ISO 27001

ISO/IEC 27001:2022 bilgi güvenliği yönetim sistemi

ISO/IEC 27001, bir kuruluşun bilgi varlıklarının gizlilik, bütünlük ve erişilebilirlik boyutlarını risk temelli bir çerçeve içinde yönetmesi için kullanılan uluslararası bilgi güvenliği yönetim sistemi standardıdır. 2022 revizyonu ile Ek A kontrol seti 114 maddeden 93 maddeye indirilmiş ve kontroller kurumsal, kişisel, fiziksel ve teknolojik olmak üzere 4 ana başlık altında yeniden düzenlenmiştir. Yazılım ve teknoloji şirketleri, finans kuruluşları, sağlık sektörü ve kişisel veri işleyen her kuruluş için doğrudan uygulanabilir; KVKK uyumluluğu ile birlikte değerlendirildiğinde kurumsal veri yönetişiminin temel belgesidir.

Kapsam tanımı, risk değerlendirmesi ve Uygulanabilirlik Bildirgesi

Sistem, net bir ISMS kapsam tanımı ile başlar. Hangi iş birimi, lokasyon, varlık ve hizmetin dahil olduğu belgelenir; ardından bu kapsam içindeki bilgi varlıklarına risk değerlendirmesi uygulanır.

• Bilgi varlıklarının sınıflandırılması ve risk kayıt listesi
• Risk değerlendirme ve işleme yönteminin tanımlanması
• Uygulanabilirlik Bildirgesi (SoA) ile 93 kontrolün kapsam içi veya dışı gerekçelendirilmesi
• Olay yönetimi, iş sürekliliği ve tedarikçi güvenliği süreçleri
• İç tetkik ve yönetim gözden geçirme ile süreklilik

Belgelendirme denetimi ve 2022 geçiş takvimi

Stage 1 denetiminde dokümantasyon ve ISMS kapsamı, Stage 2 denetiminde ise kontrollerin işlerliği incelenir. Sertifika 3 yıl geçerlidir; yıllık gözetim ve üçüncü yılda yeniden belgelendirme yapılır. ISO/IEC 27001:2013 belgesi taşıyan kuruluşlar, IAF kararı çerçevesinde 2022 versiyonuna geçişini tamamlayıp belgelerini güncel sürüme taşımıştır; yeni başvurular doğrudan 2022 revizyonu üzerinden yürümektedir. Sistem Patent Kalite, TÜRKAK akreditasyon kapsamında ISO/IEC 27001 belgelendirmesi yürütür.