1. Giriş: Bilgi Güvenliğinin Teknik Omurgası
ISO 27001 standardı iki ana bölümden oluşur. Standart metni (Madde 4-10) sistemin nasıl “yönetileceğini” (politika, liderlik, risk analizi) anlatırken; Ek-A (Annex A) bölümü güvenliğin sahada nasıl “uygulanacağını” belirleyen teknik, fiziksel ve organizasyonel kontrolleri listeler.
2022 revizyonu ile Ek-A yapısı tamamen modernize edildi. Eski versiyondaki 114 kontrol, daha sade ve dinamik bir yaklaşımla 93 kontrol maddesine indirildi. Artık karmaşık 14 bölüm yerine, güvenliği 4 ana tema üzerinden yönetiyoruz. Bu rehberde, dijital kalenizi inşa edecek bu 93 kontrolün tamamını ve ISO 27701 (Kişisel Veri) ile olan bağını inceliyoruz.
2. ISO 27001:2022 Ek-A Kategorileri ve Tam Liste
Yeni versiyonda kontroller, uygulanabilirliği artıran 4 ana tema altında toplanmıştır. İşte 93 maddenin tamamı:
A.5 Organizasyonel Kontroller (37 Kontrol)
Bu bölüm, kurumun yönetimsel “beyni”dir. Kuralların nasıl koyulacağını ve varlıkların nasıl yönetileceğini belirler.
| Madde No | Kontrol Başlıkları (A.5.1 – A.5.37) |
|---|---|
| A.5.1 – A.5.10 | Bilgi Güvenliği Politikaları, Roller, Sorumluluklar, Görevler Ayrılığı, Yönetimle İletişim, İlgili Taraflarla İletişim, Tehdit İstihbaratı, Bilgi Güvenliği Proje Yönetimi, Varlık Envanteri, Varlıkların Kabul Edilebilir Kullanımı. |
| A.5.11 – A.5.20 | Varlıkların İadesi, Bilginin Sınıflandırılması, Etiketleme, Bilgi Transferi, Erişim Kontrolü, Kimlik Yönetimi, Kimlik Doğrulama Bilgileri, Erişim Hakları, Tedarikçi İlişkileri, Tedarikçi Sözleşmelerinde Güvenlik. |
| A.5.21 – A.5.30 | Tedarik Zinciri Yönetimi, Bulut Hizmetleri Güvenliği, Bilgi Güvenliği Olay Yönetimi, Olay Bildirimi, Kanıt Toplama, Kesinti Anında Güvenlik, ICT Sürekliliği, Yasal Mevzuat Uyum, Fikri Mülkiyet Hakları. |
| A.5.31 – A.5.37 | Kayıtların Korunması, Gizlilik ve Kişisel Verilerin Korunması, Bağımsız İnceleme, Politikaların Gözden Geçirilmesi, Çalışma Prosedürleri. |
A.6 İnsan Kontrolleri (8 Kontrol)
Güvenliğin “insan” faktörüne odaklanır. İşe alımdan ayrılışa kadar tüm süreçleri kapsar.
| Madde No | Kontrol Başlıkları (A.6.1 – A.6.8) |
|---|---|
| A.6.1 – A.6.4 | Tarama (İşe Alım Öncesi), İş Sözleşmeleri, Bilgi Güvenliği Eğitimi ve Farkındalığı, Disiplin Süreci. |
| A.6.5 – A.6.8 | İşten Ayrılma veya Değişiklik Sorumluluğu, Gizlilik Sözleşmeleri, Uzaktan Çalışma, Güvenlik İhlallerinin Bildirilmesi. |
A.7 Fiziksel Kontroller (14 Kontrol)
Ofislerin, sunucu odalarının ve ekipmanların fiziksel korunmasını denetler.
| Madde No | Kontrol Başlıkları (A.7.1 – A.7.14) |
|---|---|
| A.7.1 – A.7.7 | Fiziksel Sınırlar, Fiziksel Giriş, Ofis ve Tesis Güvenliği, Fiziksel İzleme, Doğal Tehditlere Karşı Koruma, Güvenli Alanlarda Çalışma, Temiz Masa ve Temiz Ekran. |
| A.7.8 – A.7.14 | Ekipman Yerleşimi, Tesis Dışı Varlıklar, Depolama Medyası, Ekipman Bakımı, Ekipmanın Güvenli İmhası, Sahipsiz Ekipman. |
A.8 Teknolojik Kontroller (34 Kontrol)
Yazılım, ağ ve siber güvenliğin teknik zırhıdır.
| Madde No | Kontrol Başlıkları (A.8.1 – A.8.34) |
|---|---|
| A.8.1 – A.8.10 | Kullanıcı Cihazları, Erişim Hakları, Kimlik Doğrulama, Kriptografi, Bilginin Silinmesi, Ayrıcalıklı Erişim Hakları, Kaynak Kod Erişimi, Güvenli Kimlik Doğrulama, Yazılım Kurulumu. |
| A.8.11 – A.8.20 | Veri Maskeleme, Veri Sızıntısını Önleme (DLP), Yedekleme, Bilgi Sistemlerinin Yedekliliği, Günlük Kaydı (Logging), İzleme Faaliyetleri, Saat Senkronizasyonu, Kaynak Kullanımı. |
| A.8.21 – A.8.30 | Ağ Güvenliği, Ağ Hizmetleri, Ağ Ayrıştırma, Web Filtreleme, Güvenli Kod Yazma, Geliştirme Yaşam Döngüsü, Yazılım Testleri, Dış Kaynaklı Geliştirme, Değişim Yönetimi. |
| A.8.31 – A.8.34 | Sızma Testleri, Teknik Zayıflık Yönetimi (Pentest), Bilgi Sistemleri Denetimi Kontrolleri, Kötü Amaçlı Yazılımdan Korunma. |
3. Dijital Dünyanın Yeni Gereksinimi: 11 Yeni Kontrol Maddesi
2022 revizyonu ile eklenen 11 yeni madde, günümüzün siber risklerine karşı geliştirilmiştir. Bu maddeler, ISO 27701 (Kişisel Veri) alacak firmalar için teknik birer zorunluluktur:
Tehdit İstihbaratı (A.5.7): Dışarıdaki tehditleri önceden fark edip aksiyon almak.
Bulut Hizmetleri Güvenliği (A.5.23): Veri buluttaysa güvenliği kim sağlıyor?
ICT Sürekliliği (A.5.30): Bir kriz anında teknolojik sistemler nasıl geri döner?
Fiziksel Güvenlik İzleme (A.7.4): Sadece kilit değil, 7/24 görsel takip.
Yapılandırma Yönetimi (A.8.9): Cihazların güvenli kurulması (Hardening).
Bilginin Silinmesi (A.8.10): Artık gerekmeyen verinin kalıcı imhası.
Veri Maskeleme (A.8.11): Hassas verilerin gizlenerek korunması.
Veri Sızıntısını Önleme (A.8.12): DLP sistemleri ile sızıntı takibi.
İzleme Faaliyetleri (A.8.16): Anormal hareketlerin loglar üzerinden takibi.
Web Filtreleme (A.8.23): Zararlı internet sitelerine erişimin engellenmesi.
Güvenli Kod Yazma (A.8.28): Yazılımın en başından güvenli geliştirilmesi.
4. ISO 27701 ve KVKK Uyumu İçin Neden Ek-A Şart?
ISO 27701 (Kişisel Veri Yönetimi) hedefleyen kuruluşlar için Ek-A kontrolleri bir “seçenek” değil, “zorunluluktur”. Örneğin; KVKK’nın “Veri İmha Politikası” şartı, ISO 27001’in A.8.10 (Bilginin Silinmesi) maddesi ile birebir örtüşür. “Teknik Tedbirler” başlığı altında istenen sızıntı önleme gerekliliği ise A.8.12 (DLP) maddesi ile karşılanır.
Vertacert uzmanları, bu kontrollerin her birini sadece birer madde olarak değil, işletmenizi yasal cezalardan koruyan birer “savunma kalkanı” olarak yapılandırır.
5. Uygulanabilirlik Bildirgesi (SoA) Nedir?
ISO 27001 denetiminin “yıldız” dokümanı SoA (Statement of Applicability)‘dir. Bu dokümanda, yukarıdaki 93 kontrolün hangilerini uyguladığınızı, hangilerini (ve neden) kapsam dışı bıraktığınızı beyan edersiniz. Eğer bir maddeyi “Uygulanıyor” olarak işaretlediyseniz, denetçiye bunun kanıtını (Politika, rapor, ekran görüntüsü vb.) sunmak zorundasınız.
6. Sonuç: Kontrol Sizde, Gelecek Güvende
ISO 27001:2022 Ek-A kontrolleri, bir şirketin siber dayanıklılık seviyesini belirleyen en güvenilir haritadır. Bu 93 maddeyi doğru kurgulayan bir işletme, hem ticari sırlarını korur hem de ISO 27701 ve KVKK uyumunda rakiplerinin fersah fersah önüne geçer.
