Bilgi Güvenliği Yönetim Sistemi
Yıllık İç Denetim Programı
ISO 27001:2022 standardına uygun bir Yıllık İç Denetim Programı, bilgi güvenliği yönetim sisteminin (BGYS) etkinliğini değerlendirmek ve sürekli iyileştirme sağlamak için kritik bir adımdır. Aşağıda, ISO 27001:2022 çerçevesine uygun örnek bir “Yıllık İç Denetim Programı” sunuyorum. Bu plan hem denetim kapsamını hem de zamanlamayı içerir:
📅 ISO 27001:2022 – Yıllık İç Denetim Programı (Örnek – 2025)
| Denetim No | Denetlenecek Alan / Süreç | Denetim Kapsamı | Sorumlu Denetçi(ler) | Planlanan Tarih | Frekans |
|---|---|---|---|---|---|
| 01 | BGYS Yönetimi ve Politika İncelemesi | Politika, hedefler, BGYS dokümantasyonu | İç Denetim Ekibi | Ocak 2025 | Yılda 1 |
| 02 | Risk Değerlendirme ve Risk İyileştirme Planları | Varlık envanteri, risk matrisi, risk azaltma tedbirleri | İç Denetim Ekibi | Şubat 2025 | Yılda 1 |
| 03 | Varlık Yönetimi & Envanter Kontrolü | Donanım, yazılım, bilgi varlıkları ve sahiplik | İç Denetim Ekibi | Mart 2025 | Yılda 1 |
| 04 | İnsan Kaynakları Güvenliği | İşe alım, eğitim, görevden alma süreçleri | İç Denetim Ekibi | Nisan 2025 | Yılda 1 |
| 05 | Erişim Kontrolü | Kullanıcı erişim hakları, şifre politikaları, erişim kayıtları | İç Denetim Ekibi | Mayıs 2025 | Yılda 1 |
| 06 | Fiziksel ve Çevresel Güvenlik | Ofis güvenliği, sunucu odası, kamera ve alarm sistemleri | İç Denetim Ekibi | Haziran 2025 | Yılda 1 |
| 07 | Operasyonel Güvenlik & Değişiklik Yönetimi | Günlük işlemler, yedekleme, log izleme, değişiklik süreçleri | İç Denetim Ekibi | Temmuz 2025 | Yılda 1 |
| 08 | İletişim Güvenliği & Ağ Güvenliği | Firewall, antivirüs, ağ segmentasyonu, e-posta güvenliği | İç Denetim Ekibi | Ağustos 2025 | Yılda 1 |
| 09 | Tedarikçi ve Hizmet Sağlayıcı Yönetimi | Sözleşmeler, SLA’ler, dış kaynak riskleri | İç Denetim Ekibi | Eylül 2025 | Yılda 1 |
| 10 | Olay Yönetimi ve İhlal Bildirimleri | Olay kayıtları, müdahale süreçleri, olay sonrası analizler | İç Denetim Ekibi | Ekim 2025 | Yılda 1 |
| 11 | İş Sürekliliği ve Felaket Kurtarma | İş sürekliliği planı, testler, yedekleme ve geri yükleme senaryoları | İç Denetim Ekibi | Kasım 2025 | Yılda 1 |
| 12 | Uyumluluk ve Yasal Yükümlülükler | KVKK, ISO 27001, sektör regülasyonları | İç Denetim Ekibi | Aralık 2025 | Yılda 1 |
✅ Açıklamalar:
-
İç Denetim Ekibi, bağımsız ve tarafsız olacak şekilde atanmalıdır (ISO 27001:2022 Madde 9.2 gereği).
-
Denetim sonuçları, üst yönetime raporlanmalı ve uygunsuzluklar için düzeltici/önleyici faaliyetler planlanmalıdır.
-
Program yılda en az bir kez gözden geçirilmeli ve risk durumuna göre güncellenmelidir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi: Kapsamlı Uygulama Rehberi
