Giriş
ISO/IEC 27001, bir kuruluşun bilgi varlıklarını korumak için kurduğu Bilgi Güvenliği Yönetim Sistemi’nin (BGYS) uluslararası standardıdır. Tek seferlik bir antivirüs kurulumu ya da güvenlik duvarı alımı değil; gizlilik, bütünlük ve erişilebilirliği sürekli yönetmek için kurulan bir çerçevedir. Standardın en güncel sürümü ISO/IEC 27001:2022 olup, eski 27001:2013 sürümünden geçiş için belgelendirme kuruluşlarınca tanımlanmış bir geçiş takvimi uygulanmıştır; mevcut belgenizin durumu için belgelendirme kuruluşunuzun resmi açıklamasını kontrol edin.
KOBİ’ler için ISO 27001 çoğu zaman bir müşteri sözleşmesinde, kamu ihalesinde ya da büyük bir tedarikçi denetiminde zorunlu hale geldiğinde gündeme gelir. Ancak doğru kurgulandığında belge almanın ötesinde, gerçek bir risk azaltma ve süreç disiplini aracına dönüşür. Bu yazıda standardın mantığını, temel adımları ve KOBİ ölçeğinde uygulanabilir bir yol haritasını ele alıyoruz.
ISO 27001 ile ISO 27002 arasındaki fark nedir?
Bu ikisi sık karıştırılır. ISO 27001 belgelendirilebilir standarttır; yani denetimden geçip sertifika alabileceğiniz “ne yapılmalı” çerçevesidir. Yönetim sistemi gereksinimlerini (liderlik, planlama, risk yönetimi, performans değerlendirme, sürekli iyileştirme) ve Ek A’da yer alan kontrol başlıklarını tanımlar.
ISO 27002 ise bir kılavuzdur; Ek A’daki kontrollerin “nasıl uygulanacağına” dair iyi uygulama önerileri sunar. ISO 27002 belgelendirilmez; uygulama rehberi olarak kullanılır. 2022 revizyonuyla birlikte kontrol seti yeniden düzenlenmiş ve 93 kontrol dört tema altında toplanmıştır: Kurumsal, Kişiler, Fiziksel ve Teknolojik kontroller.
BGYS kapsamı nasıl belirlenir?
Kapsam (scope), BGYS’nin sınırlarını çizen ilk ve en kritik karardır. Çok geniş tutarsanız projeyi yönetemez, çok dar tutarsanız belgenin müşteri gözünde değeri kalmaz. Kapsamı belirlerken şunları netleştirin:
- Hangi iş süreçleri dahil (ör. yazılım geliştirme, muhasebe, müşteri verisi işleme)
- Hangi lokasyonlar dahil (merkez ofis, şube, veri merkezi, uzaktan çalışma)
- Hangi bilgi varlıkları ve sistemler dahil (ERP, e-posta, müşteri veritabanı, fiziksel arşiv)
- Dış bağımlılıklar (bulut sağlayıcılar, hosting, dış kaynak hizmetler)
KOBİ’lerde pratik bir yaklaşım, müşterinin veya mevzuatın gerçekten talep ettiği süreçle başlamak ve kapsamı oradan büyütmektir. Kapsam kararları, ileride kuracağınız server ve güvenlik altyapısının (güvenlik duvarı, segmentasyon, log yönetimi) da çerçevesini belirler.
Risk analizi nasıl yapılır?
ISO 27001’in kalbi risk temelli yaklaşımdır. Belirli bir risk değerlendirme yöntemi dayatılmaz; tutarlı ve tekrarlanabilir olması yeterlidir. Tipik akış şöyledir:
- Varlık ve risk envanteri: Korunacak bilgi varlıklarını ve bunlara yönelik tehdit/zafiyet kombinasyonlarını listeleyin.
- Risk değerlendirme: Her risk için olasılık ve etki belirleyerek bir risk seviyesi çıkarın.
- Risk işleme: Her risk için karar verin — azalt (kontrol uygula), kabul et, transfer et (ör. sigorta), veya kaçın.
- Uygulanabilirlik Bildirgesi (SoA): Ek A kontrollerinden hangilerini uyguladığınızı, hangilerini neden hariç tuttuğunuzu gerekçeleriyle belgeleyin.
- Risk işleme planı: Seçilen kontrollerin kim tarafından, ne zaman uygulanacağını tanımlayın.
SoA (Statement of Applicability), denetçinin ilk bakacağı belgelerden biridir ve risk analiziyle kontroller arasındaki bağı kurar.
ISO 27001 kontrolleri nelerdir? (2022 temaları)
Aşağıdaki tablo, 27001:2022 Ek A’nın dört temasını ve KOBİ için tipik örnek kontrolleri özetler.
| Tema | Kapsam | KOBİ için tipik örnekler |
|---|---|---|
| Kurumsal | Politika, roller, tedarikçi yönetimi | Bilgi güvenliği politikası, tedarikçi sözleşmeleri, olay yönetimi |
| Kişiler | İnsan kaynağı güvenliği | Farkındalık eğitimi, gizlilik sözleşmeleri, işe alış/çıkış süreçleri |
| Fiziksel | Tesis ve donanım güvenliği | Erişim kontrolü, sunucu odası güvenliği, temiz masa politikası |
| Teknolojik | BT ve teknik önlemler | Yetkilendirme, yedekleme, log/izleme, şifreleme, güncel yama |
Kontrollerin tamamını uygulamak zorunda değilsiniz; risk analiziniz hangilerinin gerekli olduğunu belirler. Hariç bıraktıklarınızı SoA’da gerekçelendirmeniz yeterlidir.
Sertifikasyon süreci nasıl ilerler?
Belgelendirme, akredite bir belgelendirme kuruluşu tarafından yürütülür ve genellikle iki aşamalı bir denetimle ilerler:
- Aşama 1 (doküman incelemesi): BGYS dokümantasyonunun, kapsamın ve SoA’nın standarda hazır olup olmadığı değerlendirilir.
- Aşama 2 (saha denetimi): Kontrollerin gerçekten uygulanıp uygulanmadığı, kayıtlar ve uygulamalar üzerinden denetlenir.
Belge alındıktan sonra süreç bitmez: tipik olarak yıllık gözetim (ara) denetimleri ve genellikle üç yılda bir yeniden belgelendirme yapılır. Bu nedenle BGYS’yi yaşayan bir sistem olarak işletmek — iç denetim, yönetim gözden geçirmesi, düzeltici faaliyetler — sürdürülebilirlik için şarttır.
KOBİ ölçeğinde toplam süre, kapsamın büyüklüğüne ve mevcut olgunluğa göre çoğunlukla birkaç aydan başlar. Akreditasyon ve belge geçerliliği koşulları için seçtiğiniz belgelendirme kuruluşunun güncel resmi şartlarını kontrol etmenizi öneririz.
KOBİ için pratik yol haritası kontrol listesi
- Üst yönetim taahhüdü ve bilgi güvenliği sorumlusu ataması
- Kapsam ve sınırların yazılı tanımı
- Bilgi varlık envanteri
- Risk değerlendirme metodolojisi ve risk işleme planı
- Uygulanabilirlik Bildirgesi (SoA)
- Temel politika ve prosedürlerin yazılması
- Teknik kontrollerin devreye alınması (yedekleme, yetkilendirme, log, yama, şifreleme)
- Personel farkındalık eğitimi
- İç denetim ve yönetim gözden geçirmesi
- Belgelendirme kuruluşu seçimi ve denetim başvurusu
ISO 27001’in KVKK ile ilişkisi nedir?
ISO 27001 ile KVKK aynı şey değildir ancak birbirini güçlü biçimde destekler. KVKK, Türkiye’de kişisel verilerin korunmasına dair hukuki bir yükümlülüktür; ISO 27001 ise gönüllü bir yönetim standardıdır. ISO 27001 kapsamında kurduğunuz risk yönetimi, erişim kontrolü, veri ihlali müdahalesi ve farkındalık eğitimi gibi kontroller, KVKK’nın talep ettiği “uygun teknik ve idari tedbirler” için somut bir altyapı sağlar. Yani bir BGYS, KVKK uyumunu otomatik garanti etmez ama uyum çalışmasını ciddi ölçüde kolaylaştırır. KVKK’ya özgü yükümlülükler (VERBİS, aydınlatma, açık rıza vb.) için güncel resmi kaynakları ayrıca takip edin.
Sıkça Sorulan Sorular
ISO 27001 KOBİ’ler için zorunlu mu? Hayır, yasal olarak genel bir zorunluluk değildir. Ancak kamu ihaleleri, büyük müşteri sözleşmeleri ve tedarikçi denetimlerinde giderek daha sık şart koşulmaktadır. Sektörünüze ve müşteri portföyünüze göre fiilen “gerekli” hale gelebilir.
ISO 27001 belgesi ne kadar geçerlidir? Belge tipik olarak üç yıllık bir döngüyle verilir; bu süre içinde yıllık gözetim denetimleri yapılır ve dönem sonunda yeniden belgelendirme gerekir. Kesin koşullar için belgelendirme kuruluşunuzun güncel şartlarını kontrol edin.
ISO 27001 sadece yazılım/BT şirketleri için mi? Hayır. Üretim, lojistik, sağlık, finans, kamu ve hizmet sektörü dahil bilgi varlığı taşıyan her kuruluş uygulayabilir. Kapsam, işin niteliğine göre uyarlanır.
Belge almak için tüm 93 kontrolü uygulamak şart mı? Hayır. Hangi kontrollerin uygulanacağı risk analizinizle belirlenir. Uygulanmayanları Uygulanabilirlik Bildirgesi’nde (SoA) gerekçelendirmeniz beklenir.
Önce mi belge almalı yoksa altyapıyı mı kurmalı? Önce risk temelli kontrolleri ve teknik altyapıyı oturtmak, ardından denetime girmek doğru sıralamadır. Olgunlaşmamış bir sistemle denetime girmek uygunsuzluk ve gecikme getirir.
Giza Teknoloji ile güvenli BT altyapısı
ISO 27001 yolculuğunun teknik ayağında — güvenlik duvarı yapılandırması (Fortinet), ağ segmentasyonu, yedekleme, log/izleme ve sunucu güvenliği — Gaziantep/Şehitkamil merkezli Giza Teknoloji yanınızda. Logo Yazılım yetkili Netsis bayisi olmamızın yanında, server ve güvenlik hizmetleri, donanım ve bakım ve proje yönetimi & iş zekası tarafında kurumsal çözümler sunuyoruz. ERP süreçleriniz için Netsis 3 ERP, e-Dönüşüm, Xenon saha satış ve özel yazılım çözümlerimizi inceleyebilirsiniz.
BGYS teknik hazırlığı için bizimle iletişime geçin: 0532 599 51 12 (telefon destek), WhatsApp 0532 599 51 12 veya bilgi@gizateknoloji.com. Daha fazla bilgi için hakkımızda ve iletişim sayfalarımıza göz atın.