İçindekiler
Kuruluşunuz ISO 27001:2013 sertifikasına sahipse, 2022 sürümüne geçiş için 2025 sonuna kadar süreniz var. Zaman gerçek — sertifikasyon kuruluşunuz son tarihi uzatmayacak ve müşterilerinizin tedarik ekipleri çok önceden sorular sormaya başlayacak.
Manşet değişiklikler
Ek A, 14 kontrol kategorisinden dört temaya (Organizasyonel, İnsan, Fiziksel, Teknolojik) yeniden düzenlendi. Toplam kontrol sayısı konsolidasyon yoluyla 114'ten 93'e düştü, ancak tamamen 11 yeni kontrol eklendi.
11 yeni kontrol — gerçekte ne talep ediyorlar
- Tehdit istihbaratı (5.7) — sadece tüketilen değil, eyleme geçirilebilir
- Bulut hizmetlerinin kullanımı için bilgi güvenliği (5.23)
- İş sürekliliği için BİT hazırlığı (5.30)
- Fiziksel güvenlik izleme (7.4)
- Yapılandırma yönetimi (8.9)
- Bilgi silme (8.10)
- Veri maskeleme (8.11)
- Veri sızıntısı önleme (8.12)
- İzleme faaliyetleri (8.16)
- Web filtreleme (8.23)
- Güvenli kodlama (8.28)
Denetçilerin neye bakacağı
Geçiş denetimlerinde üç alan orantısız ilgi görecek: bulut güvenliği (5.23), tehdit istihbaratı (5.7) ve bilgi silme (8.10) — sonuncusu kuruluşların hafife aldığı yaygın bir uyumluluk boşluğu.
Altı adımlı geçiş planı
- Mevcut 2013 kontrollerinizi 2022 yapısına haritalayın (boşluk analizi)
- 11 yeni kontrolden hangilerinin gerçekten kapsamınıza uygulandığını belirleyin
- Uygulanabilirlik Bildiriminizi güncelleyin — bu zorunludur
- Yeni tehdit-istihbaratı ve bulut-güvenliği süreçlerini belgeleyin
- Yeni ve değişen alanlarda odaklı bir iç denetim yürütün
- Geçiş denetiminizi son tarihten en az üç ay önce planlayın
WPROIT'in uyumluluk pratiği, Almanya, Hollanda ve Polonya'daki kuruluşları bu geçişte destekledi. En yaygın model: olgun 2013 programlarına sahip kuruluşlar 8-12 haftada geçebilir; 2013 uygulamaları kağıt egzersizleri olanlar önemli ölçüde daha uzun sürer.
WPROIT Administrator
Ekibimizle görüşün