A5 INFORMATION SECURITY POLICIES Bilgi güvenliği politikaları

Transkript

1 A5 INFORMATION SECURITY POLICIES Bilgi güvenliği politikaları A.5 Information security policies Bilgi güvenliği politikaları A A Policies for information security Bilgi güvenliği için politikalar Review of the policies for information security Bilgi güvenliği politikalarını gözden geçirme A A 5.1.2

2 A.6 ORGANISATION OF INFORMATION SECURITY Bilgi güvenliği organizasyonu A.6.1 A A A A A A.6.2 A A Internal Organisation İç organizasyon Information security roles and responsibilities Bilgi güvenliği rolleri ve sorumlulukları Segregation of duties Görev ayırımları Contact with authorities Otoriteler ile iletişim Contact with special interest groups Özel ilgi grupları ile iletişim Information security in project management Proje yönetiminde bilgi güvenliği Mobile Devices and Teleworking Mobil bilgi işleme ve uzaktan çalışma Mobile device policy Mobil cihaz politikası Teleworking Uzaktan çalışma A / A A A A New Yeni New Yeni A

3 A.7 HUMAN RESOURCES SECURITY A.7 İnsan kaynakları güvenliği A.7.1 A A A.7.2 A A A A.7.3 A Prior to Employment İstihdam öncesi Screening Tarama Terms and conditions of employment İstihdam koşulları During Employment Çalışma esnasında Management responsibilities Yönetim sorumlulukları Information security awareness, education & training Bilgi güvenliği farkındalığı, eğitim ve öğretimi Disciplinary process Disiplin prosesi Termination or Change of Employment İstihdamın sonlandırılması veya değiştirilmesi Termination or change of employment responsibilities Sonlandırma veya değişiklik sorumlulukları A A A A A A.8.3.1

4 A.8 ASSET MANAGEMENT A.8 Varlık yönetimi ISO 27001:2013 ISO 27001:2005 A.8.1 Responsibility for Assets Varlıkların sorumluluğu A Inventory of assets Varlıkların envanteri A A Ownership of assets Varlıkların sahipliği A A A A.8.2 A A A Acceptable use of assets Varlıkların kabul edilebilir kullanımı Return of assets Varlıkların iadesi Information Classification Bilgi sınıflandırması Classification of information Sınıflandırma kılavuzu Labeling of information Bilgi etiketleme Handling of assets Varlıkların muamelesi A A A A A

5 A.8 ASSET MANAGEMENT A.8 Varlık yönetimi A.8.3 A A A Media handling Ortam İşleme Management of removable media Taşınabilir ortam yönetimi Disposal of media Ortamın yok edilmesi Physical media transfer Fiziksel medyanın taşınması A A A

6 A.9 ACCESS CONTROL A.9 Erişim kontrolü A.9.1 Business requirements of access control Erişim kontrolü için iş gereksinimi A A A.9.2 A A A A Access control policy Erişim kontrol politikası Access to networks and network services Ağ hizmetlerinin kullanımına ilişkin politika User access management Kullanıcı erişim politikası User registration and de-registration Kullanıcı kaydı ve kaydın silinmesi User access provisioning Kullanıcıya erişim sağlamak Management of privileged access rights Ayrıcalık yönetimi Management of secret authentication information of users Kullanıcı gizli erişim bilgilerinin yönetimi A A A A A A A A Review of user access rights Kullanıcı erişim haklarının gözden geçirilmesi Removal or adjustment of access rights Erişim haklarının kaldırılması veya ayarlanması A A.8.3.3

7 A.9 ACCESS CONTROL A.9 Erişim kontrolü A.9.3 A A.9.4 A A A A A User Responsibilities Kullanıcı sorumlulukları Use of secret authentication information Gizli doğrulama bilgilerinin kullanımı System and application access control Sistem ve uygulama erişim kontrolü Information access restriction Bilgi erişim kısıtlaması Secure log-on procedures Güvenli oturum açma prosedürleri Password management system Parola yönetim sistemi Use of privileged utility programs Öncelikli program kullanımı Access control to program source code Program kaynak koduna erişim kontrolü A A A A A A

8 A.10 CRYPTOGRAPHY A. 10 Kriptografi A.10.1 A A Cryptographic Controls Kriptografik kontroller Policy on the use of cryptographic controls Kriptografik kontrollerin kullanımına ilişkin politika Key management Anahtar yönetimi A A

9 A.11 PHYSICAL & ENVIRONMENTAL SECURITY A.11 Fiziksel ve çevresel güvenlik A.11.1 A A A A A A A.11.2 A A Secure Areas Güvenli alanlar Physical security perimeter Fiziksel güvenlik çevresi Physical entry controls Fiziksel giriş kontrolleri Securing offices, rooms and facilities Ofisler, odalar ve olanakları korumaya alma Protecting against external end environmental threats Dış ve çevresel tehditlre karşı koruma Working in secure areas Güvenli alanlarda çalışma Delivery and loading areas Dağıtım ve yükleme alanları Equipment Ekipman Equipment siting and protection Teçhizat yerleştirme ve koruma Supporting utilities Destek hizmetleri A A A A A A A A.9.2.2

10 A.11 PHYSICAL & ENVIRONMENTAL SECURITY A.11 Fiziksel ve çevresel güvenlik A A A A A A A ISO 27001:2013 Cabling security Kablolama güvenliği Equipment maintenance Teçhizatın bakımı Removal of assets Mülkiyet çıkarımı Security of equipment and assets off-premises Kuruluş dışındaki teçhizatın güvenliği Security disposal or re-use of equipment Teçhizatın güvenli olarak elden çıkarılması ya da tekrar kullanımı Unattended user equipment Gözetimsiz teçhizat kullanımı Clear desk and clear screen policy Temiz masa, temiz ekran politikası ISO 27001:2005 A A A A A A A

11 A.12 OPERATIONS SECURITY A.12 Operasyon güvenliği ISO 27001:2013 ISO 27001:2005 A.12.1 A A A A A.12.2 Operational procedures & responsibilities Operasyonel prosedürler ve sorumluluklar Documented operating procedures Dokümante edil iş işletim proedürleri Change management Değişim yönetimi Capacity management Kapasite yönetimi Separation of development, testing & operational environments Geliştirme, test ve işletim olanaklarının ayırımı Protection from malware Kötü niyetli koda karşı kontroller A A A A A Controls against malware A A.12.3 A Backup Yedekleme Information backup Bilgi yedekleme A

12 A.12 OPERATIONS SECURITY A.12 Operasyon güvenliği A.12.4 A A A Logging and monitoring Kayıt etme ve izleme Event logging Olay kaydetme Protection of log information Kayıt bilgisinin korunması Administrator and operator logs Yönetici ve operator kayıtları A A A A A.12.5 Clock synchronisation Saat senkronizasyonu Control of operational software Operasyonel yazılımın kontrolü A A Installation of software on operational systems Operasyonel sistemlere yazılım yükleme A

13 A.12 OPERATIONS SECURITY A.12 Operasyon güvenliği A.12.6 A A A.12.7 Technical vulnerability management Teknik açıklık yönetimi Management of technical vulnerabilities Teknik açıklıkların yönetilmesi Restrictions on software installation Yazılım yüklemelerinde kısıtlamalar Information systems audit considerations Bilgi sistemleri denetim hususları A New Yeni A Information systems audit controls Bilgi sistemleri denetim kontrolleri A & A

14 A.13 COMMUNICATIONS SECURITY A.13 Haberleşme güvenliği A.13.1 A A A A.13.2 A A A A Network Security Management Ağ güvenliği yönetimi Network controls Ağ kontrolleri Security of network services Ağ hizmetleri güvenliği Segregation in networks Ağlarda ayırım Information Transfer Bilgi değişimi Information transfer policies and procedures Bilgi değişim politika ve prosedürleri Agreements on information transfer Bilgi değişim anlaşmaları Electronic messaging Elektronik mesajlaşma Confidentiality or non-disclosure agreements Gizlilik veya açıklamama anlaşmaları A A A A A A A 6.1.5

15 A.14 SYSTEM ACQUISITION, DEVELOPMENT & MAINTENANCE A.14 Bilgi sistemleri edinim, geliştirme ve bakımı A.14.1 ISO 27001:2013 Security requirements of information systems Bilgi sistemlerinin güvenlik gereksinimleri ISO 27001:2005 A.12.1 A A A A.14.2 Information security requirements analysis and specification Güvenlik geresinimi analizi ve belirtimi Securing applications services on public networks Açık ağlarda güvenli uygulama hizmetleri Protecting application services transactions Uygulama hizmetleri değişimlerini koruma Security in development and support processes Geliştirme ve destek proseslerinde güvenlik A A A A A Secure development policy Güvenli geliştirme politikası Change control procedures Değişim kontrol prosedürleri New Yeni A

16 A.14 SYSTEM ACQUISITION, DEVELOPMENT & MAINTENANCE A.14 Bilgi sistemleri edinim, geliştirme ve bakımı A A A A A A A ISO 27001:2013 Technical review of applications after operating platform changes Platform değişikliklerinden sonra uygulamaların teknik gözden geçirilmesi Restrictions on changes to software packages Yazılım paketlerindeki değişikliklerdeki kısıtlamalar Secure system engineering principles Güvenli system mühendisliği prensipleri Secure development environment Güvenli geliştirme ortamı Outsourced development Dışarıdan sağlanan yazılım geliştirme System security testing Sistem güvenliği testi System acceptance testing Sistem Kabul testi ISO 27001:2005 New (ref: A ) A New New A New Yeni A

17 A.14 SYSTEM ACQUISITION, DEVELOPMENT & MAINTENANCE A.14 Bilgi sistemleri edinim, geliştirme ve bakımı A.14.3 A Test Data Test verisi Protection of test data Test verisinin korunması A

18 A.15 SUPPLIER RELATIONSHIPS A.15 Tedarikçi ilişkileri A.15.1 A A A A.15.2 A A Information security in supplier relationships Tedarikçi ilişkilerinde bilgi güvenliği Information security policy for supplier relationships Tedarikçi ilişkileri için bilgi güvenliği politikası Addressing security within supplier agreements Tedarikçi anlaşmalarında güvenliği ifade etme Information and communication technology supply chain Bilgi ve iletişim teknolojisi tedarik zinciri Supplier service delivery management Tedarikçi hizmet sağlama yönetimi Monitoring and review of supplier services Tedarikçi hizmetlerini izleme ve gözden geçirme Managing changes to supplier services Tedarikçi hizmetlerindeki değişiklikleri yönetme New/A6.2.1 Yeni A New Yeni A A

19 A.16 INFORMATION SECURITY INCIDENT MANAGEMENT A.16 Bilgi güvenliği ihlal olayı yönetimi A.16.1 A A A A A A A ISO 27001:2013 Management of information security incidents and improvements BG ihlal olayı yönetimi ve iyileştirilmesi Responsibilities and procedures Sorumluluk ve prosedürler Reporting information security events Bilgi güvenliği olaylarının rapor edilmesi Reporting information security weaknesses Güvenlik zayıflıklarının rapor edilmesi Assessment of and decision on information security events BG olaylarının değerlendirilmesi ve karar Response to information security incidents BG ihlal olaylarına cevap verme Learning from information security incidents Bilgi güvenliği ihlal olaylarından öğrenme Collection of evidence Kanıt toplama ISO 27001:2005 A A A New Yeni New Yeni A A

20 A.17 IS ASPECTS OF BUSINESS CONTINUITY MANAGEMENT A.17 İş sürekliliği yönetiminin BG hususları A.17.1 A A ISO 27001:2013 Information security continuity Bilgi güvenliği sürekliliği Planning information security continuity Bilgi güvenliği sürekliliğini planlamak Implementing information security continuity Bilgi güvenliği sürekliliğini işletmek ISO 27001:2005 A A A A A A.17.2 Verify, review and evaluate information security continuity Bilgi güvenliği sürekliliğini doğrulama, gözden geçirme ve değerlendirme Redundancies A A Availability of information processing facilities Bilgi işleme altyapısının bulunurluğu New Yeni

21 A.18 COMPLIANCE A. 18 Uyum ISO 27001:2013 ISO 27001:2005 A.18.1 A A A A A Compliance with legal and contractual requirements Yasa ve sözleşme ile uyum Identification of applicable legislation and contractual requirements Uygulanabilir yasa ve anlaşmaları tanımlama Intellectual property rights (IPR) Fikri mülkiyet hakları Protection of records Kayıtların korunması Privacy and protection of personally identifiable information Özel bilgi ve kişisel bilgilerin gizliliği Regulation of cryptographic controls Kriptografik kontroller hakkında yasa A A A A A

22 A.18 COMPLIANCE A. 18 Uyum ISO27001:2013 ISO 27001:2005 A.18.2 A A A Information security reviews Bilgi güvenliğini gözden geçirme Independent review of information security Bilgi güvenliğinin bağımsız gözden geçirilmesi Compliance with security policies and standards Güvenlik politika ve standartlarıyla uyum Technical compliance review Teknik uyumun gözden geçirilmesi A A A