ISO 27001:2022’nin Getirdiği Temel Değişiklikler
ISO 27001 Bilgi Güvenliği Yönetim Sistemi tüm ölçek ve sektördeki kuruluşlara uygun bir sitem olup, bilgi teknolojisindeki hızlı gelişmeler sonucu günümüzde bir zorunluluk haline gelmiştir. Firmaya; işletmede bilgi güvenliği alt yapısı kurulumu, bilgi güvenliği ekibi oluşturulması, risk analizlerinin yapılması, risklerin ortadan kaldırılmasına yönelik aksiyon planı hazırlanması, mevcut bilgi güvenliği şartlarının iyileştirilmesi, gerekli dokümantasyonun oluşturulması ve çalışanlara bilgi güvenliği kültürünün aşılanması gibi katma değerler katmakla birlikte; bilginin güvenli paylaşımı açısından her firma için bir gerekliliktir.
Bilgi güvenliği yönetim sistemi, firmanızdaki bütün bilgilerin değerlendirilmesi ve bu bilgilerin sahip olduğu eksiklikleri ve karşılaşacağı tehditleri göz önüne alan bir risk analizi yapılmasını gerektirir. Firma kendine bir risk yönetimi yöntemi seçmeli ve risk işleme için bir plan hazırlamalıdır. Risk işleme için standartta öngörülen kontrol hedefleri ve kontrollerden tercihler yapılmalı ve uygulamaya koyulmalıdır. Planlama uygulama kontrol etme önlem alma döngüsü uyarınca risk yönetimi çalışmalarını sürdürmeli ve bilginin risk seviyesi makul bir seviyeye çekilene kadar çalışmayı devam ettirmelidir.
ISO 27001 firmaların risk yönetimi ve risk işleme planlarını, görev ve sorumlulukları, iş devamlılığı planlarını, acil durum olay yönetimi prosedürleri hazırlanmasını ve uygulama sırasında bunların kayıt edilmesini gerektirir. Firma tüm bu çalışmaların da içinde bulunduğu bir bilgi güvenliği politikası yayınlamalı ve çalışanlarını bilgi güvenliği ve tehditler hakkında bilgilendirmelidir. Belirlenen kontrol hedeflerinin ölçülmesi ve kontrollerin hedefine uygunluğunun ve performansının devamlı izlendiği dinamik bir proses olarak bilgi güvenliği yönetimi ancak yönetimin etkin desteği ve çalışanların iştiraki ile sağlanabilir.
ISO/IEC 27001:2022 standardı 25.10.2022 tarihinde yayınlanmıştır. Geçiş hakkında detaylı bilgiye ‘IAF MD 26:2023 ISO 27001:2022 için Geçiş Şartları’ dokümanından ulaşılabilmektedir. Yeni standart iş uygulamalarının dijital dönüşümü ile ilgili daha fazla siber güvenlik ve gizlilik konularını içerecek şekilde genişletilmiştir. Standardın eski sürümü olan 2013 versiyonundan farklı olarak yeni güvenlik kontrolleri eklendiği gibi bazı maddelerin ise birleştirildiği görülmektedir. Firmamızın Bilgi Güvenliği Yönetim Sistemi faaliyetlerinde yer alan personellerin ve ilgili dokümantasyonumuzun bu revizyona uygunluk sağlanarak en kısa sürede tamamlanacağını tüm müşterilerimize ve diğer ilgili taraflara duyururuz.
ISO 27001:2022 Standardı Yeni Eklenen EK A Kontrolleri:
| 5.7 | Tehdit İstihbaratı |
| 5.23 | Bulut Hizmetlerinin Kullanımı için Bilgi Güvenliği |
| 5.30 | İş Sürekliliği için Bilgi İşlem Teknolojilerinin Hazırlığı |
| 7.4 | Fiziksel Güvenliğin İzlenmesi |
| 8.9 | Konfigürasyon Yönetimi |
| 8.10 | Bilgi Silme |
| 8.11 | Veri Maskeleme |
| 8.12 | Veri Kaybını (Sızıntısını) Önleme |
| 8.16 | İzleme Faaliyetleri |
| 8.23 | Web Filtreleme |
| 8.28 | Güvenli Kodlama |
ISO 27001:2022 Revizyon Değişikliklerine Genel Bakış
- Eski versiyon ile karşılaştırıldığında kontrol sayısı 14 maddede 114 kontrolden, 4 maddede 93 kontrole düşmüştür.
- 11 yeni madde, 24 birleştirilmiş madde ve 58 güncellenmiş madde mevcuttur.
- Standartta editoryal değişiklikler vardır.
- Siber güvenlik ve gizlilik risklerinin kontrolleri detaylandırılmıştır.
- Dijital güvenlik bağlamında kullanılan ortak terminolojiye uygun şekilde beş öznitelik sunulmuştur:
- Kontrol Türü
- Bilgi güvenliği özellikleri
- Siber güvenlik kavramları
- Operasyonel yeterlilikler
- Güvenlik etki alanlar
ISO 27001:2022 Versiyonuna Geçiş Takvimi
- ISO 27001:2022 standardı, 25 Ekim 2022 tarihinde yayınlanmıştır.
- Geçiş dönemi 3 yıllık bir süreci kapsamaktadır.
- 01 Kasım 2025 tarihine kadar tüm belgeli kuruluşların ISO 27001:2022 geçişleri tamamlanacaktır.
- 31 Ekim 2023 tarihine kadar ISO 27001:2013 için başvurular alınabilecektir.
- 31 Ekim 2023 tarihinden sonra ISO 27001:2013 versiyonu için yeni başvuru alınmayacak, ilk ve yeniden belgelendirme denetimi yapılmayacaktır.
- 31 Ekim 2023 tarihinden sonra sadece ISO 27001:2022 başvuruları alınacaktır.
- Geçişin gözetim denetimi esnasında yapılması durumunda, gözetim denetiminin süresine 1 gün; yeniden belgelendirme denetimi ile yapılacak olması durumunda ise 0,5 gün; ilave edilerek denetim gerçekleştirilecektir.
- 01 Kasım 2025 tarihi itibari ile tüm eski versiyon belgeler (ISO 27001:2013) geçerliliğini yitirecektir.
ISO 27001:2022 Standart değişikliğine Uyum için Belgeli Kuruluşlara Önerilerimiz;
- ISO 27001:2022 eğitimlerin alınması,
- Yeni standart gereklilikleri doğrultusunda yönetim sistemleri dokümantasyonunun güncellenmesi,
- Kuruluş içinde değişiklikler için gerekli eylem planlarının hazırlanması ve uygulanması,
- Hazırlıklarının tamamlanması ile birlikte özel bir geçiş denetimi ile veya en yakın denetim periyodunda geçiş denetiminin tamamlanması gerekmektedir.
