Bilindiği üzere ülkemizde ISO 27001 standardının en son
kabul edilen ve Türkçe’ye çevirisi yapılan versiyonu TS ISO/IEC 27001:2013
Bilgi Güvenliği Yönetim Sistemi standardıdır. ISO her 5 yılda bir uluslararası standartları
gözden geçirerek, zaman içerisinde oluşan ihtiyaçlar doğrultusunda revize etmektedir.
ISO/IEC 27001:2013 standardında da CEN (Avrupa Standardizasyon
Komitesi) tarafından 2017 yılında revizyona gidilmiştir. Bu standart
değişikliği ISO tarafından yapılmamış olup, CEN/Cenelec tarafından yapıldığı
için, Avrupa’daki standart düzenlemeleri için genel çerçeve oluşturmaktadır.
Yani bölgesel bir düzenlemedir.
Yapılan revizyona göre yeni standart BS EN ISO/IEC 27001:2017 olarak yayınlanmıştır. Ülkemizde ise halen TS ISO/IEC 27001:2013 standardı
geçerliliğini korumaktadır ve bu standarda göre belgelendirme yapılmaktadır.
Ancak bu değişikliklerin ISO tarafından da periyodik
revizyonlarda dikkate alınacağını değerlendirerek, ISO 27001 standardında
yapılan değişiklikleri bu yazımızda ele almak istiyoruz.
ISO 27001 revizyonu ile birlikte; ISO 27002 ve ISO 27000
standartlarında da revize gerçekleşmiştir. ISO 27002 kapsamında iki temel
kontrol maddesinde aşağıdaki değişiklikler yapılmıştır.
8.1.1 Varlık
Envanteri
Kontrol -2013 Versiyon
Bilgi ve bilgi işleme olanakları ile ilgili varlıklar
belirlenmeli ve bu varlıkların bir envanteri çıkarılmalı ve idame
ettirilmelidir.
Assets associated with
information and information processing facilities shall be identified and an
inventory of these assets shall be drawn up and maintained.
Kontrol -2017 Versiyon
Bilgi ve bilgiye ilişkin diğer varlıklar ile bilgi işleme
olanakları ve ilgili varlıklar belirlenmeli ve bu varlıkların bir envateri
çıkarılmalı ve idame ettirilmelidir.
Information, other
assets associated with information and information processing facilities should
be identified and an inventory of these assets should be drawn up and
maintained.
Bu değişikliğe göre varlık envanteri yaklaşımının bilgiler
üzerine kurulması esas teşkil edecektir.
Uygulama açısından bakıldığında varlıkları; “bilgi” temelinde sınıflandırıp, envanterde bu
bilgileri temel alarak, işleme olanakları ve ilişkili tüm varlıklara yer verme
yöntemi izlenebilir.
Örnek:
Örneğin bilgi varlıklarına Gizlilik sınıflandırması
temelinde bakarsak, Gizlilik sınıfları için varlıkları bilgi temelli olarak
aşağıdaki gibi oluşturabiliriz.
Gizli Varlıklar :İş
Planları, Fiyat Teklifleri, Müşteri Sözleşmeleri, Kredi Kartı Bilgileri vb.
Dahili Varlıklar :Personel
Listesi, Standartlar ve Prosedürler, Ekipman Envanter Bilgileri vb.
Genel Varlıklar :Kamu
Bilgilendirmeleri, Faaliyet Raporları vb.
Varlık envanteri yöntemi içinde aynı şekilde bilgi temelli
yaklaşım oluşturulabilir.
Örnek:
Bilgi
|
İlişkili Varlıklar
|
Açıklama
|
Kategori
|
Gizlilik
|
Bütünlük
|
Erişilebilirlik
|
Personel
Özlük Bilgileri
|
Özlük dosyası
|
Özlük bilgilerinin
tutulduğu klasörler
|
Basılı bilgiler
|
Gizli
|
Yüksek
|
Orta
|
Bordrolama personeli
|
Bordroloma işini yapan
yetkin personel kaynağı
|
İnsan Kaynağı
|
-
|
-
|
Yüksek
|
|
HR Uygulaması
|
Özlük bilgilerinin
tutulduğu ve işlendiği uygulama
|
Bilgi sistemleri
|
Gizli
|
Yüksek
|
Yüksek
|
8.1.3 Varlıkların Kabul Edilebilir Kullanımı
Uygulama Rehberi -2013 Versiyon
Kuruluşun varlıklarını kullanan veya bunlara erişimi olan
çalışanlar ve dış taraf kullanıcılar, bilgi ve bilgi işleme tesisleri ve
kaynakları ile ilişkili kuruluşun varlıklarının bilgi güvenliği gereksinimleri
hakkında farkındalıkları sağlanmalıdır. Bu kullanıcılar tüm bilgi işleme
kaynaklarının kullanımından ve kendi sorumlulukları altında gerçekleşen tüm
kullanımlardan sorumlu olmalıdır.
Employees and external
party users using or having access to the organization’s assets should be made
aware of the information security requirements of the organization’s assets
associated with information and information processing facilities and
resources. They should be responsible for their use of any information
processing resources and of any such use carried out under their responsibility
Uygulama Rehberi -2017 Versiyon
Kuruluşun varlıklarını kullanan veya bunlara erişimi olan
çalışanlar ve dış taraf kullanıcılar, bilgi ve bilgi işleme tesisleri ve
kaynakları ile ilişkili kuruluşun varlıklarının bilgi güvenliği gereksinimleri
hakkında farkındalıkları sağlanmalıdır.
Employees and external
party users using or having access to the organization’s assets should be made
aware of the information security requirements of the organization’s assets
associated with information and information processing facilities and
resources.
Bu değişikliğe göre; “Bu kullanıcılar tüm bilgi işleme
kaynaklarının kullanımından ve kendi sorumlulukları altında gerçekleşen tüm kullanımlardan sorumlu olmalıdır.” ifadesi ISO
27002 uygulama rehberi tanımlamasından çıkartılmıştır.
Kaynaklar: https://www.bsigroup.com