top of page

ISO 27001:2013 & ISO 27001:2022 – Arasındaki Farklar Nelerdir?

  • Yazarın fotoğrafı: buteksoft
    buteksoft
  • 14 Tem
  • 2 dakikada okunur

Güncelleme tarihi: 13 Ağu


📌 ISO 27001 Nedir?

ISO 27001, kurumların bilgi güvenliğini sistematik ve proaktif şekilde yönetmesini sağlayan uluslararası bir standarttır. Özellikle hassas verilerin korunması, risk yönetimi, iç kontrol mekanizmalarının kurulması gibi konularda şirketlere kapsamlı bir çerçeve sunar.

ISO 27001:2013 versiyonu uzun yıllardır bu standartta referans noktasıydı. Ancak dijital tehditlerin değişmesiyle birlikte 2022’de ciddi bir revizyon yapıldı.

ISO 27001:2013 ve ISO 27001:2022 Arasındaki Ana Farklar


✅ 1. Ek Kontroller ve Temalar

ISO 27001:2022 sürümü, Annex A kontrollerinde önemli değişiklikler içeriyor. 14 kontrol kategorisi 4 tematik grupta birleştirildi:

  • Organizational (Organizasyonel)

  • People (İnsan Kaynaklı)

  • Physical (Fiziksel)

  • Technological (Teknolojik)


Kontrol sayısı 114’ten 93’e düştü, ancak bu düşüş sadeleştirme ve gruplaştırma nedeniyle gerçekleşti. Ayrıca 11 yeni kontrol eklendi:

  • Threat intelligence

  • Information security for cloud services

  • Physical security monitoring

  • Configuration management

  • Information deletion

  • Data masking

  • Data leakage prevention

  • Monitoring activities

  • Web filtering

  • Secure coding

  • ICT readiness for business continuity


✅ 2. Risk Yönetimi Yaklaşımı

Yeni versiyon, dinamik tehdit ortamına uygun şekilde daha uyarlanabilir ve çevik bir risk yönetimi yaklaşımı benimsiyor.


✅ 3. Terimsel Uyarlamalar

Standardın dili daha anlaşılır hale getirildi ve terimsel uyumluluk artırıldı. ISO High-Level Structure (HLS) ile tam uyum sağlandı.


✅ 4. Kullanıcı Deneyimi ve Uygulama Kolaylığı

Yeni yapı, kurumların uygulama sürecini kolaylaştırmayı hedefliyor. Özellikle teknolojik kontroller daha açık ve uygulanabilir hale getirildi.


🗓️ Geçiş Süreci: Şirketler Ne Zaman Uyum Sağlamalı?

ISO tarafından belirlenen geçiş süreci 3 yıldır. ISO 27001:2022’ye geçişin son tarihi Ekim 2025’tir.

Bu tarihe kadar:

  • Mevcut ISO 27001:2013 sertifikaları geçerliliğini koruyacak.

  • Ancak Ekim 2025 sonrası yalnızca ISO 27001:2022 standardına uygunluk aranacak.

Erken geçiş yapmak, hem rekabet avantajı sağlar hem de denetimlere hazırlığı kolaylaştırır.


BT Yöneticileri İçin Kritik Notlar

  • Mevcut ISMS sisteminizi 2022 versiyonuna göre yeniden değerlendirin.

  • Yeni kontrolleri uygulamak için iç politika ve prosedürlerinizi güncelleyin.

  • Risk analizlerinizi yeni yapıya göre revize edin.

  • Tüm çalışanlar için farkındalık eğitimleri planlayın.

  • ISO danışmanlığı veya gap analizi gibi dış kaynaklardan destek alın.


⚠️ Geçiş Yapmayan Şirketleri Bekleyen Riskler

  • Sertifika geçersiz hale gelebilir.

  • Yeni müşteri veya ihalelerde elenme riski

  • Regülasyonlara ve sektörel denetimlere uyumsuzluk

  • Artan siber güvenlik tehditlerine karşı yetersizlik


Bu Geçiş Sadece Güncelleme Değil, Bir Fırsat

ISO 27001:2022’ye geçiş süreci, sadece teknik bir güncelleme değil; şirketinizin bilgi güvenliği kültürünü yeniden yapılandırma fırsatıdır. Yeni yapıyla birlikte daha çevik, daha bütünsel ve daha teknolojik bir güvenlik altyapısı kurulabilir.

Bu dönüşüme erken başlayan şirketler, yalnızca riski azaltmakla kalmayacak; aynı zamanda müşteri güvenini ve rekabet gücünü artıracaktır.

Son Yazılar

Hepsini Gör

Yorumlar

Bu gönderiye yorum yapmak artık mümkün değil. Daha fazla bilgi için site sahibiyle iletişime geçin.
bottom of page