Compliance & Regulation serimizin bir parçası
Tam kılavuzu okuyunISO 27001 sertifikası bilgi güvenliği için küresel güven dili haline geldi. 2025 yılında, dünya çapında ISO 27001 sertifikalı kuruluşların sayısı 70.000'i aştı; bu, 2023'e kıyasla %25'lik bir artış anlamına geliyor. Özellikle Avrupa, Asya ve devlet sektörlerindeki kurumsal pazarlara satış yapan teknoloji şirketleri için, ISO 27001 genellikle tartışılamaz bir gerekliliktir.
SOC2'nin (çoğunlukla bir Kuzey Amerika standardı olan) aksine, ISO 27001 hemen hemen her ülkede tanınmaktadır. İnsanları, süreçleri ve teknolojiyi kapsayan bir Bilgi Güvenliği Yönetim Sistemi (ISMS) aracılığıyla bilgi güvenliği risklerini yönetmek için sistematik bir çerçeve sağlar.
Önemli Çıkarımlar
- ISO 27001, tanımlanmış kapsamı, risk değerlendirme metodolojisi ve sürekli iyileştirme döngüsü olan resmi bir BGYS gerektirir
- 2022 revizyonu, Ek A kontrollerinin sayısını 114'ten 93'e düşürdü ve bunları dört tema halinde düzenledi: organizasyonel, kişiler, fiziksel ve teknolojik
- Sertifikasyon, akredite bir denetim organı gerektirir ve iki aşamayı içerir: dokümantasyonun incelenmesi ve operasyonel değerlendirme
- ISO 27001, SOC2 ile %60-70 oranında kontrol örtüşmesini paylaşarak çift sertifikasyonun oldukça verimli olmasını sağlar
BGYS Çerçevesini Anlamak
Bilgi Güvenliği Yönetim Sistemi bir ürün veya araç değildir; kuruluşunuzun bilgi güvenliği risklerini nasıl tanımladığını, değerlendirdiğini ve ele aldığını yöneten bir yönetim çerçevesidir.
BGYS Temel Bileşenleri
BGYS Planla-Uygula-Kontrol Et-Önlem Al (PDCA) döngüsünü takip eder:
Plan. BGYS kapsamını tanımlayın, güvenlik politikasını oluşturun, risk değerlendirmesi yapın, kontrolleri seçin ve Uygulanabilirlik Bildirimini (SoA) hazırlayın.
Yap. Kontrolleri uygulayın, risk iyileştirme planını yürütün, eğitim verin ve operasyonları yönetin.
Kontrol edin. Kontrolleri izleyin ve ölçün, iç denetimler gerçekleştirin, yönetim incelemeleri gerçekleştirin ve olayları takip edin.
Harekete geçin Düzeltici eylemler gerçekleştirin, iyileştirmeler uygulayın, risk değerlendirmelerini güncelleyin ve öğrenilen derslere göre BGYS'yi iyileştirin.
ISO 27001 Maddeleri (Zorunlu Gereksinimler)
| Madde | Başlık | Ne Gerektirir |
|---|---|---|
| 4 | Organizasyonun İçeriği | Kapsamı, ilgili tarafları ve iç/dış sorunları tanımlayın |
| 5 | Liderlik | Yönetim taahhüdü, güvenlik politikası, organizasyonel roller |
| 6 | Planlama | Risk değerlendirme metodolojisi, risk iyileştirme planı, güvenlik hedefleri |
| 7 | Destek | Kaynaklar, yeterlilik, farkındalık, iletişim, belgelenmiş bilgi |
| 8 | Operasyon | Operasyonel planlama, risk değerlendirmesinin uygulanması, risk tedavisi |
| 9 | Performans değerlendirmesi | İzleme, iç denetim, yönetimin gözden geçirilmesi |
| 10 | İyileştirme | Uygunsuzlukların ele alınması, düzeltici faaliyet, sürekli iyileştirme |
Bu maddeler zorunludur; hiçbirini hariç tutamazsınız. Bunlar yönetim sisteminin kendisini tanımlarken Ek A, arasından seçeceğiniz kontrol kataloğunu sağlar.
Ek A Kontroller: 2022 Revizyonu
ISO 27001'in (ISO 27001:2022) 2022 revizyonu, kontrol kataloğunu 114 kontrol içeren 14 alandan 93 kontrol içeren 4 temaya kadar yeniden düzenledi. Kontroller birleştirildi, modern tehditlere göre güncellendi ve 11 yeni kontrol eklendi.
ISO 27001 Anahtar Kontrollü Etki Alanları
| Tema | # Kontroller | Tuş Kontrolleri |
|---|---|---|
| Kurumsal (37) | 37 | Bilgi güvenliği politikaları, roller ve sorumluluklar, tehdit istihbaratı, varlık yönetimi, erişim kontrol politikası, tedarikçi ilişkileri, olay yönetimi, iş sürekliliği, yasal uyumluluk |
| İnsanlar (8) | 8 | Tarama, istihdam şartları, güvenlik bilinci/eğitimi, disiplin süreci, işten çıkarılma sonrası sorumluluklar, gizlilik anlaşmaları, uzaktan çalışma, bilgi güvenliği olay raporlaması |
| Fiziksel (14) | 14 | Fiziksel güvenlik çevresi, fiziksel giriş kontrolleri, ofislerin/tesislerin güvenliğinin sağlanması, izleme, ekipman koruması, güvenli imha, temiz masa/ekran, kablolama güvenliği, ekipman bakımı |
| Teknolojik (34) | 34 | Uç nokta cihazları, ayrıcalıklı erişim, erişim kısıtlama, güvenli kimlik doğrulama, kapasite yönetimi, kötü amaçlı yazılımlara karşı koruma, güvenlik açığı yönetimi, konfigürasyon yönetimi, veri silme, veri maskeleme, DLP, izleme, ağ güvenliği, web filtreleme, kriptografi, güvenli geliştirme, test güvenliği, değişiklik yönetimi, ortamların ayrılması |
2022'de Yeni Kontroller
| Yeni Kontrol | Açıklama | Neden Eklendi |
|---|---|---|
| A.5.7 | Tehdit istihbaratı | Proaktif tehdit tespiti |
| A.5.23 | Bulut hizmetleri güvenliği | Bulutu benimseme yaygınlığı |
| A.5.30 | iş sürekliliği için BİT hazırlığı | BT'ye özel BC planlaması |
| A.7.4 | Fiziksel güvenlik izleme | CCTV ve fiziksel izleme |
| A.8.9 | Konfigürasyon yönetimi | Temel konfigürasyonlar |
| A.8.10 | Bilgi silme | Veri yaşam döngüsü yönetimi |
| A.8.11 | Veri maskeleme | Gizlilik koruması |
| A.8.12 | Veri sızıntısının önlenmesi | DLP araçları ve süreçleri |
| A.8.16 | İzleme faaliyetleri | Güvenlik izleme ve SIEM |
| A.8.23 | Web filtreleme | URL ve içerik filtreleme |
| A.8.28 | Güvenli kodlama | Güvenli geliştirme uygulamaları |
Risk Değerlendirme Metodolojisi
Risk değerlendirmesi, ISO 27001'in kalbidir. PCI-DSS gibi kuralcı çerçevelerin aksine, ISO 27001, kendi risk değerlendirme metodolojinizi tanımlamanıza ve özel risk profilinize göre kontrolleri seçmenize olanak tanır.
Risk Değerlendirme Sürecinizi Oluşturma
1. Adım: Varlık tanımlama. Tüm bilgi varlıklarının envanterini çıkarın: veriler, sistemler, uygulamalar, insanlar, altyapı ve üçüncü taraf hizmetleri.
2. Adım: Tehdit belirleme. Her varlık için potansiyel tehditleri tanımlayın: siber saldırılar, içeriden gelen tehditler, doğal afetler, sistem arızaları, insan hatası, tedarikçi hataları.
3. Adım: Güvenlik açığı değerlendirmesi. Tehditlerin yararlanabileceği zayıf yönleri belirleyin: yama yapılmamış yazılım, zayıf kimlik doğrulama, şifreleme eksikliği, yetersiz eğitim.
4. Adım: Risk değerlendirmesi. Tanımladığınız metodolojiyi kullanarak riski hesaplayın. Ortak bir yaklaşım:
| Olasılık | Etki: Düşük (1) | Etki: Orta (2) | Etki: Yüksek (3) | Etki: Kritik (4) |
|---|---|---|---|---|
| Nadir (1) | 1 - Kabul Et | 2 - Kabul Et | 3 - Monitör | 4 - Monitör |
| Olasılıksız (2) | 2 - Kabul Et | 4 - Monitör | 6 - Tedavi | 8 - Tedavi |
| Mümkün (3) | 3 - Monitör | 6 - Tedavi | 9 - Tedavi | 12 - Acilen tedavi edin |
| Muhtemelen (4) | 4 - Monitör | 8 - Tedavi | 12 - Acilen tedavi edin | 16 - Acilen tedavi edin |
5. Adım: Riskin işlenmesi. Kabul edilebilir eşiğinizin üzerindeki her risk için bir tedavi seçin: hafifletin (kontrolleri uygulayın), aktarın (sigorta, dış kaynak kullanımı), kaçının (faaliyeti durdurun) veya kabul edin (belgelenmiş gerekçeyle).
6. Adım: Her şeyi belgeleyin. Risk kaydınız, risk değerlendirme metodolojiniz, risk işleme planınız ve kalan risk kabulünüzün tümü düzenli olarak belgelenmeli ve gözden geçirilmelidir.
Uygulanabilirlik Beyanı (SoA)
Uygulanabilirlik Beyanı en önemli ISO 27001 belgelerinden biridir. 93 Ek A kontrolünün tamamını listeler, her birinin geçerli veya hariç tutulup tutulmadığını belirtir ve hariç tutmaların gerekçelerini sunar.
Etkili Bir SoA Oluşturma
Her Ek A kontrolü için aşağıdakileri belgeleyin:
- Kontrol referansı ve başlığı (ör. A.8.5 Güvenli kimlik doğrulama)
- Geçerli veya hariç hariç tutma gerekçesi ile birlikte
- Uygulama durumu (uygulandı, kısmen uygulandı, planlanıyor)
- Uygulama açıklaması (kontrolün kuruluşunuzda nasıl uygulandığı)
- Destekleyici belgelere referans (politikalar, prosedürler, teknik yapılandırmalar)
Teknoloji Şirketleri için Yaygın İstisnalar
- Fiziksel güvenlik çevresi (A.7.1-7.2): Tamamen uzak/bulut tabanlıysanız ve fiziksel bir ofisiniz yoksa bazı fiziksel kontroller geçerli olmayabilir. Ancak yine de uç nokta güvenliğini ve uzaktan çalışma kontrollerini ele almanız gerekir.
- Ekipman bakımı (A.7.13): Tüm altyapı bulut tabanlıysa (AWS, GCP, Azure), fiziksel ekipmanın bakımı bulut sağlayıcının sorumluluğundadır. Bunu devralınan bir kontrol olarak belgeleyin.
- Kablolama güvenliği (A.7.12): Benzer şekilde, yalnızca bulut kullanan şirketler fiziksel kablolama kontrollerini hariç tutabilir ancak ağ güvenliği kontrolleri geçerli olmaya devam eder.
Denetçiler istisnaları dikkatle inceleyeceklerdir. Yalnızca bağlamınız için gerçekten geçerli olmayan kontrolleri hariç tutun ve her zaman açık gerekçeleri belgeleyin.
Sertifikasyon Süreci
ISO 27001 belgelendirmesi akredite bir belgelendirme kuruluşu tarafından denetim yapılmasını gerektirir. Süreç iki aşamayı içermektedir.
1. Aşama Denetimi: Dokümantasyon İncelemesi
Aşama 1 denetimi, BGYS belgelerinizin masa başında incelenmesidir:
- BGYS kapsam tanımı
- Bilgi güvenliği politikası
- Risk değerlendirme metodolojisi ve sonuçları
- Risk tedavi planı
- Uygulanabilirlik Beyanı
- İç denetim raporları
- Yönetim inceleme tutanakları
Denetçi belgelerinizin eksiksiz olup olmadığını ve BGYS'nizin uygun şekilde tasarlanıp tasarlanmadığını değerlendirir. Aşama 2'den önce ele alınması gereken önemli boşlukları belirleyecekler.
Zaman çizelgesi: Genellikle yerinde veya uzaktan 1-2 gün. Sonuçlar 1-2 hafta içinde elde edilir.
2. Aşama Denetimi: Operasyonel Değerlendirme
Aşama 2 denetimi, BGYS'nizin etkili bir şekilde çalışıp çalışmadığını değerlendirir:
- Farkındalığı ve uygulamayı doğrulamak için süreç sahipleri ve personelle röportajlar
- Kontrollerin belgelendiği gibi çalıştığını doğrulamak için kanıt örneklemesi
- Güvenlik yapılandırmalarının, erişim kontrollerinin ve izlemenin teknik doğrulaması
- Operasyonel süreçlerin gözlemlenmesi (olay yönetimi, değişiklik yönetimi)
- Kontrollerin eksik, etkisiz veya belgelenmemiş olduğu durumlarda uygunsuzlukların tespiti
Zaman çizelgesi: Kuruluşun büyüklüğüne bağlı olarak 3-10 gün. Uygunsuzlukların 90 gün içerisinde giderilmesi gerekmektedir.
Sertifikasyondan Sonra
ISO 27001 sertifikası, 1. ve 2. yıllardaki gözetim denetimleriyle birlikte üç yıl geçerlidir:
| Yıl | Denetim Türü | Kapsam | Süre |
|---|---|---|---|
| Yıl 0 | Sertifikasyon (Aşama 1 + 2) | Tam BGYS | 4-12 gün |
| Yıl 1 | Gözetim | Seçilen kontroller + büyük değişiklikler | 2-4 gün |
| Yıl 2 | Gözetim | Seçilen kontroller + kalan alanlar | 2-4 gün |
| 3. Yıl | Yeniden Sertifikalandırma | Tam BGYS (mini Aşama 1 + 2) | 3-8 gün |
ISO 27001 ve SOC2: Sinerji Oluşturmak
Her iki sertifikaya da ihtiyaç duyan şirketler için kontrol örtüşmesi önemlidir. Öncelikle ISO 27001'i uygulamak size SOC2'de %60-70 oranında avantaj sağlar ve bunun tersi de geçerlidir.
Örtüşen Alanlar
| ISO 27001 Kontrolü | SOC2 Kriterleri | Paylaşılan Gereksinim |
|---|---|---|
| A.5.1 Bilgi güvenliğine ilişkin politikalar | CC1.1 COSO İlke 1 | Güvenlik politikası belgeleri |
| A.5.15-5.18 Erişim kontrolü | CC6.1-CC6.3 | Erişim yönetimi, MFA, en az ayrıcalık |
| A.5.24-5.28 Olay yönetimi | CC7.3-CC7.5 | Olay tespiti, müdahale, iletişim |
| A.6.1-6.5 İnsan kontrolleri | CC1.4 | Geçmiş kontrolleri, eğitim, işten çıkarma |
| A.8.8 Güvenlik açığı yönetimi | CC7.1 | Güvenlik açığı taraması, yama uygulama |
| A.8.25-8.27 Güvenli geliştirme | CC8.1 | Değişiklik yönetimi, kod incelemesi, test etme |
| A.5.29-5.30 İş sürekliliği | A1.1-A1.3 | DR planlama, yedekleme, kurtarma testi |
Ayrıntılı SOC2 kılavuzu için SOC2 Tip II hazırlık kılavuzumuza bakın. Daha geniş uyumluluk kapsamı için kurumsal uyumluluk el kitabımıza bakın.
Sıkça Sorulan Sorular
ISO 27001 sertifikası ne kadar sürer?
Karar aşamasından sertifikasyon aşamasına kadar ilk uygulama için 12-18 ay beklenmelidir. Buna, boşluk analizi ve planlaması için 3-4 ay, kontrol uygulaması ve belgeleme için 4-6 ay, BGYS'nin çalışması için 2-3 ay (kanıt oluşturma) ve iç denetim, yönetim incelemesi ve dış sertifika denetimi için 2-3 ay dahildir.
ISO 27001 sertifikasyonunun maliyeti nedir?
Toplam ilk yıl maliyetleri, şirketin büyüklüğüne, karmaşıklığına ve danışman kullanıp kullanmadığınıza bağlı olarak genellikle 40.000 ila 400.000 ABD Doları arasında değişir. Temel maliyet bileşenleri arasında danışmanlık (15.000 - 100.000 ABD Doları), denetim ücretleri (8.000 - 50.000 ABD Doları), takımlar (5.000 - 30.000 ABD Doları/yıl) ve dahili işçilik (en büyük değişken) yer almaktadır. Yıllık bakım maliyetleri (gözetim denetimleri, alet lisansları, eğitim) genellikle ilk yıl yatırımının %30-40'ını oluşturur.
ISO 27001 kanunen gerekli midir?
ISO 27001 çoğu yargı bölgesinde yasal olarak zorunlu değildir. Bununla birlikte, çeşitli bağlamlarda etkin bir şekilde zorunludur: birçok devlet satın alma süreci bunu gerektirir, kurumsal müşteriler bunu satıcı gereksinimlerine dahil eder ve bazı endüstri düzenlemeleri (AB'de NIS2, Avustralya'da APRA CPS 234) tanınmış bir çerçeve olarak ISO 27001'e atıfta bulunur. Uygulamada, piyasa baskısı çoğu zaman bunu bir iş zorunluluğu haline getiriyor.
Küçük bir startup ISO 27001 sertifikası alabilir mi?
Evet. ISO 27001 her büyüklükteki kuruluşa ölçeklenebilir. BGYS kapsamı operasyonlarınıza göre özelleştirilebilir ve risk bazlı yaklaşım, kontrollerin risk profilinizle orantılı olduğu anlamına gelir. Basit altyapıya sahip küçük şirketler sertifikasyonu 9-12 ayda tamamlayabiliyor. Yeni başlayanlar için en önemli avantaj, bir BGYS'yi erkenden oluşturmanın, teknik borç birikmeden önce güvenlik kültürü oluşturmasıdır.
ISO 27001 ile ISO 27002 arasındaki fark nedir?
ISO 27001 sertifikasyon standardıdır; BGYS'nin gerekliliklerini tanımlar. ISO 27002 kılavuz standarttır; her Ek A kontrolü için ayrıntılı uygulama kılavuzu sağlar. ISO 27001'e göre sertifika veriyorsunuz ve kontrolleri uygularken referans olarak ISO 27002'yi kullanıyorsunuz. ISO 27001'i "ne" ve ISO 27002'yi "nasıl" olarak düşünün.
Sırada Ne Var
ISO 27001, duvarınızdaki bir sertifikadan daha fazlasıdır; güvenliğin sürekli iyileştirilmesini sağlayan bir yönetim sistemidir. Düzenli denetimler ve yönetim incelemeleriyle birleştirilen risk yönetimine yönelik yapılandırılmış yaklaşım, gelişen tehditlere ve düzenleyici gereksinimlere uyum sağlayabilen, güvenlik açısından olgun bir organizasyon oluşturur.
ECOSIRE, teknoloji şirketlerinin ISO 27001 uyumlu bilgi güvenliği yönetim sistemlerini tasarlamalarına ve uygulamalarına yardımcı olur. Odoo ERP uygulamalarımız yerleşik erişim kontrollerini, denetim yollarını ve Ek A gereksinimlerine uygun değişiklik yönetimi iş akışlarını içerir. Yapay zeka destekli güvenlik izleme ve risk değerlendirmesi için OpenClaw AI platformumuzu keşfedin. ISO 27001 yolculuğunuza başlamak için Bize ulaşın.
ECOSIRE tarafından yayınlandı — işletmelerin Odoo ERP, Shopify eCommerce ve OpenClaw AI genelinde yapay zeka destekli çözümlerle ölçeklenmesine yardımcı oluyor.
Yazan
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE ile İşinizi Büyütün
ERP, e-Ticaret, yapay zeka, analitik ve otomasyon genelinde kurumsal çözümler.
İlgili Makaleler
BMF Programmablaufplan Lohnsteuer 2026: Almanya'nın Resmi Ücret-Vergi Hesaplamasının Uygulanması (XML, API, Odoo)
BMF Programmablaufplan Lohnsteuer 2026 için geliştirici kılavuzu: PAP nedir, XML sözde kod formatı, resmi test hizmeti ve Odoo maaş bordrosuna eşleme.
Giyim ve Moda Markaları için ERP: Beden-Renk Matrisi, Sezon Planlaması ve Uyumluluk (2026 Kılavuzu)
Moda ve giyim markaları 2026'da ERP'yi nasıl seçiyor: beden-renk matrisi çeşitleri, sezon planlaması, GoBD ve DATEV uyumluluğu, tedarikçi karşılaştırması ve maliyetler.
ERPNext İK ve 2026'da Bordro: Kurulum, Maaş Yapıları ve Çok Ülkeli Uyumluluk
2026 için adım adım ERPNext HR ve bordro kurulumu: HRMS uygulamasının kurulumu, maaş yapıları, bordro girişi işlemleri, gelir vergisi dilimleri, çok ülkeli uyumluluk.
Compliance & Regulation serisinden daha fazlası
BMF Programmablaufplan Lohnsteuer 2026: Almanya'nın Resmi Ücret-Vergi Hesaplamasının Uygulanması (XML, API, Odoo)
BMF Programmablaufplan Lohnsteuer 2026 için geliştirici kılavuzu: PAP nedir, XML sözde kod formatı, resmi test hizmeti ve Odoo maaş bordrosuna eşleme.
Giyim ve Moda Markaları için ERP: Beden-Renk Matrisi, Sezon Planlaması ve Uyumluluk (2026 Kılavuzu)
Moda ve giyim markaları 2026'da ERP'yi nasıl seçiyor: beden-renk matrisi çeşitleri, sezon planlaması, GoBD ve DATEV uyumluluğu, tedarikçi karşılaştırması ve maliyetler.
ERPNext İK ve 2026'da Bordro: Kurulum, Maaş Yapıları ve Çok Ülkeli Uyumluluk
2026 için adım adım ERPNext HR ve bordro kurulumu: HRMS uygulamasının kurulumu, maaş yapıları, bordro girişi işlemleri, gelir vergisi dilimleri, çok ülkeli uyumluluk.
2026'da GoHighLevel A2P 10DLC Uyumluluğu: Kayıt, Ücretler ve Engellenen SMS'leri Düzeltme
2026 için GoHighLevel A2P 10DLC kılavuzunu tamamlayın: marka ve kampanya kayıt adımları, operatör ücretleri, yaygın ret nedenleri ve filtrelenmiş SMS'lerin nasıl düzeltileceği.
ERP Sistemleri için GxP Doğrulaması: 2026 Doğrulama RFP'nizin Gerektirmesi Gerekenler (CSV, IQ/OQ/PQ, Denetim Yolları)
Bir GxP ERP doğrulama RFP'sinin 2026'da gerektirmesi gerekenler: CSV ve CSA kapsamı, 21 CFR Bölüm 11, AB Annex 11, IQ/OQ/PQ çıktıları, denetim izleri ve GAMP 5 riski.
OpenClaw Güvenlik Modeli, Veri Yerleşimi, SOC 2 ve ISO 27001
OpenClaw güvenlik mimarisi: kiracı izolasyonu, şifreleme, gizli yönetim, denetim günlükleri, veri yerleşimi, SOC 2, ISO 27001, GDPR, HIPAA uygunluğu.