ISO 27001 Nedir? Bilgi Güvenliği Yönetim Sistemi Tam Rehberi

Dijital dönüşümün hız kazandığı günümüzde, veri sızıntıları, siber saldırılar ve bilgi güvenliği ihlalleri işletmeler için en büyük risklerden biri haline geldi. ISO 27001, organizasyonların bilgi varlıklarını korumak, riskleri yönetmek ve bilgi güvenliğini sistematik bir şekilde sağlamak için uluslararası geçerliliği olan standarttır.

ISO 27001 Ne Demek?

ISO 27001 (ISO/IEC 27001), Bilgi Güvenliği Yönetim Sistemi (BGYS - ISMS: Information Security Management System) için uluslararası standarttır. İlk olarak 2005 yılında yayınlanmış, 2013 ve 2022'de revize edilmiştir.

ISO 27001 Tanımı

ISO/IEC 27001:2022 standardı:

Bilgi güvenliğini sağlamak için sistematik bir yaklaşım sunar
Risk tabanlı düşünceyi temel alır
Gizlilik (Confidentiality), Bütünlük (Integrity) ve Erişilebilirlik (Availability) - CIA Triad prensiplerini korur
Sertifikalandırılabilir bir kalite yönetim sistemidir

ISO 27001 Açılımı

ISO: International Organization for Standardization (Uluslararası Standardizasyon Örgütü)
IEC: International Electrotechnical Commission (Uluslararası Elektroteknik Komisyonu)
27001: Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim sistemleri

ISO 27001'in Önemi

Neden ISO 27001 Gereklidir?

1. Veri İhlallerinin Maliyeti

Ortalama veri ihlali maliyeti: 4.35 milyon $ (IBM 2022)
Müşteri kaybı ve itibar hasarı
Yasal yaptırımlar ve cezalar

2. Yasal ve Düzenleyici Gereksinimler

KVKK (Kişisel Verilerin Korunması Kanunu) - Türkiye
GDPR (General Data Protection Regulation) - AB
Sektörel düzenlemeler (finans, sağlık, kamu)

3. Müşteri ve Paydaş Güveni

Müşteri verilerinin korunması
Tedarik zinciri güvenlik gereksinimleri
Rekabetçi avantaj

4. İş Sürekliliği

Siber saldırılara karşı hazırlık
Veri kaybı önleme
Hızlı kurtarma (disaster recovery)

ISO 27001'in Faydaları

Stratejik Faydalar:

Rekabet avantajı ve pazar fırsatları
Marka değeri ve itibar artışı
Müşteri güveni ve sadakati

Operasyonel Faydalar:

Sistematik risk yönetimi
Süreç standardizasyonu
Olay müdahale süreçlerinin iyileştirilmesi

Yasal Uyum:

KVKK/GDPR uyumluluğu
Sektörel regülasyonlara uyum
Denetim kolaylığı

Finansal Faydalar:

Siber güvenlik sigortası primlerinde indirim
Veri ihlali maliyetlerinin azaltılması
Güvenlik yatırımlarının optimizasyonu

ISO 27001 Yapısı ve İçeriği

HLS (High Level Structure) Yapısı

ISO 27001:2022, ISO 9001:2015 gibi HLS yapısını kullanır, bu da farklı yönetim sistemlerinin entegrasyonunu kolaylaştırır.

10 Ana Madde:

Kapsam (Scope)
Normatif Referanslar (Normative References)
Terimler ve Tanımlar (Terms and Definitions)
Organizasyonun Bağlamı (Context of the Organization)
Liderlik (Leadership)
Planlama (Planning)
Destek (Support)
Operasyon (Operation)
Performans Değerlendirme (Performance Evaluation)
İyileştirme (Improvement)

ISO 27001 Temel Kavramları

1. CIA Triad (Gizlilik, Bütünlük, Erişilebilirlik)

Confidentiality (Gizlilik):

Bilgiye sadece yetkili kişilerin erişebilmesi
Şifreleme, erişim kontrolü
Veri sınıflandırması

Integrity (Bütünlük):

Bilginin doğruluğu ve tamlığı
Yetkisiz değişiklik önleme
Veri bütünlüğü kontrolleri (hash, checksum)

Availability (Erişilebilirlik):

Bilgiye ihtiyaç duyulduğunda erişilebilirlik
Yedekleme ve kurtarma
İş sürekliliği planları

2. Bilgi Varlıkları (Information Assets)

Bilgi Varlığı Türleri:

Veri: Veritabanları, dosyalar, dokümanlar, kayıtlar
Yazılım: Uygulamalar, sistem yazılımları, geliştirme araçları
Fiziksel Varlıklar: Sunucular, bilgisayarlar, ağ ekipmanları
Hizmetler: İletişim, altyapı, bakım hizmetleri
İnsan Kaynakları: Çalışanlar, yükleniciler, üçüncü taraflar

Bilgi Varlığı Envanteri:

Tüm bilgi varlıklarının listesi
Sahipleri ve sorumlular
Kritiklik seviyeleri
Konumlar ve bağımlılıklar

3. Risk Yönetimi

Risk Değerlendirme Süreci:

1. Bağlam Belirleme
   ↓
2. Risk Tanımlama (Varlık, Tehdit, Zafiyet)
   ↓
3. Risk Analizi (Olasılık × Etki)
   ↓
4. Risk Değerlendirmesi (Kabul edilebilir mi?)
   ↓
5. Risk Muamelesi (Önleme, Transfer, Kabul, Kaçınma)

Risk Hesaplama Örneği:

Risk Seviyesi = Olasılık × Etki

Örnek: Sunucu odasında yangın
Olasılık: 2 (Nadir)
Etki: 5 (Kritik - tüm sistemler çöker)
Risk Skoru: 2 × 5 = 10 (Yüksek risk)

Önlem: Yangın söndürme sistemi, yedekli veri merkezi
Artık Risk: 1 × 2 = 2 (Düşük risk - kabul edilebilir)

Risk Muamele Seçenekleri:

Önleme (Mitigation): Kontroller uygulayarak riski azaltma
Transfer: Sigortala veya outsource et
Kabul: Düşük riskleri kabul etme
Kaçınma (Avoidance): Risk yaratan faaliyetten vazgeçme

Annex A: 93 Kontrol (ISO 27001:2022)

ISO 27001:2022 versiyonu ile kontrol sayısı 114'ten 93'e düşürülmüş ve 4 kategori altında gruplandırılmıştır.

A.5 Organizasyonel Kontroller (37 kontrol)

Önemli Kontroller:

A.5.1 Bilgi güvenliği politikaları: Üst yönetim onaylı politika
A.5.7 Tehdit istihbaratı: Siber tehdit izleme
A.5.10 Kabul edilebilir kullanım: Kullanım kuralları
A.5.15 Erişim kontrolü: Yetkilendirme prosedürü
A.5.23 Bulut hizmetleri kullanımı: Cloud security
A.5.34 Gizlilik ve kişisel verilerin korunması: KVKK/GDPR

A.6 İnsan Kaynakları Kontrolleri (8 kontrol)

Önemli Kontroller:

A.6.1 Tarama (Screening): İşe alım öncesi geçmiş kontrolü
A.6.2 İstihdam şartları: Gizlilik anlaşmaları (NDA)
A.6.3 Bilgi güvenliği farkındalığı, eğitim: Yıllık eğitimler
A.6.4 Disiplin süreci: İhlal durumunda prosedür
A.6.5 İşten ayrılma sorumlulukları: Erişim iptalİ, varlık iadesi

A.7 Fiziksel Kontroller (14 kontrol)

Önemli Kontroller:

A.7.1 Fiziksel güvenlik perimetreleri: Çevre güvenliği
A.7.2 Fiziksel giriş: Kartlı geçiş, biyometrik
A.7.3 Ofislerin, odaların ve tesislerin güvenliği: Kilitli kapılar
A.7.4 Fiziksel güvenlik izleme: CCTV, alarm
A.7.7 Clear desk ve clear screen: Temiz masa politikası
A.7.8 Ekipman yerleşimi ve korunması: Sunucu odası güvenliği
A.7.14 Güvenli imha: Belge ve medya imhası

A.8 Teknolojik Kontroller (34 kontrol)

Önemli Kontroller:

A.8.1 Kullanıcı son nokta cihazları: Laptop, telefon güvenliği
A.8.2 Ayrıcalıklı erişim hakları: Admin yetkileri yönetimi
A.8.3 Bilgi erişim kısıtlaması: Need-to-know prensibi
A.8.5 Güvenli kimlik doğrulama: MFA (Multi-Factor Authentication)
A.8.8 Güvenli kod: Yazılım geliştirme güvenliği
A.8.9 Güvenlik testi: Penetrasyon testi, zafiyet taraması
A.8.10 Web filtreleme: Zararlı siteleri engelleme
A.8.11 Kötü amaçlı yazılımdan koruma: Antivirüs, EDR
A.8.12 Kayıt ve izleme: Log yönetimi, SIEM
A.8.15 Kayıt yönetimi: Sistemli loglama
A.8.16 İzleme faaliyetleri: Güvenlik olayları izleme
A.8.19 Ağlarda bilgi güvenliği: Firewall, segmentasyon
A.8.23 Web filtreleme: İnternet erişim kontrolü
A.8.24 Kriptografik kontroller: Şifreleme uygulaması
A.8.25 Güvenli geliştirme yaşam döngüsü: SDLC security
A.8.26 Uygulama güvenlik gereksinimleri: Güvenli kod standartları
A.8.28 Güvenli kodlama: OWASP top 10
A.8.31 Geliştirme, test ve üretim ortamlarının ayrılması: Environment separation
A.8.34 Kapasite yönetimi: Performans izleme

ISO 27001 Sertifikasyon Süreci

Adım Adım Sertifikasyon

Aşama 1: Gap Analizi ve Planlama (1-2 ay)

Gap Analizi:

Mevcut durumun ISO 27001 gereksinimleri ile karşılaştırılması
Eksikliklerin belirlenmesi
Kapsam tanımlaması

Kapsam Belirleme: Hangi süreçler, lokasyonlar ve bilgi varlıkları kapsanacak?

Örnek Kapsam: "ABC Şirketi'nin İstanbul ofisindeki müşteri yönetim sistemi (CRM) ve e-ticaret platformunun tasarım, geliştirme ve işletilmesi süreçleri"

Proje Planı:

Sorumluluklar ve kaynaklar
Zaman çizelgesi
Bütçe

Aşama 2: Bilgi Güvenliği Politikaları ve Prosedürler (2-3 ay)

Zorunlu Dokümanlar:

Politikalar:

Bilgi Güvenliği Politikası (üst yönetim onaylı)
Erişim Kontrolü Politikası
Kriptografi Politikası
Fiziksel Güvenlik Politikası
Olay Yönetimi Politikası

Prosedürler:

Risk Değerlendirme ve Muamele Prosedürü
Erişim Kontrolü Prosedürü
Değişiklik Yönetimi Prosedürü
Yedekleme ve Kurtarma Prosedürü
Olay Müdahale Prosedürü

İş Talimatları:

Kullanıcı hesabı oluşturma/silme
Güvenlik yaması uygulama
Log inceleme
Fiziksel erişim yönetimi

Aşama 3: Risk Değerlendirmesi (1-2 ay)

Risk Metodolojisi Seçimi:

NIST (National Institute of Standards and Technology)
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)
ISO 27005
CRAMM
Özel metodoloji

Risk Değerlendirme Adımları:

Varlık Tanımlama
- Sunucular, uygulamalar, veritabanları
- Her varlığın sahibi
Tehdit Tanımlama
- Siber saldırılar, doğal afetler, insan hatası
- Tehdit kaynakları (insider, outsider, doğal)
Zafiyet Tanımlama
- Teknik zafiyetler (yama eksikliği, zayıf şifre)
- Organizasyonel zafiyetler (eğitim eksikliği)
Risk Analizi
- Olasılık × Etki matrisi
- Risk skoru hesaplama
Risk Muamelesi
- Hangi kontrollerin uygulanacağına karar

Risk Muamele Planı (RTP - Risk Treatment Plan):

Seçilen Annex A kontrolleri
Uygulamadan sorumlu kişiler
Uygulama tarihleri
Kaynaklar

Uygulanabilirlik Beyanı (SOA - Statement of Applicability):

Tüm 93 kontrol için uygulanabilirlik durumu
Uygulanan: Nasıl uygulanıyor
Uygulanmayan: Neden uygulanmıyor (justification)

Aşama 4: Kontrollerin Uygulanması (3-6 ay)

Teknik Kontroller:

Firewall ve IDS/IPS kurulumu
Antivirüs ve EDR (Endpoint Detection and Response)
Log yönetimi ve SIEM (Security Information and Event Management)
Yedekleme sistemleri
MFA (Multi-Factor Authentication)
Veri şifreleme (data at rest, data in transit)

Fiziksel Kontroller:

Kartlı geçiş sistemi
CCTV
Sunucu odası güvenliği
Güvenli imha çözümleri

Organizasyonel Kontroller:

Personel eğitimleri
Erişim yetkilendirme süreçleri
Tedarikçi sözleşmelerine güvenlik maddeleri ekleme
Gizlilik anlaşmaları (NDA)

Aşama 5: Personel Eğitimi ve Farkındalık

Eğitim Türleri:

Genel Farkındalık Eğitimi: Tüm personel (yılda 1 kez)
Rol Bazlı Eğitim: BT, güvenlik ekipleri
Yeni İşe Alım Eğitimi: Onboarding sürecinde
Periyodik Güncellemeler: Çeyrek yıllık hatırlatmalar

Eğitim Konuları:

Bilgi güvenliği politikaları
Sosyal mühendislik ve phishing farkındalığı
Güvenli şifre kullanımı
Temiz masa/temiz ekran politikası
Olay raporlama prosedürü

Phishing Simülasyonları:

Çeyrek yıllık simülasyon testleri
Tıklama oranı izleme
Riskli kullanıcılara ek eğitim

Aşama 6: İç Denetim (1 ay)

İç Denetim Kapsamı:

Tüm ISO 27001 maddeleri
Uygulanan Annex A kontrolleri
Politika ve prosedürlere uyum
Risk değerlendirmesi ve SOA incelemesi

İç Denetçi Nitelikleri:

ISO 27001 İç Denetçi Eğitimi almış
Denetlenecek süreçlerden bağımsız
BGYS ve bilgi güvenliği bilgisine sahip

Denetim Teknikleri:

Doküman inceleme
Personel görüşmeleri
Gözlem (fiziksel güvenlik, ekran kilitleme)
Teknik kontroller (log inceleme, yetki matrisi)

Uygunsuzluklar:

Major Uygunsuzluk: Sistemin temel bir gereksiniminin eksikliği
Minor Uygunsuzluk: Kısmi eksiklik veya tek seferlik sapma
Gözlem: İyileştirme fırsatı

Düzeltici Faaliyet (CAPA):

Kök neden analizi (5 Why, Fishbone)
Düzeltici faaliyet planı
Uygulama ve doğrulama

Aşama 7: Yönetimin Gözden Geçirmesi

Yönetim Toplantısı Girdileri:

İç denetim sonuçları
Güvenlik olayları ve istatistikler
Risk değerlendirmesi sonuçları
Güvenlik göstergeleri (KPI)
Önceki toplantı aksiyonları
Değişiklikler ve güncellemeler
İyileştirme fırsatları

Yönetim Çıktıları:

Sistem iyileştirme kararları
Kaynak tahsisi
Hedefler ve önceliklerin güncellenmesi

Aşama 8: Sertifikasyon Denetimi (1-2 ay)

Aşama 1 Denetimi (Doküman İncelemesi):

Sistem dokümantasyonunun gözden geçirilmesi
Kapsam değerlendirmesi
Risk değerlendirmesi ve SOA incelemesi
6 ay kayıt kontrolü (minimum)

Aşama 2 Denetimi (Uygulama Denetimi):

Sahadaki uygulamaların değerlendirilmesi
Personel görüşmeleri
Teknik kontrol doğrulama
Fiziksel güvenlik gözlemi
Kayıt örneklemesi

Denetim Süresi: Çalışan sayısına göre belirlenir (ISO 27006 kuralları).

Örnekler:

25 çalışan: 2 gün
65 çalışan: 3 gün
175 çalışan: 4 gün
650 çalışan: 6 gün
1750+ çalışan: 8+ gün

Uygunsuzluk Kapatma:

Major: 90 gün içinde kapatılmalı (aksi halde sertifika verilmez)
Minor: Belirli sürede kapatılmalı

Sertifika:

Geçerlilik: 3 yıl
Gözetim denetimleri: Yılda 1 kez (yıl 1 ve yıl 2)
Yenileme denetimi: 3. yılın sonunda

ISO 27001 ve Diğer Standartlar

ISO 27001 vs ISO 9001

Kriter	ISO 9001	ISO 27001
Odak	Ürün/hizmet kalitesi	Bilgi güvenliği
Kapsam	Tüm süreçler	Bilgi varlıkları ve süreçleri
Risk Yaklaşımı	Genel risk	Bilgi güvenliği riskleri (CIA)
Müşteri	Dış müşteri	İç ve dış paydaşlar
Kontroller	Yok	Annex A (93 kontrol)
Teknik Derinlik	Düşük	Yüksek (IT odaklı)

Entegre Yönetim Sistemi: ISO 27001 ve ISO 9001, HLS yapısı sayesinde kolayca entegre edilebilir.

ISO 27001 vs KVKK/GDPR

KVKK (Kişisel Verilerin Korunması Kanunu):

Kişisel verilerin işlenmesi odaklı
Yasal zorunluluk
Veri sorumlusu yükümlülükleri

ISO 27001:

Tüm bilgi varlıkları (kişisel veri dahil)
Gönüllü sertifikasyon
Kapsamlı güvenlik kontrolleri

İlişki: ISO 27001 uygulaması, KVKK/GDPR teknik ve organizasyonel tedbirlerini büyük ölçüde karşılar. A.5.34 kontrolü direkt olarak gizlilik ve kişisel veri korumasını ele alır.

ISO 27001 vs SOC 2

SOC 2 (Service Organization Control 2):

Bulut hizmet sağlayıcılar için
Trust Services Criteria (TSC): Güvenlik, Erişilebilirlik, Bütünlük, Gizlilik, Mahremiyet
ABD odaklı (AICPA)

Farklar:

SOC 2: Dış denetçi raporu (sertifika değil)
ISO 27001: Uluslararası sertifikasyon
İkisi birbirini tamamlayıcı

ISO 27001 Uygulama Alanları

1. Bilgi Teknolojileri (IT) ve Yazılım Şirketleri

Kritik Öneme Sahip Alan:

Müşteri verilerini işleyen SaaS şirketleri
Yazılım geliştirme firmaları
Managed service providers (MSP)

Uygulamalar:

Güvenli yazılım geliştirme (SDLC)
Bulut güvenliği (AWS, Azure, Google Cloud)
DevSecOps entegrasyonu

2. Finans ve Bankacılık

Düzenleyici Gereksinimler:

BDDK (Bankacılık Düzenleme ve Denetleme Kurumu)
PCI DSS (Payment Card Industry Data Security Standard)
SWIFT Customer Security Programme

Kritik Kontroller:

Ağ segmentasyonu (DMZ)
Çok faktörlü kimlik doğrulama (MFA)
Olay müdahale ve SOC (Security Operations Center)
Penetrasyon testleri

3. Sağlık Sektörü

Hassas Veriler:

Hasta kayıtları (HBYS - Hastane Bilgi Yönetim Sistemi)
Tıbbi cihaz verileri
Laboratuvar sonuçları

Uygulamalar:

HIPAA (Health Insurance Portability and Accountability Act) uyumu
Elektronik sağlık kayıtları (EHR) güvenliği
Tele-tıp güvenliği

4. E-Ticaret ve Perakende

Korunması Gereken Veriler:

Müşteri kişisel bilgileri
Kredi kartı ve ödeme bilgileri
Sipariş ve işlem geçmişi

PCI DSS Entegrasyonu: ISO 27001 + PCI DSS birlikte uygulanması yaygın

5. Kamu Kurumları

Ulusal Güvenlik:

Kritik altyapı koruma
Devlet verilerinin güvenliği
Siber saldırılara karşı dayanıklılık

BGA (Bilgi Güvenliği Güncel Açıkları Rehberi): Kamu kurumları için USOM (Ulusal Siber Olaylara Müdahale Merkezi) tarafından yayınlanan rehber

6. Üretim ve Endüstri

Endüstri 4.0 ve IoT:

OT (Operational Technology) güvenliği
SCADA sistemleri
Endüstriyel kontrol sistemleri (ICS)

Fikri Mülkiyet Koruması:

Ar-Ge verileri
Tasarım ve üretim bilgileri
Patent ve ticari sırlar

Siber Güvenlik ve ISO 27001

Siber Tehdit Manzarası

Yaygın Saldırı Türleri:

1. Fidye Yazılımı (Ransomware):

Verileri şifreler, fidye talep eder
Ortalama fidye: 200.000 $+
ISO 27001 Kontrolleri: A.8.11 (Kötü amaçlı yazılım), A.8.13 (Yedekleme)

2. Phishing ve Sosyal Mühendislik:

Sahte e-postalarla kimlik avı
CEO fraud (sahte CEO e-postası)
ISO 27001 Kontrolleri: A.6.3 (Farkındalık eğitimi), A.8.5 (Kimlik doğrulama)

3. DDoS (Distributed Denial of Service):

Hizmet aksatma saldırıları
Web sitesi çökmesi
ISO 27001 Kontrolleri: A.8.34 (Kapasite yönetimi)

4. İçeriden Tehdit (Insider Threat):

Kötü niyetli çalışan
İhmal veya hata
ISO 27001 Kontrolleri: A.6.1 (Tarama), A.6.4 (Disiplin), A.5.15 (Erişim kontrolü)

5. Sıfır Gün Zafiyeti (Zero-day):

Bilinmeyen yazılım açıkları
Yama mevcut değil
ISO 27001 Kontrolleri: A.5.7 (Tehdit istihbaratı), A.8.9 (Güvenlik testi)

Güvenlik Operasyonları

SOC (Security Operations Center):

7/24 güvenlik izleme
Olay tespiti ve müdahalesi
Tehdit avcılığı (threat hunting)

SIEM (Security Information and Event Management):

Log toplama ve korelasyon
Gerçek zamanlı analiz
Uyumluluk raporlama

Popüler SIEM Çözümleri:

Splunk
IBM QRadar
Microsoft Sentinel
LogRhythm
ArcSight

Olay Müdahale Süreci (NIST Framework):

1. Hazırlık (Preparation)
   ↓
2. Tespit ve Analiz (Detection & Analysis)
   ↓
3. İçerme, Eradikasyon, Kurtarma (Containment, Eradication, Recovery)
   ↓
4. Olay Sonrası Aktiviteler (Post-Incident Activity)

Zafiyet Yönetimi

Zafiyet Tarama:

Düzenli taramalar (aylık/çeyrek yıllık)
Otomatik araçlar (Nessus, Qualys, OpenVAS)
Yamaların önceliklendirilmesi

Penetrasyon Testi:

Yıllık en az 1 kez
Sertifikalı etik hackerlar (CEH, OSCP)
Web uygulamaları, ağ, kablosuz, sosyal mühendislik

Bug Bounty Programları:

Açık zafiyet ödüllendirme
Beyaz şapkalı hackerlar
HackerOne, Bugcrowd platformları

ISO 27001 Eğitim ve Sertifikasyon

Eğitim Programları

ISO 27001 Temel Eğitimi (Foundation) - 16 saat:

ISO 27001 standart yapısı
Bilgi güvenliği kavramları
Risk yönetimi temelleri
Hedef: Genel farkındalık

ISO 27001 Uygulayıcı Eğitimi (Implementer) - 24 saat:

BGYS kurulum adımları
Doküman hazırlama
Risk değerlendirmesi uygulaması
SOA ve RTP oluşturma
Hedef: BGYS kurmak isteyenler

ISO 27001 İç Denetçi Eğitimi (Internal Auditor) - 16-24 saat:

Denetim teknikleri ve metodolojileri
Uygunsuzluk yazma
Görüşme becerileri
Pratik denetim uygulaması
Hedef: İç denetçiler

ISO 27001 Baş Denetçi Eğitimi (Lead Auditor) - 40 saat:

Denetim planlaması ve yönetimi
Denetim ekibi liderliği
Sertifikasyon denetimi süreci
Pratik rol oyunları
Hedef: Dış denetçi olmak isteyenler

ISO 27001 Risk Yöneticisi - 16 saat:

İleri seviye risk değerlendirme
Farklı metodolojiler
Tehdit modelleme
Hedef: Risk uzmanları

Kimler ISO 27001 Eğitimi Almalı?

Hedef Kitle:

BGYS Yöneticileri ve koordinatörleri
Bilgi güvenliği uzmanları
IT yöneticileri ve sistem yöneticileri
Kalite yöneticileri
İç denetçiler
Uyumluluk ve risk yöneticileri
Yazılım geliştiriciler (güvenli kodlama)

ISO 27001 Uygulama İpuçları

Başarılı Uygulama İçin Altın Kurallar

1. Üst Yönetim Desteği

Bütçe ve kaynak sağlanması kritik
Bilgi güvenliği bir IT projesi değil, kurumsal stratejidir
Yönetim toplantılarında düzenli raporlama

2. Kapsam Gerçekçi Belirleyin

İlk başta küçük, ancak anlamlı kapsam seçin
Deneyim kazandıkça genişletin
"Boş kağıt sendromu" yerine adım adım ilerleyin

3. Mevcut Kontrolleri Kullanın

Sıfırdan başlamayın
Mevcut IT altyapısı ve politikaları değerlendirin
GAP analizi ile eksikleri tespit edin

4. Basit ve Uygulanabilir Dokümantasyon

Karmaşık prosedürlerden kaçının
Çalışanların anlayabileceği dil kullanın
Gereksiz bürokrasiyi önleyin

5. Personel Katılımını Sağlayın

Bilgi güvenliği herkesin işidir
Farkındalık eğitimleri düzenli yapılmalı
Güvenlik kültürü oluşturma uzun vadeli yatırımdır

6. Sürekli İyileştirme

BGYS statik değildir
PDCA döngüsü ile sürekli geliştirin
Güvenlik olaylarından ders çıkarın

7. Teknoloji ve İnsan Dengesi

En iyi firewall bile sosyal mühendisliği önleyemez
Teknoloji + İnsan + Süreç kombinasyonu gerekli

Yaygın Hatalar ve Çözümleri

Hata 1: Sadece Sertifika Almak İçin Uygulama

Problem:

"Kağıt üzerinde" BGYS
Gerçek hayatta uygulanmayan kontroller

Çözüm:

Gerçek risklere odaklanın
Değer yaratan kontrollerle başlayın
Denetimden sonra da sistemi sürdürün

Hata 2: Aşırı Detaylı Dokümantasyon

Problem:

500 sayfalık prosedürler
Kimsenin okuyup anlamadığı dokümanlar

Çözüm:

Basit, özet prosedürler
Flowchart ve görseller kullanın
Pratik iş talimatları

Hata 3: Risk Değerlendirmesini Hafife Almak

Problem:

Şablondan kopyala-yapıştır risk değerlendirmesi
Organizasyona özgü olmayan riskler

Çözüm:

Gerçek varlık envanteri çıkarın
Paydaşlarla görüşün (IT, operasyon, yönetim)
Senaryolarla somutlaştırın

Hata 4: Eğitim ve Farkındalık Eksikliği

Problem:

Tek seferlik, unutulan eğitim
Personelin bilgi güvenliğini önemsememesi

Çözüm:

Yıllık ve sürekli eğitimler
Phishing simülasyonları
Kampanyalar ve hatırlatmalar

Sonuç ve Öneriler

ISO 27001, bilgi güvenliğini sistematik ve sürekli bir şekilde yönetmek isteyen organizasyonlar için altın standarttır. Siber tehditlerin arttığı ve veri gizliliğinin kritik hale geldiği günümüzde, ISO 27001 sertifikası sadece bir "iyi olur" değil, "olmazsa olmaz" haline gelmiştir.

Başarılı BGYS İçin Altın Kurallar

Risk Odaklı Düşünün
- Her kararı riskle ilişkilendirin
- Gerçek tehditlere odaklanın
- Validasyon ve sürekli gözden geçirme
Üst Yönetim Liderliği
- Yönetimin sahiplenmesi şart
- Kaynak ve bütçe desteği
- Stratejik öncelik olarak görme
İnsan Faktörü
- Teknoloji tek başına yeterli değil
- Farkındalık ve kültür oluşturma
- Teşvik ve ödüllendirme
Sürekli İyileştirme
- PDCA döngüsü
- Güvenlik olaylarından öğrenme
- Kaizen ve verimlilik kültürü
Entegre Yaklaşım
- ISO 9001, ISO 14001 ile entegrasyon
- CAPA ve problem çözme sistemleriyle uyum
- Bütünsel yönetim sistemi

İlgili Kaynaklar ve Eğitimler

Bilgi güvenliği ve kalite yönetimi konusunda kendinizi geliştirmek için:

ISO 27001 danışmanlığı, BGYS kurulumu, iç denetçi eğitimi ve bilgi güvenliği eğitimlerimiz hakkında daha fazla bilgi almak için Acadezone ile iletişime geçebilirsiniz.

Önemli Not: ISO 27001 standardı ve Annex A kontrolleri düzenli olarak güncellenmektedir. En güncel versiyon ISO 27001:2022'dir. Uygulamalar sırasında resmi ISO standart dokümanlarına ve akredite danışmanlara başvurulması önerilir.