ISO 27001 standart maddeleri için son versiyon 01 Ekim 2013 tarihinde yayınlanmıştır. ISO 27001 2013 standardı farklı sektör ve büyüklükteki firmaların gelişen bilgi güvenliği ve siber güvenlik tehditleri konularına uyum sağlamalarını destekleyecek şekilde düzenlenmiştir. Bu standartta diğerlerinde olduğu gibi tüm dünyada bulunan bütün akredite belgelendirme kuruluşları tarafından hem üretim hemde hizmet sektöründe uygulanabilen bir yapıda oluşturulmuş ve kabul görmüştür.
iso 27001 standart maddeleri Annex SL yapısına uygun olarak hazırlanmıştır ve 10 ana madde ile bunların alt maddelerinden oluşmaktadır.
Bu standart da PUKİ döngüsü ile eşleşmiştir:
Planla: Kuruluşun iso 27001 bilgi güvenliği politikasına uygun olarak sonuçların elde edilmesi için gerekli hedefleri ve prosesleri belirle.
Uygula: Prosesleri uygula.
Kontrol et: Prosesleri izle ve BGYS politikasına, hedeflerine, yasal ve diğer şartlara göre ölç ve sonuçları bildir.
İyileştir: BGYS performansını sürekli olarak iyileştirmek için önlem al.
TS EN ISO 27001:2013 açılımı ve anlamı
ISO: Standardı Yayınlamış olan tüm dünyada kabul edilen örgütün adıdır. (Uluslararası Standartlar Örgütünün kısaltılmasıdır.)
27001: Uluslararası Standartlar Örgütü (ISO) tarafından Kalite Yönetim Standardına verilen isimdir.
2013: Sistemin Yayınlandığı veya Revize edildiği Tarihi göstermektedir. (5 yıl süreyle ISO tarafından toplanılarak gerekli revizyon işlemleri onaylanır. Her 8 yılda bir bu tarih değişmektedir.)
TS: Türkçe Standart kısaltması
EN: Avrupa Normu kısaltması
Bu standart ISO tarafından yayınlanmış ve TSE tarafından Türkçeye çevrilmiştir. Dünyanın her tarafında hangi kurum veya kuruluş olursa olsun, Bilgi Güvenliği Yönetim Sistemini kurmak istediğinde bu standardın şartlarını kabul etmiş sayılır ve şartları karşılamak zorundadır.
ISO 27001 Standart Maddeleri
1 Kapsam | 7.1 Kaynaklar |
2 Atıf yapılan standard ve/veya dokümanlar | 7.2 Yeterlilik |
3 Terimler ve tarifler | 7.3 Farkındalık |
4 Kuruluşun bağlamı | 7.4 İletişim |
4.1 Kuruluşun ve bağlamının anlaşılması | 7.5 Yazılı bilgiler |
4.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması | 8 İşletim |
4.3 Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi | 8.1 İşletimsel planlama ve kontrol |
4.4 Bilgi güvenliği yönetim sistemi | 8.2 Bilgi güvenliği risk değerlendirme |
5 Liderlik | 8.3 Bilgi güvenliği risk işleme |
5.1 Liderlik ve bağlılık | 9 Performans değerlendirme |
5.2 Politika | 9.1 İzleme, ölçme, analiz ve değerlendirme |
5.3 Kurumsal roller, sorumluluklar ve yetkiler | 9.2 İç tetkik |
6 Planlama | 9.3 Yönetimin gözden geçirmesi |
6.1 Risk ve fırsatları ele alan faaliyetler | 10 İyileştirme |
6.2 Bilgi güvenliği amaçları ve bu amaçları başarmak için planlama | 10.1 Uygunsuzluk ve düzeltici faaliyet |
7 Destek | 10.2 Sürekli iyileştirme |
Ek A Referans kontrol amaçları ve kontroller |