ISO 27001:2013 ve ISO 27002:2022 Standartlarındaki Değişiklikler

2022 yılı içerisinde güncellenmesi beklenen ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı (BGYS) ve ISO 27002 Uygulama Rehberi ile ilgili olarak, ISO 27001 Standardı içerisinde gerçekleşecek değişiklikler ve 15 Şubat 2022 tarihi itibari ile ISO (International Organization for Standartization) tarafından yayımlanan ISO 27002:2022 Bilgi Güvenliği, Siber Güvenlik ve Mahremiyet Koruma – Bilgi Güvenliği Kontrolleri üzerine tarafınızı bilgilendirmek isteriz. İngilizce olarak yayımlanan Standart’ın güncel hali ISO İnternet sitesinden temin edilebilir.

ISO 27002 Standardı, ISO 27001 BGYS Standardı’ndan ayrı olarak bir sertifikasyon gerektirmeyen, ISO 27001 Standardı’nın Uygulama Rehberi niteliğinde olan bir standarttır. 2022 yılı içerisinde ISO 27001 Standardı’nda yapılacak değişiklikleri de göz önünde bulundurarak Standart güncellemeleri üzerine Kuruluş olarak izleyebileceğimiz yollar ;

ISO 27001 Standardı Sertifikasyonu bulunan Kuruluşlar için :

Yeni Standart’a uyum yükümlülüğü ISO 27001 Standardı’nın yayın tarihinden itibari ile iki (2) yıl dır. Standartlar içerisinde yapılan değişiklikler göz önünde bulundurularak, bu dönem içerisinde gerekli risk değerlendirme, süreç ve BGYS dokümantasyonu güncellemeleri yapılmalıdır. Bu zaman zarfında yapılacak herhangi bir BGYS Denetimi’nde, gerçekleştirilmeyen güncellemeler denetim bulgusu olarak tespit edilebilir. Önerilen (aynı ya da eşdeğer) teknik kontrollerin birçoğu mevcut Standart’ta ve yerel mevzuatlarda (KVKK vb.) tanımlandığından, halihazırda mevcut Standart ve mevzuatlara uyumluluk durumuna bağlı olarak, geçiş süreci ilave bir yatırım olmadan gerçekleştirilebilir.

ISO 27001 Standardı Sertifikasyonu bulunmayan Kuruluşlar için :

Sertifikasyonun aciliyet gerektirdiği durumlarda mevcut Standart’a uygun şekilde sertifikasyon için çalışmaların gerçekleştirilerek; sertifikasyon sonrası Standart değişikliğine göre gerekli güncellemelerin yapılması uygun bir yaklaşım olacaktır.

Sertifikasyonu aciliyet gerektirmeyen Kuruluşlar için ise gerekli hazırlık çalışmalarının güncellenen ISO 27002:2022 Uygulama Rehberi dikkate alınarak güncellenecek ISO 27001 Standardı’na uygun şekilde yapılmasını öneririz.

Bu yıl içerisinde (ikinci yarısı olması muhtemel) yayımlanacak ISO 27001 Standardı’nda gerçekleştirilen temel değişiklikler:

• Standart ana maddeleri (4 – 10 Maddeleri) aynı şekilde bırakılmıştır.
• Ek – A Kontrolleri güncellenmiştir.
  • Kontrol sayısı 114’ten 93’e indirilmiştir.
  • Kontroller 14 yerine (A.5-A.18 Maddeleri) 4 ana başlık altında gruplanmıştır.
  • 11 yeni Kontrol eklenmiştir.
  • Herhangi bir Kontrol devre dışı bırakılmamış, Kontrollerin çoğu aynı başlık altında birleştirilmiştir.

Güncellenen ISO 27002:2022 Standardı’nda gerçekleştirilen temel değişiklikler:

• Eski versiyonda 14 olan Başlık sayısı 4 Ana Başlık olarak düzenlenmiştir:
  • Organizasyonel Kontroller
  • İnsan Kontrolleri
  • Fiziksel Kontroller
  • Teknolojik Kontroller

• Bu 4 Ana Başlığa ek olarak iki “Ek” kısmı bulunmaktadır:
  • Ek – A Kullanım Nitelikleri: Kontrollerin nitelikleri ve kullanım önerileri ile ilgili olarak tanımlamalar içermektedir. Bu başlıkta yapılan tanımlamalar, Kontrollerin yönetiminde kolaylık sağlamakta ve diğer genel-geçer Standartlar, Çerçeveler ve İyi Uygulamalar ile ISO 27001 Standardı’nın kolay şekilde eşleştirilmesini sağlamaktadır. Her Kontrol için yapılan tanımlamalar:
    1. Kontrol Türleri: Önleyici, Tespit Edici, Düzeltici
    2. Bilgi Güvenliği Nitelikleri: Gizlilik, Bütünlük, Kullanılabilirlik
    3. Siber Güvenlik Konuları: Tanımlama, Koruma, Tespit Etme, Koruma, Yanıt Verme, İyileşme
    4. Operasyonel Yetkinlikler: Yönetişim, Varlık Yönetimi, Bilgi Koruma, İnsan Kaynakları Güvenliği, Fiziksel Güvenlik, Sistem ve Ağ Güvenliği, Uygulama Güvenliği, Güvenli Konfigürasyon, Kimlik ve Erişim Yönetimi, Tehdit ve Zafiyet Yönetimi, Süreklilik, Tedarik İlişkileri Güvenliği, Hukuk ve Uyum, Bilgi Güvenliği Olay Yönetimi, Bilgi Güvenliği Teminatı
    5. Güvenlik Alanı: Yönetişim ve Ekosistem, Koruma, Savunma, Dayanıklılık
  • Ek – B ISO 27002:2013 ile Kıyaslama: Eski ve yeni versiyon Kontrollerinin ilişkilendirilmesini içerir.
• 114 olan Kontrol sayısı 93 olarak düzenlenmiştir:
  • Organizasyonel 37, Teknolojik 34, Fiziksel 14, İnsanî 8 Kontrol tanımlanmıştır.
  • Herhangi bir Kontrol çıkarılmamıştır.
  • Aynı süreçler kapsamında gerçekleştirilen Kontrollerin birçoğu aynı Başlıklar altında gruplanmıştır.
  • 11 yeni Kontrol Maddesi eklenmiştir:
    • Tehdit İstihbaratı/Siber İstihbarat
    • Bulut Hizmetleri Kullanımı için Bilgi Güvenliği
    • İş Sürekliliği için Bilgi ve İletişim Teknolojileri
    • Fiziksel Güvenlik İzleme
    • Konfigürasyon Yönetimi
    • Veri Silme
    • Veri Maskeleme
    • Veri Kaybı Önleme
    • İzleme Faaliyetleri
    • İnternet Filtreleme
    • Güvenli Kodlama

Konu ile ilgili herhangi bir soru, görüş ya da destek ihtiyacınız olması durumunda bize ulaşabilirsiniz.

Kaynaklar:

• ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls
• https://advisera.com/27001academy/blog/2022/02/09/iso-27001-iso-27002/
• https://instant27001.com/products/iso-27001-27002-2021-update/