a5 information security policies bilgi güvenli ği politikaları · 2018-08-03 · a.14 bilgi...

ISO/IEC 27001:2013'deki değişiklikler.

A5 INFORMATION SECURITY POLICIES

Bilgi güvenliği politikaları

ISO 27001:2013

ISO 27001:2005

A.5 Information security policies Bilgi güvenliği politikaları

A.5.1.1 Policies for information security Bilgi güvenliği için politikalar

A 5.1.1

A.5.1.2 Review of the policies for information security Bilgi güvenliği politikalarını gözden geçirme

A 5.1.2


A.6 ORGANISATION OF INFORMATION SECURITY

Bilgi güvenliği organizasyonu

ISO 27001:2013 ISO 27001:2005

A.6.1 Internal Organisation İç organizasyon

A.6.1.1 Information security roles and responsibilities

Bilgi güvenliği rolleri ve sorumlulukları

A 6.1.2 / A 6.1.3

A.6.1.2 Segregation of duties

Görev ayırımları

A.10.1.3

A.6.1.3 Contact with authorities

Otoriteler ile iletişim

A 6.1.6

A.6.1.4 Contact with special interest groups

Özel ilgi grupları ile iletişim

A 6.1.7

A.6.1.5 Information security in project management

Proje yönetiminde bilgi güvenliği

New Yeni

A.6.2 Mobile Devices and Teleworking Mobil bilgi işleme ve uzaktan çalışma

A.6.2.1 Mobile device policy Mobil cihaz politikası

New Yeni

A.6.2.2 Teleworking

Uzaktan çalışma

A.10.7.2


A.7 HUMAN RESOURCES SECURITY

A.7 İnsan kaynakları güvenliği

ISO 27001:2013 ISO 27001:2005

A.7.1 Prior to Employment İstihdam öncesi

A.7.1.1 Screening Tarama

A.8.1.2

A.7.1.2 Terms and conditions of employment

İstihdam koşulları

A.8.1.3

A.7.2 During Employment Çalışma esnasında

A .7.2.1 Management responsibilities Yönetim sorumlulukları

A.8.2.1

A.7.2.2 Information security awareness, education & training Bilgi güvenliği farkındalığı, eğitim ve öğretimi

A.8.2.2

A.7.2.3 Disciplinary process Disiplin prosesi

A.8.2.3

A.7.3 Termination or Change of Employment İstihdamın sonlandırılması veya değiştirilmesi

A.7.3.1 Termination or change of employment responsibilities

Sonlandırma veya değişiklik sorumlulukları

A.8.3.1


A.8 ASSET MANAGEMENT

A.8 Varlık yönetimi

ISO 27001:2013 ISO 27001:2005

A.8.1 Responsibility for Assets Varlıkların sorumluluğu

A.8.1.1 Inventory of assets Varlıkların envanteri

A.7.1.1

A.8.1.2 Ownership of assets Varlıkların sahipliği

A.7.1.2

A.8.1.3 Acceptable use of assets

Varlıkların kabul edilebilir kullanımı

A.7.1.3

A.8.1.4 Return of assets Varlıkların iadesi

A.8.3.2

A.8.2 Information Classification Bilgi sınıflandırması

A.8.2.1 Classification of information

Sınıflandırma kılavuzu

A.7.2.1

A.8.2.2 Labeling of information

Bilgi etiketleme A.7.2.2

A.8.2.3 Handling of assets

Varlıkların muamelesi

A.10.7.3


A.8 ASSET MANAGEMENT

A.8 Varlık yönetimi

ISO 27001:2013 ISO 27001:2005

A.8.3 Media handling Ortam İşleme

A.8.3.1 Management of removable media

Taşınabilir ortam yönetimi A.10.7.1

A.8.3.2 Disposal of media

Ortamın yok edilmesi A.10.7.2

A.8.3.3 Physical media transfer

Fiziksel medyanın taşınması

A.10.8.3


A.9 ACCESS CONTROL

A.9 Erişim kontrolü

ISO 27001:2013 ISO 27001:2005

A.9.1 Business requirements of access control Erişim kontrolü için iş gereksinimi

A.9.1.1 Access control policy Erişim kontrol politikası

A.11.1.1

A.9.1.2 Access to networks and network services Ağ hizmetlerinin kullanımına ilişkin politika

A.11.4.1

A.9.2 User access management Kullanıcı erişim politikası

A.9.2.1 User registration and de-registration Kullanıcı kaydı ve kaydın silinmesi

A.11.2.1

A.9.2.2 User access provisioning

Kullanıcıya erişim sağlamak

A.11.2.2

A.9.2.3 Management of privileged access rights Ayrıcalık yönetimi

A.11.2.2

A.9.2.4 Management of secret authentication information of users

Kullanıcı gizli erişim bilgilerinin yönetimi

A.11.2.3

A.9.2.5 Review of user access rights

Kullanıcı erişim haklarının gözden geçirilmesi

A.11.2.4

A.9.2.6 Removal or adjustment of access rights

Erişim haklarının kaldırılması veya ayarlanması

A.8.3.3


A.9 ACCESS CONTROL

A.9 Erişim kontrolü

ISO 27001:2013 ISO 27001:2005

A.9.3 User Responsibilities Kullanıcı sorumlulukları

A.9.3.1 Use of secret authentication information

Gizli doğrulama bilgilerinin kullanımı A.11.3.1

A.9.4 System and application access control Sistem ve uygulama erişim kontrolü

A.9.4.1 Information access restriction Bilgi erişim kısıtlaması

A.11.6.1

A.9.4.2 Secure log-on procedures Güvenli oturum açma prosedürleri

A.11.5.1

A.9.4.3 Password management system

Parola yönetim sistemi A.11.5.3

A.9.4.4 Use of privileged utility programs

Öncelikli program kullanımı

A.11.5.4

A.9.4.5 Access control to program source code Program kaynak koduna erişim kontrolü

A.12.4.3


A.10 CRYPTOGRAPHY

A. 10 Kriptografi

ISO 27001:2013 ISO 27001:2005

A.10.1 Cryptographic Controls Kriptografik kontroller

A.10.1.1 Policy on the use of cryptographic controls

Kriptografik kontrollerin kullanımına ilişkin politika A.12.3.1

A.10.1.2 Key management Anahtar yönetimi

A.12.3.2


A.11 PHYSICAL & ENVIRONMENTAL SECURITY

A.11 Fiziksel ve çevresel güvenlik

ISO 27001:2013 ISO 27001:2005

A .11.1 Secure Areas Güvenli alanlar

A.11.1.1 Physical security perimeter

Fiziksel güvenlik çevresi A.9.1.1

A.11.1.2 Physical entry controls Fiziksel giriş kontrolleri

A.9.1.2

A.11.1.3 Securing offices, rooms and facilities Ofisler, odalar ve olanakları korumaya alma

A.9.1.3

A.11.1.4 Protecting against external end environmental threats

Dış ve çevresel tehditlre karşı koruma A.9.1.4

A.11.1.5 Working in secure areas

Güvenli alanlarda çalışma A.9.1.5

A.11.1.6 Delivery and loading areas Dağıtım ve yükleme alanları

A.9.1.6

A.11.2 Equipment Ekipman

A.11.2.1 Equipment siting and protection Teçhizat yerleştirme ve koruma

A.9.2.1

A.11.2.2 Supporting utilities Destek hizmetleri

A.9.2.2


A.11 PHYSICAL & ENVIRONMENTAL SECURITY

A.11 Fiziksel ve çevresel güvenlik

ISO 27001:2013 ISO

27001:2005

A.11.2.3 Cabling security

Kablolama güvenliği A.9.2.3

A.11.2.4 Equipment maintenance

Teçhizatın bakımı A.9.2.4

A.11.2.5 Removal of assets Mülkiyet çıkarımı

A.9.2.7

A.11.2.6 Security of equipment and assets off-premises Kuruluş dışındaki teçhizatın güvenliği

A.9.2.5

A.11.2.7 Security disposal or re-use of equipment

Teçhizatın güvenli olarak elden çıkarılması ya da tekrar kullanımı

A.9.2.6

A.11.2.8 Unattended user equipment

Gözetimsiz teçhizat kullanımı

A.11.3.2

A.11.2.9 Clear desk and clear screen policy Temiz masa, temiz ekran politikası

A.11.3.3


A.12 OPERATIONS SECURITY

A.12 Operasyon güvenliği

ISO 27001:2013 ISO 27001:2005

A.12.1 Operational procedures & responsibilities Operasyonel prosedürler ve sorumluluklar

A.12.1.1 Documented operating procedures Dokümante edil iş işletim proedürleri

A.10.1.1

A. 12.1.2

Change management Değişim yönetimi

A.10.1.2

A.12.1.3 Capacity management Kapasite yönetimi

A.10.3.1

A.12.1.4 Separation of development, testing & operational environments

Geliştirme, test ve işletim olanaklarının ayırımı

A .10.1.4

A.12.2 Protection from malware Kötü niyetli koda karşı kontroller

A.12.2.1 Controls against malware A. 10.4.1

A.12.3 Backup Yedekleme

A.12.3.1 Information backup Bilgi yedekleme

A .10.5.1




ISO 27001:2013 ISO 27001:2005

A.12.4 Logging and monitoring Kayıt etme ve izleme

A.12.4.1 Event logging Olay kaydetme

A. 10.10.1

A.12.4.2 Protection of log information Kayıt bilgisinin korunması

A .10.10.3

A.12.4.3 Administrator and operator logs Yönetici ve operator kayıtları

A .10.10.4

A.12.4.4 Clock synchronisation Saat senkronizasyonu A.10.10.6

A .12.5 Control of operational software Operasyonel yazılımın kontrolü

A.12.5.1 Installation of software on operational systems

Operasyonel sistemlere yazılım yükleme A.12.4.1




ISO 27001:2013 ISO 27001:2005

A.12.6 Technical vulnerability management Teknik açıklık yönetimi

A.12.6.1 Management of technical vulnerabilities

Teknik açıklıkların yönetilmesi A.12.6.1

A.12.6.2 Restrictions on software installation Yazılım yüklemelerinde kısıtlamalar

New Yeni

A.12.7 Information systems audit considerations Bilgi sistemleri denetim hususları

A.12.7.1 Information systems audit controls Bilgi sistemleri denetim kontrolleri

A.15.3.1 & A.15.3.2


A.13 COMMUNICATIONS SECURITY

A.13 Haberleşme güvenliği

ISO 27001:2013 ISO 27001:2005

A.13.1 Network Security Management Ağ güvenliği yönetimi

A.13.1.1 Network controls

Ağ kontrolleri A.10.6.1

A.13.1.2 Security of network services

Ağ hizmetleri güvenliği A.10.6.2

A.13.1.3 Segregation in networks Ağlarda ayırım

A.11.4.5

A.13.2 Information Transfer Bilgi değişimi

A.13.2.1 Information transfer policies and procedures

Bilgi değişim politika ve prosedürleri

A.10.8.1

A.13.2.2 Agreements on information transfer

Bilgi değişim anlaşmaları

A.10.8.2

A.13.2.3 Electronic messaging Elektronik mesajlaşma

A.10.8.4

A.13.2.4 Confidentiality or non-disclosure agreements

Gizlilik veya açıklamama anlaşmaları A 6.1.5


A.14 SYSTEM ACQUISITION, DEVELOPMENT & MAINTENANCE

A.14 Bilgi sistemleri edinim, geliştirme ve bakımı

ISO 27001:2013 ISO 27001:2005

A.14.1 Security requirements of information systems Bilgi sistemlerinin güvenlik gereksinimleri

A.12.1

A.14.1.1 Information security requirements analysis and specification

Güvenlik geresinimi analizi ve belirtimi

A.12.1.1

A.14.1.2 Securing applications services on public networks

Açık ağlarda güvenli uygulama hizmetleri

A.10.9.1

A.14.1.3 Protecting application services transactions Uygulama hizmetleri değişimlerini koruma

A.10.9.2

A.14.2 Security in development and support processes Geliştirme ve destek proseslerinde güvenlik

A.14.2.1 Secure development policy Güvenli geliştirme politikası

New Yeni

A.14.2.2 Change control procedures Değişim kontrol prosedürleri

A.12.5.1




ISO 27001:2013 ISO 27001:2005

A.14.2.3

Technical review of applications after operating platform changes

Platform değişikliklerinden sonra uygulamaların teknik gözden geçirilmesi

New (ref: A.12.5.2)

A.14.2.4 Restrictions on changes to software packages Yazılım paketlerindeki değişikliklerdeki kısıtlamalar

A.12.5.3

A.14.2.5 Secure system engineering principles

Güvenli system mühendisliği prensipleri

New

A.14.2.6 Secure development environment

Güvenli geliştirme ortamı

New

A.14.2.7 Outsourced development

Dışarıdan sağlanan yazılım geliştirme

A.12.5.5

A.14.2.8 System security testing Sistem güvenliği testi

New Yeni

A.14.2.9 System acceptance testing Sistem Kabul testi

A.10.3.2




ISO 27001:2013 ISO 27001:2005

A.14.3 Test Data Test verisi

A.14.3.1 Protection of test data Test verisinin korunması

A.12.4.2


A.15 SUPPLIER RELATIONSHIPS

A.15 Tedarikçi ilişkileri

ISO 27001:2013 ISO 27001:2005

A.15.1 Information security in supplier relationships

Tedarikçi ilişkilerinde bilgi güvenliği

A.15.1.1 Information security policy for supplier relationships Tedarikçi ilişkileri için bilgi güvenliği politikası

New/A6.2.1 Yeni

A.15.1.2 Addressing security within supplier agreements Tedarikçi anlaşmalarında güvenliği ifade etme

A.6.2.3

A.15.1.3 Information and communication technology supply chain

Bilgi ve iletişim teknolojisi tedarik zinciri

New Yeni

A.15.2 Supplier service delivery management

Tedarikçi hizmet sağlama yönetimi

A.15.2.1 Monitoring and review of supplier services Tedarikçi hizmetlerini izleme ve gözden geçirme

A.10.2.2

A.15.2.2 Managing changes to supplier services Tedarikçi hizmetlerindeki değişiklikleri yönetme

A.10.2.3


A.16 INFORMATION SECURITY INCIDENT MANAGEMENT

A.16 Bilgi güvenliği ihlal olayı yönetimi

ISO 27001:2013 ISO 27001:2005

A.16.1 Management of information security incidents and improvements

BG ihlal olayı yönetimi ve iyileştirilmesi

A.16.1.1 Responsibilities and procedures

Sorumluluk ve prosedürler

A.13.2.1

A.16.1.2 Reporting information security events Bilgi güvenliği olaylarının rapor edilmesi

A.13.1.1

A.16.1.3 Reporting information security weaknesses Güvenlik zayıflıklarının rapor edilmesi

A.13.1.2

A.16.1.4 Assessment of and decision on information security events

BG olaylarının değerlendirilmesi ve karar New Yeni

A.16.1.5 Response to information security incidents BG ihlal olaylarına cevap verme

New Yeni

A.16.1.6 Learning from information security incidents

Bilgi güvenliği ihlal olaylarından öğrenme

A.13.2.2

A.16.1.7 Collection of evidence Kanıt toplama

A.13.2.3


A.17 IS ASPECTS OF BUSINESS CONTINUITY MANAGEMENT

A.17 İş sürekliliği yönetiminin BG hususları

ISO 27001:2013 ISO

27001:2005

A.17.1 Information security continuity Bilgi güvenliği sürekliliği

A.17.1.1 Planning information security continuity

Bilgi güvenliği sürekliliğini planlamak

A.14.1.1

A.17.1.2 Implementing information security continuity

Bilgi güvenliği sürekliliğini işletmek

A.14.1.2 A.14.1.3 A.14.1.4

A.17.1.3 Verify, review and evaluate information security continuity Bilgi güvenliği sürekliliğini doğrulama, gözden geçirme ve

değerlendirme

A.14.1.5

A.17.2 Redundancies

A.17.2.1 Availability of information processing facilities

Bilgi işleme altyapısının bulunurluğu

New Yeni


A.18 COMPLIANCE

A. 18 Uyum

ISO 27001:2013 ISO 27001:2005

A.18.1 Compliance with legal and contractual requirements Yasa ve sözleşme ile uyum

A.18.1.1 Identification of applicable legislation and contractual

requirements Uygulanabilir yasa ve anlaşmaları tanımlama

A.15.1.1

A.18.1.2 Intellectual property rights (IPR)

Fikri mülkiyet hakları

A.15.1.2

A.18.1.3 Protection of records Kayıtların korunması

A.15.1.3

A.18.1.4 Privacy and protection of personally identifiable information

Özel bilgi ve kişisel bilgilerin gizliliği

A.15.1.4

A.18.1.5 Regulation of cryptographic controls Kriptografik kontroller hakkında yasa

A.15.1.6


A.18 COMPLIANCE

A. 18 Uyum

ISO27001:2013 ISO 27001:2005

A .18.2 Information security reviews

Bilgi güvenliğini gözden geçirme

A.18.2.1 Independent review of information security

Bilgi güvenliğinin bağımsız gözden geçirilmesi

A 6.1.8

A.18.2.2 Compliance with security policies and standards

Güvenlik politika ve standartlarıyla uyum

A.15.2.1

A.18.2.3 Technical compliance review

Teknik uyumun gözden geçirilmesi

A.15.2.2

a5 information security policies bilgi güvenli ği politikaları · 2018-08-03 · a.14 bilgi...

Documents