ISO 27001:2022-değişiklikleri nelerdir?

Bilgi güvenliği yönetimi standardı ISO 27001 ilk olarak 2005 yılında yayınlanmıştır. 2013 yılında revize edilmiş ve 2022 yılında tekrar güncellenmiştir ve Ek A’da önemli değişiklikler yer almaktadır. Şirketiniz ISO 27001 sertifikasına sahipse, bu güncellemelerin Ek A’da yer alan güvenlik kontrollerine yansıdığını göreceksiniz.

ISO 27001 NEDİR?

ISO 27001, BGYS – bilgi güvenliği yönetim sistemi geliştirmek ve sürdürmek için uluslararası en iyi uygulamaları tanımlayan bir bilgi güvenliği yönetim sistemi standardıdır. Şirketlerin bilgilerinin kullanılabilirliğini ve bütünlüğünü korumalarına yardımcı olur.

 

ISO 27001’DE NE DEĞİŞİYOR?

ISO 27001 – Ek A’nın yapısı tamamen elden geçirilmiştir. ISO 27001’in güncellenmiş versiyonu yeniden yapılandırılmış ve revize edilmiştir. İlk olarak, değiştirilmiş ISO 27001, yaygın olarak kullanılan “uygulama kuralları” ifadesi ile tanımlanmaz. Bu, bilgi güvenliği kontrolleri seti aracılığıyla amacının ana hatlarını çizmeye yardımcı olur.

İkinci olarak, ISO 27001’in yeni sürümünde kontrol sayısı 114’ten 93’e düşürülmüştür. Bu güvenlik kontrolleri, önceki 14 bölüm yerine şimdi dört bölüme ayrılmıştır. ISO 27002:2022’nin yeni etki alanları şunlardır:

  • Bölüm 5: Organizasyonel (37 kontrol)
  • Bölüm 6: İnsanlar (8 kontrol)
  • Bölüm 7: Fiziksel (14 kontrol)
  • Bölüm 8: Teknoloji (34 kontrol)

Yeni revize edilen ISO 27001’de 35 kontrol değişmeden kaldı, 23 kontrol yeniden adlandırıldı ve 57 kontrol birleştirilerek 24 kontrol oluşturuldu. Sadece bir kontrol ikiye bölündü: Kontrol 18.2.3 – Teknik Uygunluk İncelemesi 8.8 – Teknik zafiyetlerin yönetimi ve 5.3.6 – Bilgi güvenliği politikalarına ve standartlarına uygunluk olarak ikiye ayrıldı. En son sürüme on bir yeni kontrol eklendi:

  • Tehdit İstihbaratı
  • Fiziksel güvenlik izleme
  • Veri maskeleme
  • Bulut hizmetleri için bilgi güvenliği
  • İzleme faaliyetleri
  • İş sürekliliği için BİT hazırlığı
  • Veri sızıntısını önleme
  • Konfigürasyon yönetimi
  • Web filtreleme
  • Bilgi silme
  • Güvenli kodlama

Yeni kontrollerin birleştirilmesi ve eklenmesi, onları gruplandırmayı kolaylaştıran beş ana güvenlik özelliği oluşturur. Bunlar; kontrol türleri, operasyonel yetenekler, güvenlik alanları, siber güvenlik kavramları ve bilgi güvenliği özellikleridir.

 

2022 DEĞİŞİKLİKLERİ MEVCUT ISO 27001 SERTİFİKAMI NASIL ETKİLEYECEK?

Yeni güncellemeler, ISO 27001 standardına göre mevcut sertifikanızı etkilemez. Bunun yerine, akreditasyon kuruluşları, ISO 27001 sertifikasına sahip kuruluşların daha yeni sürüme verimli bir şekilde geçmelerini sağlamak için bir geçiş döneminde belgelendirme şirketleri ile ortaklaşa çalışacak.

Yine de, ISO 27001’in güncellenmiş versiyonu yayınlanmış olsa bile, Uygulanabilirlik Beyanınız (SoA), ISO 27001:2013 Ek A’da yer alan kontrollere atıfta bulunmalıdır. ISO 27002:2022, yalnızca diğer kontrollere referans olarak ve değişiklikleri anlamak için kılavuz olarak kullanılmalıdır.