Barikat Siber Güvenlik Logo

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı Güncelleniyor!

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı Güncelleniyor! | Barikat Siber Güvenlik

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı Güncelleniyor!

16/03/2022

ISO 27001 ve ISO 27002 Güncellemeleri – Ne Değişti?

Siber güvenlik saldırıları ve yaşanan veri ihlalleri her geçen dün daha da artmaktadır. Cybersecurityventures’ın hazırlamış olduğu siber güvenlik raporuna göre 2021 yılı içerisinde siber saldırıların toplam maliyeti 6 milyar dolara ulaştığı belirtilmiştir. Bu rakamın 2025 yılına kadar 10 milyar doları geçeceği tahmin edilmektedir.

Günümüzde gelişen teknoloji ve pandemi koşulları nedeniyle uzaktan çalışma hayatına geçilmesi, çalışan farkındalık eksikliği gibi nedenler her geçen gün bilgi güvenliği ihlal riskini arttırmaktadır. Bu nedenle bilgi güvenliği dünya çapındaki kurum ve kuruluşlar için en zorlu yönlerden biri olmaya devam etmektedir.

Yukarıda bahsi geçen mevcut risklerden dolayı kurum ve kuruluşlar verilerini korumak için birçok yöntem denemektedir. Kurum ve kuruluşların bilgi varlıklarını korumak için başvurdukları en sık yöntemlerden birisi de ISO 27001 Bilgi Güvenliği Yönetim Sistemi’ni kurmaktır.

ISO 27001 ve ISO 27002 kurum ve kuruluşların bilgilerinin güvenliğini arttırmayı amaçlayan birinci ISO standardıdır. ISO 27001 kurum ve kuruluşlara bilgi güvenliği süreçlerini yönetmede yardımcı olacak bir çerçeve sağlarken; ISO 27002, ISO 27001’de belirtilen bilgi güvenliği kontrolleri için en iyi uygulama prensiplerini sağlar. ISO 27002 standardı kurum ya da kuruluşta uygulan kontrollerin sağlanmasında denetçiler ve bilgi güvenliği çalışanları için rehber niteliğindedir.

Değişen ve gelişen dünyada teknoloji koşullarına uyum sağlayabilmek için tüm ISO standartları her beş ila yedi yılda bir sistematik olarak gözden geçirilmekte ve ihtiyaç duyulması halinde güncellenmektedir. 2018 yılının mart ayında bu süreç dünyanın en çok bilinen standartlarından biri olan ISO 27002 için başlatılmış ve nihayet 15 Şubat 2022 tarihinde dört yıldan kısa bir sürede tamamlanarak kullanıma sunulmuştur.

ISO/IEC standardı artık “Bilgi Güvenliği, Siber Güvenlik ve Gizlilik Koruması – Bilgi Güvenliği Kontrolleri” olarak adlandırmaktadır. Böylece bilgi güvenliğinin artık daha geniş perspektifte ele alınacağı anlaşılmaktadır. ISO 27002’de yapılan değişiklikler bize aynı zamanda henüz yayınlanmayan ancak birkaç aya kadar yayınlanması beklenen ISO 27001’in kontrol setinin (EK-A) yapısını göstermektedir.

Şimdi soru şu: Ne değişti?

ISO 27002:2013 versiyonu bilindiği üzere 14 bölüm ve 114 kontrol maddesinden oluşmaktadır.

ISO 27002:2013 versiyonunda yer alan 14 bölüm artık sadece yeni versiyonda sadece 4 bölüm olacak şekilde belirlenmiştir.

Bunlar:

  • Organizasyonel Kontroller (37 Kontrol)
  • İnsanlar (8 Kontrol)
  • Fiziksel Kontroller (14 Kontrol)
  • Teknolojik Kontroller (34 Kontrol)
  • Yukarıda belirtilen 2 ana bölüm içerisindeki toplam kontrol maddelerinin sayısından anlaşılacağı üzere ISO 27002:2013 versiyonunda yer alan 114 kontrol maddesi yerine artık sadece 93 kontrol maddesi bulunmaktadır. Toplam kontrol madde sayısı azaltılmış olsa da standardın kapsamında herhangi bir azalma olmadığı, aksine yeni eklenen 11 kontrol maddesi bulunduğu görülmektedir.

    Bunlar:

  • 5.7 Tehdit İstihbaratı
  • 5.23 Bulut Hizmetleri Kullanımı İçin Bilgi Güvenliği
  • 5.30 İş sürekliliği için bilgi ve iletişim teknolojileri hazırlığı
  • 7.4 Fiziksel güvenlik izleme
  • 8.9 Yapılandırma yönetimi
  • 8.10 Bilgi silme
  • 8.11 Veri maskeleme
  • 8.12 Veri sızıntısının önlenmesi
  • 8.16 İzleme faaliyetleri
  • 8.23 Web filtreleme
  • 8.28 Güvenli kodlama
  • ISO 27002:2013 versiyonunda yer alan 3 kontrol maddesi ise 2022 versiyonundan çıkartılmıştır. Bunlar:

  • 11.2.5 Varlıkların taşınması
  • 8.2.3 Varlıkların kullanımı
  • 16.1.3 Bilgi güvenliği zayıflıklarının raporlanması
  • ISO 27002:2013 versiyonunda yer alan 19 kontrol maddesi ise çeşitli kontrol maddeleriyle birleştirilmiştir. Birleştirilen maddelerinden birkaçına örnek vermek gerekir ise;

  • 5.1.1 Bilgi güvenliğine ilişkin politikalar ile 5.1.2 Bilgi güvenliğine yönelik politikaların gözden geçirilmesi kontrol maddeleri 5.1. Bilgi güvenliğine ilişkin politikalar adı altında birleştirilmiştir.
  • 11.1.2 Fiziksel giriş kontrolleri ve 11.1.6 Teslimat ve yükleme alanları kontrol maddeleri 7.2 Fiziksel giriş adı altından birleştirilmiştir.
  • Yenilenen standart ile kontrol maddeleri beş özniteliğe sahip olacak. Bu sayede kontrollerin kategorize edilmesi ve uygulanması kolaylaşacaktır. Bu değişiklik aşağıdaki belirtildiği gibi 5 farklı alanda etiketlenecektir. Bunlar:

  • Kontrol tipi (#önleyici, #tespit edici, #düzeltici)
  • Bilgi güvenliği özellikleri (#gizlilik, #bütünlük, #erişilebilirlik)
  • Siber güvenlik kavramları (#tanımlama, #koruma, #tespit etme, #yanıt verme, #kurtarma)
  • Operasyonel yetenekler (#yönetişim, #varlık yönetimi)
  • Güvenlik alanları (#koruma, #savunma, #dayanıklılık)
  • ISO 27001’in yeni versiyonu Annex SL uyumlu olarak yayınlanacağı için ISO 27002:2022 versiyonunda yapılan değişiklikler sadece ISO 27001’de yer alan kontrol maddelerini (EK-A) kapsamaktadır. Bu bağlamda yenilenecek ISO 27001’in 4 ila 10 maddesinde herhangi bir değişiklik olmayacaktır.

    Bir diğer soru şu: Kurum ve kuruluşlar ne yapmalı?

    Sertifikalı kurum ve kuruluşların yönetim sistemlerini bir standardın yeni bir versiyonuna uyacak şekilde revize etmeleri için genellikle iki yıllık bir geçiş dönemi vardır. Bu süre standardında resmi olarak yayınlanmasından itibaren başlamaktadır. Ancak Bilgi Güvenliği Yönetim Sistemini işleten tüm kurum ve kuruluşların şimdiden bu çalışmalara başlaması gerekmektedir. Kuruluşlar ISO 27002:2022 versiyonunu 2013 versiyonu ile karşılaştırarak mevcut farkları görebilir ve yürürlükte olan politika ve prosedürlerini güncelleyebilir hatta geliştirebilirler. Ayrıca mevcut risk çalışmalarının da yeni versiyona uyumlu hale getirilmesi kurum ve kuruluşların geçiş sürecini daha kolay atlatmasına neden olacaktır. ISO 27001’in yeni versiyonu henüz yayınlanmadığı için Uygulanabilirlik Bildirgesi (SoA) ISO 27001:2013’e atıfta bulunmalıdır.

    Kuruluşunuzda ISO 27001 Bilgi Güvenliği Yönetim Sistemi mevcut değil ise ve bu sürece dâhil olmak için yeni versiyonu bekliyorsanız bu kuruluşunuz için büyük bir risk demektir. Yeni versiyonu beklemek yerine mevcut standart üzerinden sertifikasyon sürecine girmek ve standardın yeni versiyonu yayınlandıktan sonra revize çalışması yapmak kuruluşunuz açısından daha sağlıklı olacaktır.

    Baş Denetçi Sertifikası Olanlar Ne Yapmalı?

    ISO 27001’in yeni versiyonu henüz yayınlanmadığı için baş denetçi sertifikasına sahip olan denetçilerin ve bilgi güvenliği çalışanlarının sertifikaları hala geçerliliğini korumaktadır. Ancak yeni versiyon standartta çok büyük yenilikler ve değişiklikler getirdiği için baş denetçi sertifikalarının da ISO 27001’in yeni versiyonu çıktıktan sonra yenilenmesi gerekecektir.


    Bizimle İletişime Geçin.
    Sosyal Medyada Paylaş