Genel Bilgilendirme
Bilgi Güvenliği Yönetim Sistemlerinin Belgelendirmesini Sağlayan Kuruluşlar İçin Şartlar Standardı olan ISO/IEC 27006-1:2024 Standardı Mart 2024′ te yayınlanmıştır. Uluslararası Akreditasyon Forumu (IAF) ilgili standardın geçişi için gerekli olan şartları IAF MD 29:2024 dokümanında belirlemiştir. IAF (Uluslararası Akreditasyon Forumu) tarafından geçiş süresi 2 (iki) yıl olarak belirlenmiştir. Yayımlanan standartta özellikle denetim sürelerinin hesaplanması, denetim teknikleri (uzaktan denetimler) ve belgelendirme faaliyetinde yer alan personel yeterliliklerinde değişiklikler olmuştur.
Bu kapsamda, Pi Belgelendirme olarak ISO/IEC 27006-1:2024 standardının gerekliliklerini kuruluşumuz tarafından yayınlanan Fark Analizi ve Geçiş Kılavuzunda ISO 27001 Bilgi Güvenliği Yönetim Sistemi konusunda belgelendirilen tüm müşterilerimize ve diğer ilgili taraflara duyururuz. Değişikliklerin detayları hakkında Fark Analizi ve Geçiş Kılavuzumuzu inceleyebilirsiniz veya bilgilendirme için iletişime geçebiliriz.
Geçiş Süreci Zaman Çizelgesi (IAF MD 29′ a göre)
| Akreditasyon Kurumu Geçiş Süreci | |
|---|---|
| Faaliyet | Bitiş Tarihi |
| Akreditasyon Kurumu’nun ISO/IEC 27006-1:2024’e göre değerlendirmeye hazır olması | Dokümanın yayınlandığı aydan itibaren 9 ay – 31 Aralık 2024 |
| Akreditasyon Kurumu, tüm ilk ve devam eden akreditasyon değerlendirmeleri için ISO/IEC 27006-1: 2024’ü kullanacaktır. | Dokümanın yayınlandığı aydan itibaren 12 ay – 31 Mart 2025. |
| Tüm UDK’ ların Akreditasyon Kurumu geçişi tamamlanması | Dokümanın yayınlandığı aydan itibaren 24 ay – 31 Mart 2026. |
| Uygunluk Değerlendirme Kuruluşu Geçiş Süreci | |
|---|---|
| Faaliyet | Bitiş Tarihi |
| UDK, ISO/IEC 27006-1:2024 akreditasyonundan sonra tüm ilk müşteriler için ISO/IEC 27006-1:2024’ün kullanılması | Her UDK için geçiş tarihine göre belirlenecek tarih, ancak belgenin yayınlandığı aydan itibaren en geç 24 ay-30 Haziran 2024 veya akreditasyonun geçişi, hangisi daha geçse. |
| UDK, En geç tüm müşteriler için ISO/IEC 27006-1:2024′ ü kullanmaya başlaması | Dokümanın yayınlandığı aydan itibaren 9 ay – 31 Aralık 2025 |
| UDK, en geç Örnekleme ve denetim süresi hesaplamaları gibi mevcut müşterilerini etkileyen tüm değişiklikleri tamamlaması | Dokümanın yayınlandığı aydan itibaren 12 ay – 31 Mart 2026. |
IAF MD 29′ a göre Belirlenen Pi Belgelendirme Geçiş Süreci
| Faaliyet | Faaliyet Detayı | Bitiş Tarihi |
|---|---|---|
| ISO/IEC 27006-1:2024 teknik incelemesinin yapılması ve değişikliklerin belirlenmesi Mevcut Belgeli müşterilere geçiş duyurusunun yapılması ISO/IEC 27006-1:2024 standardı ile ilgili değişikliklerin duyurulması | Pi Belgelendirme Yönetim temsilcisinin ve Bilgi teknolojileri alanındaki teknik değerlendirme sorumlusu tarafından standartlar bir toplantı ile incelecek ve farklar belirlenecektir. Web sayfasında müşterilere duyuru yapılması ISO/IEC 27006-1:2024 versiyonu yenilikleri ile ilgili olarak Geçiş bilgilendirmesi yapılarak www.pibelgelendirme.com.tr web sitesinde duyurular bölümünde yayınlanacak. Müşterilerin bilgilendirilmesi sağlanacak. | Mayıs 2025, Haziran 2025, Haziran 2025 |
| Dokümante edilmiş Pi Belgelendirme yönetim sisteminin ISO/IEC 27006-1:2024 göre gözden geçirilmesi revize edilmesi | PR.01 Doküman Yönetim Prosedürü, PR.03 İç Tetkik Prosedürü, PR.08 Belgelendirme ve Denetim Gerçekleştirme Prosedürü, PR.09 Personel Yönetim Prosedürü ve bu dokümanları referans alan uygulama dokümanları, ISO/IEC 27006-1:2024′ e göre gözden geçirilerek ihtiyaç duyulan değişiklikler yapılarak yayınlanacak. | Aralık 2025 |
| Standardın uygulanması ile ilgili kilit noktadaki mevcut- potansiyel belgelendirme faaliyetinde yer alan personele ISO/IEC 27006-1:2024 eğitiminin verilmesi | ISO/IEC 27006-1:2024 geçiş revizyonu ile ilgili Pi Belgelendirme İç-dış Bilgi Güvenliği Yönetim Sistemi denetim ekibi personeli, karar komitesi üyeleri ve planlama sorumluları, tarafsızlığı koruma komitesi ve itiraz komitesi üyelerinin katılımının sağlanacağı eğitim düzenlenecek. | Aralık 2025 |
I. ISO/IEC 27006-1:2024 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMLERİ (BGYS) SERTİFİKASYON SÜRECİNDEKİ DEĞİŞİKLİKLER
ISO/IEC 27006-1:2024 nedir?
- Bu standart, bilgi güvenliği yönetim sistemlerini (BGYS) denetleyen ve sertifikalandıran kuruluşlar için rehber niteliğindedir.
- ISO/IEC 27006-1:2024, “denetim süreçlerinin nasıl yürütüleceğini, denetim sürelerinin nasıl hesaplanacağını ve uzaktan denetim yöntemlerinin nasıl uygulanacağını düzenler”.
- Bu, denetim ve belgelendirme süreçlerini daha verimli, şeffaf ve etkili hale getirmeyi amaçlar.
- Bununla beraber (UDK) uyguluk değerlendirme kuruluşlarının bilgi güvenliğini yönetim sistemi sertifikasyon süreçlerinin daha etkin bir şekilde yönetmelerine yardımcı olmaktır.
Ana Değişiklikler ve Yenilikler
ISO/IEC 27006-1:2024’ün en önemli değişikliklerine bir göz atalım. Öncelikle, şunu söylemeliyim ki, bu standart sadece bir güncellemenin yanı sıra eski standartta eksik kalan veya yetersiz kalan birçok alan, bu yeni versiyonda ele alınmıştır. Daha kapsamlı, daha net ve uygulaması daha kolay bir standart olarak karşımıza çıkmaktadır.
a. Uzaktan Denetimlere İlişkin Gereklilikler
- Özellikle pandemi sonrası dönemde yaygınlaşan uzaktan denetimler, daha detaylı rehberlik ve esneklik sunularak resmileştirilmiştir.
- Uzaktan denetim yöntemlerine daha fazla ağırlık verilmiş, sanal organizasyonlar ve modern çalışma pratikleri göz önüne alınmıştır.
- Denetim raporlarında, uzaktan denetimlerin kapsamı ve etkinliği açıkça belirtilme gerekliliği eklenmiştir.
- %30’dan fazla uzaktan denetim yapılan durumlar için akreditasyon kurumunun onay gerekliliği kaldırılmıştır.
- Az sayıda veya hiç fiziksel ilgili sahaya sahip olmayan müşteriler için denetim raporunda ve sertifika belgesinde, müşterinin faaliyetlerinin uzaktan yürütüldüğünün belirtilmesi gerekliliği eklendi.
d. Yetkinlik ve Deneyim:
- BGYS belgelendirme faaliyetinde yer alan personel için tanımlanmış olan nicel eğitim ve deneyim gereklilikleri kaldırılmıştır.
- Bunun yerine yetkinlik ve yeterliliklerin teknik ve subjektif değerlendirme yöntemleri belirlenerek denetimlerin daha etkin gerçekleştirilebilmesinin önü açılmıştır.
Geçiş Süreci Tarihsel Planlama
- 1 Mart 2024: ISO/IEC 27006-1:2024’ün yayımlanması.
- 1 Aralık 2024: Akreditasyon kurumunun yeni standart ile uyum değerlendirmelerine hazır olması
- 31 Mart 2025: Akreditasyon kurumunun ISO/IEC 27006-1′ e göre akreditasyon faaliyetlerini yürütmesi
- 31 Mart 2026: Uygunluk değerlendirme kuruluşlarının ISO/IEC 27006-1′ e göre faaliyetlerini yürütmesi
ISO/IEC 27006-1′ in 2024 baskısında denetim süresi belirleme gereklilikleri değiştiğinden, Pi Belgelendirme ile mevcut sertifikalı müşterilerimiz arasındaki sözleşmenin revize edilmesi gerekebilir.