ISO 27001, bilgi güvenliğiyle ilgili riskleri tanımlamak ve yönetmek için gerekli kurallar ve ilkeleri kapsayan bir standarttır. Kuruluşların, bilgi güvenliği yönetim sistemlerini (BGYS) oluşturması, uygulaması, sürdürmesi ve iyileştirmesi için bir yapı sunar. “ISO/IEC 27001 Bilgi Güvenliği, Siber Güvenlik ve Gizlilik Koruması – Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler” standardının en son versiyonu 2022 yılında yayınlanmıştır. ISO 27001, bilgi güvenliği yönetim sisteminin temel ihtiyaçlarını belirlediği için, her boyuttaki ve sektördeki kuruluşların uygulayabileceği bütüncül bir sistemdir.
ISO 27001: 2022 Standardı Maddeleri
- Madde 4: Kuruluşun bağlamı
- Madde 5: Liderlik
- Madde 6: Planlama
- Madde 7: Destek
- Madde 8: Operasyon
- Madde 9: Performans değerlendirme
- Madde 10: İyileştirme
ISO 27001 Yönetim Sistemindeki Revizyonlar
Standardın temel bölümü 11 maddeden oluşmaktadır ve bu bölümlerdeki değişiklikler oldukça sınırlıdır. Bu değişikliklerden bazıları şunlardır:
- Numaralandırmanın yeniden düzenlenmesi
- BGYS’nin uygulanması için gerekli süreçlerin ve bunların etkileşimlerinin tanımlanması zorunluluğu
- Kuruluş içinde bilgi güvenliğiyle ilgili rollerin açık bir şekilde iletilmesi gerekliliği
- Yeni bir madde 6.3 – Değişikliklerin planlanması
- Madde 7.4 kapsamında kuruluşun nasıl iletişim kuracağını belirleme gerekliliği
- Operasyonel süreçler için kriterlerin oluşturulması ve bu süreçlerin kontrol edilmesiyle ilgili yeni gereklilikler
Ek A’daki değişiklikler ilk bakışta önemli gibi görünse de, kontrol sayısı 114’ten 93’e düşmüş ve 2013 revizyonundaki 14 bölüm yerine sadece dört bölüme ayrılmıştır. Ancak, detaylı incelendiğinde Ek A’daki değişikliklerin orta düzeyde olduğu görülmektedir. Bazı bölümlerin içeriği değiştirilmiş, bazıları yeniden adlandırılmış veya eklenmiştir.
ISO 27001:2022 Ana Maddelerindeki Değişiklikler
- Madde 4.2’ye yeni bir alt madde (c) eklenmiş ve ilgili tarafların ihtiyaç ve beklentilerinin BGYS aracılığıyla ele alınması gerekliliği belirtilmiştir.
- Madde 4.4’e, BGYS kapsamındaki süreçlerin ve bunların etkileşimlerinin planlanması gerekliliği eklenmiştir.
- Madde 5.3’e, rollerin kuruluş içinde iletilmesi gerektiğini açıklayan bir ifade eklenmiştir.
- Madde 6.2’ye, bilgi güvenliği hedeflerinin izlenmesi zorunluluğunu içeren bir alt madde (d) eklenmiştir.
- Madde 6.3, BGYS’deki herhangi bir değişikliğin planlanması gerektiğini belirtmek üzere eklenmiştir.
- Madde 7.4’te iletişim için süreçlerin belirlenmesini gerektiren alt madde (e) kaldırılmıştır.
- Madde 8.1’e, güvenlik süreçleri için kriterlerin belirlenmesi ve bu süreçlerin kriterlere göre uygulanması gerekliliği eklenmiştir.
- Madde 9.3’e yeni bir alt madde 9.3.2 c) eklenmiş ve ilgili tarafların ihtiyaç ve beklentileri ile BGYS’ye ilişkin girdilerinin dikkate alınması gerektiği belirtilmiştir.
- Madde 10’daki alt maddeler yeniden yapılandırılmış, ilk alt madde Sürekli iyileştirme (10.1) ve ikinci alt madde Uygunsuzluk ve düzeltici faaliyet (10.2) olarak değiştirilmiştir; metin değişmemiştir.
ISO 27001 Ek A Güvenlik Kontrollerindeki Revizyonlar
Birçok kontrol kaldırılmış, 24 kontrol birleştirilmiş ve 58 kontrol revize edilmiştir. Ayrıca, bilgi güvenliği ve siber güvenlik ortamındaki gelişmeleri ele almak için 11 yeni güvenlik kontrolü eklenmiştir. Bu yeni kontroller şunlardır:
- A.5.7 Tehdit istihbaratı
- A.5.30 İş sürekliliği için ICT hazırlığı
- A.7.4 Fiziksel güvenlik izleme
- A.8.9 Yapılandırma yönetimi
- A.8.10 Bilgi silme
- A.8.11 Veri maskeleme
- A.8.12 Veri sızıntısını önleme
- A.8.16 İzleme faaliyetleri
- A.8.23 Web filtreleme
- A.8.28 Güvenli kodlama
TS EN ISO 27001’in Anlamı ve Genişlemesi
- ISO: Uluslararası Standardizasyon Örgütü’nü temsil eder ve küresel kabul görmüş standartları yayınlar.
- 27001: Uluslararası Standardizasyon Örgütü (ISO) tarafından verilen Kalite Yönetim Standardının adıdır.
- TS: Türk Standartları’nın kısaltmasıdır.
- EN: Avrupa Normu kısaltmasıdır.
ISO tarafından tanımlanan ve yayınlanan bu standart, dünya çapında tüm kuruluşların bir bilgi güvenliği yönetim sistemi (BGYS) kurarken uyması gereken çerçeveyi belirler. Türkiye’de denetimler TSE tarafından yapılmaktadır.
Her 8 yılda bir sistem revize edilir ve tarih güncellenir. ISO, gerekli revizyonları 5 yıl süreyle onaylar.
ISO 27001 Bilgi Güvenliği Yönetim Sisteminin Kapsamı
Bilgi güvenliği yönetim sistemi, bilgi/veri güvenliğini yönetmeyi, kesintisiz iş akışını sağlamayı ve şirket içindeki çalışan profillerine dayalı bir güvenlik risk analizi yaklaşımı geliştirmeyi amaçlar.
Kuruluşlar, ISO’nun paralel yönetim sistemlerine uygun şekilde yapılandırılmış ISO 27001 Belgesini akredite sertifikasyon kuruluşlarına başvurarak alabilir. Prosedürler, başvurunun ötesinde çeşitli süreçleri kapsamaktadır.
ISO 27001 Belgesinin Önemi
Bilgi Güvenliği Yönetim Sistemi, bilgiyi koruma ve güvenli şekilde depolama yöntemlerini sağlar ve denetler. ISO denetimleri, hem hizmet sağlayıcılar hem de alıcılar için herhangi bir türdeki siber tehdit veya saldırıya karşı zafiyetleri tanımlamak ve yönetmek için kritik öneme sahiptir. ISO 27001, evrensel yaklaşımıyla küresel geçerliliği olan bir değerdir ve bu standartla belgelendirilen kuruluşlar bu düzeyde değerlendirilir.
ISO 27001 SOA Nedir?
SOA, veya Uygulanabilirlik Beyanı, ISO 27001’in (ve dolayısıyla ISO 27002’nin) Ek A’sındaki hangi güvenlik önlemlerinin uygulandığını, neden seçildiğini ve hangi konuların hariç tutulduğunu içeren bilgileri içerir. ISO 27001 Standardı bu süreci açıkça tanımlamasa da, SOA mevcut kontroller ile bunların kontrol belgeleri/tanımları arasında anlamlı bağlantılar kurma ve seçilen kontroller için gerekliliklerin kaynaklarını belirleme konusunda ayrıntılı açıklamalar sunar.
SOA/Uygulanabilirlik Beyanı, ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) Standardı‘nın merkezi ve zorunlu bir parçasıdır. ISO 27001’in planlama aşamasında tanımlanan birçok etkinliğin sonucudur.
ISO 27001 Belgesini Kimler Almalı ve Faydaları Nelerdir?
BT ve savunma sanayinde faaliyet gösteren kuruluşlar ISO 27001 denetimlerine tabidir. Bu alanlarda hizmet veren/üretim yapanlar, gerekli belgeleri almalı ve güvenli bir sistem kurmalıdır. ISO 27001 denetimi ve belgelendirme açısından bilgi güvenliğini sağlamak ve uzun vadede sürdürmek son derece önemlidir. ISO 27001 Belgesine sahip olmak, bir sistem yönetmek, güvenilirliği sağlamak ve hizmet/ürün alıcıları tarafından tercih edilmek için önemli bir gerekliliktir.
ISO 27001 Belgesi Nasıl Alınır?
Kuruluşlar, bilgi sistemlerini değerlendirmeli ve bir sistem oluşturmalıdır. Risk faktörlerinin belirlenmesi en kritik adımdır. Bu bağlamda, açıkların kapatılması, raporlama, denetim, risk puanlaması yapma ve bu puanlamaya dayalı yeni talimatlar/prosedürler geliştirilmesi gereklidir. Yetki/sorumluluklar sistem içinde net bir şekilde tanımlanmalı ve uygulanmalıdır. Standartta belirtilen sistemler uygulanmalı ve eksiklik olmadığında başvuru yapılmalıdır.
Başvuruyu tamamlayan kuruluşlar için denetim süreçlerini sertifikasyon kuruluşları yürütür ve başarılı başvurular için sertifika düzenlenir. Ancak sertifika sürekli değildir ve sertifikalandırılan sistemler yıllık olarak yeniden denetlenir.
ISO 27001 Belgesi Ne Kadar Süre Geçerlidir?
ISO 27001 Belgesi 3 yıl süreyle geçerlidir ve yenileme için yeniden başvuru yapılması gereklidir. Sertifikalı kuruluşlar yıllık denetimlere tabidir. Bu denetimler, standartlara uygunluğu kontrol eder ve bilgi güvenliğinin korunmasını sağlar. Denetimlerin bilgi güvenliğini tehlikeye attığı veya gizlilik ilkelerini ihlal ettiği iddiaları denetimin özüne aykırıdır ve temelsizdir. Aksine, bu süreç, verilerin güvenli bir şekilde saklanmasını, varlığını ve mevcut sistemin güvenilirliğini düzenli denetimlerle sağlar.