ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı revize edilerek 25 Ekim 2022‘de yayımlanmıştır.
Geçiş için verilen 3 yıllık süre, 31.10.2025 tarihinde dolacaktır. Bu tarihten sonra ISO/IEC 27001:2013 belgelerinin bir geçerliliği kalmayacak ve süreç ilk belgelendirme başvurusu olarak sıfırdan başlatılacaktır.
Quaser Uluslararası Belgelendirme ISO/IEC 27001:2022’ye geçiş sürecini aşağıda verildiği gibi belirlemiştir;
İlk Kez Belge Almak İçin Başvuran Kuruluşlar
01.11.2023 tarihi itibariyle ilk belgelendirme denetimleri ISO/IEC 27001:2022’ye göre yapılmaya başlanacaktır.
ISO/IEC 27001:2013’e göre yapılan ilk belgelendirme başvuruları 31.10.2023 tarihine kadar kabul edilecek olup 01.11.2023 tarihinden itibaren yalnızca ISO/IEC 27001:2022’ye göre yapılan ilk belgelendirme başvuruları kabul edilecektir.
Belgeli Kuruluşlar
Quaser Uluslararası Belgelendirme tarafından ISO/IEC 27001:2013’e göre belgelendirilmiş tüm kuruluşların geçişi, geçişi tamamladığını beyan ettiği tarihi takiben gerçekleştirilecek gözetim/yeniden belgelendirme denetimleri ile yapılacaktır.
Geçişin gözetim denetimi esnasında yapılması durumunda, gözetim denetiminin süresine 1 gün; yeniden belgelendirme denetimi ile yapılacak olması durumunda ise 0,5 gün; ilave edilerek denetim gerçekleştirilecektir.
Kuruluşunuzun, planlı denetimlere ek bir geçiş denetimi talep etmesi durumunda minimum 1 gün süreyle gerçekleştirilecektir.
01.11.2023 tarihinden itibaren ilk belgelendirme ve yeniden belgelendirme denetimleri yalnızca ISO/IEC 27001:2022’ye göre yapılacaktır.
Değişikliklere Uyum İçin Kuruluşlara Tavsiye Ettiğimiz Adımlar;
1) ISO/IEC 27001:2022’e ye geçiş için Geçiş Planı hazırlanması
2) Organizasyonu etkileyen ilgili kişilere uygun eğitimin verilmesi ve farkındalık sağlanması
3) Mevcut dokümantasyonun, ISO/IEC 27001:2022 standardı ile gelen değişiklikler doğrultusunda güncellenmesi
Mevcut belgenizin devamı ve istenmeyen durumlarla karşılaşmamanız için gerekli çalışmaları yapmaya başlamanızı önemle tavsiye ederiz.
Saygılarımızla,
QUASER ULUSLARARASI BELGELENDİRME
ISO/IEC 27001:2022 STANDARDI İLE GELEN DEĞİŞİKLİKLER
ISO/IEC 27001:2013 standardı 25.10.2022 tarihinde “Bilgi güvenliği, siber güvenlik ve kişisel gizliliğin korunması – Bilgi güvenliği yönetim sistemleri Gereklilikler” olarak revize edildi.
Ekim 2022’de yayınlanan ISO/IEC 27001:2022 Standardında önemli değişiklikler olmuştur.
Standart maddelerindeki temel değişiklikler;
1. Madde 4.4
BGYS’nin uygulanması ve sürdürülmesi için gerekli süreçlerin ve bunların BGYS içindeki etkileşimlerinin tanımlanması gerekliliği açıkça ifade edilmiştir.
2. Madde 5.3
bilgi güvenliği ile ilgili rollere ilişkin sorumluluk ve yetkilerin kurum içinde bilinmesine yönelik açık bir gereklilikle desteklenmiştir.
3. Madde 6.1.3 c
Kontrol ifadesi bilgi güvenliği kontrolü olarak değiştirilmiştir.
4. Madde 6.1.3 d
Potansiyel tehlikeleri ortadan kaldırmak için yeniden düzenlenmiştir.
5. Madde 6.3
Değişikliklerin Planlanması maddesi yeni standarda ilave edilmiştir.
6. Madde 7.4
BGYS ile ilgili iç ve dış iletişimin nasıl kurulacağı vurgulanmıştır.
7. Madde 8.1
Süreçlere ve kontrollere ilişkin kriterlere vurgu yapılmıştır.
8. Madde 9.2
İç Denetim uyumlaştırılmış yapıya uyarlanmıştır.
9. Madde 9.3
Yönetimin Gözden Geçirmesi uyumlaştırılmış yapıya uyarlanmıştır.
10.Madde 9.2
9.2.1 ve 9.2.2 olarak alt bölümlere ayrılmıştır.
11.Madde 9.3
9.3.1, 9.3.2 ve 9.3.3 olarak alt bölümlere ayrılmıştır.
12. Madde 10.1
Yapılandırılma sırası uyumlaştırılmış yapıya uyarlanmıştır.
13. Madde 10.2
Yapılandırılma sırası uyumlaştırılmış yapıya uyarlanmıştır.
Ek A Bilgi Güvenliği Kontrolleri referansındaki değişiklikler;
1. ISO 27001 Ek-A’da yer alan bilgi güvenliği kontrolleri 14 başlık yerine 4 başlık altında gruplandırıldı.
EkA 5 Organizasyonel kontroller (37 kontrol)
EkA 6 Kişisel kontroller (8 kontrol)
EkA 7 Fiziksel kontroller (14 kontrol)
EkA 8 Teknik kontroller (34 kontrol)
- 11 adet Bilgi güvenliği kontrolü yeni eklendi.
EkA 5.07 – Tehdit İstihbaratı
EkA 5.23 – Bulut hizmetlerinin kullanımı için bilgi güvenliği
EkA 5.30 – İş sürekliliği için BİT hazırlığı
EkA 7.04 – Fiziksel güvenlik izleme
EkA 8.09 – Yapılandırma Yönetimi
ISO/IEC 27001:2022 STANDARDI İLE GELEN DEĞİŞİKLİKLER
EkA 8.10 – Bilgi Silme
EkA 8.11 – Veri Maskeleme
EkA 8.12 – Veri Sızıntısını Önleme
EkA 8.16 – İzleme Faaliyetleri
EkA 8.23 – Web Filtreleme
EkA 8.28 – Güvenli Kodlama - Eski revizyondaki bilgi güvenliği kontrollerinden silinen olmadı ancak birçok kontrol birleştirildi.
Bilgi güvenliği kontrol sayısı 114’ten 93’e düşürüldü.
EkA 5.01 Bilgi güvenliği politikaları – (05.1.1, 05.1.2)
EkA 5.08 Proje yönetiminde bilgi güvenliği – (06.1.5, 14.1.1)
EkA 5.09 Bilgi envanteri ve diğer ilgili varlıklar – (08.1.1, 08.1.2)
EkA 5.10 Bilgilerin ve diğer ilgili varlıkların kabul edilebilir kullanımı – (08.1.3, 08.2.3)
EkA 5.14 Bilgi transferi – (13.2.1, 13.2.2, 13.2.3)
EkA 5.15 Erişim kontrolü – (09.1.1, 09.1.2)
EkA 5.17 Kimlik doğrulama bilgileri – (09.2.4, 09.3.1, 09.4.3)
EkA 5.18 Erişim hakları – (09.2.2, 09.2.5, 09.2.6)
EkA 5.22 Tedarikçi Hizmetlerinin İzlenmesi, Gözden Geçirilmesi ve Değiştirilmesi – (15.2.1, 15.2.2)
EkA 5.29 Kesinti sırasında bilgi güvenliği – (17.1.1, 17.1.2, 17.1.3)
EkA 5.31 Yasal, kanuni, düzenleyici ve sözleşmeye dayalı gereksinimler – (18.1.1, 18.1.5)
EkA 5.36 Bilgi güvenliğine yönelik politikalara, kurallara ve standartlara uygunluk – (18.2.2, 18.2.3)
EkA 6.08 Bilgi güvenliği olay raporlaması – (16.1.2, 16.1.3)
EkA 7.02 Fiziksel giriş – (11.1.2, 11.1.6)
EkA 7.10 Depolama ortamı – (08.3.1, 08.3.2, 08.3.3, 11.2.5)
EkA 8.01 Kullanıcı uç nokta cihazları – (06.2.1, 11.2.8)
EkA 8.08 Teknik güvenlik açıklarının yönetimi – (12.6.1, 18.2.3)
EkA 8.15 Günlük kaydı – (12.4.1, 12.4.2, 12.4.3)
EkA 8.19 İşletim sistemlerine yazılım kurulumu – (12.5.1, 12.6.2)
EkA 8.24 Kriptografi kullanımı – (10.1.1, 10.1.2)
EkA 8.26 Uygulama güvenlik gereksinimleri – (14.1.2, 14.1.3)
EkA 8.29 Geliştirme ve kabulde güvenlik testi – (14.2.8, 14.2.9)
EkA 8.31 Geliştirme, test ve üretim ortamlarının ayrılması – (12.1.4, 14.2.6)
EkA 8.32 Değişiklik yönetimi – (12.1.2, 14.2.2, 14.2.3, 14.2.4) - Bilgi güvenliği kontrollerinde sınıflandırmayı, filtrelemeyi kolaylaştıran bazı nitelikler eklendi.
Örneğin;
Güncel Revizyon
5.3 Görevlerin ayrılığı | Kontrol: Çakışan görevler ve çatışan sorumluluk alanları birbirinden ayrılmalıdır.
Eski Revizyon
a.6.1.2 Görevlerin ayrılığı | Çelişen görevler ve sorumluluklar, yetkilendirilmiş veya kasıtsız değişiklik fırsatlarını veya kuruluş varlıklarının yanlış kullanımını azaltmak amacıyla ayrılmalıdır.
