İçeriğe geç

ISO 9001:2015/Amd 1:2024 Standardı / ISO 14001:2015/Amd 1:2024 Standardı / ISO 27001:2022/Amd 1:2024 Standardı / ISO 50001:2018/Amd 1:2024 Standardı / ISO 45001:2018/Amd 1:2024 Standardı / ISO 22000:2018/Amd 1:2024 Standardı (23 Şubat 2024)

Uluslararası Standart Teşkilatı (ISO),  “Londra İklim Değişikliği Deklarasyonu’nu” desteklemek amacıyla  İklim Değişikliğinin yönetim sisteminin amaçlanan sonuçlarına ulaşma kabiliyeti üzerindeki etkisini dikkate alma ihtiyacını değerlendirerek  bir dizi mevcut yönetim sistemi standardına iki yeni metin ifadesinin eklenmesine ve geliştirilmekte/revize edilmekte olan tüm yeni standartlara  da dahil edilmesine karar verdi. Buna mukabil ISO 9001:2015/Amd 1:2024 Standardı / ISO 14001:2015/Amd 1:2024 Standardı / ISO 27001:2022/Amd 1:2024 Standardı / ISO 50001:2018/Amd 1:2024 Standardı / ISO 45001:2018/Amd 1:2024 Standardı / ISO 22000:2018/Amd 1:2024 standartları 23.02.2024 te yayınlandı.

Buna göre ISO 9001 ilgili maddelerine aşağıdakiler eklendi;

4.1 Kuruluş iklim değişikliği ile ilgili bir konu olup olmadığını belirlemelidir.

4.2 NOT: İlgili tarafların iklim değişikliği ile ilgili gereklilikleri olabilir.

“4.1 ve 4.2 maddelerine ilişkin gerekliliklerin genel amacı değişmemiştir; bu maddeler zaten kuruluşun yönetim sisteminin etkinliğini etkileyebilecek tüm iç ve dış konuları dikkate alması ihtiyacını içermektedir; bu yeni eklemeler İklim Değişikliğinin yönetim sistemi içinde dikkate alınmasını ve toplumumuz için kuruluşların bunu şimdi dikkate almasını gerektirecek kadar önemli bir dış faktör olduğunu garanti etmektedir.”

Gerekliliklerin genel amacının değişmediğine dikkat çeken yukarıdaki ifade ve bu değişikliğin yeni bir gereklilikten ziyade bir açıklama olarak ele alınması nedeniyle, bu durumda tam bir geçiş programına ihtiyaç olmadığı düşünülmektedir, ancak aşağıdaki kılavuz dikkate alınmalıdır.

Akreditasyon Kuruluşlarından Beklentiler

Akreditasyon Kuruluşları, devam eden akreditasyon döngüsünün bir parçası olarak, Belgelendirme Kuruluşlarının yönetim sistemleri sertifikalı müşterilerinin Madde 4.1 ve 4.2’deki diğer hususlarla birlikte İklim Değişikliği hususlarını da dikkate aldıklarını teyit etmelerini sağlamalıdır.

Zamanlama

Yukarıda belirtildiği gibi, bir kuruluşun yönetim sistem(ler)inin bağlamını etkileyen İklim Değişikliği ile ilgili konular genellikle kuruluşlar tarafından zaten dikkate alınmaktadır.

Bu nedenle, yayınlandıktan sonra, belgelendirme kuruluşları yeni metni kuruluşun ve bağlamının denetimine dahil etmelidir. Normal uygulamada olduğu gibi, sertifikalı bir kuruluşun İklim Değişikliği de dahil olmak üzere ilgili olarak belirlenen tüm dış ve iç konuların dikkate alındığını gösteremediği durumlarda, uygun bir bulgu ortaya konulmalıdır.

Sertifikalı Kuruluşlardan Beklentiler

Sertifikalı kuruluşlar, kendi yönetim sistem(ler)inin geliştirilmesi, sürdürülmesi ve etkinliği kapsamında İklim Değişikliği hususlarını ve risklerini dikkate aldıklarından emin olmalıdır.

İklim Değişikliği, diğer konularla birlikte, ilgili olup olmadığına karar verilmeli ve ilgili ise, yönetim sistemleri standartları kapsamında bir risk ele alınmalıdır. Bir kuruluşun birden fazla yönetim sistemi işlettiği durumlarda (örneğin Kalite Yönetimi ve Sağlık ve Güvenlik Yönetimi), ilgili olduğu tespit edildiği takdirde İklim Değişikliğinin her bir yönetim sistemi standardı kapsamında ele alınmasını sağlamalıdır.

Bazı iklim değişikliği hususlarının ve risklerinin uygulanabilir yönetim sistemi kapsamından veya sektörden bağımsız olarak genel nitelikte olabileceği (örneğin mevzuata uygunluk veya operasyonel uyarlanabilirlik ve kurumsal esneklikle ilgili olduğunda), diğerlerinin ise yönetim sistemi standartlarının gerekliliklerine, belirli sektörlere (örneğin enerji üretimi, tarım ve balıkçılık) ve kuruluşun özelliklerine (örneğin coğrafi konum, tedarik zincirinin yapısı veya işgücü dinamikleri) özel olarak endeksleneceği belirtilmektedir.

ISO/IEC 27001:2022 yayınlandı…! (25 Ekim 2022)

IAF tarafından ISO/IEC 27001:2013 standardına göre sertifikası olan kuruluşların 2022 versiyonuna geçişleriyle ilgili kuralları belirlemek amacıyla IAF MD 26:2022 dokümanı rehber alınmak üzere yayınlandı. 

Burada belirtilen kurallara göre:

 * Geçiş için 36 aylık bir süre tanımlandı,
 * Standardın yayınlanmasından sonraki ilk 12 ay içinde eski versiyona göre ilk belgelendirme tetkikleri yapılmaya devam edebilecek,
 * Standardın yayınlanmasının üzerinden 12 ay geçtikten sonra ilk belgelendirmeler mutlaka yeni versiyona göre yapılacak,
 * Mevcut belgeli müşterilerin yeni versiyona geçişleri için ise standardın yayınlanmasından itibaren 3 yıl süre tanınıyor,
 * 3 yıllık geçiş süreci sonunda 2013 versiyonuna ait tüm sertifikalar geçerliliğini kaybedecek.

ISO 27002:2022 Revizyonu İle Neler Değişti? (15 Şubat 2022)

15.02.2022 tarihinde resmi yayını gerçekleştirilen standart ISO/IEC 27002:2022 olarak hayatına başladı. Böylece standardın bir önceki versiyonu olan ISO/IEC 27002:2013 standardı yürürlükten kaldırılmış oldu.

Bilgi güvenliği yönetimi standardı ISO/IEC 27001  “Bilgi teknolojisi Güvenlik yöntemleri Bilgi güvenliği yönetim sistemleri Gereksinimler” ve İyi Uygulama Kuralları  (ISO 27002) standardı en son yaklaşık 10 yıl önce güncellenmişti.

Gerçekleştirilen temel değişiklikler:

Önceki versiyonun 14 maddesinin aksine, ISO 27002:2022 artık sadece dört madde ve iki ek içermektedir:

  • Organizasyonel kontroller (Madde 5): Bu madde, 37 kontrolden oluşan çeşitli organizasyonel konularla ilgili tüm kontrolleri içermektedir.
  • İnsan kontrolleri (Madde 6): Bu madde, 8 kontrolden oluşan insan kaynakları güvenliği ile ilgili kontrollere odaklanmaktadır.
  • Fiziksel kontroller (Madde 7): Bu madde, 14 kontrolden oluşan fiziksel çevre ile ilgili kontrollere odaklanmaktadır.
  • Teknolojik kontroller (Madde 8): Bu madde, 34 kontrolden oluşan teknolojik çözümlerle ilgili kontrollere odaklanmaktadır.

Bu 4 ana başlığa ek olarak iki “Ek” kısmı bulunmaktadır:

Ek – A Kullanım Nitelikleri: Kontrollerin nitelikleri ve kullanım önerileri ile ilgili olarak tanımlamalar içermektedir. Bu başlıkta yapılan tanımlamalar, Kontrollerin yönetiminde kolaylık sağlamakta ve diğer genel-geçer Standartlar, Çerçeveler ve İyi Uygulamalar ile ISO 27001 Standardı’nın kolay şekilde eşleştirilmesini sağlamaktadır. Her Kontrol için yapılan tanımlamalar:

Kontrol Türleri: Önleyici, Tespit Edici, Düzeltici
Bilgi Güvenliği Nitelikleri: Gizlilik, Bütünlük, Kullanılabilirlik
Siber Güvenlik Konuları: Tanımlama, Koruma, Tespit Etme, Koruma, Yanıt Verme, İyileşme
Operasyonel Yetkinlikler: Yönetişim, Varlık Yönetimi, Bilgi Koruma, İnsan Kaynakları Güvenliği, Fiziksel Güvenlik, Sistem ve Ağ Güvenliği, Uygulama Güvenliği, Güvenli Konfigürasyon, Kimlik ve Erişim Yönetimi, Tehdit ve Zafiyet Yönetimi, Süreklilik, Tedarik İlişkileri Güvenliği, Hukuk ve Uyum, Bilgi Güvenliği Olay Yönetimi, Bilgi Güvenliği Teminatı
Güvenlik Alanı: Yönetişim ve Ekosistem, Koruma, Savunma, Dayanıklılık

Ek – B ISO 27002:2013 ile Kıyaslama: Eski ve yeni versiyon Kontrollerinin ilişkilendirilmesini içerir.

114 olan Kontrol sayısı 93 olarak düzenlenmiştir:

Organizasyonel 37, Teknolojik 34, Fiziksel 14, İnsani 8 Kontrol tanımlanmıştır.

Herhangi bir Kontrol çıkarılmamıştır.

Eklenen Yeni Kontroller

ISO 27002:2022’de 11 yeni kontrol eklendi:

5.7 Tehdit İstihbaratı/Siber İstihbarat
5.23 Bulut Hizmetleri Kullanımı için Bilgi Güvenliği
5.30 İş Sürekliliği için Bilgi ve İletişim Teknolojileri
7.4 Fiziksel Güvenlik İzleme
8.9 Konfigürasyon Yönetimi
8.10 Veri Silme
8.11 Veri Maskeleme
8.12 Veri Kaybı Önleme
8.16 İzleme Faaliyetleri
8.23 İnternet Filtreleme
8.28 Güvenli Kodlama

Değişiklik Yapılan Kontroller

23 kontrolün adı değiştirildi

Birleştirilen Kontroller

Toplam 57 kontrol 24 yeni kontrolde birleştirildi

Kaldırılan Kontroller

ISO 27002:2013’de bulunan 1 kontrol kaldırıldı

11.2.5 Varlıkların kaldırılması

Bölünen Kontroller

18.2.3 Teknik uyum gözden geçirmesi maddesi; 5.36 Bilgi güvenliği için politikalar, kurallar ve standartlarla uyumluluk ve 8.8 Teknik güvenlik açıklarının yönetimi olarak bölünmüştür.

ISO 27001 standardına etkileri ne olacak?

ISO 27002 standartı; ISO27001 standardının Ek A’sında belirtilen bilgi güvenliği kontrollerine ilişkin detaylı kılavuzluk sağlayan bir standarttır. Dolayısıyla şu anki durumda ISO27001’de herhangi bir revizyon yapılmadığı için bazı belirsizlikler ortaya çıkmaktadır.

Bu durumun ortadan kaldırılması için; ya ISO 27001 standardı tamamen revize edilecek, ya da sadece ISO 27001 EK A’yı değiştiren bir değişiklik yayınlanacaktır.

Standardın tamamen revize edilmesi düşük bir olasılıktır. Çünkü halihazırda ISO27001, Annex SL- Yüksek Seviyeli Yapı uyumlu bir standarttır ve ISO27002’de yapılan revizyon bu yapıyı etkilememektedir.

Dolayısıyla ISO’nun sadece EK-A’yı ISO27002:2022’ye referans veren bir düzeltme yayınlaması beklenmektedir.

ISO27001 Belgeli Kuruluşlar ne yapmalı?

ISO27001:2013’e göre belgelendirilmiş olan kuruluşlar; bu düzeltme yayınlanana kadar ISO27002:2022’ye uyum sağlama mecburiyetinde değiller. Düzeltme yayınlandıktan sonra, muhtemelen kuruluşlara yeni şartlara uyum ve ISO27002:2022’ye geçiş için belirli bir süre tanınacaktır. Bu sürenin bitiminden itibaren de artık yeni şartlardan sorumlu olunacak, belgelendirme denetimleri de bu yeni şartlar doğrultusunda gerçekleştirilecektir.

ISO27002:2022’nin getirdiği yenilik ve değişikliklere adaptasyon, bazı kuruluşlar için çok kolay olmayabilir. Bu nedenle belgeli kuruluşların bir an önce bu değişikliklerin kendi BGYS’ne etkilerini değerlendirmesi ve geçiş için bir yol haritası oluşturmaları faydalı olacaktır.