ISO 27001:2022 Versiyonuna Geçiş

ISO 27001'in yeni versiyonu 25 Ekim 2022'de yayınlandı. Üç yıllık bir geçiş süresi geçerlidir ve bu nedenle belgesi olan kuruluşların en geç 31 Ekim 2025'te ISO 27001:2022'ye geçiş yapmış olması gerekir. Güncellenen standart, 2022 Şubat ayında yayınlanan ISO 27002:2022 ile uyumlu hale getirilecek şekilde bazı yeni gereksinimler içermektedir. Yeni versiyonda; bilgi güvenliği, siber güvenlik ve kişisel verilerin gizliliği esas alınmıştır.

 

ISO/IEC 27001 standardı, bilgi güvenliği yönetim sistemleri için gereklilikleri belirler ve kuruluşlara bir bilgi güvenliği yönetim sisteminin kurulması, uygulanması, yönetilmesi, sürdürülmesi, değerlendirilmesi ve iyileştirilmesi için yön verir.

 

ISO 27001'in yeni ISO 27002 (ISO 27001 tarafından kullanılan 'kontrolleri' içerir) ve bazı teknik düzenlemelere uyumlu hale getirilmesinin yanı sıra standardın önceki versiyonundan farkı esas olarak revize edilmiş Ek A'da yatmaktadır. ISO 27001'in 2022 versiyonu, kuruluşların farklı yönetim sistemlerini entegre etmesini kolaylaştıran Yüksek Seviye yapısı versiyonuna göre sınıflandırılmıştır. Bu yapı ile, aşağıdaki alanlarda farklı standartlar arasında örtüşme vardır:

 

Kuruluşun bağlamı;

Liderlik (politikalar, roller, yetkiler ve sorumluluklar);

Planlama (riskler, hedefler, mevzuat);

Destek (kaynaklar, yeterlilikler, farkındalık, iletişim ve dokümantasyon);

uygulama;

Değerlendirme (iç denetimler, yönetimin gözden geçirmesi);

İyileştirme (sürekli iyileştirme, sapmalar ve düzeltici faaliyetler).

 

Standardın en önemli değişikliği teknik koşulların yer aldığı EKA bölümünde olmuştur. EKA bölümünde yer alan 14 madde yeni versiyonda 4 ana başlık halinde derlenmiştir:

A.5 Organizasyonel kontroller

A.6 Personel / kişi kontrolleri

A.7 Fiziksel kontroller 

A.8 Teknik kontroller 

 

Bu doğrultuda eski versiyon yer alan 114 kontrol 93 kontrol olarak düzenlenmiştir, bu kapsamda birleştirilen, aynı kalan ve yeni eklenen kontroller olmuştur, yeni eklenen kontroller:

A.5.7 Tehdit istihbaratı

A.5.23 Bulut hizmetlerinin kullanımı için bilgi güvenliği

A.5.30 İş sürekliliği için BİT hazırlığı

A.7.4 Fiziksel güvenlik izleme

A.8.9 Konfigürasyon yönetimi

A.8.10 Bilgilerin silinmesi

A.8.11 Veri maskeleme

A.8.12 Veri sızıntısının önlenmesi

A.8.16 Faaliyet izleme

A.8.23 Web filtreleme

A.8.28 Güvenli kodlama

 

Standart yayınlandıktan sonra bir yıl içinde belgelendirme kuruluşları akreditasyon geçişlerini tamamlaması gerekmektedir. Bu süreç tamamlandıktan sonra ISO 27001:2022 başvuruları alınacaktır. Mevcut belgeli firmalar 31 Ekim 2025 tarihine kadar ISO 27001:2022 geçiş sürecini tamamlamaları gerekmektedir