Katma değerli iş süreçleri bilgi ve veriler tarafından yönlendirilir. Bilgi alışverişi olmadan dijital ekonomimizde hiçbir şey yürümez. Temel hizmetlerimiz, işlevselliği büyük ölçüde bilgi ve veri alışverişine bağlı olan kritik altyapılara dayanmaktadır. Bilgi güvenliği, işimizin ve hayatımızın gerçekliğine kadar uzanır. Bilgiye dayalı günlük operasyonları, kritik verileri ve fikri mülkiyeti siber tehditlerden korumak bu nedenle her büyüklükteki işletme için zorunludur.
ISO 27001:2022’nin yeni özelliklerine genel bakış
ISO 27001, bir bilgi güvenliği yönetim sistemi (kısaca BGYS) ve organizasyon yapısı, boyutu veya yönelimi ne olursa olsun şirketler için çerçeveyi tanımlar. Buradaki kilit nokta risk yönetimidir. Değişen siber tehditler, bilgi akışlarına ve dolayısıyla iş süreçlerine saldırmak ve bunlardan ödün vermek amacıyla şirketlerde sürekli olarak yeni potansiyel güvenlik açıklarından yararlanmaktadır. Bilgi güvenliğinin üç temel koruma hedefi olan gizlilik, bütünlük ve kullanılabilirlik üzerindeki bu mekanizmadan kaynaklanan riskler tanımlanmalı ve yönetilmelidir.
ISO/IEC 27001:2022 güncellemesi, bu bilgi güvenliği risklerini yönetmek için en iyi uygulamaları ele almaktadır. Yeni ISO/IEC 27001:2022’nin normatif Ek A’sındaki olası bilgi güvenliği kontrollerinin listesi, revize edilmiş ISO/IEC 27002:2022 kılavuzundan aynı şekilde türetilmiştir. Uygulama kılavuzu, daha basit bir sınıflandırma ve çağdaş güvenlik kontrolleriyle 2022 yılının Şubat ayında zaten kabul edilmişti. Şimdi yayınlanan yeni ISO/IEC 27001:2022 ile, değerli önerilen önlemleri ile başarılı ISO standardı tandem 27001/27002 bir kez daha son teknoloji ürünüdür.
Yeni ISO/IEC 27001:2022’deki bir diğer önemli değişiklik, sözde Uyumlaştırılmış Yapıya (HS) uyumla birlikte, uzun süredir gecikmiş olan süreç yönelimi gereksiniminin etkili bir BGYS’nin odağına yerleştirilmesidir. Etkili yönetim sistemlerinin temeli, açık süreçler ve bunların etkileşimleri ile bu süreçlerin kontrolü için hedef odaklı kriterlerdir.
Mayıs 2021 itibariyle, önceki Yüksek Düzeyli Yapının (HLS) yerini Uyumlaştırılmış Yapı (HS) alıyor. HS, mevcut ISO yönetim sistemi standartlarının yeni ve gelecekteki revizyonlarının geliştirilmesi için temel yapı ve şablondur. ISO/IEC 27001:2022, HS’ye uyarlanan ilk yönetim sistemi standartlarından biridir. HLS’ye kıyasla HS’deki çeşitli açıklamalar, eklemeler ve aynı zamanda silmeler, standarda aşina olan kullanıcılar için oldukça ilginçtir.
Ancak ISO/IEC 27001:2022 için, HS’den önemli bir türetme doğrudan görülebilir. Gelecekte Madde 6.3, BGYS’de yapılacak değişikliklerin planlı bir şekilde uygulanmasını gerektirecektir. Bu gereklilik, diğer yönetim sistemlerinden aşinadır ve BGYS ile ilgili bir değişim sürecine hakim olunduğu beklentisini ifade eder. Örneğin, önceki ISO/IEC 27001:2013’ten yeni ISO/IEC 27001:2022’ye geçiş, tüm etkileri ve etkileşimleri ile planlı bir şekilde uygulanması gereken BGYS’de bir değişiklik olarak anlaşılabilir.
ISO/IEC 27001:2022’nin yeni Ek A’sı
ISO/IEC 27001:2022’nin normatif Ek A’sındaki olası bilgi güvenliği (IS) kontrollerinin listesi, ISO/IEC 27002:2022’den aynı şekilde türetilmiştir. Genel güvenlik kontrolleri kataloğu Şubat 2022’de yayınlandı. Bu nedenle, ISO/IEC 27001:2022 Ek A’daki değişiklikler bir süredir öngörülebilirdi. Daha önce, Ek A, 14 maddede düzenlenmiş 35 kontrol hedefi kapsamında bilgi güvenliği risklerini ele almak için kullanılabilecek toplam 114 kontrolü içeriyordu.
Yeni ISO/IEC 27001:2022’nin kontrol hedeflerini ortadan kaldırmasının yanı sıra, Ek A’daki bilgi güvenliği kontrolleri revize edilmiş, güncellenmiş ve bazı yeni kontrollerle tamamlanarak yeniden düzenlenmiştir.
Ek A’nın eski 14 maddesi şimdi aşağıdaki 4 konuya odaklanmıştır:
- 5 Organizasyonel kontroller (37 kontrol ile).
- 6 Kişisel kontroller (8 kontrol ile)
- 7 Fiziksel kontroller (14 kontrol ile)
- 8 Teknik kontroller (34 kontrol ile)
Yeni ISO/IEC 27001:2022 sürümünün Ek A’sı artık toplam 93 kontrol içermektedir ve bunlardan aşağıdaki 11 kontrol yenidir:
- 5.7 Tehdit İstihbaratı
- 5.23 Bulut hizmetlerinin kullanımı için bilgi güvenliği
- 5.30 İş sürekliliği için BİT hazırlığı
- 7.4 Fiziksel güvenlik izleme
- 8.9 Konfigürasyon yönetimi
- 8.10 Bilgilerin silinmesi
- 8.11 Veri maskeleme
- 8.12 Veri sızıntısını önleme
- 8.16 Faaliyet izleme
- 8.23 Web filtreleme
- 8.28 Güvenli kodlama
ISO/IEC 27001:2022’nin Ek A’sı kontrolleri adlandırmakla sınırlıyken, ISO/IEC 27002:2022 uygulama kılavuzu bunları sınıflandırmak için daha fazla seçenek sunar. Orada, her kontrole, üzerlerinde farklı görünümler ve bakış açıları sağlayan beş nitelik atanır. Nitelikler veya bunların nitelik değerleri, farklı kuruluş görünümlerini filtrelemek, sıralamak veya görüntülemek için kullanılabilir.
Beş nitelik şunlardır:
Kontrol Tipi, bir önlemin bir bilgi güvenliği olayının meydana gelmesiyle ilgili riski ne zaman ve nasıl değiştirdiği perspektifinden kontrollerin görünümü için bir niteliktir.
Bilgi güvenliği özellikleri, önlemin desteklemeyi amaçladığı koruma hedefi açısından kontrolleri görüntülemeye yönelik bir niteliktir.
Siber Güvenlik Kavramları, kontrollere ISO/IEC TS 27110’da açıklanan siber güvenlik çerçevesiyle nasıl eşleştikleri açısından bakar.
Operasyonel Yetenek, kontrolleri operasyonel bilgi güvenliği yetenekleri açısından değerlendirir ve önlemlerin pratik bir kullanıcı görünümünü destekler.
Güvenlik etki alanları, kontrollerin dört bilgi güvenliği etki alanı perspektifinden görüntülenmesini sağlayan bir niteliktir.