ISO/IEC 27001’in ve bağlantılı ISO/IEC 27002’nin en son sürümünün 2022 yılında yayınlanması, tüm şirketlerin giderek daha fazla bilgi güvenliği risklerine maruz kaldığını zamanında hatırlatıyor. Öyleyse, yeni versiyonun önümüze getirdiği ana değişiklikler ve faydalar nelerdir?
Dijital olarak yürütülen modern iş ve ticaretin büyük bir kısmıyla, bilgi, veri ve siber güvenlik her zaman yönetim kaygıları listesinde üst sıralarda yer almalıdır. Siber tehditler ve saldırılar konusu, son aylarda enerji maliyetleri ve güvenlik endişeleri nedeniyle gündemimizden uzaklaştırılmış olabilir, ancak siber tehdit kesinlikle azalmadı ve hatta büyümüş olabilir.
Bu nedenle, ISO/IEC 27001’in son sürümünün 25 Ekim’de yayınlanması, tüm şirketlerin giderek artan bir şekilde bilgi güvenliği risklerine maruz kaldığını bize hatırlatıyor. Çünkü öncelikle standardın ismi değişmiş ve siber güvenlik, mahremiyet konuları başlığa girmiştir. ISO/IEC 27001, şirketlerin bilgi varlıklarını proaktif bir şekilde yönetmelerine ve korumalarına ve güvenlik olaylarını yönetmelerine ve azaltmalarına yardımcı olan uluslararası kabul görmüş bilgi güvenliği yönetim sistemi (ISMS) standardıdır. Ayrıca mevzuat uyumluluğunun ele alınmasına ve müşteri gereksinimlerinin karşılanmasına yardımcı olur.
Güvenlik ihlalleri ve siber saldırılar önemli kayıplara ve itibar zedelenmesine neden olabilir. Bundan kaçınmak için kuruluşların mevcut tehditleri yönetmesi ve gerektiğinde riskleri azaltması gerekir. Bu, paydaş güveninin oluşturulmasına yardımcı olacak ve finansal kayıp ve aksama riskinin en aza indirilmesini sağlayacaktır. Riski belirlemek, yönetmek ve azaltmak için sağlam, yapılandırılmış bir çerçeve oluşturmak, sürekli iyileştirmeyi teşvik edecek ve iş sürekliliğini güçlendirecektir.
ISO/IEC 27001, diğer tanınmış ISO yönetim sistemi standartlarıyla uyumlu ve uyumlu olacak şekilde tasarlanmıştır. Standardın son büyük revizyonu 2013 yılında yapılmıştır. Bu nedenle, ISO/IEC 27002’de tanımlanan bilgi güvenliği kontrolleri de dahil olmak üzere standardın, siber saldırı ve veri güvenliği ihlali senaryoları ile güncelleştirilmesi gerekli görülmüştür.
ISO 27001’in mevcut 2013 versiyonuna göre sertifika alan kuruluşların 2022 yeni versiyona geçiş için üç yılı olacaktır. Bu, firmaların mevcut BGYS sertifikalarını Kasım 2025’ten önce yeni gereksinimleri karşılaması gerekliliği anlamına gelir. Henüz belgelendirilmemiş kuruluşlar için en iyi yol, yeni standarda göre hemen belgelendirmeyi hedeflemek olmalıdır
.
ISO/IEC 27001’in son sürümünün günümüze getirdiği temel değişiklikler…
Yeni sürümün yapısı önceki sürümle aynıdır ancak Siber güvenlik ve Veri güvenliği kavramlarını içerir. Kısa bir bakış ile değişikliklerin neredeyse tamamen ISO/IEC 27002’den yenilenmiş kontrol setinde yer aldığını ortaya koymaktadır. Bunlara, ISO/IEC 27001’in Ek A tablo maddelerinde atıfta bulunulmaktadır. Ek A, aşağıdakilere dayalı bir bilgi güvenliği yönetim sistemi için bilgi güvenliği kontrollerini ortaya koymaktadır:
- Toplam kontrol sayısı 114’ten 93 kontrole düşmüştür.
- 11 yeni güvenlik denetimi var, 58’i güncellendi ve 24’ü şirketlerin karşılaştığı yeni senaryoları basitleştirmek ve daha iyi yansıtmak için birleştirildi.
- Kontroller 4 kontrol temasıyla yeniden düzenlenmiştir: Organizasyonel, İnsan, Fiziksel ve Teknolojik.
Kullanıcılar ve uygulayıcılar için,
Kontrollere ek olarak, ISO’nun Yüksek Seviye Yapısının en son güncellemeleriyle uyumlu hale getirmek için bazı küçük değişiklikler var. Etkilenen yönetim sisteminin ana alanları liderlik, kurumsal güvenlik, BT işlevleri ve diğer destek işlevleridir. Hizmet sağlayıcılar için teslimat da etkilenmiştir. Yeni sürüm, güncellenen güvenlik kontrolleri sayesinde daha etkin risk yönetimi sağlar.
…ve faydaları
Yeni sürümün başlıca faydaları şu şekilde özetlenebilir:
- Ek A’daki güvenlik kontrolleri, şirketlerin üstesinden gelmek zorunda olduğu mevcut senaryoları yansıtacak şekilde iyileştirildiğinden, daha etkin risk yönetimi sağlar.
- Şirketlerin risklerini ve tehditlerini yeniden değerlendirmelerine ve sürekli artan ara bağlantı, bulut ve otomasyon teknolojisi, kötü amaçlı yazılım ve fidye yazılımı ve diğer güvenlik açıkları ile bağlama uygun güvenlik kontrolleri uygulamasına yardımcı olur.
- Bilgi güvenliği yönetim sistemini şirketlerin uğraşmak zorunda olduğu bu kritik konulara daha iyi bağlayarak siber güvenlik ve gizliliği içerecek şekilde genişler.
- Ek A’daki kontrollerin daha iyi bir yapısını ve sunumunu ve daha açık ve basit bir dille sağlar.
ISO/IEC 27001 :2022yönetim sisteminin ve belgelendirmenin faydaları değişmedi; ancak yeni sürüm, şirketlerin iş bağlamlarındaki yeni riskleri ve tehditleri daha iyi anlamalarını, yönetmelerini ve azaltmalarını sağlıyor.
Bir kuruluşun yeni standarda geçiş yapmasına veya belgelendirmeye yönelik çalışmasına bakılmaksızın, CertBy başarılı bir sonuca varmak için gerekli tüm hizmetleri ve desteği sağlayabilmektedir. TSE onaylı sızma test hizmetleri, 6698 sayılı kişisel verilerin korunması kanunu çerçevesinde yürüttüğü çalışmalar (mahremiyet konusu), ISO 15504 SPICE ile yazılım yetki belgesi mercii olarak yürüttüğü belgelendirme hizmetleri ve en üst bilgi teknolojileri (BT) güvenliğinin damgası ISO 15408 ortak kriterler laboratuvar hizmetleri ile CertBy Us (Cybersecurity Emergency Response Team BY Us) yani akıl ile siber güvenliğin tek adresi CertBy’dır.
Sizde güvenliği, en ön koltukta rahat bir şekilde oturarak karşılamak için acele edin.