ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi Eğitim İçeriği
Eğitim Amacı: Kuruluşların bilgi güvenliği risklerini sistematik şekilde yönetmesi için ISO 27001:2022 standardının gerekliliklerini, ISO 27005 risk metodolojisini ve Ek A kontrollerini uygulamalı olarak öğretmek.
1) Standart Yapısı ve Temel Kavramlar
- Yüksek Düzey Yapı (HLS), bağlam, ilgili taraflar ve kapsam belirleme
- Liderlik, politika, roller ve sorumluluklar, yetkinlik ve farkındalık
- Dokümante edilmiş bilgi: BGYS dokümantasyonu, kayıtlar ve kontrolü
2) Risk Yönetimi (ISO 27005 uyumlu)
- Varlık–tehdit–zafiyet ilişkisi ve etki/ihtimal değerlendirmesi
- Risk ölçütleri, kabul kriterleri, risk işleme seçenekleri
- Risk kayıtları, eylem planları ve izleme
3) Ek A Kontrolleri ve SoA
- 93 kontrol: Organizasyonel, İnsan, Fiziksel, Teknolojik kontrol temaları
- Uygulanabilirlik Bildirimi (SoA) oluşturma ve gerekçelendirme
- Kontrol seçimi, uygulanması ve etkinlik ölçümü (KPI/KRI)
4) Operasyon ve Süreçler
- Varlık envanteri, sınıflandırma ve sahipliği
- Olay yönetimi, iş sürekliliği arayüzü ve tedarikçi güvenliği
- Değişiklik yönetimi, kayıt ve log yönetimi, erişim kontrolü
5) Performans Değerlendirme ve İyileştirme
- BGYS ölçüm hedefleri, izleme ve iç tetkik programı
- Yönetim gözden geçirmesi (GZGT) girdileri/çıktıları
- Uygunsuzluk, düzeltici faaliyet ve sürekli iyileştirme
Eğitim Süresi: 2 gün (isteğe göre atölye ekleri ile 3 gün)
Yöntem: Sunum + vaka çalışmaları + risk matrisi/SoA uygulaması
