güvenli Kod Yazma (A.8.28): Yazılımın en başından güvenli geliştirilmesi.