ISO/IEC 27001, kuruluşların bilgi güvenliği yönetim sistemi (BGYS) kurmaları ve sürdürmeleri için uluslararası bir standarttır. Bu standart, bilgi varlıklarının gizlilik, bütünlük ve erişilebilirlik gibi özelliklerini korumak için gereken gereklilikleri ve kontrolleri belirler. ISO/IEC 27001, kuruluşların bilgi güvenliği risklerini yönetmelerine, müşteri ve paydaş güvenini artırmalarına ve yasal uyumluluklarını sağlamalarına yardımcı olur.
ISO 27001, sürekli olarak gözden geçirilen ve güncellenen bir standarttır. Son güncelleme 2013 yılında yapılmıştır. Ancak, bilgi teknolojilerindeki hızlı gelişmeler, yeni tehditler ve fırsatlar, standartta yeni bir güncellemenin yapılmasını gerektirmiştir. Bu nedenle, ISO/IEC 27001: 2022 güncellemesi 25 Ekim 2022 tarihinde yayınlandı. ISO 27001 2022 standardına geçiş için verilen süre 3 yıldır. Bu süre 31 Ekim 2025 tarihinde dolacaktır. Bu tarihten sonra ISO 27001 2013 belgelerinin bir geçerliliği kalmayacaktır.
ISO/IEC 27001 standardı sertifikasyonu bulunmayan kuruluşlar için ise, uygun yaklaşım, sertifikasyon çalışmalarının güncellenen ISO/IEC 27001: 2022 standardı dikkate alınarak gerçekleştirilmesi olacaktır. Böylece, kuruluşlar bilgi güvenliği alanındaki en güncel uygulamaları benimsemiş olacaklardır.
ISO/IEC 27001: 2022 güncellemesi, standartta önemli değişiklikler getirmektedir. Bu değişikliklerin amacı, standartın daha anlaşılır, uygulanabilir ve esnek olmasını sağlamak, ayrıca yeni tehditlere ve fırsatlara yanıt verebilmek için bilgi güvenliği yönetim sistemini sürekli iyileştirmeyi teşvik etmektir. Bu yazıda, ISO/IEC 27001: 2022 güncellemesi ile nelerin değiştiğini özetleyeceğiz.
ISO/IEC 27001: 2022 güncellemesi ile gelen başlıca değişiklikler şunlardır:
Birkaç Ek A kontrolü birleştirilirken 11 tanesi eklendi:
Hiçbir kontrol kaldırılmamış olsa da, ISO 27001:2022, ISO 27001:2013´teki 114 yerine yalnızca 93 kontrolü listelemektedir. Bunun nedeni, birleştirilmiş kontrollerin çokluğudur (56´dan 24´e).
Bu kontroller 14 madde yerine 4 ´tema´ halinde gruplandırılmıştır. Bunlar:
-İnsanlar (8 kontrol)
-Organizasyonel (37 kontrol)
-Teknolojik (34 kontrol)
-Fiziksel (14 kontrol)
Tamamen yeni kontroller şunlardır:
-Tehdit istihbaratı
-Bulut hizmetlerinin kullanımına yönelik bilgi güvenliği
-İş sürekliliği için BİT hazırlığı
-Fiziksel güvenlik izleme
-Konfigürasyon yönetimi
-Bilgi silme
-Veri maskeleme
-Veri sızıntısının önlenmesi
-İzleme faaliyetleri
-Web filtreleme
-Güvenli kodlama
ISO 27002´de kontrollerin kategorize edilmesini kolaylaştırmak için beş tür ´niteliği´ de vardır:
-Kontrol tipi (önleyici, tespit edici, düzeltici)
-Bilgi güvenliği özellikleri (gizlilik, bütünlük, kullanılabilirlik)
-Siber güvenlik kavramları (tanımlama, koruma, tespit etme, yanıt verme, kurtarma)
-Operasyonel yetenekler (yönetişim, varlık yönetimi vb.)
-Güvenlik alanları (yönetişim ve ekosistem, koruma, savunma, dayanıklılık)
Bu geçiş işlemi, birçok kuruluşun güvenlik standartlarını güncellemek için karşı karşıya olduğu bir zorluktur.
ISO 27001:2022´ye geçiş yapmak için yapılması gerekenler şunlardır:
- Mevcut BGYS´nizi gözden geçirin ve ISO 27001:2022´nin yeni gereksinimleriyle uyumlu olup olmadığını belirleyin. Özellikle, risk değerlendirmesi, risk tedbirleri, performans değerlendirmesi ve iyileştirme süreçleri gibi alanlara dikkat edin.
- ISO 27001:2022´ye uyum sağlamak için gerekli değişiklikleri planlayın ve uygulayın. Bu, BGYS politikalarınızı, prosedürlerinizi, kontrollerinizi ve dokümantasyonunuzu güncellemenizi, eğitim ve farkındalık programlarını yürütmenizi, iç ve dış denetimler yapmanızı ve üst yönetimin katılımını sağlamanızı gerektirebilir.
- ISO 27001:2022 sertifikası almak için bir akredite sertifika kuruluşuyla iletişime geçin ve sertifika denetimi planlayın. Denetim sürecinde, BGYS´nizin ISO 27001:2022 standartlarına uygun olduğunu kanıtlamanız gerekir.
- Sertifika aldıktan sonra, BGYS´nizin etkinliğini izlemeye ve iyileştirmeye devam edin. ISO 27001:2022, sürekli iyileştirme döngüsünü takip etmenizi ve bilgi güvenliği yönetim sisteminizi değişen iş ihtiyaçlarına, teknolojilere ve tehditlere uyumlu hale getirmenizi ister.
ISO/IEC 27001: 2022 güncellemesi ile ilgili daha fazla bilgi edinmek için [buraya] tıklayabilirsiniz. Eğer kuruluşunuz ISO/IEC 27001 sertifikasına sahipse veya sahip olmayı planlıyorsa, bu güncellemeyi dikkate almanız ve gerekli hazırlıkları yapmanız önemlidir. Taksim Danışmanlık sizlere bu süreçte yardımcı olmak için herzaman hazırdır hiç çekinmeden bize ulaşabilirsiniz.