ISO/IEC 27001:2013'deki değişiklikler.
A5 INFORMATION SECURITY POLICIES
Bilgi güvenliği politikaları
ISO 27001:2013
A.5
A.5.1.1
ISO 27001:2005
Information security policies
Bilgi güvenliği politikaları
Policies for information security
Bilgi güvenliği için politikalar
Review of the policies for information security
A.5.1.2
Bilgi güvenliği politikalarını gözden geçirme
A 5.1.1
A 5.1.2
ISO/IEC 27001:2013'deki değişiklikler.
A.6 ORGANISATION OF INFORMATION SECURITY
Bilgi güvenliği organizasyonu
ISO 27001:2013
A.6.1
A.6.1.1
ISO 27001:2005
Internal Organisation
İç organizasyon
Information security roles and responsibilities
Bilgi güvenliği rolleri ve sorumlulukları
A 6.1.2 / A 6.1.3
Segregation of duties
Görev ayırımları
A.10.1.3
A.6.1.2
Contact with authorities
Otoriteler ile iletişim
A 6.1.6
A.6.1.3
Contact with special interest groups
Özel ilgi grupları ile iletişim
A 6.1.7
A.6.1.4
A.6.1.5
Information security in project management
Proje yönetiminde bilgi güvenliği
New
Yeni
A.6.2
A.6.2.1
A.6.2.2
Mobile Devices and Teleworking
Mobil bilgi işleme ve uzaktan çalışma
Mobile device policy
Mobil cihaz politikası
New
Yeni
Teleworking
Uzaktan çalışma
A.10.7.2
ISO/IEC 27001:2013'deki değişiklikler.
A.7 HUMAN RESOURCES SECURITY
A.7 İnsan kaynakları güvenliği
ISO 27001:2013
ISO 27001:2005
A.7.1
Prior to Employment
İstihdam öncesi
A.7.1.1
Screening
Tarama
A.8.1.2
Terms and conditions of employment
İstihdam koşulları
A.8.1.3
A.7.1.2
A.7.2
During Employment
Çalışma esnasında
A .7.2.1
Management responsibilities
Yönetim sorumlulukları
A.8.2.1
A.7.2.2
Information security awareness, education & training
Bilgi güvenliği farkındalığı, eğitim ve öğretimi
A.8.2.2
A.7.2.3
Disciplinary process
Disiplin prosesi
A.8.2.3
A.7.3
Termination or Change of Employment
İstihdamın sonlandırılması veya değiştirilmesi
A.7.3.1
Termination or change of employment responsibilities
Sonlandırma veya değişiklik sorumlulukları
A.8.3.1
ISO/IEC 27001:2013'deki değişiklikler.
A.8 ASSET MANAGEMENT
A.8 Varlık yönetimi
ISO 27001:2013
A.8.1
ISO
27001:2005
Responsibility for Assets
Varlıkların sorumluluğu
A.8.1.1
Inventory of assets
Varlıkların envanteri
A.7.1.1
A.8.1.2
Ownership of assets
Varlıkların sahipliği
A.7.1.2
A.8.1.3
Acceptable use of assets
Varlıkların kabul edilebilir kullanımı
A.7.1.3
A.8.1.4
Return of assets
Varlıkların iadesi
A.8.2
A.8.2.1
A.8.2.2
A.8.2.3
A.8.3.2
Information Classification
Bilgi sınıflandırması
Classification of information
Sınıflandırma kılavuzu
A.7.2.1
Labeling of information
Bilgi etiketleme
Handling of assets
Varlıkların muamelesi
A.7.2.2
A.10.7.3
ISO/IEC 27001:2013'deki değişiklikler.
A.8 ASSET MANAGEMENT
A.8 Varlık yönetimi
ISO 27001:2013
A.8.3
ISO 27001:2005
Media handling
Ortam İşleme
A.8.3.1
Management of removable media
Taşınabilir ortam yönetimi
A.10.7.1
A.8.3.2
Disposal of media
Ortamın yok edilmesi
A.10.7.2
A.8.3.3
Physical media transfer
Fiziksel medyanın taşınması
A.10.8.3
ISO/IEC 27001:2013'deki değişiklikler.
A.9 ACCESS CONTROL
A.9 Erişim kontrolü
ISO 27001:2013
A.9.1
A.9.1.1
A.9.1.2
A.9.2
A.9.2.1
A.9.2.2
A.9.2.3
ISO 27001:2005
Business requirements of access control
Erişim kontrolü için iş gereksinimi
Access control policy
Erişim kontrol politikası
A.11.1.1
Access to networks and network services
Ağ hizmetlerinin kullanımına ilişkin politika
User access management
Kullanıcı erişim politikası
A.11.4.1
User registration and de-registration
Kullanıcı kaydı ve kaydın silinmesi
User access provisioning
Kullanıcıya erişim sağlamak
A.11.2.1
Management of privileged access rights
Ayrıcalık yönetimi
Management of secret authentication information of users
A.9.2.4
Kullanıcı gizli erişim bilgilerinin yönetimi
A.11.2.2
A.11.2.2
A.11.2.3
A.11.2.4
A.9.2.5
Review of user access rights
Kullanıcı erişim haklarının gözden geçirilmesi
A.8.3.3
A.9.2.6
Removal or adjustment of access rights
Erişim haklarının kaldırılması veya ayarlanması
ISO/IEC 27001:2013'deki değişiklikler.
A.9 ACCESS CONTROL
A.9 Erişim kontrolü
ISO 27001:2013
A.9.3
ISO 27001:2005
User Responsibilities
Kullanıcı sorumlulukları
Use of secret authentication information
Gizli doğrulama bilgilerinin kullanımı
System and application access control
Sistem ve uygulama erişim kontrolü
A.11.3.1
A.9.4.1
Information access restriction
Bilgi erişim kısıtlaması
A.11.6.1
A.9.4.2
Secure log-on procedures
Güvenli oturum açma prosedürleri
A.11.5.1
Password management system
Parola yönetim sistemi
Use of privileged utility programs
Öncelikli program kullanımı
A.11.5.3
A.9.3.1
A.9.4
A.9.4.3
A.9.4.4
A.9.4.5
Access control to program source code
Program kaynak koduna erişim kontrolü
A.11.5.4
A.12.4.3
ISO/IEC 27001:2013'deki değişiklikler.
A.10 CRYPTOGRAPHY
A. 10 Kriptografi
ISO 27001:2013
A.10.1
ISO 27001:2005
Cryptographic Controls
Kriptografik kontroller
A.10.1.1
Policy on the use of cryptographic controls
Kriptografik kontrollerin kullanımına ilişkin politika
A.12.3.1
A.10.1.2
Key management
Anahtar yönetimi
A.12.3.2
ISO/IEC 27001:2013'deki değişiklikler.
A.11 PHYSICAL & ENVIRONMENTAL SECURITY
A.11 Fiziksel ve çevresel güvenlik
ISO 27001:2013
A .11.1
ISO 27001:2005
Secure Areas
Güvenli alanlar
A.11.1.1
Physical security perimeter
Fiziksel güvenlik çevresi
A.9.1.1
A.11.1.2
Physical entry controls
Fiziksel giriş kontrolleri
A.9.1.2
A.11.1.3
Securing offices, rooms and facilities
Ofisler, odalar ve olanakları korumaya alma
A.9.1.3
A.11.1.4
Protecting against external end environmental threats
Dış ve çevresel tehditlre karşı koruma
A.9.1.4
A.11.1.5
Working in secure areas
Güvenli alanlarda çalışma
A.9.1.5
Delivery and loading areas
Dağıtım ve yükleme alanları
Equipment
Ekipman
A.9.1.6
A.11.2.1
Equipment siting and protection
Teçhizat yerleştirme ve koruma
A.9.2.1
A.11.2.2
Supporting utilities
Destek hizmetleri
A.9.2.2
A.11.1.6
A.11.2
ISO/IEC 27001:2013'deki değişiklikler.
A.11 PHYSICAL & ENVIRONMENTAL SECURITY
A.11 Fiziksel ve çevresel güvenlik
ISO 27001:2013
A.11.2.3
A.11.2.4
A.11.2.5
A.11.2.6
A.11.2.7
A.11.2.8
A.11.2.9
ISO
27001:2005
Cabling security
Kablolama güvenliği
A.9.2.3
Equipment maintenance
Teçhizatın bakımı
Removal of assets
Mülkiyet çıkarımı
A.9.2.4
Security of equipment and assets off-premises
Kuruluş dışındaki teçhizatın güvenliği
Security disposal or re-use of equipment
Teçhizatın güvenli olarak elden çıkarılması ya da tekrar
kullanımı
Unattended user equipment
Gözetimsiz teçhizat kullanımı
A.9.2.5
Clear desk and clear screen policy
Temiz masa, temiz ekran politikası
A.9.2.7
A.9.2.6
A.11.3.2
A.11.3.3
ISO/IEC 27001:2013'deki değişiklikler.
A.12 OPERATIONS SECURITY
A.12 Operasyon güvenliği
ISO 27001:2013
A.12.1
ISO
27001:2005
Operational procedures & responsibilities
Operasyonel prosedürler ve sorumluluklar
A.12.1.1
Documented operating procedures
Dokümante edil iş işletim proedürleri
A.10.1.1
A.
12.1.2
Change management
Değişim yönetimi
A.10.1.2
A.12.1.3
Capacity management
Kapasite yönetimi
A.10.3.1
A.12.1.4
Separation of development, testing & operational
environments
Geliştirme, test ve işletim olanaklarının ayırımı
A .10.1.4
A.12.2
Protection from malware
Kötü niyetli koda karşı kontroller
A.12.2.1
Controls against malware
A.12.3
Backup
Yedekleme
A.12.3.1
Information backup
Bilgi yedekleme
A. 10.4.1
A .10.5.1
ISO/IEC 27001:2013'deki değişiklikler.
A.12 OPERATIONS SECURITY
A.12 Operasyon güvenliği
ISO 27001:2013
ISO 27001:2005
A.12.4
Logging and monitoring
Kayıt etme ve izleme
A.12.4.1
Event logging
Olay kaydetme
A. 10.10.1
A.12.4.2
Protection of log information
Kayıt bilgisinin korunması
A .10.10.3
A.12.4.3
Administrator and operator logs
Yönetici ve operator kayıtları
A .10.10.4
A.12.4.4
A .12.5
A.12.5.1
Clock synchronisation
Saat senkronizasyonu
A.10.10.6
Control of operational software
Operasyonel yazılımın kontrolü
Installation of software on operational systems
Operasyonel sistemlere yazılım yükleme
A.12.4.1
ISO/IEC 27001:2013'deki değişiklikler.
A.12 OPERATIONS SECURITY
A.12 Operasyon güvenliği
ISO 27001:2013
A.12.6
ISO 27001:2005
Technical vulnerability management
Teknik açıklık yönetimi
A.12.6.1
Management of technical vulnerabilities
Teknik açıklıkların yönetilmesi
A.12.6.1
A.12.6.2
Restrictions on software installation
Yazılım yüklemelerinde kısıtlamalar
New
Yeni
A.12.7
A.12.7.1
Information systems audit considerations
Bilgi sistemleri denetim hususları
Information systems audit controls
Bilgi sistemleri denetim kontrolleri
A.15.3.1 & A.15.3.2
ISO/IEC 27001:2013'deki değişiklikler.
A.13 COMMUNICATIONS SECURITY
A.13 Haberleşme güvenliği
ISO 27001:2013
A.13.1
ISO 27001:2005
Network Security Management
Ağ güvenliği yönetimi
A.13.1.1
Network controls
Ağ kontrolleri
A.10.6.1
A.13.1.2
Security of network services
Ağ hizmetleri güvenliği
A.10.6.2
Segregation in networks
Ağlarda ayırım
Information Transfer
Bilgi değişimi
A.11.4.5
A.13.2.1
Information transfer policies and procedures
Bilgi değişim politika ve prosedürleri
A.10.8.1
A.13.2.2
Agreements on information transfer
Bilgi değişim anlaşmaları
A.10.8.2
A.13.2.3
Electronic messaging
Elektronik mesajlaşma
A.10.8.4
A.13.2.4
Confidentiality or non-disclosure agreements
Gizlilik veya açıklamama anlaşmaları
A 6.1.5
A.13.1.3
A.13.2
ISO/IEC 27001:2013'deki değişiklikler.
A.14 SYSTEM ACQUISITION, DEVELOPMENT & MAINTENANCE
A.14 Bilgi sistemleri edinim, geliştirme ve bakımı
ISO 27001:2013
A.14.1
Security requirements of information systems
Bilgi sistemlerinin güvenlik gereksinimleri
ISO
27001:2005
A.12.1
A.12.1.1
A.14.1.1
Information security requirements analysis and specification
Güvenlik geresinimi analizi ve belirtimi
A.14.1.2
Securing applications services on public networks
Açık ağlarda güvenli uygulama hizmetleri
A.14.1.3
Protecting application services transactions
Uygulama hizmetleri değişimlerini koruma
A.10.9.1
A.14.2
A.10.9.2
Security in development and support processes
Geliştirme ve destek proseslerinde güvenlik
A.14.2.1
Secure development policy
Güvenli geliştirme politikası
New
Yeni
A.14.2.2
Change control procedures
Değişim kontrol prosedürleri
A.12.5.1
ISO/IEC 27001:2013'deki değişiklikler.
A.14 SYSTEM ACQUISITION, DEVELOPMENT & MAINTENANCE
A.14 Bilgi sistemleri edinim, geliştirme ve bakımı
ISO 27001:2013
ISO
27001:2005
A.14.2.3
Technical review of applications after operating platform
changes
Platform değişikliklerinden sonra uygulamaların teknik gözden
geçirilmesi
New (ref:
A.12.5.2)
A.14.2.4
Restrictions on changes to software packages
Yazılım paketlerindeki değişikliklerdeki kısıtlamalar
A.12.5.3
A.14.2.5
Secure system engineering principles
Güvenli system mühendisliği prensipleri
New
A.14.2.6
Secure development environment
Güvenli geliştirme ortamı
New
A.14.2.7
Outsourced development
Dışarıdan sağlanan yazılım geliştirme
A.12.5.5
A.14.2.8
System security testing
Sistem güvenliği testi
New
Yeni
A.14.2.9
System acceptance testing
Sistem Kabul testi
A.10.3.2
ISO/IEC 27001:2013'deki değişiklikler.
A.14 SYSTEM ACQUISITION, DEVELOPMENT & MAINTENANCE
A.14 Bilgi sistemleri edinim, geliştirme ve bakımı
ISO 27001:2013
A.14.3
A.14.3.1
ISO 27001:2005
Test Data
Test verisi
Protection of test data
Test verisinin korunması
A.12.4.2
ISO/IEC 27001:2013'deki değişiklikler.
A.15 SUPPLIER RELATIONSHIPS
A.15 Tedarikçi ilişkileri
ISO 27001:2013
ISO 27001:2005
A.15.1
Information security in supplier relationships
Tedarikçi ilişkilerinde bilgi güvenliği
A.15.1.1
Information security policy for supplier relationships
Tedarikçi ilişkileri için bilgi güvenliği politikası
New/A6.2.1
Yeni
A.15.1.2
Addressing security within supplier agreements
Tedarikçi anlaşmalarında güvenliği ifade etme
A.6.2.3
A.15.1.3
Information and communication technology supply chain
Bilgi ve iletişim teknolojisi tedarik zinciri
New
Yeni
A.15.2
Supplier service delivery management
Tedarikçi hizmet sağlama yönetimi
A.15.2.1
Monitoring and review of supplier services
Tedarikçi hizmetlerini izleme ve gözden geçirme
A.10.2.2
A.15.2.2
Managing changes to supplier services
Tedarikçi hizmetlerindeki değişiklikleri yönetme
A.10.2.3
ISO/IEC 27001:2013'deki değişiklikler.
A.16 INFORMATION SECURITY INCIDENT MANAGEMENT
A.16 Bilgi güvenliği ihlal olayı yönetimi
ISO 27001:2013
A.16.1
ISO
27001:2005
Management of information security incidents and
improvements
BG ihlal olayı yönetimi ve iyileştirilmesi
A.13.2.1
A.16.1.1
Responsibilities and procedures
Sorumluluk ve prosedürler
A.16.1.2
Reporting information security events
Bilgi güvenliği olaylarının rapor edilmesi
A.13.1.1
A.16.1.3
Reporting information security weaknesses
Güvenlik zayıflıklarının rapor edilmesi
A.13.1.2
A.16.1.4
Assessment of and decision on information security events
BG olaylarının değerlendirilmesi ve karar
New
Yeni
A.16.1.5
Response to information security incidents
BG ihlal olaylarına cevap verme
A.16.1.6
Learning from information security incidents
Bilgi güvenliği ihlal olaylarından öğrenme
A.16.1.7
Collection of evidence
Kanıt toplama
New
Yeni
A.13.2.2
A.13.2.3
ISO/IEC 27001:2013'deki değişiklikler.
A.17 IS ASPECTS OF BUSINESS CONTINUITY MANAGEMENT
A.17 İş sürekliliği yönetiminin BG hususları
ISO 27001:2013
A.17.1
A.17.1.1
A.17.1.2
A.17.1.3
A.17.2
A.17.2.1
ISO
27001:2005
Information security continuity
Bilgi güvenliği sürekliliği
Planning information security continuity
Bilgi güvenliği sürekliliğini planlamak
Implementing information security continuity
Bilgi güvenliği sürekliliğini işletmek
A.14.1.1
A.14.1.2
A.14.1.3
A.14.1.4
Verify, review and evaluate information security continuity
Bilgi güvenliği sürekliliğini doğrulama, gözden geçirme ve
değerlendirme
Redundancies
A.14.1.5
Availability of information processing facilities
Bilgi işleme altyapısının bulunurluğu
New
Yeni
ISO/IEC 27001:2013'deki değişiklikler.
A.18 COMPLIANCE
A. 18 Uyum
ISO 27001:2013
A.18.1
ISO
27001:2005
Compliance with legal and contractual requirements
Yasa ve sözleşme ile uyum
Identification of applicable legislation and contractual
requirements
Uygulanabilir yasa ve anlaşmaları tanımlama
A.15.1.1
A.18.1.1
A.18.1.2
Intellectual property rights (IPR)
Fikri mülkiyet hakları
A.15.1.2
A.18.1.3
Protection of records
Kayıtların korunması
A.15.1.3
A.18.1.4
Privacy and protection of personally identifiable information
Özel bilgi ve kişisel bilgilerin gizliliği
A.15.1.4
A.18.1.5
Regulation of cryptographic controls
Kriptografik kontroller hakkında yasa
A.15.1.6
ISO/IEC 27001:2013'deki değişiklikler.
A.18 COMPLIANCE
A. 18 Uyum
ISO27001:2013
ISO 27001:2005
A .18.2
Information security reviews
Bilgi güvenliğini gözden geçirme
Independent review of information security
Bilgi güvenliğinin bağımsız gözden geçirilmesi
A 6.1.8
A.18.2.1
Compliance with security policies and standards
Güvenlik politika ve standartlarıyla uyum
A.15.2.1
A.18.2.2
Technical compliance review
Teknik uyumun gözden geçirilmesi
A.15.2.2
A.18.2.3
Download

Bilgi güvenliği politikaları - Gelişim Yönetim Sistemleri