ISO/IEC 27001 ve ISO/IEC 27002 Standartlarının Yeni Sürümleri yayınlandı

Bilgi güvenliği yönetimi standardı ISO 27001 ve ona eşlik eden standart ISO 27002, 2022'de güncellendi. Güncelleme ile ilgili bültenimize ve detaylara bu sayfadan ulaşabilirsiniz.

GEÇİŞ BÜLTENİ

ISO 27001 ve ISO 27002'nin yeni versiyonlarının getirdiği önemli değişiklikler nelerdir?

ISO 27001:2022, ISO 27001:2013'ten önemli ölçüde olmamakla beraber bazı dikkate değer değişikliklere sahip

• Bağlam ve kapsam

Artık ilgili tarafların “ilgili” gereksinimlerini belirlemeli ve hangilerinin BGYS (bilgi güvenliği yönetim sistemi) aracılığıyla ele alınacağını belirlemelisiniz.

• Planlama

Bilgi güvenliği hedefleri artık izlenmeli ve “dokümante edilmiş bilgi olarak kullanılabilir” hale getirilmelidir.

BGYS'de değişiklikleri planlamaya ilişkin yeni bir bölüm var. BGYS'deki değişikliklerin gerçekten planlanmış olduğunu nasıl gösterebileceğinizi belirlemelisiniz.

• Destek

Kimin iletişim kuracağını ve iletişimi gerçekleştirme süreçlerini tanımlama gereklilikleri, “nasıl iletişim kurulacağını” tanımlama gerekliliği ile değiştirilmiştir.

• Operasyon

Bilgi güvenliği hedeflerine nasıl ulaşılacağını planlama gerekliliği, Madde 6'da tanımlanan eylemleri uygulamaya yönelik süreçler için kriterler oluşturma ve bu süreçleri kriterler doğrultusunda kontrol etme gerekliliği ile değiştirilmiştir.

Kuruluşların artık sadece süreçlerden ziyade BGYS ile ilgili “harici olarak sağlanan süreçleri, ürünleri veya hizmetleri” kontrol etmesi gerekmektedir.

• Performans ve değerlendirme

BGYS'nin etkinliğini izleme, ölçme, analiz etme ve değerlendirme yöntemlerinin artık karşılaştırılabilir ve tekrarlanabilir olması gerekmektedir.

Yönetimin gözden geçirmesi artık ilgili tarafların ihtiyaç ve beklentilerindeki değişiklikleri de dikkate almalıdır.

• Ek A

Ek A, ISO 27002:2022 ile uyumlu hale getirmek için revize edilmiştir. ISO 27002'de dolayısı ile ISO 27001 de aşağıdaki değişiklikler yapılmıştır.

Güncellenen ISO 27002 standardının başlığından “uygulama prensipleri” ibaresi çıkarılmıştır. Bu değişiklik, risk yönetimine dayalı olarak kullanılacak bilgi güvenliği kontrollerinin bir referans seti olarak kullanılma amacını daha iyi yansıtmaktadır.

Standardın yeni versiyonu önceki sürümden önemli ölçüde daha uzun olup bilgi güvenliği kontrolleri yeniden sıralanmış ve güncellenmiştir. Bazı kontroller birleştirilmiş veya kaldırılmış ve bazı kontroller de eklenmiştir:

• ISO 27002:2022, ISO 27002:2013'teki 114 yerine 93 kontrolü listeler.
• Bu kontroller 14 madde yerine gruplandırılan 4 ana konu altında listelenmiştir. Bunlar:
  • Organizasyonel (37 kontrol)
  • İnsanlar (8 kontrol)
  • Fiziksel (14 kontrol)
  • Teknolojik (34 kontrol)
• Eklenen yeni kontroller şunlardır:
  • Tehdit istihbaratı
  • Bulut hizmetlerinin kullanımı için bilgi güvenliği
  • İş sürekliliği için BİT hazırlığı
  • Fiziksel güvenlik izleme
  • Konfigürasyon yönetimi
  • Bilgi silme
  • Veri maskeleme
  • Veri sızıntısı önleme
  • İzleme faaliyetleri
  • Web filtreleme
  • Güvenli kodlama
• Kategorize edilmelerini kolaylaştırmak için kontrollerde artık beş tür "özellik" yer almakta:
  • Kontrol tipi (önleyici, tespit edici, düzeltici)
  • Bilgi güvenliği özellikleri (gizlilik, bütünlük, kullanılabilirlik)
  • Siber güvenlik kavramları (belirleme, koruma, tespit etme, yanıt verme, iyileştirme)
  • Operasyonel kabiliyetler (yönetişim, varlık yönetimi, vb.)
  • Güvenlik alanları (yönetim ve ekosistem, koruma, savunma, direnç)
• 23 kontrolün adı değiştirilmiş ve herhangi bir kontrol çıkarılmamıştır.

Bu değişiklikler, ISO/IEC 27001'i uygulayan kuruluşları nasıl etkileyecek?

ISO/IEC 27001:2022'ye geçiş için akreditasyon ve belgelendirme kuruluşlarına yönelik gereklilikler, Uluslararası Akreditasyon Forumu tarafından IAF MD 26:2022 dokümanı içerisinde tanımlanarak yayınlandı.

ISO/IEC 27001:2013 sertifikasına sahip kuruluşların yeni versiyona geçişi bu doküman doğrultusunda standardın yayın tarihinden itibaren 3 yıldır. Halihazırda ISO/IEC 27001:2013 sertifikasına sahip kuruluşlar en geç 31.10.2025 te yeni versiyona geçiş yapmış olmalıdır.

• Geçiş, bu süre içerisinde sertifikalı kuruluşun talebine bağlı olarak programlı tetkik ile birlikte (gözetim veya belge yenileme) veya haricinde (geçiş tetkiki) olarak yapılabilecektir. Söz konusu tetkikler sertifikalı müşterilerin geçişini doğrulamak için ilave olarak asgari 0,5 tetkikçi gününü içerecektir. Bu süre tetkik öncesinde belirlenerek kuruluşa bildirilecektir.
• ISO/IEC 27001:2013'e dayalı tüm sertifikalar, geçiş süresinin sonunda sona erecek veya geri çekilecektir.
• Kuruluş, geçiş kontrollerini içeren tetkiki (programlı gözetim tetkiki veya geçiş tetkiki yoluyla) başarıyla tamamladığında güncellenecek olan sertifikada, geçerli belgelendirme döngüsünün sona erme tarihi değiştirilmeyecektir.

ISO/IEC 27001:2013'e uygun sistemlerini kurmuş halihazırda bir sertifikaya sahip olmayan kuruluşlar ilk belgelendirme için en geç 31.10.2023 tarihine kadar eski versiyonda belgelendirme kuruluşlarına başvuru yapabileceklerdir. Bu tarih sonrası eski versiyonda başvurular kabul edilmeyecektir.

Cicert olarak geçiş için hazırlanmaya mümkün olduğunca erken başlamanızı ve gerekli değişiklikleri yönetim sisteminize dahil etmek için aşağıdaki adımları dikkate alarak ve uygun şekilde planlamanızı öneririz :

• Standardın yeni versiyonun içeriğini ve gerekliliklerini öğrenin. Değişikliklere odaklanın.
• Kuruluşunuzdaki ilgili personelin eğitimli olduğundan ve gereksinimleri ve önemli değişiklikleri anladığından emin olun.
• Yeni gereklilikleri karşılamak ve bir uygulama planı oluşturmak için ele alınması gereken boşlukları belirleyin.
• Eylemleri uygulayın ve yeni gereksinimleri karşılamak için yönetim sisteminizi güncelleyin.

ISO 27002:2022, kontrollerini standardın 2013 sürümüyle karşılaştıran bir eke sahiptir. Değişikleri kıyaslamanız nispeten kolay olacaktır.

Cicert olarak 2023 yılı ikinci yarısından itibaren geçiş tetkiklerini yapmaya ve yeni versiyonda başvuruları almaya başlamayı öngörmekteyiz.

Geçiş sürecinizde ihtiyacınız olan destekler ve sorularınız için bizimle iletişime geçebilirsiniz. Eğitimler, boşluk analizi, tetkikler aracılığı ile değişiklikleri anlamanızı sağlayarak, kuruluşunuz üzerindeki etkiyi kontrol ederek ve sertifika geçişinizi sağlayarak size destek olmaya hazırdır.