ISO TASLAK

ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi Standardı

ISO 27001, bilgi güvenliği yönetim sistemi (BGYS) için uluslararası bir standarttır. Bu standart, organizasyonların bilgi varlıklarını korumak ve bilgi güvenliği risklerini yönetmek için gereken en iyi uygulamaları belirler. ISO 27001 standardı, bilgi güvenliği politikaları, süreçler, prosedürler ve kontrollerin oluşturulmasına rehberlik eder ve bir BGYS’nin kurulmasını, uygulanmasını, sürdürülmesini ve sürekli iyileştirilmesini sağlar.

ISO 27001:2022, 2021 yılında yayımlanan önceki sürümünün yerine geçen güncellenmiş bir versiyondur. Bu güncelleme, bilgi güvenliği tehditleri ve zorluklarına yanıt vermek için standartta bazı önemli değişiklikler ve iyileştirmeler içermektedir. ISO 27001:2022’ye geçiş yapmak isteyen organizasyonlar, bu yeni gereksinimleri ve yönergeleri dikkate alarak mevcut BGYS’lerini gözden geçirmeli ve gerektiğinde güncellemeler yapmalıdır.

ISO 27001:2022, aşağıdaki ana başlıklar altında bir dizi değişiklik getirmektedir:

Risk tabanlı yaklaşım: ISO 27001:2022, bilgi güvenliği risklerinin değerlendirilmesi ve yönetilmesi için daha spesifik gereksinimler sunmaktadır. Organizasyonlar, risk değerlendirmesi ve risk tedbirlerinin uygulanması süreçlerinde daha ayrıntılı bir yaklaşım benimsemelidir.

Bilgi varlığı kavramı: Standart, bilgi varlıklarını daha kapsamlı bir şekilde ele almaktadır. Organizasyonlar, bilgi varlıklarının tespit edilmesi, sınıflandırılması, sahiplenilmesi ve korunması için uygun kontrolleri uygulamalıdır.

İçerik yapısı: ISO 27001:2022, standart metninin yapısında bazı değişiklikler yapmıştır. Yeni versiyon, kullanım kolaylığını artırmak ve anlaşılırlığı geliştirmek için standart bölümlerini yeniden düzenlemiştir.

Risk değerlendirmesi: ISO 27001:2022, risk değerlendirmesi sürecini daha ayrıntılı bir şekilde ele almaktadır. Organizasyonlar, risk değerlendirmesi yaparken yeni yönergeleri ve gereksinimleri dikkate almalıdır.

Dokümantasyon gereksinimleri: Standart, dokümantasyon gereksinimlerini daha esnek bir şekilde ele almaktadır. Organizasyonlar, BGYS dokümantasyonlarını ISO 27001:2022’ye uygun şekilde revize etmelidir.

ISO 27001:2022’ye geçiş süreci, her organizasyon için farklı olabilir. Bu nedenle, organizasyonlar, bir geçiş planı oluşturmalı, mevcut uygulamalarını yeni gereksinimlere uygun hale getirmek için gerekli adımları atmalı ve uygun sertifikasyon sürecini takip etmelidir.

ISO 27001:2022 Standardında Ne Değişti?

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı (BGYS) Ekim ayı itibariyle güncellendi. İngilizce olarak yayımlanan Standardın güncel haline ISO İnternet sitesinden ulaşabilirsiniz 1. ISO 27001:2022 Standart güncellemesi ile toplam kontrol sayısı 114’ten 93’e indirilmiş ve Standart kapsamında 11 yeni kontrol eklenmiştir 1. Halihazırda ISO 27001:2013’e göre sertifika almış şirketlerin, ISO 27001:2022’ye geçişlerini 31 Ekim 2025’e kadar tamamlamaları gerekmektedir.

ISO/IEC 27001:2022’deki ana değişiklikler

• Ana maddelerde (4-10) bazı ufak değişiklikler meydana geldi
• EK-A’da yer alan kontrol sayısı 114’ten 93’e düşürüldü.
• 2013 versiyonunda 14 bölümde yer alan olan kontroller 2022 versiyonunda 4 bölümde (insan, fiziksel, teknolojik ve organizasyonel) yer aldı.
• Bazı kontroller hiç değişmedi, bazıları değişti/kaldırıldı ve bununla birlikte 11 yeni kontrol eklendi.

ISO/IEC 27001:2022’deki ana değişiklikler

1. Ana maddelerde (4-10) bazı ufak değişiklikler meydana geldi.
2. EK-A’da yer alan kontrol sayısı 114’ten 93’e düşürüldü.
3. 2013 versiyonunda 14 bölümde yer alan olan kontroller 2022 versiyonunda 4 bölümde (insan, fiziksel, teknolojik ve organizasyonel) yer aldı.
4. Bazı kontroller hiç değişmedi, bazıları değişti/kaldırıldı ve bununla birlikte 11 yeni kontrol eklendi.
   1. Standarda yeni eklenmiş 11 madde başlığı aşağıdaki gibidir:
   1. A.5.7 Tehdit İstihbaratı
   1. A.5.23 Bulut Hizmetlerinin Kullanımı için Bilgi Güvenliği
   1. A.5.30 Bilgi ve İletişim Teknolojisi (ICT) ‘nin İş Sürekliliğine Hazır Olması
   1. A.7.4 Fiziksel Güvenlik İzleme
   1. A.8.9 Yapılandırma Yönetimi
   1. A.8.10 Bilgilerin Silinmesi
   1. A.8.11 Veri Maskeleme
   1. A.8.12 Veri Sızıntısını Önleme
   1. A.8.16 İzleme Faaliyetleri
   1. A.8.23 Web Filtreleme
   1. A.8.28 Güvenli Kodlama

ISO 27001:2022’ye Uyum İçin Yapılması Gerekenler

• Yeni gereksinimler kapsamında boşluk analizinin yapılması
• Uygulanabilirlik bildirgesinin gözden geçirilmesi ve güncellenmesi
• Risk değerlendirmelerinin yeni yapı ve kontrollerle uyumlu hale getirilmesi
• BGYS kapsamında hazırlanmış olan politika, prosedür ve diğer dokümanların gözden geçirilmesi ve yeni kontrollerle uyumlu hale getirilmesi
• Denetimler için kullanılan kontrol listelerinin gözden geçirilmesi ve güncellenmesi
• Güvenlik araçlarının yeni gereksinimleri desteklediğinden emin olunması

Daha fazla bilgi almak için lütfen iletişime geçiniz.