“Bu belge, uygulama kılavuzu da dâhil olmak üzere bir dizi genel bilgi güvenliği kontrolleri sağlar. Bu belge, kuruluşlar tarafından kullanılmak üzere tasarlanmıştır: (a) ISO/IEC27001’e dayalı bir bilgi güvenliği yönetim sistemi (BGYS) bağlamında; (b) uluslararası kabul görmüş en iyi uygulamalara dayalı bilgi güvenliği kontrollerini uygulamak için; (c) kuruluşa özel bilgi güvenliği yönetim kılavuzları geliştirmek için.”
[Kaynak: ISO/IEC 27002:2022]
- İlk olarak, güncellenen ISO/IEC 27002 standardının başlığından “uygulama kuralları” ibaresi çıkarılmıştır. Bu değişiklik, bilgi güvenliği kontrollerinin amacını daha iyi yansıtmaktadır.
- ISO/IEC 27002:2013 Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği kontrolleri için uygulama kuralları
- ISO/IEC 27002:2022 Bilgi güvenliği, siber güvenlik ve gizlilik koruması – Bilgi güvenliği kontrolleri
- Standardın kendisi önceki sürümden önemli ölçüde daha uzundur. Kontroller yeniden sıralanmış ve güncellenmiştir. Standart ile ilgili bazı kontroller birleştirilip, kaldırılmış ve yeni kontroller eklenmiştir. ISO/IEC 27002 Standardının 2013 sürümünde 114 kontrol maddesi bulunmaktadır. 2022 sürümünde ise 93 kontrol maddesi bulunmaktadır. Bu kontroller “Organizasyonel, İnsan, Teknolojik ve Fiziksel” olmak üzere 4 gruba ayrılarak sınıflandırılmıştır.
- ISO/IEC 27002:2022 sürümünün NIST Siber Güvenlik Çerçevesini referans aldığı görülmektedir. NIST Siber Güvenlik Çerçevesinde bulunan 5 temel işlev dikkate alınarak “Belirleme, Koruma, Tespit Etme, Müdahale Etme ve Kurtarma” olmak üzere Siber Güvenlik Kavramları eklenmiştir.
- Kategorileştirmeyi kolaylaştırmak için 93 kontrolün her biri “Kontrol Tipi, Bilgi Güvenliği Özellikleri, Siber Güvenlik Kavramları, Operasyonel Yetenekler ve Güvenlik Alanları” olmak üzere 5 “öznitelik” seti ile etiketlenmiştir.