Veri gizliliği ve siber güvenlikte kara düzen sona eriyor. Halk, kişisel verilerini toplayan ve ardından bunları ihlallerden, bilgisayar korsanlıklarından ve kendi en kötü dürtülerinden koruyamayan şirketlerden rahatsız oluyor. İnsanlar hiçbir sektörün güvenli olmadığını görmeye başladılar. Dolayısıyla ISO 27001 standardın da evrilmesi ve bu beklentilere karşılık vermesi kaçınılmaz. Bu yazı dizisi yeni ISO 27001:2022 geçişi için bazı bilgiler içermektedir.
ISO/IEC 27000 Standart Ailesi nedir?
ISO 27000 serisi, kuruluşların bir Bilgi Güvenliği Yönetim Sistemi (BGYS) oluşturarak, sürdürerek ve değerlendirerek bilgi güvenliğini nasıl yönetebileceklerine ilişkin en iyi uygulamaların bir koleksiyonudur.
Bu uluslararası çerçeve, titizliği ve sektörler genelinde uygulanabilirliği nedeniyle saygı görmektedir ve bilgi güvenliği risk yönetimini iyileştirmek ve GDPR ve ülkemizdeki 6698 sayılık KVKK gibi veri gizliliği yasalarına uyumlu hale gelmek isteyen tüm kuruluşlar için değerlidir.
27000 serisinin en önemli parçası, sertifika almanın mümkün olduğu tek standart olan ISO 27001’dir. Diğer standartlar, bilgi güvenliğinin çeşitli yönleri hakkında daha ayrıntılı rehberlik sağlar. Bazı standartlar tekniktir, bazıları yönetişim ve kurumsal risk yönetimi ile ilgilidir, bazıları sektöre özgüdür ve diğerleri tetkikçilere yöneliktir.
ISO 27001’in yeni sürümü 2022’nin 4. çeyreğinde piyasaya sürüldü. ISO/IEC 27001:2022’nin ana yeni güncellemelerinden bazıları, Ek A’da büyük bir değişiklik, maddelerde küçük güncellemeler ve standardın başlığında bir değişiklik içerir. ISO/IEC 27002’nin en son sürümü 2022’nin başında yayınlandı ve en son değişiklikleri ISO/IEC 27001’i de etkiledi.
Standardın kendisi önceki sürümden önemli ölçüde daha uzundur ve kontroller yeniden sıralanmış ve güncellenmiştir. Bazı kontroller birleştirildi veya kaldırıldı ve bazıları eklendi:
- ISO 27002:2022, ISO 27002:2013’teki 114 yerine 93 kontrolü listeler.
- Bu kontroller 14 madde yerine 4 “tema” halinde gruplandırılmıştır. Bunlar:
- İnsanlar (8 kontrol)
- Organizasyonel (37 kontrol)
- Teknolojik (34 kontrol)
- Fiziksel (14 kontrol)
- Tamamen yeni kontroller şunlardır:
- Tehdit istihbaratı
- Bulut hizmetlerinin kullanımı için bilgi güvenliği
- İş sürekliliği için BİT hazırlığı
- Fiziksel güvenlik izleme
- Konfigürasyon yönetimi
- Bilgi silme
- Veri maskeleme
- Veri sızıntısı önleme
- İzleme faaliyetleri
- Web filtreleme
- Güvenli kodlama
- Kontrollerin artık kategorize edilmesini kolaylaştırmak için beş tür “özniteliği” vardır:
- Kontrol tipi (önleyici, tespit edici, düzeltici)
- Bilgi güvenliği özellikleri (gizlilik, bütünlük, kullanılabilirlik)
- Siber güvenlik kavramları (belirleyin, koruyun, tespit edin, yanıt verin, kurtarın)
- Operasyonel yetenekler (yönetişim, varlık yönetimi, vb.)
- Güvenlik alanları (yönetişim ve ekosistem, koruma, savunma, dirençlilik)
ISO 27001:2022 versiyonu ISO 27001:2013 sürümünü uygulayan kuruluşları nasıl etkileyecek?
Belgelendirme kuruluşlarının, Standardın yayınlanmasından sonra en az altı ay boyunca ISO 27001:2022 için belgelendirme sunması pek olası değildir ve ISO 27001:2013 üç yıl daha kullanımdan kaldırılmayacaktır, bu nedenle, ISO 27001:2013’ü uygulamak için yaptığınız tüm çalışmaların boşa gittiği konusunda endişelenmenize gerek yok.
ISO 27001:2013 uygulama projenizin ne kadar ilerlediğine bağlı olarak, ISO 27001:2022’deki yeni Ek A kontrollerini alternatif bir kontrol seti olarak kullanmak isteyebilirsiniz, ancak yine de bunları Uygulanabilirlik Bildiriminizdeki 2013 Ek A kontrolleriyle karşılaştırmanız gerekecek.
(ISO 27002:2022, kontrollerini Standardın 2013 sürümüyle yinelemesiyle karşılaştıran bir eke sahiptir, bu nedenle bu nispeten basit olmalıdır.)
ISO 27001 sertifikanızı üç yıl sonra yenilemeden önce, BGYS’nizi Standardın 2022 yinelemesine uyacak şekilde geçirmeniz gerekecektir.
Sertifikalı kuruluşların yönetim sistemlerini ISO 27001’in yeni versiyonuna uyacak şekilde revize etmeleri için üç yıllık bir geçiş dönemi vardır, bu nedenle gerekli değişiklikleri yapmanız için bolca zamanınız vardır. Ancak, bazı sertifika kuruluşları bu noktadan önce Standardın 2013 yinelemesi için sertifika vermeyi durdurabilir, bu nedenle daha erken geçiş yapmanız gerekip gerekmediğini kontrol etmeye değer.
Yeni yükümlülüklerinizi yerine getirmek için son dakikaya bırakmanız tavsiye edilmez, bu nedenle geçiş döneminde sertifikanızı yenilemeniz gerekiyorsa, yeni kontrol setine karşı çalışabilirsiniz.
Yeni kontrolleri uygulamanın bir avantajı, özniteliklerine göre tanımlanabildikleri için, seçimlerinize odaklanmak daha kolaydır, bu da uyumluluk yükünü azaltabilir veya güvenlik süreçlerinizi nasıl daha iyi entegre edeceğinizi görmenize yardımcı olabilir, böylece BGYS’nizin uygulanmasını ve yönetilmesini kolaylaştırır.
CertBy ve ekibi ISO 27001:2022 için hazırlıklarını tamamladı. Size en iyi ve kaliteli hizmet vermek için hazırız. En kısa sürede görüşmek üzere.
