Compliance & Regulation serimizin bir parçası
Tam kılavuzu okuyunTeknoloji Şirketleri için ISO 27001: Bilgi Güvenliği Yönetimi
ISO 27001 sertifikası bilgi güvenliği için küresel güven dili haline geldi. 2025 yılında, dünya çapında ISO 27001 sertifikalı kuruluşların sayısı 70.000'i aştı; bu, 2023'e kıyasla %25'lik bir artış anlamına geliyor. Özellikle Avrupa, Asya ve devlet sektörlerindeki kurumsal pazarlara satış yapan teknoloji şirketleri için, ISO 27001 genellikle tartışılamaz bir gerekliliktir.
SOC2'nin (çoğunlukla bir Kuzey Amerika standardı olan) aksine, ISO 27001 hemen hemen her ülkede tanınmaktadır. İnsanları, süreçleri ve teknolojiyi kapsayan bir Bilgi Güvenliği Yönetim Sistemi (ISMS) aracılığıyla bilgi güvenliği risklerini yönetmek için sistematik bir çerçeve sağlar.
Önemli Çıkarımlar
- ISO 27001, tanımlanmış kapsamı, risk değerlendirme metodolojisi ve sürekli iyileştirme döngüsü olan resmi bir BGYS gerektirir
- 2022 revizyonu, Ek A kontrollerinin sayısını 114'ten 93'e düşürdü ve bunları dört tema halinde düzenledi: organizasyonel, kişiler, fiziksel ve teknolojik
- Sertifikasyon, akredite bir denetim organı gerektirir ve iki aşamayı içerir: dokümantasyonun incelenmesi ve operasyonel değerlendirme
- ISO 27001, SOC2 ile %60-70 oranında kontrol örtüşmesini paylaşarak çift sertifikasyonun oldukça verimli olmasını sağlar
BGYS Çerçevesini Anlamak
Bilgi Güvenliği Yönetim Sistemi bir ürün veya araç değildir; kuruluşunuzun bilgi güvenliği risklerini nasıl tanımladığını, değerlendirdiğini ve ele aldığını yöneten bir yönetim çerçevesidir.
BGYS Temel Bileşenleri
BGYS Planla-Uygula-Kontrol Et-Önlem Al (PDCA) döngüsünü takip eder:
Plan. BGYS kapsamını tanımlayın, güvenlik politikasını oluşturun, risk değerlendirmesi yapın, kontrolleri seçin ve Uygulanabilirlik Bildirimini (SoA) hazırlayın.
Yap. Kontrolleri uygulayın, risk iyileştirme planını yürütün, eğitim verin ve operasyonları yönetin.
Kontrol edin. Kontrolleri izleyin ve ölçün, iç denetimler gerçekleştirin, yönetim incelemeleri gerçekleştirin ve olayları takip edin.
Harekete geçin Düzeltici eylemler gerçekleştirin, iyileştirmeler uygulayın, risk değerlendirmelerini güncelleyin ve öğrenilen derslere göre BGYS'yi iyileştirin.
ISO 27001 Maddeleri (Zorunlu Gereksinimler)
| Madde | Başlık | Ne Gerektirir |
|---|---|---|
| 4 | Organizasyonun İçeriği | Kapsamı, ilgili tarafları ve iç/dış sorunları tanımlayın |
| 5 | Liderlik | Yönetim taahhüdü, güvenlik politikası, organizasyonel roller |
| 6 | Planlama | Risk değerlendirme metodolojisi, risk iyileştirme planı, güvenlik hedefleri |
| 7 | Destek | Kaynaklar, yeterlilik, farkındalık, iletişim, belgelenmiş bilgi |
| 8 | Operasyon | Operasyonel planlama, risk değerlendirmesinin uygulanması, risk tedavisi |
| 9 | Performans değerlendirmesi | İzleme, iç denetim, yönetimin gözden geçirilmesi |
| 10 | İyileştirme | Uygunsuzlukların ele alınması, düzeltici faaliyet, sürekli iyileştirme |
Bu maddeler zorunludur; hiçbirini hariç tutamazsınız. Bunlar yönetim sisteminin kendisini tanımlarken Ek A, arasından seçeceğiniz kontrol kataloğunu sağlar.
Ek A Kontroller: 2022 Revizyonu
ISO 27001'in (ISO 27001:2022) 2022 revizyonu, kontrol kataloğunu 114 kontrol içeren 14 alandan 93 kontrol içeren 4 temaya kadar yeniden düzenledi. Kontroller birleştirildi, modern tehditlere göre güncellendi ve 11 yeni kontrol eklendi.
ISO 27001 Anahtar Kontrollü Etki Alanları
| Tema | # Kontroller | Tuş Kontrolleri |
|---|---|---|
| Kurumsal (37) | 37 | Bilgi güvenliği politikaları, roller ve sorumluluklar, tehdit istihbaratı, varlık yönetimi, erişim kontrol politikası, tedarikçi ilişkileri, olay yönetimi, iş sürekliliği, yasal uyumluluk |
| İnsanlar (8) | 8 | Tarama, istihdam şartları, güvenlik bilinci/eğitimi, disiplin süreci, işten çıkarılma sonrası sorumluluklar, gizlilik anlaşmaları, uzaktan çalışma, bilgi güvenliği olay raporlaması |
| Fiziksel (14) | 14 | Fiziksel güvenlik çevresi, fiziksel giriş kontrolleri, ofislerin/tesislerin güvenliğinin sağlanması, izleme, ekipman koruması, güvenli imha, temiz masa/ekran, kablolama güvenliği, ekipman bakımı |
| Teknolojik (34) | 34 | Uç nokta cihazları, ayrıcalıklı erişim, erişim kısıtlama, güvenli kimlik doğrulama, kapasite yönetimi, kötü amaçlı yazılımlara karşı koruma, güvenlik açığı yönetimi, konfigürasyon yönetimi, veri silme, veri maskeleme, DLP, izleme, ağ güvenliği, web filtreleme, kriptografi, güvenli geliştirme, test güvenliği, değişiklik yönetimi, ortamların ayrılması |
2022'de Yeni Kontroller
| Yeni Kontrol | Açıklama | Neden Eklendi |
|---|---|---|
| A.5.7 | Tehdit istihbaratı | Proaktif tehdit tespiti |
| A.5.23 | Bulut hizmetleri güvenliği | Bulutu benimseme yaygınlığı |
| A.5.30 | iş sürekliliği için BİT hazırlığı | BT'ye özel BC planlaması |
| A.7.4 | Fiziksel güvenlik izleme | CCTV ve fiziksel izleme |
| A.8.9 | Konfigürasyon yönetimi | Temel konfigürasyonlar |
| A.8.10 | Bilgi silme | Veri yaşam döngüsü yönetimi |
| A.8.11 | Veri maskeleme | Gizlilik koruması |
| A.8.12 | Veri sızıntısının önlenmesi | DLP araçları ve süreçleri |
| A.8.16 | İzleme faaliyetleri | Güvenlik izleme ve SIEM |
| A.8.23 | Web filtreleme | URL ve içerik filtreleme |
| A.8.28 | Güvenli kodlama | Güvenli geliştirme uygulamaları |
Risk Değerlendirme Metodolojisi
Risk değerlendirmesi, ISO 27001'in kalbidir. PCI-DSS gibi kuralcı çerçevelerin aksine, ISO 27001, kendi risk değerlendirme metodolojinizi tanımlamanıza ve özel risk profilinize göre kontrolleri seçmenize olanak tanır.
Risk Değerlendirme Sürecinizi Oluşturma
1. Adım: Varlık tanımlama. Tüm bilgi varlıklarının envanterini çıkarın: veriler, sistemler, uygulamalar, insanlar, altyapı ve üçüncü taraf hizmetleri.
2. Adım: Tehdit belirleme. Her varlık için potansiyel tehditleri tanımlayın: siber saldırılar, içeriden gelen tehditler, doğal afetler, sistem arızaları, insan hatası, tedarikçi hataları.
3. Adım: Güvenlik açığı değerlendirmesi. Tehditlerin yararlanabileceği zayıf yönleri belirleyin: yama yapılmamış yazılım, zayıf kimlik doğrulama, şifreleme eksikliği, yetersiz eğitim.
4. Adım: Risk değerlendirmesi. Tanımladığınız metodolojiyi kullanarak riski hesaplayın. Ortak bir yaklaşım:
| Olasılık | Etki: Düşük (1) | Etki: Orta (2) | Etki: Yüksek (3) | Etki: Kritik (4) |
|---|---|---|---|---|
| Nadir (1) | 1 - Kabul Et | 2 - Kabul Et | 3 - Monitör | 4 - Monitör |
| Olasılıksız (2) | 2 - Kabul Et | 4 - Monitör | 6 - Tedavi | 8 - Tedavi |
| Mümkün (3) | 3 - Monitör | 6 - Tedavi | 9 - Tedavi | 12 - Acilen tedavi edin |
| Muhtemelen (4) | 4 - Monitör | 8 - Tedavi | 12 - Acilen tedavi edin | 16 - Acilen tedavi edin |
5. Adım: Riskin işlenmesi. Kabul edilebilir eşiğinizin üzerindeki her risk için bir tedavi seçin: hafifletin (kontrolleri uygulayın), aktarın (sigorta, dış kaynak kullanımı), kaçının (faaliyeti durdurun) veya kabul edin (belgelenmiş gerekçeyle).
6. Adım: Her şeyi belgeleyin. Risk kaydınız, risk değerlendirme metodolojiniz, risk işleme planınız ve kalan risk kabulünüzün tümü düzenli olarak belgelenmeli ve gözden geçirilmelidir.
Uygulanabilirlik Beyanı (SoA)
Uygulanabilirlik Beyanı en önemli ISO 27001 belgelerinden biridir. 93 Ek A kontrolünün tamamını listeler, her birinin geçerli veya hariç tutulup tutulmadığını belirtir ve hariç tutmaların gerekçelerini sunar.
Etkili Bir SoA Oluşturma
Her Ek A kontrolü için aşağıdakileri belgeleyin:
- Kontrol referansı ve başlığı (ör. A.8.5 Güvenli kimlik doğrulama)
- Geçerli veya hariç hariç tutma gerekçesi ile birlikte
- Uygulama durumu (uygulandı, kısmen uygulandı, planlanıyor)
- Uygulama açıklaması (kontrolün kuruluşunuzda nasıl uygulandığı)
- Destekleyici belgelere referans (politikalar, prosedürler, teknik yapılandırmalar)
Teknoloji Şirketleri için Yaygın İstisnalar
- Fiziksel güvenlik çevresi (A.7.1-7.2): Tamamen uzak/bulut tabanlıysanız ve fiziksel bir ofisiniz yoksa bazı fiziksel kontroller geçerli olmayabilir. Ancak yine de uç nokta güvenliğini ve uzaktan çalışma kontrollerini ele almanız gerekir.
- Ekipman bakımı (A.7.13): Tüm altyapı bulut tabanlıysa (AWS, GCP, Azure), fiziksel ekipmanın bakımı bulut sağlayıcının sorumluluğundadır. Bunu devralınan bir kontrol olarak belgeleyin.
- Kablolama güvenliği (A.7.12): Benzer şekilde, yalnızca bulut kullanan şirketler fiziksel kablolama kontrollerini hariç tutabilir ancak ağ güvenliği kontrolleri geçerli olmaya devam eder.
Denetçiler istisnaları dikkatle inceleyeceklerdir. Yalnızca bağlamınız için gerçekten geçerli olmayan kontrolleri hariç tutun ve her zaman açık gerekçeleri belgeleyin.
Sertifikasyon Süreci
ISO 27001 belgelendirmesi akredite bir belgelendirme kuruluşu tarafından denetim yapılmasını gerektirir. Süreç iki aşamayı içermektedir.
1. Aşama Denetimi: Dokümantasyon İncelemesi
Aşama 1 denetimi, BGYS belgelerinizin masa başında incelenmesidir:
- BGYS kapsam tanımı
- Bilgi güvenliği politikası
- Risk değerlendirme metodolojisi ve sonuçları
- Risk tedavi planı
- Uygulanabilirlik Beyanı
- İç denetim raporları
- Yönetim inceleme tutanakları
Denetçi belgelerinizin eksiksiz olup olmadığını ve BGYS'nizin uygun şekilde tasarlanıp tasarlanmadığını değerlendirir. Aşama 2'den önce ele alınması gereken önemli boşlukları belirleyecekler.
Zaman çizelgesi: Genellikle yerinde veya uzaktan 1-2 gün. Sonuçlar 1-2 hafta içinde elde edilir.
2. Aşama Denetimi: Operasyonel Değerlendirme
Aşama 2 denetimi, BGYS'nizin etkili bir şekilde çalışıp çalışmadığını değerlendirir:
- Farkındalığı ve uygulamayı doğrulamak için süreç sahipleri ve personelle röportajlar
- Kontrollerin belgelendiği gibi çalıştığını doğrulamak için kanıt örneklemesi
- Güvenlik yapılandırmalarının, erişim kontrollerinin ve izlemenin teknik doğrulaması
- Operasyonel süreçlerin gözlemlenmesi (olay yönetimi, değişiklik yönetimi)
- Kontrollerin eksik, etkisiz veya belgelenmemiş olduğu durumlarda uygunsuzlukların tespiti
Zaman çizelgesi: Kuruluşun büyüklüğüne bağlı olarak 3-10 gün. Uygunsuzlukların 90 gün içerisinde giderilmesi gerekmektedir.
Sertifikasyondan Sonra
ISO 27001 sertifikası, 1. ve 2. yıllardaki gözetim denetimleriyle birlikte üç yıl geçerlidir:
| Yıl | Denetim Türü | Kapsam | Süre |
|---|---|---|---|
| Yıl 0 | Sertifikasyon (Aşama 1 + 2) | Tam BGYS | 4-12 gün |
| Yıl 1 | Gözetim | Seçilen kontroller + büyük değişiklikler | 2-4 gün |
| Yıl 2 | Gözetim | Seçilen kontroller + kalan alanlar | 2-4 gün |
| 3. Yıl | Yeniden Sertifikalandırma | Tam BGYS (mini Aşama 1 + 2) | 3-8 gün |
ISO 27001 ve SOC2: Sinerji Oluşturmak
Her iki sertifikaya da ihtiyaç duyan şirketler için kontrol örtüşmesi önemlidir. Öncelikle ISO 27001'i uygulamak size SOC2'de %60-70 oranında avantaj sağlar ve bunun tersi de geçerlidir.
Örtüşen Alanlar
| ISO 27001 Kontrolü | SOC2 Kriterleri | Paylaşılan Gereksinim |
|---|---|---|
| A.5.1 Bilgi güvenliğine ilişkin politikalar | CC1.1 COSO İlke 1 | Güvenlik politikası belgeleri |
| A.5.15-5.18 Erişim kontrolü | CC6.1-CC6.3 | Erişim yönetimi, MFA, en az ayrıcalık |
| A.5.24-5.28 Olay yönetimi | CC7.3-CC7.5 | Olay tespiti, müdahale, iletişim |
| A.6.1-6.5 İnsan kontrolleri | CC1.4 | Geçmiş kontrolleri, eğitim, işten çıkarma |
| A.8.8 Güvenlik açığı yönetimi | CC7.1 | Güvenlik açığı taraması, yama uygulama |
| A.8.25-8.27 Güvenli geliştirme | CC8.1 | Değişiklik yönetimi, kod incelemesi, test etme |
| A.5.29-5.30 İş sürekliliği | A1.1-A1.3 | DR planlama, yedekleme, kurtarma testi |
Ayrıntılı SOC2 kılavuzu için SOC2 Tip II hazırlık kılavuzumuza bakın. Daha geniş uyumluluk kapsamı için kurumsal uyumluluk el kitabımıza bakın.
Sıkça Sorulan Sorular
ISO 27001 sertifikası ne kadar sürer?
Karar aşamasından sertifikasyon aşamasına kadar ilk uygulama için 12-18 ay beklenmelidir. Buna, boşluk analizi ve planlaması için 3-4 ay, kontrol uygulaması ve belgeleme için 4-6 ay, BGYS'nin çalışması için 2-3 ay (kanıt oluşturma) ve iç denetim, yönetim incelemesi ve dış sertifika denetimi için 2-3 ay dahildir.
ISO 27001 sertifikasyonunun maliyeti nedir?
Toplam ilk yıl maliyetleri, şirketin büyüklüğüne, karmaşıklığına ve danışman kullanıp kullanmadığınıza bağlı olarak genellikle 40.000 ila 400.000 ABD Doları arasında değişir. Temel maliyet bileşenleri arasında danışmanlık (15.000 - 100.000 ABD Doları), denetim ücretleri (8.000 - 50.000 ABD Doları), takımlar (5.000 - 30.000 ABD Doları/yıl) ve dahili işçilik (en büyük değişken) yer almaktadır. Yıllık bakım maliyetleri (gözetim denetimleri, alet lisansları, eğitim) genellikle ilk yıl yatırımının %30-40'ını oluşturur.
ISO 27001 kanunen gerekli midir?
ISO 27001 çoğu yargı bölgesinde yasal olarak zorunlu değildir. Bununla birlikte, çeşitli bağlamlarda etkin bir şekilde zorunludur: birçok devlet satın alma süreci bunu gerektirir, kurumsal müşteriler bunu satıcı gereksinimlerine dahil eder ve bazı endüstri düzenlemeleri (AB'de NIS2, Avustralya'da APRA CPS 234) tanınmış bir çerçeve olarak ISO 27001'e atıfta bulunur. Uygulamada, piyasa baskısı çoğu zaman bunu bir iş zorunluluğu haline getiriyor.
Küçük bir startup ISO 27001 sertifikası alabilir mi?
Evet. ISO 27001 her büyüklükteki kuruluşa ölçeklenebilir. BGYS kapsamı operasyonlarınıza göre özelleştirilebilir ve risk bazlı yaklaşım, kontrollerin risk profilinizle orantılı olduğu anlamına gelir. Basit altyapıya sahip küçük şirketler sertifikasyonu 9-12 ayda tamamlayabiliyor. Yeni başlayanlar için en önemli avantaj, bir BGYS'yi erkenden oluşturmanın, teknik borç birikmeden önce güvenlik kültürü oluşturmasıdır.
ISO 27001 ile ISO 27002 arasındaki fark nedir?
ISO 27001 sertifikasyon standardıdır; BGYS'nin gerekliliklerini tanımlar. ISO 27002 kılavuz standarttır; her Ek A kontrolü için ayrıntılı uygulama kılavuzu sağlar. ISO 27001'e göre sertifika veriyorsunuz ve kontrolleri uygularken referans olarak ISO 27002'yi kullanıyorsunuz. ISO 27001'i "ne" ve ISO 27002'yi "nasıl" olarak düşünün.
Sırada Ne Var
ISO 27001, duvarınızdaki bir sertifikadan daha fazlasıdır; güvenliğin sürekli iyileştirilmesini sağlayan bir yönetim sistemidir. Düzenli denetimler ve yönetim incelemeleriyle birleştirilen risk yönetimine yönelik yapılandırılmış yaklaşım, gelişen tehditlere ve düzenleyici gereksinimlere uyum sağlayabilen, güvenlik açısından olgun bir organizasyon oluşturur.
ECOSIRE, teknoloji şirketlerinin ISO 27001 uyumlu bilgi güvenliği yönetim sistemlerini tasarlamalarına ve uygulamalarına yardımcı olur. Odoo ERP uygulamalarımız yerleşik erişim kontrollerini, denetim yollarını ve Ek A gereksinimlerine uygun değişiklik yönetimi iş akışlarını içerir. Yapay zeka destekli güvenlik izleme ve risk değerlendirmesi için OpenClaw AI platformumuzu keşfedin. ISO 27001 yolculuğunuza başlamak için Bize ulaşın.
ECOSIRE tarafından yayınlandı — işletmelerin Odoo ERP, Shopify eCommerce ve OpenClaw AI genelinde yapay zeka destekli çözümlerle ölçeklenmesine yardımcı oluyor.
Yazan
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE ile İşinizi Büyütün
ERP, e-Ticaret, yapay zeka, analitik ve otomasyon genelinde kurumsal çözümler.
İlgili Makaleler
E-ticaret için Yapay Zeka Dolandırıcılık Tespiti: Satışları Engellemeden Geliri Koruyun
Sahte pozitif oranları %2'nin altında tutarken, sahtekarlık işlemlerinin %95'ten fazlasını yakalayan yapay zeka sahtekarlık tespitini uygulayın. Makine öğrenimi puanlaması, davranış analizi ve yatırım getirisi kılavuzu.
Kimya Endüstrisi için ERP: Güvenlik, Uyumluluk ve Toplu İşleme
ERP sistemleri kimya şirketleri için SDS belgelerini, REACH ve GHS uyumluluğunu, toplu işlemeyi, kalite kontrolü, tehlikeli madde sevkıyatını ve formül yönetimini nasıl yönetir?
İthalat/İhracat Ticareti için ERP: Çoklu Para Birimi, Lojistik ve Uyumluluk
ERP sistemleri, ticari şirketler için akreditif mektuplarını, gümrük belgelerini, incoterms'i, çok para birimli P&L'yi, konteyner takibini ve görev hesaplamasını nasıl ele alıyor?
Compliance & Regulation serisinden daha fazlası
E-ticaret için Siber Güvenlik: 2026'da İşletmenizi Koruyun
2026 için eksiksiz e-ticaret siber güvenlik kılavuzu. PCI DSS 4.0, WAF kurulumu, bot koruması, ödeme sahtekarlığını önleme, güvenlik başlıkları ve olaylara müdahale.
Kimya Endüstrisi için ERP: Güvenlik, Uyumluluk ve Toplu İşleme
ERP sistemleri kimya şirketleri için SDS belgelerini, REACH ve GHS uyumluluğunu, toplu işlemeyi, kalite kontrolü, tehlikeli madde sevkıyatını ve formül yönetimini nasıl yönetir?
İthalat/İhracat Ticareti için ERP: Çoklu Para Birimi, Lojistik ve Uyumluluk
ERP sistemleri, ticari şirketler için akreditif mektuplarını, gümrük belgelerini, incoterms'i, çok para birimli P&L'yi, konteyner takibini ve görev hesaplamasını nasıl ele alıyor?
ERP ile Sürdürülebilirlik ve ÇSY Raporlaması: Uyumluluk Kılavuzu 2026
2026'da ESG raporlama uyumluluğunu ERP sistemleriyle yönlendirin. CSRD, GRI, SASB, Kapsam 1/2/3 emisyonlarını, karbon takibini ve Odoo sürdürülebilirliğini kapsar.
Denetim Hazırlığı Kontrol Listesi: Kitaplarınızı Hazırlamak
Mali tabloların hazırlığı, destekleyici belgeler, iç kontrol belgeleri, denetçi PBC listeleri ve ortak denetim bulgularını kapsayan eksiksiz denetim hazırlık kontrol listesi.
E-Ticaret İşletmeleri için Avustralya GST Kılavuzu
ATO kaydını, 75.000 $ eşiğini, düşük değerli ithalatı, BAS ödemesini ve dijital hizmetler için GST'yi kapsayan e-Ticaret işletmeleri için eksiksiz Avustralya GST kılavuzu.