ISO 27001:2026 Güncelleniyor!
Bilgi Güvenliğinde Yeni Dönem
📌 Özet: ISO 27001:2026
✅ Yeni versiyon adı: ISO 27001:2026
✅ Yayın tarihi: Mart / Nisan 2026 (beklenen)
✅ Geçiş süresi: 3 yıl (2029'a kadar)
✅ Değişim büyüklüğü: Orta düzeyde (evrimsel, devrim değil)
✅ Öne çıkan yenilikler: Yapay zeka güvenliği, bulut güvenliği, siber dayanıklılık, dijital ürün pasaportu, değişim yönetimi
📅 ISO 27001:2026 Zaman Çizelgesi
ISO 27001 revizyon süreci, ISO'nun standart geliştirme prosedürüne göre ilerliyor. İşte kritik tarihler:
| Aşama | Tarih | Açıklama |
|---|---|---|
| Draft International Standard (DIS) | Haziran 2025 | Taslak metin yayınlandı, üye ülkelerin oyuna açıldı |
| Final Draft (FDIS) | .="Ocak 2026Son taslak, oylama tamamlandı | |
| ISO 27001:2026 Yayını | Mart / Nisan 2026 | Resmi yayın tarihi (beklenen) |
| Geçiş Süresi | 3 yıl (2029'a kadar) | .=Eski sertifikalar geçersiz olacak
⚠️ Kritik Not:
ISO 27001:2026, mevcut ISO 27001:2022 sertifikalarının yerini alacak. Geçiş süresi 3 yıl olarak planlanmaktadır. Bu süre sonunda (2029) eski sertifikalar geçerliliğini kaybedecektir.
🔄 ISO 27001:2026'da Neler Değişiyor?
Yeni versiyon, 2022'deki gibi köklü bir değişim değil, evrimsel bir güncelleme olacak. Değişiklikler orta düzeyde olup, yapısal olarak Annex SL (Yüksek Seviye Yapı) korunmaktadır. İşte en önemli yenilikler:
🤖 1. Yapay Zeka Güvenliği (AI Security)
Değişiklik: Yeni standart, yapay zeka sistemlerinin güvenliğini (prompt injection, model poisoning, veri sızıntısı) kapsayan kontroller ekliyor.
Pratikte: AI kullanan veya geliştiren firmalar, AI modellerinin güvenliğini sağlamak zorunda. ISO 42001 ile entegrasyon öneriliyor.
☁️ 2. Bulut Bilişim Güvenliği
Değişiklik: Ek-A 5.7 (Bulut bilişim hizmetlerinin güvenliği) kapsamı genişletiliyor. Bulut sağlayıcı seçim kriterleri ve sorumluluk paylaşımı daha net tanımlanıyor.
Pratikte: Bulut kullanan firmalar, SaaS, PaaS, IaaS modellerine göre ayrı risk değerlendirmesi yapmak zorunda.
🛡️ 3. Siber Dayanıklılık (Cyber Resilience)
Değişiklik: Sadece "bilgi güvenliği" değil, siber dayanıklılık (saldırıya rağmen işin devamı) vurgulanıyor. İş sürekliliği ile entegrasyon güçlendiriliyor.
Pratikte: Saldırı sonrası toparlanma planları, yedekleme stratejileri ve kriz yönetimi artık standartta daha belirgin.
📱 4. Dijital Ürün Pasaportu (DPP)
Değişiklik: Yeni standart, dijital ürün pasaportu kavramını tanıyor. Ürünlerin tüm yaşam döngüsü boyunca bilgi güvenliği verilerinin izlenmesi gerekiyor.
Pratikte: Özellikle otomotiv ve elektronik sektöründe, ürünlerin yazılım güvenliği, siber güvenlik sertifikaları dijital pasaportta tutulacak.
🔄 5. Değişim Yönetimi (Yeni Madde 6.3)
Değişiklik: Yeni madde 6.3 ile değişim yönetimi ayrı bir başlık olarak ekleniyor.
Pratikte: Sistem değişiklikleri, yazılım güncellemeleri, organizasyonel değişikliklerin bilgi güvenliğine etkisi sistematik değerlendirilecek.
💻 6. Dijitalleşme ve Dokümantasyon
Değişiklik: Dokümantasyon anlayışı "available as documented information" şeklinde netleştiriliyor.
Pratikte: Kağıt doküman zorunluluğu kalkıyor, dijital kayıtlar ve kanıtlar yeterli hale geliyor.
🔗 7. Tedarik Zinciri Güvenliği
Değişiklik: Tedarikçi ve dış kaynaklı süreçlerin bilgi güvenliği kontrolüne daha fazla vurgu yapılıyor. TISAX gibi sektörel gerekliliklerle uyum artıyor.
Pratikte: Tedarikçilerin bilgi güvenliği performansı artık doğrudan sizin BGYS'nizin kapsamında.
📊 Madde Bazında Beklenen Değişiklikler
| Madde | Başlık | Beklenen Değişiklik |
|---|---|---|
| 6.3 (YENİ) | Değişim Yönetimi | .=Yeni madde – yapılandırılmış değişim yönetimi|
| 7.5 | .=Dokümante Edilmiş Bilgi .= "available as documented information" vurgusu||
| 8.4 (yeni) | .=Yapay Zeka Güvenliği .=Yeni gereklilik – AI güvenlik kontrolleri||
| 8.5 (yeni) | .=Bulut Bilişim Güvenliği .=Bulut sağlayıcı değerlendirme ve izleme||
| 9.2 | .=İç Tetkik .=Objektif(ler) tanımlanmalı||
| 9.3 | .=Yönetimin Gözden Geçirmesi .=Üç alt başlık: girdiler, süreç, sonuçlar||
| A.5.7 | .=Bulut bilişim hizmetleri .=Kapsam genişletildi, sorumluluk paylaşımı netleşti||
| A.5.23 | .=Siber dayanıklılık .=Yeni kontrol – iş sürekliliği entegrasyonu
⚖️ ISO 27001:2022 vs ISO 27001:2026
| Özellik | ISO 27001:2022 | ISO 27001:2026 |
|---|---|---|
| Yapı | Annex SL | Annex SL korundu |
| Yapay zeka güvenliği | Yok | .=Yeni gereklilik|
| Bulut güvenliği | .=Ek-A 5.7 var (basit) .=Detaylandırıldı||
| Siber dayanıklılık | .=Yok .=Yeni kontrol (A.5.23)||
| Dijital ürün pasaportu | .=Yok .=Tanındı||
| Değişim yönetimi | .=Yok .=Yeni Madde 6.3
✅ İşletmeniz Şimdi Ne Yapmalı?
1. Panik Yapmayın, Hazırlık Yapın
Yeni standart Mart/Nisan 2026'da yayınlanacak. Geçiş süresi 3 yıl (2029'a kadar). Yani bolca zamanınız var.
2. Yapay Zeka Kullanımınızı Envanterleyin
Yeni standardın en önemli gerekliliklerinden biri. Hangi AI sistemlerini kullandığınızı (ChatGPT, Copilot, özel modeller) envanterleyin ve risk değerlendirmesi yapın.
3. Bulut Sağlayıcılarınızı Değerlendirin
Bulut hizmeti aldığınız tedarikçilerin güvenlik standartlarını, veri işleme politikalarını ve sorumluluk paylaşımını gözden geçirin.
4. Siber Dayanıklılık Planlarınızı Oluşturun
Saldırı sonrası toparlanma planları, yedekleme stratejileri ve kriz yönetimi prosedürlerinizi hazırlayın. ISO 22301 ile entegrasyon yapın.
5. Dijital Altyapınızı Değerlendirin
Dijitalleşme artık bir tercih değil, standartta tanınan temel bir adım. Bilgi güvenliği verilerinizi dijital ortamda toplayacak, izleyecek ve raporlayacak altyapıyı kurun.
6. Değişim Yönetimi Süreci Kurun
Yeni Madde 6.3 için hazırlıklı olun. Sistem değişiklikleri ve yazılım güncellemelerinin bilgi güvenliğine etkisini değerlendiren bir prosedür oluşturun.
7. Eğitim ve Farkındalık Planlayın
Yeni standardın gereklilikleri konusunda ekibinizi bilgilendirin. Geçiş eğitimlerimiz ile hazırlıklı olun.
❓ Sık Sorulan Sorular
S: ISO 27001:2026 ne zaman yayınlanacak?
C: Yeni standart Mart / Nisan 2026 içinde yayınlanması bekleniyor. FDIS oylaması tamamlanmıştır.
S: Mevcut ISO 27001:2022 sertifikam ne zaman geçersiz olacak?
C: 3 yıllık geçiş süresi sonunda, yani 2029'da eski sertifikalar geçerliliğini kaybedecek. Geçiş süresi boyunca her iki versiyon da geçerlidir.
S: Şimdi ISO 27001 belgesi almaya değer mi? Yoksa beklemeli miyim?
C: Kesinlikle beklemeyin. Yeni standart yayınlandıktan sonra 3 yıl geçiş süresi var. 2022 versiyonu ile belge almak, yeni versiyona geçiş için en doğru stratejidir.
S: Yapay zeka güvenliği için ek bir standart gerekli mi?
C: ISO 27001:2026, AI güvenliğini kapsamaktadır. Ancak kapsamlı AI yönetim sistemi için ISO 42001 ile birlikte uygulanması önerilir.
S: Geçiş sürecinde size nasıl ulaşabilirim?
C: Gap analizi, dokümantasyon güncelleme, iç denetçi eğitimi ve geçiş hazırlık konularında danışmanlık hizmeti sunuyoruz. İletişim sayfamızdan bize ulaşarak detaylı bilgi alabilirsiniz.
ISO 27001:2026 Geçişine Hazırlıklı Olun
Yeni standart öncesinde sisteminizi gözden geçirin, yapay zeka risklerini değerlendirin, bulut sağlayıcılarınızı kontrol edin. Uzman danışmanlarımız size rehberlik etsin.
📞 HEMEN İLETİŞİME GEÇEtiketler: ISO 27001, ISO 27001:2026, Bilgi Güvenliği, BGYS, Yapay Zeka Güvenliği, Bulut Güvenliği, Siber Dayanıklılık, Dijital Ürün Pasaportu, TISAX, ISO 42001