ISO 27001:2017 Bilgi Güvenliği Yönetim Sistemi Standardı Yeni Versiyon Mu Çıktı ?

tseBilindiği üzere ISO 27001; Bilgi Güvenliği Yönetim Sistemi Standardı olarak bilinmektedir.  Yönetim Sistemi Standartları dünya üzerinde ISO  Uluslararası Standartlar Örgütü  (International Standards of Organisations) tarafından planlanmakta ve yayımlanmaktadır.

Ülkemizde de ISO standartları TSE (Türk Standartları Enstitüsü) tarafından TS (Türkturkak-logo (1) Standardı olarak kabul eder. Orjinal dilinde ingilizce olarak yayınlanan standardı Türkçe’ye çevirme işini gerçekleştirir ve satışa sunar. Ülkemizdeki ISO tarafından yayınlanmış ve TSE tarafından benimsenerek satışa sunulmuş standartların kurum ve kuruluşlarda kurulumu tamamlandıktan sonra Akredite olmuş (TÜRKAK – Türk Akreditasyon Kurumu) firmalar tarafından belgelendirme işlemleri tamamlanır.

ISO 27001 ülkemizde son olarak 2013 yılında  TS ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardı olarak kabul edilmiş ve yürürlüktedir. ISO 27001:2013 versiyonu ile ilgili detaylı bilgiye erişmek için lütfen TIKLAYINIZ.

ISO zaman zaman ülkelerden gelen istekler ve talepler doğrultusunda standartlarda revizyonlar yada değişiklikler yapabilir.

27001Son olarak ISO / IEC 27001:2017 CEN/CENELEC ( Comite Europeen de Normalisation / Comite Europeen de Normalisation Electrotechnique – Avrupa Standartlaştırma Komitesi / Avrupa Elektroteknik Standartlaştırma Komitesi); 34 ülkenin (Ayrıntılı bilgi için tıklayınız lütfen) standartlaştırma örgütlerinin ve elektroteknik komitelerinin bir araya geldikleri bir birliktir.
CEN’in amacı uyumlu bir Avrupa pazarı yaratmak için telekomünikasyon (ETSI) ve elektroteknik (CENELEC) alanının dışında kalan bütün teknik sektörler için standartlar üretmektir.)  tarafından onaylanarak yeni bir Avrupa sürümü olarak 2016 yılından itibaren duyurulmuştur.

Yapılan bu düzenlemede Standart üzerinde iki maddede değişiklik yapılmıştır. Standart maddelerinden 6.1.3 ile Standardın EK A Kontrol Maddelerinden 8.1’de değişiklik yapılmıştır.

Ülkemiz CEN/CENELEC birliğinin üyesidir. Bu bağlamda TSE standardı benimsemiş ve ingilizce orjinal dilinde satışa sunmuştur. Henüz standardın Türkçe tercümesi yapılmamıştır.

Peki bundan sonra ne olacak ??

1- Türkak henüz yeni versiyondan akreditasyon değişlikliği yapmamıştır.

2- Daha önce 2013 versiyonundan alınmış sertifikalar hala geçerliliğini korumaktadır.

3- Yeni sertifika alacak olan kurum yada kuruluşlar 2013 versiyonundan yönetim sistemini kurmaya ve 2013 versiyonu üzerinden sertifika alabileceklerdir.

4- Yeni versiyondan sertifika almak isteyen kuruluşlar talep halinde 2017 versiyonu üzerinde sertifika alabileceklerdir.

Saygılarımla
Faruk Çalıkuşu
Kıdemli Danışman

Reklamlar

Sağlık Bilgi Sistemleri Genel Müdürlüğünde IRCA Onaylı 27001 Baş Denetçi Eğitimi Yapıldı

Bilgi Güvenliği Yönetim Sistemleri (BGYS) Birimi tarafından organize edilen IRCA* onaylı TS ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardı Baş Denetçi Eğitimi 13-17 Nisan 2015 tarihleri arasında yapıldı. Sistem Yönetimi Daire Başkanı M. Fatih ULUÇAM’ın açılış konuşmasıyla başlayan ve bir hafta süren eğitime çeşitli meslek ve uzmanlık alanlarında görev yapan 20 personel katıldı.

 

Bilgi Güvenliği Danışmanı Zühtü KAYALI tarafından verilen eğitimde BGYS Standardı, Risk Yönetimi,  Kontrol Maddeleri ve ISO 19011 Denetim Standardı konuları yer aldı. BGYS denetimi uygulamaları ve örnek olay analizleriyle zenginleştirilen eğitim programında katılımcılar eğitmen eşliğinde çeşitli senaryolara ilişkin değerlendirmelerde bulundu.

 

Eğitimin sonunda IRCA onaylı Baş Denetçi Adaylığı Sınavı yapıldı. BGYS alanında Baş Denetçi olabilmek için adayların bu sınavda başarılı olması ve IRCA tarafından belirlenen koşullarda staj yapmaları gerekiyor.

 

BGYS Birimi olarak eğitimcimiz Zühtü KAYALI’ya, katılımcılarımıza ve eğitim sürecinde emeği geçen yönetici ve personelimize teşekkürlerimizi sunarız.

 

IRCA* İngiltere merkezli, International Register Of Certificated Auditors Kurumu olan IRCA  profesyonel denetçilerin üye oldukları bir dernek statüsündedir.

Ayrıntılı bilgi için…

http://www.irca.org/

bilgiguvenligi.saglik.gov.tr

TS ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardı – Kapsama Dair

TS ISO/IEC 27001 : 2013 Bilgi Güvenliği Yönetim Sistemi Standardı

Bilgi güvenliği adına ülkemizde ve dünyada kullanılmakta olan en son standart ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı 2005 yılı sürümü ile yayınlanmış idi.  Standardın uygulamasında yaşanan bir takım zorluklar ve yeni gelişen teknolojilere ve ihtiyaçlara göre standart yeniden  gözden geçirilmiş ve revize edilerek 2013 yılında ISO/IEC 27001 :2013 Bilgi Güvenliği Yönetim Sistemi Standardı yayınlanmıştır. Yayımlanan Standart Türk Standartları Enstitüsü tarafından da Türk Standardı olarak yeni versiyon Türkçe olarak yayınlanmıştır.

Yeni versiyon ve Eski versiyon ile ilgili detaylı bilgiyi daha önceki  makalemizde paylaşmıştır. Makaleye buradan ulaşabilirsiniz.

Bu makalemizde Kapsamın tanımlanması ile ilgili  durumu netleştirmeye çalışacağız.

27001 Standardının 2005 versiyonunda kapsam şu şekilde tanımlanmıştı.

1 Kapsam
1.1 Genel
Bu standard, tüm kuruluş türlerini (örneğin, ticari kuruluşlar, kamu kurumları, kar amaçlı olmayan kuruluşlar) kapsar. Bu standard, dokümante edilmiş bir BGYS’yi kuruluşun tüm ticari riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsar. Bağımsız kuruluşların ya da tarafların ihtiyaçlarına göre özelleştirilmiş güvenlik kontrollerinin gerçekleştirilmesi için gereksinimleri belirtir.
BGYS, bilgi varlıklarını koruyan ve ilgili taraflara güven veren yeterli ve orantılı güvenlik kontrollerini sağlamak için tasarlanmıştır.
Not 1 – Bu standardda, “iş” terimi geniş anlamda kuruluşun varlık amaçlarının temeli olan etkinlikler anlamınagelmektedir.
Not 2 – ISO/IEC 17799, kontroller tasarlanırken kullanılabilecek gerçekleştirme kılavuzu sağlar.

1.2 Uygulama

Bu standardla ortaya konulan gereksinimler geneldir ve türü, büyüklüğü ve doğasından bağımsız olarak tüm kuruluşlara uygulanabilir olması amaçlanmaktadır. Bir kuruluş bu standarda uyumluluk iddiasında bulunduğunda, Madde 4, Madde 5, Madde 6, Madde 7 ve Madde 8’de belirlenen herhangi bir gereksinimin dışarıda bırakılması kabul edilebilir değildir.

Risk kabul kriterlerini sağlamak için dışarıda bırakılması gerekli bulunan her kontrolün açıklanabilmesi ve ilişkili risklerin sorumlu kişilerce uygun olarak kabul edildiğine ilişkin kanıtın sağlanması gerekir. Herhangi bir kontrol dışarıda bırakıldığında, bu standarda uyumluluk iddiası, hariç tutulan gereksinimlerin, risk değerlendirme ve uygulanabilir yasal ve düzenleyici gereksinimler tarafından belirlenen güvenlik gereksinimlerini karşılayacak bilgi güvenliğini sağlamak için kuruluşun kabiliyetini ve/veya sorumluluğunu etkilemedikçe kabul edilmez.

Not – Bir kuruluş zaten işleyen bir iş proses yönetimi sistemine (örneğin, ISO 9001 veya ISO 14001 ile ilgili) sahipse, birçok durumda bu standardın gereksinimlerinin mevcut yönetim sistemi içinde sağlanması
tercih edilir.

bu açıklamalar ışığında genel olarak kapsam kurumun fiziki adresi ve varsa şubeleri buralarda  sürüdürülen iş ve işlemler şeklinde tanımlanabilmekteydi.

yeni versiyonda ise kapsam kavramı biraz daha genişletilmiş Kurumun hedeflerine ulaşmasını tehdit eden tüm iç ve dış faktörleri kapsam olarak tanımlanması istenmektedir.  yeni versiyon da kapsam ile ilgili madde şu şekilde verilmiştir.

1 Kapsam

Bu standard kuruluşun bağlamı dâhilinde bir bilgi güvenliği yönetim sisteminin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için şartları kapsar. Bu standard aynı zamanda kuruluşun ihtiyaçlarına göre düzenlenmiş bilgi güvenliği risklerinin değerlendirilmesi ve işlenmesi için şartları da içerir. Bu standardda ortaya konulan şartlar geneldir ve türleri, büyüklükleri ve doğalarından bağımsız olarak tüm kuruluşlara uygulanabilir olması hedeflenmiştir. Bir kuruluşun bu standarda uyumluluk iddiasında bulunması durumda, Madde 4 ila Madde 10 arasında belirtilen şartların herhangi birinin hariç tutulması kabul edilebilir değildir.

öte yandan

4 Kuruluşun bağlamı

4.1 Kuruluşun ve bağlamının anlaşılması

Kuruluş, amaçları ile ilgili olan ve bilgi güvenliği yönetim sisteminin hedeflenen çıktılarını başarma kabiliyetini etkileyebilecek iç ve dış hususları belirlemelidir.

Not – Bu hususların belirlenmesi, ISO 31000:2009 [5] Madde 5.3 te ele alınan kuruluşun dış ve iç bağlamının oluşturulmasına atıf yapar.

4.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması

Kuruluş aşağıdakileri belirleyecektir:

a) Bilgi güvenliği yönetim sistemi ile ilgili taraflar ve
b) Bu ilgili tarafların bilgi güvenliği ile ilgili gereksinimleri.

Not – İlgili tarafların gereksinimleri yasal ve düzenleyici gereksinimleri ve sözleşmeden doğan yükümlülükleri içeriyor olabilir.

Standardın ingilizce versiyonundan Madde 4 “Context of the organization” şeklinde verilmiş ve Türkçeye “Kuruluşun Bağlamı” şeklinde çevrilmiş.  Context kelimesinin tam karşılığı olarak Bağlam kelimesi kullanılmış fakat sözlüklere baktığımız zaman context kelimesine karşılık Sartlar yada Durum kelimelerinin de karşılık geldiğini görmekteyiz. Madde de belirtilen açıklamalara baktığımızda “Kurumun Şartları” yada “Kurumun Durumu”  tanımlarının kullanılmasının daha uygun olacağı görülmektedir.

yukarıda da anlaşılacağı üzere yeni versiyonda kapsamı tanımlamak için ISO 31000:2009 Standardının Madde 5.3 e atıf yapılmıştır. ISO 31000:2009 Risk Yönetimi Standardı olarak bilinmektedir. Standart ile ilgili detaylı bilgiye buradan ulaşabilirsiniz.

ISO 31000:2009 Risk Yönetimi Standardında Madde 5.3 Kapsam Oluşturma olarak verilmiştir.

Kapsam oluşturma, işletmenin özellikleri ve risk tutumu da dikkate alınarak hedeflerin belirlendiği, bu doğrultuda risk yönetimi sürecinin şekillendirildiği ve sürecin sınırlarının çizildiği aşamadır. Bu aşamada işletmelerin çevresindeki sosyal, kültürel, siyasal ve ekonomik dış çevresel faktörler ile işletmenin kültür, yapı, kaynak ve yetenek gibi iç çevresel faktörleri de dikkatte alır. Kapsam oluşturulurken işletmenin risk yönetim politikası, risk yönetim süreçleri, risk yönetim planları, risk kriterleri, risk sorumluları ile iletişim ve raporlama süreçleri gibi risk yönetim sistemi ile ilgili tüm unsurlar belirlenir veya düzenlenir veya gözden geçirilir.

Öte yandan risk yönetimi için temel parametreler tanımlanır, risk yönetimi sürecinin sınırları dışarıda kalan kriterler ve alanlar düzenlenir. Bu nedenle kapsam oluşturma, sadece risk yönetim süreci için değil aynı zamanda risk yönetimi politikası oluşturulurken ve risk kriterleri belirlenirken de ihtiyaç duyulan, işletmenin hedeflerini gerçekleştirmek için gerekli iç ve dış çevre faktörlerinin tanımlanmasını olarak da açıklanabilir.

kapsamDış Kapsam Oluşturma (Madde 5.3.2) : Dış kapsam kurumun hedeflerine ulaşmak için içinde bulunduğu dış ortamdır. Dış kapsamın anlaşılması, risk kriterlerini geliştirirken dış paydaşların hedefleri ve kaygılarını dikkate alabilmeyi sağlar. Kapsam oluşturma kurumun çapındadır ancak yasal düzenleyici şartlara ait özel ayrıntılar, paydaşların algılamaları ve riskin, risk yönetim süreci kapsamına özgü diğer yönleri ile birlikte ele alınır.

İç Kapsam Oluşturma (Madde 5.3.3): İç kapsam işletmenin hedeflerine ulaşmak için içinde bulunduğu iç ortamlardır. Risk yönetim Süreci işletmenin kültürü, süreçleri, yapısı ve stratejisi ile uyumlu olmalıdır. İç kapsam ise işletmenin risk yönetim biçimini etkileyebilen işletme içindeki herhangi bir şeydir. İç kapsam aşağıdaki nedenler için  oluşturulmalıdır.

a) Risk yönetimi kurumun hedeflerini kapsamında yer alır.

b) Özel Proje, süreç veya faaliyetin hedefleri ve kriterleri de bir bütün olarak olarak işletmenin hedefleri ışığında düşünülmelidir. İç kapsamın oluşturulması, hedeflerin ve kriterlerin doğru olarak belirlenmesine yardımcı olur.

c) Bazı işletmeler kendi stratejik, proje veya iş hedeflerini gerçekleştirmek için fırsatları tanımada başarısız olur ve bu durum işletmenin örgütsel bağlılığını, inanılırlığını,güvenini ve değerini etkiler. İç kapsamın oluşturulması işletmelerin fırsatları değerlendirmedeki başarısını artırarak sonrasında yaşanacak olumsuzlukları engeller.

Görüldüğü gibi  27001: 2013 versiyonu Risk Yönetimi konusuna daha da ağırlık vermiştir. Kurumlar için en kıymetli olan bilgiyi sadece kurum içerisindeki riskleri göz önünde bulundurmak yeterli görülmemiş kurum dışındaki çevresel faktörlerde dikkate alınması ve takip edilmesi ifade edilmektedir.

Kaynakça :

TS ISO/IEC 27001:2005 Bilgi Güvenliği Yönetim Sistemi Standardı
TS ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardı
ISO/IEC 31000:2009 Risk Yönetimi Standardı
Dr.Duygu Kızıldağ, Yönetsel Açıdan Risk Yönetimine Bir Bakış, ISO 31000 Risk Yönetimi

ISO 27001:2013 VE ISO 27002:2013’te Neler Değişiyor?

ISO 27001:2013 VE ISO 27002:2013’te Neler Değişiyor?
ISO 27001:2005 ve ISO 27002:2005 Bilgi Güvenliği Yönetim Sistemi Standartlarının 2013 yılı başlarında yeni versiyonları draft olarak yayımlanmıştı. Bu yazıda ISO 27001 ve ISO 27002 standartlarında öngörülen değişikliklerin bir karşılaştırması yapılmıştır.

1.    ISO 27001:2013 VS. ISO 27001:2005

Bilgi Güvenliği Yönetim Sistemi (BGYS-(in Eng. ISMS))’nin uluslararası standardı 2005 yılında ISO 27001:2005 olarak yayımlanmıştı. 2006 yılında ise Türk Standartları Enstitüsü tarafından Türkçe’ye çevrilmiş ve TS ISO/IEC 27001 olarak yayımlanmıştı.

Şu an taslak halde yayımlanan ISO 27001:2013 standardının 2013 yılının ikinci yarısında yayımlanması bekleniyor.

1.1.     ISO 27001:2013 ile ISO 27001:2005 Arasındaki temel farklar nelerdir?

Bu karşılaştırmaya geçmeden önce elimizdeki standardın taslak halde olduğu ve yapılacak katkılarla değişime açık olduğu unutulmamalıdır.

1.1.1.    Yapıya Genel Bir Bakış

ISO 27001:2013, ISO22301:2012 ile gördüğümüz Annex SL ile uyumlu olacak. Annex SL tüm ISO standartlarına genel bir çerçeve yapısı oluşturuyor. Tüm yönetim sistemlerinde bulunması gereken temel bileşenlerin yanı sıra standarda özel başlıkların konulmasına olanak sağlayan bu çatı yapısı, birden fazla yönetim sistemine sahip kuruluşlar için hem yönetim anlamında hem de bu yönetim sistemlerinin denetimi anlamında kolaylık sağlayacaktır.

Bu yapı ile tüm standartlarda bulunacak temel başlıklar aşağıdaki gibi olacaktır:

tablo-1.png

Tablo 1

Ek olarak sadece ‘EK-A’ bulunduğu bununla birlikte eski standartta yer alan EK-B ve EK-C olmadığını görüyoruz. Tüm kontroller EK-A’ da yer almaktadır.

1.1.2.    İlgili Taraflar

Yeni 27001 standardı BGYS ana girdileri tanımlamada önemli bir yer tutacak olan ilgili taraflarla alakalı olarak ‘4.2 ’ Maddesinde; “Tüm ilgili tarafların tanımlanması ve yasal/düzenleyici dâhil tüm gereksinimleri ile tanımlanmasını şart koşuluyor”.

1.1.3.    Risk Değerlendirme ve İyileştirme

Uzun yıllar en iyi uygulama örneği olarak yerini koruyacak olan; varlık, açıklık, tehdit temelli risk değerlendirme yeni 27001 standardı ile yerini gizlilik, bütünlük ve erişilebilirlik temelli bir risk tanımlamaya bırakmış durumdadır.

Yeni standardın ilgili maddesi şu şekildedir;

Apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the ISMS (ISO 27001:2013, madde 6.1.2; d.1).

Risk seviyesini belirlemek için olasılık ve etki bileşenleri ise yerini koruyor.

Not: Yeni standart risk işleme yönetiminin dokümante edilmesini şart koşmuyor. Bununla birlikte risk işleme sürecinin tanımlanması gerekiyor. Varlık sahibi kavramı ise yerine ‘risk sahibi’ tanımı ile değiştirilmiştir.

1.1.4.    Düzeltici ve Önleyici Faaliyetler

İlk fazda önleyici faaliyetlerin olmadığını söylemek yanlış olmaz. Önleyici faaliyetler risk işleme ve iyileştirme adımlarına dağıtılmış durumdadır.

Düzeltici faaliyetler için ise, eski standarda kafa karışıklığına sebebiyet veren durum ortadan kaldırılmış olduğu görülüyor. Düzeltici faaliyetlerin bir uygunsuzluğa verilen ilk tepki  ve bir uygunsuzluğun kök nedenlerini ortadan kaldırmak üzere ikiye ayrıldığını görüyoruz.

1.1.5.    İletişim

Bilgi güvenliğinin sağlanması için gerekli olan iletişim konusu ile ilgili olarak yeni bir madde eklendiği görülüyor.

Bu madde uyarınca; kiminle, ne zaman, kim ve hakkında iletişime geçileceğinin tanımlanması sağlanıyor (Madde 7.4).

1.1.6.    Dokümante Edilmiş Bilgi

Yeni standart ‘belgeler’ ve ‘kayıtlar’ kavramını birleştirerek ‘dokümante edilmiş bilgi’ kavramını getiriyor. Doküman kontrolü ile ilgili kuralların eski standarda göre değişmediği ve ‘belgeler’ ve ‘kayıtlar’ın her ikisi içinde geçerli olacağı görülüyor.

4.3.1 Maddesinin kaldırıldığı ve gerek duyulan merkezi bir doküman listesinin olmadığını görüyoruz.

Eski standartta yer alan doküman yönetimi, düzeltici faaliyet v.b zorunlu olarak olması gereken belgelerin olmadığı bununla birlikte bu süreçlerin yönetilmesi ve işletilmesi ile ilgili kayıtların tutulması zorunluluğu bulunuyor. Daha farklı ifade edilecek olunursa, düzeltici faaliyet dokümanı yazılı olarak olmasa bile bu sürecin işletilmesi ile ilgili kayıtların tutulması zorunludur.

1.1.7.    Hedefler, İzleme ve Ölçme

Yeni standartta hedeflerin net olarak tanımlanması ve 9.1 maddesi uyarınca, ölçmenin kim tarafından, ne zaman yapılacağı, sonuçları kimin analiz edip değerlendirileceği belirtilmeli ve ek olarak kapsamlı planların hedeflere nasıl ulaşılacağını açıklayacak şekilde olması gerekiyor.

2.    ISO 27001:2013 VS. ISO 27001:2005

ISO 27001 standardının EK-A’ sında yer alan kontroller ile ilgili yayımlanmış standart olan IS0 27002 standardı 2013 yılında yenilenerek taslak olarak yayımlandı. Şu an taslak halinde yayımlanan yeni ISO 27002 standardının ise 2013 yılının ikinci yarısında yayımlanması bekleniyor.

Yeni IS0 27002 standardıyla, ISO 27002:2005 standardını yapısal olarak karşılaştıracak olursak,

Kontrollerin Sayısı: Kontrollerin sayısının yeni standartta 133’ten 113’e düşürüldüğü görülüyor.

Bölümlerin Sayısı: Kontrollerin sayısında öngörülen azalmaya rağmen bölüm sayısının 11’den 14’e çıkarıldığı görülüyor.

2.1.    ISO 27002:2013 Bölümlerin Yapısı

Yeni standarda göz atacak olursak, Kriptografi ayrı bir bölüm haline getirilmiştir (Bölüm 10). Kriptografi ile ilgili kısımların bilgi sistemleri edinimi, geliştirme ve bakımın bir parçası olmadığı biliniyor. Benzer bir değişiklik tedarikçi ilişkileri kısmında da mevcut. Haklı olarak tedarikçi ilişkileri de ayrı bir bölüm haline getirilmiştir (Bölüm 15). İletişim ve operasyon yönetimi ise iki bölüme ayrılmıştır: Operasyon güvenliği (Bölüm 12) ve iletişim güvenliği (Bölüm 13). Öngörülen yeni standart üzerinde yer alan temel başlıklar aşağıdaki gibidir:

tablo-2.png

Tablo 2

2.2.    Güvenlik Kategorilerinin Yerleştirilmesi

  • Mobil cihazlar ve uzaktan çalışma daha önce erişim kontrolü bölümündeydi; şimdi ise bilgi güvenliği organizasyonunun (Bölüm 6) altında 6.2 inci kısım olarak yer almaktadır.
  • Ortam işleme, daha önce iletişim ve operasyon yönetimi altındayken şimdi varlık yönetimi (Bölüm 8) altında 8.3 üncü kısım olarak yer almaktadır.
  • İşletim sistemi erişim kontrolü ile uygulama ve bilgi erişim kontrolü sistem ve uygulama erişim kontrolü olarak birleştirilmiş ve erişim kontrolü (Bölüm 9) altında 9.4 üncü kısım olarak kalmıştır.
  • Operasyonel yazılım kontrolü, daha önce bilgi sistemleri edinim, geliştirme ve bakımın altında tek bir kontrolken, şimdi 12.5 olarak operasyon güvenliği altında ayrı bir kısımdır.
  • Bilgi sistemleri denetim hususları, uyum bölümünden operasyon güvenliği altına 12.7 inci kısım olarak aktarılmıştır.
  • Bir güvenlik kategorisi olan yazılım erişim kontrolü kaldırılmış ve bazı kontrolleri iletişim güvenliğinin (Bölüm 13) altına taşınmıştır.
  • Bilgi değişimi, iletişim güvenliğinin (Bölüm 13) altında 13.2 inci kısım olarak yer almıştır.
  • Tartışmalı bir kategori olan uygulamalarda doğru işleme kaldırılmıştır. Önceki standartta ise bilgi sistemi edinim, geliştirme ve bakımın altında yer almaktadır.
  • Elektronik ticaret hizmetleri, ayrı bir kategori olmaktan çıkartılarak, kontrolleri bilgi sistemi güvenlik gereksinimleri ile birleştirilmiştir (14.1).
  • Bilgi güvenliği olay yönetimi altındaki 2 kategori birleştirilmiştir. İş sürekliliği bölümüne ise yeni bir kategori eklenerek (Yedekleme 17.2). Bu kategori temel olarak felaketten kurtarma ile ilgilidir.

2.3.    Yeni Kontroller

14.2.1– Güvenlik gelişim politikası- Yazılım ve bilgi sistemleri geliştirme için kurallar

14.2.5– Sistem geliştirme prosedürleri- Sistem mühendisliği ilkeleri

14.2.6– Güvenli geliştirme ortamı- Geliştime ortamı oluşturulması ve korunması

14.2.8– Sistem güvenliği testi- Güvenlik fonksiyonları testleri

16.1.4– Bilgi güvenliği olayları değerlendirme ve karar verme- Olay yönetiminin bir parçası

17.2.1– Bilgi işleme olanaklarının erişilebilirliği- Yedekleme

2.4.    Çıkartılan Kontroller

6.2.2– Müşterilerle ilgilenirken güvenliği ifade etme

10.4.2– Mobil koda karşı kontroller

10.7.3– Bilgi işleme prosedürleri

10.7.4– Sistem dokümantasyonu güvenliği

10.8.5– İş bilgi sistemleri

10.9.3– Herkese açık bilgi

11.4.2– Dış bağlantılar için kullanıcı kimlik doğrulama

11.4.3– Ağlarda teçhizat tanımlama

11.4.4– Uzak tanı ve yapılandırma portu koruma

11.4.6– Ağ bağlantı kontrolü

11.4.7– Ağ yönlendirme kontrolü

12.2.1– Giriş verisi geçerleme

12.2.2– İç işleme kontrolü

12.2.3– Mesaj bütünlüğü

12.2.4– Çıkış verisi geçerleme

11.5.5– Oturum zaman aşımı

11.5.6– Bağlantı süresinin sınırlandırılması

11.6.2– Hassas sistem yalıtımı

12.5.4– Bilgi sızması

14.1.2– İş sürekliliği ve risk değerlendirme

14.1.3– Bilgi güvenliğini içeren süreklilik planlarını geliştirme ve gerçekleştirme

14.1.4– İş sürekliliği planlama çerçevesi

15.1.5– Bilgi işleme olanaklarının kötüye kullanımını önleme

15.3.2– Bilgi sistemleri denetim araçlarının korunması

Sonuç

ISO 27001:2013’te öngörülen değişikliklerin temel olarak ilgili taraflar, risk değerlendirme ve iyileştirme, düzeltici ve önleyici faaliyetler, iletişim, dokümante edilmiş bilgi ve hedefler, izleme ve ölçme başlıkları ile ilgili olduğu görülmektedir.

ISO 27002 yapısı tamamen ISO 27001 kontrolleri ile uyumlu olduğundan tüm değişiklikler yeni ISO 27001 EK-A’sı içinde geçerlidir. İlk bakışta çok fazla bir değişiklik varmış gibi görülmektedir. Ama bunların çoğu temelden yapılan değişiklikler değildir. Değişikliklerin çoğu aslında mevcut ISO 27002’nin yanlış yapısının düzeltilmesi ve yeni kontrollerin eklenmesini içeriyor. Ağ güvenliği ve geliştirme sürecinde ise bazı değişiklikler mevcut. Bu alanlarda yeni standarda göre daha esnek bir tarif ve nasıl uygulama yapılacağı kısmında serbestlik öngörülüyor.

Sonuç olarak yeni standarda göre uygulama daha kolay olacak gibi görünmektedir.

Kaynaklar

1.    ISO/IEC 27002: 2005, Information technology — Security techniques — Code of practice for information security management,

2.    ISO/IEC 27001: 2005, Information technology — Security techniques — Information security management systems — Requirements

3.    Draft Version of ISO/IEC 27002: 2013

4.    Draft Version of ISO/IEC 27001: 2013

https://www.bilgiguvenligi.gov.tr