ISO/IEC 27001:2022 STANDARDI REVİZYON GEÇİŞİ
ISO/IEC 27001:2022 standardı 25 Ekim 2022 tarihinde yayımlanmıştır.
Uluslararası Akreditasyon Forumu
(IAF), MD 26
dokümanında yeni versiyon için geçiş şartları açıklamıştır.
ISO/IEC 27001:2022 standardına göre firmaların uyması gereken zaman çizelgesi aşağıdaki gibidir;
|
TARİH |
FAALİYET |
|
25 Ekim 2022 |
ISO/IEC 27001:2022 standardının yayınlanması |
|
31 Ekim 2023 |
Belgelendirme kuruluşlarının standardın yayınlanmasından sonra 12 ay içinde yeni versiyona göre belgelendirme için akreditasyonlarını tamamlamış olacaktır. |
|
31 Ekim 2023 |
Belgelendirme kuruluşları müşterilerinden ilk belge başvurularını ISO/IEC 27001:2022'ye göre almaya başlayacaktır. TS EN ISO/IEC 27001:2017'ye göre ilk belgelendirme tetkikleri veya yeniden belgelendirme tetkikleri gerçekleştirmeyecektir. |
|
31 Ekim 2025 |
Belgeli tüm müşterilerin ISO/IEC 27001:2022'ye geçişinin tamamlanması gerekmektedir. |
Standartta editoryal değişiklikler yapılmıştır. Örneğin :
- "Uluslararası standart" yerine, standart genelinde "belge" terimi kullanılmıştır
- Daha kolay tercüme edilebilmesi için bazı İngilizce deyişler yeniden düzenlenmiştir
- Numaralandırma yeniden yapılandırılmıştır
- BGYS'yi uygulamaya koymak için gerekli süreçleri ve bunların etkileşimlerini tanımlama gerekliliği eklenmiştir
- Bilgi güvenliği ile alakalı organizasyonel rollerin kuruluş bünyesinde iletilmesine yönelik gereklilik eklenmiştir
- Yeni madde 6.3 - Değişiklik Planlaması eklenmiştir
- Kuruluşun madde 7.4 uyarınca iletişimin nasıl gerçekleştirileceğini belirlemesine yönelik yeni gereklilik eklenmiştir
- Operasyonel süreçlerle ilgili kriterlerin tesis edilmesine ve süreç denetiminin uygulanmasına yönelik yeni gereklilikler eklenmiştir
Bu revizyondaki temel değişiklikler Ek A'da verilmiştir, burada ISO/IEC 27002:2022'de yapılan değişiklikler yansıtılmıştır. Bu değişiklikler aşağıda verilmiştir:
Yapı, dört temel alana indirgenerek birleştirilmiştir
Önceki baskıda bulunan 14 alan yerine; Organizasyonel, Çalışanlar, Fiziksel ve Teknolojik alanları eklenmiştir
Listelenen denetimlerin sayısı 114'ten 93'e indirilmiştir
Bazı denetimler birleştirilmiş, bazıları kaldırılmış, yeni denetimler eklenmiş ve bazı denetimler ise güncellenmiştir
Öznitelikler kavramı sunulmuştur
Dijital güvenlik bağlamında kullanılan ortak terminolojiye uygun şekilde bu beş öznitelik sunulmuştur: Denetim türü, Bilgi güvenliği özellikleri, Siber güvenlik kavramları, Operasyonel yeterlilikler ve Güvenlik etki alanları