Dünya, gelişen yeni güvenlik sorunlarıyla karşı karşıya kalırken, kuruluşların bilgi varlıklarının gizliliğini, kullanılabilirliğini ve bütünlüğünü korumayı amaçlayan uluslararası kabul görmüş ISO/IEC 27001 standardı güncellendi ve yeni, daha alakalı ve güncel baskısı yayınlandı.

ISO/IEC 27001:2013'ten farklı olarak, yeni sürümün tam adı ISO/IEC 27001:2022 Bilgi Güvenliği, Siber Güvenlik ve Gizlilik Korumasıdır.

En önemli değişikliklerden geçen kısım, geçen yılın başlarında yayınlanan ISO/IEC 27002:2022 güncellemeleriyle uyumlu olan ISO/IEC 27001 Ek A'dır.

Diğer kısımlara gelince, 4 ila 10. maddeler, özellikle ek yeni içeriğin eklendiği 4.2, 6.2, 6.3 ve 8.1 maddelerinde olmak üzere birçok küçük değişikliğe uğramıştır. Diğer güncellemeler, terminolojideki küçük değişiklikleri ve cümlelerin ve tümcelerin yeniden yapılandırılmasını içerir. Ancak, bu maddelerin başlığı ve sırası aynı kalmıştır;

Madde 4 Kuruluşun bağlamı

Madde 5 Liderlik

Madde 6 Planlama

Madde 7 Destek

Madde 8 İşlem

Madde 9 Performans değerlendirmesi

Madde 10 İyileştirme

Ek A'daki ana kontrol değişiklikleri nelerdir?

ISO/IEC 27001:2022 Ek A, hem kontrol sayısı hem de bunların gruplar halinde listelenmesindeki değişiklikleri içerir. Bu Ek'in başlığı da Referans kontrol amaçları ve kontrollerinden Bilgi güvenliği kontrolleri referansına dönüşmüştür. Bu nedenle, standardın önceki versiyonunda mevcut olan her kontrol grubunun referans hedefleri artık kaldırılmıştır.

Ek A kontrollerinin sayısı 114'ten 93'e düştü. Kontrol sayısındaki azalma büyük ölçüde birçoğunun birleştirilmesinden kaynaklandı. 35 kontrol aynı kaldı, 23 kontrol yeniden adlandırıldı, 57 kontrol 24 kontrolde birleştirildi ve bir kontrol ikiye bölündü. 93 kontrol, dört kontrol grubu veya bölümü olarak yeniden yapılandırılmıştır.

ISO/IEC 27001:2022'nin yeni kontrol grupları şunlardır:

A.5 Organizasyonel kontroller - 37 kontrol içerir

A.6 Kişi kontrolleri - 8 kontrol içerir

A.7 Fiziksel kontroller - 14 kontrol içerir

A.8 Teknolojik kontroller - 34 kontrol içerir

ISO/IEC 27001:2022, Ek A'ya aşağıda belirtilen 11 yeni kontrolü de eklemiştir:

• Tehdit istihbaratı
• Bulut hizmetlerinin kullanımı için bilgi güvenliği
• İş sürekliliği için BİT hazırlığı
• Fiziksel güvenlik izleme
• Konfigürasyon yönetimi
• Bilgi silme
• Veri maskeleme
• Veri sızıntısını önleme
• İzleme faaliyetleri
• Web filtreleme
• Güvenli kodlama

ISO27001 Belgeli Kuruluşlar ne yapmalı?

*ISO27001:2013’e göre belgelendirilmiş olan kuruluşların 2022 versiyonuna geçişi için 3 yıl süre bulunmaktadır.

3 yıllık geçiş süreci sonunda 2013 versiyonuna ait sertifikalar geçerli olmayacaktır.

ISO27002:2022’nin getirdiği yenilik ve değişikliklere adaptasyon, bazı kuruluşlar için çok kolay olmayabilir. Bu nedenle belgeli kuruluşların bir an önce bu değişikliklerin kendi BGYS’ne etkilerini değerlendirmesi ve geçiş için bir yol haritası oluşturmaları gerekmektedir.