ISO 27001 BGYS Nedir? Kurumlar İçin Bilgi Güvenliğinde Altın Standart!

Günümüzde bilgi, işletmelerin en değerli varlıklarından biri hâline geldi. Müşteri verileri, ticari sırlar, finansal kayıtlar… Tüm bunların güvenliğini sağlamak sadece bir BT sorumluluğu değil, kurum genelinde stratejik bir zorunluluk. İşte tam da bu noktada karşımıza çıkan uluslararası bir standart var: ISO 27001. Bu makalede, ISO 27001 Bilgi Güvenliği Yönetim Sistemi’ni (BGYS) hem teknik hem pratik yönleriyle, sıcak ve samimi bir dille ele alacağız. Hadi başlayalım!

✅ ISO 27001 Nedir? Temel Kavramlar ve Tanımlar

ISO 27001, bilgi güvenliğini sistematik bir yaklaşımla yöneten uluslararası bir standarttır. Bu standart, verilerin gizliliği, bütünlüğü ve erişilebilirliğini güvence altına almayı hedefler. Burada amaç, yalnızca saldırıları engellemek değil; aynı zamanda iç riskleri, insan hatalarını ve doğal felaketleri de göz önünde bulundurarak sürdürülebilir bir güvenlik kültürü oluşturmaktır.

ISO: Uluslararası Standardizasyon Örgütü, 27001: Bilgi Güvenliği Yönetim Sistemi’ne (BGYS) özel standart numarasıdır.

Bu standart, risk bazlı bir düşünceyle yaklaşır ve “önce riski belirle, sonra kontrol altına al” mantığıyla çalışır. Kurumsal bazda güvenliğin temellerini atmak için harika bir rehberdir.

✅ BGYS (Bilgi Güvenliği Yönetim Sistemi) Ne İşe Yarar?

BGYS, kurumunuzun bilgi güvenliği süreçlerini sistematik hâle getirir. Yani sadece bir belge yığını değil, yaşayan bir sistemdir. BGYS sayesinde:

• Bilgi varlıklarınız tanımlanır,
• Bu varlıkların karşılaşabileceği tehditler analiz edilir,
• Gerekli kontroller ve önlemler planlanır,
• Tüm süreçler izlenir, ölçülür ve sürekli iyileştirilir.

Yani bir bakıma bilgi güvenliğini bir refleks hâline getirir. Kurumdaki herkesin güvenlik bilincini artırır.

✅ ISO 27001 Sertifikası Neden Önemlidir?

ISO 27001 sertifikası almak, kurumunuzu hem dış dünyaya hem de iç paydaşlara karşı güvenilir kılar. Bu sertifika:

• İş ortaklarınıza ve müşterilerinize güven verir,
• Rekabet avantajı sağlar,
• Yasal düzenlemelere uyumu kolaylaştırır (örneğin: KVKK, GDPR),
• Olası veri ihlallerine karşı sizi hazırlıklı kılar.

Ayrıca, birçok kamu ihalesi ve büyük ölçekli proje için artık ISO 27001 şartı aranıyor. Bu da sertifikanın değerini katlıyor.

✅ ISO 27001 Kapsamında Güvenlik Politikaları Nasıl Belirlenir?

Güvenlik politikaları, BGYS’nin omurgasıdır. Kurumun bilgi güvenliğine nasıl yaklaştığını gösteren resmi dokümanlardır. Etkili bir güvenlik politikası:

• Üst yönetimin desteğiyle hazırlanır,
• Tüm çalışanların anlayabileceği sadelikte olur,
• Kurumun misyonu ve iş hedefleriyle uyumlu olur,
• Periyodik olarak gözden geçirilir.

Bu politikalar, kurumda güvenliğin kültür hâline gelmesini sağlar. Tüm BGYS süreçlerinin temelini oluşturur.

✅ Kurumlar İçin ISO 27001 Uygulama Adımları

ISO 27001 uygulama süreci gözünüzü korkutmasın. Aslında adım adım gidildiğinde oldukça yönetilebilir bir süreçtir. Genel adımlar şunlardır:

1. Üst Yönetim Desteği Sağlamak
2. Kapsam Belirlemek (Hangi birim veya süreçler dahil olacak?)
3. Varlık Envanteri Oluşturmak
4. Risk Analizi Yapmak
5. Kontrolleri Seçmek ve Uygulamak
6. Politika ve Prosedürleri Yazmak
7. İç Denetim ve Yönetim Gözden Geçirmesi Yapmak
8. Bağımsız Sertifikasyon Denetimi Geçmek

Her adımda uzman desteği almak süreci hızlandırır ve daha sürdürülebilir bir yapı kurulmasını sağlar.

✅ Risk Analizi ve Yönetimi: ISO 27001’de Kritik Bir Süreç

Risk analizi, ISO 27001’in kalbidir. Kurumun bilgi varlıklarını tehdit eden iç ve dış risklerin tanımlandığı, etkilerinin ve olasılıklarının hesaplandığı, ardından uygun kontrollerin belirlendiği süreçtir.

• Hangi bilgiler kritik?
• Hangi tehditlerle karşı karşıyayız?
• Bu tehditlerin gerçekleşme olasılığı nedir?

Bu sorulara yanıt bulduğunuzda, önlem almanız gereken noktalar da netleşir. Risk yönetimi, sadece teknik bir konu değil; aynı zamanda stratejik bir karardır.

✅ ISO 27001’in Şirketinize Sağlayacağı 7 Büyük Fayda

1. Rekabet Avantajı Sağlar: Sertifikanız varsa, müşterinizin gözünde bir adım öndesiniz.
2. Yasal Uyum Kolaylaşır: KVKK ve GDPR gibi regülasyonlarla paralellik gösterir.
3. Veri İhlallerinin Önüne Geçilir
4. Kurumsal İmaj Güçlenir
5. Süreçler Standartlaşır ve Dokümante Edilir
6. Çalışanlarda Güvenlik Bilinci Artar
7. Olası Kriz Anlarında Hazırlıklı Olursunuz

✅ ISO 27001 Denetim Süreci Nasıl İşler?

Denetim iki aşamalı gerçekleşir:

1. Aşama 1 (Belge İncelemesi): Politikalar, risk analizleri, prosedürler gibi dökümantasyon gözden geçirilir.
2. Aşama 2 (Saha Denetimi): Gerçek uygulamalar kontrol edilir. Çalışanlarla görüşmeler yapılır.

Denetim sonucunda uygunsuzluklar varsa raporlanır ve belirli bir süre içinde düzeltilmesi beklenir. Tüm süreç şeffaf ve yapıcı bir şekilde ilerler.

✅ ISO 27001:2013 ve ISO 27001:2022 Arasındaki Farklar

2022 versiyonu, dijital dönüşümle birlikte değişen risk ortamını daha iyi karşılayacak şekilde güncellendi. Öne çıkan farklar:

• 11 yeni kontrol eklendi (örneğin bulut servisleri, veri maskeleme),
• Kontroller tematik olarak gruplandı,
• Kapsam ve bağlam daha fazla ön plana çıktı,
• Kurumun dijitalleşme seviyesi dikkate alındı.

Eğer hâlâ 2013 versiyonunu kullanıyorsanız, geçiş için planlama yapmanız şart.

✅ Küçük ve Orta Ölçekli İşletmeler için ISO 27001 Uyum Rehberi

KOBİ’ler için ISO 27001 bazen göz korkutucu olabilir. Ama unutmayın, bu standart ölçeklenebilir şekilde tasarlanmıştır. Küçük işletmeler için öneriler:

• Kapsamı dar tutun (örneğin sadece müşteri verileriyle ilgili süreçleri dahil edin),
• Danışman desteği alın ama tüm süreci dış kaynağa bırakmayın,
• Çalışanlara temel eğitimler verin,
• Riskleri abartmadan, gerçekçi şekilde değerlendirin.

Unutmayın, önemli olan belge almak değil, sürdürülebilir güvenlik kültürü oluşturmaktır.

✅ ISO 27001 BGYS Kurulumu İçin Gereken Kaynaklar ve Ekiplendirme

BGYS kurulumunda insan kaynağı kadar zaman ve teknik kaynaklar da önemlidir. Başarılı bir kurulum için:

• Bir BGYS yöneticisi veya koordinatör görevlendirin,
• Üst yönetim desteğini alın (olmazsa olmaz),
• BT, insan kaynakları ve hukuk gibi birimlerden çekirdek ekip oluşturun,
• BGYS’yi destekleyecek yazılım araçları edinin (örneğin varlık yönetim araçları, risk yönetimi platformları).

✅ ISO 27001 Uygularken En Sık Yapılan Hatalar

• Sadece belge odaklı yaklaşmak (kültür oluşturulmazsa sistem işlemiyor),
• Üst yönetim desteği olmadan yola çıkmak,
• Risk analizini yüzeysel yapmak,
• Çalışanlara eğitim vermeyi unutmak,
• Denetimi bir “cezalandırma süreci” gibi görmek.

Hatalar olur ama önemli olan bunları öğrenme fırsatına dönüştürebilmektir.

✅ ISO 27001 Belgesi Almak Ne Kadar Sürer? Maliyet ve Süreç Yönetimi

Bu sorunun net bir cevabı yok çünkü her kurumun kapsamı ve mevcut altyapısı farklıdır. Ama genel bir çerçeve vermek gerekirse:

• Süre: Ortalama 3-6 ay (KOBİ’lerde daha kısa, büyük yapılarda daha uzun olabilir)
• Maliyet: Danışmanlık, iç kaynaklar, eğitimler ve denetim ücretlerini içerir.
• Sertifikasyon Denetimi: Yetkili bir belgelendirme kuruluşu tarafından yapılmalıdır.

Yatırım olarak düşünün; uzun vadede kazancınız çok daha fazla olacaktır.

✅ ISO 27001 ile KVKK ve GDPR Uyumu Arasındaki İlişki

ISO 27001, veri koruma yasalarıyla (örneğin KVKK ve GDPR) paralel çalışır. Aslında ISO 27001 altyapısını kuran bir kurum, bu yasal düzenlemelere çok daha kolay uyum sağlar.

• Kişisel veri envanteri oluşturmak,
• Yetkisiz erişimi engellemek,
• Veri işleme süreçlerini belgelemek,
• İhlal durumlarında hızlı aksiyon almak gibi gereklilikler zaten ISO 27001 içinde de vardır.

Kısacası, bir taşla iki kuş!

✅ ISO 27001’in genel yapısı

Standartta genel olarak üç tip madde bulunmaktadır:

• Standardın ana bölümünün 0 ila 3. maddeleri standardın kendisini tanımlayan maddelerdir, dolayısıyla uygulanması için zorunlu değildir.
• Standardın ana bölümünün 4 ila 10. maddeleri zorunludur, çünkü bunlar bir Bilgi Güvenliği Yönetim Sistemi (BGYS) için gereklilikleri belirlemektedir.
• Ek A, BGYS tasarlanırken dikkate alınması gereken 93 güvenlik önlemi veya standartta adlandırıldığı şekliyle “kontroller” içerir. Kontroller dört bölüme ayrılmıştır.

ISO 27001’in zorunlu maddeleri ve alt maddeleri

ISO 27001’e tam uyumlu olmak isteyen şirketlerin aşağıdaki madde ve alt maddeleri uygulaması gerekmektedir.

Madde 4 – Kuruluşun bağlamı — Dış ve iç konuların, ilgili tarafların ve onların gereksinimlerinin anlaşılmasını ve ayrıca BGYS kapsamının tanımlanmasını gerektirir:

• Madde 4.1 – Kuruluşu ve bağlamını anlamak
• Madde 4.2 – İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması
• Madde 4.3 – Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi
• Madde 4.4 – Bilgi güvenliği yönetim sistemi

Madde 5 – Liderlik — Bu bölüm üst düzey yönetim sorumluluklarını tanımlar, BGYS için genel rolleri ve sorumlulukları belirler ve en üst düzey Bilgi Güvenliği Politikasının içeriğini tanımlar:

• Madde 5.1 – Liderlik ve bağlılık
• Madde 5.2 – Bilgi Güvenliği Politikası
• Madde 5.3 – Kurumsal roller, sorumluluklar ve yetkiler

Madde 6 – Planlama — Risk değerlendirmesi, risk işleme, Uygulanabilirlik Beyanı, risk işleme planı ve bilgi güvenliği hedeflerinin belirlenmesine ilişkin gereklilikleri tanımlar:

• Madde 6.1 – Riskleri ve fırsatları ele almaya yönelik eylemler
• Madde 6.2 – Bilgi güvenliği hedefleri ve bunlara ulaşmak için planlama
• Madde 6.3 – Değişikliklerin planlanması

Madde 7 – Destek — Bu madde, kaynakların kullanılabilirliği, yeterlilikler, farkındalık, iletişim ve belge ve kayıtların kontrolüne ilişkin gereklilikleri tanımlar:

• Madde 7.1 – Kaynaklar
• Madde 7.2 – Yeterlilik
• Madde 7.3 – Farkındalık
• Madde 7.4 – İletişim
• Madde 7.5 – Belgelenmiş bilgiler

Madde 8 – İşlem — Risklerin düzenli olarak yeniden değerlendirilmesi ve ele alınması gerekliliğini ve ayrıca bilgileri korumak için gereken kontrollerin ve diğer süreçlerin uygulanmasını tanımlar:

• Madde 8.1 – Operasyonel planlama ve kontrol
• Madde 8.2 – Bilgi güvenliği risk değerlendirmesi
• Madde 8.3 – Bilgi güvenliği risk tedavisi

Madde 9 – Performans değerlendirmesi — Bu madde, izleme, ölçme, analiz, değerlendirme, iç denetim ve yönetim incelemesine ilişkin gereklilikleri tanımlar:

• Madde 9.1 – İzleme, ölçme, analiz ve değerlendirme
• Madde 9.2 – Dahili denetim
• Madde 9.3 – Yönetim incelemesi

Madde 10 – İyileştirme — Bu madde, uygunsuzluklar, düzeltmeler, düzeltici eylemler ve sürekli iyileştirmeye ilişkin gereklilikleri tanımlar:

• Madde 10.1 – Sürekli iyileştirme
• Madde 10.2 – Uygunsuzluk ve düzeltici eylem

Ek A yapısı ve kontrolleri

ISO 27001 Ek A dört bölümden oluşmaktadır ve şirketlerin kendileri için geçerli olan kontrolleri seçebilecekleri toplam 93 kontrol bulunmaktadır.

A.5 – Kurumsal kontroller — bu bölüm, esas olarak bilgi güvenliği yönetimiyle ilgili olan 37 kontrolü açıklamaktadır:

• Kontrol 5.1 – Bilgi güvenliği politikaları
• Kontrol 5.2 – Bilgi güvenliği rolleri ve sorumlulukları
• Kontrol 5.3 – Görevlerin ayrılması
• Kontrol 5.4 – Yönetim sorumlulukları
• Kontrol 5.5 – Yetkililerle iletişim
• Kontrol 5.6 – Özel ilgi gruplarıyla iletişim
• Kontrol 5.7 – Tehdit istihbaratı
• Kontrol 5.8 – Proje yönetiminde bilgi güvenliği
• Kontrol 5.9 – Bilgi ve diğer ilişkili varlıkların envanteri
• Kontrol 5.10 – Bilginin ve diğer ilişkili varlıkların kabul edilebilir kullanımı
• Kontrol 5.11 – Varlıkların iadesi
• Kontrol 5.12 – Bilginin sınıflandırılması
• Kontrol 5.13 – Bilginin etiketlenmesi
• Kontrol 5.14 – Bilgi aktarımı
• Kontrol 5.15 – Erişim kontrolü
• Kontrol 5.16 – Kimlik yönetimi
• Kontrol 5.17 – Kimlik doğrulama bilgileri
• Kontrol 5.18 – Erişim hakları
• Kontrol 5.19 – Tedarikçi ilişkilerinde bilgi güvenliği
• Kontrol 5.20 – Tedarikçi sözleşmeleri kapsamında bilgi güvenliğinin ele alınması
• Kontrol 5.21 – BT tedarik zincirinde bilgi güvenliğinin yönetimi
• Kontrol 5.22 – Tedarikçi hizmetinin izlenmesi, gözden geçirilmesi ve değişim yönetimi
• Kontrol 5.23 – Bulut hizmetlerinin kullanımı için bilgi güvenliği
• Kontrol 5.24 – Bilgi güvenliği olay yönetimi planlama ve hazırlığı
• Kontrol 5.25 – Bilgi güvenliği olaylarının değerlendirilmesi ve karar verilmesi
• Kontrol 5.26 – Bilgi güvenliği olaylarına yanıt
• Kontrol 5.27 – Bilgi güvenliği olaylarından ders çıkarma
• Kontrol 5.28 – Kanıtların toplanması
• Kontrol 5.29 – Kesinti sırasında bilgi güvenliği
• Kontrol 5.30 – İş sürekliliği için BT hazırlığı
• Kontrol 5.31 – Yasal, kanuni, düzenleyici ve sözleşmesel gereklilikler
• Kontrol 5.32 – Fikri mülkiyet hakları
• Kontrol 5.33 – Kayıtların korunması
• Kontrol 5.34 – Kişisel Bilgilerin gizliliği ve korunması
• Kontrol 5.35 – Bilgi güvenliğinin bağımsız incelemesi
• Kontrol 5.36 – Bilgi güvenliği politikalarına, kurallarına ve standartlarına uyum
• Kontrol 5.37 – Belgelenmiş işletim prosedürleri

A.6 – İnsan kaynakları kontrolleri — bu bölüm, insan kaynaklarının güvenli yönetimiyle ilgili sekiz kontrolü açıklamaktadır:

• Kontrol 6.1 Tarama
• Kontrol 6.2 – İstihdam şartları ve koşulları
• Kontrol 6.3 – Bilgi güvenliği farkındalığı, eğitimi ve öğretimi
• Kontrol 6.4 – Disiplin süreci
• Kontrol 6.5 – İşten ayrılma veya iş değişikliğinden sonraki sorumluluklar
• Kontrol 6.6 – Gizlilik veya ifşa etmeme anlaşmaları
• Kontrol 6.7 – Uzaktan çalışma
• Kontrol 6.8 – Bilgi güvenliği olay raporlaması

A.7 – Fiziksel kontroller — bu bölüm, bilgilerin güvenliğini etkileyebilecek fiziksel ortamın korunmasıyla ilgili 14 kontrolü açıklamaktadır:

• Kontrol 7.1 – Fiziksel güvenlik çevreleri
• Kontrol 7.2 – Fiziksel giriş
• Kontrol 7.3 – Ofislerin, odaların ve tesislerin güvenliğinin sağlanması
• Kontrol 7.4 – Fiziksel güvenlik izleme
• Kontrol 7.5 – Fiziksel ve çevresel tehditlere karşı koruma
• Kontrol 7.6 – Güvenli alanlarda çalışma
• Kontrol 7.7 – Masayı temizleyin ve ekranı temizleyin
• Kontrol 7.8 – Ekipman yerleştirme ve koruma
• Kontrol 7.9 – Tesis dışındaki varlıkların güvenliği
• Kontrol 7.10 – Depolama ortamı
• Kontrol 7.11 – Yardımcı programları destekleme
• Kontrol 7.12 – Kablolama güvenliği
• Kontrol 7.13 – Ekipman bakımı
• Kontrol 7.14 – Ekipmanın güvenli bir şekilde bertaraf edilmesi veya yeniden kullanılması

A.8 – Teknolojik kontroller — bu bölüm, esas olarak BT güvenliğiyle ilgili olan 34 kontrolü açıklamaktadır:

• Kontrol 8.1 – Kullanıcı uç nokta aygıtları
• Kontrol 8.2 – Ayrıcalıklı erişim hakları
• Kontrol 8.3 – Bilgi erişim kısıtlaması
• Kontrol 8.4 – Kaynak koduna erişim
• Kontrol 8.5 – Güvenli kimlik doğrulama
• Kontrol 8.6 – Kapasite yönetimi
• Kontrol 8.7 – Kötü amaçlı yazılımlara karşı koruma
• Kontrol 8.8 – Teknik güvenlik açıklarının yönetimi
• Kontrol 8.9 – Yapılandırma yönetimi
• Kontrol 8.10 – Bilgi silme
• Kontrol 8.11 – Veri maskeleme
• Kontrol 8.12 – Veri sızıntısının önlenmesi
• Kontrol 8.13 – Bilgi yedekleme
• Kontrol 8.14 – Bilgi işleme tesislerinin yedekliliği
• Kontrol 8.15 – Günlük Kaydı
• Kontrol 8.16 – İzleme faaliyetleri
• Kontrol 8.17 – Saat senkronizasyonu
• Kontrol 8.18 – Ayrıcalıklı yardımcı programların kullanımı
• Kontrol 8.19 – İşletim sistemlerine yazılım kurulumu
• Kontrol 8.20 – Ağ güvenliği
• Kontrol 8.21 – Ağ hizmetlerinin güvenliği
• Kontrol 8.22 – Ağların ayrılması
• Kontrol 8.23 ​​– Web filtreleme
• Kontrol 8.24 – Kriptografinin kullanımı
• Kontrol 8.25 – Güvenli geliştirme yaşam döngüsü
• Kontrol 8.26 – Uygulama güvenlik gereksinimleri
• Kontrol 8.27 – Güvenli sistem mimarisi ve mühendislik prensipleri
• Kontrol 8.28 – Güvenli kodlama
• Kontrol 8.29 – Geliştirme ve kabul aşamasındaki güvenlik testleri
• Kontrol 8.30 – Dış kaynaklı geliştirme
• Kontrol 8.31 – Geliştirme, test ve üretim ortamlarının ayrılması
• Kontrol 8.32 – Değişim yönetimi
• Kontrol 8.33 – Test bilgisi
• Kontrol 8.34 – Denetim testleri sırasında bilgi sistemlerinin korunması. makaleye şu bilgileride sonradan ekle ama eksikleri düzenle, hataları gider. sorunları giderk yanlışları çıkar ve özgünleştir

ISO 27001 bir standarttan çok daha fazlası; kurum kültürünüzü bilgi güvenliğiyle yeniden şekillendirecek güçlü bir sistemdir. Ve unutmayın: Bu sadece teknik bir zorunluluk değil, aynı zamanda itibar meselesidir.

Sorularınız olursa, yorumlara ya da mesajlara yazabilirsiniz.

ISO 27001 Belgeler, Politikalar, Prosedürler ve Daha Fazlası