Teklif Formu
+90 212 438 42 06
info@taksimdanismanlik.com

ISO/IEC 27001:2022 Standardı

ISO/IEC 27001, kuruluşların bilgi güvenliği yönetim sistemi (BGYS) kurmaları ve sürdürmeleri için uluslararası bir standarttır. Bu standart, bilgi varlıklarının gizlilik, bütünlük ve erişilebilirlik gibi özelliklerini korumak için gereken gereklilikleri ve kontrolleri belirler. ISO/IEC 27001, kuruluşların bilgi güvenliği risklerini yönetmelerine, müşteri ve paydaş güvenini artırmalarına ve yasal uyumluluklarını sağlamalarına yardımcı olur.

ISO 27001, sürekli olarak gözden geçirilen ve güncellenen bir standarttır. Son güncelleme 2013 yılında yapılmıştır. Ancak, bilgi teknolojilerindeki hızlı gelişmeler, yeni tehditler ve fırsatlar, standartta yeni bir güncellemenin yapılmasını gerektirmiştir. Bu nedenle, ISO/IEC 27001: 2022 güncellemesi 25 Ekim 2022 tarihinde yayınlandı. ISO 27001 2022 standardına geçiş için verilen süre 3 yıldır. Bu süre 31 Ekim 2025 tarihinde dolacaktır. Bu tarihten sonra ISO 27001 2013 belgelerinin bir geçerliliği kalmayacaktır.

ISO/IEC 27001 standardı sertifikasyonu bulunmayan kuruluşlar için ise, uygun yaklaşım, sertifikasyon çalışmalarının güncellenen ISO/IEC 27001: 2022 standardı dikkate alınarak gerçekleştirilmesi olacaktır. Böylece, kuruluşlar bilgi güvenliği alanındaki en güncel uygulamaları benimsemiş olacaklardır.

 

ISO/IEC 27001:2022 Standardı Güncellemesi Önemli Değişiklikler ve Geçiş Süreci

 

ISO/IEC 27001: 2022 Güncellemesi ile Neler Değişti:

ISO/IEC 27001: 2022 güncellemesi, standartta önemli değişiklikler getirmektedir. Bu değişikliklerin amacı, standartın daha anlaşılır, uygulanabilir ve esnek olmasını sağlamak, ayrıca yeni tehditlere ve fırsatlara yanıt verebilmek için bilgi güvenliği yönetim sistemini sürekli iyileştirmeyi teşvik etmektir. Bu yazıda, ISO/IEC 27001: 2022 güncellemesi ile nelerin değiştiğini özetleyeceğiz.

ISO/IEC 27001: 2022 güncellemesi ile gelen başlıca değişiklikler şunlardır:

  •  - ISO 27001:2013 Zorunlu Madde 4 ila 10´da önemli bir değişiklik yoktur.
  • - Standartta kullanılan terimlerin tanımları güncellenmiştir. Örneğin, "bilgi varlığı" yerine "bilgi", "risk sahibi" yerine "risk sorumlusu", "risk değerlendirmesi" yerine "risk analizi" gibi terimler kullanılmaktadır.
  • - Standartta yer alan gereksinimler daha açık ve net bir şekilde ifade edilmiştir. Örneğin, bilgi güvenliği politikasının kapsamı, amaçları, rolleri ve sorumlulukları belirtilmiştir.
  • - Standartta yer alan kontroller daha az sayıda ve daha geniş kapsamlı hale getirilmiştir. Örneğin, eski sürümde 114 adet olan kontrol sayısı 93´e indirilmiştir. Ayrıca, bazı kontroller birleştirilmiş veya kaldırılmıştır.
  • - Standartta yer alan ekler yeniden düzenlenmiştir. Örneğin, ek A´da yer alan kontrol listesi ek B´ye taşınmış, ek C´de yer alan risk değerlendirme metodolojisi ek D´ye taşınmıştır.
  • - Standartta yeni konulara yer verilmiştir. Örneğin, bulut bilişim, yapay zeka, büyük veri, nesnelerin interneti gibi yeni teknolojilerin bilgi güvenliği üzerindeki etkileri ele alınmıştır. Ayrıca, insan faktörü, kültür, farkındalık, eğitim gibi konular da vurgulanmıştır.

 

Ek A´daki kontrol değişiklikleri nelerdir?

Birkaç Ek A kontrolü birleştirilirken 11 tanesi eklendi:

Hiçbir kontrol kaldırılmamış olsa da, ISO 27001:2022, ISO 27001:2013´teki 114 yerine yalnızca 93 kontrolü listelemektedir. Bunun nedeni, birleştirilmiş kontrollerin çokluğudur (56´dan 24´e).

Bu kontroller 14 madde yerine 4 ´tema´ halinde gruplandırılmıştır. Bunlar:
-İnsanlar (8 kontrol)
-Organizasyonel (37 kontrol)
-Teknolojik (34 kontrol)
-Fiziksel (14 kontrol)

Tamamen yeni kontroller şunlardır:
-Tehdit istihbaratı
-Bulut hizmetlerinin kullanımına yönelik bilgi güvenliği
-İş sürekliliği için BİT hazırlığı
-Fiziksel güvenlik izleme
-Konfigürasyon yönetimi
-Bilgi silme
-Veri maskeleme
-Veri sızıntısının önlenmesi
-İzleme faaliyetleri
-Web filtreleme
-Güvenli kodlama

ISO 27002´de kontrollerin kategorize edilmesini kolaylaştırmak için beş tür ´niteliği´ de vardır:
-Kontrol tipi (önleyici, tespit edici, düzeltici)
-Bilgi güvenliği özellikleri (gizlilik, bütünlük, kullanılabilirlik)
-Siber güvenlik kavramları (tanımlama, koruma, tespit etme, yanıt verme, kurtarma)
-Operasyonel yetenekler (yönetişim, varlık yönetimi vb.)
-Güvenlik alanları (yönetişim ve ekosistem, koruma, savunma, dayanıklılık)
 

ISO 27001:2022´ye Geçişte Yapılması Gerekenler:

Bu geçiş işlemi, birçok kuruluşun güvenlik standartlarını güncellemek için karşı karşıya olduğu bir zorluktur. 

ISO 27001:2022´ye geçiş yapmak için yapılması gerekenler şunlardır:

 

- Mevcut BGYS´nizi gözden geçirin ve ISO 27001:2022´nin yeni gereksinimleriyle uyumlu olup olmadığını belirleyin. Özellikle, risk değerlendirmesi, risk tedbirleri, performans değerlendirmesi ve iyileştirme süreçleri gibi alanlara dikkat edin.
- ISO 27001:2022´ye uyum sağlamak için gerekli değişiklikleri planlayın ve uygulayın. Bu, BGYS politikalarınızı, prosedürlerinizi, kontrollerinizi ve dokümantasyonunuzu güncellemenizi, eğitim ve farkındalık programlarını yürütmenizi, iç ve dış denetimler yapmanızı ve üst yönetimin katılımını sağlamanızı gerektirebilir.
- ISO 27001:2022 sertifikası almak için bir akredite sertifika kuruluşuyla iletişime geçin ve sertifika denetimi planlayın. Denetim sürecinde, BGYS´nizin ISO 27001:2022 standartlarına uygun olduğunu kanıtlamanız gerekir.
- Sertifika aldıktan sonra, BGYS´nizin etkinliğini izlemeye ve iyileştirmeye devam edin. ISO 27001:2022, sürekli iyileştirme döngüsünü takip etmenizi ve bilgi güvenliği yönetim sisteminizi değişen iş ihtiyaçlarına, teknolojilere ve tehditlere uyumlu hale getirmenizi ister.

 

ISO/IEC 27001: 2022 güncellemesi ile ilgili daha fazla bilgi edinmek için [buraya] tıklayabilirsiniz. Eğer kuruluşunuz ISO/IEC 27001 sertifikasına sahipse veya sahip olmayı planlıyorsa, bu güncellemeyi dikkate almanız ve gerekli hazırlıkları yapmanız önemlidir. Taksim Danışmanlık sizlere bu süreçte yardımcı olmak için herzaman hazırdır hiç çekinmeden bize ulaşabilirsiniz.

 

İlginizi Çekebilecek Diğer Bloglar

Bizi Takip Edin :
Bize Ulaşın
  • Esentepe Mahallesi Yüzbaşı Kaya Aldoğan Sokak Pardus PLaza No:4 Şişli/İstanbul
  • Telefon : +90 212 438 42 06
  • Oud Metha Offices, 1st Floor, Block B Healtcare City Dubai, UAE
  • Telefon : +90 850 888 85 71
  • Fax : 0212 438 42 07
  • info@taksimdanismanlik.com

Ne Aramıştınız ?