ISO/IEC 27001:2022 ve ISO/IEC 27002:2022 İncelemesi
Sinem Varol, ISO 27001 LA
Geçtiğimiz günlere kadar ISO/IEC 27001
standardının ulusal çapta geçerli olan 2013 versiyonu kullanılmaktaydı. Şubat
ayında ISO/IEC 27002 standardının 2022 versiyonunun yayınlanmasından sonra, ISO/IEC
27001 standardının yeni versiyonu 25 Ekim 2022 tarihinde yayınlandı. Bu
yazımızda standardın yeni versiyonunda yapılan değişiklikleri ve yenilikleri
inceleyeceğiz.
1.
Değişiklikler incelendiğinde ilk
göze çarpanın standardın ismi olduğu görülüyor. 2013 versiyonunda “Bilgi
teknolojisi - Güvenlik teknikleri – Bilgi güvenliği yönetim sistemleri –
Gereksinimler” olan standart ismi yeni versiyonuyla birlikte “Bilgi güvenliği,
siber güvenlik ve mahremiyetin korunması– Bilgi güvenliği yönetim sistemleri –
Gereksinimler” olarak güncellendi.
2.
Standardın içeriğinde yapılan
değişikliklerle birlikte 2013 versiyonu 23 sayfa uzunluğundayken 2022
versiyonunda bunun 19 sayfaya düştüğü fark ediliyor.
3.
2022 versiyonunda standardın Madde
3 Terimler ve tarifler başlığında kullanılabilecek terminoloji veri tabanları
bilgileri paylaşılmış. Yapılan ekleme “ISO ve IEC, standardizasyonda
kullanılmak üzere aşağıdaki adreslerdeki terminoloji veri tabanlarını sürdürür:
—
ISO Çevrimiçi tarama platformu: https://www.iso.org/obp adresinde
mevcut
—
IEC Elektropedia: https://www.electropedia.org/
adresinde mevcut
4.
Madde 4.2 İlgili tarafların
ihtiyaç ve beklentilerinin anlaşılması” maddesine “c) Bilgi güvenliği yönetim
sistemi vasıtasıyla bu gereksinimlerden hangilerinin ele alınacağı” ifadesi eklendi.
Güncel madde aşağıdaki gibi:
“Kuruluş
aşağıdakileri belirleyecektir:
a)
Bilgi güvenliği yönetim sistemi ile ilgili taraflar;
b)
Bu ilgili tarafların bilgi güvenliği ile ilgili gereksinimleri;
(yeni) c) Bilgi güvenliği yönetim sistemi
aracılığıyla bu gereksinimlerden hangilerinin ele alınacağı.”
Not
- İlgili tarafların gereksinimleri yasal ve düzenleyici gereksinimleri ve
sözleşmeden doğan yükümlülükleri
içeriyor olabilir.”
5.
Madde 4.4’e yapılan eklemeyle
birlikte yeni versiyonda süreçlere daha fazla odaklanıldığı fark ediliyor.
Güncel madde: “Kuruluş, ihtiyaç duyulan
süreçleri ve bu süreçlerin etkileşimlerini içeren, bu standardın şartları
çerçevesinde bir bilgi güvenliği yönetim sistemini kurmalı, uygulamalı, sürdürmeli
ve sürekli iyileştirmelidir.”
6.
Yeni versiyonda bilgi güvenliği
hedefleri için 6.2 maddesine yeni gereksinimler eklendi (yenilikler kalın
harfle belirtilmiştir).
Kuruluş, uygun işlevler ve seviyelerde
bilgi güvenliği amaçlarını tesis etmelidir.
Bilgi güvenliği amaçları aşağıdakileri
sağlamalıdır:
a) Bilgi güvenliği politikası ile
tutarlı olmalı,
b) Ölçülebilir olmalı (uygulanabilirse),
c) Uygulanabilir bilgi güvenliği
şartlarını ve risk değerlendirme ve risk işlemenin sonuçlarını dikkate almalı,
d)
İzlenmeli,
e) Duyurulmalı,
f) Uygun şekilde güncellenmeli ve
g)
Yazılı bilgi olarak mevcut olmalıdır.
7.
Yeni versiyonda “6.3
Değişikliklerin planlanması” adlı yeni bir madde eklendi.
6.3 Değişikliklerin planlanması
Kuruluş bilgi güvenliği yönetim
sistemindeki değişiklik ihtiyacını belirlediğinde, değişiklikler planlı bir şekilde
gerçekleştirilmelidir.
8.
7.4 İletişim maddesindeki
gereksinimlerde değişiklik yapıldı, yeni bir gereksinim eklendi.
Eski
versiyon: 7.4 İletişim
Kuruluş aşağıdakileri içeren bilgi
güvenliği yönetim sistemi ile ilgili dâhili ve harici iletişim ihtiyaçlarını belirlemelidir:
a) İletişimin konusu,
b) Ne zaman iletişim kurulacağı,
c) Kiminle iletişim kurulacağı,
d) Kimin iletişim kuracağı ve
e) İletişimin hangi süreçten
etkileneceği.
Yeni
versiyon: 7.4 İletişim
Kuruluş aşağıdakileri içeren bilgi
güvenliği yönetim sistemi ile ilgili dâhili ve harici iletişim ihtiyaçlarını belirlemelidir:
a) İletişimin konusu,
b) Ne zaman iletişim kurulacağı,
c) Kiminle iletişim kurulacağı ve
d)
Nasıl iletişime geçileceği.
9.
8.1 İşletimsel planlama ve kontrol
maddesine yeni gereksinimler eklendi:
Eski
versiyon: Kuruluş bilgi güvenliği şartlarını
karşılamak ve Madde 6.1’de belirlenen faaliyetleri
gerçekleştirmek için gerekli olan süreçleri planlamalı, uygulamalı ve kontrol etmelidir. Kuruluş, Madde 6.2’de belirlenen
bilgi güvenliği amaçlarını başarmak için aynı zamanda
planları uygulamalıdır.
Kuruluş, süreçlerin planlandığı gibi
yürütüldüğünden emin olduğu noktaya kadar yazılı bilgileri saklamalıdır.
Kuruluş, planlanan değişiklikleri
kontrol etmeli ve istenmeyen değişikliklerin sonuçlarını gözden geçirerek, gerekiyor ise
kötü etkileri azaltmak için eyleme geçmelidir.
Kuruluş, dış kaynaklı süreçlerin belirlenmesini
ve kontrol edilmesini temin etmelidir.
Yeni
versiyon: Kuruluş;
-
süreçler için kriterler oluşturarak ve
-
kriterlere göre süreçlerin kontrolünü uygulayarak
şartları karşılamak ve Madde 6’da
belirlenen faaliyetleri gerçekleştirmek için gerekli olan süreçleri planlamalı, uygulamalı
ve kontrol etmelidir.
Yazılı bilgiler, süreçlerin planlandığı
gibi yürütüldüğünden emin olunduğu noktaya kadar mevcut olmalıdır.
Kuruluş, planlanan değişiklikleri
kontrol etmeli ve istenmeyen değişikliklerin sonuçlarını gözden geçirerek, gerekiyor ise
kötü etkileri azaltmak için eyleme geçmelidir.
Kuruluş, bilgi güvenliği yönetim sistemiyle ilgili dış kaynaklı süreçler,
ürünler ya da hizmetlerin kontrol
edilmesini temin etmelidir.
10.
9.2 İç tetkik ve 9.3 Yönetimin
gözden geçirmesi maddelerinin yapısı değişti ve 9.3.2 Yönetimin gözden
geçirmesi girdileri maddesine yeni bir gereksinim eklendi.
Eski
versiyon: 9.2 İç tetkik
9.3 Yönetimin gözden geçirmesi
Yeni
versiyon: 9.2 İç tetkik
9.2.1 Genel
9.2.2 İç tetkik programı
9.3 Yönetimin gözden geçirmesi
9.3.1 Genel
9.3.2 Yönetimin gözden geçirmesi
girdileri
9.3.3 Yönetimin gözden geçirmesi
sonuçları
c) Bilgi
güvenliği yönetim sistemiyle ilişkili ilgili tarafların ihtiyaç ve
beklentilerindeki değişiklikler
11.
10 İyileştirme maddesinin
yapısında değişiklik yapıldı.
Eski
versiyon: 10.1 Uygunsuzluk ve düzeltici faaliyet
10.2 Sürekli iyileştirme
Yeni
versiyon: 10.1 Sürekli iyileştirme
10.2 Uygunsuzluk ve düzeltici
faaliyet
12.
Ek-A bilgi güvenliği
kontrollerinde değişiklikler yapıldı. A.5’ten A.18’e kadar giden domain yapısı
değiştirildi, kontroller 4 kategoriye ayrıldı. Kontroller aşağıdaki gibi kategorize
edildi:
a.
Eğer bireysel kişileri
ilgilendiriyorsa İnsan
b.
Fiziksel nesnelerle ilgiliyse Fiziksel
c.
Teknoloji ile ilgili ise Teknolojik
d.
Aksi takdirde Organizasyonel
Kontroller için sadece 2022
versiyonunda olan beş yeni nitelik tanımlandı.
1.
Kontrol türü (Önleyici, Tespit
Edici, Düzeltici)
2.
Bilgi güvenliği özellikleri (G-B-E)
3.
Siber güvenlik kavramları (Tanımlama,
Koruma, Tespit Etme, Yanıt Verme ve Kurtarma)
4.
Operasyonel kabiliyetler
5.
Güvenlik alanları
Toplam kontrol sayısının 114’ten 93’e
düştüğü görülüyor. 11 yeni kontrol eklendi. Eklenen kontroller aşağıdaki gibi:
-
A.5.7 Tehdit istihbaratı
-
A.5.23 Bulut hizmetlerinin
kullanımı için bilgi güvenliği
-
A.5.30 İş sürekliliği için bilgi
ve iletişim teknolojilerinin hazırlığı
-
A.7.4 Fiziksel güvenlik izleme
-
A.8.9 Konfigürasyon yönetimi
-
A.8.10 Bilgi silme
-
A.8.11 Veri maskeleme
-
A.8.12 Veri sızıntısını önleme
-
A.8.16 İzleme faaliyetleri
-
A.8.23 Web filtreleme
-
A.8.28 Güvenli kodlama
Yeni
eklenen niteliklerle birlikte kontrol örneği aşağıda verilmiştir.
5.1 Bilgi güvenliği için
politikalar
|
Kontrol türü |
Bilgi güvenliği
özellikleri |
Siber güvenlik
kavramları |
Operasyonel
kabiliyetler |
Güvenlik
alanları |
|
#Önleyici |
#Gizlilik #Bütünlük #Erişilebilirlik |
#Tanımlama |
#Yönetişim |
#Yönetişim_ve_Ekosistem #Dayanıklılık |
Kontrol
Bilgi
güvenliği politikası ve konuya özel politikalar tanımlanmalı, yönetim
tarafından onaylanmalı,
yayınlanmalı, ilgili personel ve ilişkili ilgili taraflara bildirilmeli ve
tanınmalı, planlı aralıklarla
ve önemli değişiklikler meydana gelirse gözden geçirilmelidir.
Amaç
Bilgi
güvenliği için yönetimin yönlendirmesi ve desteğinin, ticari, yasal,
düzenleyici ve sözleşmeye dayalı
gereksinimlere göre sürekli uygunluğunu, yeterliliğini, etkinliğini sağlamak.
Bilgi Güvenliği Yönetim Sistemi
işletiyorsanız, versiyon geçişi için aşağıdakileri yapmanız tavsiye edilir:
1.
Risk işleme planı yeni yapıya ve
kontrollere göre gözden geçirilmelidir.
2.
Uygulanabilirlik Bildirgesi (SoA)
gözden geçirilmeli ve güncellenmelidir.
3.
Bilgi Güvenliği Yönetim Sistemi
yönetimin gözden geçirme prosedürü (girdiler için) gözden geçirilmeli ve
güncellenmelidir.
4.
Bilgi güvenliği hedefleri ve
izleme, ölçme, analiz ve değerlendirme prosedürü gözden geçirilmeli ve
güncellenmelidir.
5.
Bilgi Güvenliği Yönetim Sistemi
iletişim planı gözden geçirilmeli ve güncellenmelidir.
6.
Gerekliyse, diğer politikalar,
standartlar ve prosedürler gözden geçirilmeli ve güncellenmelidir.
7.
Dahili ve harici olmak üzere,
denetimler için kullanılan kontrol listeleri ve anketler gözden geçirilmeli ve
güncellenmelidir.
8.
Kullandığınız kayıtların yeni
gereksinimlere uyumluluğunu göstermek için, üçüncü taraf güvenlik araçları (örneğin
GRC, SIEM, VM) değerlendirilmelidir ve imkan dahilinde uyarlanmalıdır.
