ISO/IEC 27001:2022’deki değişiklikler
Çok önemli bir değişiklik, BGYS’nin uygulanması ve sürdürülmesi için gerekli süreçlerin ve bunların BGYS içindeki etkileşimlerinin tanımlanması gerekliliği Madde 4.4‘teki kuruluş bağlamına eklenir. Bu açık gereklilik ISO/IEC 27001:2022’yi Uyumlaştırılmış Yapı’ya (ÜDY) göre diğer yönetim sistemlerinin en iyi uygulama yaklaşımıyla aynı çizgiye getirmektedir. Bilgi güvenliği yönetim sistemi yerleşik, izlenebilir süreçlere ve bunların etkileşimlerine dayanmalıdır. Ek A bilgi güvenliği kontrolleri daha sonra bu süreçler etrafında tasarlanır ve uyarlanır.
Madde 8.1 ‘deki bir sonraki ilgili değişiklik de tüm UY tabanlı yönetim sistemlerinde ortak olan süreç oryantasyonunun önemini vurgulamaktadır. Kuruluşlar, bilgi güvenliği risklerini yönetmek için önlemleri uygulamak üzere operasyonel planlama ve kontrollerinin bir parçası olarak süreçleri gerçekleştirmelidir. Yeni olan, süreç kriterlerinin artık tanımlanması gerektiğidir. Süreç kontrolü bu kriterlere uygun olarak uygulanmalıdır.
Ayrıca, aşağıdaki maddelerde oldukça küçük açıklamalar ve spesifikasyonlar yapılmıştır:
- Madde 5.3, bilgi güvenliği ile ilgili rollere ilişkin sorumluluk ve yetkilerin kurum içinde bilinmesine yönelik açık bir gereklilikle desteklenmiştir.
- Madde 7.4 BGYS ile ilgili iç ve dış iletişim ihtiyacını düzenlemektedir. Ne hakkında, ne zaman ve kiminle iletişim kurulacağına dair halen geçerli olan hükümlere ek olarak, iletişimin nasıl yapılacağı önceki gerekliliklere göre uygulanabilir bir basitleştirmedir.
- Madde 9.2 İç Denetim ve Madde 9.3 Yönetimin Gözden Geçirmesi Uyumlaştırılmış Yapıya uyarlanmıştır. Madde 9.2 artık 9.2.1 ve 9.2.2 olarak alt bölümlere ayrılmıştır, Madde 9.3 ise 9.3.1, 9.3.2 ve 9.3.3 olarak üç alt bölüme ayrılmıştır.
- Madde 10.1 ve Madde 10.2 ‘nin yapılandırılma sırası Uyumlaştırılmış Yapıya uyarlanmıştır. İleriye dönük sürekli iyileştirme boyutu, içerikte herhangi bir değişiklik yapılmaksızın Madde 10.1’de Madde 10.2’deki uygunsuzlukların ve düzeltici faaliyetlerin geriye dönük olarak ele alınmasından önce gelmektedir. Bu düzenleme sürekli iyileştirme sürecinin (CIP) önemini vurgulamaktadır.
Ek A’daki kontrol setine atıfta bulunan ISO 27001’deki temel ve açık gereklilikler, Madde 6.1.3 c)’ye göre, kuruluşa özgü bilgi güvenliği kontrolleri ile Ek A’dakiler arasındaki karşılaştırma süreci ve Madde 6.1.3 d), Uygulanabilirlik Bildiriminin (SoA) hazırlanması. Bu temel gereksinimler değişmeden kalıyor!
Muhtemel bilgi güvenliği kontrollerinin bir listesi olarak Ek A’ya atıfta bulunularak yapılan, Madde 6.1.3 c)’ye ilişkin bilgilendirici (normatif olmayan) notlardaki açıklamalar, Ek A’yı tamamlayan diğer kaynaklardan ek önlemlerin seçilmesi olasılığını göstermektedir.
ISO/IEC 27001:2022’nin yeni Ek A’sı
ISO/IEC 27001:2022’nin normatif Ek A’sındaki olası bilgi güvenliği (IS) kontrollerinin listesi, ISO/IEC 27002:2022’den aynı şekilde türetilmiştir. Genel güvenlik kontrolleri kataloğu Şubat 2022’de yayınlanmıştır. Bu nedenle, ISO/IEC 27001:2022 Ek A‘daki değişiklikler bir süredir öngörülebilirdi. Daha önce Ek A, 14 madde halinde düzenlenmiş 35 kontrol hedefi altında bilgi güvenliği risklerini ele almak için kullanılabilecek toplam 114 kontrol içeriyordu.
Yeni ISO/IEC 27001:2022’nin kontrol hedeflerini ortadan kaldırmasının yanı sıra, Ek A’daki bilgi güvenliği kontrolleri revize edilmiş, güncel hale getirilmiş ve bazı yeni kontrollerle desteklenmiş ve yeniden düzenlenmiştir.
Ek A’nın eski 14 maddesi şimdi aşağıdaki 4 konuya odaklanmıştır:
A.5 Organizasyonel kontroller (37 kontrol ile).
A.6 Kişisel kontroller (8 kontrol ile)
A.7 Fiziksel kontroller (14 kontrol ile)
A.8 Teknik kontroller (34 kontrol ile)
Yeni ISO/IEC 27001:2022 versiyonunun Ek A’sı artık toplam 93 kontrol içermektedir ve bunlardan aşağıdaki 11 kontrol yenidir:
A.5.7 Tehdit istihbaratı
A.5.23 Bulut hizmetlerinin kullanımı için bilgi güvenliği
A.5.30 İş sürekliliği için BİT hazırlığı
A.7.4 Fiziksel güvenlik izleme
A.8.9 Konfigürasyon yönetimi
A.8.10 Bilgilerin silinmesi
A.8.11 Veri maskeleme
A.8.12 Veri sızıntısının önlenmesi
A.8.16 Faaliyet izleme
A.8.23 Web filtreleme
A.8.28 Güvenli kodlama