21 Kasım 2017 Salı

CEN/Cenelec ISO/IEC 27001:2017 Revizyonu

Bilindiği üzere ülkemizde ISO 27001 standardının en son kabul edilen ve Türkçe’ye çevirisi yapılan versiyonu TS ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi standardıdır. ISO her 5 yılda bir uluslararası standartları gözden geçirerek, zaman içerisinde oluşan ihtiyaçlar doğrultusunda revize etmektedir.
ISO/IEC 27001:2013 standardında da CEN (Avrupa Standardizasyon Komitesi) tarafından 2017 yılında revizyona gidilmiştir. Bu standart değişikliği ISO tarafından yapılmamış olup, CEN/Cenelec tarafından yapıldığı için, Avrupa’daki standart düzenlemeleri için genel çerçeve oluşturmaktadır. Yani bölgesel bir düzenlemedir.

Yapılan revizyona göre yeni standart BS EN ISO/IEC 27001:2017 olarak yayınlanmıştır. Ülkemizde ise halen TS ISO/IEC 27001:2013 standardı geçerliliğini korumaktadır ve bu standarda göre belgelendirme yapılmaktadır.

Ancak bu değişikliklerin ISO tarafından da periyodik revizyonlarda dikkate alınacağını değerlendirerek, ISO 27001 standardında yapılan değişiklikleri bu yazımızda ele almak istiyoruz.

ISO 27001 revizyonu ile birlikte; ISO 27002 ve ISO 27000 standartlarında da revize gerçekleşmiştir. ISO 27002 kapsamında iki temel kontrol maddesinde aşağıdaki değişiklikler yapılmıştır.

8.1.1 Varlık Envanteri
Kontrol -2013 Versiyon

Bilgi ve bilgi işleme olanakları ile ilgili varlıklar belirlenmeli ve bu varlıkların bir envanteri çıkarılmalı ve idame ettirilmelidir.

Assets associated with information and information processing facilities shall be identified and an inventory of these assets shall be drawn up and maintained.

Kontrol -2017 Versiyon

Bilgi ve bilgiye ilişkin diğer varlıklar ile bilgi işleme olanakları ve ilgili varlıklar belirlenmeli ve bu varlıkların bir envateri çıkarılmalı ve idame ettirilmelidir.

Information, other assets associated with information and information processing facilities should be identified and an inventory of these assets should be drawn up and maintained.

Bu değişikliğe göre varlık envanteri yaklaşımının bilgiler üzerine kurulması esas teşkil edecektir.
Uygulama açısından bakıldığında varlıkları; “bilgi” temelinde sınıflandırıp, envanterde bu bilgileri temel alarak, işleme olanakları ve ilişkili tüm varlıklara yer verme yöntemi izlenebilir.

Örnek:
Örneğin bilgi varlıklarına Gizlilik sınıflandırması temelinde bakarsak, Gizlilik sınıfları için varlıkları bilgi temelli olarak aşağıdaki gibi oluşturabiliriz.
Gizli Varlıklar     :İş Planları, Fiyat Teklifleri, Müşteri Sözleşmeleri, Kredi Kartı Bilgileri vb.
Dahili Varlıklar   :Personel Listesi, Standartlar ve Prosedürler, Ekipman Envanter Bilgileri vb.
Genel Varlıklar   :Kamu Bilgilendirmeleri, Faaliyet Raporları vb.

Varlık envanteri yöntemi içinde aynı şekilde bilgi temelli yaklaşım oluşturulabilir.

Örnek:
Bilgi
İlişkili Varlıklar
Açıklama
Kategori
Gizlilik
Bütünlük
Erişilebilirlik
Personel Özlük Bilgileri
Özlük dosyası
Özlük bilgilerinin tutulduğu klasörler
Basılı bilgiler
Gizli
Yüksek
Orta
Bordrolama personeli
Bordroloma işini yapan yetkin personel kaynağı
İnsan Kaynağı
-
-
Yüksek
HR Uygulaması
Özlük bilgilerinin tutulduğu ve işlendiği uygulama
Bilgi sistemleri
Gizli
Yüksek
Yüksek

8.1.3 Varlıkların Kabul Edilebilir Kullanımı
Uygulama Rehberi -2013 Versiyon

Kuruluşun varlıklarını kullanan veya bunlara erişimi olan çalışanlar ve dış taraf kullanıcılar, bilgi ve bilgi işleme tesisleri ve kaynakları ile ilişkili kuruluşun varlıklarının bilgi güvenliği gereksinimleri hakkında farkındalıkları sağlanmalıdır. Bu kullanıcılar tüm bilgi işleme kaynaklarının kullanımından ve kendi sorumlulukları altında gerçekleşen tüm kullanımlardan sorumlu olmalıdır.

Employees and external party users using or having access to the organization’s assets should be made aware of the information security requirements of the organization’s assets associated with information and information processing facilities and resources. They should be responsible for their use of any information processing resources and of any such use carried out under their responsibility

Uygulama Rehberi -2017 Versiyon

Kuruluşun varlıklarını kullanan veya bunlara erişimi olan çalışanlar ve dış taraf kullanıcılar, bilgi ve bilgi işleme tesisleri ve kaynakları ile ilişkili kuruluşun varlıklarının bilgi güvenliği gereksinimleri hakkında farkındalıkları sağlanmalıdır.

Employees and external party users using or having access to the organization’s assets should be made aware of the information security requirements of the organization’s assets associated with information and information processing facilities and resources.

Bu değişikliğe göre; “Bu kullanıcılar tüm bilgi işleme kaynaklarının kullanımından ve kendi sorumlulukları altında gerçekleşen tüm kullanımlardan sorumlu olmalıdır.” ifadesi ISO 27002 uygulama rehberi tanımlamasından çıkartılmıştır.


Hiç yorum yok:

Yorum Gönder