BGYS standardı en son 2013’te güncellenen ISO 27001:2013 bilgi güvenliği yönetim sistemi aradan geçen dokuz yılda beklentilerin aksine bir güncelleme yaşamadı.
En son 2022 yılında henüz çok yeni bir revizyona gidildi ve bu yeni bilgi güvenliği revizyonuyla bir takım değişiklikler yapıldı. Bu güne kadar 1999 da yayınlanan ilk standard sonrası, 2005, 2013 ve 2022 (yeni) güncellemeler yapılmıştı.
Genel olarak baktığımızda ISO 27001:2022 bilgi güvenliği yönetim standartında ki en büyük değişikliğin EK-A kontrol madddelerinde olduğu görülüyor.
EK-A kontrollerinde 114 olan kontrol sayısının 93’e düşürülmesi bazı kontrol sorularının silindiğini düşünmenize neden olabilir. İşin aslıyla öyle değil. Bu azaltmanın nedeni bazı kontrol sorularının birleştirilmesinden kaynaklı.
Bu hem daha özet ve basit bir kontrolü mümkün kılmakta ve aynı zamanda konu bütünlüğünü daha özet şekilde anlamayı da kolaylaştırmaktadır. Bununla birlikte on bir yeni sorunun EK-A kontrol listesine eklendiğini de yeri gelmişken söylemiş olalım.
Adlbelge.com ISO 27001 2022 revizyonuyla BGYS belgesini yenilemek isteyen firmalar için belgelendirme kuruluşu destek hizmeti vermektedir.
ISO 27001:2022 Ana Standard Maddelerindeki Değişiklikler Nelerdir?
ISO 27001 standardının ana maddelerine bakacak olursak, 4’ten 10’a kadar olan maddelerde genel tanımlamalarda değişiklik bulunmamakla birlikte, yeni içeriğin eklendiği 4. maddenin 2. maddesi, 6. maddenin 2. maddesi, 6. maddenin alt 3. maddesi ve 8. maddenin ilk 1. maddelerinde birkaç küçük revizyon yapıldığını görmekteyiz.
Diğer güncellemeler terminolojideki küçük değişiklikleri ve cümle ve yan tümcelerin yeniden yapılandırılmasını içermektedir. Ancak BGYS’nin ana başlık ve sıralarının aşağıdaki listede olduğu gibi aynı kaldığını tekrar belirtmek isterim.
* Madde 4 Kuruluşun içeriği
* Madde 5 Liderlik
* Madde 6 Planlama
* Madde 7 Desteği
* Madde 8 Operasyon
* Madde 9 Performans değerlendirmesi
* Madde 10 İyileştirme
ISO 27001: 2022 BGYS Revizyonundaki Temel Değişimler Nelerdir?
* ISO 27001’in ana kısmı, yani 4’ten 10’a kadar olan maddeler sadece çok az değişti.
* Ek A güvenlik kontrollerindeki değişiklikler orta düzeydedir.
* Kontrol sayısı 114’ten 93’e düştü.
* Kontroller önceki 14 yerine 4 bölüme yerleştirildi.
* 11 yeni kontrol eklendi, kontrollerin hiçbiri silinmedi ve birçok kontrol birleştirildi.
ISO 27001’in ilk versiyonu 1999 yılında 7799-2 standardıyla yayınlanmış ve o tarihten bu yana 2005 ve 2013’te bir takım revizyonlara uğramasına rağmen 2022 revizyonuyla daha kullanışlı ve özetlenmiş bir yapı hedeflenmiştir.
ISO 27001, ISO 27002 ile karıştırılmamalıdır; ilki, şirketinizi belgelendirebileceğiniz ana standarttır, ISO 27002 ise güvenlik kontrollerinin uygulanmasına ilişkin yönergeler sağlayan destek standarttır. Aradaki fark 27002 uygulamanın nasıl yapılacağı gösteren kılavuz niteliğindeki standarttır.
ISO 27001 belgelendirmesi için ISO 27002’nin zorunlu olmaması ve bir firmanın ISO 27002’ye göre belgelendirilmesinin mümkün olmamasıdır.
ISO 27002 ilk kez 1995 yılında BS 7799-1 adı altında yayınlandı ve bu yılın Şubat ayında 93 kontrolün yeni yapısıyla ISO 27002:2022 revizyonu yayınlandı – bu kontrol yapısının tamamen aynısı ISO 27001:2022 tarafından da benimsendi. aşağıda açıklandığı gibi.
Genel olarak, 2013 revizyonu ile karşılaştırıldığında, ISO 27001:2022 revizyonundaki değişiklikler küçük ila orta düzeydedir. Standardın ana kısmı 11 maddeden ibaret olup, standardın bu kısmındaki değişiklikler küçüktür (aşağıya bakınız).
İlk bakışta Ek A çok değişti; kontrol sayısı 114’ten 93’e düştü ve 2013 revizyonundaki 14 bölüme kıyasla yalnızca dört bölüm halinde düzenlendi. Ancak daha yakından bakıldığında Ek A’daki değişikliklerin sadece orta düzeyde olduğu açıkça görülüyor; aşağıdaki açıklamaya bakınız.
4’ten 10’a kadar olan zorunlu maddelerin metni, esas olarak ISO 9001, ISO 14001 ve diğer ISO yönetim standartlarına uyum sağlamak amacıyla çok az değiştirildi.
Özetle ISO 27001:2022’deki Değişikliklere Kısa Bir Genel Bakış
Madde 4.2’ye (İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması), ilgili taraf gereksinimlerinden hangisinin BGYS aracılığıyla ele alınması gerektiğinin analizini gerektiren madde (c) eklenmiştir.
Madde 4.4’e (Bilgi güvenliği yönetim sistemi), BGYS kapsamında süreçlerin ve bunların etkileşimlerinin planlanmasını gerektiren bir ifade eklenmiştir.
Madde 5.3’e (Kurumsal roller, sorumluluklar ve yetkiler), rollerin iletişiminin kuruluş içinde dahili olarak yapıldığını açıklığa kavuşturmak için bir ifade eklenmiştir.
Madde 6.2’ye (Bilgi güvenliği hedefleri ve bunlara ulaşmak için planlama), hedeflerin izlenmesini gerektiren madde yeni eklenmiştir.
BGYS’deki herhangi bir değişikliğin planlı bir şekilde yapılması gerektiğini belirten Madde 6.3 (Değişikliklerin planlanması) eklendi.
Madde 7.4’te (İletişim), iletişim için süreçlerin ayarlanmasını gerektiren (e) maddesi silinmiştir.
Madde 8.1’e (Operasyonel planlama ve kontrol), güvenlik süreçlerine ilişkin kriterlerin oluşturulmasına ve süreçlerin bu kriterlere göre uygulanmasına yönelik yeni gereksinimler eklenmiştir. Aynı maddede, hedeflere ulaşmaya yönelik planların uygulanması zorunluluğu da kaldırıldı.
Madde 9.3’e (Yönetim incelemesi), ilgili taraflardan gelen girdilerin onların ihtiyaçları ve beklentileriyle ilgili ve BGYS ile ilgili olması gerektiğini açıklayan yeni madde 9.3.2 c) eklenmiştir.
Madde 10’da (İyileştirme), alt maddeler yer değiştirmiştir, dolayısıyla birincisi Sürekli iyileştirme (10.1) ve ikincisi Uygunsuzluk ve düzeltici faaliyet (10.2) olup, bu maddelerin metni değişmemiştir.
ISO 27001 BGYS Ek A Güvenlik Kontrollerindeki Değişiklikler
ISO 27001 bilgi güvenliği yönetim sisteminindeki (kısaca: BGYS) Ek A’daki değişiklikler yalnızca orta düzeydedir.
Zira kontrollerin çoğu ya aynı kalmıştır (otuz beş adedi) ya da yalnızca yeniden adlandırılmıştır. Elli yedi kontrol noktası birleştirildi ve bu da toplam kontrol sorularının sayısını azalttı.
Ancak bu kontrollerdeki gereksinimler neredeyse aynı kaldı. Son olarak, gereksinimler aynı kalırken bir kontrol iki ayrı kontrole bölündü.
İpucu: Standart haritanın eski revizyonundaki kontrollerin yenileriyle nasıl yapıldığını öğrenmek için bu ISO 27001:2013’ten ISO 27001:2022’ye Dönüştürme Aracını kullanabilirsiniz .
ISO 27001: 2013’ten ISO 27001: 2022’ye Geçiş Süreci
Uluslararası Akreditasyon Kurumu IAF’ın ISO 27001: 2022 geçiş şartlarına dair bildirdiği sürece bakılırsa 2025 Ekim ayına kadar oldukça geniş bir süre içeriyor. Ancak bu sürecinin önemli bir kısmının belgelendirme kuruluşlarının geçiş ve hazırlık süreci olduğunu unutmamak gerekir.
Özetlemek gerekirse, standardın ana bölümündeki değişiklikler yalnızca küçüktür ve dokümantasyon ve süreçlerde yalnızca küçük değişikliklerle oldukça hızlı bir şekilde yapılabilir. Ek A kontrollerindeki değişiklikler orta düzeydedir ve çoğunlukla yeni kontrollerin mevcut belgelere eklenmesiyle giderilebilir.
Bu yeni revizyonu dokuz (uzun) yıl bekledikten sonra, bazı güvenlik profesyonelleri değişikliklerin daha kapsamlı olmasını bekliyordu, ancak 2013 revizyonuna göre zaten sertifikalandırılmış şirketlerin, yapılacak işin bu kadar olmadığı için rahatlayacağına inanıyorum. sonuçta büyük.
ISO 27001: 2022 bilgi güvenliği yönetim sisteminizi hemen güncellemek amacıyla revizyonu uygulamaya başlamak istiyorsanız önce yukarıdaki değişiklikleri BT birimi (bilgi işlem teknolojileri departmanı) ile görüşmeniz yerinde karar olacaktır.
* Bu yazı hazırlanırken pecb.com sayfasından kaynak olmak üzere alıntılar yapılmıştır.