YZM5604 Bilgi Güvenliği Yönetimi
Dr. Orhan Gökçöl
Bahçeşehir Üniversitesi, Fen Bilimleri Enstitüsü 02 Aralık 2013
http://akademik.bahcesehir.edu.tr/~gokcol/yzm5604
Duyuru
9 Aralık Pazartesi DERS YAPILMAYACAKTIR.
Gelecek hafta, 2. arasınavınızı göndereceğim (yine ev sınavı olacak).
ISO27001 BİLGİ GÜVENLİĞİ YÖNETİM
SİSTEMLERİ GEREKSİNİMLERİ
Ülkemizde ISO27001 Uygulamaları
Özel sektörde bazı ihalelerde kamu ihale kanununa göre ihale açan kurum ve kuruluşlar ihale şartnamelerinde ISO 27001 bilgi güvenliği yönetim sistemi belgesi istenmektedir. Bu zorunluluk yapılan projenin gizliliği güvenliği üst düzeyde ise ihaleyi açan kuruluş ıso 27001 belgesini özellikle istemektedir. Örneğin savunma sanayi projelerine yönelik açılan ihalelerde gerek yazılım hizmeti veren gerekse ürün üreten satışını yapan firmalardan bu belge istenmektedir.
Ülkemizde ISO27001 Uygulamaları
Ayrıca Telekomünikasyon Kurumu tarafından yapılan bir yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten sermaye şirketlerin (Data Center) kurumların 20.07.2010 tarihine kadar ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alması zorunlu hale getirilmiştir.
Ülkemizde ISO27001 Uygulamaları
Elektronik Haberleşme Yönetmeliğinin ilgili maddesi; 11.
maddesi ÜÇÜNCÜ BÖLÜM İşletmecilerin Yükümlülükleri MADDE 11 – (1) İşletmeci, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluğu sağlamakla yükümlüdür. Yetkilendirilen işletmeciler yetkilendirme tarihinden itibaren bir yıl içerisinde söz konusu standarda uygunluğu sağlar. Belirtilen süre içerisinde söz konusu standarda uygunluğu sağlayamayan işletmecilere Kurul tarafından gerekli görülmesi halinde ilave süre verilebilir.
Özel sektörde gerek kamu ihalelerinde gerekse kamu ile stratejik alanlarda iş birliği yapan kurum kuruluşların ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmalarını ve belgelendirme denetimine girerek ISO 27001 belgesini almaları gerekmektedir.
Kamu Kurumlarında ISO 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi alınması zorunluluğu ?
Kamu kurumlarında genellikle özel sektörden farklı olarak ISO 27001 belgesinin alınması zorunlu değildir fakat aşağıda anlatılan bazı kanun ve yasalara göre her ne kadar belgelendirme zorunluluğu yok ise de ISO 27001 Bilgi Güvenliği Yönetim Sistemini kurmaları zorunludur.
Bilgi Güvenliği Yönetim sistemi Kurmak için kamu kurumlarına dair çerçeve yasalar
10.12.2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunuyla kamu malî yönetim sistemi tüm kamu kurumlarında uluslararası standartlar ve Avrupa Birliği uygulamalarına uygun bir şekilde yeniden düzenlenmesi ve bu kapsamda etkin bir iç kontrol sisteminin oluşturulması için Maliye Bakanlığı tarafından hazırlanan ve 26.12.2007 tarihli ve 26738 sayılı Resmi Gazetede yayımlanan Kamu İç Kontrol Standartları Tebliği ile kamu idarelerinde iç kontrol sisteminin oluşturulması, uygulanması, izlenmesi ve Geliştirilmesi amacıyla (18) standart ve bu standartlar için gerekli (79) genel şart belirlendi.
Bu 79 genel şarttan en az 10 şart bilgi güvenliği sisteminin kurumlarda oluşturulmasını hedeflemektedir.
2003 / 48 sayılı Başbakanlık Genelgesi ile yürürlüğe giren e- Dönüşüm Türkiye Projesinin 4.1.1.’ inci maddesinde Bilgi Güvenliği Yönetim Sisteminin (BGYS) tüm kurumlarda kurulmasının hedeflendiği belirtilmektedir.
05/08/2005 tarihli ve 25897 sayılı Resmi Gazete’de yayımlanan, 2005/20 sayılı Başbakanlık Genelgesi ile çıkarılan Birlikte Çalışabilirlik EsaslarıRehberinde elektronik ortamda sunulan hizmetlerde başarı, güven ortamının sağlanmasına bağlı olduğu vurgulanmıştır. Bu da, güvenlikle ilgili politika ve düzenlemelerin geliştirilmesini gerektirir.
2006 / 38 sayılı Yüksek Planlama Kurulu Kararı’yla onaylanan ve 28/07/2006 tarihli ve 26242 sayılı Resmi Gazete’de yayımlanan Bilgi Toplumu Stratejisi Belgesinde stratejik öncelikler arasında yer alan bilgi güvenliğinin ülke genelinde ve kamu kurumlarında bilgi sistemleri ile elektronik iletişim ve ağ bağlantılarında güvenliğin sağlanması ve sürdürülmesi için gerekli organizasyonel düzenlemelerin
gerçekleştirileceğinden bahsedilmektedir. Ayrıca, bilgi güvenliğinin
ISO27001 Nedir??
Kontrol-tabanlı
«Bilgi» Standardı
Sertifikalandırılabilir - Uluslararası geçerliliği olan - Risk yönetimi esaslı
Gruplanmış olarak sunulan kontroller, BG’deki en iyi uygulamaları içermektedir.
Her türlü BİLGİ’yi kapsar.
“Bilgi, her ne şekilde olursa olsun; her nerede saklanırsa saklansın, uygun bir şekilde korunmalıdır!
8 Cümle, 11 Kontrol grubu, 134 kontrol
ISO Tarihçe
1992
The Department of Trade and Industry (DTI), which is part of the UK Government, publish a 'Code of Practice for Information Security Management'.
1995
This document is amended and re-published by the British Standards Institute (BSI) in 1995 as BS7799.
1999
The first major revision of BS7799 was published. This included many major enhancements.
Accreditation and certification schemes are launched. LRQA and BSI are the first certification bodies.
Tarihçe
2000
In December, BS7799 is again re-published, this time as a fast tracked ISO standard. It becomes ISO 17799 (or more formally, ISO/IEC 17799).
2001
The 'ISO 17799 Toolkit' is launched.
2002
A second part to the standard is published: BS7799-2. This is an Information Security Management Specification, rather than a code of practice. It begins the process of alignment with other management standards such as ISO 9000.
2005
A new version of ISO 17799 is published. This includes two new sections, and closer alignment with BS7799-2 processes..
2005
ISO 27001 is published, replacing BS7799-2, which is withdrawn. This is a specification for an ISMS (information security management system), which aligns with ISO 17799 and is compatible with ISO 9001 and ISO 14001
17799 nereden geliyor?
BS7799 was conceived, as a technology-neutral, vendor- neutral management system that, properly implemented, would enable an organization's management to assure itself that its information security measures and arrangements were effective.
From the outset, BS7799 focused on protecting the availability, confidentialityand integrityof organizational information and these remain, today, the driving objectives of the standard.
BS7799 was originally just a single standard, and had the status of a “Code of Practice”. In other words, it provided guidance for organizations, but hadn't been written as a specification that could form the basis of an external third party verification and certification scheme.
ISO27001
Kurumlardaki bilgi güvenliği yönetimi gereksinimlerini veren, uluslararası kabul gören bir standarttır.
ISO standardıdır ve ISO9001 Kalite yönetim sistemi ile pek çok ortak noktası vardır.
ISO 9001 – Kalite Yönetimindeki en iyi Uygulamalar
Nedir?
İşletmelerde kalite yönetimi konusunda, uluslararası geçerliliği olan bir standarttır.
Bir kuruluşun ürettiği ve kontrol ettiği her türlü ürün ve servise uygulanabilir.
Müşteri gereksinimleri ve beklentilerini karşılamak amacıyla yapılması gereken her türlü sistematik aktiviteyi barındırır
It is designed and intended to apply to virtually any product or service, made by any process anywhere in the world.
Dünya çapında pek çok işletmede uygulanmaktadır
ISO 9001
Faydaları nelerdir?
Implementing a Quality Management System will motivate staff by defining their key roles and responsibilities.
Cost savings can be made through improved efficiency and productivity, as product or service deficiencies will be highlighted.
From this, improvements can be developed, resulting in less waste, inappropriate or rejected work and fewer complaints.
Customers will notice that orders are met consistently, on time and to the correct specification.
This can open up the market place to increased opportunities.
ISO27001 : Bilgi Güvenliği Yönetim Sistemi
İşletmede Bilgi Güvenliğini Sağlamak İçin yapılması gerekenleri ortaya çıkartan bir ISO modelidir. Model aşağıdaki unsurları içerir :
-Kurmak -Gerçekleştirmek -İşletmek -İzlemek -Gözden Geçirmek -Sürdürmek -İyileştirmek
Diğer ISO standartlarında olduğu gibi SÜREÇ (process) yaklaşımı benimsenmiştir. Süreç yaklaşımında kuruluşun bir çok faaliyetini tanımlaması ve yönetmesi gerekmektedir.
27000 serisi standartların genel yapısı
27000 Fundamentals & Vocabulary 27001:ISMS
27003 Implementation Guidance 27002 Code of Practice for ISM
27004 Metrics & Measurement 27005
Risk Management
27006 Guidelines on ISMS accreditation
ISO 27000 temel standartları
10 standard have been/about to be published so far :
ISO/IEC 27001 - the certification standard against which organizations' ISMS may be certified (published in 2005)
ISO/IEC 27002 - the re-naming of existing standard ISO 17799 (last revised in 2005, and renumbered ISO/IEC 27002:2005 in July 2007)
ISO/IEC 27006 - a guide to the certification/registration process (published in 2007)
ISO/IEC 27000 - a standard vocabulary for the ISMS standards
ISO/IEC 27003 - a new ISMS implementation guide
ISO/IEC 27004 - a new standard for information security management measurements
ISO/IEC 27005 - a proposed standard for risk management
ISO/IEC 27007 - a guideline for auditing information security management systems
ISO/IEC 27011 - a guideline for telecommunications in information security management system
ISO/IEC 27799 - guidance on implementing ISO/IEC 27002 in the healthcare industry
ISO/IEC 27031 - a new standard for maintaining business continuity
ISO/IEC27033-1 – network security
ISO/IEC 27001
ISO/IEC 27001 sertifikasyonu genellikle 3 aşamalı bir denetleme sürecinden oluşmaktadır:
Stage 1 is a "table top" review of the existence and completeness of key documentation such as the organization's security policy, Statement of Applicability (SoA) and Risk Treatment Plan (RTP).
Stage 2 is a detailed, in-depth audit involving testing the existence and effectiveness of the information security controls stated in the SoA and RTP, as well as their supporting
documentation.
Stage 3 is a follow-up reassessment audit to confirm that a previously-certified organization remains in compliance with the standard. Certification maintenance involves periodic reviews and re-assessments to confirm that the ISMS continues to operate as specified and intended.
ISO/IEC 27002
ISO/IEC 27002 provides best practice recommendations on IS security management systems (ISMS). The standard contains the following twelve main sections:
1. Risk Assessment – determining asset vulnerability
2. Security Policy - management direction
3. Organization of Information Security - governance of information security
4. Asset Management - inventory and classification of information assets
5. Human Resources Security - security aspects for employees joining, moving and leaving an organization
6. Physical and Environmental Security - protection of the computer facilities
ISO/IEC 27002
7. Communications and Operations Management - management of technical security controls
8. Access Control - restriction of access rights to networks, systems, applications, functions and data
9. Information Systems Acquisition, development and maintenance - building security into applications
10. Information Security Incident Management -
anticipating and responding appropriately to security breaches
11. Business Continuity Management - protecting, maintaining and recovering business-critical processes and systems
12. Compliance - ensuring conformance with information security policies, standards, laws and regulations
ISO/IEC 27002
Within each section, information security controls and their objectives are specified and outlined.
Specific controls are not mandated since:
• Each organization is expected to undertake a structured information security risk assessment process to determine its specific requirements before selecting controls that are appropriate to its particular circumstances.
• It is practically impossible to list all conceivable controls in a general purpose standard. Industry-specific
implementation guidance for ISO/IEC 27001 and 27002 are anticipated to give advice tailored to organizations in the telecomms, financial services, healthcare, lotteries and other industries.
PUKÖ
PUKÖ, bir BGYS’nin bilgi güvenliği gereksinimlerini ve ilgili tarafların beklentilerini girdi olarak nasıl aldığını ve gerekli eylem ve prosesler aracılığıyla, bu gereksinimleri ve beklentileri karşılayacak bilgi güvenliği sonuçlarını nasıl ürettiğini gösterir. Yukarıdaki şekil ayrıca, standarttaki Madde 4, Madde 5, Madde 6, Madde 7 ve Madde 8’de sunulan proseslerdeki bağlantıları da gösterir.
PUKÖ
Plan Do Check Act Cycle (PDCA)
Interested parties
Interested parties Establish the
ISMS
Plan
Implement and operate the
ISMS
Do
Maintain and improve the ISMS
Act
Monitor and review the
ISMS
Check
Information security requirements
and expectations
Managed information
security
PUKÖ
BGYS Kurulması
BGYS kapsamını belirlemek
BGYS politikasını tanımlamak
Risk yönetimi için sistematik bir yaklaşım tanımlamak
Riskleri belirlemek
Riskleri değerlendirmek
Riskleri azaltmak için kullanılabilecek seçenekleri belirlemek ve değerlendirmek
Riskleri azaltmak için kontrol amaçlarını ve kontrolleri belirlemek
Uygulanabilirlik Bildirgesi (Prepare a Statement of Applicability (SOA)) hazırlamak
Kalan riskleri belirlemek ve bunlar için yönetimin onayını almak
PUKÖ
BGYS’nin Uygulanması
Riski azaltma planını formüle etmek
Riski azaltma planını uygulamak
Seçilen kontrolleri uygulamak
Eğitimler ve farkındalıklık programları düzenlemek
Operasyonları yönetmek
Kaynakları yönetmek
Güvenlik ihlallerini saptamak ve karşılamak için prosedür ve kontrolleri uygulamak
Prosedürler
PUKÖ
BGYS’nin Kontrol Edilmesi
İzleme prosedürlerini çalıştırmak
Düzenli gözden geçirmeler yapmak
Artık risklerin seviyesini gözden geçirmek
İç denetimler yapmak
Yönetim değerlendirmeleri (yönetimin gözden geçirmesi) yapmak
Güvenlik ihlal olaylarını ve bunlara verilen cevapları kayıt altına almak
PUKÖ
BGYS’nin Bakımı, İyileştirilmesi ve Sürdürülebilir Halde Olması
Tanımlanan iyileştirmeleri uygulanması
Önleyici ve düzeltici faaliyetlerin yapılması
Sonuçların değerlendirilmesi, tartışılması
Verimlilik
BGYS KURULUMU
BGYS kurulum isteği kurumun üst yönetimi tarafından benimsenmelidir. Üst yönetim desteği BGYS’nin başarıya ulaşması açısından hayati öneme sahiptir. Üst yönetim BGYS’nin gerekliliğine ve faydasına inanmalıdır.
BGYS kurulumu bir BT ürünü veya sistemi kurulumuyla karıştırılmamalıdır. BGYS kurumun iş yapma tarzını etkileyen köklü bir sistemdir ve kurumu tümden etkiler.
Tüm kademelerdeki çalışanların işini yaparken bilgi
güvenliği prensiplerine uygun hareket etmesini gerekli kılar.
Bu bilincin oluşması ve işleyişe geçmesi de bir gelişim sürecinin sonucu olacaktır.
BGYS KURULUMU
BGYS sadece kurumun BT bölümüne ait bir iş değildir. BGYS tamamen bir teknoloji meselesi veya teknik bir iş de değildir. Tüm kurumun aktif halde katılımıyla hedefine ulaşabilecek bir sistemdir.
En üst kademe yöneticiden en alt seviye çalışana kadar katılım ve destek şarttır. Aksi halde BGYS’den beklenen faydanın elde edilmesi mümkün değildir
BGYS Kurulumu
Etkin bir BGYS kurulumu konusunda ilk yapılması gereken işlerden bir diğeri de kurum içinde bir Bilgi Güvenliği Komisyonu oluşturulmasıdır.
Bilgi güvenliği komisyonu (Güvenlik Forumu da denir) kurum içindeki her bölümden temsilcilerden oluşur. Bilgi işlem, iç denetim, muhasebe, insan kaynakları, güvenlik ve diğer tüm bölümlerden temsilciler bu komisyonda yer almalıdır.
Komisyon temsilcileri bilgi güvenliği konusunda deneyimli
ve bilgili, bunun yanında kendi bölümlerini temsil
edebilme yetkisine sahip kişiler olmalıdır. Komisyon
temsilcileri bilgi güvenliği konusunda yeterli bilgi
BGYS Kurulumu
Tüm bölümlerden temsilcilerin komisyonda yer alması BGYS’nin başarı şansını arttırır. BGYS’in kurumun tamamına nüfuz etmesini kolaylaştırır. Kurum çapındaki güvenlik ihtiyaçlarının daha etkin bir biçimde farkında olunmasını sağlar.
Bu durum BGYS’in doğru planlanması ve sağlıklı işlemesi açısından hayati öneme sahiptir. Her bölümden bir temsilcinin katılımı yönetim ve teknik kadro arasındaki iletişim kopukluğunu gidermeye de yarar.
Sorunları ve ihtiyaçları yerinde yaşayan kişiler belli konularda yönetimin daha rahat ikna edilmesini sağlar. Bilgi güvenliği komisyonu sayesinde BGYS ile ilgili görev ve sorumluluklar da kurum içinde dağıtılmış olur.
ISO27001 Uygulama Süreci
BGYS Politikası
Bu politika, hedefleri ortaya koyan, yönetime yön veren ve harekete geçiren, hangi riskin
değerlendirmeye alınacağına ilişkin risk yönetim kapsamı ve kriterini belirleyen bir çerçeve sunmalıdır.
BGYS politikasının amacını bulması için yönetim
politika içeriğindeki maddelerin uygulamaya
geçirileceğine ilişkin kararlarlığını çalışanlara
hissettirmelidir.
Risk Değerlendirme Yaklaşımı
Bilgi güvenliği politikası temel alınarak sistematik bir risk değerlendirme yaklaşımı belirlenmelidir.
Kurum kendine uygun bir metodoloji seçmekte serbesttir. Seçilen risk değerlendirme
metodolojisi kıyaslanabilir ve tekrarlanabilir sonuçlar üretmeyi garanti etmelidir. Bu adımda kabul edilebilecek risk seviyeleri belirlenmeli ve bunlar için ölçütler geliştirilmelidir.
Risk Belirleme
Korunması gereken varlıkları tehdit eden riskler, önceki adımda belirlenen yöntem kullanılarak tespit edilmelidir.
BGYS içerisindeki tüm varlıkların tanımlanması, yani varlık envanterinin çıkarılması risk değerlendirme işinin esasını oluşturur.
Kurum BGYS kapsamına dahil edeceği tüm varlıkların sahiplerini, türünü ve önem derecesini bir envanter listesi şeklinde belgelemelidir.
Bir varlığın önem derecesini belirlemek için bu varlığın gizliliğine,bütünlüğüne ve kullanılabilirliğine gelecek zararın kuruma yapacağı etkinin derecesini baştan ortaya koymak gerekmektedir.
Risk Analizi ve Değerlendirilmesi
Tespit edilen risklerin analizi ve derecelendirilmesi yapılmalıdır. Bu adım bir önceki adımda tespit edilen risklerin yorumlanması olarak görülebilir.
Risk analizi yaparken riske neden olan tehdit ve açıklıklardan yola çıkılmalıdır.
Riskin derecelendirilmesi veya değerinin belirlenebilmesi için öncelikle tehdidin gerçekleşme olasılığı ile etki derecesi hesaplanmalıdır. Bunlar sayısal değerler
kullanılarak hesaplanabileceği gibi rakamlarla ifadenin zor olduğu durumlarda düşük, orta, yüksek gibi nitel
değerlerle de belirlenebilir.
Risk Analizi ve Değerlendirilmesi
Riskin kabul edilebilir olup olmadığı Risk Değerlendirme Yaklaşımında belirlenen ölçütler kullanılarak tespit edilmelidir.
Tüm bu hesaplama ve değerlemeler
uygulanmakta olan mevcut kontroller de dikkate alınarak yapılmalıdır. Kontroller risk değerini azaltabilir.
Bu adım sonunda bir risk değerlendirme sonuç raporu yayınlanmalıdır.
Riski Azaltma
Bu adımda risk değerlendirme sonuç raporundan yola çıkılarak uygun risk azaltma/tedavi (risk treatment) yöntemleri belirlenmelidir. Belli bir risk karşısında dört farklı tavır alınabilir:
Uygun kontroller uygulanarak riskin ortadan kaldırılması veya kabul edilebilir seviyeye düşürülmesi
Riskin oluşmasına neden olan faktörleri ortadan kaldırarak riskten kaçınılması
Riskin sigorta şirketleri veya tedarikçiler gibi kurum dışındaki taraflara aktarılması
Kurum politikalarına ve risk kabul ölçütlerine uyması şartıyla riskin objektif bir biçimde ve bilerek kabul edilmesi
Kontrollerin Seçimi
Risk işleme süreci sonuçlarına uygun kontrol ve kontrol hedeflerinin seçilmesi gerekir. TS ISO/IEC 27001:2008’de bu kontrollerden detaylı bir biçimde bahsedilmektedir.
Bu kontroller standartta yol gösterici olması amacıyla verilmiştir. Kurum kendisine ek olarak başka kontroller de seçmekte serbesttir.
ISO27001 kontrolleri, sektör tecrübelerinden
faydalanmak suretiyle, standart etki alanlarında
olabildiğince geniş kapsamlı olarak belirlenmiş olsa
da dış kaynaklı kontrollere ihtiyaç olabilmektedir.
Yönetimin Onayı
Artık Risk Onayı
Risk işleme süreci sonrasında geriye kalan riske artık risk (residual risk) denir. Bunlar kabul edilen riskler veya tamamen ortadan kaldırılamayan riskler olabilir. Kurum üst yönetimi artık riskler için onay vermelidir. Bu adım sonunda artık risk onay belgesi oluşturulmalıdır.
Yönetim Onayı
Risk yönetimi adımlarını geçtikten sonra BGYS işletimi ve uygulamasını yapmak için yönetimden onay almak gerekmektedir.
Uygulanabilirlik Bildirgesi (SOA)
Son olarak risklere karşı seçilen kontrolleri içeren bir Uygulanabilirlik Bildirgesi hazırlanarak BGYS kurulum işi tamamlanır. Uygulanabilirlik Bildirgesi daha önce seçilen kontrollerin neler olduğu ve bunların hangi gerekçelerle seçildiğini anlatmalıdır.
TS ISO/IEC 27001 EKA’dan seçilmeyen kontrollerin neler olduğu ile bunların seçilmeme gerekçeleri de Uygulanabilirlik Bildirgesinde verilmelidir. Ayrıca mevcut durumda
uygulanmakta olan kontroller de yine bu belge içinde yer bulmalıdır.
Normalde, kontroller ISO27001’den seçilir. Ancak, firmaya özel kontroller ya da başka gereksinimleri/standartları karşılamak üzere uygulanması gereken kontroller de olabilir
SOA
SOA dokümanında seçilecek kontrolün uygulanması ile ilgili olarak, gerekli politikalar ve prosedürlere referans verilmelidir.
Ayrıca, seçilmeyen kontrollerin neden seçilmediği ile ilgili olarak da bir gerekçe dokümanı hazırlanması yararlı olacaktır.
SOA oluşturulduktan sonraki adım programın
uygulanması olacaktır.
BGYS KURULUMU - ADIMLAR
ISO27001
11 ALAN (Kategori) altında 39 adet kontrol amacı
Bu amaçları gerçekleştirmek için yapılması gereken TOPLAM 133 tane kontrol
ALANLAR
A.5: Güvenlik Politikası
A.6: Bilgi Güvenliği Organizasyonu
A.7: Varlık Yönetimi
A.8: İnsan Kaynakları Güvenliği
A.9: Fiziksel ve Çevresel Güvenlik
A.10: Haberleşme ve İşletim Yönetimi
A.11: Erişim Kontrolü
A.12: Bilgi Sistemleri Edinim, geliştirme ve bakımı
A.13: Bilgi Güvenliği İhlal Olayı Yönetimi
A.14: İş Sürekliliği Yönetimi
A.15: Uyum
ISO27001 Kontrolleri
Her bir alanla ilgili bir ya da birden çok bilgi güvenliği amacı bulunmaktadır. (Toplam 39 tane – control objectives)