ISO 27001 VE ISO 27002 ARASINDAKİ FARK NEDİR?
ISO/IEC 27001, bilgi güvenliği için yönetim sistemi uygulama gereksinimlerini içerir. ISO/IEC 27002 ise bilgi güvenliğini geliştirmek için kullanabilecek uygulamaları içermektedir. ISO/IEC 27001, onaylayabileceğiniz bir standarttır, ISO/IEC 27002 ise bilgi güvenliği kontrolleri için popüler, uluslararası kabul görmüş bir uygulama standardıdır.
ISO/IEC 27002, ISO/IEC 27001 gibi resmi bir spesifikasyon değildir. Genel, tavsiye niteliğinde bir belgedir. Bilginin gizliliği, bütünlüğü ve kullanılabilirliğine yönelik kabul edilemez riskleri azaltmak için bir dizi bilgi güvenliği kontrollerini açıklar. Kuruluşlar, rehberlik için ISO/IEC 27002 ‘yi kullanarak kabul edilemez risklerini azaltmak için uygun bilgi güvenliği kontrollerini seçerek ve uygulayarak kendi bilgi risklerini belirler ve değerlendirir.
Bir ISO standardının tipik ömrü beş yıldır. Bu süre sonunda standardın geçerliliğini sürdürüp sürdüremeyeceğine, revizyona ihtiyacı olup olmadığına veya geri çekilmesine karar verilir. ISO/IEC 27002 Standardı en son 2013 yılında yayımlanmıştır, yeni sürümü ise 9 yıl sonra 15 Şubat 2022 ‘de yayımlanarak 2013 sürümünün yerini almıştır. ISO/IEC 27001 Standardının revize edilmiş sürümü de 25 Ekim 2022 ‘de yayımlanmıştır.
ISO/IEC 27002:2022’DEKİ YENİLİKLER NEDİR?
“Bu belge, uygulama kılavuzu da dâhil olmak üzere bir dizi genel bilgi güvenliği kontrolleri sağlar. Bu belge, kuruluşlar tarafından kullanılmak üzere tasarlanmıştır: (a) ISO/IEC27001’e dayalı bir bilgi güvenliği yönetim sistemi (BGYS) bağlamında; (b) uluslararası kabul görmüş en iyi uygulamalara dayalı bilgi güvenliği kontrollerini uygulamak için; (c) kuruluşa özel bilgi güvenliği yönetim kılavuzları geliştirmek için.”
[Kaynak: ISO/IEC 27002:2022]
1. İlk olarak, güncellenen ISO/IEC 27002 standardının başlığından “uygulama kuralları” ibaresi çıkarılmıştır. Bu değişiklik, bilgi güvenliği kontrollerinin amacını daha iyi yansıtmaktadır.
ISO/IEC 27002:2013 Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği kontrolleri için uygulama kuralları
ISO/IEC 27002:2022 Bilgi güvenliği, siber güvenlik ve gizlilik koruması – Bilgi güvenliği kontrolleri
2. Standardın kendisi önceki sürümden önemli ölçüde daha uzundur. Kontroller yeniden sıralanmış ve güncellenmiştir. Standart ile ilgili bazı kontroller birleştirilip, kaldırılmış ve yeni kontroller eklenmiştir. ISO/IEC 27002 Standardının 2013 sürümünde 114 kontrol maddesi bulunmaktadır. 2022 sürümünde ise 93 kontrol maddesi bulunmaktadır. Bu kontroller “Organizasyonel, İnsan, Teknolojik ve Fiziksel” olmak üzere 4 gruba ayrılarak sınıflandırılmıştır.
3. ISO/IEC 27002:2022 sürümünün NIST Siber Güvenlik Çerçevesini referans aldığı görülmektedir. NIST Siber Güvenlik Çerçevesinde bulunan 5 temel işlev dikkate alınarak “Belirleme, Koruma, Tespit Etme, Müdahale Etme ve Kurtarma” olmak üzere Siber Güvenlik Kavramları eklenmiştir.
4. Kategorileştirmeyi kolaylaştırmak için 93 kontrolün her biri “Kontrol Tipi, Bilgi Güvenliği Özellikleri, Siber Güvenlik Kavramları, Operasyonel Yetenekler ve Güvenlik Alanları” olmak üzere 5 “öznitelik” seti ile etiketlenmiştir.
Comments