2013 son çeyreğinde yayınlanacağı konuşulan ISO 27001’in 2013 versiyonu 25 Eylül 2013 tarihi itibari ile yayınlandı. ISO’nun kendi sitesinde resmi olarak satışına başlanılan standartlar aşağıdaki linkten temin edilebilir:
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=54534
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=54533
Peki neler değişti?!
Yapısal Değişiklikler:
2005 versiyonunda gereksinimler diye tanımladığımız temel başlıklar artık yerini ISO 22301:2012 ile adını duyuran Annex SL ile uyumlu hale getirilmiş. Annex SL iki veya daha fazla ISO standardını işletecek olan işletmeler için genel bir yol çizmektedir. (ISO 14001, ISO 22000, ISO 9001, ISO 20000, ISO 22301 ) Tüm yönetim sistemlerinde sağlanması gereken gereksinimlerin yanı sıra standarda özel gereksinimlerin de eklenebileceği bir yapıya sahiptir. Bu yapı kurulum, işletim ve denetleme konularında kuruluşlara kolaylık sağlayacaktır.
Bu yapı ile tüm standartlarda olması beklenen başlıklar aşağıdaki gibi olacaktır:
0 Introduction /Giriş
1 Scope /Kapsam
2 Normative references / Atıf yapılan standartlar ve/veya dokümanlar
3 Terms and definitions /Terimler ve tarifleri
4 Context of the organization / Kurum Bağlamı
5 Leadership /Liderlik
6 Planning /Planlama
7 Support /Destek
8 Operation /Operasyon
9 Performance evaluation /Performans değerlendirme
10 Improvement /İyileştirme
Annex A: List of controls and their objectives /Kontrol listesi ve amaçları
2005 versiyonunda yer alan Annex B ve C kaldırılmıştır.
Risk analizinin tariflendiği aşamalarda (Bölüm 6.1.3) ISO 31000 standart ailesine atıfta bulunulmuştur. Risk analizi gerçekleştirilirken bu standart ailesinden yararlanmak faydalı olacaktır.
“Uygulanabilirlik bildirgesi” kavramı kaldırılmış ancak uyumu kanıtlayacak olan belge istemi devam etmektedir.
“Varlık sahibi” yerine artık “risk sahibi” kavramları kullanılacaktır.
İlgili taraflar ile alakalı gereksinimler ayrı yeni bir başlık altında tanımlanmıştır.
2005 versiyonunda sürekli vurgulanan “Planla-Uygula-Kontrol et- Önlem al” (PUKÖ) modeli kaldırılmış ancak sürekli iyileştirme ve gelişmenin olması gerekliliği vurgusu yapılmaktadır. Ancak isterseniz PUKÖ döngüsünü işletmeye devam ederek de sürekli iyileşmeyi sağlayabilir ya da kendi kurumunuza daha uygun olan farklı yöntemlerle de bunu sağlayabilirsiniz.
Kontroller (Annex A):
Kontrol kategorilerinin sayısı 2005 versiyonunda 11 iken yeni versiyonda 14 olmuştur. Kategorilerin ana başlıkları aşağıdaki gibidir:
5- Güvenlik Politikaları
6- Bilgi Güvenliği Organizasyonu
7- İnsan Kaynakları Güvenliği
8- Varlık Yönetimi
9- Erişim Kontrolü
10- Kriptografi (Yeni)
11- Fiziksel ve Çevresel Güvenlik
12- Operasyon Güvenliği (İletişim ve operasyon yönetimi ise iki bölüme ayrılmıştır: Operasyon güvenliği (12) ve iletişim güvenliği (13))
13- İletişim Güvenliği
14- Sistem Edinim, Geliştirme ve Bakım
15- Tedarikçi İlişkileri (Yeni)
16- Bilgi Güvenliği Olay Yönetimi
17- Bilgi Güvenliği Açısından İş Sürekliliği Yönetimi
18- Uyum
2005 versiyonunda kontrol sayısı 133 iken yeni versiyonda 113’e düşürülmüş ve bazı kontroller farklı başlıklar altına gönderilmiştir.
Genel kontrol ve dokümantasyon değişikliklerini inceleyecek olursak;
“Proje yönetiminde bilgi güvenliği” kontrolü ile artık proje yönetimi de sisteme dahil edilmiştir.
Mobil cihazlar ile ilgili kontroller oldukça geliştirilmiştir. Bu konuda dokümante edilmiş özel bir politika olması gerektiğinden bahsederken şu sıralar çok popüler olan “BYOD(Bring Your Own Device)” akımının getirdiği güvenlik açıklarının buna sebep olduğu aşikar gözüküyor.
İşe alım öncesinde çalışanlarla yapılan sözleşmelerde, organizasyonun ve çalışanın uymakla yükümlü olduğu bilgi güvenliği gereklilikleri net olarak dokümante edilmesi gerektiği özellikle vurgulanmaktadır.
Operasyon güvenliği ile ilgili de 2005 versiyonuna göre yeni versiyonda daha esnek uygulamalar getirilmiş ancak gerçekleştirilen tüm operasyonların prosedürlerinin mutlaka dokümante edilmesi gerekliliği getirilmiştir.
Bilgi sistemlerinin yönetiminde yeni bir “güvenli sistem mühendisliği” kavramı standarta girmiştir. Bu kavramla birlikte standart kuruluşlardan güvenli sistem mühendisliğinin prensiplerinin anlatıldığı bir politikanın dokümante edilmesi gerektiğini anlatmaktadır.
2005 versiyonunda “İş Sürekliliği Yönetimi” ara ara bilgi güvenliğini vurgulasa da genel bir iş sürekliliği yönetiminden bahsederken, 2013 versiyonunda iş sürekliliği yönetiminin sadece bilgi güvenliği ile ilgili olan ilişkisinin yönetilmesi gerekliliği vurgulanmaktadır.
Dokümanların kontrolü, iç denetim, ve düzenleyici faaliyetlerin dokümante edilmesi zorunluluk olmaktan çıkmıştır ancak bu konuların yönetimi halen birer gereklilik olarak vurgulanmaktadır.
Yeni versiyona geçiş süreci nasıl olacak?
Yeni versiyona göre belgelendirmenin nasıl yapılacağı ve belgelendirilmiş kuruluşların geçiş sürecinin nasıl olacağı henüz açıklanmadı. Türkiye’de bu karar TÜRKAK tarafından açıklanacak.
Genel olarak bir yıl süre ile eski versiyondan belgelendirme yapılabiliyor.(12 ay).
Ancak kuruluşun daha sonraki yıl içinde yeni versiyona geçmesi gerekecektir.(48 ay)
Şu an için BGYS kurmak ve belgelendirilmek isteyen kuruluşların 2005 verisyonuna göre belgelendirmeye girip birinci gözetim denetimi için 2013 versiyonuna geçiş yapmaları daha uygun gözükmektedir.
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=54534
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=54533
Peki neler değişti?!
Yapısal Değişiklikler:
2005 versiyonunda gereksinimler diye tanımladığımız temel başlıklar artık yerini ISO 22301:2012 ile adını duyuran Annex SL ile uyumlu hale getirilmiş. Annex SL iki veya daha fazla ISO standardını işletecek olan işletmeler için genel bir yol çizmektedir. (ISO 14001, ISO 22000, ISO 9001, ISO 20000, ISO 22301 ) Tüm yönetim sistemlerinde sağlanması gereken gereksinimlerin yanı sıra standarda özel gereksinimlerin de eklenebileceği bir yapıya sahiptir. Bu yapı kurulum, işletim ve denetleme konularında kuruluşlara kolaylık sağlayacaktır.
Bu yapı ile tüm standartlarda olması beklenen başlıklar aşağıdaki gibi olacaktır:
0 Introduction /Giriş
1 Scope /Kapsam
2 Normative references / Atıf yapılan standartlar ve/veya dokümanlar
3 Terms and definitions /Terimler ve tarifleri
4 Context of the organization / Kurum Bağlamı
5 Leadership /Liderlik
6 Planning /Planlama
7 Support /Destek
8 Operation /Operasyon
9 Performance evaluation /Performans değerlendirme
10 Improvement /İyileştirme
Annex A: List of controls and their objectives /Kontrol listesi ve amaçları
2005 versiyonunda yer alan Annex B ve C kaldırılmıştır.
Risk analizinin tariflendiği aşamalarda (Bölüm 6.1.3) ISO 31000 standart ailesine atıfta bulunulmuştur. Risk analizi gerçekleştirilirken bu standart ailesinden yararlanmak faydalı olacaktır.
“Uygulanabilirlik bildirgesi” kavramı kaldırılmış ancak uyumu kanıtlayacak olan belge istemi devam etmektedir.
“Varlık sahibi” yerine artık “risk sahibi” kavramları kullanılacaktır.
İlgili taraflar ile alakalı gereksinimler ayrı yeni bir başlık altında tanımlanmıştır.
2005 versiyonunda sürekli vurgulanan “Planla-Uygula-Kontrol et- Önlem al” (PUKÖ) modeli kaldırılmış ancak sürekli iyileştirme ve gelişmenin olması gerekliliği vurgusu yapılmaktadır. Ancak isterseniz PUKÖ döngüsünü işletmeye devam ederek de sürekli iyileşmeyi sağlayabilir ya da kendi kurumunuza daha uygun olan farklı yöntemlerle de bunu sağlayabilirsiniz.
Kontroller (Annex A):
Kontrol kategorilerinin sayısı 2005 versiyonunda 11 iken yeni versiyonda 14 olmuştur. Kategorilerin ana başlıkları aşağıdaki gibidir:
5- Güvenlik Politikaları
6- Bilgi Güvenliği Organizasyonu
7- İnsan Kaynakları Güvenliği
8- Varlık Yönetimi
9- Erişim Kontrolü
10- Kriptografi (Yeni)
11- Fiziksel ve Çevresel Güvenlik
12- Operasyon Güvenliği (İletişim ve operasyon yönetimi ise iki bölüme ayrılmıştır: Operasyon güvenliği (12) ve iletişim güvenliği (13))
13- İletişim Güvenliği
14- Sistem Edinim, Geliştirme ve Bakım
15- Tedarikçi İlişkileri (Yeni)
16- Bilgi Güvenliği Olay Yönetimi
17- Bilgi Güvenliği Açısından İş Sürekliliği Yönetimi
18- Uyum
2005 versiyonunda kontrol sayısı 133 iken yeni versiyonda 113’e düşürülmüş ve bazı kontroller farklı başlıklar altına gönderilmiştir.
Genel kontrol ve dokümantasyon değişikliklerini inceleyecek olursak;
“Proje yönetiminde bilgi güvenliği” kontrolü ile artık proje yönetimi de sisteme dahil edilmiştir.
Mobil cihazlar ile ilgili kontroller oldukça geliştirilmiştir. Bu konuda dokümante edilmiş özel bir politika olması gerektiğinden bahsederken şu sıralar çok popüler olan “BYOD(Bring Your Own Device)” akımının getirdiği güvenlik açıklarının buna sebep olduğu aşikar gözüküyor.
İşe alım öncesinde çalışanlarla yapılan sözleşmelerde, organizasyonun ve çalışanın uymakla yükümlü olduğu bilgi güvenliği gereklilikleri net olarak dokümante edilmesi gerektiği özellikle vurgulanmaktadır.
Operasyon güvenliği ile ilgili de 2005 versiyonuna göre yeni versiyonda daha esnek uygulamalar getirilmiş ancak gerçekleştirilen tüm operasyonların prosedürlerinin mutlaka dokümante edilmesi gerekliliği getirilmiştir.
Bilgi sistemlerinin yönetiminde yeni bir “güvenli sistem mühendisliği” kavramı standarta girmiştir. Bu kavramla birlikte standart kuruluşlardan güvenli sistem mühendisliğinin prensiplerinin anlatıldığı bir politikanın dokümante edilmesi gerektiğini anlatmaktadır.
2005 versiyonunda “İş Sürekliliği Yönetimi” ara ara bilgi güvenliğini vurgulasa da genel bir iş sürekliliği yönetiminden bahsederken, 2013 versiyonunda iş sürekliliği yönetiminin sadece bilgi güvenliği ile ilgili olan ilişkisinin yönetilmesi gerekliliği vurgulanmaktadır.
Dokümanların kontrolü, iç denetim, ve düzenleyici faaliyetlerin dokümante edilmesi zorunluluk olmaktan çıkmıştır ancak bu konuların yönetimi halen birer gereklilik olarak vurgulanmaktadır.
Yeni versiyona geçiş süreci nasıl olacak?
Yeni versiyona göre belgelendirmenin nasıl yapılacağı ve belgelendirilmiş kuruluşların geçiş sürecinin nasıl olacağı henüz açıklanmadı. Türkiye’de bu karar TÜRKAK tarafından açıklanacak.
Genel olarak bir yıl süre ile eski versiyondan belgelendirme yapılabiliyor.(12 ay).
Ancak kuruluşun daha sonraki yıl içinde yeni versiyona geçmesi gerekecektir.(48 ay)
Şu an için BGYS kurmak ve belgelendirilmek isteyen kuruluşların 2005 verisyonuna göre belgelendirmeye girip birinci gözetim denetimi için 2013 versiyonuna geçiş yapmaları daha uygun gözükmektedir.
Son düzenleme:
