Kuruluşların bilgi güvenliğini iyileştirmek için uygulayabilecekleri kontrolleri sağlayan ISO 27002:2022 Şubat 2022’de güncellendi. 

Bunun sonucu olarak da Bilgi Güvenliği Yönetim Sistemi (BGYS) gereksinimlerini belirleyen uluslararası standart ISO 27001 yeni versiyonuyla 25 Ekim 2022 tarihinde yayınlandı.

Standardın bu yeni versiyonu ISO 27002:2022’de açıklanan kontrolleri içerir. Böylece kuruluşlar risk değerlendirmesi çalışmalarını tekrar değerlendirerek güncelleme ihtiyaçları olup olmadığına karar vermek durumundalar.

ISO 27001 sertifikalı bir kuruluşun ISO/IEC 27001:2022’ye başarılı bir geçiş yapmasına yardımcı olacak 10 adımdan oluşan bir kılavuzu geçiş sürecinden BGYS ekiplerimize faydalı olması dileğiyle sizler için derledik. 

ISO 27001:2022 Geçiş Adımları:

• Değişikliklerin Anlaşılması
• Eğitim İhtiyaçlarının Değerlendirilmesi
• Mevcut ve Yeni Kontroller Arasında Boşluk Analizi Yapılması
• Risk Değerlendirmesi Çalışmasının Gözden Geçirilmesi
• Risk İşleme Planı’nın Güncellenmesi
• Uygulanabilirlik Bildirgesi’nin Güncellenmesi
• Geçiş Denetiminin Planlanması
• Denetimin Tamamlanması ve Değişikliklerin Uygulanması
• ISO 27001:2022 Sertifikasyonuna Ulaşılması
• Sürekli İyileşmeye Odaklanılması

1. Değişikliklerin Anlaşılması

• Kontrollerde daha anlaşılabilir bir dil
• Diğer yönetim sistemleriyle uyum için yeni alt maddeler
• Standardın adında değişiklik ve “Siber güvenlik” yaklaşımı (ISO/IEC 27001:2022 Bilgi Güvenliği, Siber Güvenlik ve Gizlilik Koruması –Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler)
• Ek A’da veya ISO/IEC 27002’de artık bulunmadığı için kontrol hedeflerine yapılan atıfların kaldırılması
• Bilgi güvenliği hedeflerini izlemek için yeni gereksinim
• Yeni Madde 6.3 – Değişikliklerin planlanması
• Kuruluşun Madde 7.4’ün bir parçası olarak nasıl iletişim kuracağını belirlemesini sağlamak için yeni gereklilik
• Operasyonel süreçler için kriterler oluşturmak ve süreçlerin kontrolünü uygulamak için yeni gereksinimler
• Entegre yönetim yaklaşımla uyumlu iç denetim ve yönetimin gözden geçirme maddeleri
• Madde 10.1 Sürekli İyileştirme ve Madde 10.2 artık uygunsuzluk ve düzeltici faaliyettir ancak gereksinimler aynı
• Kontrol sayısındaki değişiklik

ISO/IEC 27001:2013 Ek-A – 14 Başlık altında 114 Kontrol

ISO/IEC 27001:2022 Ek-A – 4 Başlık altında 93 Kontrol (11 yeni, 23 değişen, 24 birleşen)

Organizasyonel, İnsan, Teknolojik, Fiziksel

11 Yeni Kontrol

Teknolojik Kontroller

A.8.9 – Konfigürasyon yönetimi

A.8.10 – Bilgi silme 

A.8.11 – Veri maskeleme 

A.8.12 – Veri sızıntısını önleme 

A.8.16 – İzleme faaliyetleri 

A.8.23 – Web filtreleme 

A.8.28 – Güvenli kodlama

Organizasyonel Kontroller

A.5.7 – Tehdit İstihbaratı

A.5.23 – Bulut hizmetlerinin kullanımı için bilgi güvenliği

A.5.30 – İş sürekliliği için BİT (ICT) hazırlığı

Fiziksel Kontroller

A.7.4 – Fiziksel güvenlik izleme

2. Eğitim İhtiyaçlarının Değerlendirilmesi

ISO/IEC 27001:2022’ye başarılı bir geçiş yapılmasına destek olabilecek eğitim ihtiyaçları belirlenir.

3. Mevcut ve Yeni Kontroller Arasında Boşluk Analizi Yapılması

Mevcut kontrollerinizi ve risk işleme çalışmanızı ISO/IEC 27001:2022 ile gelenler ile değerlendirmenizi sağlayacak bir Boşluk Analizi, ISO/IEC 27001:2022’ye geçişiniz esnasında odaklanmanız gereken alanlar ile ilgili olarak size yardımcı olacaktır.

ISO/IEC 27002:2022 EK-B tüm kontrollerin bir önceki versiyondaki kontrollerle nasıl karşılık bulduğu ve bu kontrollerle faydalı bir karşılaştırma sunduğu için iyi bir başlangıç olacaktır.

Yeni standart tüm kontrolleri sadece 4 başlık altında oluşturduğu için (Organizasyonel, İnsan, Teknolojik, Fiziksel), her bir alanda uzmanlaşmış bir takım kurmak da faydalı olacaktır.

4. Risk Değerlendirmesi Çalışmasının Gözden Geçirilmesi

Yeni versiyonla birlikte, Risk Değerlendirme çalışmanızın, amaçları ve içeriği ile iş hedeflerinize ve risk iştahınıza uyumlu olduğunu kontrol etmelisiniz. Uyumlu değilse, bilgi güvenliği risk değerlendirmesi için prosedürleri belirleyen uluslararası standart ISO 27005’ten faydalanabilirsiniz. 

5. Risk İşleme Planı’nın Güncellenmesi

Risk İşleme Planı’nızı, ISO/IEC 27001:2022 EK-A’da bulunan uygun kontrollerden seçimler yaparak, risk işleme aksiyonlarınızla ilgili kararlarınızı yansıtacak şekilde güncellemenizde fayda olacaktır.

6. Uygulanabilirlik Bildirgesi’nin Güncellenmesi

Herhangi bir kontrolün ya da politikanın dahil ya da hariç olduğunun ispatı ve gerekçesi olarak ve Uygulanabilirlik Bildirgenizin güncellenmesi önemlidir.

Aynı zamanda Risk İşleme Planınız doğrultusunda herhangi bir kontrolü uygulamaya alıp almadığınızı da belirtmelisiniz. Aldıysanız, aktivitelerinizin etkinliğini değerlendirmek üzere güçlü bir iç denetim programı uygulamalısınız.

7. Geçiş Denetiminin Planlanması

Şu ana kadar yaptığınız değişiklikler yönetim sisteminizi daha güçlü bir hale getiriyor olacak. ISO/IEC 27001:2022’ye geçiş denetiminiz için planlama yapabilirsiniz. 

8. Denetimin Tamamlanması ve Değişikliklerin Uygulanması

Denetçiniz, BGYS’yi ve kanıt dokümanların ISO/IEC 27001:2022 gerekliliklerini karşılayıp karşılamadığını değerlendirecektir. Özellikle EK-A’daki kontroller üzerine odaklanacaktır.

Denetim tamamlanmasının ardından, Denetim Raporu ile denetçinin görüşleri ve sertifikasyonun alınması öncesi düzeltilmesi gereken bulgular bildirilecektir.

9. ISO/IEC 27001:2022 Sertifikasyonuna Ulaşılması

Alacağınız sertifikasyon uluslararası olarak tanınan en iyi uygulamalara ve sürekli iyileşmeye olan taahhüdünüzü gösterir ve müşteri taleplerini karşılayarak yeni işler kazanmanıza yardımcı olur.

Değişen tehdit coğrafyasında uyguladığınız kontroller ve risk işleme çalışmalarıyla, BGYS’nizin güçlü ve etkili olduğuna güvenebilirsiniz. 

10. Sürekli İyileşmeye Odaklanılması

Sertifikasyon sonrası, BGYS’nizin etkili kaldığı ve iyi yönetildiği ile ilgili momentumu sürdürmek önemlidir. İç tetkikler ve gözetim denetimleri ile bunu sağlayabilirsiniz.

---

---