top of page

ISO 27001:2022 Rehberi – Yeni Standartta Şirketinizin Bilmesi Gereken Her Şey

  • Yazarın fotoğrafı: buteksoft
    buteksoft
  • 24 Tem
  • 3 dakikada okunur

Güncelleme tarihi: 13 Ağu


ISO 27001:2022 Nedir?

ISO 27001:2022, bilgi güvenliği yönetim sistemi (ISMS) için uluslararası geçerliliğe sahip en güncel standarttır. Bu versiyon, 2013’te yayımlanan önceki sürümün yerine geçerek kurumsal dijital varlıkların daha çevik, kapsamlı ve sürdürülebilir biçimde korunmasını amaçlar.

Yeni versiyon, bilgi güvenliği tehditlerinin çeşitlendiği bir dönemde şirketlerin sadece uyum değil, aynı zamanda operasyonel dayanıklılık kazanmasını da hedefliyor.


🔄 Önceki Sürümden Farkı Nedir?

ISO 27001:2022, ISO 27001:2013’ten şu alanlarda farklılaşır:


✅ 1. Kontrol Sayısı ve Yapısal Değişiklik

  • Kontrol sayısı 114’ten 93’e düşürüldü.

  • 14 kontrol grubu 4 temaya indirildi:

    • Organizational

    • People

    • Physical

    • Technological


✅ 2. 11 Yeni Kontrol Eklendi:

  1. Threat Intelligence

  2. Information Security for Use of Cloud Services

  3. Physical Security Monitoring

  4. Configuration Management

  5. Information Deletion

  6. Data Masking

  7. Data Leakage Prevention

  8. Monitoring Activities

  9. Web Filtering

  10. Secure Coding

  11. ICT Readiness for Business Continuity

Bu kontroller, modern BT altyapılarının ihtiyaçlarını karşılamak üzere tasarlandı.


✅ 3. Daha Net Tanımlar

  • Kavramlar sadeleştirildi ve uluslararası terminolojiyle uyumlu hale getirildi.

  • ISO High-Level Structure (HLS) ile tam entegrasyon sağlandı.


✅ 4. Dijital Çağa Uygunlaştırma

  • Bulut sistemleri, uzaktan çalışma, siber dayanıklılık gibi konular doğrudan ele alındı.


ISO 27001:2022 Uygulama Rehberi

Aşağıdaki adımlar, şirketinizin ISO 27001:2022’ye geçiş sürecini planlı, etkili ve sürdürülebilir biçimde yürütebilmesi için tasarlanmıştır:


1. Yönetim Kararlılığı ve Rol Dağılımı

  • Üst yönetimin açık desteği olmadan süreç sekteye uğrayabilir.

  • ISO geçişi için bir “Bilgi Güvenliği Ekibi” kurulmalı.

  • Sorumluluklar net biçimde tanımlanmalı: ISMS lideri, teknik danışmanlar, hukuk, insan kaynakları vb.


2. Mevcut Durum Analizi (GAP Analizi)

  • Şirketin mevcut 27001:2013 uygulamaları gözden geçirilir.

  • Yeni 93 kontrol maddesiyle uyumsuzluklar tespit edilir.

  • Teknik, yönetsel ve fiziksel açılardan eksikler belirlenir.


3. Risk Değerlendirme ve Güncelleme

  • Yeni tehdit vektörleri (örneğin: bulut servisleri, mobil erişim) risk matrisine eklenir.

  • Risk işleme planı revize edilir.

  • Yeni kontroller, mevcut risklerle ilişkilendirilir.


4. Politika ve Süreç Dokümantasyonu

  • Tüm iç politika ve prosedürler yeni kontrol yapısına göre yeniden yazılır:

    • Veri imha politikası

    • Güvenli yazılım geliştirme süreçleri

    • Konfigürasyon yönetimi kılavuzları

    • İş sürekliliği planları (özellikle ICT readiness kontrolü ile ilişkili)


5. Eğitim ve Farkındalık Çalışmaları

  • ISO 27001:2022 değişiklikleri tüm çalışanlara anlatılmalı.

  • BT ekiplerine teknik kontrol eğitimleri verilmelidir.

  • Sosyal mühendislik ve güvenlik bilinci konularında düzenli kampanyalar yürütülmelidir.


6. İç Denetim Süreci ve Sürekli İyileştirme

  • Yeni kontrollerin iç denetimi yapılmalı.

  • Denetim bulguları ile aksiyon planı oluşturulmalı.

  • Süreç performansları düzenli takip edilerek iyileştirmeler yapılmalı.


📅 Son Geçiş Tarihi ve Zaman Çizelgesi

ISO tarafından yayınlanan duyuruya göre:

  • ISO 27001:2022’ye geçiş için son tarih: Ekim 2025

  • 3 yıllık geçiş sürecinde, şirketler istedikleri zaman yeni sürüme geçebilir.

  • Yeni sertifika başvuruları artık sadece 2022 versiyonu üzerinden yapılmakta.


Geçiş Süreci Önerilen Takvim:

  • 2024 Haziran – Gap analizi ve planlama

  • 2024 Temmuz – Eğitimler ve dökümantasyon yenileme

  • 2024 Ağustos – İç denetim ve düzeltici faaliyetler

  • 2024 Eylül – Sertifika denetimi başvurusu


📌 ISO 27001:2022’nin Şirketlere Sağlayacağı Faydalar

  • Uluslararası geçerliliği olan güncel güvenlik standardına uyum

  • Müşteri güveni ve rekabet avantajı

  • Regülasyonlarla tam uyum (KVKK, GDPR, sektör spesifik standartlar)

  • Risklerin daha doğru ve gerçek zamanlı yönetilmesi

  • Siber dayanıklılık ve krizlere hazırlık seviyesinin artması


❗ Sık Yapılan Hatalar

  1. “Bu sadece birkaç belge güncellemesi” gibi düşünmek

  2. Yeni kontrolleri teknik olarak değil teorik düzeyde ele almak

  3. Sadece BT departmanının sorumluluğunda sanmak

  4. Eğitimleri ihmal etmek

  5. Risk analizlerini güncellemeyi atlamak


Sonuç: 27001:2022 Bir Zorunluluk Değil, Stratejik Bir Hamle

ISO 27001:2022’ye geçmek, sadece bir uyum süreci değildir. Bu, şirketinize hem kültürel hem operasyonel olarak modern bir güvenlik yaklaşımı kazandırma fırsatıdır. Dijital dönüşümün hız kazandığı bu dönemde, veri güvenliği artık yalnızca BT’nin değil, tüm şirketin sorumluluğudur.

Hazırlıklı olanlar, sadece regülasyonlara uyum sağlamakla kalmaz; rekabette de öne çıkar.

 
 
 

Son Yazılar

Hepsini Gör

Yorumlar

bottom of page