YZM5604 Bilgi Güvenliği Yönetimi 02 Aralık 2013 Dr. Orhan Gökçöl http://akademik.bahcesehir.edu.tr/~gokcol/yzm5604 Bahçeşehir Üniversitesi, Fen Bilimleri Enstitüsü Duyuru 9 Aralık Pazartesi DERS YAPILMAYACAKTIR. Gelecek hafta, 2. arasınavınızı göndereceğim (yine ev sınavı olacak). ISO27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMLERİ GEREKSİNİMLERİ 1
Ülkemizde ISO27001 Uygulamaları Özel sektörde bazı ihalelerde kamu ihale kanununa göre ihale açan kurum ve kuruluşlar ihale şartnamelerinde ISO 27001 bilgi güvenliği yönetim sistemi belgesi istenmektedir. Bu zorunluluk yapılan projenin gizliliği güvenliği üst düzeyde ise ihaleyi açan kuruluş ıso 27001 belgesini özellikle istemektedir. Örneğin savunma sanayi projelerine yönelik açılan ihalelerde gerek yazılım hizmeti veren gerekse ürün üreten satışını yapan firmalardan bu belge istenmektedir. Ülkemizde ISO27001 Uygulamaları Ayrıca Telekomünikasyon Kurumu tarafından yapılan bir yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketlerin (Data Center) kurumların 20.07.2010 tarihine kadar ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alması zorunlu hale getirilmiştir. Ülkemizde ISO27001 Uygulamaları Elektronik Haberleşme Yönetmeliğinin ilgili maddesi; 11. maddesi ÜÇÜNCÜ BÖLÜM İşletmecilerin Yükümlülükleri MADDE 11 (1) İşletmeci, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluğu sağlamakla yükümlüdür. Yetkilendirilen işletmeciler yetkilendirme tarihinden itibaren bir yıl içerisinde söz konusu standarda uygunluğu sağlar. Belirtilen süre içerisinde söz konusu standarda uygunluğu sağlayamayan işletmecilere Kurul tarafından gerekli görülmesi halinde ilave süre verilebilir. Özel sektörde gerek kamu ihalelerinde gerekse kamu ile stratejik alanlarda iş birliği yapan kurum kuruluşların ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmalarını ve belgelendirme denetimine girerek ISO 27001 belgesini almaları gerekmektedir. 2
Kamu Kurumlarında ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alınması zorunluluğu? Kamu kurumlarında genellikle özel sektörden farklı olarak ISO 27001 belgesinin alınması zorunlu değildir fakat aşağıda anlatılan bazı kanun ve yasalara göre her ne kadar belgelendirme zorunluluğu yok ise de ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmaları zorunludur. Bilgi Güvenliği Yönetim sistemi Kurmak için kamu kurumlarına dair çerçeve yasalar 10.12.2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunuyla kamu malî yönetim sistemi tüm kamu kurumlarında uluslararası standartlar ve Avrupa Birliği uygulamalarına uygun bir şekilde yeniden düzenlenmesi ve bu kapsamda etkin bir iç kontrol sisteminin oluşturulması için Maliye Bakanlığı tarafından hazırlanan ve 26.12.2007 tarihli ve 26738 sayılı Resmi Gazetede yayımlanan Kamu İç Kontrol Standartları Tebliği ile kamu idarelerinde iç kontrol sisteminin oluşturulması, uygulanması, izlenmesi ve Geliştirilmesi amacıyla (18) standart ve bu standartlar için gerekli (79) genel şart belirlendi. Bu 79 genel şarttan en az 10 şart bilgi güvenliği sisteminin kurumlarda oluşturulmasını hedeflemektedir. 2003 / 48 sayılı Başbakanlık Genelgesi ile yürürlüğe giren e- Dönüşüm Türkiye Projesinin 4.1.1. inci maddesinde Bilgi Güvenliği Yönetim Sisteminin (BGYS) tüm kurumlarda kurulmasının hedeflendiği belirtilmektedir. 05/08/2005 tarihli ve 25897 sayılı Resmi Gazete de yayımlanan, 2005/20 sayılı Başbakanlık Genelgesi ile çıkarılan Birlikte Çalışabilirlik Esasları Rehberinde elektronik ortamda sunulan hizmetlerde başarı, güven ortamının sağlanmasına bağlı olduğu vurgulanmıştır. Bu da, güvenlikle ilgili politika ve düzenlemelerin geliştirilmesini gerektirir. 2006 / 38 sayılı Yüksek Planlama Kurulu Kararı yla onaylanan ve 28/07/2006 tarihli ve 26242 sayılı Resmi Gazete de yayımlanan Bilgi Toplumu Stratejisi Belgesinde stratejik öncelikler arasında yer alan bilgi güvenliğinin ülke genelinde ve kamu kurumlarında bilgi sistemleri ile elektronik iletişim ve ağ bağlantılarında güvenliğin sağlanması ve sürdürülmesi için gerekli organizasyonel düzenlemelerin gerçekleştirileceğinden bahsedilmektedir. Ayrıca, bilgi güvenliğinin sağlanması için yasal düzenlemelerin yapılacağı da vurgulanmaktadır. 3
ISO27001 Nedir?? Kontrol-tabanlı Gruplanmış olarak sunulan kontroller, BG deki en iyi uygulamaları içermektedir. «Bilgi» Standardı Her türlü BİLGİ yi kapsar. Bilgi, her ne şekilde olursa olsun; her nerede saklanırsa saklansın, uygun bir şekilde korunmalıdır! 8 Cümle, 11 Kontrol grubu, 134 kontrol Sertifikalandırılabilir - Uluslararası geçerliliği olan - Risk yönetimi esaslı ISO Tarihçe 1992 The Department of Trade and Industry (DTI), which is part of the UK Government, publish a 'Code of Practice for Information Security Management'. 1995 This document is amended and re-published by the British Standards Institute (BSI) in 1995 as BS7799. 1999 The first major revision of BS7799 was published. This included many major enhancements. Accreditation and certification schemes are launched. LRQA and BSI are the first certification bodies. Tarihçe 2000 In December, BS7799 is again re-published, this time as a fast tracked ISO standard. It becomes ISO 17799 (or more formally, ISO/IEC 17799). 2001 The 'ISO 17799 Toolkit' is launched. 2002 A second part to the standard is published: BS7799-2. This is an Information Security Management Specification, rather than a code of practice. It begins the process of alignment with other management standards such as ISO 9000. 2005 A new version of ISO 17799 is published. This includes two new sections, and closer alignment with BS7799-2 processes.. 2005 ISO 27001 is published, replacing BS7799-2, which is withdrawn. This is a specification for an ISMS (information security management system), which aligns with ISO 17799 and is compatible with ISO 9001 and ISO 14001 4
17799 nereden geliyor? BS7799 was conceived, as a technology-neutral, vendorneutral management system that, properly implemented, would enable an organization's management to assure itself that its information security measures and arrangements were effective. From the outset, BS7799 focused on protecting the availability, confidentiality and integrity of organizational information and these remain, today, the driving objectives of the standard. BS7799 was originally just a single standard, and had the status of a Code of Practice. In other words, it provided guidance for organizations, but hadn't been written as a specification that could form the basis of an external third party verification and certification scheme. ISO27001 Kurumlardaki bilgi güvenliği yönetimi gereksinimlerini veren, uluslararası kabul gören bir standarttır. ISO standardıdır ve ISO9001 Kalite yönetim sistemi ile pek çok ortak noktası vardır. ISO 9001 Kalite Yönetimindeki en iyi Uygulamalar Nedir? İşletmelerde kalite yönetimi konusunda, uluslararası geçerliliği olan bir standarttır. Bir kuruluşun ürettiği ve kontrol ettiği her türlü ürün ve servise uygulanabilir. Müşteri gereksinimleri ve beklentilerini karşılamak amacıyla yapılması gereken her türlü sistematik aktiviteyi barındırır It is designed and intended to apply to virtually any product or service, made by any process anywhere in the world. Dünya çapında pek çok işletmede uygulanmaktadır 5
ISO 9001 Faydaları nelerdir? Implementing a Quality Management System will motivate staff by defining their key roles and responsibilities. Cost savings can be made through improved efficiency and productivity, as product or service deficiencies will be highlighted. From this, improvements can be developed, resulting in less waste, inappropriate or rejected work and fewer complaints. Customers will notice that orders are met consistently, on time and to the correct specification. This can open up the market place to increased opportunities. ISO27001 : Bilgi Güvenliği Yönetim Sistemi İşletmede Bilgi Güvenliğini Sağlamak İçin yapılması gerekenleri ortaya çıkartan bir ISO modelidir. Model aşağıdaki unsurları içerir : -Kurmak -Gerçekleştirmek -İşletmek -İzlemek -Gözden Geçirmek -Sürdürmek -İyileştirmek Diğer ISO standartlarında olduğu gibi SÜREÇ (process) yaklaşımı benimsenmiştir. Süreç yaklaşımında kuruluşun bir çok faaliyetini tanımlaması ve yönetmesi gerekmektedir. 27000 serisi standartların genel yapısı 27000 Fundamentals & Vocabulary 27001:ISMS 27005 Risk Management 27002 Code of Practice for ISM 27003 Implementation Guidance 27004 Metrics & Measurement 27006 Guidelines on ISMS accreditation 6
ISO 27000 temel standartları 10 standard have been/about to be published so far : ISO/IEC 27001 - the certification standard against which organizations' ISMS may be certified (published in 2005) ISO/IEC 27002 - the re-naming of existing standard ISO 17799 (last revised in 2005, and renumbered ISO/IEC 27002:2005 in July 2007) ISO/IEC 27006 - a guide to the certification/registration process (published in 2007) ISO/IEC 27000 - a standard vocabulary for the ISMS standards ISO/IEC 27003 - a new ISMS implementation guide ISO/IEC 27004 - a new standard for information security management measurements ISO/IEC 27005 - a proposed standard for risk management ISO/IEC 27007 - a guideline for auditing information security management systems ISO/IEC 27011 - a guideline for telecommunications in information security management system ISO/IEC 27799 - guidance on implementing ISO/IEC 27002 in the healthcare industry ISO/IEC 27031 - a new standard for maintaining business continuity ISO/IEC27033-1 network security ISO/IEC 27001 ISO/IEC 27001 sertifikasyonu genellikle 3 aşamalı bir denetleme sürecinden oluşmaktadır: Stage 1 is a "table top" review of the existence and completeness of key documentation such as the organization's security policy, Statement of Applicability (SoA) and Risk Treatment Plan (RTP). Stage 2 is a detailed, in-depth audit involving testing the existence and effectiveness of the information security controls stated in the SoA and RTP, as well as their supporting documentation. Stage 3 is a follow-up reassessment audit to confirm that a previously-certified organization remains in compliance with the standard. Certification maintenance involves periodic reviews and re-assessments to confirm that the ISMS continues to operate as specified and intended. ISO/IEC 27002 ISO/IEC 27002 provides best practice recommendations on IS security management systems (ISMS). The standard contains the following twelve main sections: 1. Risk Assessment determining asset vulnerability 2. Security Policy - management direction 3. Organization of Information Security - governance of information security 4. Asset Management - inventory and classification of information assets 5. Human Resources Security - security aspects for employees joining, moving and leaving an organization 6. Physical and Environmental Security - protection of the computer facilities 7
ISO/IEC 27002 7. Communications and Operations Management - management of technical security controls 8. Access Control - restriction of access rights to networks, systems, applications, functions and data 9. Information Systems Acquisition, development and maintenance - building security into applications 10. Information Security Incident Management - anticipating and responding appropriately to security breaches 11. Business Continuity Management - protecting, maintaining and recovering business-critical processes and systems 12. Compliance - ensuring conformance with information security policies, standards, laws and regulations ISO/IEC 27002 Within each section, information security controls and their objectives are specified and outlined. Specific controls are not mandated since: Each organization is expected to undertake a structured information security risk assessment process to determine its specific requirements before selecting controls that are appropriate to its particular circumstances. It is practically impossible to list all conceivable controls in a general purpose standard. Industry-specific implementation guidance for ISO/IEC 27001 and 27002 are anticipated to give advice tailored to organizations in the telecomms, financial services, healthcare, lotteries and other industries. PUKÖ PUKÖ, bir BGYS nin bilgi güvenliği gereksinimlerini ve ilgili tarafların beklentilerini girdi olarak nasıl aldığını ve gerekli eylem ve prosesler aracılığıyla, bu gereksinimleri ve beklentileri karşılayacak bilgi güvenliği sonuçlarını nasıl ürettiğini gösterir. Yukarıdaki şekil ayrıca, standarttaki Madde 4, Madde 5, Madde 6, Madde 7 ve Madde 8 de sunulan proseslerdeki bağlantıları da gösterir. 8
PUKÖ Plan Do Check Act Cycle (PDCA) Plan Establish the ISMS Interested parties Implement and operate the ISMS Maintain and improve the ISMS Interested parties Do Act Information security requirements and expectations Monitor and review the ISMS Check Managed information security PUKÖ BGYS Kurulması BGYS kapsamını belirlemek BGYS politikasını tanımlamak Risk yönetimi için sistematik bir yaklaşım tanımlamak Riskleri belirlemek Riskleri değerlendirmek Riskleri azaltmak için kullanılabilecek seçenekleri belirlemek ve değerlendirmek Riskleri azaltmak için kontrol amaçlarını ve kontrolleri belirlemek Uygulanabilirlik Bildirgesi (Prepare a Statement of Applicability (SOA)) hazırlamak Kalan riskleri belirlemek ve bunlar için yönetimin onayını almak BGYS çalıştırmak/uygulamak için yönetimin onayını almak 9
PUKÖ BGYS nin Uygulanması Riski azaltma planını formüle etmek Prosedürler Riski azaltma planını uygulamak Seçilen kontrolleri uygulamak Eğitimler ve farkındalıklık programları düzenlemek Operasyonları yönetmek Kaynakları yönetmek Güvenlik ihlallerini saptamak ve karşılamak için prosedür ve kontrolleri uygulamak BGYS nin Kontrol Edilmesi PUKÖ İzleme prosedürlerini çalıştırmak Düzenli gözden geçirmeler yapmak Artık risklerin seviyesini gözden geçirmek İç denetimler yapmak Yönetim değerlendirmeleri (yönetimin gözden geçirmesi) yapmak Güvenlik ihlal olaylarını ve bunlara verilen cevapları kayıt altına almak PUKÖ BGYS nin Bakımı, İyileştirilmesi ve Sürdürülebilir Halde Olması Tanımlanan iyileştirmeleri uygulanması Önleyici ve düzeltici faaliyetlerin yapılması Sonuçların değerlendirilmesi, tartışılması Verimlilik 10
BGYS KURULUMU BGYS kurulum isteği kurumun üst yönetimi tarafından benimsenmelidir. Üst yönetim desteği BGYS nin başarıya ulaşması açısından hayati öneme sahiptir. Üst yönetim BGYS nin gerekliliğine ve faydasına inanmalıdır. BGYS kurulumu bir BT ürünü veya sistemi kurulumuyla karıştırılmamalıdır. BGYS kurumun iş yapma tarzını etkileyen köklü bir sistemdir ve kurumu tümden etkiler. Tüm kademelerdeki çalışanların işini yaparken bilgi güvenliği prensiplerine uygun hareket etmesini gerekli kılar. Bu bilincin oluşması ve işleyişe geçmesi de bir gelişim sürecinin sonucu olacaktır. BGYS KURULUMU BGYS sadece kurumun BT bölümüne ait bir iş değildir. BGYS tamamen bir teknoloji meselesi veya teknik bir iş de değildir. Tüm kurumun aktif halde katılımıyla hedefine ulaşabilecek bir sistemdir. En üst kademe yöneticiden en alt seviye çalışana kadar katılım ve destek şarttır. Aksi halde BGYS den beklenen faydanın elde edilmesi mümkün değildir BGYS Kurulumu Etkin bir BGYS kurulumu konusunda ilk yapılması gereken işlerden bir diğeri de kurum içinde bir Bilgi Güvenliği Komisyonu oluşturulmasıdır. Bilgi güvenliği komisyonu (Güvenlik Forumu da denir) kurum içindeki her bölümden temsilcilerden oluşur. Bilgi işlem, iç denetim, muhasebe, insan kaynakları, güvenlik ve diğer tüm bölümlerden temsilciler bu komisyonda yer almalıdır. Komisyon temsilcileri bilgi güvenliği konusunda deneyimli ve bilgili, bunun yanında kendi bölümlerini temsil edebilme yetkisine sahip kişiler olmalıdır. Komisyon temsilcileri bilgi güvenliği konusunda yeterli bilgi seviyesine sahip değilse mutlaka BGYS eğitimleri almalıdır. 11
BGYS Kurulumu Tüm bölümlerden temsilcilerin komisyonda yer alması BGYS nin başarı şansını arttırır. BGYS in kurumun tamamına nüfuz etmesini kolaylaştırır. Kurum çapındaki güvenlik ihtiyaçlarının daha etkin bir biçimde farkında olunmasını sağlar. Bu durum BGYS in doğru planlanması ve sağlıklı işlemesi açısından hayati öneme sahiptir. Her bölümden bir temsilcinin katılımı yönetim ve teknik kadro arasındaki iletişim kopukluğunu gidermeye de yarar. Sorunları ve ihtiyaçları yerinde yaşayan kişiler belli konularda yönetimin daha rahat ikna edilmesini sağlar. Bilgi güvenliği komisyonu sayesinde BGYS ile ilgili görev ve sorumluluklar da kurum içinde dağıtılmış olur. ISO27001 Uygulama Süreci BGYS Politikası Bu politika, hedefleri ortaya koyan, yönetime yön veren ve harekete geçiren, hangi riskin değerlendirmeye alınacağına ilişkin risk yönetim kapsamı ve kriterini belirleyen bir çerçeve sunmalıdır. BGYS politikasının amacını bulması için yönetim politika içeriğindeki maddelerin uygulamaya geçirileceğine ilişkin kararlarlığını çalışanlara hissettirmelidir. 12
Risk Değerlendirme Yaklaşımı Bilgi güvenliği politikası temel alınarak sistematik bir risk değerlendirme yaklaşımı belirlenmelidir. Kurum kendine uygun bir metodoloji seçmekte serbesttir. Seçilen risk değerlendirme metodolojisi kıyaslanabilir ve tekrarlanabilir sonuçlar üretmeyi garanti etmelidir. Bu adımda kabul edilebilecek risk seviyeleri belirlenmeli ve bunlar için ölçütler geliştirilmelidir. Risk Belirleme Korunması gereken varlıkları tehdit eden riskler, önceki adımda belirlenen yöntem kullanılarak tespit edilmelidir. BGYS içerisindeki tüm varlıkların tanımlanması, yani varlık envanterinin çıkarılması risk değerlendirme işinin esasını oluşturur. Kurum BGYS kapsamına dahil edeceği tüm varlıkların sahiplerini, türünü ve önem derecesini bir envanter listesi şeklinde belgelemelidir. Bir varlığın önem derecesini belirlemek için bu varlığın gizliliğine,bütünlüğüne ve kullanılabilirliğine gelecek zararın kuruma yapacağı etkinin derecesini baştan ortaya koymak gerekmektedir. Risk Analizi ve Değerlendirilmesi Tespit edilen risklerin analizi ve derecelendirilmesi yapılmalıdır. Bu adım bir önceki adımda tespit edilen risklerin yorumlanması olarak görülebilir. Risk analizi yaparken riske neden olan tehdit ve açıklıklardan yola çıkılmalıdır. Riskin derecelendirilmesi veya değerinin belirlenebilmesi için öncelikle tehdidin gerçekleşme olasılığı ile etki derecesi hesaplanmalıdır. Bunlar sayısal değerler kullanılarak hesaplanabileceği gibi rakamlarla ifadenin zor olduğu durumlarda düşük, orta, yüksek gibi nitel değerlerle de belirlenebilir. 13
Risk Analizi ve Değerlendirilmesi Riskin kabul edilebilir olup olmadığı Risk Değerlendirme Yaklaşımında belirlenen ölçütler kullanılarak tespit edilmelidir. Tüm bu hesaplama ve değerlemeler uygulanmakta olan mevcut kontroller de dikkate alınarak yapılmalıdır. Kontroller risk değerini azaltabilir. Bu adım sonunda bir risk değerlendirme sonuç raporu yayınlanmalıdır. Riski Azaltma Bu adımda risk değerlendirme sonuç raporundan yola çıkılarak uygun risk azaltma/tedavi (risk treatment) yöntemleri belirlenmelidir. Belli bir risk karşısında dört farklı tavır alınabilir: Uygun kontroller uygulanarak riskin ortadan kaldırılması veya kabul edilebilir seviyeye düşürülmesi Riskin oluşmasına neden olan faktörleri ortadan kaldırarak riskten kaçınılması Riskin sigorta şirketleri veya tedarikçiler gibi kurum dışındaki taraflara aktarılması Kurum politikalarına ve risk kabul ölçütlerine uyması şartıyla riskin objektif bir biçimde ve bilerek kabul edilmesi Kontrollerin Seçimi Risk işleme süreci sonuçlarına uygun kontrol ve kontrol hedeflerinin seçilmesi gerekir. TS ISO/IEC 27001:2008 de bu kontrollerden detaylı bir biçimde bahsedilmektedir. Bu kontroller standartta yol gösterici olması amacıyla verilmiştir. Kurum kendisine ek olarak başka kontroller de seçmekte serbesttir. ISO27001 kontrolleri, sektör tecrübelerinden faydalanmak suretiyle, standart etki alanlarında olabildiğince geniş kapsamlı olarak belirlenmiş olsa da dış kaynaklı kontrollere ihtiyaç olabilmektedir. 14
Yönetimin Onayı Artık Risk Onayı Risk işleme süreci sonrasında geriye kalan riske artık risk (residual risk) denir. Bunlar kabul edilen riskler veya tamamen ortadan kaldırılamayan riskler olabilir. Kurum üst yönetimi artık riskler için onay vermelidir. Bu adım sonunda artık risk onay belgesi oluşturulmalıdır. Yönetim Onayı Risk yönetimi adımlarını geçtikten sonra BGYS işletimi ve uygulamasını yapmak için yönetimden onay almak gerekmektedir. Uygulanabilirlik Bildirgesi (SOA) Son olarak risklere karşı seçilen kontrolleri içeren bir Uygulanabilirlik Bildirgesi hazırlanarak BGYS kurulum işi tamamlanır. Uygulanabilirlik Bildirgesi daha önce seçilen kontrollerin neler olduğu ve bunların hangi gerekçelerle seçildiğini anlatmalıdır. TS ISO/IEC 27001 EKA dan seçilmeyen kontrollerin neler olduğu ile bunların seçilmeme gerekçeleri de Uygulanabilirlik Bildirgesinde verilmelidir. Ayrıca mevcut durumda uygulanmakta olan kontroller de yine bu belge içinde yer bulmalıdır. Normalde, kontroller ISO27001 den seçilir. Ancak, firmaya özel kontroller ya da başka gereksinimleri/standartları karşılamak üzere uygulanması gereken kontroller de olabilir SOA SOA dokümanında seçilecek kontrolün uygulanması ile ilgili olarak, gerekli politikalar ve prosedürlere referans verilmelidir. Ayrıca, seçilmeyen kontrollerin neden seçilmediği ile ilgili olarak da bir gerekçe dokümanı hazırlanması yararlı olacaktır. SOA oluşturulduktan sonraki adım programın uygulanması olacaktır. 15
BGYS KURULUMU - ADIMLAR ISO27001 11 ALAN (Kategori) altında 39 adet kontrol amacı Bu amaçları gerçekleştirmek için yapılması gereken TOPLAM 133 tane kontrol ALANLAR A.5: Güvenlik Politikası A.6: Bilgi Güvenliği Organizasyonu A.7: Varlık Yönetimi A.8: İnsan Kaynakları Güvenliği A.9: Fiziksel ve Çevresel Güvenlik A.10: Haberleşme ve İşletim Yönetimi A.11: Erişim Kontrolü A.12: Bilgi Sistemleri Edinim, geliştirme ve bakımı A.13: Bilgi Güvenliği İhlal Olayı Yönetimi A.14: İş Sürekliliği Yönetimi A.15: Uyum 16
ISO27001 Kontrolleri Her bir alanla ilgili bir ya da birden çok bilgi güvenliği amacı bulunmaktadır. (Toplam 39 tane control objectives) İlgili alandaki BG amaçlarını gerçekleştirebilmek için uygulanması gereken kontroller var (Toplam 133 tane) Örnek : Kontrol Amaçları GÜVENLİK POLİTİKASI 17
18
ISO27001 STANDART İNCELEMESİ 19