Bilgi güvenliği yönetimi standardı olan ISO 27001 ve uygulama kuralları ISO 27002 standardının en son güncellemesinin üzerinden neredeyse 10 yıl geçti.
ISO 27002’nin güncel versiyonunun 2022’nin ilk çeyreğinde yayınlanması bekleniyor. ISO 27002 ‘nin güncellenmesi ise akabinde ISO 27001’in gözden geçirilmiş versiyonunun yayınlanacağını bildiriyoruz.
2013 versiyonundan ilk belgelendirme ve yeniden belgelendirme tetkikleri için son tarih 31 Ekim 2023 olarak belirlendi. Gözetim tetkikleri 31 Ekim 2025 tarihine kadar 2013 versiyonundan yapılabilecek.
2022 Versiyonuna geçmeyi planlayan kuruluşların GAP Analizi başta olmak üzere, Süreç Yönetimi, Uygulanabilirlik bildirgesi güncellemesi, Risklerin gözden geçirilmesi, İş Sürekliliği, Projelerde Bilgi Güvenliği, Web Filtreleme, İç Tetkik ve YGG gibi birçok konuda çalışma yapması gerekecek.
NELER DEĞİŞİYOR?
Bugün ISO 27001 sertifikalı bir bilgi güvenliği yönetim sistemi (BGYS) sürdürüyorsanız, mevcut yönetim sistemi kontrollerinizin büyük çoğunluğunun yeni sürümden etkilenmeyeceğinden emin olabilirsiniz. Gelecek değişikliklerin çoğu, Ek A kontrollerinin yeni organizasyonu ve sınıflandırması ile ilgilidir. Bunun bir nedeni, ISO 27001’e yapılan 2013 güncellemesinin, yönetim maddelerini diğer ISO standartlarıyla uyumlu hale getirmek için revize etmeye odaklanmasıdır.
İlk olarak isim değişikliği ile başlayalım.
ISO 27002:2013, “Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği kontrolleri için uygulama kuralları” olan standardın ismi
ISO27002:2022 “Bilgi güvenliği, siber güvenlik ve gizlilik koruması — Bilgi güvenliği kontrolleri” olarak güncellenmektedir.
Güncellenen ISO 27002 standardının başlığından “uygulama kuralları” ibaresi çıkarılmış. Bu güncelleme bilgi güvenliği kontrollerinin bir referans seti olarak amacını daha iyi yansıtacağı düşünülmektedir.
‘Bilgi teknolojisi’ terimi ‘Bilgi Güvenliği’ olarak güncellenerek, siber güvenlik ve gizlilik korumasını kapsayacak şekilde genişletildi. Çok açık bir şekilde standart, odak noktasının artık teknoloji olmadığını daha çok gizlilik ve siber güvenliğin korunmasının hedeflendiğinin altını çiziyor.
Diğer bir değişikliği ise kontrol maddelerinde görüyoruz.
Yeni sürüm, daha önce “alanlara” göre kategorize edilen 114 Ek kontrolü içerirken yeni versiyonda 4 basit tema altında gruplandırılmış toplam 93 Ek kontrol ile karşılaşıyoruz;
Organizasyonel kontroller (37 kontrol)
Teknolojik kontroller (34 kontrol)
Fiziksel kontroller (14 kontrol)
Kişi kontrolleri (8 kontrol)
Bu yeni versiyondaki 93 kontrol, 2013’ten bu yana hem teknolojide hem de tehditlerde meydana gelen büyük değişimlere yanıt olarak eklenen ve birleştirilmiş hali ile 12 yeni kontrolü içeriyor.
Genel olarak, kontrol değişikliklerinin amacı, hassas verilerin daha iyi korunmasının yanı sıra siber saldırıların önlenmesi, tespit edilmesinde ve bunların yanıtlanması için bizlere yol gösteriyor.
Aenean metus quam, ullamcorper vitae consectetur ac, venenatis ut tellus. Nam lacinia nec nisl rhoncus aliquet. Praesent ut massa nunc. Etiam ligula turpis, eleifend at nulla sit amet, porttitor dignissim risus. Aenean blandit congue lectus quis tempor.