ISO 27001:2022 Belgesi ile ISO 27001:2013 Arasındaki Farklar
2022 yılı Ekim ayında yayınlanan ISO 27002 Uygulama rehberi niteliğini taşıyan EK-A yönergeleri ile ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı (BGYS), ISO (International Organization for Standartization) tarafından yayımlanmıştır. Şu an İngilizce olarak bulunan standardı satın almak isterseniz buraya tıklayarak iso.org sayfasına gitmeniz gerekmektedir. ISO 27002 Standardı sadece EK-A maddelerinin nasıl yapılacağı konusunda rehberlik eden bir standarttır. ISO 27001 BGYS Standardı’ndan ayrı olarak bir alınamaz.
Standart güncellemeleri üzerine Kuruluş olarak izleyebileceğimiz yollar;
ISO 27001 Belgesi olan Kuruluşlar için:
Yeni Standart’a geçiş süresi işletmedeki ISO 27001 belgesinin yayın tarihinden itibari ile 2 yıl olarak belirlemiştir. 27001 ve 27002 standartlarında yapılan değişiklikler göz önüne alındığında risk süreçleri, bilgi güvenliği uygulama prosedürleri ve Uygulanabilirlik bildirgelerinin güncellemelerinin yapılması gereklidir.
ISO 27001 Standardı Sertifikasyonu bulunmayan Kuruluşlar için:
ISO 27001 belgesi alınabilmesi için gerekli olan temel dokümantasyon ve uygulamaların yapılarak revize standarda göre güncellemelerin tamamlanması uygun olacaktır. Eğer işletmenin acil iso 27001 sertifikası ihtiyacı yoksa revize standarta ve uygulama rehberine göre dokümanların oluşturulması en uygun yöntem olabilir.
ISO 27001 Belgesi Bilgi Güvenliğinde değişiklikler aşağıdaki gibidir;
- Standart ana maddeleri (4 – 10 Maddeleri) aynı şekilde bırakılmıştır.
- Ek-A Kontrolleri güncellenmiştir.
- Kontrol sayısı 114’ten 93’e indirilmiştir.
- Kontroller 14 yerine (A.5-A.18 Maddeleri) 4 ana başlık altında gruplanmıştır.
- 11 yeni Kontrol eklenmiştir.
- Herhangi bir Kontrol devre dışı bırakılmamış, Kontrollerin çoğu aynı başlık altında birleştirilmiştir.
Güncellenen ISO 27002:2022 Standardı’nda gerçekleştirilen temel değişiklikler şu şekildedir. Eski versiyonda 14 olan Başlık sayısı 4 Ana Başlık olarak düzenlenmiştir:
- Organizasyonel Kontroller
- İnsan Kontrolleri
- Fiziksel Kontroller
- Teknolojik Kontroller
Bu 4 Ana Başlığa haricinde iki “Ek” kısım getirilmiştir.
Ek – A Kullanım Nitelikleri: Kontrollerin nitelikleri ve kullanım önerileri ile ilgili olarak tanımlamalar içermektedir. Bu başlıkta yapılan tanımlamalar, Kontrollerin yönetiminde kolaylık sağlamakta ve diğer genel-geçer Standartlar, Çerçeveler ve İyi Uygulamalar ile ISO 27001 Standardı’nın kolay şekilde eşleştirilmesini sağlamaktadır. Her Kontrol için yapılan tanımlamalar:
Kontrol Türleri: Önleyici, Tespit Edici, Düzeltici
Bilgi Güvenliği Nitelikleri: Gizlilik, Bütünlük, Kullanılabilirlik
Siber Güvenlik Konuları: Tanımlama, Koruma, Tespit Etme, Koruma, Yanıt Verme, İyileşme
Operasyonel Yetkinlikler: Yönetişim, Varlık Yönetimi, Bilgi Koruma, İnsan Kaynakları Güvenliği, Fiziksel Güvenlik, Sistem ve Ağ Güvenliği, Uygulama Güvenliği, Güvenli Konfigürasyon, Kimlik ve Erişim Yönetimi, Tehdit ve Zafiyet Yönetimi, Süreklilik, Tedarik İlişkileri Güvenliği, Hukuk ve Uyum, Bilgi Güvenliği Olay Yönetimi, Bilgi Güvenliği Teminatı
Güvenlik Alanı: Yönetişim ve Ekosistem, Koruma, Savunma, Dayanıklılık
Ek – B ISO 27002:2013 ile Kıyaslama: Eski ve yeni versiyon Kontrollerinin ilişkilendirilmesini içerir.
114 olan Kontrol sayısı 93 olarak düzenlenmiştir:
- Organizasyonel 37, Teknolojik 34, Fiziksel 14, İnsanî 8 Kontrol tanımlanmıştır.
- Herhangi bir Kontrol çıkarılmamıştır.
- Aynı süreçler kapsamında gerçekleştirilen Kontrollerin birçoğu aynı Başlıklar altında gruplanmıştır.
- 11 yeni Kontrol Maddesi eklenmiştir:
- Tehdit İstihbaratı/Siber İstihbarat
- Bulut Hizmetleri Kullanımı için Bilgi Güvenliği
- İş Sürekliliği için Bilgi ve İletişim Teknolojileri
- Fiziksel Güvenlik İzleme
- Konfigürasyon Yönetimi
- Veri Silme
- Veri Maskeleme
- Veri Kaybı Önleme
- İzleme Faaliyetleri
- İnternet Filtreleme
- Güvenli Kodlama
Kaynaklar
https://www.iso.org/standard/82875.html
https://instant27001.com/products/iso-27001-27002-2021-/