Uzun zamandır güncelleme gelmeyen ISO27001:2013’e en sonunda majör update geliyor.
ISO27001:2013’e en son 2017 de minör bir update gelmişti. Bu update’de bir kaç cümle değiştirilmişti ve açıkcası pek dikkate alınmamıştı.
2022 senesinde en sonunda majör update kapıda. Bu güncelleme ile birlikte ISO27002 bu ay, ISO27001 ise Mart ayında bizimle birlikte olacak.
Peki bu güncelleme ile bizi neler bekliyor?
ISO27001:2013 sertifikasına sahipsiniz fakat şu an ISO27001:2021 kapıda.
ISO27001:2013 sertifika sahibi olan işletmelerde yeni sertifikaya bir geçiş süreci olacaktır. Sürecin ne kadar sürede tamamlanması gerektiğine dair kesin bir bilgi olmasada, geçmiş deneyimlerimize göre en az 18-24 ay süresinin olacağınız söyleyebiliriz.
18-24 ay süre, mevcut yapının gözden geçirilmesi ve geçiş hazırlıkları için önemli bir süre. Tavsiyem ISO27001 denetim ekibinizle birlikte bu konuyu masaya yatırmanız ve bir geçiş aksiyon planı oluşturmanız yönünde olacaktır.
Peki değişiklikler neler?
ISO27001:2013 (EK-A) da 14 ayrı alanda toplamda 114 kontrol bulunmakta. ISO27001:2021 de ise 4 alan üzerinde 93 kontrol olacak, bunlar;
Organizasyonel Kontroller – 37 kontrol
Kişi Kontrolleri – 8 kontrol
Fiziksel Kontroller- 14 kontrol
Teknolojik Kontroller – 34 kontrol
Bu bağlamda birçok alan kontrollerinin ortadan kalktığını görebiliriz fakat daha önemlisi yaşadığımız dünyanın trendlerini izleyen 11 yeni kontrolümüz bulunmakta bunlar;
Threat intelligence (5.7)
Information security for the use of cloud services (5.23)
ICT readiness for business continuity (5.30)
Physical security monitoring (7.4)
Configuration management (8.9)
Information deletion (8.10)
Data leakage prevention (8.12)
Monitoring activities (8.16)
Web filtering (8.22)
Secure coding (8.28)
Önemli bir değişiklik daha bulunmakta, her kontrol’e 5 öznetlik atanmış durumda bunlar;
Kontrol Türü – Önleyici, Tespit edici, Düzeltici
Güvenlik Özellikleri – Gizlilik, Bütünlük, Erişilebilirlik
Siber Güvenlik Konsepti – Tanımlama, Koruma, Algılama, Yanıtlama, Veri Kurtarma
Operasyonel Yetkinlikler
Etki Alanı Güvenliği – Yasal standartlar, Koruma, Savunma, Dayanıklılık
Bu değişikliklerle birlikte 27001:2021 in köklü değişiklikler içerdiğini söyleyebiliriz. Bu değişikliğin en önemli göstergesi ise standartın ön kapağında yer almakta. 2013 versiyonunda ” Bilgi Teknolojisi-Güvenlik Teknikleri- Bilgi güvenliği kontrolleri için uygulama kuralları” yazarken 2021 versiyonunda “Bilgi Güvenliği, Siber Güvenlik ve Gizlilik koruması – Bilgi güvenliği kontrolleri” yazmaktadır.
Bilgi teknolojisi bakış açısı daha çok Bilgi güvenliği olarak değişmiş. Bununla birlikte siber güvenlik ve gizlilik korumasına önem artmış.
Bu güncelleme ile sonunda ihtiyaç duyulan bilgi güvenliği, siber güvenlik ve gizlilik konularının aynı çatı altında toplandığı mevcut dünya trendlerine göre evrilebilen bir standart oluşmuş.
27001 danışmanı olarak en heycanlandığım konu ise bu standart ile birlikte siber güvenliğe duyulacak ilginin artacak olması ve zaten trendde olan siber security odağının artık şirketlerin olmazsa olmazı haline geleceği.
Okuduğunuz için teşekkürler.