Bilgi güvenliği yönetim sistemi
Bilgi güvenliği yönetim sistemi standardı ISO/IEC 27001, şirketlere finansal bilgiler ve fikri mülkiyetten çalışan ayrıntılarına ve daha fazlasına kadar bilgi varlıklarını güvende tutmak için riskleri yönetme ve tehditlere karşı koruma sağlayan bir çerçeve sağlar.
Günümüzde bilgi güvenliği hemen her şirketin gündeminde yükseliyor. Yeni senaryolarla aciliyet değişiyor. Bulut ve otomasyon teknolojilerinin, yalnızca siber güvenlik, gizlilik, kötü amaçlı yazılım ve fidye yazılımlarının daha fazla benimsenmesi arasında, şirketler bağlamlarını, ana riskleri ve tehditleri ve ilgili paydaşları yapılandırılmış ve güvenilir bir şekilde yeniden değerlendirmek zorunda kalıyor.
2013’te yayınlanan sürümle birlikte, şirketlerin yeni senaryolarda gezinmesine ve mevcut güvenlik kontrollerinin yürürlükte olduğundan emin olmasına yardımcı olmak için yeni bir sürüm gerekliydi. Çünkü teknoloji gelişti, veriler çoğaldı ve merkezileşti. Peki standart?!?
Yenilenmiş ISO/IEC 27001:2022
Yeni ISO/IEC 27001:2022 sürümü, şirketlerin üstesinden gelmesi gereken yeni senaryoları ele alıyor. Değişiklikler esas olarak, güvenlik kontrollerinin eklendiği, silindiği veya birleştirildiği ISO/IEC 27002’nin yayınlanmasıyla öngörülen Ek A’dadır. Değişiklikler siber güvenlik ve mahremiyet konularını içerecek şekilde genişletildi ve kontrol dili yenilendi ve ek rehberlik eklendi. Bu, şirketlerin riskleri yönetmesine, hiçbir şeyin atlanmadığından emin olmasına ve gerektiği gibi takip etmesine yardımcı olur.
Son sürüm yayınlandı. Şaşırtıcı olmayan bir şekilde, güvenlik kontrolü değişiklikleri 11 yeni, 58 güncellenmiş ve 24 birleştirilmiş olarak oldukça önemli. Özellikle ele alınan değişen senaryolar şunlardır:
- Bulut ve otomasyon gibi dijital teknolojilerin tanıtılması;
- Son zamanlarda, bu tür teknolojilerin daha fazla benimsenmesi;
- Siber güvenlik ve gizlilik risklerini tanımak;
- Değişen tehdit ortamını yansıtmak, örneğin yeni kötü amaçlı yazılım ve fidye yazılımı türleri;
- NIST, COBIT vb. gibi diğer en iyi uygulamalarla uyumlu hale getirme.
- Kontrol dilini yenileme ve ek rehberlik ekleme
Değişikliklerden etkilenen ana alanlar şunlardır:
- Liderlik;
- Kurumsal güvenlik;
- BT İşlevi;
- Diğer destek işlevleri;
- Teslimat (hizmet sağlayıcılar için).
Uyumlu olmak için kuruluşların risk değerlendirmelerini yeniden değerlendirmeleri ve güvenlik kontrollerini yeniden oluşturmaları gerekir.
Kontrollerdeki değişikliklere ek olarak, 2022 baskısı ayrıca ISO’nun en son güncellemeleriyle yeniden uyumlu hale getirildi.
Geçiş zaman çizelgesi
ISO/IEC 27001’in yeni sürümü 25 Ekim 2022’de yayınlandı. Geçiş süresi 3 yıl olarak belirlendi. Bu nedenle mevcut 2013 sertifikalarının Kasım 2025’ten önce yeni sürüme geçirilmesi gerekmektedir.
Geçiş denetimi, 3 yıllık geçiş döneminde herhangi bir programlı denetim sırasında gerçekleştirilebileceği gibi, özel geçiş denetimi olarak da gerçekleştirilebilir.
Uygulamaya hazırlık
Geçiş için hazırlanmaya mümkün olduğunca erken başlamanızı ve gerekli değişiklikleri yönetim sisteminize dahil etmek için uygun şekilde planlamanızı öneririz.
Geçiş için önerilen adımlar:
- Yeni standardın içeriğini ve gerekliliklerini öğrenin. Gözden geçirilmiş standardın ima ettiği değişikliklere odaklanın.
- Kuruluşunuzdaki ilgili personelin eğitimli olduğundan ve gereksinimleri ve önemli değişiklikleri anladığından emin olun.
- Yeni gereklilikleri karşılamak ve bir uygulama planı oluşturmak için ele alınması gereken boşlukları belirleyin.
- Eylemleri uygulayın ve yeni gereksinimleri karşılamak için yönetim sisteminizi güncelleyin.
Nasıl destek olabiliriz?
İster şu anda ISO/IEC 27001 sertifikasına sahip olun, ister standartta yeni olun, CERTBy Laboratuvarı bilgi güvenliği yönetim sistemi belgelendirmenizi ve geçişinizi destekleyebilir. Dünyanın önde gelen bir belgelendirme kuruluşu olarak, dünyanın her yerindeki küçük ve büyük şirketlerle bilgi güvenliği ve gizlilik ihtiyaçları için çalışıyoruz.
2013 sürümünden 2022 sürümüne geçmeye hazırlanıyorsanız, size şu konularda destek olabiliriz:
- Revizyon hakkında bilgi edindiğiniz ve önemli değişiklikler ile geçiş süreci hakkında temel bir genel bakış elde ettiğiniz eğitim.
- Yönetim sisteminizin yeni gereksinimleri ne kadar iyi karşıladığını ölçmek için çevrimiçi öz değerlendirme araçları ve tesis içi/site dışı boşluk değerlendirmeleri.
- Sertifikanızı standardın yeni versiyonuna uygun hale getirmek için geçiş denetimi.
Sizi her adımda destekleyebiliriz.
ISO/IEC 27001 sertifikasını ilk kez mi keşfediyorsunuz? Özelliği, avantajları ve sertifikasyona giden yolu hakkında daha fazla bilgi edinmek için lütfen bilgi güvenliği yönetim sistemi hizmet sayfamızı ziyaret edin.
