
ISO 27001:2022’nin Getirdiği Temel Değişiklikler
ISO/IEC 27001 standardı, bilgi güvenliği yönetim sistemleri (BGYS) için uluslararası bir çerçeve sunarak, kuruluşların bilgi varlıklarını koruma süreçlerini belirler. 25 Ekim 2022'de yayımlanan ISO/IEC 27001:2022 güncellemesi, bilgi güvenliği alanındaki gelişmelere uyum sağlamak amacıyla önemli değişiklikler içermektedir.
Yapısal Değişiklikler
Yeni sürüm, diğer ISO yönetim sistemi standartlarıyla uyumlu hale getirilerek, Uyumlaştırılmış Yapı (UY) olarak bilinen yapıya adapte edilmiştir. Bu değişiklik, standartların entegrasyonunu kolaylaştırmayı hedefler. Örneğin, Madde 6.3 "Değişikliklerin Planlanması" eklenerek, BGYS'deki değişikliklerin planlı bir şekilde yönetilmesi gerekliliği vurgulanmıştır.
Ek A Kontrollerindeki Değişiklikler
Ek A'daki kontroller, günümüzün bilgi güvenliği ihtiyaçlarına daha iyi yanıt verebilmek için yeniden düzenlenmiştir:
Kontrol Sayısı ve Yapısı
Önceki 14 kontrol başlığı altında toplanan 114 kontrol, yeni sürümde 4 ana başlık altında 93 kontrole indirilmiştir. Bu başlıklar:
- Organizasyonel Kontroller (A.5)
- Kişisel Kontroller (A.6)
- Fiziksel Kontroller (A.7)
- Teknik Kontroller (A.8)
Yeni Eklenen 11 Kontrol
Güncellenen standartta aşağıdaki yeni kontroller eklenmiştir:
- A.5.7 Tehdit İstihbaratı
- A.5.23 Bulut Hizmetlerinin Kullanımı için Bilgi Güvenliği
- A.5.30 İş Sürekliliği için BİT Hazırlığı
- A.7.4 Fiziksel Güvenlik İzleme
- A.8.9 Konfigürasyon Yönetimi
- A.8.10 Bilgilerin Silinmesi
- A.8.11 Veri Maskeleme
- A.8.12 Veri Sızıntısını Önleme
- A.8.16 İzleme Faaliyetleri
- A.8.23 Web Filtreleme
- A.8.28 Güvenli Kodlama
Geçiş Süreci
ISO 27001:2013 sertifikasına sahip kuruluşlar için, yeni sürüme geçiş süreci 31 Ekim 2025 tarihine kadar tamamlanmalıdır. Bu süre zarfında, kuruluşların mevcut BGYS'lerini güncelleyerek yeni standartla uyumlu hale getirmeleri gerekmektedir.
ISO/IEC 27001:2022 güncellemesi, bilgi güvenliği yönetim sistemlerini modern tehditlere karşı daha etkin kılmayı amaçlayan önemli değişiklikler içermektedir. Kuruluşların, bu yeni gerekliliklere uyum sağlayarak bilgi güvenliği süreçlerini güçlendirmeleri kritik öneme sahiptir.