ISO/IEC 27002:2022 Standardındaki Değişiklikler Neler Getiriyor?
Uluslararası alanda iyi bilinen ve kabul gören bilgi güvenliği yönetim sistemi standardı ISO/IEC 27001 ve onu ayrılmaz bir parçası olarak kabul edilen güvenlik kontrolleri için uygulama prensipleri içeren ISO/IEC 27002 standardı 2013 yılından bu yana Düzeltme1: 2014 ve Düzeltme2:2015’ten sonra güncellendi. Yaklaşık on yıla yakın bir süreden sonra ilgili standartta yapılan güncelleme hakikaten heyecan verici!
Peki standarttaki değişiklikler nelerdir?
- Standardın ismi göze çarpan önemli bir değişiklik, standardın adının “Bilgi Güvenliği, siber güvenlik ve mahremiyetin korunması - Bilgi güvenliği kontrolleri (Information security, cybersecurity and privacy protection - Information security controls)” olarak revize edilmiş olması
- Hâlihazırdaki 14 ana kontrol başlığının 4 ana tema altında toplanmış olması
- Ana temaların;
- Organizasyonel-37 Kontrol
- Teknolojik-34 Kontrol
- Fiziksel-14 Kontrol
- İnsanlar-8 Kontrol
olarak belirlenmiş olması
114 kontrol maddesinin 93 kontrol maddesine indirgenmiş olması
Kontrol türlerinin beş temel öznitelik altında etiketlenmiş olması
- Kontrol Tipi ( Tespit Edici, Önleyici, Düzeltici)
- Bilgi Güvenliğine İlişkin Özellikler (Gizlilik, Bütünlük, Erişilebilirlik)
- Siber Güvenlik Konseptine İlişkin Özellikler (Tanımlamak, Tespit Etmek, Korumak, Kurtarmak gibi)
- Operasyonel Yetenekler (Yönetişim, Varlık yönetimi, Fiziksel Güvenlik, Sistem ve Ağ Güvenliği, Uygulama Güvenliği, Konfigürasyon Yönetimi, Kimlik ve Erişim Yönetimi, Tehdit ve Zafiyet Yönetimi, İş Sürekliliği, Tedarikçi İlişkileri Güvenliği, Yasal Düzenlemelere Uyum)
Aşağıdaki domainlere yönelik kontrollerin eklenmiş olması
- Tehdit istihbaratı
- Bulut hizmetlerinin kullanımı
- İş sürekliliği için BİT kaynak planlaması
- Fiziksel güvenlik izleme
- Konfigürasyon yönetimi
- Bilgi silme ve yok etme
- Veri maskeleme
- Veri sızıntısını önleme
- İzleme faaliyetleri
- Web filtreleme
- Güvenli kodlama
Bazı kontrollerin standarttan çıkarılmış olması
- 8.2.3. Varlıkların kullanımı
- 11.2.5 Varlıkların taşınması
- 16.1.3 Bilgi güvenliği açıklıklarının raporlanması
