Siber saldırılar, veri ihlalleri ve artan regülasyonlar kurumların bilgi varlıklarını her zamankinden daha fazla tehdit ediyor. ISO/IEC 27001:2022 Bilgi Güvenliği Yönetim Sistemi ile bu tehditlere karşı sistematik bir savunma kurun; müşterilerinize, ortaklarınıza ve düzenleyici kurumlarınıza güvenliği ciddiye aldığınızı kanıtlayın.
ISO/IEC 27001:2022, bilgi güvenliği yönetim sistemleri (BGYS) için dünyanın en yaygın kullanılan uluslararası standardıdır. Bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini korumaya yönelik kapsamlı kontroller ve yönetim gereksinimleri tanımlar.
2022 yılında güncellenen en son versiyon, bulut güvenliği, tehdit istihbaratı ve tedarik zinciri güvenliği gibi güncel siber güvenlik tehditlerini karşılamak üzere yeniden yapılandırılmış 93 Ek-A kontrolü içermektedir. Standart; büyüklüğü veya sektörü ne olursa olsun bilgi varlıklarını korumak isteyen her kuruma uygulanabilir.
2013 revizyonuna kıyasla ISO 27001:2022, kontrol yapısını köklü biçimde yenilemektedir. 114 kontrolden oluşan eski yapının yerini dört ana kategoride gruplanmış 93 kontrol almıştır: Örgütsel (37), İnsan Kaynakları (8), Fiziksel (14) ve Teknolojik (34). Tehdit istihbaratı, bulut hizmetleri güvenliği, veri maskeleme ve güvenli kodlama gibi 11 yeni kontrol eklenmiştir.
Gap Analizi ve Olgunluk Değerlendirmesi Kurumunuzun mevcut bilgi güvenliği uygulamalarını ISO 27001:2022 gereksinimleriyle karşılaştırır; hangi kontrollerin uygulandığını, hangilerinin eksik olduğunu ve hangi alanlarda acil iyileştirme gerektiğini önceliklendirilmiş bir raporla sunarız. Bu analiz, projenizin kapsamını ve bütçesini doğru planlamanızı sağlar.
Bilgi Varlıkları Envanteri ve Sınıflandırma Kurumunuzdaki tüm bilgi varlıklarını tespit eder, gizlilik ve kritiklik düzeylerine göre sınıflandırır, sahiplik atamalarını yaparak varlık yönetimi çerçevesini oluştururuz. Envanter, risk değerlendirmesinin ve kontrol seçiminin temelini oluşturur.
Risk Değerlendirmesi ve Uygulanabilirlik Bildirimi (SOA) ISO 27005 ile uyumlu metodolojimizle bilgi güvenliği risklerini sistematik biçimde tanımlar, analiz eder ve önceliklendiririz. Risk işleme planları ile tüm Ek-A kontrollerinin uygulanıp uygulanmadığını ve gerekçelerini belgeleyen Uygulanabilirlik Bildirimi’ni (SOA) hazırlarız.
BGYS Kurulumu ve Dokümantasyon Bilgi güvenliği politikası, varlık yönetimi prosedürü, erişim kontrolü, iş sürekliliği, olay yönetimi ve tedarikçi ilişkileri dahil tüm zorunlu belge altyapısını kurumunuza özgü biçimde oluştururuz.
Ek-A Kontrol Uygulaması Seçilen Ek-A kontrollerinin hayata geçirilmesinde teknik ve operasyonel destek sağlarız. Özellikle bulut güvenliği, tehdit istihbaratı, güvenli geliştirme ve tedarik zinciri güvenliği gibi 2022 revizyonuyla gelen yeni kontrollerin uygulanmasında uzmanlaşmış desteğimizden yararlanabilirsiniz.
Eğitim ve Farkındalık Programları Tüm personele yönelik bilgi güvenliği farkındalık eğitimlerinden, IT, geliştirici ve yönetici ekiplere özel ileri düzey programlara kadar geniş bir eğitim yelpazesi sunuyoruz. Sosyal mühendislik simülasyonları da eğitim kapsamımızda yer almaktadır.eo.
ISO 27001 sertifikasyonu almak ne kadar sürer?
Kurumun büyüklüğüne, mevcut olgunluk seviyesine ve kaynak tahsisine bağlı olarak 4 ila 12 ay arasında değişmektedir. Gap analizinin ardından size özel gerçekçi bir zaman çizelgesi sunarız.
ISO 27001:2013 sertifikam var, ne yapmalıyım?
Akreditasyon kurumları tarafından sağlanan mevcut ISO 27001:2013 sertifikalarının geçerlilik süresi 31 Ekim 2025’de dolmuştur. ISO 27001:2022’ye geçiş yapmanız gerekmektedir. Geçiş danışmanlığı hizmetimizle bu süreci kolayca yönetebilirsiniz.
ISO 27001 ile ISO 27701’i birlikte uygulayabilir miyiz?
Evet, kesinlikle önerilen yaklaşım budur. ISO 27701, ISO 27001 altyapısı üzerine inşa edilen bir gizlilik eklentisi olarak başlamış, 2025 sürümünden itibaren bağımsız hale gelmiştir. İki standardı birlikte uygulayarak hem maliyet hem de süre açısından önemli tasarruf elde edebilirsiniz.