• ISO/IEC 27006-1:2024’teki Başlıca Yenilikler

Özellikle pandemi sonrası dönemde yaygınlaşan uzaktan denetimler, daha detaylı rehberlik ve esneklik sunularak resmileştirilmiştir.

1. 1. Uzaktan denetim yöntemlerine daha fazla ağırlık verilmiş, sanal organizasyonlar ve modern çalışma pratikleri göz önüne alınmıştır.
   2. Denetim raporlarında, uzaktan denetimlerin kapsamı ve etkinliği açıkça belirtilmelidir.
   3. %30’dan fazla uzaktan denetim yapılan durumlar için akreditasyon kurumunun onay gerekliliği kaldırılmıştır.

• Denetim Sürelerinin Hesaplanmasındaki Değişiklikler

Gözetim, yeniden sertifikasyon, çoklu tesis ve kapsam genişletme denetimlerinde net ve uygulanabilir çözümler sağlanmıştır.Standart, denetim sürelerini hesaplamak için Ek C’de daha ayrıntılı bir rehberlik sunmaktadır.

• • Denetim süresi hesaplamalarına ilişkin yeni düzenlemeler getirilmiştir, özellikle kapsam genişletmeleri ve çoklu site denetimleri için.
  • Birden fazla kişinin aynı görevleri yaptığı durumlarda daha esnek bir yaklaşım benimsenmiştir

• BGYS Kontrollerinin Gözden Geçirilmesi

Özellikle Standart, ISO/IEC 27001:2022’ye uygun hale getirilmiştir. Kontroller, Ek E’de yeni bir rehberlik ile daha açıklayıcı şekilde ele alınmıştır. Organizasyonların kendi kontrol mekanizmalarını oluşturmasına veya başka kaynaklardan uyarlamasına olanak tanımıştır.

• • Eski Ek D, artık Ek E olarak adlandırılmış ve ISO/IEC 27001:2022 kontrolleri ile uyumlu hale getirilmiştir.
  • Kontrollerin gözden geçirilme yöntemleri ve uygulanabilirliğine dair kanıtlar için rehberlik sağlanmaktadır

• Yetkinlik ve Deneyim:

Denetçiler için daha esnek bir yaklaşım benimsenmiştir.

ISO/IEC 27006:2015’te denetçi olabilmek için bazı katı gereklilikler bulunuyordu. Örneğin, adayların 40 saatlik bir başdenetçi eğitimine katılmaları, bu eğitimi başarıyla tamamladıklarını belgelendirmeleri ve ilgili alanda dört yıl tam zamanlı iş tecrübesine sahip olmaları gerekiyordu. Ancak bu gereklilikler, eğitim süreçlerinin ticari bir bakış açısıyla ele alınmasına neden oldu.

Bu yaklaşım, eğitim kurumlarının daha çok gelir elde etmeyi hedefleyerek denetçi adaylarının yetkinliklerini geliştirmek yerine yoğun şekilde başdenetçi sertifikası dağıtmasına yol açtı. Son beş yılda verilen başdenetçi sertifikalarının sayısındaki artış, denetim etkinliğini ve müşteri memnuniyetini olumsuz etkiledi.

Bu durum, “Yönetim Sistemlerinde Denetçi / Başdenetçi Olmak” başlıklı makalede de ele alındığı gibi, denetim metodolojisinin anlaşılması ve denetim tekniklerinin doğru uygulanması konularında ciddi sorunlara yol açtı. Aşırı sertifikasyon, denetçilerin yetkinliklerini sorgulanan bir noktaya getirdi ve bu durumun hem sektör standartlarını hem de müşteri beklentilerini karşılamada zorluklar yaratmasına neden olduğu gözlemlendi.

Yeni standartta bu gerekliliklerin esnetilmesi, denetçilerin gerçek yetkinliklerini eğitim veya mesleki deneyim ile kanıtlamalarını mümkün kılarak daha etkin bir denetim sürecini teşvik etmeyi hedefliyor.

bunun yerine, yeterliliklerini eğitim ve mesleki deneyimle kanıtlamaları beklenmektedir.

• • BGYS denetçilerinin dört yıllık tam zamanlı iş deneyimi gerekliliği kaldırılmıştır. Ancak, yetkinlik, eğitim veya eşdeğer deneyimle kanıtlanmalıdır.

• Belgelendirme Kuruluşları İçin Esneklik

ISO/IEC 27006-1:2024, belgelendirme kuruluşlarının sertifikasyon süreçlerini sadeleştirir ve ISO/IEC 17021-1 ile daha iyi bir uyum sağlar. Bu, gereksiz tekrarlardan arındırılmış bir denetim ve sertifikasyon süreci sunar.

• Bu Değişik Kime Ne Fayda Sağlar?

• Müşteriler İçin:

ISO 27001 belgelendirme sürecine dair bilgi sahibi olan kuruluşlar, süreçleri daha etkili yönetebilir ve olası gecikmeleri önleyebilir. Bu durum özellikle kapsam belirleme ve sertifikasyon başvurularında önemlidir.

• Denetçiler İçin:

Yeni veya mevcut denetçilerin, standarttaki güncel değişiklikleri anlaması ve sertifikasyon süreçlerini bu doğrultuda yürütmesi gerekir. Yeterlilik ve deneyim gereklilikleriyle ilgili esneklik, ve sertifika sahibi değil alanında uzmanların  bu alana faaliyet göstermelerine ve etkin denetim yapmalarına teşvik edecektir.

• Belgelendirme Kuruluşları İçin:

Akredite kuruluşların, 2024 itibarıyla ISO/IEC 27006-1’e tam uyum sağlamaları beklenir. Bu standart, denetim sürelerinin doğru hesaplanması ve uzaktan denetimlerin etkin kullanımı gibi alanlarda rehberlik eder.

• Son Olarak Geçiş Süreci

1 Mart 2024: ISO/IEC 27006-1:2024’ün yayımlanması.

1 Mayıs 2024: Belgelendirme kuruluşlarının yeni standart ile uyum değerlendirmelerine başlaması.

31 Temmuz 2025: Tüm belgelendirme kuruluşlarının geçiş sürecini tamamlaması.

Bu tarihlere uyum, hem müşteriler hem de belgelendirme kuruluşları için sorunsuz bir geçişi garanti altına alır.

Tüm ilgili tarafların memnuniyeti sağlayacak daha etkin denetimler yapma dileği ile…