Bilgi güvenliği yönetimi standardı olan ISO 27001 ve uygulama kuralları (Code of Practice) ISO 27002 standardının en son güncellemesinin üzerinden neredeyse 10 yıl geçti.
ISO 27002’nin güncel versiyonunun 2022’nin ilk çeyreğinde yayınlanması bekleniyor. ISO 27002 ‘nin güncellenmesi ise akabinde ISO 27001’in gözden geçirilmiş bir versiyonunun yakın zamanda yayınlanacağının habercisidir diyebiliriz.
Neler Değişiyor?
Bugün ISO 27001 sertifikalı bir bilgi güvenliği yönetim sistemi (BGYS) sürdürüyorsanız, mevcut yönetim sistemi kontrollerinizin büyük çoğunluğunun yeni sürümden etkilenmeyeceğinden emin olabilirsiniz. Gelecek değişikliklerin çoğu, Ek A kontrollerinin yeni organizasyonu ve sınıflandırması ile ilgilidir. Bunun bir nedeni, ISO 27001’e yapılan 2013 güncellemesinin, yönetim maddelerini diğer ISO standartlarıyla uyumlu hale getirmek için revize etmeye odaklanmasıdır.
İlk olarak isim değişikliği ile başlayalım.
ISO 27002:2013, “Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği kontrolleri için uygulama kuralları” olan standardın ismi
ISO27002:2022 “Bilgi güvenliği, siber güvenlik ve gizlilik koruması — Bilgi güvenliği kontrolleri” olarak güncellenmektedir.
Güncellenen ISO 27002 standardının başlığından “uygulama kuralları” ibaresi çıkarılmış. Bu güncelleme bilgi güvenliği kontrollerinin bir referans seti olarak amacını daha iyi yansıtacağı düşünülmektedir.
‘Bilgi teknolojisi’ terimi ‘Bilgi Güvenliği’ olarak güncellenerek, siber güvenlik ve gizlilik korumasını kapsayacak şekilde genişletildi. Çok açık bir şekilde standart, odak noktasının artık teknoloji olmadığını daha çok gizlilik ve siber güvenliğin korunmasının hedeflendiğinin altını çiziyor.
Diğer bir değişikliği ise kontrol maddelerinde görüyoruz.
Yeni sürüm, daha önce “alanlara” göre kategorize edilen 114 Ek kontrolü içerirken yeni versiyonda 4 basit tema altında gruplandırılmış toplam 93 Ek kontrol ile karşılaşıyoruz;
- Organizasyonel kontroller (37 kontrol)
- Teknolojik kontroller (34 kontrol)
- Fiziksel kontroller (14 kontrol)
- Kişi kontrolleri (8 kontrol)
Bu yeni versiyondaki 93 kontrol, 2013’ten bu yana hem teknolojide hem de tehditlerde meydana gelen büyük değişimlere yanıt olarak eklenen ve birleştirilmiş hali ile 12 yeni kontrolü içeriyor.
Genel olarak, kontrol değişikliklerinin amacı, hassas verilerin daha iyi korunmasının yanı sıra siber saldırıların önlenmesi, tespit edilmesinde ve bunların yanıtlanması için bizlere yol gösteriyor.
Yeni versiyon geçişine hazırlık için neler yapılmalı?
Halihazırda ISO 27001 Sertifikası bulunan kuruluşların mevcut sistemlerini yeni bir versiyona uyacak şekilde revize etmeleri için genellikle iki yıllık bir geçiş dönemi vardır, bu nedenle gerekli değişiklikleri yapmak için bolca zaman olacaktır.
Ancak halihazırda sertifika almış olsanız da olmasanız da, bunun Uygulanabilirlik Beyanınızı, risk değerlendirmenizin sonucunu ve özellikle uygulanabilir kontrollerin seçimini etkileyeceğini unutmayın.
ISO 27001:2022 versiyonuna geçişi kolaylaştırmak için aşağıdaki bazı hazırlıkları yapabilirsiniz;
- Güncellenmiş standardı edinmelisiniz.
- Güncellenmiş versiyonda bir önceki versiyon ile bir eşleştirmenin ele alındığı bir tablo yer alacaktır. Bu tabloyu inceleyebilirsiniz.
- Uygulanabilirlik Bildirgenizi (SOA) güncellemelisiniz.
- Güncellenen Ek kontrol maddelerini sisteminize dahil edebilmek adına yeni bir İç Denetim programı hazırlayabilirsiniz.