ISO 27001:2022 Standardı Revizyonu – Ne Değişti?

25 Ekim 2022’de yeni ISO/IEC 27001:2022 – Bilgi Güvenliği, Siber Güvenlik ve Gizlilik Koruması – Bilgi Güvenliği Yönetim Sistemleri – yayınlandı.

ISO 27001 Tarihsel Gelişimi

• ISO 27001’in ilk versiyonu 1999’da BS 7799-2 adı altında yayınlandı ve o zamandan beri birçok değişiklik geçirdi.
• Ekim 2005’te BS 7799-2, ISO 27001:2005 olarak kabul edildi.
• Ekim 2017’de ISO 27001:2013 olarak revize edildi.
• Ekim 2022’de ISO 27001:2022 olarak güncellendi.

ISO/IEC 27001:2022’deki Ana Değişiklikler

1) 4’ten 10’a kadar olan ana maddelerde ufak değişiklikler yapıldı. Bunlardan bazıları;

• Madde 4.2’ye (İlgili tarafların ihtiyaç ve beklentilerini anlamak), ilgili taraf gereksinimlerinden hangisinin BGYS aracılığıyla ele alınması gerektiğinin analizini gerektiren (c) maddesi eklenmiştir.
• Madde 4.4’te (Bilgi güvenliği yönetim sistemi), BGYS’nin bir parçası olarak prosesler ve etkileşimleri için planlama gerektiren bir ibare eklenmiştir.
• Madde 5.3’te (Kurumsal roller, sorumluluklar ve yetkiler), rollerin iletişiminin kuruluş içinde dahili olarak yapıldığını açıklığa kavuşturmak için bir ifade eklenmiştir.
• Madde 6.2’ye (Bilgi güvenliği amaçları ve bu amaçlara ulaşmak için planlama), amaçların izlenmesini gerektiren (d) maddesi eklenmiştir.
• BGYS’deki herhangi bir değişikliğin planlı bir şekilde yapılmasını gerektiren Madde 6.3 (Değişikliklerin planlanması) eklenmiştir.
• Madde 7.4’te (İletişim), iletişim için süreçlerin ayarlanmasını gerektiren (e) maddesi silinmiştir. İletişimin nasıl gerçekleştirileceğini belirlemesine yönelik yeni gereklilik eklenmiştir.
• Madde 8.1’de (Operasyonel planlama ve kontrol), güvenlik süreçleri için kriterlerin oluşturulması ve süreçlerin bu kriterlere göre uygulanması için yeni gereksinimler eklenmiştir. Aynı maddede, amaçlara ulaşmak için planların uygulanması gerekliliği çıkarılmıştır.
• Madde 9.3’e (Yönetimin gözden geçirmesi), ilgili taraflardan gelen girdilerin onların ihtiyaçları ve beklentileri hakkında ve BGYS ile ilgili olması gerektiğini açıklayan yeni madde 9.3.2 c) eklenmiştir.
• Madde 10’da (İyileştirme) alt maddeler yer değiştirmiş olup, birincisi Sürekli iyileştirme (10.1), ikincisi Uygunsuzluk ve düzeltici faaliyet (10.2) iken, bu maddelerin metni değişmemiştir.

2) Standardın adı “Bilgi Teknolojisi – Güvenlik Teknikleri – Bilgi Güvenliği Yönetim Sistemleri – Gereksinimleri”nden “Bilgi Güvenliği, Siber Güvenlik ve Gizlilik Koruması-Bilgi Güvenliği Yönetim Sistemleri-Gereksinimleri” olarak değiştirilmiştir. Bu, standardın siber güvenlik ve gizliliğe artan şekilde odaklandığını gösterir.

3) EK-A’da yer alan kontrol sayısı 114’ten 93’e düşürüldü.

4) Kontroller, ISO 27001:2013 versiyonundaki 14 bölüm yerine, ISO 27001:2022 versiyonunda 4 bölümde (organizasyonel, insan, fiziksel, teknolojik) yer aldı.

• 5 Organizasyonel – 37 kontrol
• 6 İnsan – 8 kontrol
• 7 Fiziksel – 14 kontrol
• 8 Teknolojik – 34 kontrol

5) 36 kontrol aynı kaldı, 22 kontrol yeniden adlandırıldı, 57 kontrol 24 kontrole birleştirildi ve 11 yeni kontrol eklendi. Yeni eklenen kontroller:

• 5.7 Tehdit istihbaratı
• 5.23 Bulut hizmetlerinin kullanımı için bilgi güvenliği
• 5.30 İş sürekliliği için bilgi ve iletişim teknolojileri hazırlığı
• 7.4 Fiziksel güvenliğin izlenmesi
• 8.9 Konfigürasyon yönetimi
• 8.10 Bilgi silme
• 8.11 Veri maskeleme
• 8.12 Veri sızıntısını önleme
• 8.16 İzleme faaliyetleri
• 8.23 Web filtreleme
• 8.28 Güvenli kodlama

Geçiş İçin Zaman Çizelgesi

• ISO 27001:2022 standardı, 25 Ekim 2022 tarihinde yayınlanmıştır.
• Geçiş dönemi 3 yıllık bir süreci kapsamaktadır.
• Uluslararası Akreditasyon Forumu (IAF)’nun “ISO/IEC 27001:2022 için geçiş gereklilikleri” belgesine göre, ISO 27001:2013 belgesine sahip şirketler için ISO/IEC 27001:2022’ye geçişin 31 Ekim 2025’e kadar tamamlanması gerekmektedir.
• 31 Ekim 2023 tarihine kadar ISO 27001:2013 için başvurular alınabilecektir. 31 Ekim 2023 tarihinden sonra sadece ISO 27001:2022 başvuruları alınacaktır.
• 01 Kasım 2025 tarihi itibari ile tüm eski versiyon belgeler geçerliliğini yitirecektir.

İdea Proje ekibi olarak ISO/IEC 27001:2022 geçiş süreci ile ilgili tüm sorularınızın yanıtları konusunda ve revize edilmiş standardı nasıl uygulayabileceğiniz hakkında daha fazla bilgi edinmek için bizimle iletişime geçebilirsiniz.