info@iso27001danismanlik.com

Ücretsiz Ön Çalışma +90 533 370 01 43

Hemen Ara

ISO 27001 Nedir? 2026 BGYS Rehberi ve Belgelendirme Süreci

ISO 27001 Nedir? 2026 BGYS Rehberi ve Belgelendirme Süreci

İSO27001 Danışmanlık

ISO 27001 Nedir? Bilgi Güvenliği Yönetim Sistemi Hakkında Bilmeniz Gereken Her Şey (2026 Rehberi)

Günümüzün dijital ekonomisinde bilgi, bir kurumun sahip olabileceği en değerli varlıktır. Ancak bu varlık, her geçen gün karmaşıklaşan siber tehditler, veri ihlalleri ve yasal düzenlemelerle karşı karşıyadır. İşte bu noktada ISO 27001, kurumlara verilerini korumak için uluslararası düzeyde kabul görmüş, sistematik ve sürdürülebilir bir zırh sunar.

Bu dev rehberde, “ISO 27001 nedir?” sorusundan başlayarak, belgelendirme süreçlerine, 2022 revizyonunun getirdiği yeniliklere ve işletmeniz için neden hayati bir önem taşıdığına dair tüm teknik detayları inceleyeceğiz.

1. ISO 27001 Standart Tanımı: Bir Sertifikadan Fazlası

ISO/IEC 27001, Bilgi Güvenliği Yönetim Sistemi (BGYS – ISMS) için gereksinimleri belirleyen yegane uluslararası standarttır. İlk olarak 2005 yılında yayınlanmış, 2013 ve son olarak 2022 yıllarında güncellenmiştir.

ISO 27001, sadece bir BT (Bilgi İşlem) standardı değildir. O; insanlar, süreçler ve teknoloji arasındaki dengeyi kuran bir yönetim modelidir. Bir kurumun finansal verilerini, fikri mülkiyetini, personel bilgilerini ve üçüncü şahıslardan emanet alınan tüm verileri korumak için tasarlanmıştır.

Bilgi Güvenliğinin Üç Temel Bileşeni: CIA Üçlüsü

Google botlarının ve güvenlik uzmanlarının temel aldığı bu üç kavram, ISO 27001’in ruhunu oluşturur:

  • Gizlilik (Confidentiality): Bilginin sadece görmeye yetkili kişilerce erişilebilir olduğundan emin olmak. (Örn: Maaş bilgilerinin sadece İK tarafından görülmesi.)
  • Bütünlük (Integrity): Bilginin tam, doğru ve yetkisiz müdahalelerden korunmuş olması. (Örn: Banka bakiyesinin izinsiz değiştirilememesi.)
  • Erişilebilirlik (Availability): Yetkili kullanıcıların ihtiyaç duydukları anda bilgiye ve sistemlere sorunsuz ulaşabilmesi. (Örn: Web sitesinin siber saldırı altında bile çalışması.)

2. ISO 27001:2022 Revizyonu: Neler Değişti?

Eski 2013 versiyonuna göre yapılan 2022 güncellemesi, modern siber güvenlik ihtiyaçlarını merkeze almıştır. Bir içerik editörü olarak, bu bölümün “Featured Snippet” adayı olduğunu belirtmeliyim.

Yenilenen Annex A (Ek-A) Yapısı

Eskiden 14 bölümde toplanan 114 kontrol, artık 4 ana tema altında 93 kontrol olarak sadeleştirilmiştir:

  1. Organizasyonel Kontroller (37): Bilgi güvenliği politikaları, varlık yönetimi ve roller.
  2. Personel Kontrolleri (8): İşe alım, eğitim ve gizlilik sözleşmeleri.
  3. Fiziksel Kontroller (14): Ofis güvenliği, cihaz koruma ve giriş çıkışlar.
  4. Teknolojik Kontroller (34): Veri maskeleme, bulut güvenliği ve sızma testleri.
Yeni Eklenen Kritik KontrollerTanımı
Tehdit İstihbaratıSaldırganların yöntemlerini takip ederek proaktif savunma yapma.
Bulut Hizmetleri GüvenliğiVerilerin bulut sağlayıcılarda nasıl korunduğunun yönetimi.
Veri MaskelemeHassas verilerin gizlenerek sadece gerekli kısmının gösterilmesi.
İzleme FaaliyetleriSistemlerdeki şüpheli hareketlerin anlık olarak takibi.

3. ISO 27001 Belgelendirme Süreci Adım Adım

Profesyonel bir ISO 27001 danışmanlık hizmeti, süreci bir yük olmaktan çıkarıp verimli bir dönüşüme çevirir. İşte o 7 kritik adım:

3.1. GAP Analizi (Mevcut Durum Tespiti)

Sistemi kurmaya başlamadan önce, nerede olduğunuzu bilmeniz gerekir. Mevcut güvenlik önlemleri ile standart arasındaki uçurum belirlenir. Bu, bütçe ve zaman planlaması için temeldir.

3.2. BGYS Kapsamının Belirlenmesi

Sertifika tüm şirketi mi kapsayacak yoksa sadece bir lokasyonu veya departmanı mı? Kapsamın doğru çizilmesi, denetimden başarıyla geçmek için hayati önem taşır.

3.3. Risk Analizi ve Risk İyileştirme

ISO 27001 bir Risk Odaklı yaklaşımdır.

  • Varlıklarınızı tanımlayın: Veri, donanım, personel.
  • Tehditleri puanlayın: Siber saldırı, yangın, insan hatası.
  • Aksiyon planı oluşturun: Riski azaltın, transfer edin veya kabul edin.

3.4. Uygulanabilirlik Bildirgesi (SoA)

“Statement of Applicability” (SoA), belgelendirme sürecinin en önemli dökümanıdır. Ek-A’daki kontrollerden hangilerini uyguladığınızı ve hangilerini (nedenleriyle) dışarıda bıraktığınızı burada beyan edersiniz.

3.5. Dokümantasyon ve Uygulama

Prosedürler, politikalar ve talimatlar yazılır. Ancak unutmayın; Google ve denetçiler “ölü dökümanları” değil, yaşayan sistemleri sever. Yazdığınız her şeyin sahada bir karşılığı olmalıdır.

3.6. İç Denetim ve YGG

Kendi sisteminizi tarafsız bir gözle (veya bir danışmanla) denetleyin. Eksiklikleri giderin ve yönetimin gözden geçirmesi (YGG) toplantısı ile sistemi resmiyet kazandırın.

3.7. Sertifika Denetimi

Akredite bir kuruluş tarafından 2 aşamalı denetim yapılır. Başarıyla tamamlandığında artık uluslararası geçerliliğe sahip bir ISO 27001 Belgesi sahibisinizdir.

4. Neden ISO 27001 Almalısınız? (Stratejik Avantajlar)

Bir SEO editörü olarak, bu bölümün “Neden” sorusuna arama yapan karar vericiler için kritik olduğunu biliyorum.

  1. Yasal Uyum ve KVKK: ISO 27001, Türkiye’deki Kişisel Verilerin Korunması Kanunu (KVKK) gerekliliklerini teknik ve idari olarak %80 oranında karşılar.
  2. Küresel İtibar: “Verinize sahip çıkıyoruz” mesajını uluslararası bir mühürle verirsiniz.
  3. Maliyet Tasarrufu: Bir veri sızıntısının maliyeti, bir ISO 27001 projesinin maliyetinden kat kat fazladır.
  4. İhale ve İş Ortaklıkları: Özellikle bilişim, enerji ve savunma sektörlerinde ISO 27001 artık bir tercih değil, “katılım şartı”dır.

5. Sıkça Sorulan Sorular (SSS – SEO Snippet Odaklı)

ISO 27001 Sertifikası kaç yıl geçerlidir?

Sertifika 3 yıl süreyle verilir. Belgenin geçerliliğini koruması için her yıl düzenli olarak “Gözetim Denetimi” yapılması şarttır.

Belgelendirme maliyeti ne kadar?

Maliyet; personel sayısı, lokasyon sayısı ve IT altyapısının karmaşıklığına göre değişir. Net bir teklif için mutlaka bir ön analiz (Gap Analizi) yapılmalıdır.

ISO 27001 zorunlu mu?

Bazı sektörler için (EPDK lisanslı firmalar, e-fatura entegratörleri, gümrük firmaları vb.) yasal zorunluluktur. Diğer firmalar için ise pazar güvenilirliği açısından stratejik bir tercihtir.

6. Editörün Son Notu: Veri Güvenliği Bir Proje Değil, Bir Süreçtir

ISO 27001, sadece belgeyi alana kadar süren bir çalışma değildir. O, kurumunuzun DNA’sına işlenmesi gereken bir güvenlik kültürüdür. Uzman bir danışmanlık hizmeti alarak bu yolculuğa çıkmak, sizi sadece sertifika sahibi yapmaz; aynı zamanda işletmenizi siber tehditlere karşı “dayanıklı” (resilient) bir yapıya kavuşturur.

Bilgi güvenliğiniz şansa bırakılamayacak kadar değerlidir.

İSO27001 BELGELENDİRME

, , , , , ,