
ISO 27001:2022 Standartının Gətirdiyi Əsas Dəyişikliklər
ISO/IEC 27001 standartı, informasiya təhlükəsizliyi idarəetmə sistemləri (İTİS) üçün beynəlxalq çərçivə təqdim edərək təşkilatların informasiya aktivlərini qoruma proseslərini müəyyən edir. 25 oktyabr 2022-ci ildə dərc olunan ISO/IEC 27001:2022 yenilənməsi, informasiya təhlükəsizliyi sahəsindəki inkişaflara uyğunlaşmaq məqsədilə əhəmiyyətli dəyişikliklər ehtiva edir.
Struktur Dəyişikliklər
Yeni versiya, digər ISO idarəetmə sistemi standartları ilə uyğunlaşdırılaraq "Uyğunlaşdırılmış Struktur" (UY) olaraq tanınan quruluşa inteqrasiya olunmuşdur. Bu dəyişiklik, standartların birgə tətbiqini asanlaşdırmağı hədəfləyir.
Vacib Nöqtə
6.3-cü maddə “Dəyişikliklərin Planlaşdırılması” əlavə edilmiş və İTİS-dəki dəyişikliklərin planlı şəkildə idarə olunması zəruriliyi vurğulanmışdır.
Əlavə A Nəzarətlərindəki Dəyişikliklər
Əlavə A-da yer alan nəzarət tədbirləri, müasir informasiya təhlükəsizliyi ehtiyaclarına daha yaxşı cavab vermək üçün yenidən təşkil olunmuşdur.
Nəzarət Sayı və Quruluşu
Əvvəlki 14 nəzarət başlığı altında toplanan 114 nəzarət tədbiri, yeni versiyada 4 əsas başlıq altında 93-ə endirilmişdir:
- Təşkilati Nəzarətlər (A.5): Siyasətlər, rollar və məsuliyyətlər kimi idarəetmə məsələlərini əhatə edir.
- Şəxsi Nəzarətlər (A.6): İşçilərin maarifləndirilməsi, təlimi və davranışlarına yönəlmişdir.
- Fiziki Nəzarətlər (A.7): Fiziki təhlükəsizlik tədbirləri və giriş nəzarətini əhatə edir.
- Texniki Nəzarətlər (A.8): İnformasiya sistemləri üzərindəki texniki tədbirləri müəyyən edir.
Əlavə Olunan 11 Yeni Nəzarət
Yenilənmiş standartda aşağıdakı 11 yeni nəzarət tədbiri mövcuddur:
A.5.7 Təhdid Kəşfiyyatı
Potensial təhdidlərin öncədən müəyyən olunması üçün kəşfiyyat prosesləri.
A.5.23 Bulud Xidmətlərində Təhlükəsizlik
Bulud xidmətlərindən təhlükəsiz istifadə qaydaları.
A.5.30 İKT Biznes Davamlılığı
İnformasiya və kommunikasiya texnologiyalarında davamlılıq tədbirləri.
A.7.4 Fiziki Təhlükəsizlik Monitorinqi
Müşahidə kameraları və digər fiziki nəzarət sistemləri.
A.8.9 Konfiqurasiya İdarəetməsi
Sistem komponentlərinin konfiqurasiyasının izlənməsi.
A.8.10 Məlumatların Silinməsi
Təhlükəsiz məlumat məhv etmə üsulları.
A.8.11 Məlumat Maskalanması
Həssas məlumatların maskalanma üsulları ilə qorunması.
A.8.12 Məlumat Sızmasının Qarşısının Alınması
Məlumat itkisi və xaricə sızmasının qarşısını alma texnikaları.
A.8.16 Monitorinq Fəaliyyətləri
İnformasiya sistemlərinin daimi monitorinqi.
A.8.23 Veb Filtrləmə
İnternetə çıxışın təhlükəsiz şəkildə nəzarətdə saxlanması.
A.8.28 Təhlükəsiz Kodlaşdırma
Proqram təminatı hazırlanmasında təhlükəsizlik tədbirləri.
Keçid Prosesi
ISO 27001:2013 sertifikatına sahib olan təşkilatlar yeni versiyaya keçidi 31 oktyabr 2025-ci il tarixinədək başa çatdırmalıdır. Bu müddət ərzində mövcud İTİS-lər yenilənərək yeni standartla uyğunlaşdırılmalıdır.
ISO/IEC 27001:2022 yenilənməsi, informasiya təhlükəsizliyi idarəetmə sistemlərini müasir təhdidlərə qarşı daha effektiv hala gətirməyi hədəfləyən mühüm dəyişikliklər ehtiva edir. Təşkilatlar bu yeni tələblərə uyğunlaşaraq informasiya təhlükəsizliyi proseslərini gücləndirməlidirlər.