ISO 27001:2017 Bilgi Güvenliği Yönetim Sistemi Standardı Yeni Versiyon Mu Çıktı ?

Bilindiği üzere ISO 27001; Bilgi Güvenliği Yönetim Sistemi Standardı olarak bilinmektedir.  Yönetim Sistemi Standartları dünya üzerinde ISO  Uluslararası Standartlar Örgütü  (International Standards of Organisations) tarafından planlanmakta ve yayımlanmaktadır.

Ülkemizde de ISO standartları TSE (Türk Standartları Enstitüsü) tarafından TS (Türk Standardı olarak kabul eder. Orjinal dilinde ingilizce olarak yayınlanan standardı Türkçe’ye çevirme işini gerçekleştirir ve satışa sunar. Ülkemizdeki ISO tarafından yayınlanmış ve TSE tarafından benimsenerek satışa sunulmuş standartların kurum ve kuruluşlarda kurulumu tamamlandıktan sonra Akredite olmuş (TÜRKAK – Türk Akreditasyon Kurumu) firmalar tarafından belgelendirme işlemleri tamamlanır.

ISO 27001 ülkemizde son olarak 2013 yılında  TS ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardı olarak kabul edilmiş ve yürürlüktedir. ISO 27001:2013 versiyonu ile ilgili detaylı bilgiye erişmek için lütfen TIKLAYINIZ.

ISO zaman zaman ülkelerden gelen istekler ve talepler doğrultusunda standartlarda revizyonlar yada değişiklikler yapabilir.

Son olarak ISO / IEC 27001:2017 CEN/CENELEC ( Comite Europeen de Normalisation / Comite Europeen de Normalisation Electrotechnique – Avrupa Standartlaştırma Komitesi / Avrupa Elektroteknik Standartlaştırma Komitesi); 34 ülkenin (Ayrıntılı bilgi için tıklayınız lütfen) standartlaştırma örgütlerinin ve elektroteknik komitelerinin bir araya geldikleri bir birliktir.
CEN’in amacı uyumlu bir Avrupa pazarı yaratmak için telekomünikasyon (ETSI) ve elektroteknik (CENELEC) alanının dışında kalan bütün teknik sektörler için standartlar üretmektir.)  tarafından onaylanarak yeni bir Avrupa sürümü olarak 2016 yılından itibaren duyurulmuştur.

Yapılan bu düzenlemede Standart üzerinde iki maddede değişiklik yapılmıştır. Standart maddelerinden 6.1.3 ile Standardın EK A Kontrol Maddelerinden 8.1’de değişiklik yapılmıştır.

Ülkemiz CEN/CENELEC birliğinin üyesidir. Bu bağlamda TSE standardı benimsemiş ve ingilizce orjinal dilinde satışa sunmuştur. Henüz standardın Türkçe tercümesi yapılmamıştır.

Peki bundan sonra ne olacak ??

1- Türkak henüz yeni versiyondan akreditasyon değişlikliği yapmamıştır.

2- Daha önce 2013 versiyonundan alınmış sertifikalar hala geçerliliğini korumaktadır.

3- Yeni sertifika alacak olan kurum yada kuruluşlar 2013 versiyonundan yönetim sistemini kurmaya ve 2013 versiyonu üzerinden sertifika alabileceklerdir.

4- Yeni versiyondan sertifika almak isteyen kuruluşlar talep halinde 2017 versiyonu üzerinde sertifika alabileceklerdir.

Saygılarımla
Faruk Çalıkuşu
Kıdemli Danışman

Sağlık Bilgi Sistemleri Genel Müdürlüğünde IRCA Onaylı 27001 Baş Denetçi Eğitimi Yapıldı

Bilgi Güvenliği Yönetim Sistemleri (BGYS) Birimi tarafından organize edilen IRCA* onaylı TS ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardı Baş Denetçi Eğitimi 13-17 Nisan 2015 tarihleri arasında yapıldı. Sistem Yönetimi Daire Başkanı M. Fatih ULUÇAM’ın açılış konuşmasıyla başlayan ve bir hafta süren eğitime çeşitli meslek ve uzmanlık alanlarında görev yapan 20 personel katıldı.

 

Bilgi Güvenliği Danışmanı Zühtü KAYALI tarafından verilen eğitimde BGYS Standardı, Risk Yönetimi,  Kontrol Maddeleri ve ISO 19011 Denetim Standardı konuları yer aldı. BGYS denetimi uygulamaları ve örnek olay analizleriyle zenginleştirilen eğitim programında katılımcılar eğitmen eşliğinde çeşitli senaryolara ilişkin değerlendirmelerde bulundu.

 

Eğitimin sonunda IRCA onaylı Baş Denetçi Adaylığı Sınavı yapıldı. BGYS alanında Baş Denetçi olabilmek için adayların bu sınavda başarılı olması ve IRCA tarafından belirlenen koşullarda staj yapmaları gerekiyor.

 

BGYS Birimi olarak eğitimcimiz Zühtü KAYALI’ya, katılımcılarımıza ve eğitim sürecinde emeği geçen yönetici ve personelimize teşekkürlerimizi sunarız.

 

IRCA* İngiltere merkezli, International Register Of Certificated Auditors Kurumu olan IRCA  profesyonel denetçilerin üye oldukları bir dernek statüsündedir.

Ayrıntılı bilgi için…

http://www.irca.org/

bilgiguvenligi.saglik.gov.tr

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı Yeni Versiyon Ekim 2013

Kurumlarda BT standartlarını belirleyen ve onların uluslararası standartta bir Bilgi Güvenliği Yönetim Sistemi’ne (BGYS) sahip olduğunu kanıtlayan ISO/IEC 27001 ve ISO/IEC 27002 standartlarının yeni versiyon taslakları yayımlandı.

Bilgi teknolojileri alanındaki ihtiyaçları karşılamak için BT standartlarını ortaya koyan, güncelleyen ve destekleyen ‘Joint ISO/IEC Committee’, ISO/IEC 27001 ve ISO/IEC 27002 standartlarının yeni versiyonunu oluşturacak taslakları yayımladı. Taslağın yayımlanmasının amacı ise ilgili tarafların yapılan değişikliklere yönelik görüşlerini almak ve bu görüşlere göre standarda son halini verebilmek.

Son tarih 23 Mart

Komite, 23 Mart 2013’e kadar, standardın taslak hali için gelecek yorumları bekliyor. Joint ISO/IEC Committee tarafından değerlendirilecek geri bildirimler sonrasında taslak standardın bu değerlendirmeye göre güncellenmesi planlanıyor. ISO tarafından ‘Final Draft International Standard’ (FDIS) adı verilen son taslağın yayımlanması bekleniyor.

ISO 27001’de hangi değişiklikler var?

ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) standardının yeni versiyonunu incelendiğinde, standardın yapısında ve içeriğinde önemli değişiklikler olduğu göze çarpıyor.

• Standardın 2005 versiyonunda da yer alan ‘üst yönetimin bilgi güvenliğine yönelik sorumluluklarını anlatan ‘5. Yönetim Sorumluluğu’ maddesi, yeni versiyonda yönetim sistemine yönelik; liderlik, etkinlik ölçümü, bilgi güvenliğine yönelik hedeflerin belirlenmesi konularını daha çok vurgulayan bir hale getiriliyor.
• Sürekli iyileşmenin sağlanabilmesi için kurumun artık başka metodolojiler de izleyebileceği göz önünde bulundurularak PUKÖ döngüsünün izlenmesi bir gereklilik olmaktan çıkartılıyor.
• Bilgi güvenliği risklerinin belirlenmesine ve risklerin indirgenmesine yönelik aksiyonların alınmasını temel alan standardın risk değerlendirme yaklaşımında büyük değişiklikler var. Artık eskiden olduğu gibi varlıklar üzerinden risk değerlendirme yapmak yerine kurumlar daha geniş, daha jenerik bir değerlendirme yaklaşımını benimseyebilecekler. Standart artık, kurumların sahip oldukları bilginin, bilgi varlıklarından daha önemli olduğunu vurguluyor. Bu yenilik, kurumların donanım ve yazılım gibi varlıklarının üzerindeki riskleri değerlendirmesi yerine, sahip oldukları bilgiler üzerindeki riskleri değerlendirmeleri gerektiği anlamına geliyor.
• Risk yönetim standardı olan yeni versiyon ISO 31000 ile ISO 27001 ile, Bilgi Güvenliği Yönetim Sistemi’nin (BGYS) risk yönetim yaklaşımları birbirine uygun hale getiriliyor ve birçok kurumda karşımıza çıkan kurumsal risk yönetimi ile bilgi güvenliği risk yönetimi kavramlarının örtüşmesi sağlanıyor.
• ISO 27001’in 2005 versiyonunda, standarda yönelik güvenlik önlem ve kontrollerinin etkinliğinin ölçümü daha belirsiz ve kuruma göre değişebilecek yapıda iken, yeni versiyonda izleme, ölçme ve iyileştirme süreçleri daha net, spesifik ve tanımlı uygulamaların yürütülmesini gerektiriyor. Bu durum, bilgi güvenliği gerekliliklerine yeni uyum sağlayacak ve belgelendirilmeyi hedefleyen kurumlar için yeni bir gereklilik getiriyor: Artık kurumların belgelendirilebilmesi için sadece sistemi kurması ve işletmesi değil, aynı zamanda aldığı güvenlik önlemlerinin etkinliğini izleyebilmesi, ölçebilmesi ve sonuçlarından iyileşme fırsatları çıkartabilmesi gerekecek.
• Standardın temel güvenlik önlemlerinin yer aldığı ‘EK A’ kısmı, yeni versiyonda da mevcut. Kurumların EK A’da yer alan kontrollere nasıl uyum sağladıklarını gösterebilmeleri için halen bir ‘Uygulanabilirlik Bildirgesi’ dokümanı hazırlamaları gerekiyor.
• Eski versiyonda kontrol hedefleri 11 ana başlık altında ele alınırken artık 14 farklı kategoride kontroller bulunuyor. 2005 versiyonda 133 adet kontrol hedefi varken yeni standartta 113 adet kontrol olması bekleniyor. Standardı incelediğimizde kontrol maddelerinde eski versiyona göre daha net bilgiler yer aldığını görüyoruz. Örneğin, eski standart iş sürekliliği konusunda her kurumun bir iş sürekliliği planı olması ve bu planlarında bilgi güvenliğinin dikkate alınması gerektiği üzerinde duruyordu. 2013 versiyonunda ise artık, iş süreklilik planı ihtiyacının tanımlanması ve bu ihtiyaca göre süreklilik planlarının oluşturulması söz konusu…

Yeni Standart Kurumları Nasıl Etkileyecek?

ISO 27001 belgesine sahip veya sertifika almayı hedefleyen kurumları nasıl bir süreç bekliyor? Yeni standart yayımlandığında, 2005 revizyonlu eski ISO 27001 standardı güncelliğini yitirmiş olacak ve geçersiz sayılacak. Belgeye sahip olan ve sistemi uygulamaya devam etmekte olan kurumlara yeni standart geçiş için belirli bir süre tanınacak. Her ülkede yeni versiyona geçişler genellikle ulusal akreditasyon kurumları tarafından yürütülüyor (Türkiye’deki örneği: TÜRKAK).

Geçiş süreci şöyle işliyor:

• Belgelendirilmiş olan ve sistemi yürütmekte olan kurumların yeni versiyona geçiş yapabilmesi için genellikle yeni standardın yayımlanma tarihinden itibaren 18 – 24 ay süre tanınıyor.
• Standardın 2013 revizyonunun yayımlanmasından önce BGYS projelerine başlamış olan ve standart gerekliliklerine uyum için çalışmakta olan kurumların eski versiyona göre belgelendirilmelerine devam edebilmeleri içinse genellikle 6 – 12 ay süre veriliyor. Ancak yeni revizyonlu standart yayımlandıktan sonra, 2005 versiyona göre belgelendirilen kurumların, geçiş sürecinin sonuna kadar 2013 versiyona geçmeleri talep edilecek.

Yeni versiyona geçiş rahat olacak

Genellikle yeni standartlar yayımlandıktan sonra kurumların, belgelendirme şirketlerinin ve denetçilerin yeni standart maddelerini yorumlamaları, kurumlarda nasıl uygulanabileceğini belirlemeleri ve özümsemeleri genellikle belirli bir zaman alıyor. Bu nedenle şu anda ISO 27001 kurulum projelerini yürütmekte olan kurumların 2005 versiyona göre hazırlık yapmaları ve etkin bir Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulduktan sonra 2013 versiyonlu standarda uyum sürecini başlatmaları daha rahat bir geçiş süreci geçirmelerini sağlıyor.

Hedef: 19 Ekim 2013

ISO tarafından ISO 27001 standardının 2013 revizyonunun 19 Ekim 2013’te yayımlanması hedefleniyor. Ancak taslak standarda yönelik yorumlar ve geri bildirimlerin yoğunluğuna ve önemine bağlı olarak son revizyonun yayımlanma tarihinin Nisan 2014’e kadar uzayabileceği belirtiliyor.

(innova)