Uluslararası Standardizasyon Örgütü (ISO), ISO/IEC 27002 Bilgi Güvenliği, Siber Güvenlik ve Gizlilik Koruması: Bilgi Güvenliği Kontrolleri Standardı'nın bir süredir sürdürmekte olduğu revizyon çalışmalarını tamamlayarak, standardın üçüncü baskısını yayınladı .
15.02.2022 tarihinde resmi yayını gerçekleştirilen standart ISO/IEC 27002:2022 olarak hayatına başladı. Böylece standardın bir önceki versiyonu olan ISO/IEC 27002:2013 standardı yürürlükten kaldırılmış oldu.
ISO/IEC 27002:2022 standardını incelemek için ISO web sitesini ziyaret edebilirsiniz.
Neler Değişti?
ISO 27002 standardı, ISO 27001 Ek A'da listelenen kontrollerin uygulanması için en iyi uygulamalar hakkında rehberlik sağlayan bir standart olarak tasarlandı ve yeni revizyonu da aynı misyonu devam ettiriyor.
Azaltılmış madde sayısı ve kontrollerin nasıl kullanılacağına ilişkin rehberlik içeren bir bölümün eklenmesi, kontrollerin uygulanabilirliğini ve sorumlulukların belirlenmesini anlamayı kolaylaştıracaktır.
Maddelerin Yapısı
Önceki versiyonun 14 maddesinin aksine, ISO 27002:2022 artık sadece dört madde ve iki ek içermektedir:
• Organizasyonel kontroller (madde 5): Bu madde, 37 kontrolden oluşan çeşitli organizasyonel konularla ilgili tüm kontrolleri içermektedir.
• Kişi kontrolleri (madde 6): Bu madde, 8 kontrolden oluşan insan kaynakları güvenliği ile ilgili kontrollere odaklanmaktadır.
• Fiziksel kontroller (madde 7): Bu madde, 14 kontrolden oluşan fiziksel çevre ile ilgili kontrollere odaklanmaktadır.
• Teknolojik kontroller (madde 8): Bu madde, 34 kontrolden oluşan teknolojik çözümlerle ilgili kontrollere odaklanmaktadır.
• Ek A – Nitelikleri kullanma: Bu ek, tüm yeni kontrollerin bir matrisini sağlar ve niteliklerini karşılaştırır ve kontrollerin niteliklerine göre nasıl kullanılabileceğine dair öneriler sunar.
• Ek B – ISO/IEC 27002:2013 ile karşılaştırma: Bu ek, bu sürümdeki kontroller ile önceki 2013 baskısındaki kontroller arasında bir eşleme sağlar.
Kontrol Sayısı
Eski standartta 14 maddede toplanan 114 kontrol, ISO 27002:2022'de 4 ana madde altında 93 kontrol olarak düzenlendi. Fakat kontrollerin sayı olarak azalması, gerekliliklerin azalması anlamına gelmiyor. Hiçbir kontrol kaldırılmadı, çoğu birleştirildi ve 11 yeni kontrol dahil edildi.
Kontrol nitelikleri
Standardın bu yeni revizyonu için en fazla değeri getiren değişiklik budur, çünkü kontrolleri farklı kriterlere göre sıralamak ve filtrelemek için standart bir yol sağlar.
Her bir kontrolün öznitelikleri aşağıdaki gibidir:
• Kontrol türleri: Önleyici, Tespit Edici ve Düzeltici.
• Bilgi güvenliği özellikleri: Gizlilik, Bütünlük ve Erişilebilirlik.
• Siber güvenlik kavramları: Tanımla, Koru, Algıla, Yanıtla ve Kurtar.
• Operasyonel Yetenekler: Yönetim, Varlık yönetimi, Bilgi koruma, İnsan kaynakları güvenliği, Fiziksel güvenlik, Sistem ve ağ güvenliği, Uygulama güvenliği, Güvenli yapılandırma, Kimlik ve erişim yönetimi, Tehdit ve güvenlik açığı yönetimi, Süreklilik, Tedarikçi ilişkileri güvenliği, Hukuk ve uyumluluk, Bilgi güvenliği olay yönetimi ve Bilgi güvenliği güvencesi.
• Güvenlik alanları: Yönetim ve ekosistem, Koruma, Savunma ve Dayanıklılık. • Bu öznitelikler, işle ilgili kriterlere göre hangi kontrollerin uygulanabilir olduğunu (yani, yalnızca bilgi güvenliği ile ilgili değil) ve ayrıca ISO 27002 kontrollerinin NIST Risk Yönetimi gibi diğer benzer güvenlik çerçevelerine entegrasyonunu anlamayı kolaylaştıracaktır.
Yeni Kontroller
ISO 27002:2022'de 11 yeni kontrol eklendi:
Değişen Kontroller
Daha kolay anlaşılması için toplam 23 kontrolün adı değiştirildi, ancak özleri eski standarttakiyle aynı kaldı: (Değişikliklerdeki nüansların belirgin olması için, tabloda orjinal İngilizce madde başlıkları kullanılmıştır)
Birleştirilmiş kontroller
Toplam 57 kontrol 24 yeni kontrolde birleştirildi: (Değişikliklerdeki nüansların belirgin olması için, tabloda orjinal İngilizce madde başlıkları kullanılmıştır)
Bölünmüş kontroller
18.2.3 Teknik uyum gözden geçirmesi maddesi; 5.36 Bilgi güvenliği için politikalar, kurallar ve standartlarla uyumluluk ve 8.8 Teknik güvenlik açıklarının yönetimi olarak bölünmüştür.
ISO 27001 standardına etkileri ne olacak?
ISO 27002 standartı; ISO27001 standardının Ek A'sında belirtilen bilgi güvenliği kontrollerine ilişkin detaylı kılavuzluk sağlayan bir standarttır. Dolayısıyla şu anki durumda ISO27001'de herhangi bir revizyon yapılmadığı için karmaşık bir durum ortaya çıkmaktadır.
Bu durumun ortadan kaldırılması için; ya ISO 27001 standardı tamamen revize edlecek, ya da sadece ISO 27001 EK A'yı değiştiren bir değişiklik yayınlanacaktır.
Standardın tamamen revize edilmesi düşük bir olasılıktır. Çünkü halihazırda ISO27001, Annex SL- Yüksek Seviyeli Yapı uyumlu bir standarttır ve ISO27002'de yapılan revizyon vu yapıyı etkilememektedir.
Dolayısıyla ISO'nun sadece EK A'yı ISO27002:2022'ye refere eden bir düzeltme yayınlaması (CORRIGENDA / AMENDMENTS) daha olası gözükmektedir.
ISO27001 Belgeli Kuruluşlar ne yapmalı?
Halihazırda ISO27001:2013'e göre belgelendirilmiş olan kuruluşlar; bu düzeltme yayınlanana kadar ISO27002:2022'ye uyum sağlama mecburiyetinde değiller. Düzeltme yayınlandıktan sonra, muhtemelen kuruluşlara yeni şartlara uyum ve ISO27002:2022'ye geçiş için belirli bir süre tanınacaktır. Bu sürenin bitiminden itibaren de artık yeni şartlardan sorumlu olunacak, belgelendirme denetimleri de bu yeni şartlar doğrultusunda gerçekleştirilecektir.
ISO27002:2022'nin getirdiği yenilik ve değişikliklere adaptasyon, bazı kuruluşlar için çok kolay olmayabilir. Bu nedenle belgeli kuruluşların bir an önce bu değişikliklerin kendi BGYS'ne etkilerini değerlendirmesi ve geçiş için bir yol haritası oluşturmaları faydalı olacaktır.