TÜRK STANDARDI TURKISH STANDARD
TS ISO/IEC 27001 Aralık 2013 TS ISO/IEC 27001 : 2006 yerine
ICS 3!0"0
Bilgi teknolojisi - G!enlik teknikle"i - Bilgi g!enli#i $%neti& siste&le"i - Ge"eksini&le" In#$r%a&i$n &e'(n$l$)y * Se'+ri&y &e'(ni,+e- * In#$r%a&i$n Se'+ri&y .ana)e%en& Sy-&e%- * Re,+ire%en&-
ISO/IEC 27001:2013 -&anarının Trke &er'%e-iir! &er'%e-iir!
TÜRK STANDARD'ARI ENST(TÜSÜ Ne)*ti+e$ C*,,esi No112 No112 B*k*nl.kl*"/ANKARA B*k*nl.kl*"/ANKARA
+)nk &eknik e +y)+la%aya ayanılarak (a4ırlan%ı5 $lan + -&anarın 4a%anla $r&aya ıka'ak )eli5%e e e8i5ikliklere +y+r+l%a-ı %%kn $l+8+nan il)ililerin yayınları i4le%elerini e -&anarın +y)+lan%a-ına kar5ıla5&ıkları ak-aklıkları En-&i&%4e ile&%elerini ri'a ee ri4!
+ -&anarı $l+5&+ran 9(&i-a- r++ ye-i e8erli +4%anların e%eklerini; &a-arılar 4erine )
K*lite Siste& Belgesi 9%al 9%al=& =& e (i4% (i4%e& e& -ek& -ek&
000 >000 Kali Kali&e &e S&anarlarına +y)+n $larak k+r%aları +r+%+na TSE &ara#ınan erilen el)eir!
T"k St*n,*",l*".n* $gnlk *"k*s. TSE *"k*s.3 TSE .arka-ı 4erine eya a%al=?ına k$n+l+8+ %alların eya (i4%e&in il)ili Trk S&anarına +y)+n $l+8+n+ e %a%+lle eya (i4%e&le il)ili ir @r$le% $r&aya ık&ı8ına Trk S&anarları En-&i&-nn )aran&i-i al&ına $l+8+n+ i#ae eer!
TSEK K"ite"e $gnlk Belgesi TSEK *"k*s. Kll*n&* 4*kk.3 Kri&er Kri&ere e Uy)+nl Uy)+nl+k +k el)eel)e-i;i; Trk Trk S&ana S&anarl rları arı +l+n%a +l+n%ayan yan k$n+la k$n+lara ra #ir%al #ir%aları arın n rnle rnlerin rinin in il)ili il)ili +l+-la +l+-larara rara-ı -ı -&ana -&anarl rlar ar en4er en4erii Trk Trk S&anar S&anarla ları rı i8er i8er lkele lkelerin rin %illi %illi -&anar -&anarla ları rı &eknik &eknik li&era li&era&r &r e-ae-a- alınar alınarak ak Trk Trk S&anarları En-&i&- &ara#ınan ka+l eilen Kali&e Bak&
D(KKAT5 TS i5are&i e yanına yer alan -ayı &ek a5ına iken TS "600 )ii %a%+ln Trk S&anarına +y)+n T"k St*n,*",l St*n,*",l*". *". Enstits Enstits t*"*6.n,*n t*"*6.n,*n e"*ngi e"*ngi +i" re&il re&ili8i i8ine ne air re&i' re&i'ini inin n eyanı eyanını nı i#ae i#ae eer! eer! T"k g*"*nti s%8 kons ,e#il,i" Standardlar ve standardizasyon konusunda daha geniş bilgi Enstitümüzden sağlanabilir.
TÜRK STANDARD'ARININ 9A9IN 4AK'ARI SAK'IDIR
ICS 3!0"0
TRK STANDARDI
TS ISO/IEC 27001/Aralık 2013
:n s%8
+ -&anar ISO/IEC 270012013 270012013 -&anarı e-a- alınarak TSE il)i Tekn$l$?ileri e 9le&i5i% 9(&i-aK+r+l+na a8lı TK01 ili5i% Tekn$l$?ileri Teknik K$%i&e-in'e (a4ırlan%ı5 e TSE Teknik K+r+l+n+n 2> Ni-an 201" &ari(li &$@lan&ı-ına Trk S&anarı $larak $ larak ka+l eilerek yayı%ına karar eril%i5&ir!
ISO Ul+-larara-ı S&anari4a-y$n K+r+l+5+ +l+-al -&anar k+r+l+5larının ISO lke k+r+l+5ları nya a@ına #eera-y$n++r #eera-y$n++r!! Ul+-larara-ı Ul+-larara-ı S&anar (a4ırla%a (a4ırla%a alı5%a-ı alı5%a-ı )enele )enele ISO &eknik &eknik k$%i&eleri k$%i&eleri ara'ılı8ı ara'ılı8ı ile ya@ılır! Teknik Teknik k$%i&enin k$n+-+ ile il)ilenen il)ilenen yelerin $ &eknik &eknik k$%i&ee k$%i&ee &e%-il &e%-il eil%e (akkı arır! ISO ile i5irli8i iineki re-%i ya a -iil +l+-larara-ı k+r+l+5lar a alı5%alara yer alailir! ISO elek&r$&eknik -&anari4a-y$nla il)ili &% k$n+larına Ul+-larara-ı Elek&r$&eknik K$%i-y$n+ IEC ile yakın i5irli8i iine alı5ır!
Ul+-larara-ı S&anarlar ISO/IEC Direk&i#leri
Teknik k$%i&elerin ana )
+ $k%anın a4ı kı-ı%larının @a&en& (aklarına k$n+ $laile'e8ine ikka& eil%eliir!
ISO/IEC 27001 Or&ak Teknik K$%i&e ISO/IEC GTC 1 il)i &ekn$l$?i-i al& k$%i&e-i SC 27 T enlik &eknikleri &ara#ınan (a4ırlan%ı5&ır!
+ -&anar yayı%lanı8ına TS ISO/IEC 27001:2006 nın yerini alır!
+ -&anara k+llanılan a4ı keli%e e/eya i#aeler @a&en& (aklarına k$n+ $lailir!
ICS 3!0"0
TRK STANDARDI
TS ISO/IEC 27001/Aralık 2013
(;in,ekile" 1 2 = >
K* 7!1 Kaynaklar Kaynaklar !!!!!!!!!!!! !!!!!!!!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!! !!!!!!!! " 7!2 Je&erlilik e&erlilik !!!!!!!!!!! !!!!!!!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!! !!!! " 7!3 Barkınalık Barkınalık !!!!!!! !!!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!! !!!! " 7!" 9le&i5i% 9le&i5i% !!!!!!!!!!! !!!!!!!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!! " 7! Ja4ılı Ja4ılı il)iler! il)iler!!!!!!!! !!!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!!! !!!!!!! (?leti& @ !1 95le&i%-el 95le&i%-el @lanla%a @lanla%a e k$n&r$l k$n&r$l !!!!!!!!!!!! !!!!!!!!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!! !!!!!!!!!!! !!!!! !2 il)i )enli8i )enli8i ri-k e8erlenir% e8erlenir%e e !!!!!!!!! !!!!!!!!!!!!!! !!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!! !!!! 6 !3 il)i )enli8i )enli8i ri-k ri-k i5le%e !!!!!!!!!!!! !!!!!!!!!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!! !!!!!!!! 6 e"6o"&*n e"6o"&*ns s ,e#e"len, ,e#e"len,i"&e i"&e >!1 94le%e !2 9 &e&kik !!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!! !!!!!!!!!!!! !!!!!!!!!!!! !!!!!!!! !! 6 >!3 J
ICS 3!0"0
TRK STANDARDI
TS ISO/IEC 27001/Aralık 2013
0 Gi"i? 01 Genel + -&ana -&anar r ir il)i il)i )enl )enli8i i8i y
02 Di#e" $%neti& siste&i st*n,*",l*". ile $&llk + -&anar ISO/IEC Direk&i#leri irle5&iril%i5 ISO Jarı%'ı D$k%anlarının Ek S -ine &anı%lanan )enel ya@ı e5e8er al& %ae a5lıkları e5e8er %e&in $r&ak &eri%ler e &e%el &anı%ları +y)+lar + neenle Ek Syi eni%-eyen i8er y
ICS 3!0"0
TRK STANDARDI
TS ISO/IEC 27001/Aralık 2013
Bilgi teknolojisi - G!enlik teknikle"i - Bilgi g!enli#i $%neti& siste&le"i - Ge"eksini&le" 1
K*
+ -&ana -&anar r k+r+l+ k+r+l+5+n 5+n a8la%ı a8la%ı =(ili =(iline ne ir il)i il)i )enl )enli8i i8i y
2
At.6 t.6 $*<. $*<.l* l*n n st* st*n, n,*" *", , !e/ !e/!e !e$* $* ,ok ,ok&* &*nl nl*" *"
+ -&anar&&a a5a8ıaki $k%anlara &a%a%en eya kı-%en a&ı# ya@ıl%ı5 $l+@ -<4 k$n+-+ $k%anlar + -&anarın +y)+lan%a-ı iin 4$r+nl++r! Tari(li Tari(li a&ı#lar iin -ae'e a&ı# ya@ılan -r% )eerliir! )ee rliir! Tari(-i4 Tari(-i4 a&ı#lar iin a&ı# ya@ılan $k%anın &% e8i5iklikler =(il $l%ak 4ere -$n -r% )eerliir! ISO/IEC 27000 il)i &ekn$l$?i-i * enlik &eknikleri * il)i )enli8i y
=
Te"i&le" !e !e t* t*"i6le"
+ $k%anın a%aları $8r+l&+-+na ISO/IEC 27000 e erilen &eri%ler e &ari#ler &ari# ler )eerliir!
>
K"l?n +*#l*&.
>1 K"l K"l?n ?n !e +*#l +*#l*&. *&.n.n n.n *nl*?. *nl*?.l&* l&*s. s. K+r+l+5 a%aları ile il)ili $lan e il)i )enli8i y
Not - + (+-+-ların elirlen%e-i ISO 31000:200> LM .ae !3 &e ele alınan k+r+l+5+n ı5 e i a8la%ının $l+5&+r+l%a-ına a&ı# ya@ar!
>2 (lgili t*"*6l*".n t*"*6l*".n iti$*; iti$*; !e +eklentil +eklentile"inin e"inin *nl*?.l&*s *nl*?.l&*s.. K+r+l+5 a5a8ıakileri elirleye'ek&ir: a il)i )enli8i )enli8i y
Not - 9l)ili &ara#ların )erek-ini%leri ya-al e 4enleyi'i )ere k-ini%leri e -<4le5%een $8an yk%llkleri ieriy$r $lailir!
>= Bilgi g!enli#i g!enli#i $%neti& $%neti& siste&i siste&inin nin k*
1
ICS 3!0"0
TRK STANDARDI
TS ISO/IEC 27001/Aralık 2013
>> Bilgi Bilgi g!enl g!enli#i i#i $%neti $%neti& & sist siste&i e&i K+r+l+5 + -&anarın 5ar&ları eree-ine ir il)i )enli8i y
@
'i,e"lik
@1 @1 'i,e 'i,e"l "lik ik !e +*#l +*#l.l .l.k .k -& y
@2 olitik* -& y
@= K"&s K"&s*l *l "olle" "olle" so"&l so"&ll lkl* kl*"" !e $etkile $etkile" " -& y
Not - -& y
l*nl*&*
1 Risk !e 6."s*tl*". ele *l*n 6**li$etle" 11 Genel il)i )enli8i y
ICS 3!0"0
TRK STANDARDI
TS ISO/IEC 27001/Aralık 2013
9-&en%eyen 9-&en%eyen e&kilerin e&kilerin
12 12 Bilgi Bilgi g! g!enl enli#i i#i "isk "isk ,e#e" ,e#e"len len,i" ,i"&es &esii K+r+l+5 a5a8ıa elir&ilen 5ar&ları yerine )e&iren ir il)i )enli8i ri-k e8erlenir%e-i -re'ini &anı%la%alı e +y)+la%alıır: a A5a8ıakiler A5a8ıakilerii ieren il)i )enli8i )enli8i ri-k kri&erlerini kri&erlerinin n $l+5&+r+l%a-ı $l+5&+r+l%a-ı e -rrl%e-i: -rrl%e-i: 1 Ri-k Ri-k ka+l ka+l kri&e kri&erle rleri ri e 2 il)i il)i )enli8i ri-k e8erlenir e8erlenir%e-i %e-i ya@ıl%a-ı ya@ıl%a-ı iin kri&erler kri&erler Tekra Tekrarla rlanan nan il)i il)i )enli )enli8i 8i ri-k ri-k e8erl e8erleni enir%el r%eleri erinin nin &+&arl &+&arlı ı )eerl )eerlii e kar5ıl kar5ıla5&ı a5&ırıl rılai ailir lir -$n+l -$n+lar ar re&%e-inin &e%in eil%e-i ' il)i )enli )enli8i 8i ri-klerini ri-klerinin n &e-@i& &e-@i& eil%e-i: eil%e-i: 1 il)i )enli8i y
2 .a .ae e 6!1! 6!1!2 2 ' 1 e eli elirl rlen enen en ri-k ri-kle leri rin n )er )erek ekle le5% 5%ee-ii i(&i i(&i%a %alilini nin n )er )erek eki i ir ir 5eki 5ekil le e e8erleniril%e-i e 3 Ri-k -eiyelerin -eiyelerinin in elirlen elirlen%e-i %e-i e il)i )enli )enli8i 8i ri-klerinin ri-klerinin e8erlen e8erleniril%e iril%e-i: -i: 1 Ri-k anali4i anali4i -$n+larının .ae 6!1!2 a a $l+5&+r+lan ri-k kri&erleri ile kar5ıla5&ırıl%a-ı e 2 Anali4 Anali4 eilen ri-klerin ri-klerin ri-k i5le%e iin
1 1= = Bilg Bilgii g!e g!enl nli# i#ii "isk "isk i?l i?le& e&e e K+r+l+5 a5a8ıakileri )erekle5&ir%ek iin ir il)i )enli8i ri-k i5le%e -re'i &anı%la%alı e +y)+la%alıır: a Ri-k e8erlenir%e -$n+larını -$n+larını ikka&e alarak +y)+n il)i )enli8i ri-k i5le%e -eeneklerinin -eil%e-i Seilen il)i )enli8i )enli8i ri-k i5le%e -eeneklerinin +y)+lan%a-ına )erekli $lan &% k$n&r$llerin elirlen%e-i
Not * K+r+l+5lar )erek&i8in'e k$n&r$ller &a-arlayailir eya (er(an)i ir kaynak&an e lirleyeilir! ' J+karıak J+karıakii .ae 6!1!3 e elirlenen elirlenen k$n&r$ller k$n&r$ller ile Ek A aki aki k$n&r$llerin k$n&r$llerin kar5ıla5&ırıl%a kar5ıla5&ırıl%a-ı -ı e )erekli )erekli (iir k$n&r$ln )<4en kaırıl%aı8ının $8r+lan%a-ı
Not 1 - Ek A Ek A )eni5 ka@-a%lı ir k$n&r$l a%aları e k$n&r$ller li-&e-i ier%ek&eir! ier%ek&eir! + -&anarın k+llanı'ıları (iir )erekli k$n&r$ln )<4en kaırıl%a%a-ı iin Ek A ya ya y
ICS 3!0"0
TRK STANDARDI
TS ISO/IEC 27001/Aralık 2013
e ir il)i il)i )enli8i )enli8i ri-k i5le%e i5le%e @lanının @lanının #$r%le #$r%le eil%e-i e e # il)i )enli8i )enli8i ri-k ri-k i5le%e @lanına @lanına air ri-k -a(i@lerinin -a(i@lerinin $nayının $nayının alın%a-ı alın%a-ı e ar&ık il)i )enli8i )enli8i ri-klerini ri-klerinin n ka+l K+r+l+5 il)i )enli8i ri-k i5le%e -re'i ile il)ili ya4ılı il)ileri %+(a#a4a e&%eliir!
Not - + -&anaraki il)i )enli8i ri-k e8erlenir%e e i5le%e -re'i ISO 31000LM e erilen ilkeler e )enel kıla+4larla e5)%lr!
2 Bilgi g!enli#i g!enli#i *&*;l*". *&*;l*". !e !e + *&*;l*". *&*;l*". +*?*"&*k +*?*"&*k i;in
il)i )enli )enli8i 8i @$li&ika-ı @$li&ika-ı ile ile &+&arlı $l%alı $l%alı lleilir lleilir $l%alı +y)+lanail +y)+lanailir-e ir-e Uy)+lanailir il)i )enli8i 5ar&larını e ri-k e8erlenir%e e ri-k i5le%enin -$n+larını -$n+larını ikka&e al%alı D+y+ D+y+r+ r+l%a l%alı lı e e Uy)+n 5ekile 5ekile )n'ell )n'ellen%eli en%eliir! ir!
K+r+l+5 il)i )enli8i a%aları ile il)ili ya4ılı il)ileri %+(a#a4a e&%eliir! K+r+l+5 il)i )enli8i a%alarını na-ıl a5ara'a8ını @lanlarken a5a8ıakileri elirle%eliir: # ) ( i ?
Ne ya@ı ya@ıla la'a 'a8ı 8ı Han)i kaynakların kaynakların )erekli )erekli $la'a8ı $la'a8ı Ki%in Ki%in -$r+% -$r+%l+ l+ $la'a8 $la'a8ı ı Ne 4a% 4a%an an &a%a &a%a%l %lana ana'a 'a8ı 8ı e e S$n+ların na-ıl e8erlenirile'e8i!
7 Destek 71 K*$n*kl*" K+r+l+5 il)i )enli8i y
72 9ete"l te"liilik K+r+l+5 a5a8ıakileri ya@%alıır: a il)i il)i )enl )enli8i i8i @er#$r @er#$r%an%an-ını ını e&kile e&kileyen yen keni keni k$n&r$ k$n&r$l l al&ına al&ına alı5a alı5an n ki5ile ki5ilerin rin )erekl )ereklii ye&erl ye&erlili ilikle klerin rinin in elirlen%e-i Uy)+n <8re&i% e8i&i% eya &e're &e%eline + ki5ilerin ye&erliliklerinin &e%in eil%e-i ' Uy)+n $l+8+ +r+%lara +r+%lara )erekli ye&erlili ye&erlili8in 8in -a8lan%a-ı -a8lan%a-ı iin )iri5i%e +l+n+l%a+l+n+l%a-ıı e + )iri5i%lerin )iri5i%lerin e&kinli8inin e8erleniril%e-i e Je&erlili Je&erlili8in 8in elili $larak +y)+n ya4ılı il)ilerin il)ilerin %+(a#a4a %+(a#a4a eil%e-i!
Not - Uy)+lanailir )iri5i%ler
7= F*"k.n,*l.k K+r+l+5+n k$n&r$l =(iline )
7> (leti?i& K+r+l+5 a5a8ıakileri ieren il)i )enli8i y
ICS 3!0"0 a ' e
TRK STANDARDI
TS ISO/IEC 27001/Aralık 2013
9le&i5i 9le&i5i%in %in k$n+-+ k$n+-+ Ne 4a%an 4a%an ile&i5i% ile&i5i% k+r+la'a8ı k+r+la'a8ı Ki%inl Ki%inle e ile&i5i% ile&i5i% k+r+la' k+r+la'a8ı a8ı Ki%in Ki%in ile&i ile&i5i% 5i% k+ra'a k+ra'a8ı 8ı e 9le&i5i%in 9le&i5i%in (an)i (an)i -re&e -re&en n e&kilene'e8 e&kilene'e8i!i!
7@ 7@ 9*8.l. 8.l. +ilg +ilgil ile" e" 7@1 Genel K+r+l+5+n il)i )enli8i y
Not - ir il)i )enli8i y
7@ 7@2 2 Ol Ol?t" ?t"&* &* !e !e gn) gn)el elle le&e &e K+r+l+5 ya4ılı il)ileri $l+5&+r+rken e )n'ellerken a5a8ıakileri +y)+n ir 5ekile &e%in e&%eliir: a Tanı%la%a Tanı%la%a e &ari# &ari# e&%e
7@ 7@= = 9*8.l. *8.l. +ilg +ilgil ile" e"in in kont kont"o "ol l il)i )enli8i y
Da8ı&ı% Da8ı&ı% eri5i% eri5i% )e&ir%e )e&ir%e e e k+llanı% k+llanı% Ok+naklılı8ı Ok+naklılı8ın n k$r+n%a-ı a =(il =(il $l%ak 4ere 4ere -akla%a -akla%a e k$r+%a De8i5iklikl De8i5ikliklerin erin k$n&r$l k$n&r$l
K+r+l+5 &ara#ınan il)i )enli8i y
Not - Eri5i% Eri5i% -ae'e -ae'e ya4ılı ya4ılı il)il il)ileri erin n )
(?leti&
1 (?leti (?leti&se &sell
ICS 3!0"0
TRK STANDARDI
TS ISO/IEC 27001/Aralık 2013
2 Bilgi Bilgi g!enl g!enli#i i#i "isk "isk ,e#e ,e#e"len "len,i" ,i"&e &e K+r+l+5 .ae 6!1!2 a a elir&ilen kri&erleri e ikka&e alarak il)i )enli8i ri-k e8erlenir%elerini @lanlanan aralıklara eya
= = Bilg Bilgii g!e g!enl nli# i#ii "isk "isk i?le i?le&e &e K+r+l+5 il)i )enli8i ri-k i5le%e @lanını +y)+la%alıır! K+r+l+5 il)i )enli8i ri-k i5le%e-inin -$n+larına ai& ya4ılı il)ileri %+(a#a4a e&%eliir!
e"6o" 6o"&*ns ,e#e"len,i"&e
1 (8le&e (8le&e %l;&e %l;&e *n*li *n*li88 !e !e ,e#e" ,e#e"len len,i" ,i"&e &e K+r+l+5 il)i )enli8i @er#$r%an-ı e il)i )enli8i y
Not - Seilen y
2 (; te tetkik K+r+l+5 il)i )enli8i y
= = 9%ne 9%neti ti&i &in n g%8, g%8,en en ge; ge;i" i"&e &esi si -& y
ICS 3!0"0 1 2 3 "
TRK STANDARDI
TS ISO/IEC 27001/Aralık 2013
Uy)+n-+4l+kl Uy)+n-+4l+klar ar e 4el&i'i 4el&i'i #aaliy #aaliye&ler e&ler 94le%e 94le%e e
9l)ili 9l)ili &ara#lara &ara#laran n )eri iliri%ler iliri%ler e Ri-k Ri-k e8erl e8erlen enir%e ir%e -$n+la -$n+ları rı e ri-k i5le%e i5le%e @lanının @lanının +r+%+ e # Srekli iyile5&ir%e iin #ır-a&lar! # ır-a&lar! J
10 ($ile?ti"&e 101 $gns8lk !e ,8elti)i 6**li$et ir +y)+n-+4l+k $l+5&+8+na k+r+l+5 a5a8ıakileri yerine )e&ir%eliir: a Uy)+n-+4l+8 Uy)+n-+4l+8a a &e@ki eril%e-i eril%e-i e %%kn %%kn $l%a-ı +r+%+na +r+%+na:: 1 K$n&r$l eil%eeil%e-ii e 4el&%ek 4el&%ek iin eyle%e eyle%e )eil%e-i )eil%e-i e 2 S$n+l S$n+ları arı ile il)ilen il)ilenil% il%e-i e-i A5a8 A5a8ı ıak akililer erin in yeri yerine ne )e&i )e&iri ril%e l%e-i -i y$l+ y$l+yl yla a +y)+ +y)+nn-+4 +4l+ l+8+ 8+n n a5k a5ka a ir ir yer yere e &ekra &ekrarr e&%e e&%e%e%e-ii eya eya $l+5%a%a-ı iin neenlerinin )ieril%e-i a%a'ıyla eyle%e )e%e i(&iya'ının e8erleniril%e-i: 1 Uy)+n-+4l+8+ Uy)+n-+4l+8+ )<4en )eirerek )eirerek 2 Uy)+n-+4l+8+ Uy)+n-+4l+8+n n neenleri neenleri elirlene elirlenerek rek e 3 en4er en4er +y)+n+y)+n-+4l +4l+kl +kları arın n ar $l+@ $l+@ $l%aı $l%aı8ın 8ınıı eya eya $la-ıl $la-ılıkl ıkla a )erek )erekle5 le5i@ i@ )erek )erekle5 le5%ey %eye'e e'e8in 8inii elirleyerek ' erekli &% #aaliye&leri #aaliye&lerin n +y)+lan%a +y)+lan%a-ı -ı T% 4el&i'i 4el&i'i #aaliye&leri #aaliye&lerin n e&kinli8inin e&kinli8inin )<4en )<4en )eiril%e-i )eiril%e-i e e erekli $lan +r+%lara +r+%lara il)i )enli8i )enli8i y
102 S"ekli i$ile?ti"&e K+r+l+5 il)i )enli8i y
7
ICS 3!0"0
TRK STANDARDI
TS ISO/IEC 27001/Aralık 2013
Ek A Re6e"*ns kont"ol *&*;l*". !e kont"olle" i4el)e A!1 e li-&elenen k$n&r$l a%aları e k$n&r$ller .ae 6!1!3 a8la%ına k+llanıl%ak 4ere $8r+an ISO/IEC 27002:2013 L1M %ae &en %ae %a e 1e kaar li-&elenenleren ıkarıl%ı5 e -ıraya k$n+l%+5&+r!
i8elge A1 - K$n&r$l a%aları e k$n&r$ller A@ Bilgi g!enli#i
A!!1!1
il)i )enli8i iin @$li&ikalar
A!!1!2
il)i )enli8i iin @$li&ikaların )<4en )eiril%e-i
ir i4i il)i )enli8i @$li&ikaları y
il)i )enli8i @$li&ikaları elirli aralıklarla eya
A Bilgi g!enli#i o"g*ni8*s$on A1 (; o"g*ni8*s$on A%a: K+r+l+5 ieri-ine il)i )enli8i $@era-y$n+ e +y)+la%a-ının a5la&ıl%a-ı e k$n&r$l eil%e-i a%a'ıyla ir y
A!6!1!1
il)i )enli8i r$lleri e -$r+%l+l+kları
T% i il)i ) )enli8i -$ -$r+%l+l+kları &a &anı%lan%alı e e &a &a(-ieil%eliir! Kontrol
A!6!1!2
A!6!1!3
O&$ri&elerle ile&i5i%
eli5en )
9l)ili $&$ri&elerle +y)+n ile&i5i% k+r+l%alıır! Kontrol
A!6!1!"
4el il)i )r+@ları ile ile&i5i%
4el il)i )r+@ları eya i8er +4%an )enlik #$r+%ları e @r$#e-y$nel ernekler ile +y)+n ile&i5i% k+r+l%alıır! Kontrol
A!6!1!
r$?e y
r$?e y
A!6!2!1
.$il 'i(a4 @$li&ika-ı
.$il 'i(a4ların k+llanı%ı ile $r&aya ıkan ri-klerin y
A!6!2!2
U4ak&an alı5%a
U4ak&an alı5%a alanlarına eri5ilen i5lenen eya e@$lanan il)iyi k$r+%ak a%a'ı ile ir @$li&ika e e-&ekleyi'i )enlik
ICS 3!0"0
TRK STANDARDI
TS ISO/IEC 27001/Aralık 2013
A7 (ns*n k*$n*kl*". g!enli#i A71 (sti,*& %n)esi A%a: alı5anlar e ykleni'ilerin keni -$r+%l+l+klarını anla%alarını e 5nlkleri r$ller iin +y)+n $l%alarını &e%in e&%ek! Kontrol
A!7!1!1
Tara%a Tara%a
T% i5e alı%lara aaylar iin il)ili ya-a 4enle%e e e&i8e )
A!7!1!2
9-&i(a% (k% e k$5+lları
alı5anlar e ykleni'iler ile ya@ılan -<4le5%eler ken ilerinin e k+r+l+5+n il)i )enli8i -$r+%l+l+klarını elir&%eliir!
A72 *l.?&* esn*s.n,* A%a: alı5anların e ykleni'ilerin il)i )enli8i -$r+%l+l+klarının #arkına $l%alarını e yerine )e&ir%elerini &e%in e&%ek! Kontrol
A!7!2!1
J
J
il)i )enli8i A!7!2!2
#arkınalı8ı e8i&i% e <8re&i%i
K+r+l+5&aki &% alı5anlar e il)ili $l+8+ +r+%a +r+%a ykleni'iler keni i5 #$nk-iy$nları ile il)ili k+r+%-al @$li&ika e @r$-erlere ili5kin +y)+n #arkınalık e8i&i% e <8re&i%ini e +nların 4enli )n'elle%elerini al%alıırlar! Kontrol
A!7!2!3
Di-i@lin @r$-e-i
ir il)i )enli8i i(lal $layını )erekle5&iren alı5anlara y
A%a: 9-&i(a%ın -$nlanırıl%a-ı e e8i5&iril%e-i @r$-e-inin ir @ara-ı $larak k+r+l+5+n ıkarlarını k$r+%ak! 9-&i(a%
A!7!3!1 -$r+%l+l+klarının -$nlanırıl%a-ı eya e8i5&iril%e-i
Kontrol
9-&i(a%ın -$nlanırıl%a-ı eya e8i5&iril%e-inen -$nra )eerli $lan il)i il)i )enli8i )enli8i -$r+%l+l+klar -$r+%l+l+klarıı e )
A H*"l.k $%neti&i A1 H*"l.kl*".n so"&ll# A%a: K+r+l+5+n arlıklarını &e-@i& e&%ek e +y)+n k$r+%a -$r+%l+l+klarını &anı%la%ak! Kontrol
A!!1!1
Parlıkların Parlıkların enan&eri
A!!1!2
Parlıkların Parlıkların -a(i@li8i
il)i e il)i i5le%e $lanakları ile il)ili arlıklar elirlen%eli e + arlıkların ir enan&eri ıkarıl%alı e ia%e e&&iril%eliir! Kontrol
Enan&ere &+&+lan &% arlıklara -a(i@ a&a%aları ya@ıl%alıır! Kontrol
A!!1!3
Parlıkların Parlıkların ka+l ka +l eileilir k+llanı%ı
il)i e il)i i5le%e &e-i-leri ile il)ili il)i e arlıkların ka+l eileilir k+llanı%ına air k+rallar elirlen%eli ya4ılı (ale )e&iril%eli e +y)+lan%alıır! Kontrol
A!!1!"
Parlıkların Parlıkların iae-i
T% alı5anlar e ı5 &ara#ların k+llanı'ıları i-&i(a%larının -<4le5%e eya anla5%alarının -$nlanırıl%a-ının arınan ellerine $lan &% k+r+%-al arlıkları iae e&%eliirler! >
ICS 3!0"0
TRK STANDARDI
TS ISO/IEC 27001/Aralık 2013
A2 Bilgi s.n.6l*n,."&* A%a: il)inin k+r+% iin
A!!2!1
il)i -ını#lanır%a-ı
il)i ya-al 5ar&lar e8eri kri&ikli8i e ye&ki-i4 i#5a eya e8i5&iril%eye kar5ı (a--a-iye&ine )
A!!2!2
il)i e&ike&le%e-i
il)i e&ike&le%e iin +y)+n ir @r$-er k%e-i k+r+l+5 &ara#ınan eni%-enen -ını#lanır%a 4enine )
A!!2!3
Parlıkların Parlıkların k+llanı%ı
Parlıkların Parlıkların k+llanı%ı iin @r$-erler k+r+l+5 &ara#ınan eni%-enen -ını#lanır%a 4enine )
= O"t*& i?le&e A%a: Or&a%a e@$lanan il)inin ye&ki-i4 i#5a-ı e8i5&iril%e-i kalırıl%a-ı e y$k eil%e-ini en)elle%ek! Kontrol
!3!1
Ta5ınailir Ta5ınailir $r&a% y
Ta5ınailir $r&a% y
!3!2
Or&a%ın y$k eil%e-i
Or&a% ar&ık i(&iya kal%aı8ına re-%i @r$-erler k+llanılarak )enli ir 5ekile y$k eil%eliir! Kontrol
!3!3
Bi4ik-el $r&a% ak&arı%ı
il)i ieren $r&a% ak&arı% -ıra-ına ye&ki-i4 eri5i% k<&ye k+llanı% e $4+l%aya kar5ı k$r+n%alıır!
A E"i?i& kont"ol A!>!1 Eri5i% k$n&r$lnn i5 )ereklilikleri A%a: il)i e il)i i5le%e $lanaklarına eri5i%i kı-ı&la%ak Kontrol
A!>!1!1
Eri5i% k$n&r$l @$li&ika-ı
A8lara e a8 (i4% (i4%e& e&lleri erine eri5 eri5ii% A2 Kll*n.). e"i?i& $%neti&i
A!>!1!2
ir eri5i% k$n&r$l @$li&ika-ı i5 e il)i )enli8i 5ar&ları &e%eline $l+5&+r+l%alı ya4ılı (ale )e&iril%eli e )<4en )eiril%eliir! K+llanı'ılara -ae'e <4ellikle k+llanı%ı iin ye&kilenirilikleri a8 e a8 a8 (i (i4%e&l %e&ler eriine eri eri5i% 5i% er erilil%e %elliir iir!!
A%a: Je&kili Je&kili k+llanı'ı eri5i%ini &e%in e&%ek e -i-&e% e (i4%e&lere ye&ki-i4 eri5i%i en)elle%ek Kontrol
A!>!2!1
K+llanı'ı kaye&%e e kayı& -il%e
Eri5i% (aklarının a&an%a-ını -a8la%ak iin re-%i ir k+llanı'ı kaye&%e e kayı& -il%e @r$-e-i +y)+lan%alıır! Kontrol
A!>!2!2
K+llanı'ı eri5i%ine i4in er%e
T% k+llanı'ı &rlerine &% -i-&e%ler e (i4%e&lere eri5i% (aklarının a&an%a-ı eya i@&al eil%e-i iin re-%i ir k+llanı'ı eri5i% i4in @r$-e-i +y)+lan%alıır! Kontrol
A!>!2!3
A!>!2!" 10
Ayrı'alıklı eri5i% (akl (aklar arın ının ın y
Ayrı Ayrı'a 'alı lıkl klıı eri5i eri5i% % (akla (akları rını nın n &a(-i &a(-i-- eil% eil%ee-ii e k+ll k+llan anı% ı%ıı kı-ı&lan%alı e k$n&r$l eil%eliir!
Kontrol
i4li ki%lik $8r+la%a il)i-inin &a(-i- eil%e-i re-% i ir y
ICS 3!0"0
A!>!2!
TRK STANDARDI K+llanı'ı eri5i% (aklarının )<4en )eiril%e-i
TS ISO/IEC 27001/Aralık 2013
Kontrol
Parlık Parlık -a(i@leri k+llanı'ıların eri5i% (aklarını 4enli aralıklarla )<4en )eir%eliir! Kontrol
A!>!2!6
Eri5i% (aklarının kalırıl%a-ı eya 4enlen%e-i
T% alı5anların e ı5 &ara# k+llanı'ılarının il)i e il)i i5le%e $lanaklarına eri5i% ye&kileri i-&i(a%ları -<4le5%eleri eya anla5%aları -$na eririli8ine kalırıl%alı eya +nlaraki e8i5iklik 4erine 4enlen%eliir!
A= Kll*n.). so"&llkl*". A%a: K+llanı'ıları keni ki%lik $8r+la%a il)ilerinin k$r+n%a-ı k$n+-+na -$r+%l+ &+&%ak Kontrol
A!>!3!1
i4li ki%lik $8r+la%a il) il)ii-in inin in k+ll k+llan anı% ı%ıı
K+ll K+llan anı' ı'ıl ılar arın ın )i4l )i4lii ki%l ki%lik ik $8r $8r+l +la% a%a a il) il)ii-in inin in k+ll k+llan anı% ı%ın ına a k+r+%-al +y)+la%alara +y%aları 5ar& k$5+l%alıır! A> Siste& !e $gl*&* e"i?i& kont"ol
A%a: Si-&e% e +y)+la%alara ye&ki-i4 eri5i%i en)elle%ek Kontrol
A!>!"!1
il)iye eri5i%in kı-ı&lan%a-ı
il)i e +y)+la%a -i-&e% #$nk-iy$nlarına eri5i% eri5i% k$n&r$l @$li&ika-ı $8r+l&+-+na kı-ı&lan%alıır! Kontrol
A!>!"!2
enli $&+r+% a%a @r$-erleri
Eri5i% Eri5i% k$n&r$ k$n&r$ll @$li&ika @$li&ika-ı -ı &ara#ın &ara#ınan an 5ar& 5ar& k$5+l+8 k$5+l+8+ + yerlere yerlere -i-&e% e +y)+la%alara eri5i% )enli ir $&+r+% a%a @r$-er &ara#ınan k$n&r$l eil%eliir! Kontrol
A!>!"!3
ar$la y
ar$la y
A!>!"!"
Ayrı'alıklı e-&ek @r$)ra%larının k+llanı%ı
A!>!"!
r$)ra% kaynak k$+na k$+na eri5 eri5i% i% k$n&r k$n&r$l $l
Si-&e% e +y)+la%aların k$n&r$llerini )eer-i4 kıl%a kailiye&ine -a(i@ $l $lailen e e-&ek @r @r$)ra%larının k+ k+llanı%ı kı kı-ı&lan%alı e e -ı -ıkı ir 5ekile k$n&r$l eil%eliir! Kontrol
r$)ra r$)ra% % kaynak kaynak k$+ k$+na na eri5i eri5i% % kı-ı& kı-ı&lan lan%alı %alıır ır!!
A10 K"i
Kri@&$)ra#ik k$n&r$llerin k+llanı%ına ili5kin @$li&ika
Kontrol
il)inin k$r+n%a-ı iin kri@&$)ra#ik k$n&r$llerin k+llanı%ına air ir @$li&ika )eli5&iril%eli e +y)+lan%alıır! Kontrol
A!10!1!2
Ana(&ar y
Kri@&$)ra#ik ana(&arların k+llanı%ı k$r+n%a-ı e ya5a% -re-ine air ir @$li&ika )eli5&iril%eli e &% ya5a% eiri%leri -re-in'e +y)+lan%alıır!
11
ICS 3!0"0
TRK STANDARDI
TS ISO/IEC 27001/Aralık 2013
A11 Fi8iksel !e ;e!"esel g!enlik A111 G!enli *l*nl*" A%a: Je&ki-i4 Je&ki-i4 #i4ik-el eri5i%i k+r+l+5+n il)i e il)i i5le%e $lanaklarına $lanaklarına (a-ar eril%e-i e %a(ale eil%e-ini en)elle%ek Kontrol
A!11!1!1 A!11!1!1
Bi4ik-el )enlik -ınırı
Ha--a- eya kri&ik il)i e il)i i5le%e $lanakları arınıran alanları k$r+%ak iin )enlik -ınırları &anı%lan%alı e k+llanıl%alıır! Kontrol
A!11!1!2 A!11!1!2
Bi4ik-el )iri5 k$n&r$lleri
A!11!1!3 A!11!1!3
O#i-lerin $aların e &e-i-lerin )enli8inin -a8lan%a-ı
A!11!1!" A!11!1!"
Dı5 e ere-el &e(i&lere &e(i&lere kar5ı kar5ı k$r+%a
enli alanlar -ae'e ye&kili @er-$nele eri5i% e ri5i% i4ni eril%e-ini &e%in e&%ek iin +y)+n )iri5 k$n&r$lleri ile k$r+n%alıır!
Kontrol
O#i-ler $alar e &e-i-ler iin #i4ik-el )enlik &a-arlan%alı e +y)+lan%alıır! Kontrol
D$8al #elake&ler #elake&ler k<& niye&li niye&li -alır -alırılar ılar eya ka4alara ka4alara kar5ı kar5ı #i4ik-el #i4ik-el k$r+%a &a-arlan%alı e +y)+lan%alıır! Kontrol
A!11!1! A!11!1!
enli alanlara alı5%a
enli alanlara alı5%a iin @r$-erler &a-arlan%alı e +y)+lan%alıır! Kontrol
A!11!1!6 A!11!1!6
Te-li% -li%a& a& e ykl ykle%e e%e alanları
Je&ki&ki-i4 i4 ki5il ki5iler erin in &e-i-e &e-i-e )iri5 )iri5 ya@ai ya@ail li8 i8i i &e-li &e-li%a %a&& e ykle ykle%e %e alanları )ii eri5i% n$k&aları e i8er n$k&alar k$n&r$l eil%eli e %%kn-e ye&ki-i4 eri5i%i en)elle%ek iin il)i i5le%e $lanaklarınan ayrıl%alıır!
A112 Te;i8*t A%a: Parlıkların Parlıkların kayeil%e-i (a-ar )
A!11!2!1 A!11!2!1
Te(i4a& Te(i4a& yerle5&ir%e e k$r+%a
Te(i4a& Te(i4a& ere-el &e(i&leren e &e(likeleren e ye&ki-i4 eri5i% a4al&a'ak #ır-a&larınan kaynaklanan ri-kleri 5ekile yerle5&iril%eli e k$r+n%alıır! Kontrol
A!11!2!2 A!11!2!2
De-&ekleyi'i al&ya@ı (i4%e&leri
Te(i4a& e-&ekleyi'i al&ya@ı (i4%e&lerineki (a&alar/an kaynaklanan ener?i ke-in&ileri e i8er ke-in&ileren k$r+n%alıır! Kontrol
A!11!2!3 A!11!2!3
Kal$ )enli8i
Peri eya e-&ekleyi'i il)i (i4%e&lerini &a5ıyan ener?i e &elek$%nika-y$n kal$ları inle%e )iri5i% $l+5&+r%a eya (a-ara kar5ı k$r+n%alıır! Kontrol
A!11!2!" A!11!2!"
Te(i4a& Te(i4a& akı%ı
Te(i4a&ın Te(i4a&ın akı%ı -rekli eri5ileilirli8ini e &nl8n &e%in e&%ek iin $8r+ 5ekile ya@ıl%alıır! Kontrol
A!11!2! A!11!2!
12
Parlıkların Parlıkların &a5ın%a-ı
Te(i4a& Te(i4a& il)i eya ya4ılı%
TRK STANDARDI
ICS 3!0"0
TS ISO/IEC 27001/Aralık 2013
Kontrol
A!11!2!6 A!11!2!6
K+r+l+5 ı5ınaki &e(i4a& e arlıkların )enli8i
K+r+l+5 ı5ınaki arlıklara k+r+l+5 yerle5ke-i ı5ına alı5%anın #arklı ri-kleri e )<4
A!11!2!7 A!11!2!7
Te(i4a&ın Te(i4a&ın )enli y$k eil%e-i eya &ekrar k+llanı%ı
De@$la%a $r&a%ı ieren &e(i4a&ların &% @araları y$k e&%e eya &ekrar k+llanı%an
A!11!2! A!11!2!
<4e&i%-i4 k+llanı'ı &e(i4a&ı
K+llanı'ılar )<4e&i%-i4 &e(i4a&ın +y)+n 5ekile k$r+n%a-ını &e%in e&%eliir! Kontrol
A!11!2!> A!11!2!>
Te%i4 %a-a &e%i4 ekran @$li&ika-ı
K=8ı&lar e &a5ınailir e@$la%a $r&a%ları iin ir &e%i4 %a-a @$li&ika-ı e il)i i5le%e $lanakları iin ir ir &e%i4 ekran @$li&ika-ı eni%-en%eliir!
A12 (?leti& g!enli#i A121 (?leti& <"ose,"le"i !e so"&llkl*". A%a: il)i i5le%e $lanaklarının $8r+ e )enli i5le&i%lerini &e%in e&%ek A!12!1!1
Ja4ılı i5le&i% @r$-erleri A!12!1!2
De8i5iklik y
Ka@a Ka@a-i -i&e &e y
Kontrol
95le&i% @r$-erleri ya4ılı (ale )e&iril%eli e i(&iya'ı $lan &% k+llanı'ılara -a8lan%alıır! Kontrol
il)i )enli8ini e&kileyen k+r+l+5 i5 @r$-e-leri il)i i5le%e $lanakları e -i-&e%lereki e8i5iklikler k$n&r$l eil%eliir! Kontrol
Kayn Kaynak akla ları rın n k+l k+lla lanı nı%ı %ı i4le i4len% n%el eli i ayar ayarla lan% n%al alıı e e )er )erek eklili -i-& -i-&e% e% @er#$r%an-ını &e%in e&%ek iin )ele'ek&eki ka@a-i&e )erek-ini%leri ile il)ili ke-&iri%ler ya@ıl%alıır! Kontrol
eli5&ir%e &e-& e i5le i5le&i &i% % $r& $r&a% a%la ları rın n iri iriri rine nen n ayrı ayrıl% l%a-ı a-ı
eli eli5& 5&ir ir%e %e &e&e-&& e e i5l i5le& e&i% i% $r&a $r&a%l %lar ar ye&k ye&kii-i4 i4 eri5 eri5i% i% eya eya i5le i5le&i &i% % $r&a% $r&a%la ları rın na a e8i5 e8i5ik iklilikk ri-k ri-kle leri rini nin n a4al a4al&ı &ıl% l%aa-ıı iin iin irir iririn ine en n ayrıl%alıır! A122 K%t)l $*8.l.&l*",*n ko"&* A%a: il)i e il)i i5le%e $lanaklarının k<&'l ya4ılı%laran k$r+n%a-ını &e%in e&%ek! A!12!2!1
K<&'l ya4ılı%lara kar5ı k$n&r$ller
Kontrol
K<&'l ya4ılı%laran k$r+n%ak iin &e-@i& e&%e en)elle%e e k+r&ar%a k$n&r$lleri +y)+n k+llanı'ı #arkınalı8ı ile irlik&e +y)+lan%alıır!
A12= 9e,ekle&e 9e,ekle&e A%a: Peri kayına kayına kar5ı k$r+%a -a8la%ak A!12!3!1
il il)i yeek eeklle%e e%e
Kontrol
il il)i )i ya4 ya4ıl ılı% ı% e -i -i-&e% -&e% i%a? i%a?lları arının nın ye yeek ekle le%e %e k$@y k$@yal alar arıı alı alın% n%al alıı e 4erine anla5ıl%ı5 ir yeekle%e @$li&ika-ı $8r+l&+-+na 4enli $larak &e-& eil%eliir!
A12> K*$,et&e !e i8le&e A%a: Olayları kaye&%e e kanı& re&%ek 13
TRK STANDARDI
ICS 3!0"0
A!12!"!1
TS ISO/IEC 27001/Aralık 2013
Kontrol
Olay kaye& e&%e
K+llanı' nı'ı i5l i5le%le %leri k+r k+ral ı5 ı5ılık lıklar (a& (a&alar alar e e il il)i ) )enl enli8i $laylarını kay/e/en $lay kayı&ları re&il%eli7 -aklan%alı e /4enli
$larak )<4en )eiril%eliir! A!12!"!2
Kontrol
Kayı& il)i-inin k$r+n%a-ı A!12!"!3
Kaye&%e $lanakları e ka kayı& il)ileri k+r'ala%a e ye ye&ki-i4 eri5i%e kar5ı k$r+n%alıır!
Kontrol
J
Si-&e% y
Kontrol
Saa& Saa& -enkr$ -enkr$ni4 ni4a-y a-y$n+ $n+
ir k+r+ k+r+l+5 l+5 eya eya )e )enli nlikk alanın alanına a yer alan alan &% &% il)il il)ilii il)i il)i i5le% i5le%e e -i-&e%lerinin -aa&leri &ek ir re#eran- 4a%an kayna8ına )
95le&i%-el -i-&e%ler 4erine ya4ılı% k+r+l+%+
Kontrol
95le&i 95le&i%-el %-el -i-&e -i-&e%ler %ler 4eri 4erine ne ya4ılı ya4ılı% % @r$-erler +y)+lan%alıır!
k+r+l+% k+r+l+%+n+ +n+n n k$n&r$l k$n&r$l iin iin
A12 Teknik *;.kl.k $%neti&i A%a: Teknik Teknik aıklıkların k+llanıl%a-ını en)elle%ek Kontrol
A!12!6!1
Teknik knik aık aıklılıkl kları arın n y
K+ll K+llan anılıl%ak %ak&a &a $lan $lan il) il)ii -i-& -i-&e%l e%ler erin inin in &ekni &eknikk aık aıklılıkl kları arına na air air il) il)ii 4a%anına ele eil%eli k+r+l+5+n + &r aıklıklara kar5ı 4a#iye&i e8erleniril%eli e il)ili ri-kin ele alın%a-ı iin +y)+n &eirler alın%alıır! Kontrol
A!12!6!2
Ja4ılı% Ja4ılı% k+r+l+%+ kı-ı&la%aları
K+llanı'ılar &a &ara#ınan ya ya4ılı% k+ k+r+l+%+na a air k+ k+rallar $l+5&+r+l%alı e +y)+lan%alıır! A127 Bilgi siste&le"i tetkik ssl*".
A%a: Te&kik Te&kik #aaliye&lerinin i5le&i%-el -i-&e%ler 4erineki e&kilerini a-)ariye inir%ek! Kontrol
A!12!7!1
il) il)ii -i-& -i-&e%l e%leri eri &e&k &e&kik ik k$n&r$lleri
95le 95le&i&i%-e %-ell -i-& -i-&e%l e%leri erin n $8r $8r+l +lan an%a%a-ın ınıı ka@ka@-ay ayan an &e&k &e&kik ik )erek-ini%leri e #aaliye&leri i5 @r$-e-lerineki ke-in&ileri a-)ariye inir%ek iin ikka&li'e @lanlan%alı e 4erine anla5ıl%alıır!
A1= 4*+e"le?&e g!enli#i A1=1 A# g!enli#i $%neti&i A%a: A8aki il)i e e e-&ekleyi'i il)i i5le%e $lanaklarının k$r+n%a-ını -a8la%ak! Kontrol
A!13!1!1
A8 k$n&r$lleri
Si-&e%lereki e +y)+la%alaraki il)iyi k$r+%ak a%a'ıyla a8lar y
A!13!1!2
1"
A8 (i4%e&lerinin )enli8i
T% a8 (i4%e&lerinin )enlik %ekani4%aları (i4%e& -eiyeleri e y
ICS 3!0"0
TRK STANDARDI
TS ISO/IEC 27001/Aralık 2013
Kontrol
A!13!1!3
A8lara ayrı%
A8lara il)i (i4%e&leri k+llanı'ıları e il)i -i-&e%leri )r+@ları ayrıl%alıır!
A1=2 Bilgi t"*ns6e"i A%a: ir k+r+l+5 ieri-ine e (er(an)i ir ı5 arlık ara-ına &ran-#er eilen il)inin )enli8ini -a8la%ak! Kontrol
A!13!2!1
il)i &ran-#er @$li&ikaları e @r$-erleri
T% T% ile& ile&i5 i5i% i% $lan $lana8 a8ıı &rl &rler erin inin in k+ll k+llan anı% ı%ıy ıyla la il) il)ii &ran &ran-# -#er erin inii k$r+%ak iin re-%i &ran-#er @$li&ikaları @r$-erleri e k$n&r$lleri %e'+& $l%alıır! Kontrol
A!13!2!2
il)i &ran-#erineki anla5%alar
A!13!2!3
Elek&r$nik %e-a?la5%a
Anla5%alar k+r+l+5 e ı5 &ara#lar ara-ınaki i5 )enli &ran-#erini ele al%alıır!
il)ilerinin
Kontrol
Elek&r$nik %e-a?la5%aaki il)i +y)+n 5ekile k$r+n%alıır! Kontrol
A!13!2!"
i4lilik ya a i#5a e&%e%e anla5%aları
A!1"!1!1
il)i )enli8i )erek-ini%leri anali4i e elir&i%i
A!1"!1!2
Halka aık a8laraki +y)+la%a (i4%e&lerinin )enli8inin -a8lan%a-ı
il)inin k$r+n%a-ı iin k+r+l+5+n i(&iyalarını yan-ı&an )i4lilik ya a i#5a e&%e%e anla5%alarının )erek-ini%leri &anı%lan%alı 4enli $larak )<4en )eiril%eli e ya4ılı (ale )e&iril%eliir! A1> Siste& te&ini geli?ti"&e !e +*k.&. A1>1 Bilgi siste&le"inin g!enlik ge"eksini&le"i A%a: il)i )enli8inin il)i -i-&e%lerinin &% ya5a%
il)i )enli8i ile il)ili )erek-ini%ler yeni il)i -i-&e%leri )erek-ini%lerine eya ar $lan il)i -i-&e%lerinin iyile5&ir%elerine =(il eil%eliir!
Kontrol
Halka aık a8lar 4erinen )een +y)+la%a (i4%e&lerineki il)i (ileli #aaliye&leren -<4le5%e i(&ila#ınan e ye&ki-i4 i#5aan e e8i5&ir%een k$r+n%alıır! Kontrol
Uy)+la%a (i ( i4%e& i5 i5le%lerineki i il)i ek-ik ile&i% ya yanlı5 y2 Geli?ti"&e !e ,estek s"e;le"in,e g!enlik A%a: il)i )enli8inin il)i -i-&e%leri )eli5&ir%e ya5a%
A!1"!1!3
Uy)+la%a (i4%e& i5le%l i5le%leri erinin nin k$r+n% k$r+n%a-ı a-ı
Kontrol
A!1"!2!1
enli )eli5&ir%e @$li&ika-ı
Ja4ılı% Ja4ılı% e -i-&e%lerin )eli5&ir%e k+ralları elirlen%eli e k+r+l+5 ieri-ineki )eli5&ir%elere +y)+lan%alıır! Kontrol
A!1"!2!2
Si-&e% e8i5iklik k$n&r$l @r$-erleri
A!1"!2!3
95le&i% @la$r%+ e8i5iklikleren -$nra +y)+la%aların &eknik )<4en )eir%e-i
eli5&ir%e ya5a%
95le&i% @la$r%ları e8i5&irili8ine k+r+%-al i5le%lere ya a )enli8e (iir k<& e&ki-i $l%a%a-ını -a8la%ak a%a'ıyla i5 iin kri&ik +y)+la%alar )<4en )eiril%eli e &e-& eil%eliir! 1
ICS 3!0"0
A!1"!2!"
TRK STANDARDI Ja4ılı% Ja4ılı% @ake&lerineki @a ke&lerineki e8i5ikliklereki kı-ı&la%alar
TS ISO/IEC 27001/Aralık 2013
Kontrol
Ja4ılı% Ja4ılı% @ake&lerine ya@ıla'ak e8i5iklikler )erek +y+lanlar (ari
A!1"!2!
enli -i-&e% %(eni-li8i @ren-i@leri
enli -i-&e% %(eni-li8i @ren-i@leri elirlen%eli ya4ılı (ale )e&iril%eli e &% il)i -i-&e%i +y)+la%a alı5%alarına +y)+lan%alıır! Kontrol
A!1"!2!6
enli )eli5&ir%e $r&a%ı
K+r+l+5lar &% -i-&e% )eli5&ir%e ya5a%
A!1"!2!7
Dı5arıan -a8lanan )eli5&ir%e
K+r+l+5 ı5arıan -a8lanan -i-&e% )eli5&ir%e #aaliye&ini ene&le%eli e i4le%eliir! Kontrol
A!1"!2!
Si-&e% )enlik &e-&i
enlik i5le-elli8inin &e-& eil%e-i )eli5&ir%e -re-in'e )erekle5&iril%eliir! Kontrol
A!1"!2!>
Si-&e% ka+l &e-&i
Ka+l &e-& @r$)ra%ları e il)ili kri&erler yeni il)i -i-&e%leri yk-el&%eleri e yeni er-iy$nları iin elirlen%eliir!
A1>= Test !e"isi A%a: Te-& Te-& iin k+llanılan erinin k$r+n%a-ını -a8la%ak! Kontrol
A!1"!3!1
Te-& eri-inin k$r+n%a-ı
Te-& eri-i ikka&li ir 5ekile -eil%eli k$r+n%alı e k$n&r$l eil%eliir!
A1@ Te,*"ik;i ili?kile"i A1@1 Te,*"ik;i ili?kile"in,e +ilgi g!enli#i A%a: K+r+l+5a ai& &earikiler &ara#ınan eri5ilen arlıkların k$r+n%a-ını -a8la%ak! Kontrol
A!1!1!1
Teariki Teariki ili5kileri iin il)i )enli8i @$li&ika-ı
Teari arik kin inin in k+r+ k+r+l+ l+5+ 5+n n ar arlı lıkl klar arıına eri5 eri5i% i%ii ile il)i il)ilili ri-k ri-klleri eri a4al&%ak iin il)i )enli8i )erek-ini%leri &eariki ile kararla5&ırıl%alı e ya4ılı (ale )e&iril%eliir! Kontrol
Teariki A!1!1!2
anla5%alarına )enli8i i#ae e&%e
il)i-ine eri5eilen +n+ i5le&eilen e@$layailen ile& ile&e eililen en eya eya k+r+l k+r+l+5 +5+n +n il) il)ii-ii iin iin il) il)ii &ekn &ekn$l $l$? $?ililer erii al&y al&ya@ı a@ı ile5enlerini &e%in eeilen &earikilerin (er iri ile anla5ıl%alı e il)ili &% il)i )enli8i )erek-ini%leri $l+5&+r+l%alıır!
K+r+l+5+n
Kontrol
A!1!1!3
il)i e ile&i5i% &ekn$l$?ileri &earik 4in'iri
Tearikiler Tearikiler ile ya@ılan anla5%alar il)i e ile&i5i% &ekn$l$?ileri &ekn$l$?ileri (i4%e&leri e rn &earik 4in'iri ile il)ili il)i )enli8i ri-klerini i#ae een 5ar&ları ier%eliir! A1@2 Te,*"ik;i i8&et s*#l*&* $%neti&i A%a: Teariki Teariki anla5%alarıyla +y+%l+ $larak kararla5&ırılan -eiyee ir il)i )enli8ini e (i4%e& -+n+%+n+ -rr%ek! Teariki Teariki (i4%e&lerini A!1!2!1 i4le%e e )<4en )eir%e
16
Kontrol
K+r+l+5lar 4enli aralıklarla &eariki (i4%e& -+n+%+n+ i4le%eli )<4en )eir%eli e &e&kik e&%eliir!
TRK STANDARDI
ICS 3!0"0
TS ISO/IEC 27001/Aralık 2013
Kontrol
Teariki (i4%e&lerineki e8i5ik e8i5iklik likler lerii y
.e'+& il)i )enli8i @$li&ikalarını @r$-erlerini e k$n&r$llerini A!1!2!2 -rr%e e iyile5&ir%eyi ieren &earikilerin (i4%e& &eariki e8i5ik e8i5iklik likler lerii il)il il)ilii i5 il)i il)i -i-& -i-&e% e% e =(i =(ill eilen eilen -re -reler lerin in kri&ikli8ini e ri-klerin yenien e8erlenir%e-ini (e-aa ka&arak y
A!16!1!1
S$r+%l+l+klar e @r$-erler
A!16!1!2
il)i )enli8i $laylarının ra@$rlan%a-ı
il) il)ii )e )enl nli8 i8ii i(la i(lall $lay $layla ları rına na (ı4l (ı4lı ı e&ki e&kilili e e 4en 4enlili ir ir yanı& eril%e-ini -a8la%ak iin y
Kontrol
il) il)ii )e )enl nli8 i8ii $lay $layla ları rı +y)+ +y)+n n y
A!16!1!3
il)i )enli8i aıklıklarının ra@$rlan%a-ı
A!16!1!"
il)i )enli8i $laylarına e8erlenir%e e karar er%e
K+r+l+5+n il)i -i-&e%lerini e (i4%e&lerini k+llanan alı5anlaran e ykleni'ileren -i-&e%ler eya (i4%e&lere )<4lenen eya 5@(elenilen (er(an)i ir il)i )enli8i aıklı8ına ikka& e&%eleri e +nları ra@$rla%aları i-&en%eliir!
Kontrol
il) il)ii )e )enl nli8 i8i$la i$layl ylar arıı e8e e8erl rlen eni iri ril% l%el elii e e il) il)ii ) )en enlili8i 8i $lar $larak ak -ını -ını#l #lan anı ırı rılı lı@ @ -ını -ını#l #lan anı ırı rıl% l%ay aya' a'a8 a8ın ına a eril%eliir! $layı
i(la i(lall karar
Kontrol
A!16!1!
il)i )enli8i i(lal $laylar $laylarına ına yanı yanı&& er%e er%e
il)i il)i )enl )enli8i i8i i(la i(lall $layl $layların arına a ya4ıl ya4ılıı @r$-er @r$-erler lere e +y)+n +y)+n $larak $larak yanı& eril%eliir! Kontrol
A!16!1!6
il)i )enli8i i(lal $laylarınan erıkar%a
il)i )enli8i i(lal $laylarının anali4i e <4%le%e-inen ka4anılan &e're )ele'ek&eki i(lal $laylarının )erekle5%e $la-ılı8ını eya e&kilerini a4al&%ak iin k+llanıl%alıır! Kontrol
A!16!1!7
Kanı& &$@la%a
K+r+l+5 kanı& $larak k+llanılaile'ek il)inin &e5(i-i &$@lan%a-ı eini%i e k$r+n%a-ı iin @r$-erler &anı%la%alı e +y)+la%alıır! A17 (? s"eklili#i $%neti&inin +ilgi g!enli#i ssl*". A171 Bilgi g!enli#i s"eklili#i A%a: il)i )enli8i -reklili8i k+r+l+5+n i5 -reklili8i y
A!17!1!1
il)i )enli8i -reklili8inin @lanlan%a-ı
Kontrol
K+r+l+5 $l+%-+4 +r+%lara
A!17!1!2
il)i )enli8i -reklili8inin +y)+lan%a-ı
K+r+l+5 $l+%-+4 ir $lay -re-in'e il)i il)i )enli8i iin i-&enen 4eye -reklili8in -a8lan%a-ı iin @r$-e-leri @r$-erleri e k$n&r$lleri k+r%alı ya4ılı (ale )e&ir%eli +y)+la%alı e -rr%eliir!
17
ICS 3!0"0
TRK STANDARDI
TS ISO/IEC 27001/Aralık 2013
Kontrol
il)i )enli8i -reklili8inin
A!17!1!3 $8r+lan%a-ı )<4en )eiril%e-i e e8erleniril%e-i
K+r+l+ K+r+l+5 5 $l+5&+ $l+5&+r+l r+lan an e +y)+la +y)+lanan nan il)i il)i )enli )enli8i 8i -rekl -reklili ili8i 8i k$n& k$n&r$l r$lle leri rini nin n $l+%$l+%-+4 +4 $lay $layla larr -re-re-in in'e 'e )ee )eerl rlii e e&kil e&kilii $l+8+ $l+8+nan nan e%in e%in $l%ak $l%ak iin iin elirl elirlii aralık aralıklar lara a $8r+l $8r+l+8+ +8+n+ n+ -a8la%alıır!
A172 9e,ek 6*8l*l.kl*" A%a: il)i i5le%e $lanaklarının eri5ileilirli8ini &e%in e&%ek! A!17!2!1
il)i i5le%e $lanaklarının eri5ileilirli8i
Kontrol
il)i i5le%e $lanakları eri5ileilirlik )erek-ini%lerini kar5ıla%ak iin ye&erli #a4lalık ile )erekle5&iril%eliir!
A1 $& A11 9*s*l !e s%8le?&e$e t*+i ge"eksini&le"le $& A%a: Ja-al Ja-al %e5r+ 4enleyi'i eya -<4le5%eye &ai yk%llklere e (er &rl )enlik )erek-ini%lerine ili5kin i(lalleri
A!1!1!1
Uy)+lanailir ya-aları e -<4l -<4le5 e5%ey %eye e &a &aii )erekek-ini%l ni%le eri &anı%la%a
9l)i 9l)ilili &% &% ya-a ya-all %e %e4+ 4+a& a& 4e 4enl nley eyi' i'i i -<4l -<4le5 e5%e %een en $8an $8an 5ar& 5ar&la ları rı e k+r+l+5 +l+5+ +n + )ere erek-ini%leri kar5 ar5ıla%a yakla5ı%ı (er il)i -i-&e%i e k+r+l+5+ iin aıka &anı%lan%alı7 ya4ılı (ale )e&iril%eli
e )n'el &+&+l%alıır! Kontrol
A!1!1!2
Bikri %lkiye& (akları
Bikri %lkiye& (akları e @a&en&li ya4ılı% rnlerinin k+llanı%ı 4erineki ya-al 4enleyi'i e anla5%alaran $8an 5ar&lara +y+% -a8la%ak iin +y)+n @r$-erler )erekle5&iril%eliir! Kontrol
A!1!1!3
Kayı&ların k$r+n%a-ı
Kayı&lar kayeil%eye y$k eil%eye -a(&e'ili8e ye&ki-i4 eri5i%e e ye&ki-i4 yayı%la%aya kar5ı ya-al 4enleyi'i -<4le5%een $8an 5ar&lar e i5 5ar&larına +y)+n $larak k$r+n%alıır! Kontrol
A!1!1!"
Ki5i &e-@i& il)i-inin )i4lil )i4lili8i i8i e k$r+n%a k$r+n%a-ı -ı
A!1!1!
Kri@&$)ra#ik k$n&r$llerin 4enle%e-i
Ki5iyi Ki5iyi &e-@i& &e-@i& il)iil)i-ini inin n )i4l )i4lili ili8i 8i e e k$r+ k$r+n%an%a-ıı +y)+ +y)+lan lanail ailen en yerler yerlere e il)ili ya-a e 4enle%eler ile -a8lan%alıır! Kontrol
Kri@&$)ra#ik k$ k$n&r$ller & &% ilil)ili -< -<4le5%eler ya-a e e 4enle%elere +y+%l+ ir 5ekile k+llanıl%alıır! A12 Bilgi g!enli#i g%8,en ge;i"&ele"i A%a: il)i )enli8inin k+r+%-al @$li&ika e @r$-erler +yarın'a )erekle5&iril%e-ini e yr&l%e-ini -a8la%ak! Kontrol
il)i )enli8inin A!1!2!1
a8ı%-ı4 )<4en )eir%e-i
K+r+l+5+n il)i )enli8ine e +y)+la%a-ına
A!1!2!2
enl enlik ik @$li&i @$li&ikal kaları arı e -&an -&anar ar&l&ları arı ile ile +y+ +y+% %
J
A!1!2!3
1
Teknik +y+% )<4en )eir%e-i
K+r+l+5+n il)i ) )enli8i @$li&ika e -& -&anar&ları ile +y+%+ i iin il)i -i-&e%leri 4enli ir 5ekile )<4en )eiril%eliir!
ICS 3!0"0
TRK STANDARDI
TS ISO/IEC 27001/Aralık 2013
KA9NAKA L1M ISO/IEC ISO/IEC 27002:2013 27002:2013 In#$r%a&i$n In#$r%a&i$n &e'(n$l$)y Q Se'+ri&y Te' Te'(ni,+e(ni,+e- Q C$e $# @ra'&i'e #$r in#$r%a&i$n -e'+ri&y '$n&r$lL2M ISO/IEC ISO/IEC 27003 In#$r%a&i$n In#$r%a&i$n &e'(n$l$)y Q Se'+ri&y &e'(ni,+e&e'(ni,+e- Q In#$r%a&i$n -e'+ri&y -e'+ri&y %ana)e%en& -y-&e% i%@le%en&a&i$n )+ian'e L3M ISO/IEC ISO/IEC 2700" In#$r%a&i$n In#$r%a&i$n &e'(n$l$)y &e'(n$l$)y Q Se'+ri&y &e'(ni,+e&e'(ni,+e- Q In#$r%a&i$n -e'+ri&y -e'+ri&y %ana)e%en& Q .ea-+re%en& L"M ISO/IEC 2700 In#$r%a&i$n &e'(n$l$)y Q Se'+ri&y Se'+ri&y &e'(ni,+e- Q In#$r%a&i$n In#$r%a&i$n -e'+ri&y ri-k %ana)e%en& LM ISO 31000:200> 31000:200> Ri-k Ri-k %ana)e%en& %ana)e%en& Q rin'i@le- an an )+ieline)+ielineL6M ISO/IEC Dire'&ie- Dire'&ie- ar& 1 C$n-$lia&e ISO S+@@le%en& r$'e+re- -@e'i#i' &$ ISO 2012
19