ISO 27001 Nedir? Bilgi Güvenliği Yönetim Sistemi Rehberi
Dijital dönüşüm hız kazandıkça bilgi varlıklarının korunması kurumlar için hayati önem taşır hale gelmiştir. Bir müşteri veritabanının sızması, üretim verilerinin çalınması veya kritik sistemlerin devre dışı kalması milyonlarca liralık kayba ve telafisi güç itibar hasarına yol açabilir. ISO 27001 tam da bu risklere karşı sistematik bir koruma çerçevesi sunan uluslararası standarttır.
ISO 27001 (ISO/IEC 27001:2022), Bilgi Güvenliği Yönetim Sistemi (BGYS/ISMS) kurmak, uygulamak, sürdürmek ve sürekli iyileştirmek için gereksinimleri tanımlayan standarttır. Gizlilik, bütünlük ve erişilebilirlik (CIA Triad) prensiplerini sistematik olarak korumayı hedefler.
CIA Triad: Bilgi Güvenliğinin Üç Temel Prensibi
Tüm bilgi güvenliği yaklaşımının temeli CIA Triad'dır. ISO 27001'deki her kontrol bu üç prensibin bir veya birkaçını korumaya yöneliktir.
| Prensip | Açıklama | Örnek Tehdit | Koruma Yöntemi |
|---|---|---|---|
| Gizlilik (Confidentiality) | Bilgiye sadece yetkili kişilerin erişimi | Veri sızıntısı, yetkisiz erişim | Şifreleme, erişim kontrolü, sınıflandırma |
| Bütünlük (Integrity) | Bilginin doğruluğu ve tamlığı | Veri manipülasyonu, bozulma | Hash doğrulama, değişiklik logları, dijital imza |
| Erişilebilirlik (Availability) | Bilgiye ihtiyaç duyulduğunda erişim | DDoS saldırısı, donanım arızası | Yedekleme, felaket kurtarma, yedekli altyapı |
CIA Triad ihlal örnekleri:
- Gizlilik ihlali: Bir çalışanın müşteri kredi kartı verilerine yetkisiz erişimi
- Bütünlük ihlali: Üretim parametrelerinin fark edilmeden değiştirilmesi
- Erişilebilirlik ihlali: Ransomware saldırısı sonrası sistemlerin günlerce kullanılamaması
ISO 27001:2022 Standart Yapısı
ISO 27001:2022, ISO'nun Yüksek Seviye Yapısı'nı (HLS - Harmonized Structure) kullanır. Bu sayede ISO 9001, ISO 14001, ISO 45001 gibi diğer yönetim sistemi standartlarıyla entegrasyon kolaylaşır.
Madde Yapısı
| Madde | Konu | Ana Gereksinimler |
|---|---|---|
| 4 | Organizasyonun Bağlamı | İç/dış bağlam analizi, ilgili taraf beklentileri, BGYS kapsamı belirleme |
| 5 | Liderlik | Üst yönetim taahhüdü, bilgi güvenliği politikası, rol ve sorumluluklar |
| 6 | Planlama | Risk ve fırsat değerlendirmesi, bilgi güvenliği hedefleri, değişiklik planlama |
| 7 | Destek | Kaynaklar, yetkinlik, farkındalık, iletişim, dokümante edilmiş bilgi |
| 8 | Operasyon | Risk işleme planı uygulaması, operasyonel planlama ve kontrol |
| 9 | Performans Değerlendirme | İzleme ve ölçme, iç denetim, yönetimin gözden geçirmesi |
| 10 | İyileştirme | Uygunsuzluk ve düzeltici faaliyet, sürekli iyileştirme |
Madde 6: Risk Odaklı Yaklaşım
ISO 27001'in en kritik maddelerinden biri Madde 6'dır. Standart, kuruluştan sistematik bir risk değerlendirmesi yapmasını ve bu risklere uygun kontroller seçmesini ister.
Risk değerlendirme süreci:
- Varlık Envanteri: Korunması gereken bilgi varlıklarının tespiti (veriler, sistemler, donanım, yazılım, personel)
- Tehdit Tanımlama: Her varlık için olası tehditlerin belirlenmesi (siber saldırı, doğal afet, insan hatası, kötü niyetli içeriden tehdit)
- Zafiyet Analizi: Tehditlerin istismar edebileceği zayıflıkların tespiti
- Risk Hesaplama: Olasılık × Etki matrisi ile risk seviyesi belirleme
- Risk İşleme: Her risk için strateji seçimi
Risk işleme seçenekleri:
| Strateji | Açıklama | Örnek |
|---|---|---|
| Önleme (Mitigate) | Kontrol uygulayarak riski azaltma | Güvenlik duvarı kurulumu |
| Transfer | Riski üçüncü tarafa aktarma | Siber güvenlik sigortası |
| Kabul | Riski bilinçli olarak kabul etme | Düşük etkili, düşük olasılıklı risk |
| Kaçınma (Avoid) | Riski oluşturan faaliyetten vazgeçme | Güvensiz uygulamanın kullanılmaması |
Annex A Kontrolleri (ISO 27001:2022)
ISO 27001:2022 sürümü, önceki 114 kontrolü yeniden yapılandırarak 93 kontrol altında toplamıştır. Bu kontroller 4 ana kategoride gruplanır.
Kontrol Kategorileri
| Kategori | Kontrol Sayısı | Kapsam |
|---|---|---|
| Organizasyonel Kontroller (A.5) | 37 | Politikalar, roller, varlık yönetimi, tedarikçi ilişkileri |
| İnsan Kaynakları Kontrolleri (A.6) | 8 | İşe alım, farkındalık, disiplin süreci, iş sonu |
| Fiziksel Kontroller (A.7) | 14 | Fiziksel güvenlik, ekipman koruması, temiz masa |
| Teknolojik Kontroller (A.8) | 34 | Erişim kontrolü, şifreleme, ağ güvenliği, yedekleme |
| Toplam | 93 |
Organizasyonel Kontroller (A.5) — Detay
Organizasyonel kontroller, güvenlik yönetiminin temel çerçevesini oluşturur.
| Kontrol | Açıklama |
|---|---|
| A.5.1 Bilgi güvenliği politikaları | Üst yönetim onaylı politika seti |
| A.5.2 Roller ve sorumluluklar | BGYS rolleri ve yetkilerin tanımlanması |
| A.5.3 Görevlerin ayrılığı | Çıkar çatışmasını önlemek için görev ayrımı |
| A.5.7 Tehdit istihbaratı | Güncel tehdit bilgisi toplama ve analiz (2022'de yeni) |
| A.5.9 Varlık envanteri | Bilgi ve ilişkili varlıkların kaydı |
| A.5.10 Kabul edilebilir kullanım | Bilgi varlıklarının kullanım kuralları |
| A.5.23 Bulut hizmetleri güvenliği | Bulut ortamlarında bilgi güvenliği (2022'de yeni) |
| A.5.29 İş sürekliliği planlama | Kesinti durumunda bilgi güvenliği sürdürme |
| A.5.30 İş sürekliliği için ICT hazırlığı | BT altyapısının süreklilik hazırlığı (2022'de yeni) |
Teknolojik Kontroller (A.8) — Detay
Teknolojik kontroller, teknik güvenlik önlemlerini kapsar.
| Kontrol | Açıklama |
|---|---|
| A.8.1 Kullanıcı uç cihaz koruma | Endpoint güvenliği (antivirüs, EDR) |
| A.8.2 Ayrıcalıklı erişim hakları | Admin hesaplarının yönetimi |
| A.8.3 Bilgi erişim kısıtlaması | İhtiyaç bilme (need-to-know) prensibi |
| A.8.5 Güvenli kimlik doğrulama | MFA, güçlü parola politikası |
| A.8.9 Konfigürasyon yönetimi | Sistem ayarlarının güvenli yönetimi |
| A.8.12 Veri sızıntısı önleme (DLP) | Hassas verilerin dışarı çıkışını engelleme (2022'de yeni) |
| A.8.15 Loglama | Olay kayıtlarının tutulması ve korunması |
| A.8.16 İzleme faaliyetleri | Ağ ve sistem izleme (2022'de yeni) |
| A.8.23 Web filtreleme | Zararlı web sitelerine erişimin engellenmesi (2022'de yeni) |
| A.8.24 Kriptografi kullanımı | Şifreleme ve anahtar yönetimi |
| A.8.25 Güvenli geliştirme yaşam döngüsü | Yazılım güvenliği (SDLC) |
| A.8.28 Güvenli kodlama | Güvenli kodlama prensiplerinin uygulanması (2022'de yeni) |
2022 Sürümünde Yeni Eklenen 11 Kontrol
ISO 27001:2022 ile eklenen yeni kontroller güncel tehditleri yansıtır:
- A.5.7 — Tehdit istihbaratı
- A.5.23 — Bulut hizmetleri güvenliği
- A.5.30 — İş sürekliliği için ICT hazırlığı
- A.7.4 — Fiziksel güvenlik izleme
- A.8.9 — Konfigürasyon yönetimi
- A.8.10 — Bilgi silme
- A.8.11 — Veri maskeleme
- A.8.12 — Veri sızıntısı önleme (DLP)
- A.8.16 — İzleme faaliyetleri
- A.8.23 — Web filtreleme
- A.8.28 — Güvenli kodlama
Uygulanabilirlik Beyannamesi (SoA)
Uygulanabilirlik Beyannamesi (Statement of Applicability), ISO 27001 sertifikasyonunun en kritik dokümanıdır. Bu belgede:
- 93 Annex A kontrolünün her biri değerlendirilir
- Hangi kontrollerin seçildiği ve gerekçesi belirtilir
- Hangi kontrollerin hariç tutulduğu ve gerekçesi açıklanır
- Kontrollerin mevcut uygulama durumu gösterilir
SoA, denetçilerin ilk incelediği dokümanlardan biridir ve risk değerlendirmesiyle doğrudan ilişkili olmalıdır.
Siber Güvenlik ve Bilgi Güvenliği Kariyeri
ISO 27001, CISSP, CEH ve veri güvenliği alanlarında uluslararası sertifikalı eğitimlerle bilişim kariyerinizi güçlendirin.
Eğitimleri KeşfetISO 27001 BGYS
Bilgi güvenliği yönetim sistemi
Siber Güvenlik
Penetrasyon testi ve güvenlik denetimi
Veri Güvenliği
KVKK, GDPR ve veri koruma
DevSecOps
Güvenli yazılım geliştirme yaşam döngüsü
ISO 27001 ile ISO 27002 Farkı
| Özellik | ISO 27001 | ISO 27002 |
|---|---|---|
| Tür | Gereksinim standardı | Uygulama rehberi |
| Sertifikasyon | Evet, sertifika alınabilir | Hayır, sertifika yoktur |
| İçerik | Ne yapılması gerektiğini söyler | Nasıl yapılacağını açıklar |
| Annex A | 93 kontrol başlığı listeler | Her kontrolün detaylı uygulama rehberini verir |
| Zorunluluk | Sertifikasyon için zorunlu | Referans doküman, isteğe bağlı |
ISO 27002:2022, Annex A kontrollerinin her birinin amaç, açıklama, uygulama rehberi ve diğer bilgiler bölümleriyle detaylandırıldığı kılavuz standarttır. BGYS kurulumunda ISO 27002 olmadan kontrollerin doğru uygulanması zorlaşır.
Sertifikasyon Süreci
ISO 27001 sertifikasyonu, bağımsız bir belgelendirme kuruluşu tarafından yapılır ve 3 yıl geçerlidir.
Sertifikasyon Adımları
| Aşama | Süre | Açıklama |
|---|---|---|
| 1. Gap Analizi | 2-4 hafta | Mevcut durum ile standart gereksinimleri arasındaki boşlukların tespiti |
| 2. Kapsam Belirleme | 1-2 hafta | BGYS kapsamının tanımlanması (lokasyon, süreç, varlık) |
| 3. Risk Değerlendirmesi | 4-6 hafta | Varlık envanteri, tehdit-zafiyet analizi, risk işleme planı |
| 4. Dokümantasyon | 6-8 hafta | Politikalar, prosedürler, SoA, iş sürekliliği planı |
| 5. Kontrol Uygulaması | 8-12 hafta | Seçilen Annex A kontrollerinin hayata geçirilmesi |
| 6. İç Denetim | 2-3 hafta | BGYS'nin kendi iç denetçileriyle kontrolü |
| 7. Yönetimin Gözden Geçirmesi | 1 hafta | Üst yönetimin BGYS performansını değerlendirmesi |
| 8. Belgelendirme Denetimi | 2-4 hafta | Aşama 1 (dokümantasyon) + Aşama 2 (uygulama) denetimi |
Belgelendirme Denetimi Aşamaları
Aşama 1 Denetimi (Dokümantasyon İnceleme):
- BGYS dokümantasyonunun yeterliliği
- Risk değerlendirme metodolojisi
- SoA'nın tutarlılığı
- Kapsam tanımının uygunluğu
Aşama 2 Denetimi (Uygulama Denetimi):
- Kontrollerin etkin uygulandığının doğrulanması
- Çalışanlarla mülakatlar
- Teknik sistem incelemeleri
- Kayıt ve kanıt incelemesi
Sertifika alındıktan sonra yıllık gözetim denetimleri yapılır ve 3 yıl sonunda yeniden belgelendirme denetimi gerekir.
Sektörel Uygulamalar
Savunma Sanayi
Savunma sektöründe ISO 27001, AS9100 ile birlikte uygulanır. Askeri projelerde gizli tasarım verileri, teknik dokümanlar ve haberleşme altyapısının korunması kritik önceliklerdir. NATO üye ülkeleri için STANAG gereksinimleri de ISO 27001 çerçevesinde karşılanabilir.
Finans ve Bankacılık
BDDK düzenlemeleri gereği Türkiye'deki bankalar ve finansal kuruluşlar için bilgi güvenliği yönetim sistemi zorunludur. ISO 27001, PCI-DSS ve BDDK mevzuatı ile entegre edilerek uygulanır.
Sağlık Sektörü
Hasta verileri (KVKK kapsamında özel nitelikli kişisel veri), tıbbi cihaz yazılım verileri ve klinik araştırma dataları ISO 27001 kapsamında korunur. ISO 13485 ile entegrasyon yaygındır.
Yazılım ve Teknoloji
SaaS şirketleri, bulut hizmet sağlayıcıları ve yazılım geliştirme firmaları müşteri güvenini kazanmak için ISO 27001 sertifikasyonuna başvurur. DevSecOps süreçleri ve güvenli yazılım geliştirme yaşam döngüsü (SDLC) bu kapsamda değerlendirilir.
Üretim ve Endüstri
Endüstri 4.0 ile birlikte akıllı fabrika sistemleri, SCADA/ICS altyapıları ve IoT cihazları yeni saldırı yüzeyleri oluşturmuştur. OT (Operasyonel Teknoloji) güvenliği ISO 27001 çerçevesinde ele alınır.
E-Ticaret
Müşteri kişisel verileri, ödeme bilgileri ve sipariş verileri ISO 27001 kapsamında korunur. KVKK uyumluluğu ile birlikte değerlendirilir.
ISO 27001 ve Diğer Standartlarla Entegrasyon
ISO 27001, tek başına uygulanabileceği gibi diğer yönetim sistemi standartlarıyla entegre olarak da kurulabilir.
| Entegrasyon | Ortak Alan | Faydası |
|---|---|---|
| ISO 27001 + ISO 9001 | Dokümantasyon, iç denetim, risk yönetimi | Tekrarlayan süreçlerin birleştirilmesi |
| ISO 27001 + ISO 22301 | İş sürekliliği planlama | Kesinti senaryolarında bütünsel yaklaşım |
| ISO 27001 + ISO 27701 | Gizlilik (KVKK/GDPR) | Kişisel veri koruma gereksinimleri |
| ISO 27001 + AS9100 | Havacılık bilgi güvenliği | Savunma sanayi uyumluluğu |
| ISO 27001 + SOC 2 | Güvenlik denetimi | Uluslararası müşteri güveni |
ISO 27001 Uygulama Rehberi
1. Hazırlık Aşaması
- Üst yönetim desteği ve bütçe onayı alın
- BGYS sorumlusunu (Information Security Officer) atayın
- Kapsam sınırlarını belirleyin (tüm organizasyon mu, belirli lokasyonlar mı?)
- Proje ekibini oluşturun
2. Mevcut Durum Analizi
- Mevcut güvenlik uygulamalarını envantere alın
- 93 Annex A kontrolünü gap analizi ile değerlendirin
- Eksik kontrolleri ve iyileştirme alanlarını belirleyin
3. Risk Değerlendirme ve İşleme
- Varlık envanterini oluşturun (donanım, yazılım, veri, süreç, personel)
- Her varlık için tehdit ve zafiyetleri tanımlayın
- Risk matrisi ile önceliklendirme yapın
- Risk işleme planı hazırlayın ve kontrolleri seçin
- SoA dokümanını oluşturun
4. Kontrol Uygulaması
- Teknik kontrolleri hayata geçirin (güvenlik duvarı, şifreleme, erişim kontrolü)
- Organizasyonel kontrolleri uygulayın (politikalar, prosedürler, farkındalık eğitimi)
- Fiziksel güvenlik önlemlerini alın
5. Eğitim ve Farkındalık
- Tüm çalışanlara bilgi güvenliği farkındalık eğitimi verin
- BGYS ekibine teknik eğitimler düzenleyin
- Sosyal mühendislik ve phishing simülasyonları yapın
6. İzleme ve İyileştirme
- BGYS performans metriklerini tanımlayın
- Düzenli iç denetimler planlayın
- Güvenlik olaylarını (incident) kaydedin ve analiz edin
- Yönetimin gözden geçirme toplantılarını gerçekleştirin
