ISO 27001 Belgesinin 2022 Revizyonuna Geçişte Yapılacak İlk 7 Şey

Bilgi Güvenliği

ISO 27001 BGYS (Bilgi Güvenliği Yönetim Sistemi) 2013 yılında yayınlanan versiyonu 2022 revizyonuyla son haline güncellendi. Bu yenilenmeyle birlikte eski standarttan yeni uygulamaya geçiş ve yıllık belgelendirme ara denetimleriyle bir yılık bir geçiş süre tanındı.

ISO 27001 kısaca bilgi güvenliği yönetim sistemi olup müşteri ve tedarikçi bilgilerinin korunması üzerine tedbirleri içermektedir. 2022 revizyonu sonrası dikkat edilmesi gereken 7 noktayı bu yazımızda değerlendirmeye aldık.

ISO 27001 Belgesi Almak Yasal Zorunluluk Mudur?

“ISO 27001 belgesinin alınması yasal bir zorunluluk olmayıp gönüllü olarak alınan bir belgedir. Bununla birlikte KVKK (kişisel verilerin korunması kanunu) ve diğer zorunlu kanuni şartların uygulanmasını kolaylaştırması, doğru ve düzenli bir şekilde yasal mevzuatların uygulanmasında kurum ve kuruluşlara rehberlik etmesi (yol göstermesi) açısından alınması gereklidir.” (alıntılanan kaynak yazı için bu siteye bakınız);

ISO 27001 belgesi almakla alakalı yaptığımız araştırmada yukarıda bir kısmını özet verdiğimiz makale bizim için yol gösterici oldu. Bizde konuyla ilgili ISO 27001:20233 revizyonuna gçişte firmaların üzerinde en çok kafa patlatabilecekleri yedi maddeyi incelemeye aldık.

Bu yazının BGYS yönetim sistemi uygulamaları ve 2022 revizyon geçiş iç tetkik ve belgelendirme denetimleri için neler yapılması gerektiğini paylaşıyoruz.

1: Hangi ISO 27001 Standard Maddelerinin Değiştiğini Anlayın

Eski ISO 27001 standardından farklı olarak yeni revizyonla hangi değişikliklerin geldiğini anlamaya çalışın.

Yeni ISO 27001 Bilgi Güvenliği Yönetim Sistemi 2022 revizyonu, 25 Ekim 2022’de yayımlandı. ISO 27001: 2022’nin başlıca yeni güncellemelerinden bazıları, EK A kontrol listesinde önemli bir değişiklik, diğer maddelerde küçük güncellemeler ve bazı alt başlıklarda bir değişiklik içermektedir.

Standardın ana bölümündeki değişiklikler çok büyük olmamakla birlikte dokümantasyonel süreçlerde küçük değişikliklerle oldukça hızlı bir şekilde adaptasyon sağlanabilir. Ek-A kontrollerindeki değişiklikler ise orta düzeydedir ve çoğunlukla yeni kontrollerin mevcut belgelere eklenmesiyle birlikte ISO 27001:2022 standardına uygun şekilde düzenlenebilir.

Ana maddeler ile alt maddeler ve “ISO 27001 EK A Güvenlik Kontrollerindeki Revizyonlar” dikkat çekmektedir. Burada dikkat çeken Bazı kontroller silinip, 24 kontrol birleştirilmiştir ve 58 kontrol revize edilmiştir. Gelişen bilgi güvenliği ve siber güvenlik ortamını ele almak üzere tasarlanan 11 güvenlik kontrolü de yeni eklenmiş olmasıdır.

ISO 27001: 2022 revizyonu ile ISO 27001:2013 standard maddelerinin karşılaştırılması sizi doğrudan sonuca götürecektir. Bu açıdan ele alındığında her iki (2013 vs 2022) standardın pdf dokümanlarının TSE’den temin edilerek karşılaştırılması en yerine davranış olacaktır.

2: Değişen ISO 27001 Maddelerini Denetleyin

Değişen standard maddelerini denetlemek suretiyle gerekli kontrolleri yapın. Sizin elinizdeki bilgi güvenliği kontolleri, envanter kayıt listeleri, erişim izinleri gibi dokümanları gözden geçirin. Çünkü bu kontrolü yapmadığınızda yeni 2002 revizyonunu eski sisemin üzerine hatalı şekilde giydirebilirsiniz.

Bu durum sizin için yorucu bir süreci çok daha yorucu hatta zaman zaman içinden çıkılmaz durumlara sokabilecektir.

3: BGYS Varlık Envanterini Kontrol Edin

Varlık envanteri, kuruluşta bulunan her bir varlığın boşta kalmayacak şekilde varlık sorumlusuna zimmetlenmesiyle benzer etkileşime sahiptir. Bu çoğu açıdan bilgi güvenliği yönetim sistemi için (BGYS) oldukça önemlidir.

Varlık envanteri hazırlanırken kafa karıştırıcı olmaktadır. Aslında bulunan her bilgi varlığının korunması amacıyla kayıt altına alınarak bilincin artırılması. O varlık envanterine kayıt edilen varlığın Uygulamalarda (özellikle envanter değerlerinin belirlenmesi ve risk analizlerinin yapılmasında) önemle dikkat edilmesi gereken üç unsur; bilginin gizliliği, bilginin bütünlüğü ve bilgiye erişilebilirliktir.

Ayrıca bunların sorumlu ve sorumluluklarının da görev tanım listesiyle belirlenmiş gerekli yetkinliklere göre atamaların yapılmış olması zorunludur.

4: Gözden Kaçan ISO 27001 Geçiş Dokümanlarını Arayın

ISO 27001 Belgesinin 2022 Revizyonuna Geçişte Yapılacak İlk 7 Şey

Tüm revizyonu yapabilmek amacıyla aslında eski dokümanları değişiklik yönetim prosedürüyle anlamak hangi değişimlerin yapılması gerektiğine karar vermek ve uygulamak için adım adım tüm adımlarının kısa özetidir.

Gözden kaçan ISO 27001 dokümanları (konu hakkında daha fazla doküman için bakınız) siz yapıyı değiştirip dokümanlara yeniden numara verdiğinizde tamda ISO 27001 belgesinin yenilenme denetiminde başınıza majör hata olarak sorunlar çıkarmasın.

Aramak bu manada önemlidir. Eksik olabilecek prosedür, liste, kayıt ve BGYS dokümanlarının tamamı gözden geçirilmiş olmalıdır.

5: Revizyonu Uygulamak İçin ISO 27001 Geçiş Eğitimi Alın

Açık konuışmak gerekirse ISO 27001 BGYS için 2022 revizyonuna geçiş eğitimi almanız gerçek anlamda önemlidir.

Bu arada eski iç denetçi eğitim sertifikalarınızı yenilemiş olacağınız gibi “Bilgi Güvenliği Yönetim Sistemi İç Tetkikçi Eğitiminin” temel hedefi, tetkiklerinin planlanmasında, uygulanmasında ve raporlanmasında görev alacak iç denetçi ekip lideri ve üyelerinin firmaya kazandırılmasıdır.

Bu eğitimler ile eğitimden önce katılımcıların “ISO 27001 Temel Eğitimine” katılmaları tavsiye edilmektedir. Ayrıca bu eğitime katılmadan önce ciddi bir ön araştırma yapmak ve uygun teklifler arasında fiyat performans eğitimleri bulmak maliyet açısından işverenler için faydalı olabilecektir.

Eğer bu eğitimleri almazsanız sürekli bir eksiklik içerisinde kıvranıp dururken bir türlü dokümanları toparlayamazsınız.

6: ISO 27001:2022 Belgelendirme Denetimini Koordine Edin

Tüm hazırlıklar tamamsa o zaman belgelendirme denetimi için hem fiyat almak hemde denetim tarihini belirlemelisiniz.

Tarafsız ara denetim öncesinde kendi konrollerinizi sağlamak adına iç denetim planlamalı 2022 ve yapmalısınız. Böylelikle neyin eksin neyin fazla olduğunu görebilirsiniz. Ayrıca bunları raporlamak adına 5. madde de bilgi verilmişti.

İç denetim sonuçlarına göre DİF kayıtları açılması ve sonuçlar üst yönetim ile paylaşılmalıdır.

7: DİF Kayıtları Açın ve ISO 27001 Belgenizi Yenileyin

Son adımda mutlaka “Yıllık Gözden Geçirme Toplantısı” yapılması zorunludur. Ayrıca bu YGG toplantısın iyileştirme ve yenilenme kararları alınmalıdır.

Gelişen elektronik ve yazılımsal güvenlik sistemleri incelenmeli, BGYS ile ilgili fuarlara katılınmalıdır. Tüm bunlar müşteri ve üçümncü taraf bilgilerinin güvenliğinin sağlanması amacıyla gereklidir.

Nitelikli geliştirmeler önemlidir. Temiz masaüstü prosedürü bir protokol olarak aktif kullanılmalı bilgilerin özellikle dijital ortamlarda korunması azamı ihtimam gösterilmelidir.

Daha fazlası için ISO 27001 belgelendirme firmaşarıyla görüşmek ama öncesinde mutlaka BGYS eğitimi almak ve penetrasyon testlerinden başarıyla geçmek gerekmektedir.

Unutmadan son bir şey daha var; EK-A kontrolleri 2022 ISO 27001 revizyonunda ilk yapılması gereken 7 şeyden birisi değilse de olması gereklidir.

EK-A kontrollerinin ISO 27001 bilgi güvenliği yönetim sistmei için önemini unutmayın.

ISO 27001 bilgi güvenliği yönetim sistemi standartlarının tanıtılması, standarda uygun yönetim sistemi kurmak isteyen kuruluşların, standardın gereklilikleri bu yazıyla anlatılmaya çalışılsa da bu yeterli gelmeyecektir.

Sürekli kişisel gelişim eğitim ve farkındalığın yüksek seviyelerde canlı tutulması daha gerçekçi bir bilgi güvenliği uygulamasını beraberinde getirecektir.

İşte bu yüzden eğitim çok önemli olup özellikle ISO 27001 bilgi güvenliği yönetim sistemi, bilginin güvenliği konusunda işletmelerin izlemesi gereken yol haritasını ortaya koymaktadır. Eğitim sertifikası eğitim sonundan bir kaç gün içerisinde verilmektedir.

ISO 27001 belgesinin 2022 yeni revizyonuna geçişte bu yedi (7) maddeye dikkat etmelisiniz.