ISO 27001 standardının Ģuanda kullandığımız versiyonu 2005 yılında yayınlanmıĢtır. 2005 yılından itibaren kullanılmakta olan bu standart zaman içinde yetersiz kaldığı ve yenilenmesi gerektiği hissedilmiĢtir. Diğer yönetim sistemleriyle olan etkileĢimlerinde de yaĢanan sorunlar farklı bir ihtiyacı doğurmuĢtur. Güncel tehditler ve uygulamada yaĢanan zorluklar göz önüne alındığında, bu standardın kendini dinamik tutabilmesi için güncellenmesi gerektiği kararına varılmıĢtır.
Yapılan araĢtırmalar sonucunda oluĢturulan taslak metinler halka arz edilerek gelecek teklif ve eleĢtiriler değerlendirilmiĢtir. Bu çalıĢmalar sonucunda 2013 yılının Eylül ayında ISO tarafından ISO27001 standardının yeni versiyonu Ġngilizce metin olarak yayınlanmıĢtır. Ülkemizde bu standardın 2014 yılında kabul edilip, yıl sonuna kadar da çevirisinin yapılıp Türkçe metin olarak yayınlanması beklenmektedir. ġu anda kullanılan standart 2015 yılının eylül ayına kadar geçerliliği devam etmektedir. Yeni versiyonun yayınlanmasından sonra kullanıma geçilmesi beklenmektedir. Bu konuda alt yapı çalıĢmaları tamamlandıktan sonra kararı verecek olan ve bizlere gerçek bilgiyi verecek olan kurum TÜRKAK‘tır. Bu alanda danıĢmanlık veren kuruluĢlarda yeniliklerle ilgili kendi iç eğitimlerini planlamakta ve değiĢen Ģartlara göre personelini bilgilendirmeye çalıĢmaktadırlar.
Bilgi teknolojilerinde ortaya çıkan yenlikler, kurumların iĢleyiĢ yapılarını ve BGYS‘ni de değiĢime zorlamaktadır. 2005 yılında bu standart hazırlanırken çok fazla etkin olmayan veya hiç hayatta olmayan projeler Ģuanda kullanımda yeni bilgi güvenliği gereksinimleri doğurmaktadırlar. Bu konuda araĢtırma yapan birçok Ģirketin anket sonuçları da bu ihtiyaçları doğrular niteliktedir.
Ernst & Young‘ın bilgi güvenliği anketi sonuçlarına göre Ģirketlerin sosyal medya, bulut biliĢim, sanal suçlar ve süregelen tehditlerin oluĢturduğu boĢluğu kapatmak için bilgi teknolojilerine yaklaĢımlarını değiĢtirmeleri gerekiyor. Raporda bu yaklaĢımı değiĢtirirken Ģirketlerin aĢağıdaki dört ana adımı yerine getirmeleri gerektiğine yer veriliyor:
66
2- Yeni teknolojiler hakkında detaylı bilgiler edinerek eskiden geçerli olan önyargıları kırmak
3- Bilgi güvenliğini sağlayan fonksiyonların sürdürülebilir ve etkin bir Ģekilde değiĢtirilmesine müsait bir ortam yaratmak
4- Yeni teknolojiler söz konusu olduğunda yeni fırsatlara ve risklere açık olarak bunların getiri ya da zararlarını Ģirket kullanımına göre düzenlemek.
3.6.1. Genel Yapıdaki DeğiĢiklikler
Yenilenen standarda baktığımızda ilk gözümüze çarpan konu annex sl yapısı olmuĢtur. Bu yapı diğer yönetim sistemlerinde de uygulanmaya baĢlamıĢ olan ve bundan sonra üretilecek olan yönetim sistemlerinin hepsinde olması planlanan yapıdır. Bu yapıyla ilgili temel bilgileri yukarıdaki bölümlerde vermiĢtik. Bu yapı sayesinde kuruluĢta var olan bir yönetim sistemi, diğer kurulması planlanan yönetim sistemlerine rehberlik edecektir. Bu sayede planlama, dokümantasyon gibi konular mükerrer çalıĢmalarla angarya olmaktan çıkacaktır. Farklı yönetim sistemlerinin birbirleriyle olan anlam kargaĢasının da önüne geçilmiĢ olur. Kullanılan ortak terimlerle bir standartta yer alan ifade bütün standartlarda aynı anlama karĢılık gelmektedir. Bu yapı standardın özel ihtiyaçlarına göre eklemeler yapılmasına izin vermektedir.
Yeni standartla beraber gereksiz görülen bazı bölümlerde standarttan çıkarılmıĢtır. Ekler kısmında yer alan OECD Bilgi sistemleri ve ağların güvenliği için hazırlanmıĢ prensiplerin kılavuzunu karĢılaĢtırma bölümü (ek-b) ve diğer yönetim sistemleri standartları ile karĢılaĢtırılması bölümü (ek-c) çıkarılmıĢtır. Yeni standartla beraber üçüncü maddede yer alan terimler ve tarifler kısmı kaldırılmıĢtır. Bu maddede ISO27000 standardına atıfta bulunarak bu gerekli terimleri orada bulabileceğimiz belirtilmektedir. Önleyici faaliyetler bölümü ve iyileĢtirici faaliyetlerde zorunlu olan dokümantasyon konusu iptal edilmiĢtir.
Ernst & Young tarafından gerçekleĢtirilen Küresel Bilgi Güvenliği Anketi sonuçlarına göre; yazıĢmaların dijital ortama taĢınması, cep telefonu kullanımı, sosyal medyaya eriĢim ve bulut biliĢim, Ģirket bilgilerinin Ģirket dıĢına sızmasını kolaylaĢtırabilecek ortam sağlıyor. ġirketlerin bilgi güvenliği konusundaki boĢlukların
67
kapanması için tek yolun bilgi güvenliği altyapılarında köklü bir dönüĢüme gitmek olarak gözüküyor. Bring your own device (BYOD) kendi cihazını getir akımı ile beraber bilgi güvenliği standartlarında bir ihtiyaç daha belirdi ve yeni sürümün ek kontrol kısmında yer alan 6.2.1. bölümünde bu konuyla ilgili politikalar oluĢturulması gerektiği vurgulanmıĢtır. Bu akımla beraber kuruluĢ dıĢında da çalıĢma imkânlarının önü açılmaya baĢlayacaktır. Son günlerde ortaya çıkan bu akım hakkında CISCO tarafından dünya çapında küresel BYOD araĢtırması sonucunda Ģu sonuçlar ortaya çıkmıĢtır.
Sadece BYOD değil tüm mobilite giriĢimleri için önemli olan bazı alanlarda çoğu Ģirket hazırlıklı değildir. BYOD akımının çalıĢanlar tarafından genel olarak tercih edilmesinin ana sebebi, çalıĢanların iĢlerini nasıl, nerede, ne zaman ve hangi cihazla gerçekleĢtirecekleri üzerinde daha fazla kontrole sahip olmak istemeleridir. Ayrıca gün (veya gece) boyunca kiĢisel aktiviteleri ile iĢ aktiviteleri arasında geçiĢ yapabilmek istemektedirler. ĠĢyerinde özel iĢleri yürütmek ve iĢ dıĢı saatlerde çalıĢmak, bilgi iĢlerini farklı kılan bir özellik haline gelmiĢtir. Bu eğilime güç veren Ģey ise mobilite ve özellikle de BYOD‘dır. Çünkü çalıĢanlar özel cihazlarını her zaman yanlarında taĢıyarak arkadaĢlar, aile üyeleri ve meslektaĢlarının her an kendilerine ulaĢabilmelerini mümkün kılmaktadır. Ayrıca anlık mesajlaĢma gibi mobil uygulamalar çalıĢanlara anında ulaĢmayı ve iletiĢim kurabilmeyi sağlamaktadır. Kısacası, günümüzün bilgi çalıĢanı fiziksel ofise nadiren girse bile asla gerçekten "ofis dıĢında" olmaz (Cisco, 2012: 8).
Varlık sahibi kavramı yerine risk sahibi kavramı kullanılmaya baĢlanmıĢtır. Risk sahibi, risk iĢleme planını ve artık risklerin onayından sorumlu olacaktır. Risk iĢleme faaliyetinin yazılı hale getirilmesi zorunluluğu da ortadan kalkmıĢtır. Belgeler ve kayıtlar ifadeleri, dokümante edilmiĢ bilgi kavramı olarak değiĢtirilmiĢtir. Yeni standardın 6.1.3. bölümünde yer alan not kısmında risk yönetimi ile ilgili konuların ISO31000 risk yönetimi standartlarından yararlanılarak hazırlanması gerektiğini açıklamaktadır. 4.2. maddesiyle beraber ilgili tarafların ihtiyaçları ve beklentileri standarda eklenmiĢ oldu. BeĢinci madde ile eklenen liderlik konusu üst yönetime daha fazla sorumluluk yüklemekte ve diğer gereksinimlerin sağlanmasında liderlik kavramının etkin olduğu vurgulanmaktadır. ĠletiĢim konusunu açıklayan yedinci madde
68
ile kimin, ne zaman, kiminle, ne hakkında iletiĢime geçmesi gerektiği vurgulanmaktadır.
Ek-a kısmında yer alan kontrol amaçları on birden on dörde yükselmiĢtir. Kontrol amaçlarının artmasına karĢılık, kontrol sayıları yüz otuz üçten, yüz on dörde düĢmüĢtür. AĢağıdaki maddeler yeni standardın ek-a kontrol maddelerine eklenen yeni on bir kontrol maddesidir.
A.6.1.5 Proje yönetiminde bilgi güvenliği A.12.6.2 Yazılım yükleme kısıtları
A.14.2.1 Güvenli yazılım geliĢtirme politikası A.14.2.5 Güvenli sistem mühendisliği prensipleri A.14.2.6 Güvenli yazılım geliĢtirme ortamı A.14.2.8 Sistem güvenliği testi
A.15.1.1 Tedarikçi iliĢkileri için bilgi güvenliği politikası A.15.1.3 Bilgi iletiĢim teknolojisi tedarik zinciri
A.16.1.4 Bilgi iletiĢim teknolojisi tedarik zinciri A.16.1.5 Bilgi güvenliği olaylarının cevaplanması A.17.2.1 Bilgi iĢleme olanaklarının eriĢilebilirliği
3.7. BGYS STANDARDLARININ YASAL MEVZUATLARLA OLAN