+90 332 351 22 04 tqa@tqa.com.tr
DUYURULAR

ISO/IEC 27001:2022 Standardı Revize oldu…

ISO 27001’daki değişiklikler nelerdir?

ISO 27001:2022, ISO 27001:2013’ten önemli ölçüde farklı değildir, ancak bazı önemli değişiklikler vardır:

  • Bağlam ve kapsam

Şimdi ilgili tarafların “ilgili” gereksinimlerini belirlemeli ve hangisinin BGYS (bilgi güvenliği yönetim sistemi) aracılığıyla ele alınacağını belirlemelisiniz.

BGYS artık açıkça “gerekli süreçleri ve bunların etkileşimlerini” içermektedir.

  • Planlama

Bilgi güvenliği hedefleri artık izlenmeli ve “dokümante edilmiş bilgi olarak erişilebilir” hale getirilmelidir.

BGYS’de planlama değişiklikleriyle ilgili yeni bir bölüm var. Bu, dahil edilmesi gereken herhangi bir süreci belirtmez, bu nedenle BGYS’deki değişikliklerin gerçekten planlandığını nasıl gösterebileceğinizi belirlemelisiniz.

  • Destek

Kimin iletişim kuracağını belirleme gereksinimleri ve iletişimi gerçekleştirme süreçleri, “nasıl iletişim kurulacağını” tanımlama gereksinimi ile değiştirilmiştir.

  • Operasyon

Bilgi güvenliği hedeflerine nasıl ulaşılacağını planlama gerekliliği, Madde 6’da tanımlanan eylemleri uygulamak için süreçler için kriterler oluşturma ve bu süreçleri kriterler doğrultusunda kontrol etme gerekliliği ile değiştirilmiştir.

Kuruluşların artık sadece süreçlerden ziyade BGYS ile ilgili “harici olarak sağlanan süreçleri, ürünleri veya hizmetleri” kontrol etmeleri gerekmektedir.

  • Performans ve değerlendirme

BGYS’nin etkinliğini izleme, ölçme, analiz etme ve değerlendirme yöntemlerinin artık karşılaştırılabilir ve tekrarlanabilir olması gerekmektedir.

Yönetimin gözden geçirmesi artık ilgili tarafların ihtiyaç ve beklentilerindeki değişiklikleri de dikkate almalıdır.

  • Ek A

Ek A, ISO 27002:2022 ile uyumlu hale getirmek için revize edilmiştir. Ek A kontrolleri aşağıdaki bölümde tartışılmaktadır.

ISO 27002’daki değişiklikler nelerdir?

İlk olarak, güncellenen ISO 27002 standardının başlığından “uygulama kuralları” ibaresi çıkarılmıştır. Bu, bilgi güvenliği kontrollerinin bir referans seti olarak amacını daha iyi yansıtır.

Standardın kendisi önceki sürümden önemli ölçüde daha uzundur ve kontroller yeniden sıralanmış ve güncellenmiştir. Bazı kontroller birleştirildi veya kaldırıldı ve bazıları eklendi:

  • ISO 27002:2022, ISO 27002:2013’ün 114’ü yerine 93 kontrolü listeler.
  • Bu kontroller 14 maddeden ziyade 4 ‘tema’ halinde gruplandırılmıştır. Bunlar:
    • İnsanlar (8 kontrol)
    • Organizasyonel (37 kontrol)
    • Teknolojik (34 kontrol)
    • Fiziksel (14 kontrol)
  • Tamamen yeni kontroller şunlardır:
    • Tehdit istihbaratı
    • Bulut hizmetlerinin kullanımı için bilgi güvenliği
    • İş sürekliliği için ICT hazırlığı
    • Fiziksel güvenlik izleme
    • Konfigürasyon yönetimi
    • Bilgi silme
    • Veri maskeleme
    • Veri sızıntısını önleme
    • İzleme faaliyetleri
    • Web filtreleme
    • Güvenli kodlama
  • Kontroller, kategorize edilmelerini kolaylaştırmak için artık beş tür “öznitelik”e sahiptir:
    • Kontrol tipi (önleyici, tespit edici, düzeltici)
    • Bilgi güvenliği özellikleri (gizlilik, bütünlük, kullanılabilirlik)
    • Siber güvenlik kavramları (tanımlama, koruma, algılama, yanıt verme, kurtarma)
    • Operasyonel yetenekler (yönetim, varlık yönetimi, vb.)
    • Güvenlik alanları (yönetim ve ekosistem, koruma, savunma, esneklik)

Bu, ISO 27001’i uygulayan kuruluşları nasıl etkileyecek?

Belgelendirme kuruluşlarının, Standardın yayınlanmasından sonra en az altı ay boyunca ISO 27001:2022’ye belgelendirme sunmaları olası değildir ve ISO 27001:2013, üç yıl daha iptal olmayacaktır, bu nedenle, uygulamak için yaptığınız herhangi bir işten endişe etmenize gerek yoktur.

ISO 27001:2013 uygulama projenizin ne kadar ilerlediğine bağlı olarak, ISO 27001:2022’den yeni Ek A kontrollerini alternatif bir kontrol seti olarak kullanmak isteyebilirsiniz, ancak yine de bunları 2013 Ek A kontrolleriyle karşılaştırmanız gerekecek

(ISO 27002:2022, kontrollerini Standardın 2013 yinelemesi ile karşılaştıran bir eke sahiptir, bu nedenle bu nispeten basit olmalıdır.)

Üç yıl sonra ISO 27001 sertifikanızı yenilemeden önce, BGYS’nizi Standardın 2022 yinelemesiyle uyumlu hale getirmeniz gerekecektir.

ISO 27001 uyumlu bir BGYS’yi uygulamak ve Standart sertifikası almak için ihtiyacınız olan her şeye sahibiz.

Bu, halihazırda ISO 27001:2013 sertifikasına sahip kuruluşlar için ne anlama geliyor?

Sertifikalı kuruluşların yönetim sistemlerini ISO 27001’in yeni versiyonuna uyacak şekilde revize etmeleri için 3 yıllık bir geçiş süresi vardır, bu nedenle gerekli değişiklikleri yapmanız için bolca zamanınız vardır. Ancak bazı belgelendirme kuruluşları, bu noktadan önce Standardın 2013 yinelemesine belgelendirme sunmayı bırakabilir, bu nedenle daha önce geçiş yapmanız gerekip gerekmediğini kontrol etmeye değer.

Yeni yükümlülüklerinizi yerine getirmek için son dakikaya bırakmanız tavsiye edilmez, bu nedenle geçiş döneminde sertifikanızı yenilemeniz gerekiyorsa, yeni kontrol setine karşı çalışabilirsiniz.

Yeni kontrolleri uygulamanın bir avantajı, özniteliklerine göre tanımlanabilir oldukları için, uyum yükünü azaltabilecek veya güvenlik süreçlerinizi nasıl daha iyi entegre edeceğinizi görmenize yardımcı olabilecek ve böylece BGYS’ nizi daha kolay uygulayabileceğiniz seçimlerinize odaklanmanın daha kolay olmasıdır.

DİĞER DUYURULAR

Back To Top