ISO/IEC 27001 ve ISO/IEC 27002 Standartlarının Yeni Sürümleri yayınlandı

Bilgi güvenliği yönetimi standardı ISO 27001 ve ona eşlik eden standart ISO 27002, 2022'de güncellendi. Güncelleme ile ilgili bültenimize ve detaylara bu sayfadan ulaşabilirsiniz.

GEÇİŞ BÜLTENİ

ISO 27001 ve ISO 27002'nin yeni versiyonlarının getirdiği önemli değişiklikler nelerdir?

ISO 27001:2022, ISO 27001:2013'ten önemli ölçüde olmamakla beraber bazı dikkate değer değişikliklere sahip

• Bağlam ve kapsam

Artık ilgili tarafların “ilgili” gereksinimlerini belirlemeli ve hangilerinin BGYS (bilgi güvenliği yönetim sistemi) aracılığıyla ele alınacağını belirlemelisiniz.

• Planlama

Bilgi güvenliği hedefleri artık izlenmeli ve “dokümante edilmiş bilgi olarak kullanılabilir” hale getirilmelidir.

BGYS'de değişiklikleri planlamaya ilişkin yeni bir bölüm var. BGYS'deki değişikliklerin gerçekten planlanmış olduğunu nasıl gösterebileceğinizi belirlemelisiniz.

• Destek

Kimin iletişim kuracağını ve iletişimi gerçekleştirme süreçlerini tanımlama gereklilikleri, “nasıl iletişim kurulacağını” tanımlama gerekliliği ile değiştirilmiştir.

• Operasyon

Bilgi güvenliği hedeflerine nasıl ulaşılacağını planlama gerekliliği, Madde 6'da tanımlanan eylemleri uygulamaya yönelik süreçler için kriterler oluşturma ve bu süreçleri kriterler doğrultusunda kontrol etme gerekliliği ile değiştirilmiştir.

Kuruluşların artık sadece süreçlerden ziyade BGYS ile ilgili “harici olarak sağlanan süreçleri, ürünleri veya hizmetleri” kontrol etmesi gerekmektedir.

• Performans ve değerlendirme

BGYS'nin etkinliğini izleme, ölçme, analiz etme ve değerlendirme yöntemlerinin artık karşılaştırılabilir ve tekrarlanabilir olması gerekmektedir.

Yönetimin gözden geçirmesi artık ilgili tarafların ihtiyaç ve beklentilerindeki değişiklikleri de dikkate almalıdır.

• Ek A

Ek A, ISO 27002:2022 ile uyumlu hale getirmek için revize edilmiştir. ISO 27002'de dolayısı ile ISO 27001 de aşağıdaki değişiklikler yapılmıştır.

Güncellenen ISO 27002 standardının başlığından “uygulama prensipleri” ibaresi çıkarılmıştır. Bu değişiklik, risk yönetimine dayalı olarak kullanılacak bilgi güvenliği kontrollerinin bir referans seti olarak kullanılma amacını daha iyi yansıtmaktadır.

Standardın yeni versiyonu önceki sürümden önemli ölçüde daha uzun olup bilgi güvenliği kontrolleri yeniden sıralanmış ve güncellenmiştir. Bazı kontroller birleştirilmiş veya kaldırılmış ve bazı kontroller de eklenmiştir:

• ISO 27002:2022, ISO 27002:2013'teki 114 yerine 93 kontrolü listeler.
• Bu kontroller 14 madde yerine gruplandırılan 4 ana konu altında listelenmiştir. Bunlar:
  • Organizasyonel (37 kontrol)
  • İnsanlar (8 kontrol)
  • Fiziksel (14 kontrol)
  • Teknolojik (34 kontrol)
• Eklenen yeni kontroller şunlardır:
  • Tehdit istihbaratı
  • Bulut hizmetlerinin kullanımı için bilgi güvenliği
  • İş sürekliliği için BİT hazırlığı
  • Fiziksel güvenlik izleme
  • Konfigürasyon yönetimi
  • Bilgi silme
  • Veri maskeleme
  • Veri sızıntısı önleme
  • İzleme faaliyetleri
  • Web filtreleme
  • Güvenli kodlama
• Kategorize edilmelerini kolaylaştırmak için kontrollerde artık beş tür "özellik" yer almakta:
  • Kontrol tipi (önleyici, tespit edici, düzeltici)
  • Bilgi güvenliği özellikleri (gizlilik, bütünlük, kullanılabilirlik)
  • Siber güvenlik kavramları (belirleme, koruma, tespit etme, yanıt verme, iyileştirme)
  • Operasyonel kabiliyetler (yönetişim, varlık yönetimi, vb.)
  • Güvenlik alanları (yönetim ve ekosistem, koruma, savunma, direnç)
• 23 kontrolün adı değiştirilmiş ve herhangi bir kontrol çıkarılmamıştır.

Bu değişiklikler, ISO/IEC 27001'i uygulayan kuruluşları nasıl etkileyecek?

ISO/IEC 27001:2022'ye geçiş için akreditasyon ve belgelendirme kuruluşlarına yönelik gereklilikler, Uluslararası Akreditasyon Forumu tarafından IAF MD 26:2022 dokümanı içerisinde tanımlanarak yayınlandı.

ISO/IEC 27001:2013 sertifikasına sahip kuruluşların yeni versiyona geçişi bu doküman doğrultusunda standardın yayın tarihinden itibaren 3 yıldır. Halihazırda ISO/IEC 27001:2013 sertifikasına sahip kuruluşlar en geç 31.10.2025 te yeni versiyona geçiş yapmış olmalıdır.

• Geçiş, bu süre içerisinde sertifikalı kuruluşun talebine bağlı olarak programlı tetkik ile birlikte (gözetim veya belge yenileme) veya haricinde (geçiş tetkiki) olarak yapılabilecektir. Söz konusu tetkikler sertifikalı müşterilerin geçişini doğrulamak için ilave olarak asgari 0,5 tetkikçi gününü içerecektir. Bu süre tetkik öncesinde belirlenerek kuruluşa bildirilecektir.
• ISO/IEC 27001:2013'e dayalı tüm sertifikalar, geçiş süresinin sonunda sona erecek veya geri çekilecektir.
• Kuruluş, geçiş kontrollerini içeren tetkiki (programlı gözetim tetkiki veya geçiş tetkiki yoluyla) başarıyla tamamladığında güncellenecek olan sertifikada, geçerli belgelendirme döngüsünün sona erme tarihi değiştirilmeyecektir.

ISO/IEC 27001:2013'e uygun sistemlerini kurmuş halihazırda bir sertifikaya sahip olmayan kuruluşlar ilk belgelendirme için en geç 31.10.2023 tarihine kadar eski versiyonda belgelendirme kuruluşlarına başvuru yapabileceklerdir. Bu tarih sonrası eski versiyonda başvurular kabul edilmeyecektir.

Cicert olarak geçiş için hazırlanmaya mümkün olduğunca erken başlamanızı ve gerekli değişiklikleri yönetim sisteminize dahil etmek için aşağıdaki adımları dikkate alarak ve uygun şekilde planlamanızı öneririz :

• Standardın yeni versiyonun içeriğini ve gerekliliklerini öğrenin. Değişikliklere odaklanın.
• Kuruluşunuzdaki ilgili personelin eğitimli olduğundan ve gereksinimleri ve önemli değişiklikleri anladığından emin olun.
• Yeni gereklilikleri karşılamak ve bir uygulama planı oluşturmak için ele alınması gereken boşlukları belirleyin.
• Eylemleri uygulayın ve yeni gereksinimleri karşılamak için yönetim sisteminizi güncelleyin.

ISO 27002:2022, kontrollerini standardın 2013 sürümüyle karşılaştıran bir eke sahiptir. Değişikleri kıyaslamanız nispeten kolay olacaktır.

Cicert olarak 2023 yılı ikinci yarısından itibaren geçiş tetkiklerini yapmaya ve yeni versiyonda başvuruları almaya başlamayı öngörmekteyiz.

Geçiş sürecinizde ihtiyacınız olan destekler ve sorularınız için bizimle iletişime geçebilirsiniz. Eğitimler, boşluk analizi, tetkikler aracılığı ile değişiklikleri anlamanızı sağlayarak, kuruluşunuz üzerindeki etkiyi kontrol ederek ve sertifika geçişinizi sağlayarak size destek olmaya hazırdır.

ISO/IEC 27701:2019 ISO/IEC 27701:2019 KİSİSEL VERİLERİN YÖNETİM SİSTEMİ BİLGİLENDİRME EĞİTİMİ

04-05 Kasım 2022

Kişisel bilgilerin toplanmasının katlanarak artması ve veri işlemenin artması gizlilik endişelerine yol açmıştır ISO IEC27701 Gizli Bilgi Yönetim Sistemi ( uygulanması, kuruluşların kişisel bilgilerin toplanması, bakımı ve işlenmesi ile ilgili gizlilik risklerini değerlendirmesine, giderilmesine ve azaltmasına yardımcı olur ISO 27001 ve ISO 27002 BilgiGüvenliği Yönetim Sistemi'nin ( temeline dayanmaktadır.

ISMS çerçevesinin ISO 27701 'i içerecek şekilde genişletilmesi, kuruluşların gizlilik yönetimini içerecek şekilde programlarını büyütmelerini ve böylece veri koruma mevzuatına bağımsız olarak uyum göstermelerini sağlayacaktır.

Bu eğitimin amacı, katılımcılara Gizli Bilgilerin Yönetimi ISO 27701 Standardının temel yapısını ve kavramlarınıtanıtmak, uygulama örnekleri vererek ve konu ile ilgili yönetim sistemi şartlarını açıklamaktır

1. ISO 27001 standardı temelli ISO 27701 ek gereklilikler.
2. ISO 27002 standardı temelli ISO 27701 ek gereklilikler
3. ISO 27001 ISO 27001 ve ISO 27701 arasındaki ilişki
4. Kişisel verilerin kontrolü
5. Verinin İşlenmesi
6. Kişisel verilerin korunması kanunu ve GDPR’a Bakış

Eğitimde, kazandırılmak ve/veya pekiştirilmek istenen becerilere ilişkin davranış değişikliği alanlarının anlaşılması ve mevcut bilgi düzeylerinin belirlenmesi amacıyla tasarlanmış testler, becerilerin gerçek yaşama aktarılmasını kolaylaştıracak uygulamalar ile katılımcılar desteklenmektedir.

Kuruluşlarında Bilgi Güvenliği Yönetim Sistemi ve kişisel verilerin korunmasına yönelik sistem kurmakta olan veya mevcutKuruluşlarında Bilgi Güvenliği Yönetim Sistemi ve kişisel verilerin korunmasına yönelik sistem kurmakta olan veya mevcutsistemlerini standart gereklerine göre geliştirmek ve düzenlemek için çalışan, kuruluşların yöneticileri ve konunun uzmanları ,Bilgi Güvenliği sistem tetkikçileri.

2 Gün

1100 TL + KDV

Eğitim zoom üzerinden online olarak gerçekleştirilecektir.

Rüşvet yaygın bir fenomendir. Ciddi sosyal, ahlaki, ekonomik ve politik kaygıları arttırır, iyi yönetişimi baltalar, gelişmeyi engeller ve rekabeti bozar. Adaleti aşındırır, insan haklarını baltalar ve yoksulluğun azaltılmasının önündeki bir engeldir. Aynı zamanda iş yapma maliyetini arttırır, ticari işlemlere belirsizlikler getirir, mal ve hizmetlerin maliyetini arttırır, ürün ve hizmetlerin kalitesini düşürür, bu da can ve mal kaybına yol açabilir, kurumlara olan güveni yok eder ve piyasaların verimli çalışmasına müdahale eder. Bu sorunu çözmek tek başına yasa yeterli değildir. Kuruluşların rüşvetle mücadeleye proaktif olarak katkıda bulunma sorumluluğu vardır.

ISO 37001’de amaçlanan rüşvet karşıtı bir yönetim sistemi ve bir bütünlük, şeffaflık, açıklık ve uyum kültürü oluşturmaya yönelik liderlik taahhüdü ile gerçekleştirilebilir. Bir kuruluşun kültürünün doğası, rüşvetle mücadele yönetim sisteminin başarısı veya başarısızlığı için kritik öneme sahiptir. Bu standart yolsuzlukla mücadele konusunda kuruluşlara kılavuzluk sağlar.

Bir ISO 37001:2016 belgesi, yeterli bulunan ve en iyi uygulama standardına göre Yolsuzlukla Mücadele Yönetim Sisteminizin belgelendirildiğini kanıtlar. Cicert Belgelendirme Hizmetleri Ltd. Şti.  tarafından verilen sertifika, müşterilerinize zorunluluklarını karşılayan gerekli iş proseslerini uygulandığınız güvenini sağlar.

ISO 37001:2016 standardı uluslararası tanınan genel bir standarttır. Uluslararası Yolsuzlukla Mücadele yönetim sistemlerine yönelik gereksinimleri tanımlamak için ISO (International Organization for Standardization) tarafından geliştirilmiştir. ISO 37001:2016 denetim ve belgelendirmesi teklifi için lütfen başvuru formumuzu doldurunuz.

ISO 37001:2016 Yolsuzlukla Mücadele Yönetim sistemi Eğitimleri

Yol trafik güvenliği (YTG) küresel bir husustur. Her yıl dünya üzerinde yollarda yaklaşık 1,3 milyon insanın öldüğü̈ ve 20 milyon ila 50 milyon insanın yaralandığı ve bu rakamların sürekli arttığı değerlendirilmektir. Bu durum sosyo-ekonomik ve sağlık etkileri yönünden oldukça önemlidir.

Bu standart, kuruluşlara yol trafik çarpışmaları ile ilgili ölüm ve ciddi yaralanma oranını ve riskini düşürmek ve tamamen ortadan kaldırmaya yardımcı olmak üzere ortaya konmuştur. Bu odaklanma, yol trafik sisteminin uygun maliyetli kullanımı ile sonuçlanabilir.

Bu standart, kuruluşun istenen YTG sonuçlarına ulaşmasını sağlayacak iyi YTG yönetim uygulamalarının unsurlarını tanımlar.

Bu standart, yol trafik sistemi ile etkileşimde olan kamu ve özel kuruluşlara uygulanabilir. Bu standart, belgelendirme kuruluşları dâhil iç ve dış taraflarca, kuruluşun şartları karşılama becerisini değerlendirmek için kullanılabilir.

Dünyanın çeşitli yerlerinden elde edilen tecrübeler, ölüm ve ciddi yaralanmalarda önemli miktarda azalmaların bütünsel Güvenlik Sistemi yaklaşımının YTG’ye adaptasyonu ile sağlanabileceğini göstermiştir. Bu yaklaşım; uygun örgütsel yönetim kapasitesi ile desteklenen, YTG sonuçlarına açık ve net odaklanma ve delil esaslı faaliyetleri kapsamaktadır.

Bir 39001:2013 belgesi, yeterli bulunan ve en iyi uygulama standardına göre Yol Trafik Güvenliği Yönetim Sisteminizin belgelendirildiğini kanıtlar. Cicert Belgelendirme Hizmetleri Ltd. Şti.  tarafından verilen sertifika, müşterilerinize zorunluluklarını karşılayan gerekli iş proseslerini uygulandığınız güvenini sağlar.

ISO 39001:2013 standardı uluslararası tanınan genel bir standarttır. Uluslararası Yol Trafik Güvenliği yönetim sistemlerine yönelik gereksinimleri tanımlamak için ISO (International Organization for Standardization) tarafından geliştirilmiştir. ISO 39001:2013 denetim ve belgelendirmesi teklifi için lütfen başvuru formumuzu doldurunuz.

ISO 39001:2013  Yol Trafik Güvenliği Yönetim sistemi Eğitimleri