Sürekli büyüyen tehdit ortamı, Log4J gibi güvenlik açıkları ve dijital teknolojinin hızlı büyümesi, ISO 27002:2022 güncellemesi ile eksik olan ihtiyacları karşılayacak gibi görünmektedir.
ISO 27002:2022’deki yenilikler nelerdir?
ISO 27002:2013, 14 bölüme ayrılmıştır ve 114 kontrol içermekteydi. Bu yeniden yapılandırıldı, 2022 versiyonu 4 bölüme ayrılmış 93 kontrol içermektedir:
5. Organizasyonel (37 kontrol)
6. İnsanlar (8 kontrol)
7. Fiziksel (14 kontrol)
8. Teknolojik (34 kontrol)
Önemli Sorularınıza Yanıtlar
1 – ISO 27001 ve ISO 27002 arasındaki fark nedir?
ISO 27001 ana standarttır ve şirketler buna karşı sertifika alabilirler; sadece destekleyici bir standart olduğu için şirketler ISO 27002:2022’ye göre sertifika alamazlar.
Ek A’da ISO 27001, yalnızca güvenlik kontrollerinin bir listesini sağlar, ancak bunların nasıl uygulanabileceğini açıklamaz; ISO 27002, aynı kontrolleri listeler ve bunların nasıl uygulanabileceği konusunda rehberlik sağlar. Ancak, ISO 27002’deki bu kılavuz zorunlu değildir, yani şirketler bu kılavuzları kullanıp kullanmayacaklarına karar verebilirler.
2 – Bu değişiklikler ne zaman gerçekleşecek?
ISO 27002, 15 Şubat 2022’de güncellenmiştir ve ISO 27001’in Ek A’sı bu değişikliklerle uyumlu hale getirilecektir.
ISO 27001 Ek A’daki güncellemeler 2022’de bir yerde olacak, tarih henüz açıklanmadı.
3 – ISO 27001’i uygulamaya başlamak istiyoruz, değişiklikler yayınlanana kadar mı bekleyelim yoksa şimdi mi başlamalıyız?
Mevcut veya potansiyel müşteriniz sertifika almanızı bekliyorsa, bir an önce başlamalısınız; Projenizle 2022’nin sonuna kadar bekleyebilirseniz, güncellenen standardı bekleyebilirsiniz.
Başka bir deyişle, bu kararın standartlarla hiçbir ilgisi yoktur – bu, ISO 27001 sertifikasına ne kadar hızlı ihtiyacınız olduğuna bağlıdır.
4- Şimdi ISO 27001 uygulamasıyla başlarsak, yeni kontrol setleriyle mi yoksa eskileriyle mi devam edeceğiz?
ISO 27001’deki değişiklikler henüz yayınlanmadığı için mevcut (eski) kontrollerle başlamalısınız.
Kontrollerdeki değişiklikler yalnızca orta düzeyde olduğundan ve yeni kontroller için belgeleri güncellemek için çok zamanınız olacağından (ilerideki metindeki açıklamaya bakın), standardın yeni revizyonuna geçiş küçük bir çaba olacaktır.
5- ISO 27001’i zaten uyguladık, dokümantasyonumuzda neleri değiştirmemiz gerekiyor?
Standartlardaki değişiklikler çoğunlukla kontrollerin yeniden düzenlenmesi ile ilgilidir, bu nedenle teknolojide herhangi bir değişikliğe ihtiyaç duyulmayacak, sadece dokümantasyondaki değişikliklere ihtiyaç duyulacaktır.
Değişiklikler orta düzeyde olduğundan, önerimiz yeni belge eklememeniz veya mevcut belgelerden hiçbirini silmemenizdir.
6- Belgelerimizi ne zaman değiştirmemiz gerekiyor?
Bu değişiklikler için geçiş dönemi henüz yayınlanmadı ancak resmi ISO 27001:2022 güncelleme tarihinden itibaren muhtemelen 2 yıl olacak.
Bu nedenle, uymak için bolca zamanınız olacak.
7 – Belgelendirme kuruluşunun belgelerdeki değişiklikleri kontrol etmesi gerekiyor mu?
Evet, eğer firmanız belgeliyse, belgelerinizi geçiş süreci içerisinde adapte edip etmediğinizi belgelendirme kuruluşu kontrol edecektir.
Bunu düzenli gözetim denetimleri sırasında yapacakları için yeni bir denetim planlamaya gerek kalmayacaktır.
İlgili standartlar üzerindeki etkisi
ISO 27002:2013 ile ilgili veya ISO 27002:2013’e dayanan çok sayıda standart ve çerçeve vardır. Standardın yeni bir sürümle değiştirilmesi onları kesinlikle etkileyecektir.
Her şeyden önce, ISO 27001, ISO 27002:2022 nihai hale getirilip yayınlandıktan kısa bir süre sonra bir güncelleme alması beklenmektedir. Mevcut anlayışa göre, ISO 27001 güncellemesi, küçük metin değişiklikleri ve ISO 27002 güncellemesine uygun olarak Ek A’nın tam bir revizyonu ile sınırlı olacaktır.
ISO 27701, ISO 27017 ve ISO 27018 gibi ortak standartlarında güncellenmesi bekleniyor.
Henüz bir geçiş dönemi belirlenmemiştir. ISO 27001’in, doğrudan ISO 27002 ile uyumlu olduğundan, bir Ek A güncellemesi alacağını unutmayın!
Standardın genel yapısı diğer standartlara benzer olsa da, kontrol bölümlerinin nasıl yapılandırıldığı konusunda büyük bir değişiklik yapılmıştır. 14 bölümden oluşan ISO 27002:2013, bir sonraki karşılaştırmada gösterildiği gibi 4 bölümle değiştirilecektir.
Ne yapalım?
İlk olarak, normal şartlar altında onaylanacak yeni bir standardın yayınlanmasının bir geçiş dönemi olacağını unutmayın. Normal olarak geçiş süresi, belgelendirmenin mevcut belgelendirme döngüsünde nerede olduğuna bağlı olarak 2 ila 3 yıl olacaktır.
ISO 27002:2022’nin yayınlanmış versiyonunu satın alarak hazırlık yapmaya başlayabilirsiniz. Ne yazık ki henüz türkçesi yayınlanmamıştır.
Şu aşamada neler yapabilirsiniz
Aşağıdaki listeyle sınırlı olmamakla beraber ilk yapacaklarınız bunlar olabilir;
- Güncellenmiş standardı satın almak,
- Yeni standart ve eskisini kıyaslamak,
- Bir risk analizi yapmak ve GAP analizini control etmek,
- Uygulanabilir kontrolleri seçip ve BGYS politikalarınızı, standartlarınızı vb. güncellemek,
- Uygulanabilirlik Beyanınızı güncellemek,
- Seçilen güncellenmiş kontrolleri dahil etmek için iç denetim programınızı güncellemek …. Vb.
