ISO/IEC 27001:2022'deki normatif değişiklikler
Çok önemli bir değişiklik, bilgi güvenliği yönetim sisteminin uygulanması ve sürdürülmesi için gerekli süreçlerin ve bunların bilgi güvenliği yönetim sistemi içindeki etkileşimlerinin tanımlanması gerekliliği Madde 4.4'teki kuruluş bağlamına eklenir. Bu açık gereklilik ISO 27001:2022'yi Uyumlaştırılmış Yapı'ya göre diğer yönetim sistemlerinin en iyi uygulama yaklaşımıyla aynı çizgiye getirmektedir. Bilgi güvenliği yönetim sistemi yerleşik, izlenebilir süreçlere ve bunların etkileşimlerine dayanmalıdır. Ek A bilgi güvenliği kontrolleri daha sonra bu süreçler etrafında tasarlanır ve uyarlanır.
Madde 8.1 'deki bir sonraki ilgili değişiklik de tüm Uyumlaştırılmış Yapı tabanlı yönetim sistemlerinde ortak olan süreç oryantasyonunun önemini vurgulamaktadır. Kuruluşlar, bilgi güvenliği risklerini yönetmek için önlemleri uygulamak üzere operasyonel planlama ve kontrollerinin bir parçası olarak süreçleri gerçekleştirmelidir. Yeni olan, süreç kriterlerinin artık tanımlanması gerektiğidir. Süreç kontrolü bu kriterlere uygun olarak uygulanmalıdır.
Ayrıca, aşağıdaki maddelerde oldukça küçük açıklamalar ve spesifikasyonlar yapılmıştır:
- Madde 5.3, bilgi güvenliği ile ilgili rollere ilişkin sorumluluk ve yetkilerin kurum içinde bilinmesine yönelik açık bir gereklilikle desteklenmiştir.
- Madde 7.4 bilgi güvenliği yönetim sistemi ile ilgili iç ve dış iletişim ihtiyacını düzenlemektedir. Ne hakkında, ne zaman ve kiminle iletişim kurulacağına dair halen geçerli olan hükümlere ek olarak, iletişimin nasıl yapılacağı önceki gerekliliklere göre uygulanabilir bir basitleştirmedir.
- Madde 9.2 İç Denetim ve Madde 9.3 Yönetimin Gözden Geçirmesi Uyumlaştırılmış Yapıya uyarlanmıştır. Madde 9.2 artık 9.2.1 ve 9.2.2 olarak alt bölümlere ayrılmıştır, Madde 9.3 ise 9.3.1, 9.3.2 ve 9.3.3 olarak üç alt bölüme ayrılmıştır.
- Madde 10.1 ve Madde 10.2 'nin yapılandırılma sırası Uyumlaştırılmış Yapıya uyarlanmıştır. İleriye dönük sürekli iyileştirme boyutu, içerikte herhangi bir değişiklik yapılmaksızın Madde 10.1'de Madde 10.2'deki uygunsuzlukların ve düzeltici faaliyetlerin geriye dönük olarak ele alınmasından önce gelmektedir. Bu düzenleme sürekli iyileştirme sürecinin (CIP) önemini vurgulamaktadır.
Ek A'daki kontrol setine atıfta bulunan ISO 27001'deki temel ve açık gereklilikler, Madde 6.1.3 c)'ye göre, kuruluşa özgü bilgi güvenliği kontrolleri ile Ek A'dakiler arasındaki karşılaştırma süreci ve Madde 6.1.3 d), Uygulanabilirlik Bildiriminin (SoA) hazırlanması. Bu temel gereksinimler değişmeden kalıyor!
Muhtemel bilgi güvenliği kontrollerinin bir listesi olarak Ek A'ya atıfta bulunularak yapılan, Madde 6.1.3 c)'ye ilişkin bilgilendirici (normatif olmayan) notlardaki açıklamalar, Ek A'yı tamamlayan diğer kaynaklardan ek önlemlerin seçilmesi olasılığını göstermektedir.
ISO/IEC 27001:2022'nin yeni Ek A'sı
ISO 27001:2022'nin normatif Ek A'sındaki olası bilgi güvenliği (IS) kontrollerinin listesi, ISO/IEC 27002:2022'den aynı şekilde türetilmiştir. Genel güvenlik kontrolleri kataloğu Şubat 2022'de yayınlanmıştır. Bu nedenle, ISO 27001:2022 Ek A'daki değişiklikler bir süredir öngörülebilirdi. Daha önce Ek A, 14 madde halinde düzenlenmiş 35 kontrol hedefi altında bilgi güvenliği risklerini ele almak için kullanılabilecek toplam 114 kontrol içeriyordu.
Yeni ISO 27001:2022'nin kontrol hedeflerini ortadan kaldırmasının yanı sıra, Ek A'daki bilgi güvenliği kontrolleri revize edilmiş, güncel hale getirilmiş ve bazı yeni kontrollerle desteklenmiş ve yeniden düzenlenmiştir.
Ek A'nın eski 14 maddesi şimdi aşağıdaki 4 konuya odaklanmıştır:
A.5 Organizasyonel kontroller (37 kontrol ile).
A.6 Kişisel kontroller (8 kontrol ile)
A.7 Fiziksel kontroller (14 kontrol ile)
A.8 Teknik kontroller (34 kontrol ile)
Yeni ISO 27001:2022 versiyonunun Ek A'sı artık toplam 93 kontrol içermektedir ve bunlardan aşağıdaki 11 kontrol yenidir:
A.5.7 Tehdit istihbaratı
A.5.23 Bulut hizmetlerinin kullanımı için bilgi güvenliği
A.5.30 İş sürekliliği için BİT hazırlığı
A.7.4 Fiziksel güvenlik izleme
A.8.9 Konfigürasyon yönetimi
A.8.10 Bilgilerin silinmesi
A.8.11 Veri maskeleme
A.8.12 Veri sızıntısının önlenmesi
A.8.16 Faaliyet izleme
A.8.23 Web filtreleme
A.8.28 Güvenli kodlama
ISO 27001:2022'nin Ek A'sı kontrolleri adlandırmakla sınırlıyken, ISO/IEC 27002:2022 uygulama kılavuzu bunları kategorize etmek için daha fazla seçenek sunar. Burada, her kontrole farklı görünümlere ve bakış açılarına izin veren beş öznitelik atanmıştır. Öznitelikler veya öznitelik değerleri, farklı kurumsal görünümler için filtreleme, sıralama veya görüntüleme amacıyla kullanılabilir.
Beş öznitelik şunlardır:
Kontrol türü, bir önlemin bir bilgi güvenliği olayının meydana gelmesiyle ilgili riski ne zaman ve nasıl değiştirdiği perspektifinden kontrollerin görünümü için bir niteliktir.
Bilgi güvenliği özellikleri, kontrolleri önlemin hangi koruma hedefini desteklemeyi amaçladığı perspektifinden görmeye yönelik bir niteliktir.
Siber güvenlik kavramları, kontrollere ISO/IEC TS 27110'da açıklanan siber güvenlik çerçevesiyle nasıl eşleştikleri perspektifinden bakar.
Operasyonel yetenek, kontrolleri operasyonel bilgi güvenliği yetenekleri perspektifinden değerlendirir ve önlemlerin pratik bir kullanıcı görünümünü destekler.
Güvenlik alanları, kontrollerin dört bilgi güvenliği alanı perspektifinden görülmesini sağlayan bir niteliktir.