Kuruluþu ve kapsamýný (context diyor, baðlam demek daha mý iyi, bilmiyorum. Bakalým TSE ne diyecek? TSE 22301'de kapsam demiþ!) anlamak yeni bir madde (4.1).

Ýlgili taraflarýn ihtiyaçlarýný anlamak maddesi (4.2) geldi. Daha önce, YGG'de ilgili taraflarýn geri bildirimi bir girdi idi.

 BGYSnin kapsamý diye madde eklendi (4.3). Önceden kýsaca geçiyordu.

BGYS kurulmalý, uygulanmalý, sürdürülmeli ve sürekli iyileþtirilmeli diyor (4.4). Önceden kurmalý, gerçekleþtirmeli, iþletmeli, izlemeli, gözden geçirmeli, sürdürmeli, geliþtirmeli diyordu. Bu cümlenin baþýnda "riskleri baðlamýnda" vardý.

 Liderlik maddesi (5) geldi. Önceden yönetimin sorumluluðu idi. Liderlik 22301'de geçiyor.

 Prosesler: baþlarda organizasyonun prosesleri þeklinde geçiyor ama ilk defa BGYS prosesleri olarak 6.1'de geçiyor. 6.1.2 "risk assessment process" diyor yani risk deðerlendirmenin bir proses olduðunu söylüyor. 6.1.3'te risk treatment process geçiyor. 8.1'de geçtiði halleri ile, 9001'deki KYS prosesleri þeklinde yaklaþmamýz gerektiðini hiç düþünmüyorum.

 "Asset" standartta geçmiyor. Kontrollerde geçiyor.

 Standartta threat, vulnerability, probability geçmiyor. Risk deðerlendirme için ISO 31000 referans olarak veriliyor.

 Varlýk sahibi yok, risk sahibi var.

 Standartta "procedures" geçmiyor. Kontrollerde var.

Kayýtlarýn kontrolü diye madde yok. "kanýt" var.

 "Tüm personel" yerine "insanlar" geçiyor

 Politika gereklilikleri daha açýk

 Hedefler daha açýk: her fonksyon ve seviyede, ölçülebilir diyor. Önceden çok kýsaca geçiyordu.

 Roller, sorumluluklar, yetkiler diye bir madde var, öncesinde, standartta yoktu, Ek A'da vardý. Yani, kuruluþ bu kontrole ihtiyacým yok diyebilirdi!

 Kabul, kontrol, transfer, kaçýnma seçeneklerinden bahis yok

 UB'de kontrollerin neden seçildiði de var

 9.1: performans ile etkinlik arasýnda ne fark var?

 YGG konularý girdi ve çýktý olarak sýnýflandýrýlmamýþ ama ayný

Önleyici faaliyet yok! Sürekli iyileþtirme var.

Hayim Vali - Kasým 2013