ISO 27001:2022 Versiyon Güncellemesi ile Neler Değişti?

2022 yılı içerisinde güncellenmesi beklenen ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı (BGYS) Ekim ayı itibariyle güncellendi. İngilizce olarak yayımlanan Standardın güncel haline ISO İnternet sitesinden ulaşabilirsiniz. Yıl içerisinde ISO 27002 Standardı için versiyon güncellemesi yayımlanmış ve sizlerle detaylarını paylaşmıştık. ISO 27001:2022 güncellemesi ile ilgili beklenen değişikliklerden de bahsettiğimiz blog yazımıza buradan ulaşabilirsiniz.

Kuruluşlar için ISO 27001:2022 Güncellemesi

Yeni Standarda uyum yükümlülüğü, hali hazırda ISO 27001 Standardı Sertifikasyonuna sahip Kuruluşlar için, Standart yayın tarihiden itibaren üç yıldır. Sertifikasyon kuruluşları ISO 27001:2022 Standardının yayım tarihinden itibaren 1 yıl süreyle 2013 sertifikası verebilmektedir. Bu sayede Kuruluşlar üç yıllık geçiş periyodunda sertifikasyon firması ile mutabık kalarak 2013 veya 2022 versiyonuna göre denetim gerçekleştirebilirler. Üç yıllık dönem sonrasında Kuruluşlar ISO 27001:2022 Standardı için gerekli risk değerlendirme, süreç ve BGYS dokümantasyon güncellemelerini yapmış olmalıdır. Bu dönem sonrasında gerçekleştirilmemiş güncellemeler, yapılacak herhangi bir BGYS Denetimi esnasında denetim bulgusu olarak tespit edilebilir.

ISO 27001:2022 Standardında bulunan teknik kontrollerin birçoğu ISO 27001:2013 Standardında ve yerel mevzuatlarda (Kişisel Verileri Koruma Mevzuatları) da tanımlandığından, planlı bir yapılandırma ile yumuşak bir geçiş sağlanabilir.

ISO 27001 Standardı Sertifikasyonu bulunmayan Kuruluşlar için uygun yaklaşım, sertifikasyon çalışmalarının güncellenen ISO 27001:2022 Standardı dikkate alınarak gerçekleştirilmesi olacaktır. Gerekli risk değerlendirmeleri ve planlı süreç yapılandırmaları oluşturulmalıdır.

Güncellenen ISO 27001:2022 Standardı ile Gelen Değişiklikler

ISO 27001:2022 Standardı ile ISO 27001:2013 Standardındaki ana madde başlıklarında değişiklik yapılmamış, bazı maddelere alt başlıklar ve detaylandırmalar eklenmiştir.

Örneğin, Kuruluşun Bağlamı ana maddesinin alt maddesi olan “4.2 İlgili Tarafların İhtiyaç ve Beklentilerinin Anlaşılması” kontrolüne “İlgili tarafların gerekliliklerinin hangilerinin BGYS aracılığıyla ele alınacağı”’ kontrolü ile ilgili ibare eklenmiştir. ISO 27001:2013 Standardı Denetimlerinde hali hazırda değerlendirilen bu husus bu kapsamda yazılı olarak da Standartta yer almıştır.

Belirgin bir değişiklik olarak Standardın 6. Maddesine (Planlama), yeni bir kontrol maddesi (6.3 Değişikliklerin Planlanması) eklemiş ve Kuruluşun belirlenen değişiklik ihtiyaçlarına göre değişiklikleri planlı bir şekilde gerçekleştirilmesi istenmiştir.

ISO 27001:2022 Standart güncellemesi ile toplam kontrol sayısı 114’ten 93’e indirilmiş ve Standart kapsamında 11 yeni kontrol eklenmiştir. Ek-A kontrolleri 14 madde numarası (A.5 – A.18 Maddeleri) yerine 4 madde başlığı altında toplanmıştır (A.5 – A.8 Maddeleri).  

Standarda yeni eklenmiş 11 madde başlığı aşağıdaki gibidir:

  • A.5.7 Tehdit İstihbaratı
  • A.5.23 Bulut Hizmetlerinin Kullanımı için Bilgi Güvenliği
  • A.5.30 Bilgi ve İletişim Teknolojisi (ICT) ‘nin İş Sürekliliğine Hazır Olması
  • A.7.4 Fiziksel Güvenlik İzleme
  • A.8.9 Yapılandırma Yönetimi
  • A.8.10 Bilgilerin Silinmesi
  • A.8.11 Veri Maskeleme
  • A.8.12 Veri Sızıntısını Önleme
  • A.8.16 İzleme Faaliyetleri
  • A.8.23 Web Filtreleme
  • A.8.28 Güvenli Kodlama

Kuruluşların yeni eklenmiş maddeler için ihtiyaçlarına yönelik gerekli süreç tasarım ve yapılandırmalarını gerçekleştirmesi ve uygulama edinimlerini sağlamaları gerekmektedir. 

ISO 27001:2013 Standardında yer alan Ek-A maddelerinin ISO 27001:2022 Standardında hangi madde başlıkları ile eşleştiğine, 15 Şubat 2022 tarihinde yayımlanan ISO 27002:2022 Standardından ulaşılabilirsiniz. Standarda uyum ya da güncelleme çalışmaları ile ilgili herhangi bir soru, görüş ya da destek ihtiyacınız olması durumunda bize ulaşabilirsiniz.

Kaynaklar:

  • ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements