1. Bilgi Güvenliğinde Yeni Dönem: Neden Revizyon?
Teknoloji dünyasında 9 yıl, bir asır gibidir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin bir önceki versiyonu 2013 yılında yayınlanmıştı. O günden bugüne bulut bilişim (Cloud), fidye yazılımları (Ransomware), uzaktan çalışma modelleri ve KVKK/GDPR gibi veri gizliliği yasaları hayatımızın merkezi haline geldi.
Eski standart (ISO 27001:2013), bu yeni tehditlere ve çalışma modellerine cevap vermekte yetersiz kalmaya başlamıştı. Bu ihtiyaçla doğan ISO 27001:2022, sadece bir “güncelleme” değil, bilgi güvenliğine bakış açımızı değiştiren bir modernizasyondur.
Bu rehberde, yeni standardın getirdiği yapısal değişiklikleri, hayatımıza giren 11 yeni güvenlik kontrolünü ve sertifikanızı kaybetmemek için yönetmeniz gereken “Geçiş Sürecini” (Transition) başdenetçi gözüyle inceliyoruz.
Bu teknik rehber, 2022 revizyonuna odaklanmaktadır. ISO 27001’in temel gerekliliklerini, hangi firmaların alması gerektiğini öğrenmek için ISO 27001 Belgesini Hangi Firmalar Almalıdır? başlıklı makalemize göz atabilirsiniz.
2. En Büyük Değişiklik: Ek-A (Annex A) Yapısı Tamamen Değişti
ISO 27001’in kalbi, riskleri yönetmek için uyguladığımız kontrollerin listelendiği Ek-A (Annex A) bölümüdür. 2022 revizyonu ile bu yapı sadeleştirilmiş ve modernize edilmiştir.
Sayısal Değişim: Daha Az Madde, Daha Çok Kapsam
ISO 27001:2013: 14 Kategori altında 114 Kontrol vardı.
ISO 27001:2022: 4 Tema altında 93 Kontrol var.
Kontrol sayısının azalması, güvenlik seviyesinin düştüğü anlamına gelmez. Aksine, benzer maddeler birleştirilerek (Merge) daha bütüncül ve güçlü kontroller oluşturulmuştur.
Yeni 4 Ana Tema
Eski versiyondaki 14 farklı alan (İK güvenliği, Fiziksel güvenlik, Erişim kontrolü vb.) yerine artık çok daha anlaşılır 4 Tema kullanıyoruz:
Organizasyonel Kontroller (37 Adet): Politikalar, roller, bulut kullanımı gibi yönetimsel konular.
Kişi (İnsan) Kontrolleri (8 Adet): Uzaktan çalışma, tarama, eğitim, disiplin süreçleri.
Fiziksel Kontroller (14 Adet): Kamera izleme, güvenli alanlar, bakım onarım.
Teknolojik Kontroller (34 Adet): Güvenli kodlama, ağ güvenliği, sızma testleri.
3. Sisteminize Eklenen 11 Yeni Kritik Kontrol
Revizyonun en can alıcı noktası burasıdır. ISO 27001:2022, daha önce standartta adı geçmeyen 11 adet yepyeni kontrolü hayatımıza soktu. Geçiş denetimlerinde Vertacert denetçilerinin en çok sorgulayacağı maddeler bunlardır:
1. Tehdit İstihbaratı (Threat Intelligence – A.5.7)
Artık sadece kendi içinize bakmanız yetmez. Kuruluşunuz, dış dünyadaki siber tehditleri (hangi hacker grubu hangi sektörü hedefliyor, yeni virüs türleri neler) aktif olarak izlemeli ve analiz etmelidir.
2. Bulut Hizmetlerinin Kullanımı için Bilgi Güvenliği (A.5.23)
Amazon AWS, Microsoft Azure veya Google Cloud kullanıyorsanız; bulut sağlayıcınızla aranızdaki güvenlik sorumluluklarını (kim neyden sorumlu?) net bir şekilde belirlemelisiniz.
3. İş Sürekliliği İçin Bilgi ve İletişim Teknolojileri Hazırlığı (A.5.30)
Bir felaket anında (deprem, siber saldırı) IT sistemlerinizin (sunucu, internet, yazılım) ne kadar sürede ve nasıl ayağa kalkacağını planlamalı ve test etmelisiniz.
4. Fiziksel Güvenlik İzleme (A.7.4)
Sadece kapıda güvenlik görevlisi olması yetmez. Alarm sistemleri, kameralar ve giriş kartları gibi izleme sistemlerinin sürekli aktif ve çalışır durumda olduğu izlenmelidir.
5. Konfigürasyon Yönetimi (A.8.9)
Sunucuların, firewall’ların veya bilgisayarların güvenlik ayarlarının (konfigürasyon) standartlaştırılması ve izinsiz değiştirilmesinin önlenmesi gerekir.
6. Bilginin Silinmesi (A.8.10)
Artık ihtiyaç duyulmayan verilerin (özellikle KVKK kapsamındaki kişisel verilerin) güvenli bir şekilde silinmesi veya anonimleştirilmesi zorunludur.
→ Veri silme ve anonimleştirme süreçlerinin KVKK uyumu açısından önemini ve teknik yöntemlerini öğrenmek için ISO 27001 ve KVKK İlişkisi: Kişisel Verilerin Korunması yazımızı detaylıca inceleyin.
7. Veri Maskeleme (Data Masking – A.8.11)
Hassas verilerin (TC Kimlik, Kredi Kartı) ekranda veya veritabanında açıkça görünmemesi, yıldızlı (****) veya maskeli şekilde gösterilmesi gerekir.
8. Veri Sızıntısı Önleme (DLP – A.8.12)
Hassas verilerin şirket dışına (USB, e-mail, bulut) izinsiz çıkarılmasını engelleyen teknik önlemler (DLP yazılımları) uygulanmalıdır.
9. İzleme Faaliyetleri (Monitoring – A.8.16)
Ağ trafiği, sistem logları ve kullanıcı aktiviteleri “anormalliklere” karşı sürekli izlenmelidir. (Örn: Gece yarısı yapılan yetkisiz giriş denemesi).
10. Web Filtreleme (A.8.23)
Çalışanların zararlı veya riskli web sitelerine erişiminin engellenmesi gerekir.
11. Güvenli Kodlama (Secure Coding – A.8.28)
Eğer yazılım geliştiriyorsanız, kodların içine güvenlik açıklarının girmemesi için “Güvenli Kodlama Prensipleri” uygulanmalıdır.
4. Geçiş Süreci ve Son Tarih: Zaman Daralıyor
Eğer hali hazırda ISO 27001:2013 belgeniz varsa, bu belge sonsuza kadar geçerli değildir.
Son Tarih: 31 Ekim 2025. Bu tarihten sonra eski versiyon (2013) belgelerin tamamı iptal olacaktır.
Geçiş Denetimi: Bu tarihe kadar, mevcut belgelendirme kuruluşunuzla (veya transfer yoluyla Vertacert ile) bir “Geçiş Denetimi” planlamanız gerekir. Bu denetim, normal gözetim denetimiyle birleştirilebilir.
Geçiş İçin Yapmanız Gereken 4 Teknik Adım
Vertacert uzmanları olarak, geçiş denetimine hazırlanmanız için şu yol haritasını öneriyoruz:
Fark Analizi (Gap Analysis): Mevcut sisteminiz ile yeni 2022 standartları arasındaki boşlukları belirleyin. Özellikle yukarıdaki 11 yeni kontrolü uygulayıp uygulamadığınızı kontrol edin.
Risk Analizini Güncelleyin: Yeni kontrolleri dikkate alarak Risk Değerlendirme Raporunuzu yenileyin.
SoA (Uygulanabilirlik Bildirgesi) Revizyonu: En kritik adım budur. SoA dokümanınızı, yeni 93 kontrol maddesine göre (Ek-A) tamamen yeniden yazmalısınız. Eski 114 madde artık geçerli değildir.
İç Denetim: Yeni standarda göre en az bir kez İç Denetim yapın ve YGG toplantısında geçiş sürecini değerlendirin.
5. Neden Vertacert ile Geçiş Yapmalısınız?
ISO 27001:2022, sadece bir doküman güncellemesi değil, bir zihniyet değişimidir. Vertacert, güçlü çözüm ortakları ve IT kökenli başdenetçileri ile bu süreci bir “bürokrasi” olmaktan çıkarır.
Teknik Yetkinlik: Denetçilerimiz, Bulut Güvenliği, DLP ve Güvenli Kodlama gibi yeni teknik konularda yetkinliğe sahiptir. Sizi “anlayan” denetçilerle çalışırsınız.
Entegre Bakış: Yeni HLS yapısını kullanarak, ISO 27001 sisteminizi KVKK süreçlerinizle ve diğer ISO standartlarıyla (9001, 22301) tam entegre hale getirmenize rehberlik ederiz.
Geçiş süresi dolmadan harekete geçin. Bilgi güvenliği altyapınızı güncelleyin, risklerinizi yönetin ve sertifikanızın geçerliliğini koruyun.
→ Bilgi Güvenliği, Kalite ve diğer tüm yönetim sistemleri belgelendirme süreçlerimiz hakkında genel bilgi almak için ISO Belgelendirme Hizmetleri Merkezimizi ziyaret edin.
