ISO 27001:2022 Revizyonu ve Geçiş Rehberi: 11 Yeni Madde ile Neler Değişti?
Aralık 16, 2025
Bilgi güvenliği dünyası değişti. 2013 yılından kalan kurallar artık siber tehditleri durdurmaya yetmiyor. Uluslararası Standardizasyon Örgütü (ISO), bu ihtiyaca binaen standardı güncelledi. ISO/IEC 27001:2022 versiyonu; bulut güvenliği, siber tehdit istihbaratı ve KVKK uyumu gibi modern kavramları merkeze alıyor. Peki, mevcut belgesi olan firmalar bu geçişi nasıl yapacak? İşte adım adım yol haritası.
Büyük Resim: 2013 ve 2022 Versiyonları Arasındaki Farklar
Eski versiyonda (2013) kontroller 14 farklı kategoriye dağılmıştı ve yönetimi zordu. Yeni versiyon (2022) ise çok daha sade ve odaklı. Artık kontroller 4 Ana Tema altında toplanıyor.
| Değişken | ISO 27001:2013 (ESKİ) | ISO 27001:2022 (YENİ) | Yorum |
|---|---|---|---|
| Kontrol Sayısı | 114 Kontrol | 93 Kontrol | Bazı maddeler birleştirilerek sadeleştirildi. |
| Yapı (Tema) | 14 Kategori (A.5 – A.18) | 4 Tema (Organizasyon, İnsan, Fiziksel, Teknolojik) | Daha modern ve anlaşılır bir yapıya geçildi. |
| Yeni Kavramlar | Bilgi Güvenliği | Siber Güvenlik, Gizlilik, Veri Koruma | KVKK ve GDPR ile tam uyumlu hale geldi. |
En Kritik Bölüm: Ek-A’ya Eklenen 11 Yeni Madde
Denetçilerin geçiş denetimlerinde tek tek sorgulayacağı 11 yeni kontrolü sizin için analiz ettik. Firmanızın bu maddelere karşı hazırlıklı olması şarttır.
1. Tehdit İstihbaratı (A.5.7)
Sektörünüzle ilgili siber saldırı yöntemlerini ve trendleri aktif olarak takip edip analiz etmelisiniz.
2. Bulut Güvenliği (A.5.23)
AWS, Azure veya Drive gibi bulut hizmetlerini kullanırken güvenlik ayarlarının sorumluluğu artık sizde.
3. İş Sürekliliği için BİT (A.5.30)
Olası bir felaket anında sunucuların ve kritik sistemlerin ne kadar sürede çalışır hale geleceği planlanmalı.
4. Fiziksel Güvenlik İzleme (A.7.4)
Ofis, sunucu odası gibi alanların kamera ve alarm sistemleriyle 7/24 izlenmesi zorunluluğu.
5. Konfigürasyon Yönetimi (A.8.9)
Donanım ve yazılımların kurulum ayarlarının (standart konfigürasyon) dokümante edilmesi.
6. Bilginin Silinmesi (A.8.10)
Artık ihtiyaç duyulmayan verilerin KVKK’ya uygun şekilde güvenli imha (Wiping) yöntemleriyle silinmesi.
7. Veri Maskeleme (A.8.1)
Hassas verilerin (TCKN, Kredi Kartı vb.) veritabanında açık değil, maskelenmiş (****) tutulması.
8. Veri Sızıntısı Önleme (A.8.12)
Şirket verisinin (USB, Mail vb. yolla) dışarı sızmasını engelleyen DLP sistemlerinin kullanımı.
9. İzleme Faaliyetleri (A.8.16)
Ağ ve sistem loglarının sadece tutulması değil, anormalliklere karşı aktif izlenmesi.
10. Web Filtreleme (A.8.23)
Zararlı veya iş dışı web sitelerine erişimin kısıtlanması.
11. Güvenli Kodlama (A.8.28)
Yazılım geliştiren firmalar için kod güvenliği prensiplerinin uygulanması.
⏳ Sayaç İşliyor: Son Tarih 31 Ekim 2025
DİKKAT: Belgeniz İptal Olabilir!
Eğer 31 Ekim 2025 tarihine kadar geçiş denetimini tamamlamazsanız, mevcut ISO 27001:2013 belgeniz otomatik olarak GEÇERSİZ (İPTAL) sayılacaktır. İhalelere girerken “Belgeniz güncel değil” uyarısı almamak için süreci son aya bırakmayın.
5 Adımda Sorunsuz Geçiş Planı
DM Belgelendirme olarak, sizi “sıfırdan belge alma” maliyetine sokmadan, sadece değişen kısımları revize ederek (Gap Analizi) geçiriyoruz.
- Fark Analizi (Gap Analysis): Mevcut sisteminiz ile yeni 2022 standardı arasındaki açıkların tespiti.
- SOA (Uygulanabilirlik Bildirgesi) Revizyonu: Yeni 93 kontrole göre SOA tablosunun güncellenmesi.
- Risk Analizi Güncellemesi: Risklerin yeni tehditlere göre yeniden değerlendirilmesi.
- Eğitim: Personelin yeni maddeler hakkında bilgilendirilmesi.
- Geçiş Denetimi: Normal gözetim denetimi zamanınızda veya özel bir tarihte denetimin yapılması.
Geçiş denetimi maliyetleri ve danışmanlık ücretleri hakkında bilgi almak için 2025 ISO 27001 Fiyat Rehberi sayfamızı inceleyebilirsiniz.
📥 Ücretsiz Kaynak: ISO 27001:2022 Geçiş Kontrol Listesi
Geçiş denetimine hazır mısınız? 11 maddelik kontrol listesini PDF olarak isteyin.
Geç Kalmadan Harekete Geçin
Siz işinize odaklanın, dokümantasyon ve revizyon sürecini uzman ekibimiz yönetsin. Ankara merkezli ekibimizle tüm Türkiye’ye hizmet veriyoruz.
ISO 27001 Revizyonu Hakkında Sıkça Sorulan 7 Soru
1. ISO 27001:2022 geçişi için son tarih kesin olarak ne zaman?
Uluslararası Akreditasyon Forumu (IAF) tarafından belirlenen son tarih 31 Ekim 2025‘tir. Bu tarihe kadar geçiş denetimini başarıyla tamamlamayan firmaların eski (2013 versiyonlu) belgeleri otomatik olarak iptal edilecektir.
2. Yeni standartta dokümantasyon tamamen değişiyor mu?
Ana iskelet (Politikalar, Prosedürler) kalmakla birlikte, özellikle SOA (Uygulanabilirlik Bildirgesi) tablosunun tamamen yeni 93 kontrole göre yeniden yazılması ve Risk Analizi’nin yeni tehditlere göre güncellenmesi gerekmektedir.
3. Geçiş denetimi (Transition Audit) için ekstra ücret ödenir mi?
Evet. Geçiş denetimi, normal gözetim denetimlerine göre daha kapsamlıdır ve denetçinin yeni maddeleri incelemesi ek zaman alır (ek manday). Bu nedenle belgelendirme kuruluşları geçiş için ek bir denetim ücreti talep eder.
4. Yeni maddeler için yazılım veya donanım yatırımı şart mı?
Kesinlikle şart değildir. Örneğin “Veri Sızıntısı Önleme (DLP)” veya “Web Filtreleme” maddeleri için pahalı cihazlar almak yerine, işletim sistemi özelliklerini veya açık kaynak kodlu yazılımları kullanarak da standardı karşılayabilirsiniz. Önemli olan riski yönettiğinizi kanıtlamaktır.
5. Bulut Güvenliği (Cloud Security) maddesi neleri kapsıyor?
Artık verilerinizi ofiste değil de AWS, Azure veya Google Drive’da tutuyorsanız; “Sorumluluk bende değil” diyemezsiniz. Bulut sağlayıcınızla yaptığınız sözleşmeler, yedekleme sıklığı ve erişim yetkileri denetimde sorgulanacaktır.
6. Sadece Bilgi İşlem (IT) departmanı mı denetlenir?
Hayır. ISO 27001 bir şirket kültürüdür. İnsan Kaynakları (işe alım/çıkış güvenliği), Satın Alma (tedarikçi güvenliği) ve Fiziksel Güvenlik (kamera/girişler) süreçleri de yeni versiyonda daha sıkı denetlenmektedir.
7. Danışmanlık almadan geçiş yapabilir miyiz?
Mümkündür ancak risklidir. Yeni 11 madde ve değişen kontrol yapısı (Merge edilen maddeler) teknik uzmanlık gerektirir. Hatalı dokümantasyon nedeniyle denetimden kalmak, firmanıza zaman ve tekrar denetim ücreti kaybettirebilir.
Sonuç: Dönüşümü Fırsata Çevirin
ISO 27001:2022 revizyonu, sadece “yeni maddelerden” ibaret teknik bir güncelleme değildir; firmanızın siber dayanıklılığını (Cyber Resilience) artıran stratejik bir fırsattır. Eski alışkanlıklarla yönetilen bilgi güvenliği süreçleri, günümüzün sofistike siber saldırılarına karşı yetersiz kalmaktadır.
Geçiş sürecini son tarihe (Ekim 2025) bırakmak, hem denetçi bulma sıkıntısı yaşamanıza hem de aceleye gelen süreçler nedeniyle hata yapmanıza neden olabilir. DM Belgelendirme olarak önerimiz; süreci bir “yasal zorunluluk” stresi olarak değil, kurumsal itibarınızı güçlendirecek bir yatırım olarak görmenizdir. Gelin, firmanızın dijital kalesini yeni standartlarla birlikte yeniden inşa edelim.