ISO/IEC 27006-1:2024 Standardı Yayımlandı: BGYS Denetimlerinde Önemli Değişiklikler
Mart 2024 itibarıyla yayımlanan ISO/IEC 27006-1:2024 standardı, bilgi güvenliği yönetim sistemlerinin (BGYS) denetim ve belgelendirmesini gerçekleştiren kuruluşlar için önemli yenilikler ve düzenlemeler getirdi. Bu yeni versiyon, özellikle uzaktan denetim süreçlerine dair gerekliliklerin güncellenmesi, denetim süresi hesaplamalarında yapılan değişiklikler ve ilgili dokümantasyon süreçlerinin sadeleştirilmesi gibi birçok konuyu kapsıyor. Kuruluşların, 31 Mart 2026 tarihine kadar bu standartla uyumluluğu sağlamaları bekleniyor.
Bu yazımızda, geçiş süreciyle ilgili detayları ve yeni standardın getirdiği başlıca değişiklikleri ele alıyoruz.
27006-1:2024’in Getirdiği Temel Değişiklikler Aşağıdaki Gibidir:
Uzaktan denetimlere ilişkin gereksinimlerin iyileştirildi.
Uzaktan denetimin dağıtımına ilişkin yeni gereksinimler eklendi.
Uzaktan denetim uygulamasının kapsamı ve etkinliğinin denetim raporuna dahil edilmesi gereksinimi eklendi.
Uzaktan denetim faaliyetlerinin planlanan yerinde denetim süresinin %30’undan fazlasını oluşturması halinde AB’den onay alınması zorunluluğu kaldırıldı.
Az sayıda veya hiç fiziksel ilgili sahaya sahip olmayan müşteriler için denetim raporunda ve sertifika belgesinde, müşterinin faaliyetlerinin uzaktan yürütüldüğünün belirtilmesi gerekliliği eklendi.
ISO/IEC 27006:2015’teki Ek B, Ek C olarak yeniden adlandırıldı.
Denetim süresi hesaplama gereksinimlerinin güncellendi (Ek C).
Belirli özdeş faaliyetleri gerçekleştiren kişiler kavramı tanıtıldı ve bu yeni kavram kullanılarak başlangıçtaki kişi sayısının nasıl belirleneceği gereksinimi tanımlandı.
Kapsam genişletmeleri için denetim süresine ilişkin yeni gereksinimler tanımlandı.
Birden fazla sahanın denetim süresinin hesaplanmasına yönelik yaklaşımlar açıklığa kavuşturuldu.
ISO/IEC 27006:2015’teki Ek C, Ek D olarak yeniden adlandırıldı.
ISO/IEC 27006:2015’in Ek D’si, ISO/IEC 27001:2022’nin Ek A’sında listelenen bilgi güvenliği kontrolleriyle uyumlu hale getirilerek ISO/IEC 27006-1:2024’ün Ek E’si olarak aktarıldı. Tablo D, Tablo E olarak yeniden adlandırıldı.
BGYS sertifikasyon dokümanlarında diğer standartlara atıfta bulunulmasına ilişkin gereklilikler daha açık bir şekilde tanımlandı.
ISO/IEC 17021-1 ile daha iyi uyum sağlayarak gereksiz tekrarlar kaldırıldı. Örneğin, 5.2, 7.1.3, 9.3.2.2 ve 9.4 (ISO/IEC 27006-1:2024) maddeleri güncellendi.
BGYS Denetçilerinin iş deneyimi ve eğitimine ilişkin niceliksel zorunluluk kaldırıldı. (örneğin, 4 yıllık tam zamanlı pratik işyeri deneyimi)
ISO/IEC 27006‑1:2024 standardında yer alan denetim süresi belirleme yöntemlerindeki değişiklikler nedeniyle, mevcut sertifikalı müşterilerimizle RoyalCert arasında imzaladığımız sözleşmelerin güncellenmesi gerekebilir.
Kuruluşumuzun BGYS faaliyetlerinde yer alan personellerinin ve ilgili dokümantasyonunun bu revizyona uygunluk sağlama sürecinin en geç 31 Mart 2026 tarihine kadar tamamlanacağını tüm müşterilerimize ve diğer ilgili taraflara duyururuz.
Değişiklikler ile ilgili detaylı bilgiler için bizimle iletişime geçebilirsiniz.
