Skip to main content
Duyurular

ISO/IEC 27006-1:2024 Yayımlandı

Yazan 05/02/2026Yorum Yazılmamış

BGYS Denetimlerinde Öne Çıkan Değişiklikler ve Kuruluşlara Etkisi

1 Mart 2024’te yayımlanan ISO/IEC 27006-1:2024, ISO/IEC 27001 kapsamında Bilgi Güvenliği Yönetim Sistemi (BGYS) denetimi ve belgelendirmesi yapan belgelendirme kuruluşları için gereklilikleri güncelliyor. Bu standart doğrudan belgelendirme kuruluşlarını hedeflese de, denetim yaklaşımı, denetim süresi, uzaktan denetim uygulamaları ve çok sahalı yapılar gibi konularda değişiklikler getirdiği için BGYS belgelendirmesi olan veya olacak tüm kuruluşları yakından ilgilendiriyor.

ISO/IEC 27006-1:2024 nedir, neyi düzenler?

ISO/IEC 27006-1:2024; ISO/IEC 27001’e göre BGYS denetimi ve belgelendirmesi yapan kuruluşların uyması gereken ilave şartları ve rehberliği tanımlar. Temelde, yönetim sistemi belgelendirmesine ilişkin genel çerçeveyi veren ISO/IEC 17021-1’in BGYS özelindeki “uygulama detaylarını” netleştirir.

1) Uzaktan denetim şartları netleşti

  • Uzaktan denetimin nasıl uygulanacağına dair yeni/rafine gereklilikler getirildi.

  • Denetim raporlarında uzaktan denetimin kapsamı ve etkinliğinin belirtilmesi bekleniyor.

  • Bazı durumlarda uzaktan denetim oranı için ek onay gereksinimlerinde değişiklikler söz konusu.
    Bu yaklaşım, sahası sınırlı veya “daha sanal” işleyişi olan organizasyonlarda denetim tasarımını doğrudan etkileyebilir.

2) Denetim süresi (audit time) hesaplaması güncellendi

Yeni standartla birlikte denetim süresinin hesaplanmasına ilişkin yaklaşım güncellendi. Özellikle:

  • Benzer/özdeş faaliyetleri yapan kişi gruplarının denetim süresi hesabındaki etkisi,

  • Kapsam genişletmelerinde denetim süresi,

  • Çok sahalı yapılarda denetim süresinin belirlenmesi
    gibi konular daha açık tarif ediliyor.

Bu değişiklik, pratikte denetim gün sayısının ve denetim planının yeniden ele alınmasına yol açabilir; bazı belgelendirme sözleşmelerinde revizyon ihtiyacı da doğurabilir.

3) Çok sahalı belgelendirme ve kapsam değişikliklerinde açıklık

Çok sahalı yapılarda ve kapsam değişikliklerinde, yeterli denetim süresi ayrılması ve belgelendirme kararına temel oluşturacak kanıt seviyesinin sağlanması vurgulanıyor.

4) Kontrol setleri (Annex A dışı) sertifikada nasıl referans gösterilecek?

Sertifikalarda ISO/IEC 27001 Ek A dışındaki kontrol setlerine atıf yapılması durumunda bunun yanıltıcı bir uygunluk iddiasına dönüşmemesi gerektiği netleştiriliyor.

5) ISO/IEC 27001:2022 ile uyum başlığı güçlendi

Güncel kontrol seti yapısına uyum kapsamında ekler/tabloların ISO/IEC 27001:2022 ile hizalanmasına yönelik güncellemeler yer alıyor.

Geçiş süreci ve takvim

Geçiş süreci için uluslararası çerçevede IAF tarafından yayımlanan geçiş dokümanı (IAF MD 29) temel referanslardan biri. Bu dokümana göre geçiş dönemi genel olarak yayın ayı sonundan itibaren 24 ay olarak ele alınıyor ve 31 Mart 2026 tarihi kritik bir eşik olarak belirtiliyor.

Türkiye’de de TÜRKAK duyurularında geçişin tamamlanması için 31 Mart 2026 hedefi vurgulanıyor.
Not: Geçiş uygulaması belgelendirme kuruluşunun akreditasyon kapsamı ve akreditasyon kurumu planına göre detaylanabilir.

Kuruluşlar (sertifikalı firmalar) açısından pratik etkiler

ISO/IEC 27006-1:2024’ün sahadaki yansıması çoğunlukla şu alanlarda hissedilir:

  • Denetim planı ve gün sayısı değişebilir: Denetim süresi hesap yaklaşımı güncellendiği için gözetim/yeniden belgelendirme planlarında revizyon ihtiyacı doğabilir.

  • Uzaktan denetim kanıtları daha sistematik istenebilir: Sistem kayıtları, ekran kayıtları, merkezi loglar, süreç kanıtları, uzaktan görüşme düzeni gibi unsurların hazırlanması önem kazanır.

  • Çok sahalı yapılarda kapsam ve örnekleme daha kritik hale gelir: Sahaların fonksiyonu, risk profili ve kapsam ilişkisi daha net ortaya konmalıdır.

  • Sertifika üzerindeki referanslar daha dikkatli yönetilir: Annex A dışı kontrol setlerine atıf varsa, sertifika dili yanıltıcı olmayacak biçimde ele alınmalıdır.

Ne yapmalısınız? (Kısa kontrol listesi)

  1. Belgelendirme kuruluşunuzdan geçiş planını sorun: Denetim modelinde (uzaktan/yerinde), denetim süresinde veya kapsam yaklaşımında değişiklik öngörülüyor mu?

  2. BGYS kapsamınızı ve saha modelinizi netleştirin: Çok saha, uzaktan çalışan ekipler, dış kaynaklı süreçler, bulut hizmetleri gibi unsurları kapsam dokümanlarında açık yazın.

  3. Denetim kanıt envanteri oluşturun: Politika, prosedür, risk değerlendirmesi, SoA, log kayıtları, olay yönetimi kayıtları, eğitim kanıtları vb. “tek yerde” düzenli dursun.

  4. ISO/IEC 27001:2022 kontrol seti hizasını gözden geçirin: Ek A eşleştirmeleri, kontrol sahiplikleri, ölçüm metrikleri ve izleme kayıtlarını güncelleyin.

  5. Sözleşme ve denetim programı revizyonuna hazırlıklı olun: Denetim süre hesaplaması değiştiği için planlama ve teklif koşullarında güncellemeler gündeme gelebilir.

Sonuç

ISO/IEC 27006-1:2024; uzaktan denetimin olgunlaşması, denetim süresi hesaplaması, çok sahalı yapıların ele alınması ve sertifika referanslarının netleştirilmesi gibi başlıklarda BGYS denetim pratiğini güncelliyor.
Kuruluşların bu dönemde en doğru yaklaşımı; belgelendirme kuruluşlarıyla geçiş takvimini netleştirmek, kanıt yönetimini güçlendirmek ve kapsam/saha modelini şeffaflaştırmak olacaktır.

REFERANSLAR

Sistem Belgelendirme, Periyodik Kontroller, Gizli Müşteri Deneyimleri hizmetlerimizle ülkemizin bir çok firmasına hizmet vermenin haklı gururunu yaşıyoruz.

client
client
client
client
client
client
client
client
client
client
client
client
client
client
client

şu an çevrimdışısınız.