Günümüzde katma değerli iş süreçleri bilgi ve veriler tarafından yönlendiriliyor. Bilgi alışverişi olmadan dijital ekonomimizde hiçbir şey işlemiyor. Tüm temel hizmetler, işlevselliği büyük ölçüde bilgi ve veri alışverişine bağlı olan kritik altyapılara dayanmaktadır. Bilgi güvenliği, işimizin ve hayatımızın gerçekliğine kadar uzanır. Bu nedenle bilgi odaklı günlük operasyonları, kritik verileri ve fikri mülkiyeti siber tehditlerden korumak her ölçekteki işletme için zorunludur. Endüstrileşmiş siber saldırıların yaşandığı bu çağda, sürekli değişen bilgi güvenliği risklerine uyum sağlamak, kurumsal esneklik oluşturmak için zamanında ve esnek bir yaklaşım gerektirir.


İşte tam da bu noktada yeni ISO 27001:2022, bilgi güvenliği yönetiminde süreç oryantasyonuna odaklanarak devreye giriyor. Yirmi yılı aşkın bir süredir ISO 27001 standardı, bilgi güvenliği yönetim sistemleri için yerleşik bir temel olmuştur. Ve yaşına rağmen, ISO Anketine göre, bu standardın sertifikasyonu 2021 yılında %32'lik bir artışla büyümeyi başardı. Çağdaş bir bilgi güvenliği değerlendirme çerçevesine yönelik artan talep karşısında, yeni ISO/IEC 27001:2022 25 Ekim 2022 tarihinde yayınlandı.

Loading...

ISO 27001:2022'nin yeni özelliklerine genel bakış

ISO 27001 bir bilgi güvenliği yönetim sisteminin (kısaca BGYS) çerçevesini tanımlar ve bu çerçeve organizasyon yapısı, büyüklüğü veya alanı ne olursa olsun tüm şirketler içindir. Buradaki temel nokta risk yönetimidir. Değişen siber tehditler, bilgi akışlarına ve dolayısıyla iş süreçlerine saldırmak ve bunları tehlikeye atmak amacıyla şirketlerdeki yeni potansiyel güvenlik açıklarından sürekli olarak yararlanmaktadır. Bilgi güvenliğinin üç temel koruma hedefi olan gizlilik, bütünlük ve kullanılabilirlik üzerindeki bu mekanizmadan kaynaklanan riskler belirlenmeli ve yönetilmelidir.

ISO 27001:2022 revizyonu, bu bilgi güvenliği risklerini yönetmek için en iyi uygulamaları ele almaktadır. Yeni ISO/IEC 27001:2022'nin normatif Ek A'sında yer alan olası bilgi güvenliği kontrolleri listesi, revize edilen ISO/IEC 27002:2022 kılavuzundan aynı şekilde alınmıştır. Uygulama kılavuzu bu yılın Şubat ayında daha basit bir taksonomi ve çağdaş güvenlik kontrolleri ile kabul edilmişti. Yeni ISO 27001:2022'nin yayınlanmasıyla birlikte, başarılı ISO standartları 27001/27002, değerli tavsiye edilen yeni önlemleriyle bir kez daha son teknoloji ürünü haline gelmiştir.

ISO/IEC 27001:2022-10 - Bilgi güvenliği, siber güvenlik ve gizliliğin korunması - Bilgi güvenliği yönetim sistemleri - Gereklilikler
Standart, ISO ana sayfasında İngilizce olarak mevcuttur.

ISO 27001:2022'deki bir diğer önemli değişiklik de, Uyumlaştırılmış Yapı olarak adlandırılan yapıya adaptasyonla birlikte, süreç oryantasyonuna yönelik gecikmiş gerekliliğin, etkin bir bilgi güvenliği yönetim sisteminin odağına yerleştirilmiş olmasıdır. Etkili yönetim sistemlerinin temeli, açık süreçler ve bunların etkileşimlerinin yanı sıra bu süreçlerin kontrolü için hedef odaklı kriterlerdir.

Aşağıda, ISO 27001'in yeni versiyonundaki üç değişikliğe daha yakından bakacağız.

 

Üst Düzey Yapı Uyumlaştırılmış Yapıya Dönüşüyor

Mayıs 2021 itibariyle, önceki Üst Düzey Yapı'nın (ÜDY) yerini Uyumlaştırılmış Yapı (UY) almaktadır. UY, mevcut ISO yönetim sistemi standartlarının yeni ve gelecekteki revizyonlarının geliştirilmesi için temel yapı ve şablondur. ISO/IEC 27001:2022, Uyumlaştırılmış Yapı'ya uyarlanan ilk yönetim sistemi standartlarından biridir. Üst Düzey Yapıya kıyasla Uyumlaştırılmış Yapıdaki çeşitli açıklamalar, eklemeler ve aynı zamanda silmeler, standarda aşina olan kullanıcılar için oldukça ilginç olacaktır.

Ancak ISO/IEC 27001:2022'nin Uyumlaştırılmış Yapıdan önemli bir türetme olduğu açıkça görülebilir. Gelecekte, Madde 6.3 bilgi güvenliği yönetim sisteminde yapılacak değişikliklerin planlı bir şekilde uygulanmasını gerektirecektir. Bu gerekliliğe diğer yönetim sistemlerinden aşina olunabilir ve bilgi güvenliği yönetim sistemi ile ilgili bir değişiklik sürecinde uzmanlaşıldığı beklentisini ifade eder. Örneğin, önceki ISO/IEC 27001:2013'ten yeni ISO/IEC 27001:2022'ye geçiş, tüm etkileri ve etkileşimleriyle birlikte planlı bir şekilde uygulanması gereken bir bilgi güvenliği yönetim sistemi değişikliği olarak anlaşılabilir.

dqs-shutterstock-1702088602.jpg
Loading...

Şimdi izleyin: ISO 27001 Revizyon Değişiklikleri

ISO/IEC 27001'in çağdaş bilgi güvenliği risklerine uyarlanmış yeni versiyonu 25 Ekim 2022'de yayınlandı. Peki bu, standardın kullanıcıları için ne anlama geliyor? Ücretsiz webinar kaydı ile aşağıdakiler hakkında bilgi edinebilirsiniz;

  • ISO/IEC 27001:2022'nin yeni özellikleri - Çerçeve ve Ek A 
  • ISO/IEC 27002:2022-02 - Yapı, içerik, öznitelikler ve hashtag'ler 
  • Geçiş için zaman çizelgesi ve sonraki adımlarınız
Kaydı izleyin

ISO/IEC 27001:2022'deki normatif değişiklikler

Çok önemli bir değişiklik, bilgi güvenliği yönetim sisteminin uygulanması ve sürdürülmesi için gerekli süreçlerin ve bunların bilgi güvenliği yönetim sistemi içindeki etkileşimlerinin tanımlanması gerekliliği Madde 4.4'teki kuruluş bağlamına eklenir. Bu açık gereklilik ISO 27001:2022'yi Uyumlaştırılmış Yapı'ya göre diğer yönetim sistemlerinin en iyi uygulama yaklaşımıyla aynı çizgiye getirmektedir. Bilgi güvenliği yönetim sistemi yerleşik, izlenebilir süreçlere ve bunların etkileşimlerine dayanmalıdır. Ek A bilgi güvenliği kontrolleri daha sonra bu süreçler etrafında tasarlanır ve uyarlanır.

Madde 8.1 'deki bir sonraki ilgili değişiklik de tüm Uyumlaştırılmış Yapı tabanlı yönetim sistemlerinde ortak olan süreç oryantasyonunun önemini vurgulamaktadır. Kuruluşlar, bilgi güvenliği risklerini yönetmek için önlemleri uygulamak üzere operasyonel planlama ve kontrollerinin bir parçası olarak süreçleri gerçekleştirmelidir. Yeni olan, süreç kriterlerinin artık tanımlanması gerektiğidir. Süreç kontrolü bu kriterlere uygun olarak uygulanmalıdır.

Ayrıca, aşağıdaki maddelerde oldukça küçük açıklamalar ve spesifikasyonlar yapılmıştır:

  • Madde 5.3, bilgi güvenliği ile ilgili rollere ilişkin sorumluluk ve yetkilerin kurum içinde bilinmesine yönelik açık bir gereklilikle desteklenmiştir.
  • Madde 7.4 bilgi güvenliği yönetim sistemi ile ilgili iç ve dış iletişim ihtiyacını düzenlemektedir. Ne hakkında, ne zaman ve kiminle iletişim kurulacağına dair halen geçerli olan hükümlere ek olarak, iletişimin nasıl yapılacağı önceki gerekliliklere göre uygulanabilir bir basitleştirmedir.
  • Madde 9.2 İç Denetim ve Madde 9.3 Yönetimin Gözden Geçirmesi Uyumlaştırılmış Yapıya uyarlanmıştır. Madde 9.2 artık 9.2.1 ve 9.2.2 olarak alt bölümlere ayrılmıştır, Madde 9.3 ise 9.3.1, 9.3.2 ve 9.3.3 olarak üç alt bölüme ayrılmıştır.
  • Madde 10.1 ve Madde 10.2 'nin yapılandırılma sırası Uyumlaştırılmış Yapıya uyarlanmıştır. İleriye dönük sürekli iyileştirme boyutu, içerikte herhangi bir değişiklik yapılmaksızın Madde 10.1'de Madde 10.2'deki uygunsuzlukların ve düzeltici faaliyetlerin geriye dönük olarak ele alınmasından önce gelmektedir. Bu düzenleme sürekli iyileştirme sürecinin (CIP) önemini vurgulamaktadır.

Ek A'daki kontrol setine atıfta bulunan ISO 27001'deki temel ve açık gereklilikler, Madde 6.1.3 c)'ye göre, kuruluşa özgü bilgi güvenliği kontrolleri ile Ek A'dakiler arasındaki karşılaştırma süreci ve Madde 6.1.3 d), Uygulanabilirlik Bildiriminin (SoA) hazırlanması. Bu temel gereksinimler değişmeden kalıyor!

Muhtemel bilgi güvenliği kontrollerinin bir listesi olarak Ek A'ya atıfta bulunularak yapılan, Madde 6.1.3 c)'ye ilişkin bilgilendirici (normatif olmayan) notlardaki açıklamalar, Ek A'yı tamamlayan diğer kaynaklardan ek önlemlerin seçilmesi olasılığını göstermektedir.

 

ISO/IEC 27001:2022'nin yeni Ek A'sı

ISO 27001:2022'nin normatif Ek A'sındaki olası bilgi güvenliği (IS) kontrollerinin listesi, ISO/IEC 27002:2022'den aynı şekilde türetilmiştir. Genel güvenlik kontrolleri kataloğu Şubat 2022'de yayınlanmıştır. Bu nedenle, ISO 27001:2022 Ek A'daki değişiklikler bir süredir öngörülebilirdi. Daha önce Ek A, 14 madde halinde düzenlenmiş 35 kontrol hedefi altında bilgi güvenliği risklerini ele almak için kullanılabilecek toplam 114 kontrol içeriyordu.

Yeni ISO 27001:2022'nin kontrol hedeflerini ortadan kaldırmasının yanı sıra, Ek A'daki bilgi güvenliği kontrolleri revize edilmiş, güncel hale getirilmiş ve bazı yeni kontrollerle desteklenmiş ve yeniden düzenlenmiştir.

Ek A'nın eski 14 maddesi şimdi aşağıdaki 4 konuya odaklanmıştır:

A.5 Organizasyonel kontroller (37 kontrol ile).

A.6 Kişisel kontroller (8 kontrol ile)

A.7 Fiziksel kontroller (14 kontrol ile)

A.8 Teknik kontroller (34 kontrol ile)

Yeni ISO 27001:2022 versiyonunun Ek A'sı artık toplam 93 kontrol içermektedir ve bunlardan aşağıdaki 11 kontrol yenidir:

A.5.7 Tehdit istihbaratı

A.5.23 Bulut hizmetlerinin kullanımı için bilgi güvenliği

A.5.30 İş sürekliliği için BİT hazırlığı

A.7.4 Fiziksel güvenlik izleme

A.8.9 Konfigürasyon yönetimi

A.8.10 Bilgilerin silinmesi

A.8.11 Veri maskeleme

A.8.12 Veri sızıntısının önlenmesi

A.8.16 Faaliyet izleme

A.8.23 Web filtreleme

A.8.28 Güvenli kodlama

ISO 27001:2022'nin Ek A'sı kontrolleri adlandırmakla sınırlıyken, ISO/IEC 27002:2022 uygulama kılavuzu bunları kategorize etmek için daha fazla seçenek sunar. Burada, her kontrole farklı görünümlere ve bakış açılarına izin veren beş öznitelik atanmıştır. Öznitelikler veya öznitelik değerleri, farklı kurumsal görünümler için filtreleme, sıralama veya görüntüleme amacıyla kullanılabilir.

Beş öznitelik şunlardır:

Kontrol türü, bir önlemin bir bilgi güvenliği olayının meydana gelmesiyle ilgili riski ne zaman ve nasıl değiştirdiği perspektifinden kontrollerin görünümü için bir niteliktir.

Bilgi güvenliği özellikleri, kontrolleri önlemin hangi koruma hedefini desteklemeyi amaçladığı perspektifinden görmeye yönelik bir niteliktir.

Siber güvenlik kavramları, kontrollere ISO/IEC TS 27110'da açıklanan siber güvenlik çerçevesiyle nasıl eşleştikleri perspektifinden bakar.

Operasyonel yetenek, kontrolleri operasyonel bilgi güvenliği yetenekleri perspektifinden değerlendirir ve önlemlerin pratik bir kullanıcı görünümünü destekler.

Güvenlik alanları, kontrollerin dört bilgi güvenliği alanı perspektifinden görülmesini sağlayan bir niteliktir.

ISO 27001 - Bilgi Güvenliği Yönetim Sistemi

ISO standardına göre bütünsel yönetim sistemi ★ Risk yönetimi sürecinin etkin bir şekilde uygulanması ★ Güvenlik seviyesinin sürekli iyileştirilmesi

ISO 27001 hakkında daha fazla bilgi edinin

Revizyon, mevcut sertifikanız için ne anlama geliyor?

ISO 27001'in yeni ve geliştirilmiş versiyonu 25 Ekim 2022 tarihinde yayınlanmıştır. Ve aşağıda geçiş süreci için önemli tarihler listelenmiştir:

Eski ISO 27001:2013'e göre ilk/yeniden belgelendirme denetimleri için son tarih

  • 30 Nisan 2024'ten itibaren DQS ilk belgelendirme ve yeniden belgelendirme denetimlerini yalnızca yeni ISO 27001:2022'ye istinaden gerçekleştirecek

Mevcut tüm sertifikaların yeni ISO 27001:2022'ye geçişi

  • 31 Ekim 2022'den başlayarak 3 yıl geçiş periyodu kabul edilir
  • ISO/IEC 27001:2013 veya DIN EN ISO/IEC 27001:2017 sertifikaları 31 Ekim 2025'e kadar geçerli olacak ve bu tarihte geri çekilecektir.

Yeni ISO/IEC 27001:2022 - Sonuç

Yeni ISO/IEC 27001:2022'nin yayınlanması, 3 yıllık geçiş döneminin başlangıcına işaret etmektedir.

Özet olarak başlıca yenilikler şunlardır:

  • Yönetim sisteminin Uyumlaştırılmış Yapı ile uyumluluğu.
  • Süreç oryantasyonuna, etkileşimlerine ve kriterlerine vurgu yapılması.
  • Kontrollerin tematik bloklar halinde basitleştirilmiş ve kolaylaştırılmış kategorizasyonu.
  • Mevcut organizasyonel yöntemler ve ilgili tehditlerle uyumlu çağdaş önlemler.
  • Kontrollerin küresel siber güvenlik çerçeveleri de dahil olmak üzere çeşitli risk yönetimi metodolojileriyle uyumlu hale getirilmesine yönelik nitelikler.
gerber-hermsdorf-werner-korall-audit dqs
Loading...

Sorularınız mı var?

Bize ulaşın!

Herhangi bir yükümlülük altında kalmadan ve ücretsiz danışın.

Güven ve uzmanlık

Metinlerimiz ve broşürlerimiz yalnızca standart uzmanlarımız veya uzun süredir görev yapan denetçilerimiz tarafından yazılmaktadır. Metin içeriği veya sunduğumuz hizmetler hakkında herhangi bir sorunuz varsa lütfen bize ulaşmaktan çekinmeyin.

Yazar
Markus Jegelka

Bilgi güvenliği yönetim sistemleri (ISMS) için DQS uzmanı ve Alman Enerji Endüstrisi Kanunu'nun (EnWG) 11.1a paragrafına göre ISO 9001, ISO/IEC 27001 standartları ve BT güvenlik kataloğu Baş Denetçisi.

Loading...