(Özet Bilgiler)
ISO 27001 ve ISO 27002 standartları BGYS (Bilgi Güvenliği
Yönetim Sistemi) konusunda en temel başvuru kaynaklarıdır. Bu iki standart da
doğrudan bilgi güvenliği konusunu ele alırlar. Teknik ve teknoloji bağımlı
standartlar değildirler. Kurumlar uygulayacağı yöntem ve teknolojileri seçmekte
serbesttirler.
ISO 27001 standardı BGYS’nin kurulumu, gerçeklenmesi,
işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve iyileştirilmesi
için gereksinimleri ortaya koyar. Belgelenebilir bir standart olması nedeni bilgi
güvenliği alanında en yaygın bilinen standarttır. ISO 27001 standardının EK-A
kısmında bilgi güvenliği kontrolleri yer almaktadır. ISO 27002’de ise ISO 27001
EK-A kısmında yer alan bilgi güvenliği kontrollerinin iyi uygulama pratikleri
yer almaktadır.
Uzun bir süredir güncellenmeyen bu iki standart 2022 yılı
içinde güncellenecektir. İlk güncelleme 15 Şubat 2022 tarihinde ISO 27002
standardında gerçekleşmiştir.
Temelde neler değişmiştir? Değişecektir?
-
ISO 27001 standardı Annex SL uyumlu olarak yayınlanacağı
bildirilmiştir. Madde 4 ila 10 arası zorunlu maddeler varlığını koruyacaktır.
-
ISO 27002 de bulunan kontrol grubu sayısı ve
kontrol sayısı değişmiştir. Kontrol grubu sayısı 14’ten 4’e düşmüştür. Kontrol
sayısı ise 114’ten 93’e inmiştir.
-
Toplamda 11 yeni kontrol getirilmiştir.
Kaldırılan herhangi bir kontrol yoktur. Birçok kontrol birleştirilerek kontrol
sayısı düşürülmüştür.
ISO 27002 2022 sürümünde bilgi güvenliği kontrolleri
aşağıdaki şekilde gruplandırılmıştır.
-
Organizasyonel kontroller (Organizational
controls)
-
Personel/insan ile ilgili kontroller (People controls)
-
Fiziksel kontroller (Physical controls)
-
Teknolojik kontroller (Technological controls)
Bulut servislerinin kullanımı için bilgi güvenliği, Bilgi
güvenliği olaylarının (Event) değerlendirilmesi ve karar verilmesi, kesinti
sırasında bilgi güvenliği, veri sızıntısı önleme, veri maskeleme, web
filtreleme gibi ek kontroller getirilmiştir.
ISO 27001:2022 sürümünün yıl içinde ne zaman yayınlanacağı
henüz açıklanmamıştır. Ancak ana süreçlerde değişiklik beklenmediği için
temelde aşağıdaki çalışmalar ile uyumluluğun sağlanacağı değerlendirilmektedir.
-
Değişen kontrol isimleri, sayısı ve grupları
nedeni ile ilgili kontrol dokümantasyonunda güncellemeler.
-
Yeni kontroller nedeni ile teknik bazı
işleyişlerin yeni yapıya adaptasyonu.
-
Uygulanabilirlik bildirgesinin yeni yapıya göre
yenilenmesi
-
Risk değerlendirmelerinin yenilenmesi ve bu
sayede yeni kontrol yapısına göre risk eşleştirmeleri.