15.02.2022 tarihinde resmi yayını gerçekleştirilen standart ISO/IEC 27002:2022 olarak hayatına başladı. Böylece standardın bir önceki versiyonu olan ISO/IEC 27002:2013 standardı yürürlükten kaldırılmış oldu.
Bilgi güvenliği yönetimi standardı ISO/IEC 27001 “Bilgi teknolojisi Güvenlik yöntemleri Bilgi güvenliği yönetim sistemleri Gereksinimler” ve İyi Uygulama Kuralları (ISO 27002) standardı en son yaklaşık 10 yıl önce güncellenmişti.
Gerçekleştirilen temel değişiklikler:
Önceki versiyonun 14 maddesinin aksine, ISO 27002:2022 artık sadece dört madde ve iki ek içermektedir:
- Organizasyonel kontroller (Madde 5): Bu madde, 37 kontrolden oluşan çeşitli organizasyonel konularla ilgili tüm kontrolleri içermektedir.
- İnsan kontrolleri (Madde 6): Bu madde, 8 kontrolden oluşan insan kaynakları güvenliği ile ilgili kontrollere odaklanmaktadır.
- Fiziksel kontroller (Madde 7): Bu madde, 14 kontrolden oluşan fiziksel çevre ile ilgili kontrollere odaklanmaktadır.
- Teknolojik kontroller (Madde 8): Bu madde, 34 kontrolden oluşan teknolojik çözümlerle ilgili kontrollere odaklanmaktadır.
Bu 4 ana başlığa ek olarak iki “Ek” kısmı bulunmaktadır:
Ek – A Kullanım Nitelikleri: Kontrollerin nitelikleri ve kullanım önerileri ile ilgili olarak tanımlamalar içermektedir. Bu başlıkta yapılan tanımlamalar, Kontrollerin yönetiminde kolaylık sağlamakta ve diğer genel-geçer Standartlar, Çerçeveler ve İyi Uygulamalar ile ISO 27001 Standardı’nın kolay şekilde eşleştirilmesini sağlamaktadır. Her Kontrol için yapılan tanımlamalar:
Kontrol Türleri: Önleyici, Tespit Edici, Düzeltici
Bilgi Güvenliği Nitelikleri: Gizlilik, Bütünlük, Kullanılabilirlik
Siber Güvenlik Konuları: Tanımlama, Koruma, Tespit Etme, Koruma, Yanıt Verme, İyileşme
Operasyonel Yetkinlikler: Yönetişim, Varlık Yönetimi, Bilgi Koruma, İnsan Kaynakları Güvenliği, Fiziksel Güvenlik, Sistem ve Ağ Güvenliği, Uygulama Güvenliği, Güvenli Konfigürasyon, Kimlik ve Erişim Yönetimi, Tehdit ve Zafiyet Yönetimi, Süreklilik, Tedarik İlişkileri Güvenliği, Hukuk ve Uyum, Bilgi Güvenliği Olay Yönetimi, Bilgi Güvenliği Teminatı
Güvenlik Alanı: Yönetişim ve Ekosistem, Koruma, Savunma, Dayanıklılık
Ek – B ISO 27002:2013 ile Kıyaslama: Eski ve yeni versiyon Kontrollerinin ilişkilendirilmesini içerir.
114 olan Kontrol sayısı 93 olarak düzenlenmiştir:
Organizasyonel 37, Teknolojik 34, Fiziksel 14, İnsani 8 Kontrol tanımlanmıştır.
Herhangi bir Kontrol çıkarılmamıştır.
Eklenen Yeni Kontroller
ISO 27002:2022’de 11 yeni kontrol eklendi:
5.7 Tehdit İstihbaratı/Siber İstihbarat
5.23 Bulut Hizmetleri Kullanımı için Bilgi Güvenliği
5.30 İş Sürekliliği için Bilgi ve İletişim Teknolojileri
7.4 Fiziksel Güvenlik İzleme
8.9 Konfigürasyon Yönetimi
8.10 Veri Silme
8.11 Veri Maskeleme
8.12 Veri Kaybı Önleme
8.16 İzleme Faaliyetleri
8.23 İnternet Filtreleme
8.28 Güvenli Kodlama
Değişiklik Yapılan Kontroller
23 kontrolün adı değiştirildi
Birleştirilen Kontroller
Toplam 57 kontrol 24 yeni kontrolde birleştirildi:
Kaldırılan Kontroller
ISO 27002:2013’de bulunan 1 kontrol kaldırıldı:
11.2.5 Varlıkların kaldırılması
Bölünen Kontroller
18.2.3 Teknik uyum gözden geçirmesi maddesi; 5.36 Bilgi güvenliği için politikalar, kurallar ve standartlarla uyumluluk ve 8.8 Teknik güvenlik açıklarının yönetimi olarak bölünmüştür.
ISO 27001 standardına etkileri ne olacak?
ISO 27002 standartı; ISO27001 standardının Ek A’sında belirtilen bilgi güvenliği kontrollerine ilişkin detaylı kılavuzluk sağlayan bir standarttır. Dolayısıyla şu anki durumda ISO27001’de herhangi bir revizyon yapılmadığı için bazı belirsizlikler ortaya çıkmaktadır.
Bu durumun ortadan kaldırılması için; ya ISO 27001 standardı tamamen revize edilecek, ya da sadece ISO 27001 EK A’yı değiştiren bir değişiklik yayınlanacaktır.
Standardın tamamen revize edilmesi düşük bir olasılıktır. Çünkü halihazırda ISO27001, Annex SL- Yüksek Seviyeli Yapı uyumlu bir standarttır ve ISO27002’de yapılan revizyon bu yapıyı etkilememektedir.
Dolayısıyla ISO’nun sadece EK-A’yı ISO27002:2022’ye referans veren bir düzeltme yayınlaması beklenmektedir.
ISO27001 Belgeli Kuruluşlar ne yapmalı?
ISO27001:2013’e göre belgelendirilmiş olan kuruluşlar; bu düzeltme yayınlanana kadar ISO27002:2022’ye uyum sağlama mecburiyetinde değiller. Düzeltme yayınlandıktan sonra, muhtemelen kuruluşlara yeni şartlara uyum ve ISO27002:2022’ye geçiş için belirli bir süre tanınacaktır. Bu sürenin bitiminden itibaren de artık yeni şartlardan sorumlu olunacak, belgelendirme denetimleri de bu yeni şartlar doğrultusunda gerçekleştirilecektir.
ISO27002:2022’nin getirdiği yenilik ve değişikliklere adaptasyon, bazı kuruluşlar için çok kolay olmayabilir. Bu nedenle belgeli kuruluşların bir an önce bu değişikliklerin kendi BGYS’ne etkilerini değerlendirmesi ve geçiş için bir yol haritası oluşturmaları faydalı olacaktır.