ISO 27001 BGYS Standardında 2022 Revizyonuyla Hangi Maddeler Değişti?

Yeni ISO 27001 Bilgi Güvenliği Yönetim Sistemi 2022 revizyonu, 25 Ekim 2022'de yayımlandı. ISO 27001: 2022'nin başlıca yeni güncellemelerinden bazıları, EK A kontrol listesinde önemli bir değişiklik, diğer maddelerde küçük güncellemeler ve bazı alt başlıklarda bir değişiklik içermektedir.

Standardın ana bölümündeki değişiklikler çok büyük olmamakla birlikte dokümantasyonel süreçlerde küçük değişikliklerle oldukça hızlı bir şekilde adaptasyon sağlanabilir. Ek-A kontrollerindeki değişiklikler ise orta düzeydedir ve çoğunlukla yeni kontrollerin mevcut belgelere eklenmesiyle birlikte ISO 27001:2022 standardına uygun şekilde düzenlenebilir.

ISO 27001 Son Revizyonu

ISO 27001 bilgi güvenliği yönetim sisteminin en son revizyonu Ekim 2022'de yayınlanan ISO 27001: 2022 standartıdır. Bu son revizyon ile ilgili tüm detaylar aşağıdaki yazımızda ele alınmıştır. En son revizyona geçiş süreci 2025 sonuna kadar yapılacak olup bu amaçla standartın sadece revizyona uğramış maddelerinin ve bağlı dokümanlarının güncellenmesi yeterli olacaktır.

ISO 22000 EK-A kontrol listesindeki son değişiklikler tamamlandığında yeni bir kontrol (iç tetkik) yapılmalı ve son bir YGG (yönetim gözden geçirme toplantısı) ile iyileştirmeler varsa belirlenmelidir.

BGYS son revizyonuna geçiş eğitimlerimiz için bize ulaşabilirsiniz.

ISO 27001 belgesine sahip kuruluşların yeni revizyona geçiş süreleri 2025 Aralık sonu olarak görünüyor.

ISO 27001: 2022 Standard Maddeleri

• Madde 4 Kuruluşun içeriği
• Madde 5 Liderlik
• Madde 6 Planlama
• Madde 7 Destek
• Madde 8 Operasyon
• Madde 9 Performans değerlendirme
• Madde 10 İyileştirme

ISO 27001 Yönetim Sistemindeki Revizyonlar

Standardın ana kısmı 11 maddeden ibaret olup, standardın bu kısmındaki değişiklikler küçüktür. Bunlardan bazıları genel hatlarıyla şu şekildedir;

• Numaralandırmanın yeniden yapılandırılması
• BGYS'nin uygulanması için gerekli süreçlerin ve bunların etkileşimlerinin tanımlanması gerekliliği
• Kuruluş içinde bilgi güvenliğiyle ilgili kurumsal rollerin iletilmesine ilişkin açık gereklilik
• Yeni madde 6.3 – Değişikliklerin Planlanması
• Madde 7.4'ün bir parçası olarak kuruluşun iletişim kurmayı belirlemesini sağlamaya yönelik yeni bir gereklilik
• Operasyonel süreçler için kriterlerin oluşturulmasına ve süreçlerin kontrolünün uygulanmasına yönelik yeni gereksinimler

İlk bakışta Ek A’daki değişikliklerin ise fazla olduğunu gözlemleyebiliriz; kontrol sayısı 114'ten 93'e düşürülmüş ve 2013 revizyonundaki 14 bölüme kıyasla yalnızca dört bölüm halinde düzenlenmiştir. Ancak daha yakından bakıldığında Ek A'daki değişikliklerin orta düzeyde olduğu görülmektedir. İçeriği değiştirilen maddelerin yanı sıra, başlığı değiştirilen veya yeni eklenen birkaç madde de bulunmaktadır.

ISO 27001:2022 ana standart maddelerindeki değişiklikleri aşağıda görebilirsiniz;

• Madde 4.2'ye (İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması), ilgili taraf gereksinimlerinden hangisinin BGYS aracılığıyla ele alınması gerektiğinin analizini gerektiren madde (c) eklenmiştir.
• Madde 4.4'e (Bilgi güvenliği yönetim sistemi), BGYS kapsamında süreçlerin ve bunların etkileşimlerinin planlanmasını gerektiren bir ifade eklenmiştir.
• Madde 5.3'e (Kurumsal roller, sorumluluklar ve yetkiler), rollerin iletişiminin kuruluş içinde dahili olarak yapıldığını açıklığa kavuşturmak için bir ifade eklenmiştir.
• Madde 6.2'ye (Bilgi güvenliği hedefleri ve bunlara ulaşmak için planlama), hedeflerin izlenmesini gerektiren madde (d) eklenmiştir.
• BGYS'deki herhangi bir değişikliğin planlı bir şekilde yapılması gerektiğini belirten Madde 6.3 (Değişikliklerin planlanması) eklenmiştir.
• Madde 7.4'te (İletişim), iletişim için süreçlerin ayarlanmasını gerektiren (e) maddesi silinmiştir.
• Madde 8.1'e (Operasyonel planlama ve kontrol), güvenlik süreçlerine ilişkin kriterlerin oluşturulmasına ve süreçlerin bu kriterlere göre uygulanmasına yönelik yeni gereksinimler eklenmiştir. Aynı maddede, hedeflere ulaşmaya yönelik planların uygulanması zorunluluğu da kaldırılmıştır.
• Madde 9.3'e (Yönetim incelemesi), ilgili taraflardan gelen girdilerin onların ihtiyaçları ve beklentileriyle ilgili ve BGYS ile ilgili olması gerektiğini açıklayan yeni madde 9.3.2 c) eklenmiştir.
• Madde 10'da (İyileştirme), alt maddeler yer değiştirmiştir, dolayısıyla birincisi Sürekli iyileştirme (10.1) ve ikincisi Uygunsuzluk ve düzeltici faaliyet (10.2) olup, bu maddelerin metni değişmemiştir.

ISO 27001 EK A Güvenlik Kontrollerindeki Revizyonlar

Bazı kontroller silinip, 24 kontrol birleştirilmiştir ve 58 kontrol revize edilmiştir. Gelişen bilgi güvenliği ve siber güvenlik ortamını ele almak üzere tasarlanan 11 güvenlik kontrolü de yeni eklenmiştir. Bunlar;

• A.5.7 Tehdit istihbaratı
• A.5.30 İş sürekliliği için BİT hazırlığı
• A.7.4 Fiziksel güvenliğin izlenmesi
• A.8.9 Konfigürasyon yönetimi
• A.8.10 Bilgi silme
• A.8.11 Veri maskeleme
• A.8.12 Veri sızıntısının önlenmesi
• A.8.16 İzleme faaliyetleri
• A.8.23 Web filtreleme
• A.8.28 Güvenli kodlama

ISO 27001: 2022 Revizyonu ile ISO 27001:2013 Standard Maddelerinin Karşılaştırılması

ISO 27001:2022	ISO 27001:2013
A.5.7 Tehdit istihbaratı	A.6.1.4 Özel çıkar grupları ile temas
A.5.16 Kimlik yönetimi	A.9.2.1 Kullanıcı kaydı ve kaydın silinmesi
A.5.30 İş sürekliliği için BİT hazırlığı	A.17.1.3 Bilgi güvenliği sürekliliğinin doğrulanması, gözden geçirilmesi ve değerlendirilmesi
A.7.4 Fiziksel güvenliğin izlenmesi	A.9.2.5 Kullanıcı erişim haklarının gözden geçirilmesi
A.8.9 Konfigürasyon yönetimi	A.14.2.5 Güvenli sistem mühendisliği ilkeleri
A.8.10 Bilgi silme	A.18.1.3 Kayıtların korunması
A.8.11 Veri maskeleme	A.14.3.1 Test verilerinin korunması
A.8.12 Veri sızıntısının önlenmesi	A.12.6.1 Teknik güvenlik açıklarının yönetimi
A.8.23 Web filtreleme	A.13.1.2 Ağ hizmetlerinin güvenliği
A.8.28 Güvenli kodlama	A.14.2.1 Güvenli geliştirme politikası

ISO 27001, bilgi güvenliği yönetim sistemleri için uluslararası bir standarttır ve şirketlerin, kurumların ve organizasyonların bilgi güvenliği yönetim sistemlerini kurmalarına ve sürdürmelerine yardımcı olmak amacıyla oluşturulmuştur. Bu standart, bilgi varlıklarını koruma, risk yönetimi, sürekli iyileştirme ve uyumluluk konularında rehberlik sağlar.

2022 yılı Ekim ayının sonlarında Uluslararası Standardizasyon Örgütü (ISO), ISO/IEC 27001:2022 standardının yeni bir versiyonunu yayınladı. Bu güncellemeyle birlikte Bilgi Güvenliği Yönetim Sistemi oluşturmak isteyen firmalar için kontrol gereksinimleri artırıldı. ISO 27001:2022, daha önceki standarda göre orta düzeyde bir güncellemeyle bazı değişiklikleri beraberinde getirmiştir.

Bu değişiklikler çoğunlukla Ek kontrollerini kapsamaktadır. Ek kontroller farklı şekilde gruplandırılmış, yeni Ek kontrolleri eklenmiş ve diğerleri birleştirilmiş veya yeniden adlandırılmıştır. Bu yazımızda ISO 27001:2022 standardının ISO 27001:2013 versiyonu ile arasındaki önemli değişiklikleri ve temel farklılıkları anlatıyor olacağız.

STANDART Maddelerindeki Değişiklikler (ISO 27001: 2022 için MADDE 4-10 Arasındaki Değişiklikler)

ISO 27001:2022, ISO 27001:2013 ile aynı sayıda madde içermektedir fakat metinin içeriği biraz değişmiştir.

Bu değişiklikler ISO 27001’in diğer ISO yönetim sistemleri ile daha uyumlu hale getirilmesini sağlamıştır. Önemli değişiklikler büyük ölçüde süreç kriterlerinin planlanması ve tanımlanması amacıyla yapılmıştır. Aşağıda bazı değişikliğe uğramış maddeleri görebilirsiniz:

Madde 4.2 İlgili Tarafların İhtiyaç Ve Beklentilerinin Anlaşılması: İlgili taraf gereksinimlerinden hangilerinin BGYS aracılığıyla ele alınacağının analinizi gerektiren yeni bir alt madde eklendi.

Madde 4.4 Bilgi Güvenliği Yönetim Sistemi: Kuruluşların BGYS içindeki gerekli süreçleri ve bunların etkileşimlerini tanımlanması gerektiği ifade edilmiştir. Temel olarak BGYS, yalnızca Standartta özel olarak belirtilenleri değil, BGYS’yi destekleyen süreçleri de içermelidir.

Madde 6.2 Bilgi Güvenliği Hedefleri ve Bu Hedeflere Ulaşmak İçin Planlama: Hedeflerin nasıl düzenli olarak izlenmesi ve belgelenmesi gerektiği anlatılmıştır. Bu sebeple bilgi güvenliği hedeflerine ilişkin ek rehberlik içermektedir.

Madde 6.3 Değişikliklerin Planlanması: BGYS’de değişiklik yapılması gerekiyorsa bunların uygun şekilde planlanması gerektiğini belirten bu madde, değişikliklerin planlanmasına yönelik bir standart belirlemek için eklenmiştir.

Madde 5.3 Organizasyonel Roller, Sorumluluklar ve Yetkiler: Bilgi güvenliğiyle ilgili rollerin iletişiminin kuruluş içinde iletilmesi gerektiğini açıklandı.

Madde 7.4 İletişim: Alt maddeler genel olarak aynı kaldı. Ancak kim kiminle nasıl iletişim kurmalı ve iletişim süreçleri ile ilgili alt maddeler basitleştirildi ve yeniden adlandırılan “Nasıl İletişim Kurmalı” alt maddesinde birleştirildi.

Madde 8.1 Operasyonel Planlama ve Kontrol: Operasyonel planlama ve kontrol için ek kılavuz eklendi. BGYS’nin artık Madde 6’da tanımlanan eylemler için kriterleri oluşturması ve bu eylemleri kriterlere uygun olarak kontrol etmesi gerekmektedir. Bazı maddeler ufak çaplı değişikliğe uğramış veya güncellenmiştir:

Madde 9.2 İç Denetim: Madde 9.2.1 ile 9.2.2 arasında zaten var olan şeyleri tek bir bölümde birleştirildi.

Madde 9.3 Yönetimin Gözden Geçirmesi: Kuruluşun yönetimin gözden geçirmesinin, ilgili tarafların ihtiyaç ve beklentilerindeki her türlü değişikliğin dikkate alınmasını içereceğini açıklığa kavuşturmak için yeni bir madde eklendi.

Madde 4'te belirlenen (ve bu ihtiyaç ve beklentilere dayalı) BGYS'nin kapsamı açısından etkili oldukları için her türlü değişikliği dokümante etmek önemlidir. Örneğin, bir kuruluşun Yönetim Kurulu halka açılmak istiyorsa, kuruluşların önceliklerdeki değişikliğin BGYS'yi nasıl etkileyeceğini düşünmesi gerekir.

Madde 10 İyileştirme: Bu maddedeki yapısal değişiklikler artık ilk olarak Sürekli İyileştirmeyi (10.1) ve ikinci olarak Uygunsuzluk ve Düzeltici Faaliyeti (10.2) sıralamaktadır.

EK-A Kontrolündeki Yapısal Değişiklikler

ISO 27001:2022’de Ek-A kontrollerinde yapısal değişiklikler olmuştur. Kontrol grupları yeniden düzenlendi ve genel kontrol sayısı azaltıldı. Eski versiyona kıyasla kontrol sayısı 14 madde 114 kontrol yerine 4 madde 93 kontrol olacak şekilde revize edilmiştir.

• 11 yeni kontrol açıklandı.

• 57 kontrol birleştirildi.

• 23 kontrol güncellendi ve yeniden adlandırıldı.

• 3 kontrol kaldırıldı.

ISO 27001:2013 versiyonunda kontroller 14 konu başlığı altında düzenlenmişti. Yeni versiyonda kontroller artık 4 başlık altında ele alınmıştır.

• Kişi kontrolleri (8 kontrol)

• Organizasyonel kontroller (37 kontrol)

• Teknolojik kontroller (34 kontrol)

• Fiziksel kontroller (14 kontrol)

ISO 27001:2022 Ek A Kapsamındaki Yeni Kontroller Ek A'daki en büyük değişiklik getirilen 11 yeni kontrolle ilgilidir. Halihazırda ISO 27001:2013 sertifikasına sahip kuruluşların, bu yeni gereklilikleri karşılamak için uygun süreçlerin mevcut olduğundan emin olmaları veya bu kontrolleri mevcut BGYS'lerine dahil etmek için yeni süreçler oluşturmaları gerekecektir. Özellikle "tehdit istihbaratı" kuruluşların tehditler hakkında bilgi toplamasını ve analiz etmesini gerektirir, böylece kuruluşlar riski azaltmak için harekete geçebilir.

ISO 27001:2013 kapsamında sertifikalandırılmış şirketlerde bu unsur mevcut olmayabilir. Bu anlamlı bir değişikliktir ve tehditlerin sürekli geliştiği fikrine işaret etmektedir. Bu nedenle riskin azaltılması "tek seferlik" bir görev değil, sürekli bir süreçtir. ISO 27001:2022 kapsamındaki ek yeni kontroller şunları içerir:

A.5.7 Tehdit İstihbaratı: Bu kontrol, kuruluşların riskleri azaltmak için harekete geçebilmeleri amacıyla tehditler hakkında bilgi toplamasını ve analiz etmesini gerektirir.

A.5.23 Bulut Hizmetlerinin Kullanımında Bilgi Güvenliği: Bu kontrol, bulutta daha iyi bilgi güvenliği ihtiyacını vurgular ve kuruluşların bulut hizmetleri için güvenlik standartları belirlemesini ve bulut hizmetlerine özel süreç ve prosedürlere sahip olmasını gerektirir.

A.5.30 İş Sürekliliği için Bilgi İşlem Teknolojilerinin Hazırlığı: Bu kontrol, kuruluşların, kesintiler meydana geldiğinde bilgi ve iletişim teknolojisinin kurtarılabileceğini/kullanılabileceğini sağlamasını gerektirir.

A.7.4 Fiziksel Güvenlik İzleme: Bu kontrol, kuruluşların hassas fiziksel alanları (veri merkezleri, üretim tesisleri vb.) yalnızca yetkili kişilerin erişebildiğinden emin olmak için izlemesini gerektirir; böylece kuruluş bir ihlal durumunda haberdar olur.

A.8.9 Konfigürasyon Yönetimi: Bu kontrol, bir kuruluşun teknolojisinin konfigürasyonunu yönetmesini, güvenli kalmasını sağlamasını ve yetkisiz değişiklikleri önlemesini gerektirir.

A.8.10 Bilgi Silme: Bu kontrol, hassas bilgilerin sızmasını önlemek ve gizlilik gerekliliklerine uymak için artık gerekli olmadığında verilerin silinmesini gerektirir.

A.8.11 Veri Maskeleme: Bu kontrol, kuruluşların hassas bilgileri korumak için kuruluşun erişim kontrolü politikasına uygun olarak veri maskeleme kullanmasını gerektirir.

A.8.12 Veri Sızıntısının Önlenmesi: Bu kontrol, kuruluşların sistemlerden, ağlardan ve diğer cihazlardan veri sızıntısını ve hassas bilgilerin ifşa edilmesini önlemek için önlemler uygulamasını gerektirir.

A.8.16 İzleme Faaliyetleri: Bu kontrol, kuruluşların olağandışı faaliyetlere karşı sistemleri izlemesini ve uygun olay müdahale prosedürlerini uygulamasını gerektirir.

A.8.23 Web Filtreleme: Bu kontrol, kuruluşların Bilgi Teknoloji sistemlerini korumak için kullanıcıların hangi web sitelerine eriştiğini yönetmesini gerektirir.

A.8.28 Güvenli Kodlama: Bu kontrol, güvenlik açıklarını azaltmak için bir kuruluşun yazılım geliştirme süreci içerisinde güvenli kodlama ilkelerinin oluşturulmasını gerektirir.