a5 information security policies bilgi güvenli ği politikaları · 2018-08-03 · a.14 bilgi...
TRANSCRIPT
ISO/IEC 27001:2013'deki değişiklikler.
A5 INFORMATION SECURITY POLICIES
Bilgi güvenliği politikaları
ISO 27001:2013
ISO 27001:2005
A.5 Information security policies Bilgi güvenliği politikaları
A.5.1.1 Policies for information security Bilgi güvenliği için politikalar
A 5.1.1
A.5.1.2 Review of the policies for information security Bilgi güvenliği politikalarını gözden geçirme
A 5.1.2
ISO/IEC 27001:2013'deki değişiklikler.
A.6 ORGANISATION OF INFORMATION SECURITY
Bilgi güvenliği organizasyonu
ISO 27001:2013 ISO 27001:2005
A.6.1 Internal Organisation İç organizasyon
A.6.1.1 Information security roles and responsibilities
Bilgi güvenliği rolleri ve sorumlulukları
A 6.1.2 / A 6.1.3
A.6.1.2 Segregation of duties
Görev ayırımları
A.10.1.3
A.6.1.3 Contact with authorities
Otoriteler ile iletişim
A 6.1.6
A.6.1.4 Contact with special interest groups
Özel ilgi grupları ile iletişim
A 6.1.7
A.6.1.5 Information security in project management
Proje yönetiminde bilgi güvenliği
New Yeni
A.6.2 Mobile Devices and Teleworking Mobil bilgi işleme ve uzaktan çalışma
A.6.2.1 Mobile device policy Mobil cihaz politikası
New Yeni
A.6.2.2 Teleworking
Uzaktan çalışma
A.10.7.2
ISO/IEC 27001:2013'deki değişiklikler.
A.7 HUMAN RESOURCES SECURITY
A.7 İnsan kaynakları güvenliği
ISO 27001:2013 ISO 27001:2005
A.7.1 Prior to Employment İstihdam öncesi
A.7.1.1 Screening Tarama
A.8.1.2
A.7.1.2 Terms and conditions of employment
İstihdam koşulları
A.8.1.3
A.7.2 During Employment Çalışma esnasında
A .7.2.1 Management responsibilities Yönetim sorumlulukları
A.8.2.1
A.7.2.2 Information security awareness, education & training Bilgi güvenliği farkındalığı, eğitim ve öğretimi
A.8.2.2
A.7.2.3 Disciplinary process Disiplin prosesi
A.8.2.3
A.7.3 Termination or Change of Employment İstihdamın sonlandırılması veya değiştirilmesi
A.7.3.1 Termination or change of employment responsibilities
Sonlandırma veya değişiklik sorumlulukları
A.8.3.1
ISO/IEC 27001:2013'deki değişiklikler.
A.8 ASSET MANAGEMENT
A.8 Varlık yönetimi
ISO 27001:2013 ISO 27001:2005
A.8.1 Responsibility for Assets Varlıkların sorumluluğu
A.8.1.1 Inventory of assets Varlıkların envanteri
A.7.1.1
A.8.1.2 Ownership of assets Varlıkların sahipliği
A.7.1.2
A.8.1.3 Acceptable use of assets
Varlıkların kabul edilebilir kullanımı
A.7.1.3
A.8.1.4 Return of assets Varlıkların iadesi
A.8.3.2
A.8.2 Information Classification Bilgi sınıflandırması
A.8.2.1 Classification of information
Sınıflandırma kılavuzu
A.7.2.1
A.8.2.2 Labeling of information
Bilgi etiketleme A.7.2.2
A.8.2.3 Handling of assets
Varlıkların muamelesi
A.10.7.3
ISO/IEC 27001:2013'deki değişiklikler.
A.8 ASSET MANAGEMENT
A.8 Varlık yönetimi
ISO 27001:2013 ISO 27001:2005
A.8.3 Media handling Ortam İşleme
A.8.3.1 Management of removable media
Taşınabilir ortam yönetimi A.10.7.1
A.8.3.2 Disposal of media
Ortamın yok edilmesi A.10.7.2
A.8.3.3 Physical media transfer
Fiziksel medyanın taşınması
A.10.8.3
ISO/IEC 27001:2013'deki değişiklikler.
A.9 ACCESS CONTROL
A.9 Erişim kontrolü
ISO 27001:2013 ISO 27001:2005
A.9.1 Business requirements of access control Erişim kontrolü için iş gereksinimi
A.9.1.1 Access control policy Erişim kontrol politikası
A.11.1.1
A.9.1.2 Access to networks and network services Ağ hizmetlerinin kullanımına ilişkin politika
A.11.4.1
A.9.2 User access management Kullanıcı erişim politikası
A.9.2.1 User registration and de-registration Kullanıcı kaydı ve kaydın silinmesi
A.11.2.1
A.9.2.2 User access provisioning
Kullanıcıya erişim sağlamak
A.11.2.2
A.9.2.3 Management of privileged access rights Ayrıcalık yönetimi
A.11.2.2
A.9.2.4 Management of secret authentication information of users
Kullanıcı gizli erişim bilgilerinin yönetimi
A.11.2.3
A.9.2.5 Review of user access rights
Kullanıcı erişim haklarının gözden geçirilmesi
A.11.2.4
A.9.2.6 Removal or adjustment of access rights
Erişim haklarının kaldırılması veya ayarlanması
A.8.3.3
ISO/IEC 27001:2013'deki değişiklikler.
A.9 ACCESS CONTROL
A.9 Erişim kontrolü
ISO 27001:2013 ISO 27001:2005
A.9.3 User Responsibilities Kullanıcı sorumlulukları
A.9.3.1 Use of secret authentication information
Gizli doğrulama bilgilerinin kullanımı A.11.3.1
A.9.4 System and application access control Sistem ve uygulama erişim kontrolü
A.9.4.1 Information access restriction Bilgi erişim kısıtlaması
A.11.6.1
A.9.4.2 Secure log-on procedures Güvenli oturum açma prosedürleri
A.11.5.1
A.9.4.3 Password management system
Parola yönetim sistemi A.11.5.3
A.9.4.4 Use of privileged utility programs
Öncelikli program kullanımı
A.11.5.4
A.9.4.5 Access control to program source code Program kaynak koduna erişim kontrolü
A.12.4.3
ISO/IEC 27001:2013'deki değişiklikler.
A.10 CRYPTOGRAPHY
A. 10 Kriptografi
ISO 27001:2013 ISO 27001:2005
A.10.1 Cryptographic Controls Kriptografik kontroller
A.10.1.1 Policy on the use of cryptographic controls
Kriptografik kontrollerin kullanımına ilişkin politika A.12.3.1
A.10.1.2 Key management Anahtar yönetimi
A.12.3.2
ISO/IEC 27001:2013'deki değişiklikler.
A.11 PHYSICAL & ENVIRONMENTAL SECURITY
A.11 Fiziksel ve çevresel güvenlik
ISO 27001:2013 ISO 27001:2005
A .11.1 Secure Areas Güvenli alanlar
A.11.1.1 Physical security perimeter
Fiziksel güvenlik çevresi A.9.1.1
A.11.1.2 Physical entry controls Fiziksel giriş kontrolleri
A.9.1.2
A.11.1.3 Securing offices, rooms and facilities Ofisler, odalar ve olanakları korumaya alma
A.9.1.3
A.11.1.4 Protecting against external end environmental threats
Dış ve çevresel tehditlre karşı koruma A.9.1.4
A.11.1.5 Working in secure areas
Güvenli alanlarda çalışma A.9.1.5
A.11.1.6 Delivery and loading areas Dağıtım ve yükleme alanları
A.9.1.6
A.11.2 Equipment Ekipman
A.11.2.1 Equipment siting and protection Teçhizat yerleştirme ve koruma
A.9.2.1
A.11.2.2 Supporting utilities Destek hizmetleri
A.9.2.2
ISO/IEC 27001:2013'deki değişiklikler.
A.11 PHYSICAL & ENVIRONMENTAL SECURITY
A.11 Fiziksel ve çevresel güvenlik
ISO 27001:2013 ISO
27001:2005
A.11.2.3 Cabling security
Kablolama güvenliği A.9.2.3
A.11.2.4 Equipment maintenance
Teçhizatın bakımı A.9.2.4
A.11.2.5 Removal of assets Mülkiyet çıkarımı
A.9.2.7
A.11.2.6 Security of equipment and assets off-premises Kuruluş dışındaki teçhizatın güvenliği
A.9.2.5
A.11.2.7 Security disposal or re-use of equipment
Teçhizatın güvenli olarak elden çıkarılması ya da tekrar kullanımı
A.9.2.6
A.11.2.8 Unattended user equipment
Gözetimsiz teçhizat kullanımı
A.11.3.2
A.11.2.9 Clear desk and clear screen policy Temiz masa, temiz ekran politikası
A.11.3.3
ISO/IEC 27001:2013'deki değişiklikler.
A.12 OPERATIONS SECURITY
A.12 Operasyon güvenliği
ISO 27001:2013 ISO 27001:2005
A.12.1 Operational procedures & responsibilities Operasyonel prosedürler ve sorumluluklar
A.12.1.1 Documented operating procedures Dokümante edil iş işletim proedürleri
A.10.1.1
A. 12.1.2
Change management Değişim yönetimi
A.10.1.2
A.12.1.3 Capacity management Kapasite yönetimi
A.10.3.1
A.12.1.4 Separation of development, testing & operational environments
Geliştirme, test ve işletim olanaklarının ayırımı
A .10.1.4
A.12.2 Protection from malware Kötü niyetli koda karşı kontroller
A.12.2.1 Controls against malware A. 10.4.1
A.12.3 Backup Yedekleme
A.12.3.1 Information backup Bilgi yedekleme
A .10.5.1
ISO/IEC 27001:2013'deki değişiklikler.
A.12 OPERATIONS SECURITY
A.12 Operasyon güvenliği
ISO 27001:2013 ISO 27001:2005
A.12.4 Logging and monitoring Kayıt etme ve izleme
A.12.4.1 Event logging Olay kaydetme
A. 10.10.1
A.12.4.2 Protection of log information Kayıt bilgisinin korunması
A .10.10.3
A.12.4.3 Administrator and operator logs Yönetici ve operator kayıtları
A .10.10.4
A.12.4.4 Clock synchronisation Saat senkronizasyonu A.10.10.6
A .12.5 Control of operational software Operasyonel yazılımın kontrolü
A.12.5.1 Installation of software on operational systems
Operasyonel sistemlere yazılım yükleme A.12.4.1
ISO/IEC 27001:2013'deki değişiklikler.
A.12 OPERATIONS SECURITY
A.12 Operasyon güvenliği
ISO 27001:2013 ISO 27001:2005
A.12.6 Technical vulnerability management Teknik açıklık yönetimi
A.12.6.1 Management of technical vulnerabilities
Teknik açıklıkların yönetilmesi A.12.6.1
A.12.6.2 Restrictions on software installation Yazılım yüklemelerinde kısıtlamalar
New Yeni
A.12.7 Information systems audit considerations Bilgi sistemleri denetim hususları
A.12.7.1 Information systems audit controls Bilgi sistemleri denetim kontrolleri
A.15.3.1 & A.15.3.2
ISO/IEC 27001:2013'deki değişiklikler.
A.13 COMMUNICATIONS SECURITY
A.13 Haberleşme güvenliği
ISO 27001:2013 ISO 27001:2005
A.13.1 Network Security Management Ağ güvenliği yönetimi
A.13.1.1 Network controls
Ağ kontrolleri A.10.6.1
A.13.1.2 Security of network services
Ağ hizmetleri güvenliği A.10.6.2
A.13.1.3 Segregation in networks Ağlarda ayırım
A.11.4.5
A.13.2 Information Transfer Bilgi değişimi
A.13.2.1 Information transfer policies and procedures
Bilgi değişim politika ve prosedürleri
A.10.8.1
A.13.2.2 Agreements on information transfer
Bilgi değişim anlaşmaları
A.10.8.2
A.13.2.3 Electronic messaging Elektronik mesajlaşma
A.10.8.4
A.13.2.4 Confidentiality or non-disclosure agreements
Gizlilik veya açıklamama anlaşmaları A 6.1.5
ISO/IEC 27001:2013'deki değişiklikler.
A.14 SYSTEM ACQUISITION, DEVELOPMENT & MAINTENANCE
A.14 Bilgi sistemleri edinim, geliştirme ve bakımı
ISO 27001:2013 ISO 27001:2005
A.14.1 Security requirements of information systems Bilgi sistemlerinin güvenlik gereksinimleri
A.12.1
A.14.1.1 Information security requirements analysis and specification
Güvenlik geresinimi analizi ve belirtimi
A.12.1.1
A.14.1.2 Securing applications services on public networks
Açık ağlarda güvenli uygulama hizmetleri
A.10.9.1
A.14.1.3 Protecting application services transactions Uygulama hizmetleri değişimlerini koruma
A.10.9.2
A.14.2 Security in development and support processes Geliştirme ve destek proseslerinde güvenlik
A.14.2.1 Secure development policy Güvenli geliştirme politikası
New Yeni
A.14.2.2 Change control procedures Değişim kontrol prosedürleri
A.12.5.1
ISO/IEC 27001:2013'deki değişiklikler.
A.14 SYSTEM ACQUISITION, DEVELOPMENT & MAINTENANCE
A.14 Bilgi sistemleri edinim, geliştirme ve bakımı
ISO 27001:2013 ISO 27001:2005
A.14.2.3
Technical review of applications after operating platform changes
Platform değişikliklerinden sonra uygulamaların teknik gözden geçirilmesi
New (ref: A.12.5.2)
A.14.2.4 Restrictions on changes to software packages Yazılım paketlerindeki değişikliklerdeki kısıtlamalar
A.12.5.3
A.14.2.5 Secure system engineering principles
Güvenli system mühendisliği prensipleri
New
A.14.2.6 Secure development environment
Güvenli geliştirme ortamı
New
A.14.2.7 Outsourced development
Dışarıdan sağlanan yazılım geliştirme
A.12.5.5
A.14.2.8 System security testing Sistem güvenliği testi
New Yeni
A.14.2.9 System acceptance testing Sistem Kabul testi
A.10.3.2
ISO/IEC 27001:2013'deki değişiklikler.
A.14 SYSTEM ACQUISITION, DEVELOPMENT & MAINTENANCE
A.14 Bilgi sistemleri edinim, geliştirme ve bakımı
ISO 27001:2013 ISO 27001:2005
A.14.3 Test Data Test verisi
A.14.3.1 Protection of test data Test verisinin korunması
A.12.4.2
ISO/IEC 27001:2013'deki değişiklikler.
A.15 SUPPLIER RELATIONSHIPS
A.15 Tedarikçi ilişkileri
ISO 27001:2013 ISO 27001:2005
A.15.1 Information security in supplier relationships
Tedarikçi ilişkilerinde bilgi güvenliği
A.15.1.1 Information security policy for supplier relationships Tedarikçi ilişkileri için bilgi güvenliği politikası
New/A6.2.1 Yeni
A.15.1.2 Addressing security within supplier agreements Tedarikçi anlaşmalarında güvenliği ifade etme
A.6.2.3
A.15.1.3 Information and communication technology supply chain
Bilgi ve iletişim teknolojisi tedarik zinciri
New Yeni
A.15.2 Supplier service delivery management
Tedarikçi hizmet sağlama yönetimi
A.15.2.1 Monitoring and review of supplier services Tedarikçi hizmetlerini izleme ve gözden geçirme
A.10.2.2
A.15.2.2 Managing changes to supplier services Tedarikçi hizmetlerindeki değişiklikleri yönetme
A.10.2.3
ISO/IEC 27001:2013'deki değişiklikler.
A.16 INFORMATION SECURITY INCIDENT MANAGEMENT
A.16 Bilgi güvenliği ihlal olayı yönetimi
ISO 27001:2013 ISO 27001:2005
A.16.1 Management of information security incidents and improvements
BG ihlal olayı yönetimi ve iyileştirilmesi
A.16.1.1 Responsibilities and procedures
Sorumluluk ve prosedürler
A.13.2.1
A.16.1.2 Reporting information security events Bilgi güvenliği olaylarının rapor edilmesi
A.13.1.1
A.16.1.3 Reporting information security weaknesses Güvenlik zayıflıklarının rapor edilmesi
A.13.1.2
A.16.1.4 Assessment of and decision on information security events
BG olaylarının değerlendirilmesi ve karar New Yeni
A.16.1.5 Response to information security incidents BG ihlal olaylarına cevap verme
New Yeni
A.16.1.6 Learning from information security incidents
Bilgi güvenliği ihlal olaylarından öğrenme
A.13.2.2
A.16.1.7 Collection of evidence Kanıt toplama
A.13.2.3
ISO/IEC 27001:2013'deki değişiklikler.
A.17 IS ASPECTS OF BUSINESS CONTINUITY MANAGEMENT
A.17 İş sürekliliği yönetiminin BG hususları
ISO 27001:2013 ISO
27001:2005
A.17.1 Information security continuity Bilgi güvenliği sürekliliği
A.17.1.1 Planning information security continuity
Bilgi güvenliği sürekliliğini planlamak
A.14.1.1
A.17.1.2 Implementing information security continuity
Bilgi güvenliği sürekliliğini işletmek
A.14.1.2 A.14.1.3 A.14.1.4
A.17.1.3 Verify, review and evaluate information security continuity Bilgi güvenliği sürekliliğini doğrulama, gözden geçirme ve
değerlendirme
A.14.1.5
A.17.2 Redundancies
A.17.2.1 Availability of information processing facilities
Bilgi işleme altyapısının bulunurluğu
New Yeni
ISO/IEC 27001:2013'deki değişiklikler.
A.18 COMPLIANCE
A. 18 Uyum
ISO 27001:2013 ISO 27001:2005
A.18.1 Compliance with legal and contractual requirements Yasa ve sözleşme ile uyum
A.18.1.1 Identification of applicable legislation and contractual
requirements Uygulanabilir yasa ve anlaşmaları tanımlama
A.15.1.1
A.18.1.2 Intellectual property rights (IPR)
Fikri mülkiyet hakları
A.15.1.2
A.18.1.3 Protection of records Kayıtların korunması
A.15.1.3
A.18.1.4 Privacy and protection of personally identifiable information
Özel bilgi ve kişisel bilgilerin gizliliği
A.15.1.4
A.18.1.5 Regulation of cryptographic controls Kriptografik kontroller hakkında yasa
A.15.1.6
ISO/IEC 27001:2013'deki değişiklikler.
A.18 COMPLIANCE
A. 18 Uyum
ISO27001:2013 ISO 27001:2005
A .18.2 Information security reviews
Bilgi güvenliğini gözden geçirme
A.18.2.1 Independent review of information security
Bilgi güvenliğinin bağımsız gözden geçirilmesi
A 6.1.8
A.18.2.2 Compliance with security policies and standards
Güvenlik politika ve standartlarıyla uyum
A.15.2.1
A.18.2.3 Technical compliance review
Teknik uyumun gözden geçirilmesi
A.15.2.2