ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı revize edilerek 25 Ekim 2022‘de yayımlanmıştır.

Geçiş için verilen 3 yıllık süre, 31.10.2025 tarihinde dolacaktır. Bu tarihten sonra ISO/IEC 27001:2013 belgelerinin bir geçerliliği kalmayacak ve süreç ilk belgelendirme başvurusu olarak sıfırdan başlatılacaktır.

Quaser Uluslararası Belgelendirme ISO/IEC 27001:2022’ye geçiş sürecini aşağıda verildiği gibi belirlemiştir;

İlk Kez Belge Almak İçin Başvuran Kuruluşlar
01.11.2023 tarihi itibariyle ilk belgelendirme denetimleri ISO/IEC 27001:2022’ye göre yapılmaya başlanacaktır.

ISO/IEC 27001:2013’e göre yapılan ilk belgelendirme başvuruları 31.10.2023 tarihine kadar kabul edilecek olup 01.11.2023 tarihinden itibaren yalnızca ISO/IEC 27001:2022’ye göre yapılan ilk belgelendirme başvuruları kabul edilecektir.

Belgeli Kuruluşlar
Quaser Uluslararası Belgelendirme tarafından ISO/IEC 27001:2013’e göre belgelendirilmiş tüm kuruluşların geçişi, geçişi tamamladığını beyan ettiği tarihi takiben gerçekleştirilecek gözetim/yeniden belgelendirme denetimleri ile yapılacaktır.

Geçişin gözetim denetimi esnasında yapılması durumunda, gözetim denetiminin süresine 1 gün; yeniden belgelendirme denetimi ile yapılacak olması durumunda ise 0,5 gün; ilave edilerek denetim gerçekleştirilecektir.

Kuruluşunuzun, planlı denetimlere ek bir geçiş denetimi talep etmesi durumunda minimum 1 gün süreyle gerçekleştirilecektir.

01.11.2023 tarihinden itibaren ilk belgelendirme ve yeniden belgelendirme denetimleri yalnızca ISO/IEC 27001:2022’ye göre yapılacaktır.

Değişikliklere Uyum İçin Kuruluşlara Tavsiye Ettiğimiz Adımlar;
1) ISO/IEC 27001:2022’e ye geçiş için Geçiş Planı hazırlanması
2) Organizasyonu etkileyen ilgili kişilere uygun eğitimin verilmesi ve farkındalık sağlanması
3) Mevcut dokümantasyonun, ISO/IEC 27001:2022 standardı ile gelen değişiklikler doğrultusunda güncellenmesi

Mevcut belgenizin devamı ve istenmeyen durumlarla karşılaşmamanız için gerekli çalışmaları yapmaya başlamanızı önemle tavsiye ederiz.

Saygılarımızla,
QUASER ULUSLARARASI BELGELENDİRME

ISO/IEC 27001:2022 STANDARDI İLE GELEN DEĞİŞİKLİKLER

ISO/IEC 27001:2013 standardı 25.10.2022 tarihinde “Bilgi güvenliği, siber güvenlik ve kişisel gizliliğin korunması – Bilgi güvenliği yönetim sistemleri Gereklilikler” olarak revize edildi.

Ekim 2022’de yayınlanan ISO/IEC 27001:2022 Standardında önemli değişiklikler olmuştur.

Standart maddelerindeki temel değişiklikler;
1. Madde 4.4
BGYS’nin uygulanması ve sürdürülmesi için gerekli süreçlerin ve bunların BGYS içindeki etkileşimlerinin tanımlanması gerekliliği açıkça ifade edilmiştir.
2. Madde 5.3
bilgi güvenliği ile ilgili rollere ilişkin sorumluluk ve yetkilerin kurum içinde bilinmesine yönelik açık bir gereklilikle desteklenmiştir.
3. Madde 6.1.3 c
Kontrol ifadesi bilgi güvenliği kontrolü olarak değiştirilmiştir.
4. Madde 6.1.3 d
Potansiyel tehlikeleri ortadan kaldırmak için yeniden düzenlenmiştir.
5. Madde 6.3
Değişikliklerin Planlanması maddesi yeni standarda ilave edilmiştir.
6. Madde 7.4
BGYS ile ilgili iç ve dış iletişimin nasıl kurulacağı vurgulanmıştır.
7. Madde 8.1
Süreçlere ve kontrollere ilişkin kriterlere vurgu yapılmıştır.
8. Madde 9.2
İç Denetim uyumlaştırılmış yapıya uyarlanmıştır.
9. Madde 9.3
Yönetimin Gözden Geçirmesi uyumlaştırılmış yapıya uyarlanmıştır.
10.Madde 9.2
9.2.1 ve 9.2.2 olarak alt bölümlere ayrılmıştır.
11.Madde 9.3
9.3.1, 9.3.2 ve 9.3.3 olarak alt bölümlere ayrılmıştır.
12. Madde 10.1
Yapılandırılma sırası uyumlaştırılmış yapıya uyarlanmıştır.
13. Madde 10.2
Yapılandırılma sırası uyumlaştırılmış yapıya uyarlanmıştır.

Ek A Bilgi Güvenliği Kontrolleri referansındaki değişiklikler;
1.  ISO 27001 Ek-A’da yer alan bilgi güvenliği kontrolleri 14 başlık yerine 4 başlık altında gruplandırıldı.
EkA 5 Organizasyonel kontroller (37 kontrol)
EkA 6 Kişisel kontroller (8 kontrol)
EkA 7 Fiziksel kontroller (14 kontrol)
EkA 8 Teknik kontroller (34 kontrol)

2. 11 adet Bilgi güvenliği kontrolü yeni eklendi.
   EkA 5.07 – Tehdit İstihbaratı
   EkA 5.23 – Bulut hizmetlerinin kullanımı için bilgi güvenliği
   EkA 5.30 – İş sürekliliği için BİT hazırlığı
   EkA 7.04 – Fiziksel güvenlik izleme
   EkA 8.09 – Yapılandırma Yönetimi
   ISO/IEC 27001:2022 STANDARDI İLE GELEN DEĞİŞİKLİKLER
   EkA 8.10 – Bilgi Silme
   EkA 8.11 – Veri Maskeleme
   EkA 8.12 – Veri Sızıntısını Önleme
   EkA 8.16 – İzleme Faaliyetleri
   EkA 8.23 – Web Filtreleme
   EkA 8.28 – Güvenli Kodlama
3. Eski revizyondaki bilgi güvenliği kontrollerinden silinen olmadı ancak birçok kontrol birleştirildi.
   Bilgi güvenliği kontrol sayısı 114’ten 93’e düşürüldü.
   EkA 5.01 Bilgi güvenliği politikaları – (05.1.1, 05.1.2)
   EkA 5.08 Proje yönetiminde bilgi güvenliği – (06.1.5, 14.1.1)
   EkA 5.09 Bilgi envanteri ve diğer ilgili varlıklar – (08.1.1, 08.1.2)
   EkA 5.10 Bilgilerin ve diğer ilgili varlıkların kabul edilebilir kullanımı – (08.1.3, 08.2.3)
   EkA 5.14 Bilgi transferi – (13.2.1, 13.2.2, 13.2.3)
   EkA 5.15 Erişim kontrolü – (09.1.1, 09.1.2)
   EkA 5.17 Kimlik doğrulama bilgileri – (09.2.4, 09.3.1, 09.4.3)
   EkA 5.18 Erişim hakları – (09.2.2, 09.2.5, 09.2.6)
   EkA 5.22 Tedarikçi Hizmetlerinin İzlenmesi, Gözden Geçirilmesi ve Değiştirilmesi – (15.2.1, 15.2.2)
   EkA 5.29 Kesinti sırasında bilgi güvenliği – (17.1.1, 17.1.2, 17.1.3)
   EkA 5.31 Yasal, kanuni, düzenleyici ve sözleşmeye dayalı gereksinimler – (18.1.1, 18.1.5)
   EkA 5.36 Bilgi güvenliğine yönelik politikalara, kurallara ve standartlara uygunluk – (18.2.2, 18.2.3)
   EkA 6.08 Bilgi güvenliği olay raporlaması – (16.1.2, 16.1.3)
   EkA 7.02 Fiziksel giriş – (11.1.2, 11.1.6)
   EkA 7.10 Depolama ortamı – (08.3.1, 08.3.2, 08.3.3, 11.2.5)
   EkA 8.01 Kullanıcı uç nokta cihazları – (06.2.1, 11.2.8)
   EkA 8.08 Teknik güvenlik açıklarının yönetimi – (12.6.1, 18.2.3)
   EkA 8.15 Günlük kaydı – (12.4.1, 12.4.2, 12.4.3)
   EkA 8.19 İşletim sistemlerine yazılım kurulumu – (12.5.1, 12.6.2)
   EkA 8.24 Kriptografi kullanımı – (10.1.1, 10.1.2)
   EkA 8.26 Uygulama güvenlik gereksinimleri – (14.1.2, 14.1.3)
   EkA 8.29 Geliştirme ve kabulde güvenlik testi – (14.2.8, 14.2.9)
   EkA 8.31 Geliştirme, test ve üretim ortamlarının ayrılması – (12.1.4, 14.2.6)
   EkA 8.32 Değişiklik yönetimi – (12.1.2, 14.2.2, 14.2.3, 14.2.4)
4. Bilgi güvenliği kontrollerinde sınıflandırmayı, filtrelemeyi kolaylaştıran bazı nitelikler eklendi.

Örneğin;

Güncel Revizyon

5.3     Görevlerin ayrılığı |  Kontrol: Çakışan görevler ve çatışan sorumluluk alanları birbirinden ayrılmalıdır.

Eski Revizyon

a.6.1.2 Görevlerin ayrılığı | Çelişen görevler ve sorumluluklar, yetkilendirilmiş veya kasıtsız değişiklik fırsatlarını veya kuruluş varlıklarının yanlış kullanımını azaltmak amacıyla ayrılmalıdır.

ARÇELİK, tüm dünyada yer alan ofis ve işletmelerinde Covid-19 salgının oluşturduğu riskleri değerlendirme ve olumsuz etkilerini ortadan kaldıracak önlemlerin belirlenmesi amacıyla yapılacak Covid-19 denetimlerinde Quaser’ i tercih etti.

Gerekli şartlar ve beklentiler doğrultusunda hazırlanmış soru listeleri üzerinden, yurtiçi ve yurtdışı ofis ve işletmelerin uygun şartları sağladığının ve sürdürüldüğünün kontrol ve raporlaması QUASER’ in uzman denetçi kadrosu ile güvence altına alınmıştır.

TEDAŞ Merkez ve Taşra teşkilatlarında ISO EN ISO 9001:2015 Kalite Yönetim Sistemi ve TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Belgelendirmesinde QUASER’I tercih etti.

Türkiye Elektrik Üretim A.Ş., ISO EN ISO 9001:2015 Kalite Yönetim Sistemi- TS EN ISO 14001:2015 Çevre Yönetim Sistemi -TS EN ISO 45001:2018 İş Sağliği Ve Güvenliği Yönetim Sistemi Standardı kapsamında gerçekleştirilen Transfer/Gözetim Denetimlerinden başarı ile geçerek belge geçerliliğini sağlayıp, Quaser Belgelendirme tarafından Belgelerini almaya hak kazandı.

Şölen Çikolata Gıda Sanayi ve Ticaret Anonim Şirketi istanbul ve Gaziantep fabrikalarında Covid-19 salgının oluşturduğu riskleri değerlendirme ve olumsuz etkilerini ortadan kaldıracak önlemlerin belirlenmesi amacıyla gerçekleştirilen denetimler kapsamında “Sağlıklı Iş Yeri Belgesi”ni almaya hak kazandı.

Sağlıklı İş Yeri Belgelendirmesi; Sistem Belgelendirme Kuruluşları Derneği (SİSDER) iş birliği ile hazırlanmaktadır.

Quaser Grup bünyesinde Quaser Teknik, Zorlu Türkak Denetimi sonrası geniş bir kapsamda “Periyodik Muayene” akreditasyonunu almaya hak kazandı.

Akreditasyon Sertifikasına aşağıdaki linkten ulaşabilirsiniz.

https://secure.turkak.org.tr/kapsam/Scope/PublicHTML/4096?sube=12506&language=0

Türkiye Elektrik İletim A.Ş., TS ISO/IEC 27001 standardı kapsamında yapılan belgelendirme denetiminden başarı ile geçerek, 13 Ağustos 2020 tarihinde TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Belgesini almaya hak kazandı.