Siber uzay terimi, bilgisayar kullanıcılarının internet ve diğer benzer ağlar içerisinde kurduğu iletişimden doğan sanal gerçeklik ortamı olarak tanımlanabilmektedir. Siber güvenlik ise genellikle siber uzayın her türlü alınan önlemler ile güvenliği korunması olarak ifade edilebilmektedir. Sağlam siber güvenlik önlemleri günümüz dijital çağında çok önemlidir. Tehdit ortamı geliştikçe, kuruluşlar bilgilerini ve varlıklarını İnternet tabanlı risklerden koruma konusunda artan zorluklarla karşılaşmaktadır. ISO 27032, siber güvenliğe odaklanan ve siber suçların kuruluşların karşılaştığı en büyük risklerden biri olduğunu dikkate alan bir standarttır.
Standart ilk olarak 2012’de yayınlanmıştır ve ardından 28 Haziran 2023’te son baskısı geldi. Son güncellemeler internet güvenliğine odaklanıyor ve kuruluşlara risk azaltma ve savunmayı geliştirme konusunda rehberlik ediyor.
Dijital dünyamızı korumak söz konusu olduğunda, İnternet güvenliği ve siber güvenlik el ele çalışır. Bunlar, sistemleri ve çevrimiçi ortamları çeşitli tehditlerden ve güvenlik açıklarından korumayı amaçlayan iç içe geçmiş disiplinlerdir. İnternet güvenliği, özellikle İnternet erişimini ve kullanımını güvence altına almaya, çevrimiçi hizmetlere ve ICT sistemlerine bağlı risklerle mücadele etmeye odaklanır. Siber güvenlik ise daha geniş bir spektrumu kapsamaktadır. Kapsamının önemli bir parçası olarak İnternet güvenliğini de kapsar. Bu kapsamlı yaklaşım, donanım, yazılım, program ve verileri kapsayan internete bağlı sistemleri potansiyel saldırılara karşı korur. Siber güvenlik kapsamında internet güvenliği, ağ güvenliği ve veri koruma gibi çeşitli disiplinler etkin bir şekilde ele alınmaktadır.
ISO 27032:2023 Siber Güvenlik Yönergelerinde Neler Değişti?
ISO/IEC 27032 standardının “Siber Güvenlik- İnternet güvenliği için kılavuzlar” başlıklı yeni versiyonunda hedef, İnternet güvenliği zorluklarını ele almaya ve yaygın tehditleri azaltmak için rehberlik sağlamaktır. Standart, sosyal mühendislik saldırıları, sıfırıncı gün saldırıları, gizlilik saldırıları, bilgisayar korsanlığı ve kötü amaçlı yazılımların yayılması gibi çeşitli güvenlik sorunlarını ele almaktadır. Standarttaki rehberlik, kuruluşlara teknik ve teknik olmayan kontroller sunarak çeşitli İnternet tabanlı saldırı türlerine hazırlanma, önleme, tespit etme, izleme ve yanıt verme araçlarıyla donatır.
ISO/IEC 27032:2023’ün kritik altyapıyı veya ulusal güvenliği destekleyen sistemlere yönelik kontrollere açıkça odaklanmadığını belirtmek önemlidir.
Bununla birlikte, belgede belirtilen kontrollerin çoğu bu tür sistemlere uygulanabilir ve kuruluşların kritik varlıklarını etkili bir şekilde korumalarını sağlar. Standart, ISO/IEC 27002, ISO/IEC 27033 serisi, ISO/IEC TS 27100 ve ISO/IEC 27701’e karşılık gelen mevcut standartlardaki kavramlardan yararlanarak İnternet güvenliği, web güvenliği, ağ güvenliği ve siber güvenlik arasında güçlü bir ilişki kurmaktadır.
Önemli değişikliklerden biri, İnternet güvenliği ile ilgili risk değerlendirmesi ve risk tedavisi için daha kapsamlı bir çerçeve içermesidir. Güncellenen standart, tehditler, güvenlik açıkları ve saldırı vektörleri hakkında ek içerik içermekte, kuruluşların İnternet güvenliğiyle ilişkili riskleri daha iyi anlamasını sağlamakta ve daha iyi risk yönetimi uygulamalarını kolaylaştırmaktadır.
Ek olarak, Ek A, ISO/IEC 27032:2023’teki İnternet güvenliği kontrolleri ile ISO/IEC 27002’de bulunan kontroller arasında bir eşleme sunmaktadır. Kuruluşlar, standartta belirtilen güvenlik önlemlerini ISO/IEC 27002’de tanımlanan kontrollerle sistematik olarak karşılaştırmak ve uyumlu hale getirmek için bu eşlemeyi kullanabilir, bu da uluslararası alanda tanınan güvenlik çerçevelerinin ve uygulamalarının daha iyi entegrasyonunu teşvik eder.
ISO 27032:2023 ve ISO/IEC 27001:2022 arasındaki Benzerlikler ve Farklar?
ISO 27032 ve ISO 27001’in her ikisi de bilgi güvenliği yönetimiyle ilgili standartlardır ancak farklı odak noktaları ve hedefleri vardır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi, şirketlerin finansal verilerini, fikri mülkiyetlerini ve hassas müşteri bilgilerini korumalarına yardımcı olan uluslararası bir çerçevedir. Kuruluşların bilgi güvenliği yönetimi süreçlerini oluşturmaları, uygulamaları, sürdürmeleri ve sürekli iyileştirmelerine yardımcı olur. Standart, bir kuruluş içindeki bilgi güvenliği risklerinin tanımlanmasına, değerlendirilmesine ve yönetilmesine yönelik sistematik bir yaklaşım ortaya koymaktadır. ISO 27001, kurumsal bağlam, liderlik taahhüdü, risk değerlendirmesi ve tedavisi, güvenlik kontrolleri ve sürekli iyileştirme dahil olmak üzere bilgi güvenliğinin çeşitli yönlerini kapsar.
Öte yandan ISO 27032, özellikle siber güvenliğe odaklı bir standarttır. Kuruluşların siber güvenlik programlarını nasıl oluşturabilecekleri, uygulayabilecekleri, sürdürebilecekleri ve geliştirebilecekleri konusunda rehberlik sağlar. ISO 27032, siber güvenlik ortamını anlamanın, siber güvenlik risklerini tanımlamanın ve değerlendirmenin ve siber tehditlere karşı koruma sağlamak için uygun kontrolleri uygulamanın önemini vurgulamaktadır. Aynı zamanda siber güvenliği ulusal ve uluslararası düzeyde geliştirmek için paydaşlar arasındaki iş birliği ve iş birliği ihtiyacını da ele alıyor.
Özetlemek gerekirse bilgi güvenliği yönetiminin tüm yönlerini kapsayan daha geniş bir standarttır ve ISO 27032 ise özellikle siber güvenliğe odaklanır. Kuruluşlar, kapsamlı bir bilgi güvenliği yönetim sistemi kurmak için ISO 27001’i kullanabilirken ISO 27032, siber güvenliğe özgü konularda ek rehberlik sağlayabilir.
ISO 27032’nin sertifika alabileceğiniz bir standart değildir. Kuruluşunuzun siber dünyada korunmasına yardımcı olmak için ISO 27001 ile birlikte uygulanması gereken bir dizi kontroldür.
Daha fazla bilgi almak için sales@cfecert.co.uk adresinden bizimle hemen iletişime geçin.
