ISO 27001:2022 REVİZYONU

ISO 27001:2022 REVİZYONU

ISO 27001:2013 VE ISO 27001-2022 REVİZYONU

dünyanın önde gelen bilgi güvenliği standardı olan ISO 27001 güncellendi – 25 Ekim 2022'de yeni ISO/IEC 27001:2022 yayınlandı. Bu revizyon sadece orta dereceli değişiklikler getirse de, bunları yakından incelemek hayati önem taşımakta. tüm değişiklikleri gözden geçirip bu 2022 revizyonunun ISO 27001'in eski 2013 revizyonuyla nasıl karşılaştırıldığını görelim.

ISO 27001 2022 revizyonundaki ana değişiklikler:

  • ISO 27001'in ana kısmı, yani 4 ila 10 arasındaki maddeler sadece biraz değişti.
  • Ek A güvenlik kontrollerindeki değişiklikler orta düzeydedir.
  • Kontrol sayısı 114'ten 93'e düşürüldü.
  • Kontroller önceki 14 bölüm yerine 4 bölüme yerleştirilmiştir.
  • 11 yeni kontrol var, kontrollerin hiçbiri silinmedi ve birçok kontrol birleştirildi.

ISO 27001 ve ISO 27002 geçmişi

ISO 27001'in ilk versiyonu 1999'da BS 7799-2 adı altında yayınlandı ve o zamandan beri birçok değişiklik geçirdi.

ISO 27001, ISO 27002 ile karıştırılmamalıdır - birincisi şirketinizi sertifikalandırabileceğiniz ana standart iken, ikincisi güvenlik kontrollerinin uygulanmasına ilişkin yönergeler sağlayan destekleyici standarttır. En önemli fark, ISO 27002'nin ISO 27001 sertifikası için zorunlu olmaması ve bir şirketin ISO 27002'ye göre sertifika alamamasıdır.

ISO 27002 ilk olarak 1995 yılında BS 7799-1 adı altında yayınlandı ve bu yılın Şubat ayında ISO 27002:2022 revizyonu 93 kontrolden oluşan yeni yapıyla yayınlandı, aşağıda açıklandığı üzere aynı kontrol yapısı tam olarak ISO 27001:2022 tarafından benimsendi.

Karşılaştırma

Genel olarak, 2013 revizyonuyla karşılaştırıldığında, ISO 27001:2022 revizyonundaki değişiklikler küçük ila orta düzeydedir. Standardın ana kısmındaki 11 madde durmaktadır ve standardın bu kısmındaki değişiklikler küçük sayılabilecek niteliktedir.

İlk bakışta, Ek A oldukça değişmiş gözükmektedir; kontrol sayısı 114'ten 93'e düşmüş ve 2013 revizyonundaki 14 bölüme kıyasla sadece dört bölüm halinde düzenlenmiştir. Bununla birlikte, daha yakından bakıldığında, Ek A'daki değişikliklerin yumuşak bir geçiş yapısında olduğu ortaya çıkmaktadır.

Yönetim sistemindeki değişiklikler

4'ten 10'a kadar olan zorunlu maddelerin metinleri, esas olarak ISO 9001, ISO 14001 ve diğer ISO yönetim standartları ve Annex SL ile uyum sağlamak için sadece biraz değişmiştir.

Standart daha henüz yayınlandığı ve Bilgi güvenliği ile uğraşan otoriteler henüz değişiklikleri tam olarak yorumlayıp görüş birliğine varmadıkları için ISO 27001:2022'deki değişikliklere kısaca bir bakalım;

  • Madde 4.2'ye (İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması), ilgili taraf gereksinimlerinden hangisinin BGYS aracılığıyla ele alınması gerektiğinin bir analizini gerektiren (c) maddesi eklenmiştir.
  • Madde 4.4'e (Bilgi güvenliği yönetim sistemi) BGYS kapsamında süreçler ve bunların etkileşimlerinin planlanmasını gerektiren bir ibare eklenmiştir.
  • Madde 5.3'e (Kurumsal roller, sorumluluklar ve yetkiler), rollerin iletişiminin kurum içinde dahili olarak yapıldığını açıklığa kavuşturmak için bir ifade eklenmiştir.
  • Madde 6.2'ye (Bilgi güvenliği hedefleri ve bunlara ulaşmak için planlama), hedeflerin izlenmesini gerektiren (d) maddesi eklenmiştir.
  • BGYS'deki herhangi bir değişikliğin planlı bir şekilde yapılmasını gerektiren Madde 6.3 (Değişikliklerin planlanması) eklenmiştir.
  • Madde 7.4'te (İletişim), iletişim için süreçlerin ayarlanmasını gerektiren (e) maddesi silinmiştir.
  • Madde 8.1'de (Operasyonel planlama ve kontrol), güvenlik süreçleri için kriterlerin oluşturulması ve bu kriterlere göre süreçlerin uygulanması için yeni gereksinimler eklenmiştir. Aynı fıkrada, hedeflere ulaşmak için planların uygulanması şartı kaldırılmıştır.
  • Madde 9.3'e (Yönetim gözden geçirmesi), ilgili taraflardan gelen girdilerin onların ihtiyaç ve beklentilerinin BGYS ile ilgili olması gerektiğini açıklayan yeni madde 9.3.2 c) eklenmiştir.
  • Madde 10'da (İyileştirme), alt maddeler yer değiştirmiştir, dolayısıyla birincisi Sürekli iyileştirme (10.1), ikincisi ise Uygunsuzluk ve düzeltici faaliyet (10.2) olup, bu maddelerin metni değişmemiştir.

Ek A güvenlik kontrollerindeki değişiklikler

Aslında, Ek A'daki değişiklikler sadece orta düzeyde çünkü kontrollerin çoğu ya aynı kaldı (35 tanesi) ya da sadece yeniden adlandırıldı (23 tanesi). 57 kontrol birleştirildi, bu da kontrol sayısını azalttı, ancak bu kontrollerdeki gereksinimler neredeyse aynı kaldı. Son olarak, gereksinimler aynı kalırken bir kontrol iki ayrı kontrole bölündü ve Bilgi teknolojileri ile güvenlikteki trendler nedeniyle ihtiyaç duyulan 11 yeni kontrol eklendi.

Geçiş dönemi

Uluslararası Akreditasyon Forumu'nun "ISO/IEC 27001:2022 için geçiş gereksinimleri" belgesine göre, halihazırda ISO 27001:2013'e göre sertifika almış şirketler için, ISO 27001:2022'ye geçişin 31 Ekim 2025'e kadar tamamlanması gerekiyor.

Belgelendirme kuruluşlarının en geç 31 Ekim 2023 tarihine kadar şirketleri ISO 27001:2022'ye göre belgelendirmeye başlaması gerekiyor ama görünen o ki çoğu bu yeni revizyona çok daha erken başlayacak

Ne kadar değişti?

Özetlemek gerekirse, standardın ana kısmındaki değişiklikler sadece küçüktür ve dokümantasyon ve süreçlerde yapılacak küçük değişikliklerle oldukça hızlı bir şekilde 2022 versiyonuna uyumlu hale getirilebilir. Ek A kontrollerindeki değişiklikler orta düzeydedir ve çoğunlukla mevcut belgelere yeni kontroller eklenerek ele alınabilir

Bu yeni revizyon için dokuz (uzun) yıl bekledikten sonra, bazı güvenlik uzmanları değişikliklerin daha kapsamlı olmasını beklemekteydi ancak 2013 revizyonuna göre sertifika almış olan şirketlerin, yapılacak iş o kadar da çok gözükmediği için rahatlayacaklarına inanıyoruz. . Burada önemli olan yukarıda yüzeysel olarak ele aldığımız değişiklikleri, içimize sindirerek doğru yorumlamak ondan sonra acele etmeden harekete geçmektir.

Diğer Bloglarımız
YOLSUZLUKLA MÜCADE
YOLSUZLUKLA MÜCADE
ISO 20000 ITSMS AVANTAJLARI
ISO 20000 ITSMS AVANTAJLARI
ISO 22301 İş Sürekliliğinin Faydaları
ISO 22301 İş Sürekliliğinin Faydaları
ISO 20000-1
ISO 20000-1