ISO 27001 - Bilgi Güvenliği Yönetim Sistemi Standartı Güncelleniyor
Peki 2022 Versiyonu İle Neler Değişiyor, Kuruluşların Yeni Versiyona Ne Kadar Sürede Geçmesi Gerekiyor?
Kurumsal bilgi güvenliğinin sağlanmasında insanları, süreçleri ve bilgi teknolojilerini içine alan ve üst yönetim tarafından desteklenen bir yönetim sistemi olan ISO 27001 — Bilgi Güvenliği Yönetim Sistemi standartının yeni versiyonu bu yıl içerisinde yayımlanacak.
Böylece en son 2013 versiyonu ile major değişikliğe uğrayan ISO 27001 standartı, yeni versiyon ile 2022 versiyonuna geçecek.
Standartın sadece Ek-A maddelerinde revizyona giden ISO, ISO27002:2022 versiyonunu profesyonellerin bu değişime hazır olması için 15 Şubat 2022 tarihinde sitesinde (iso.org) yayımladı. ISO27002:2022 yayınına bu linkten ulaşılabilir : https://www.iso.org/standard/75652.html
Peki, 2022 versiyonundaki değişiklikler neler ve ISO tarafından yapılan bu güncelleme sonrası kurumların yeni versiyona adaptasyonu için ne kadar süresi olacak? Halihazırda ISO 27001 sertifikasyon planı olan kuruluşlar yeni versiyonun yayımlanmasını beklemeli mi? Kısaca bu konulara değinelim
Neler Değişti ?
Yeni versiyondaki değişiklikleri maddeler halinde anlatmaya çalışacağım.
ISO 27001 standartını genel hatları ile iki ana bölüme ayırırsak ;
- 4–10 arası standart maddelerinde değişiklik yok
- Ek-A Kontrollerinde değişiklik var
Ek-A kontrollerindeki değişiklikler 4 bölümde ele alınabiliyor :
Kontrol Sayısı : Toplam 114 olan kontrol sayısı, 93’e düşürüldü
Bölüm Sayısı : Toplam 14 bölümden oluşan Ek-A, 4 bölüme düşürüldü
- Organizasyonel Kontroller (37 kontrol)
- İnsan Kontrolleri (8 kontrol)
- Teknolojik Kontroller (34 kontrol)
- Fiziksel Kontroller (14 kontrol)
Yeni Kontroller : 11 yeni kontrol eklendi
Kontrollerin Gruplanması : Kontroller gruplama kolaylığı için 5 niteliğe sahip oluyor
ISO 27001 Uygulayan Kuruluşlar Nasıl Etkilenecek ?
ISO 27001 standartı bilgi güvenliğine risk odaklı bir yaklaşım sunar. Kuruluşlar bilgi güvenliği risklerini belirlemeli ve bu riskler ile başa çıkabilmek için gerekli kontrolleri uygulaması gereklidir. Standartın ana maddelerinin yanında verilmiş olan Ek-A kontrolleri, kuruluşlara bilgi güvenliği riskleri ile mücadele edebilmesi için önerilen bir kontrol setidir.
ISO 27001:2022 versiyonu ile değişecek Ek-A kontrolleri, kuruluşlara Uygulanabilirlik Bildirgesi’nin (SoA) yeni kontrollere göre gözden geçirmelerini gerektirecek. Kuruluşlar standartın yeni versiyonu yayımlanana kadar ISO 27001:2013 versiyonunda yayımlanmış olan Ek-A kontrollerini kullanacak.
Yeni versiyonun yayımlanması sonrası kuruluşlar, henüz geçiş süresi tam net olmamakla birlikte, 2 yıl içerisinde ISO27001:2022 versiyonuna geçiş yapmaları gerekecek.
ISO 27001 Sertifikası Almayı Düşünen Kuruluşlar ISO 27001:2022 Versiyonunun Yayımlanmasını Beklemeli mi ?
Kesinlikle hayır. ISO 27001:2013 uyumlu bir Bilgi Güvenliği Yönetim Sistemi kurmak kuruluşlara hiçbir şey kaybettirmez. Aksine ISO 27001:2022 versiyonunun yayımlanmasını bekleyerek bir sistem kurmamak kuruluşları büyük bir risk altında bırakır.
ISOMS’e ISO27001:2022 Desteği Ne Zaman Gelecek ?
CITS, kuruluşlara tüm ISO yönetim sistemlerini tek çatı altında yönetmelerini sağlayan ISOMS : Smart ISO Management ürününün, ISO27002:2013 desteği kaldırılmayacak şekilde, ISO27002:2022 versiyonuna da Nisan 2022 itibari ile destek verebilmesi için çalışmalarına başladı.
ISOMS ile ilgili detaylı bilgi almak için ürünün web sitesini ziyaret edebilirsiniz — isomscloud.com
