Bilgi güvenliği yönetimi standardı ISO 27001 ve ona eşlik eden standart ISO 27002, 2022 yılında güncellendi. Peki kurumunuz ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemine sahip. Yeni standart bize ne getirdi ve ne yapmalıyız, hepsi bu makalemizde mevcuttur.
ISO 27001:2022, ISO 27001:2013’ten önemli ölçüde farklı değildir, ancak bazı dikkate değer değişiklikler vardır:
Bağlam ve kapsam
Artık ilgili tarafların “ilgili” gereksinimlerini belirlemeli ve hangilerinin BGYS (bilgi güvenliği yönetim sistemi) aracılığıyla ele alınacağını belirlemelisiniz.
BGYS artık açıkça “gerekli süreçleri ve bunların etkileşimlerini” içermektedir.
Planlama
Bilgi güvenliği hedefleri artık izlenmeli ve “belgelenmiş bilgi olarak kullanılabilir” hale getirilmelidir.
BGYS’de değişiklikleri planlamaya ilişkin yeni bir bölüm var. Bu, dahil edilmesi gereken herhangi bir süreci belirtmez, dolayısıyla BGYS’deki değişikliklerin gerçekten planlanmış olduğunu nasıl gösterebileceğinizi belirlemelisiniz.
Destek
Kimin iletişim kuracağını ve iletişimi gerçekleştirme süreçlerini tanımlama gereklilikleri, “nasıl iletişim kurulacağını” tanımlama gerekliliği ile değiştirilmiştir.
Operasyon
Bilgi güvenliği hedeflerine nasıl ulaşılacağını planlama gerekliliği, Madde 6’da tanımlanan eylemleri uygulamaya yönelik süreçler için kriterler oluşturma ve bu süreçleri kriterler doğrultusunda kontrol etme gerekliliği ile değiştirilmiştir.
Kuruluşların artık sadece süreçlerden ziyade BGYS ile ilgili “harici olarak sağlanan süreçleri, ürünleri veya hizmetleri” kontrol etmesi gerekmektedir.
Performans ve değerlendirme
BGYS’nin etkinliğini izleme, ölçme, analiz etme ve değerlendirme yöntemlerinin artık karşılaştırılabilir ve tekrarlanabilir olması gerekmektedir.
Yönetimin gözden geçirmesi artık ilgili tarafların ihtiyaç ve beklentilerindeki değişiklikleri de dikkate almalıdır.
Ek A
Ek A, ISO 27002:2022 ile uyumlu hale getirmek için revize edilmiştir. Revize edilen değişiklikler aşağıda belirtilmiştir.
Standardın kendisi önceki sürümden önemli ölçüde daha uzundur ve kontroller yeniden sıralanmış ve güncellenmiştir. Bazı kontroller birleştirilmiş veya kaldırılmıştır ve bazıları yeni eklenmiştir.
ISO 27001:2022, ISO 27001:2013’teki 114 yerine 93 kontrolü listeler.
Bu kontroller 14 madde yerine 4 “tema” halinde gruplandırılmıştır. Bunlar:
- İnsanlar (8 kontrol)
- Organizasyonel (37 kontrol)
- Teknolojik (34 kontrol)
- Fiziksel (14 kontrol)
Tamamen yeni kontroller şunlardır:
- Tehdit istihbaratı
- Bulut hizmetlerinin kullanımı için bilgi güvenliği
- İş sürekliliği için BİT hazırlığı
- Fiziksel güvenlik izleme
- Konfigürasyon yönetimi
- Bilgi silme
- Veri maskeleme
- Veri sızıntısı önleme
- İzleme faaliyetleri
- Web filtreleme
- Güvenli kodlama
- Kontrollerin artık kategorize edilmesini kolaylaştırmak için beş tür “özniteliği” vardır:
- Kontrol tipi (önleyici, tespit edici, düzeltici)
- Bilgi güvenliği özellikleri (gizlilik, bütünlük, kullanılabilirlik)
- Siber güvenlik kavramları (belirleyin, koruyun, tespit edin, yanıt verin, kurtarın)
- Operasyonel yetenekler (yönetişim, varlık yönetimi, vb.)
- Güvenlik alanları (yönetişim ve ekosistem, koruma, savunma, dirençlilik)
Sertifikalı kuruluşların yönetim sistemlerini ISO 27001’in yeni versiyonuna uyacak şekilde revize etmeleri için maksimum üç yıllık bir geçiş dönemi vardır. Bu nedenle gerekli değişiklikleri yapmanız için bolca zamanınız vardır. Ancak, bazı sertifika kuruluşları bu noktadan önce Standardın 2013 versiyonu için sertifika vermeyi durdurabilir. Bununla birlikte sertifikanızın süresi bitime yaklaşmış ve yeniden belgelendirme yapmanız gerekebilir. Bu durumda artık ISO 27001:2022 versiyonuna geçiş yapmanız kaçınılmazdır.
Yeni yükümlülüklerinizi yerine getirmek için son dakikaya bırakmanız tavsiye edilmez, bu nedenle geçiş döneminde sertifikanızı yenilemeniz gerekiyorsa, yeni kontrol setine karşı çalışabilirsiniz.
Yeni kontrolleri uygulamanın bir avantajı, özniteliklerine göre tanımlanabildikleri için, seçimlerinize odaklanmanın daha kolay olmasıdır. Bu durum uyumluluk yükünü azaltabilir veya güvenlik süreçlerinizi nasıl daha iyi entegre edeceğinizi görmenize yardımcı olabilir ve böylece BGYS’nizin uygulanmasını kolaylaştırabilir.
Sonuç olarak ister 2013 versiyonu uygulayın isterse 2022 versiyonu geçmek isteyin, her durumda hazırlıklarınızı güncel standart versiyonuna göre uyarlamanız ve hazırlanmanız iyi olacaktır. Çünkü yeni standart versiyonu ile güncel teknolojik şartlar daha iyi uyumlu hale gelmiştir.
Secrise Yazılım ve Bilgi Güvenliği Hizmetleri olarak firmamız yeni teknolojilere, yeni şartlara ve yeni standartlara uzman kadrolarıyla hazırdır. En iyi hizmetleri almak için firmamızla iletişime geçiniz.