ISO/IEC 27001:2013 standardı 25.10.2022 tarihinde “Bilgi güvenliği, siber güvenlik ve kişisel gizliliğin korunması – Bilgi güvenliği yönetim sistemleri Gereklilikler” olarak revize edildi.

Ekim 2022’de yayınlanan ISO/IEC 27001:2022 Standardında önemli değişiklikler olmuştur.

Standart maddelerindeki temel değişiklikler;
1. Madde 4.4
BGYS’nin uygulanması ve sürdürülmesi için gerekli süreçlerin ve bunların BGYS içindeki etkileşimlerinin tanımlanması gerekliliği açıkça ifade edilmiştir.
2. Madde 5.3
bilgi güvenliği ile ilgili rollere ilişkin sorumluluk ve yetkilerin kurum içinde bilinmesine yönelik açık bir gereklilikle desteklenmiştir.
3. Madde 6.1.3 c
Kontrol ifadesi bilgi güvenliği kontrolü olarak değiştirilmiştir.
4. Madde 6.1.3 d
Potansiyel tehlikeleri ortadan kaldırmak için yeniden düzenlenmiştir.
5. Madde 6.3
Değişikliklerin Planlanması maddesi yeni standarda ilave edilmiştir.
6. Madde 7.4
BGYS ile ilgili iç ve dış iletişimin nasıl kurulacağı vurgulanmıştır.
7. Madde 8.1
Süreçlere ve kontrollere ilişkin kriterlere vurgu yapılmıştır.
8. Madde 9.2
İç Denetim uyumlaştırılmış yapıya uyarlanmıştır.
9. Madde 9.3
Yönetimin Gözden Geçirmesi uyumlaştırılmış yapıya uyarlanmıştır.
10.Madde 9.2
9.2.1 ve 9.2.2 olarak alt bölümlere ayrılmıştır.
11.Madde 9.3
9.3.1, 9.3.2 ve 9.3.3 olarak alt bölümlere ayrılmıştır.
12. Madde 10.1
Yapılandırılma sırası uyumlaştırılmış yapıya uyarlanmıştır.
13. Madde 10.2
Yapılandırılma sırası uyumlaştırılmış yapıya uyarlanmıştır.

Ek A Bilgi Güvenliği Kontrolleri referansındaki değişiklikler;
1.  ISO 27001 Ek-A’da yer alan bilgi güvenliği kontrolleri 14 başlık yerine 4 başlık altında gruplandırıldı.
EkA 5 Organizasyonel kontroller (37 kontrol)
EkA 6 Kişisel kontroller (8 kontrol)
EkA 7 Fiziksel kontroller (14 kontrol)
EkA 8 Teknik kontroller (34 kontrol)

2.  11 adet Bilgi güvenliği kontrolü yeni eklendi.
EkA 5.07 – Tehdit İstihbaratı
EkA 5.23 – Bulut hizmetlerinin kullanımı için bilgi güvenliği
EkA 5.30 – İş sürekliliği için BİT hazırlığı
EkA 7.04 – Fiziksel güvenlik izleme
EkA 8.09 – Yapılandırma Yönetimi
ISO/IEC 27001:2022 STANDARDI İLE GELEN DEĞİŞİKLİKLER
EkA 8.10 – Bilgi Silme
EkA 8.11 – Veri Maskeleme
EkA 8.12 – Veri Sızıntısını Önleme
EkA 8.16 – İzleme Faaliyetleri
EkA 8.23 – Web Filtreleme
EkA 8.28 – Güvenli Kodlama

3.  Eski revizyondaki bilgi güvenliği kontrollerinden silinen olmadı ancak birçok kontrol birleştirildi.
Bilgi güvenliği kontrol sayısı 114’ten 93’e düşürüldü.
EkA 5.01 Bilgi güvenliği politikaları – (05.1.1, 05.1.2)
EkA 5.08 Proje yönetiminde bilgi güvenliği – (06.1.5, 14.1.1)
EkA 5.09 Bilgi envanteri ve diğer ilgili varlıklar – (08.1.1, 08.1.2)
EkA 5.10 Bilgilerin ve diğer ilgili varlıkların kabul edilebilir kullanımı – (08.1.3, 08.2.3)
EkA 5.14 Bilgi transferi – (13.2.1, 13.2.2, 13.2.3)
EkA 5.15 Erişim kontrolü – (09.1.1, 09.1.2)
EkA 5.17 Kimlik doğrulama bilgileri – (09.2.4, 09.3.1, 09.4.3)
EkA 5.18 Erişim hakları – (09.2.2, 09.2.5, 09.2.6)
EkA 5.22 Tedarikçi Hizmetlerinin İzlenmesi, Gözden Geçirilmesi ve Değiştirilmesi – (15.2.1, 15.2.2)
EkA 5.29 Kesinti sırasında bilgi güvenliği – (17.1.1, 17.1.2, 17.1.3)
EkA 5.31 Yasal, kanuni, düzenleyici ve sözleşmeye dayalı gereksinimler – (18.1.1, 18.1.5)
EkA 5.36 Bilgi güvenliğine yönelik politikalara, kurallara ve standartlara uygunluk – (18.2.2, 18.2.3)
EkA 6.08 Bilgi güvenliği olay raporlaması – (16.1.2, 16.1.3)
EkA 7.02 Fiziksel giriş – (11.1.2, 11.1.6)
EkA 7.10 Depolama ortamı – (08.3.1, 08.3.2, 08.3.3, 11.2.5)
EkA 8.01 Kullanıcı uç nokta cihazları – (06.2.1, 11.2.8)
EkA 8.08 Teknik güvenlik açıklarının yönetimi – (12.6.1, 18.2.3)
EkA 8.15 Günlük kaydı – (12.4.1, 12.4.2, 12.4.3)
EkA 8.19 İşletim sistemlerine yazılım kurulumu – (12.5.1, 12.6.2)
EkA 8.24 Kriptografi kullanımı – (10.1.1, 10.1.2)
EkA 8.26 Uygulama güvenlik gereksinimleri – (14.1.2, 14.1.3)
EkA 8.29 Geliştirme ve kabulde güvenlik testi – (14.2.8, 14.2.9)
EkA 8.31 Geliştirme, test ve üretim ortamlarının ayrılması – (12.1.4, 14.2.6)
EkA 8.32 Değişiklik yönetimi – (12.1.2, 14.2.2, 14.2.3, 14.2.4)

4. Bilgi güvenliği kontrollerinde sınıflandırmayı, filtrelemeyi kolaylaştıran bazı nitelikler eklendi.

Örneğin;

Güncel Revizyon

5.3     Görevlerin ayrılığı |  Kontrol: Çakışan görevler ve çatışan sorumluluk alanları birbirinden ayrılmalıdır.

Eski Revizyon

a.6.1.2 Görevlerin ayrılığı | Çelişen görevler ve sorumluluklar, yetkilendirilmiş veya kasıtsız değişiklik fırsatlarını veya kuruluş varlıklarının yanlış kullanımını azaltmak amacıyla ayrılmalıdır.