Annex A Kontrol Alanları

ISO 27001 ve BGYS

👤 Güvenlik Uzmanı★ 2/3⏱ 14 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

ISO 27001:2022 revizyonunda Annex A kontrolleri 114'ten 93'e indirildi ve 14 madde başlığı yerine yalnızca 4 tema altında toplandı. Peki bu 93 kontrolün hangileri sizin günlük işinizi doğrudan ilgilendiriyor?

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu derste ISO 27001:2022 standardının kalbi olan Annex A kontrol alanlarını inceliyoruz: dört tema (organizasyonel, insan, fiziksel, teknolojik), 93 kontrol ve bunların kurumumuzdaki somut karşılıkları. Soldaki interaktif sahnede (secAccessControl3D) bir erişim kontrolü senaryosunu adım adım gör; yetkilendirme katmanlarının ve kontrol temalarının nasıl birbirini tamamladığını dene.

Anlatım

ANNEX A NEDİR? ISO 27001, bir Bilgi Güvenliği Yönetim Sistemi (BGYS) kurmanın çerçevesini verir. Standardın "Annex A" eki ise uygulanabilir güvenlik kontrollerinin referans listesidir. Kuruluş bir risk değerlendirmesi yapar; ortaya çıkan riskleri azaltmak için Annex A'dan ilgili kontrolleri seçer ve seçim gerekçesini "Uygulanabilirlik Bildirgesi" (SoA – Statement of Applicability) belgesinde kayıt altına alır. Hiçbir kontrol "zorunlu olduğu için" değil, "bir riski karşıladığı için" uygulanır. NEDEN ÖNEMLİ? • Annex A, soyut "güvenli olalım" hedefini somut, denetlenebilir adımlara çevirir. • Bir denetçi sertifikasyonda doğrudan SoA ve seçilen kontrollerin işleyip işlemediğine bakar. • Çalışan olarak çoğu kontrolü siz uygularsınız: temiz masa, güçlü parola, kilitli ekran, şüpheli e-postayı bildirme. Kontroller kâğıtta değil, davranışta yaşar. DÖRT TEMA (ISO 27001:2022 — toplam 93 kontrol) 1) ORGANİZASYONEL KONTROLLER (A.5 — 37 kontrol) Politikalar, roller ve sorumluluklar, bilgi varlığı envanteri, kabul edilebilir kullanım, erişim kontrol politikası, tedarikçi ilişkileri, olay yönetimi, iş sürekliliği, yasal/sözleşmesel uyum. Örnek: "Bilgi güvenliği politikaları (A.5.1)". 2) İNSAN KAYNAKLI KONTROLLER (A.6 — 8 kontrol) İşe alım taraması, sözleşmedeki gizlilik şartları, farkındalık eğitimi, disiplin süreci, işten ayrılma/rol değişiminde sorumlulukların devri, gizlilik (NDA) anlaşmaları, uzaktan çalışma. Örnek: "Bilgi güvenliği farkındalığı, eğitim ve öğretim (A.6.3)". 3) FİZİKSEL KONTROLLER (A.7 — 14 kontrol) Güvenli alanlar, giriş kontrolü, ekipman güvenliği, temiz masa-temiz ekran, depolama ortamı imhası, kablolama güvenliği, bakım. Örnek: "Temiz masa ve temiz ekran (A.7.7)". 4) TEKNOLOJİK KONTROLLER (A.8 — 34 kontrol) Uç nokta koruması, ayrıcalıklı erişim yönetimi, kimlik doğrulama, şifreleme/kriptografi, yedekleme, günlük kaydı (log) ve izleme, açıklık (zafiyet) yönetimi, güvenli yazılım geliştirme, ağ güvenliği, veri sızıntısı önleme. Örnek: "Yetkili erişim hakları (A.8.2)" ve "Bilginin maskelenmesi (A.8.11)". DÖRT YENİ KAVRAM (ÖZNİTELİK / attributes) 2022 sürümü her kontrole etiketler ekledi: kontrol tipi (önleyici/tespit edici/düzeltici), bilgi güvenliği özelliği (gizlilik/bütünlük/erişilebilirlik), siber güvenlik kavramı (Tanımla/Koru/Tespit Et/Müdahale Et/Kurtar — NIST CSF ile uyumlu), operasyonel yetenek ve güvenlik alanı. Bu sayede kontrolleri farklı bakış açılarıyla gruplayabilirsiniz. 11 YENİ KONTROL (2022 ile gelen) Tehdit istihbaratı, bulutta bilgi güvenliği, iş sürekliliği için ICT hazırlığı, fiziksel güvenlik izleme, yapılandırma yönetimi, bilgi silme, veri maskeleme, veri sızıntısı önleme (DLP), izleme faaliyetleri, web filtreleme, güvenli kodlama. Bunlar modern bulut ve uzaktan çalışma gerçeğini yansıtır. KVKK İLE BAĞ KVKK madde 12, veri sorumlusuna "uygun güvenlik düzeyini sağlamak için her türlü teknik ve idari tedbiri almak" yükümlülüğü verir. Annex A'nın organizasyonel ve teknolojik kontrolleri tam olarak bu "idari ve teknik tedbir" beklentisini karşılar; ISO 27001 sertifikası KVKK uyumu için güçlü bir dayanak oluşturur. İŞ YERİNDE YAPILMASI GEREKENLER (DO) • Bilgi varlığınızı sınıflandırın (gizli/iç kullanım/genel) ve etiketine göre davranın. • Ayrıcalıklı (admin) hesabı yalnız gerektiğinde kullanın; günlük işte standart hesapla çalışın. • Güvenlik olayını (kayıp cihaz, şüpheli e-posta, yanlış kişiye gönderilen veri) hemen olay yönetim kanalına bildirin. • Masanızı ve ekranınızı bıraktığınızda kilitleyin (Win+L); evrakı kilitli çekmecede tutun. İŞ YERİNDE YAPILMAMASI GEREKENLER (DON'T) • "Bu bilgi zaten önemsiz" diye sınıflandırmayı atlamayın — kararı varlık sahibi/politika verir. • Erişim yetkinizi başkasıyla paylaşmayın; "sadece bu sefer" hesap ödünç vermeyin. • Kurum verisini onaysız kişisel buluta/USB'ye kopyalamayın (DLP ve A.8.12 ihlali). • Kontrolleri "denetim için" değil, gerçekten uygulayın; kâğıt-uyum gerçek güvenlik değildir.

📌 Senaryolar

📌 Senaryo 1 (Uygulanabilirlik Bildirgesi / SoA): Şirketiniz ISO 27001 sertifikasyonuna hazırlanıyor ve denetçi "şifreleme kontrolünü neden uygulamıyorsunuz?" diye soruyor. Ekip "bize gerek yok" diye sözlü cevap veriyor.
  Doğru davranış: Her kontrolün uygulanıp uygulanmadığı ve gerekçesi SoA belgesinde yazılı olmalı; "hariç tutuldu" denilen kontrol için risk değerlendirmesine dayalı yazılı gerekçe sunulur.
  Sonuç/Neden: Annex A'da kontrol seçimi risk temellidir ve kanıtlanabilir olmalıdır; sözlü gerekçe denetimde uygunsuzluk (nonconformity) doğurur.

📌 Senaryo 2 (Temiz masa - Fiziksel A.7.7): Öğle arasına çıkarken ekranınız açık, üzerinde müşteri TC kimlik numaralarının olduğu Excel görünür durumda ve masada imzalı sözleşme duruyor.
  Doğru davranış: Ekranı kilitleyin (Win+L), hassas evrakı kilitli çekmeceye kaldırın; gizli belgeyi yazıcıda bırakmayın.
  Sonuç/Neden: Temiz masa-temiz ekran kontrolü, yetkisiz kişilerin (ziyaretçi, temizlik personeli) kişisel veriye erişimini engeller; aynı zamanda KVKK md.12 teknik-idari tedbir beklentisini karşılar.

📌 Senaryo 3 (Ayrıcalıklı erişim - Teknolojik A.8.2): Bir yönetici günlük e-posta ve internette dolaşma dahil tüm işlerini sürekli 'Administrator' hesabıyla yapıyor.
  Doğru davranış: Günlük iş için standart (yetkisiz) hesap kullanılmalı; admin hakları yalnız belirli yönetim görevi anında, gerektiğinde devreye alınmalı (en az ayrıcalık ilkesi).
  Sonuç/Neden: Admin hesabıyla açılan bir zararlı yazılım tüm sisteme tam yetkiyle bulaşır; ayrıcalık ayrımı saldırının etki alanını sınırlar.

📌 Senaryo 4 (Tehdit istihbaratı + Olay bildirimi - A.5.7 / A.5.24): Departmanınıza, kurumunuzu taklit eden sahte fatura e-postaları geliyor ve bir çalışan eki açtığını fark ediyor.
  Doğru davranış: Olayı gizlemeden hemen olay yönetim kanalına (BT/güvenlik ekibi) bildirin; cihazı ağdan ayırmadan önce talimat bekleyin ve e-postayı silmeyin (delil).
  Sonuç/Neden: Hızlı bildirim, olay müdahale (A.5.24) ve tehdit istihbaratı (A.5.7) kontrollerini besler; erken müdahale yayılmayı ve veri kaybını önler. Olayı saklamak çok daha büyük zarar doğurur.

📌 Senaryo 5 (Tedarikçi ilişkileri - Organizasyonel A.5.19): Pazarlama ekibi, müşteri e-posta listesini yeni bir bulut e-bülten servisine yüklemek istiyor; servis sözleşmesi ve veri işleme şartları henüz incelenmedi.
  Doğru davranış: Tedarikçiyle paylaşımdan önce güvenlik/hukuk onayı alın; veri işleme sözleşmesi (DPA), verinin nerede saklandığı ve güvenlik taahhütleri değerlendirilmeli.
  Sonuç/Neden: Tedarikçi ilişkileri kontrolü, kişisel verinin üçüncü tarafa aktarımında sorumluluğun zincirleme sürdüğünü güvence altına alır; onaysız aktarım hem ISO hem KVKK ihlali olur.

Özet

• ISO 27001:2022 Annex A: 93 kontrol, 4 tema (Organizasyonel 37, İnsan 8, Fiziksel 14, Teknolojik 34). • Kontroller zorunluluktan değil, risk değerlendirmesine göre seçilir ve SoA (Uygulanabilirlik Bildirgesi) ile gerekçelenir. • 2022 ile 11 yeni kontrol geldi: tehdit istihbaratı, bulut güvenliği, DLP, veri maskeleme, güvenli kodlama, web filtreleme vb. • Her kontrole öznitelik etiketleri eklendi (önleyici/tespit/düzeltici; NIST CSF Tanımla-Koru-Tespit-Müdahale-Kurtar). • Çoğu kontrolü çalışan davranışı uygular: temiz masa, en az ayrıcalık, olay bildirimi, onaysız veri paylaşmama. • Annex A kontrolleri KVKK md.12 'teknik ve idari tedbir' yükümlülüğünü doğrudan karşılar.

✅ Mini-Test (5)

1.ISO 27001:2022 Annex A kaç tema altında kaç kontrol içerir?

2.Bir kuruluşun hangi Annex A kontrolünü uyguladığını ve hariç tuttuğu kontrollerin gerekçesini kayıt altına alan belge hangisidir?

3."Temiz masa ve temiz ekran" kontrolü hangi temaya aittir?

4.Annex A kontrolleri standartta listelendiği için her kuruluş tüm 93 kontrolü zorunlu olarak uygulamak zorundadır.

5.Aşağıdakilerden hangisi ISO 27001:2022 ile gelen YENİ kontrollerden biridir?

🧩 Uygulama Soruları (5)

1.Bir ekip arkadaşınız, sistem yöneticisi olmadığı halde geçici bir kurulum için sizden 'admin' parolanızı istiyor. Ne yaparsınız?

2.Kayıp bir kurumsal dizüstü bilgisayar fark ettiniz. İlk doğru adım nedir?

3.Müşteri kişisel verisini, henüz güvenlik/hukuk onayı alınmamış bir bulut servisine yüklemek tedarikçi ilişkileri kontrolüne (A.5.19) aykırıdır.

4.Hassas raporları içeren bir Excel'i, masanız başında değilken ekranda açık bırakmak hangi kontrolü ihlal eder?

5.Denetçi 'şifreleme kontrolünü neden uygulamadığınızı' soruyor. En uygun cevap nedir?

← BGYS ve PUKÖ (PDCA) Döngüsü Politikalar, Roller ve Sorumlu →

← Tüm modüllere dön · Güvenlik Sözlüğü