ISO 27001:2022 Standardına Uyum Faaliyetleri

Ekim 2022’nin sonunda Uluslararası Standardizasyon Örgütü (ISO), ISO/IEC 27001:2022’nin yeni bir versiyonunu yayınladı. ISO 27001, Bilgi Güvenliği Yönetim Sistemi (ISMS) oluşturmak için kontrol gereksinimlerine uyum için süre tanımlandı.

ISO 27001:2022 Standardı Nedir ?

ISO 27001:2022, kuruluşların bilgi güvenliği yönetim sistemi (BGYS) kurmaları ve sürdürmeleri için uluslararası bir standarttır. Bu standart, bilgi varlıklarının gizlilik, bütünlük ve erişilebilirlik gibi özelliklerini korumak için gereken gereklilikleri ve kontrolleri belirler. Standardın hedefi bilginin korunmasıdır. Bu amaç doğrultusunda gerek dijital gerekse fiziksel bir takım adımların atılması konusunda yol haritası oluşturur.

ISO 27001 standardının uzun süredir 2013 versiyonu referans alınmaktaydı. Ancak değişen süreçler ve şirketlerin bilgi güvenliğini tehdit eden unsurların değişmesi yada yenilerinin eklenmesiyle standart yeni bir revizyona girdi ve 2022 versiyonu yayımlandı. bir ISO 27001:2022, standardın önceki versiyonu olan ISO 27001:2013’ün orta düzey bir güncellemesidir. Değişikliklerin büyük kısmı Annex kontrolleriyle ilgilidir. Annex kontrolleri farklı şekilde gruplandırılmış, yeni Annex kontrolleri eklenmiş ve diğerleri birleştirilmiş veya yeniden adlandırılmıştır. .

Madde 4-10’a ilişkin güncellemeler

ISO 27001:2022, ISO 27001:2013 ile aynı sayıda madde içermektedir ancak metin biraz değişmiştir. Değişiklikler, ISO 27001’in diğer ISO yönetim standartlarıyla uyumlu hale getirilmesine yardımcı olur.

Önemli değişiklikler büyük ölçüde süreç kriterlerinin planlanması ve tanımlanmasının yanı sıra standartların izlenmesi etrafında dönüyor. Özellikle:

Madde 4.2 İlgili Tarafların İhtiyaç ve Beklentilerinin Anlaşılması: İlgili taraf gereksinimlerinden hangilerinin BGYS aracılığıyla ele alınacağının analizini gerektiren yeni bir alt madde eklendi.
Madde 4.4 Bilgi Güvenliği Yönetim Sistemi: Kuruluşların BGYS içindeki gerekli süreçleri ve bunların etkileşimlerini tanımlamasını gerektiren yeni dil eklendi. Temel olarak BGYS, yalnızca Standartta özel olarak belirtilenleri değil, BGYS’yi destekleyen süreçleri de içermelidir.
Madde 6.2 Bilgi Güvenliği Hedefleri ve Bu Hedeflere Ulaşmak İçin Planlama:Artık bilgi güvenliği hedeflerine ilişkin ek rehberlik içermektedir. Bu, hedeflerin nasıl düzenli olarak izlenmesi ve resmi olarak belgelenmesi gerektiği konusunda daha fazla netlik sağlar.
Madde 6.3 Değişikliklerin Planlanması:Bu madde, değişikliklerin planlanmasına ilişkin bir standart belirlemek için eklenmiştir. BGYS’de değişiklik yapılması gerekiyorsa bunların uygun şekilde planlanması gerektiğini belirtir.
Madde 8.1 Operasyonel Planlama ve Kontrol: Operasyonel planlama ve kontrol için ek kılavuz eklendi. BGYS’nin artık Madde 6’da tanımlanan eylemler için kriterleri oluşturması ve bu eylemleri kriterlere uygun olarak kontrol etmesi gerekmektedir.

Ek küçük değişiklikler şunları içerir:

Madde 5.3 Organizasyonel Roller, Sorumluluklar ve Yetkiler:Dilde yapılan küçük bir güncelleme, bilgi güvenliğiyle ilgili rollerin iletişiminin kuruluş içinde iletilmesi gerektiğini açıklar.
Madde 7.4 İletişim:Alt maddelerden a ve c aynı kalıyor. Ancak d (kim iletişim kurmalı) ve e (iletişimin etkilenmesi gereken süreç) alt maddeleri basitleştirildi ve yeni yeniden adlandırılan d (nasıl iletişim kurmalı) alt maddesinde birleştirildi.
Madde 9.2 İç Denetim:Bu madde değiştirildi ancak esaslı bir değişiklik yapılmadı. Esasen Madde 9.2.1 ile 9.2.2 arasında zaten var olan şeyleri tek bir bölümde birleştirdi.
Madde 9.3 Yönetimin Gözden Geçirmesi:Kuruluşun yönetimin gözden geçirmesinin, ilgili tarafların ihtiyaç ve beklentilerindeki her türlü değişikliğin dikkate alınmasını içereceğini açıklığa kavuşturmak için yeni bir madde eklendi. Madde 4’te belirlenen (ve bu ihtiyaç ve beklentilere dayalı) BGYS’nin kapsamı açısından etkili oldukları için her türlü değişikliği not etmek önemlidir. Örneğin, bir kuruluşun Yönetim Kurulu halka açılmak istiyorsa, kuruluşların önceliklerdeki değişikliğin BGYS’yi nasıl etkileyeceğini düşünmesi gerekir.
Madde 10 İyileştirme: Bu maddedeki yapısal değişiklikler artık ilk olarak Sürekli İyileştirmeyi (10.1) ve ikinci olarak Uygunsuzluk ve Düzeltici Faaliyeti (10.2) sıralamaktadır.

Ek A Kontrol Yapısındaki Değişiklikler

ISO 27001:2022’de Ek A kontrollerinde yapısal değişiklikler yapılmıştır. Kontrol grupları yeniden düzenlendi ve genel kontrol sayısı azaltıldı.

Yüksek düzeyde:

11 yeni kontrol tanıtıldı
57 kontrol birleştirildi
23 kontrol yeniden adlandırıldı
3 kontrol kaldırıldı

ISO 27001:2013’te kontroller 14 farklı alanda düzenlenmiştir. Yeni güncellemede kontroller bunun yerine aşağıdaki dört temaya yerleştirildi:

Kişi kontrolleri (8 kontrol)
Organizasyonel kontroller (37 kontrol)
Teknolojik kontroller (34 kontrol)
Fiziksel kontroller (14 kontrol)

İsimlendirme değişikliği, Ek A kontrollerinin bilgilerin güvenliğinin sağlanmasına nasıl yardımcı olduğunun daha iyi anlaşılmasını sağlar. Önceki alan adları yönetimden ziyade BT profesyonelleri için yazılmıştı. ISO 27001:2022 kapsamında sertifika almak isteyen şirketlerin, Uygulanabilirlik Bildirimlerini bu yeni yapıya uyacak şekilde güncellemeleri gerekecektir.

Ek A kontrollerini daha iyi tanımlamak ve kategorilere ayırmaya yardımcı olmak için ek nitelik değerleri de eklenmiştir ancak bunlar yalnızca ISO 27002’de mevcuttur.

ISO 27001:2022 Ek A Kapsamındaki Yeni Kontroller

Ek A’daki en büyük değişiklik getirilen 11 yeni kontrolle ilgilidir. Halihazırda ISO 27001:2013 sertifikasına sahip kuruluşların, bu yeni gereklilikleri karşılamak için uygun süreçlerin mevcut olduğundan emin olmaları veya bu kontrolleri mevcut BGYS’lerine dahil etmek için yeni süreçler oluşturmaları gerekecektir.

Özellikle “tehdit istihbaratı” kuruluşların tehditler hakkında bilgi toplamasını ve analiz etmesini gerektirir, böylece kuruluşlar riski azaltmak için harekete geçebilir. ISO 27001:2013 kapsamında sertifikalandırılmış şirketlerde bu unsur mevcut olmayabilir. Bu anlamlı bir değişikliktir ve tehditlerin sürekli geliştiği fikrine işaret etmektedir. Bu nedenle riskin azaltılması “tek seferlik” bir görev değil, sürekli bir süreçtir. ISO 27001:2022 kapsamındaki ek yeni kontroller şunları içerir:

A.5.7 Tehdit İstihbaratı: Bu kontrol, kuruluşların riskleri azaltmak için harekete geçebilmeleri amacıyla tehditler hakkında bilgi toplamasını ve analiz etmesini gerektirir.
A.5.23 Bulut Hizmetlerinin Kullanımında Bilgi Güvenliği:Bu kontrol, bulutta daha iyi bilgi güvenliği ihtiyacını vurgular ve kuruluşların bulut hizmetleri için güvenlik standartları belirlemesini ve bulut hizmetlerine özel süreç ve prosedürlere sahip olmasını gerektirir.
A.5.30 İş Sürekliliği için BİT Hazırlığı:Bu kontrol, kuruluşların, kesintiler meydana geldiğinde bilgi ve iletişim teknolojisinin kurtulabileceğini/kullanılabileceğini sağlamasını gerektirir.
A.7.4 Fiziksel Güvenlik İzleme:Bu kontrol, kuruluşların hassas fiziksel alanları (veri merkezleri, üretim tesisleri vb.) yalnızca yetkili kişilerin erişebildiğinden emin olmak için izlemesini gerektirir; böylece kuruluş bir ihlal durumunda haberdar olur.
A.8.9 Konfigürasyon Yönetimi:Bu kontrol, bir kuruluşun teknolojisinin konfigürasyonunu yönetmesini, güvenli kalmasını sağlamasını ve yetkisiz değişiklikleri önlemesini gerektirir.
A.8.10 Bilgi Silme:Bu kontrol, hassas bilgilerin sızmasını önlemek ve gizlilik gereksinimlerine uymak için artık gerekli olmadığında verilerin silinmesini gerektirir.
A.8.11 Veri Maskeleme:Bu kontrol, kuruluşların hassas bilgileri korumak için kuruluşun erişim kontrolü politikasına uygun olarak veri maskeleme kullanmasını gerektirir.
A.8.12 Veri Sızıntısının Önlenmesi: Bu kontrol, kuruluşların sistemlerden, ağlardan ve diğer cihazlardan veri sızıntısını ve hassas bilgilerin ifşa edilmesini önlemek için önlemler uygulamasını gerektirir.
A.8.16 İzleme Faaliyetleri:Bu kontrol, kuruluşların olağandışı faaliyetlere karşı sistemleri izlemesini ve uygun olay müdahale prosedürlerini uygulamasını gerektirir.
A.8.23 Web Filtreleme:Bu kontrol, kuruluşların BT sistemlerini korumak için kullanıcıların hangi web sitelerine eriştiğini yönetmesini gerektirir.
A.8.28 Güvenli Kodlama: Bu kontrol, güvenlik açıklarını azaltmak için bir kuruluşun yazılım geliştirme süreci içerisinde güvenli kodlama ilkelerinin oluşturulmasını gerektirir.

Özetle:

ISO 27001:2013 Zorunlu Madde 4 ila 10´da önemli bir değişiklik yoktur.
Standartta kullanılan terimlerin tanımları güncellenmiştir. Örneğin, “bilgi varlığı” yerine “bilgi”, “risk sahibi” yerine “risk sorumlusu”, “risk değerlendirmesi” yerine “risk analizi” gibi terimler kullanılmaktadır.
Standartta yer alan gereksinimler daha açık ve net bir şekilde ifade edilmiştir. Örneğin, bilgi güvenliği politikasının kapsamı, amaçları, rolleri ve sorumlulukları belirtilmiştir.
Standartta yer alan kontroller daha az sayıda ve daha geniş kapsamlı hale getirilmiştir. Örneğin, eski sürümde 114 adet olan kontrol sayısı 93´e indirilmiştir. Ayrıca, bazı kontroller birleştirilmiş veya kaldırılmıştır.
Standartta yeni konulara yer verilmiştir. Örneğin, bulut bilişim, yapay zeka, büyük veri, nesnelerin interneti gibi yeni teknolojilerin bilgi güvenliği üzerindeki etkileri ele alınmıştır. Ayrıca, insan faktörü, kültür, farkındalık, eğitim gibi konular da vurgulanmıştır.

Geçiş süreci sizi nasıl etkiliyor ve şimdi neler yapmalısınız ?

Bu yeni güncellemenin mevcut sertifikanızı etkilemediğini unutmamanız önemlidir . ISO 27001:2013 sertifikasına 30 Nisan 2024 tarihine kadar izin veriliyor. Ancak şirketlerin bu yeni revizyondaki gerekliliklere uyum sağlamak için kontrolleri ve süreçleri bir an önce güncellemeye başlaması gerekiyor.

Halihazırda ISO 27001:2013 sertifikasına sahip olan şirketlerin 31 Ekim 2025 tarihine kadar yeni revizyona geçmesi gerekmektedir.

Hazır olduğunuzdan emin olmak için şunları öneriyoruz:

Boşluk değerlendirmesi: Secure Fors olarak, mevcut kontrollerinizi yeni revize edilen standartla eşleştirmek için bir boşluk/hazırlık değerlendirmesini tamamlayabilir ve standardın yeni versiyonu kapsamında sertifikasyon elde etmek için şirketinizin ne gibi değişiklikler yapması gerektiğini belirleyebiliriz.
Yeni kontrollerin uygulanması: Bu değerlendirme tamamlandıktan sonra yeni standartların uygulanmasına odaklanılmasını öneriyoruz.
Yeni bir denetim gerçekleştirilmesi : ISO’nun son tarihi olan 31 Ekim 2025’ten çok önce, yeni standarda göre bir denetim gerçekleştirilmesiyle standarta uyum konusunu netleştirebilirsiniz.

ISO 27001:2022 versiyonuna geçiş sürecinizde Secure Fors olarak sizlere destek olmaya hazırız.

ISO 27001:2022 Standardına Uyum Faaliyetleri

Madde 4-10’a ilişkin güncellemeler

Ek A Kontrol Yapısındaki Değişiklikler

ISO 27001:2022 Ek A Kapsamındaki Yeni Kontroller

Geçiş süreci sizi nasıl etkiliyor ve şimdi neler yapmalısınız ?

Sosyal medyada paylaş

ISO 27001 İç Denetim Planı Nasıl Hazırlanır?

ISO 27001:2022 Versiyon Güncellemesi ile Neler Değişti?

ISO 27001 Ara Kontrol Denetimi ve Sertifikalandırma Denetimi Nedir?

ISO 27001 Sıkça Sorular Sorular

ISO 27001 Belgesi Nedir ve Nasıl Alınır?

ISO 27001 Belgesi Nasıl Alınır ?

ISO 27001 Danışmanlık Hizmeti Alırken Nelere Dikkat Edilmeli ?

ISO 27001 Uyum Sürecinde Doküman Yönetimi

ISO 27001:2022 Standardı Açısından Sızma Testinin Önemi

ISO 27001 Danışmanlık Firmaları | Bilgi Güvenliği Danışmanlık, Eğitim ve Pentest Hizmetleri

ISO 27001 Danışmanlık Hizmetinin Önemi

ISO 27001 Standardının Önemi

Menü

Hizmetler

İletişim

bilgi@securefors.com

Pzt–Cum:10:00–18:00

0850 305 4223

Genel Müdürlük: Cevizli Mah.Mustafa Kemal Cad.Hukukçular Towers A Blok No:66 Kartal İstanbul

Azerbeycan Ofis : H.Cavid Caddesi 25, AZTU. Bakü, Azerbaycan