ISO/IEC 27001:2022 standardı 25 Ekim 2022 tarihinde yayımlanmıştır. Uluslararası Akreditasyon Forumu (IAF), yeni versiyon için geçiş şartları açıklamıştır. Buna göre; ISO 27001:2013 BGYS sertifikasına sahip kurumlar ISO/IEC 27001:2022'ye geçişini standardın yayınlanmasından sonra 36 ay içinde tamamlamış olmaları gerekmektedir.

ICT TREND ACADEMY'nin hedefi, müşterilerimizin kolayca anlayıp uygulayabileceği net bir geçiş yaklaşımı sürdürmektir. Amacımız, kuruluşlara ISO 27001:2013'ten ISO 27001:2022'ye geçişi sorunsuz hale getirmek için rehberlik sağlamaktır.

Uzmanlarımız kuruluşunuzun mevcut güvenlik duruşunu kapsamlı bir şekilde anlamak için bir analizi gerçekleştirecektir. Daha sonra, BGYS'nizi ISO 27001:2022'nin katı gerekliliklerine göre değerlendirerek ayrıntılı bir karşılaştırma yapacağız. Boşlukları ve uyumsuzlukları belirleyerek size iyileştirme için net bir yol haritası sunacağız.

Son Tarih : 31 Ekim 2025

Bu tarihten sonra ISO/IEC 27001:2013 sertifikaları geçerliliğini yitirecektir.

Yönetim sistemi standartları için uyumlu yapı (yani Ek SL) ile daha iyi uyum sağlamak amacıyla ISO 27001 standardının gövdesinde değişiklikler yapılmıştır.

Dikkat çekici olarak, aşağıdaki gerekliliklerde değişiklikler yapılmıştır:

• 4.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması
• 4.4 Bilgi güvenliği yönetim sistemi
• 6.2 Bilgi güvenliği hedefleri ve bunlara ulaşmak için planlama
• 6.3 Değişikliklerin planlanması
• 8.1 Operasyonel planlama ve kontrol
• 9.1 İzleme, ölçme, analiz ve değerlendirme
• 9.3.2 Yönetim inceleme girdileri
• 10 İyileştirme

Ek A kontrolleri, 14 kontrol hedefinden, Organizasyonel, İnsan, Fiziksel ve Teknolojik Kontrolleri içeren 4 geniş temaya yeniden gruplandırıldı. Ek A'daki genel kontrol sayısı, önceki baskıdaki 114 kontrole kıyasla 93'tür Ancak, daha önceki bazı kontroller daha geniş kapsamlı yeni kontrollerle birleştirildi ve 11 yeni kontrol eklendi. Bunlar arasında şunlar yer alıyor:

1. Tehdit İstihbaratı
2. Bulut Hizmetlerinin Kullanımı İçin Bilgi Güvenliği
3. İş sürekliliği için BİT hazırlığı
4. Fiziksel Güvenlik İzleme
5. Yapılandırma Yönetimi
6. Veri Silme
7. Veri Maskeleme
8. Veri Sızıntısı Önleme
9. İzleme Faaliyetleri
10. Web Filtreleme
11. Güvenli Kodlama

Ayrıca, ISO 27002:2022 kontrolleri çeşitli şekilde kategorilere ayırmak için 5 kontrol niteliğini tanımlar; nitelikler şunları içerir:

1. Kontrol Türü
2. Bilgi Güvenliği Özellikleri
3. Siber Güvenlik Kavramları
4. Operasyonel Yetenekler
5. Güvenlik Alanları

ISO 27002:2022 ayrıca her bir kontrolün amacını daha iyi açıklamak için her bir bireysel kontrol için bir amaç tanımlar.

Müşterilerin geçiş süreçlerinde başarılı olmalarını sağlamak için ICT TREND ACADEMY aşağıdaki adımları önermektedir:

Kuruluşlar, geçiş denetimleri yapılmadan önce yönetim sistemlerini ISO 27001:2022 gerekliliklerine uygun şekilde geçirmelidir . Bu, herhangi bir belge değişikliğini ve yeni veya değiştirilmiş süreç gerekliliklerinin kanıtlarını içermelidir.

Kuruluşlar, resmi geçiş denetimlerinden önce ICT TREND ACADEMY ‘ye bir geçiş boşluğu değerlendirmesi yaptırabilir. Bu, daha önceki bir ISO 27001:2013 gözetimiyle birlikte veya geçiş denetimlerinden önce herhangi bir bağımsız zamanda gerçekleştirilebilir.

Geçişinizde size yardımcı olmak için bir Boşluk Rehberi ve Boşluk Analizi Aracı hazırladık , bu nedenle daha fazla bilgi edinmek ve geçişinize başlamak için lütfen randevu alın.

Tüm kuruluşlar, revize edilen standardın uygulanmasını doğrulamak için bir geçiş denetimine sahip olmalıdır. Geçiş denetimi, mevcut bir denetimle birlikte yürütülebilir veya tek başına bir denetim olabilir.

Geçiş denetimi mevcut bir gözetim (yani geçiş gözetimi) veya yeniden sertifikasyon denetimi (yani geçiş yeniden değerlendirmesi) ile birlikte yürütülüyorsa, ISO 27001:2022 ile getirilen yeni gereklilikleri/kavramları kapsayacak şekilde denetim süresine ek süre eklenebilir.

Geçiş denetimi için tek başına denetim yapılması halinde süre, kuruluş bazında hesaplanır.

Not: Geçiş için belirli denetim süreleri, kuruluşun büyüklüğü ve ISMS'nin karmaşıklığı dahil olmak üzere kuruluşun gerçek durumuna bağlı olacaktır. ICT TREND ACADEMY Müşteri temsilciniz size belirli geçiş denetim sürenizi bildirecektir

• ISO 27001:2013 versiyonu risk değerlendirme, politika/prosedür dokümanlarının gözden geçirilmesi ve eksiklerin giderilmesi
• ISO 27001:2022 yeni versiyon değişikliklerin belirlenmesi
• Yeni versiyon için dokümanların hazırlanması ve uygulamanın nasıl yapılacağının değerlendirilmesi
• Farkındalık ve uygulama eğitimlerinin verilmesi
• Yeni versiyon gereksinimlerine uygun olarak denetim süreçlerine destek verilmesi

ISO/IEC 27001:2022 Standardı Geçiş Paketi için firmanızla toplantı düzenlemek ve hizmet detaylarını sunmaktan mutluluk duyarız.