info@iso27001danismanlik.com

Ücretsiz Ön Çalışma +90 533 370 01 43

Hemen Ara

ISO 27001 Nedir? Kapsamlı Belgelendirme ve BGYS Rehberi

ISO-27001-Destek-Rehberi-Kaynaklar-Yeterlilik-ve-Yazili-Bilgi-Kontrolu

ISO 27001 Nedir? Kapsamlı Belgelendirme ve BGYS Rehberi

İSO27001 Danışmanlık

Kapsamlı Rehber: ISO 27001 Nedir ve ISO 27001 Belgelendirme Süreci Nasıl İşler?

Dijital dönüşümün iş dünyasının merkezine yerleştiği günümüzde, bilginin değeri hiç olmadığı kadar artmıştır. Kurumların sahip olduğu finansal veriler, müşteri bilgileri, ticari sırlar ve fikri mülkiyetler; siber saldırılar, veri sızıntıları ve yetkisiz erişimler gibi sayısız tehditle karşı karşıyadır. İşte bu noktada, kurumsal bilgi varlıklarını korumanın, yönetmenin ve sürekli iyileştirmenin en güvenilir ve evrensel olarak kabul görmüş yolu devreye girmektedir. Bu makalede, bilgi güvenliği yönetiminin uluslararası standardı olan iso 27001 nedir, kurumlara ne gibi stratejik avantajlar sağlar ve iso 27001 belgelendirme süreci adım adım nasıl işler konularını en ince ayrıntısına kadar profesyonel bir perspektifle inceleyeceğiz.

1. ISO 27001 Nedir? Bilgi Güvenliği Yönetim Sisteminin Temelleri

Uluslararası Standardizasyon Örgütü (ISO) ve Uluslararası Elektroteknik Komisyonu (IEC) tarafından ortaklaşa geliştirilen ISO/IEC 27001, kurumlarda Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için gereksinimleri belirleyen uluslararası bir standarttır.

Peki, tam olarak iso 27001 nedir? En temel tanımıyla ISO 27001, bir kurumun bilgi varlıklarını korumasına yardımcı olan, riske dayalı ve sistematik bir yaklaşımdır. Sadece bir bilgi teknolojileri (IT) standardı değil; insan, süreç ve teknoloji unsurlarını bütünleşik olarak ele alan kapsamlı bir yönetim modelidir.

ISO 27001, bilgi güvenliğini üç temel sacayağı üzerine inşa eder (CIA Triad):

  • Gizlilik (Confidentiality): Bilginin yalnızca yetkili kişiler, varlıklar veya süreçler tarafından erişilebilir olmasını sağlamaktır.
  • Bütünlük (Integrity): Bilginin ve işleme yöntemlerinin doğruluğunun ve eksiksizliğinin korunmasıdır. Bilginin yetkisiz olarak değiştirilememesi veya silinememesini ifade eder.
  • Erişilebilirlik (Availability): Yetkili kullanıcıların, ihtiyaç duydukları anda bilgiye ve ilgili varlıklara kesintisiz olarak erişebilmelerinin garanti altına alınmasıdır.

Bu standart, kurumlara “hangi güvenlik duvarını almalısınız” demez; bunun yerine “bilgi varlıklarınızı tanımlayın, bu varlıklara yönelik riskleri değerlendirin ve bu riskleri kabul edilebilir bir seviyeye indirmek için uygun kontrolleri seçip uygulayın” der.

2. ISO 27001 Belgelendirme Nedir ve Neden Alınmalıdır?

ISO 27001 belgelendirme, bağımsız ve akredite bir belgelendirme kuruluşu (üçüncü taraf) tarafından kurumun Bilgi Güvenliği Yönetim Sistemi’nin ISO 27001 standardının gereksinimlerini tam ve etkin bir şekilde karşıladığının denetlenmesi ve resmi olarak onaylanması sürecidir.

Neden ISO 27001 Belgelendirme Sürecine Girilmelidir?

Kurumların bu standardı benimsemesi ve belgelendirmesi için pek çok stratejik, operasyonel ve hukuki neden bulunmaktadır:

  1. Siber Tehditlere Karşı Güçlü Kalkan: Riske dayalı yaklaşımı sayesinde kurumlar, potansiyel güvenlik açıklarını önceden tespit eder ve gerekli önlemleri alarak siber saldırı, veri ihlali veya sistem kesintisi risklerini minimize eder.
  2. Yasal ve Mevzuat Uyumluluğu: Türkiye’de KVKK (Kişisel Verilerin Korunması Kanunu) ve Avrupa’da GDPR (Genel Veri Koruma Yönetmeliği) gibi veri gizliliği yasaları, kurumlara ciddi teknik ve idari tedbirler alma yükümlülüğü getirir. ISO 27001, bu yasal gereksinimlerin karşılanması için en sağlam çerçeveyi sunar.
  3. Rekabet Avantajı ve Kurumsal İtibar: B2B (Business to Business) ilişkilerde, müşteriler ve iş ortakları verilerini teslim edecekleri firmaların güvenilir olmasını ister. Iso 27001 belgelendirme sertifikasına sahip olmak, pazar payını artırmak ve güven inşa etmek için güçlü bir pazarlama ve itibar aracıdır.
  4. Tedarik Zinciri ve İhale Şartları: Günümüzde özellikle kamu ihalelerinde, finans, sağlık, savunma sanayii ve telekomünikasyon sektörlerindeki büyük projelerde ISO 27001 belgesine sahip olmak bir ön koşul (zorunluluk) haline gelmiştir.
  5. Finansal Kayıpların Önlenmesi: Bir veri ihlalinin maliyeti; yasal cezalar, kaybedilen müşteriler, marka değerindeki düşüş ve sistemlerin onarılma masrafları düşünüldüğünde devasa boyutlardadır. BGYS, proaktif yaklaşımıyla bu kayıpları önler.

3. ISO 27001 Standardının Yapısı ve Temel Maddeleri

ISO 27001, diğer modern ISO standartlarıyla (Örn: ISO 9001 Kalite Yönetim Sistemi) uyumlu çalışabilmesi için “Annex SL” (Yüksek Seviye Yapı) formatında hazırlanmıştır. Standardın ana maddeleri PDCA (Planla – Uygula – Kontrol Et – Önlem Al / PUKÖ) döngüsünü takip eder:

  • Madde 4 – Kuruluşun Bağlamı: Kurumun iç ve dış hususları belirlenir. İlgili tarafların (müşteriler, çalışanlar, tedarikçiler, devlet vb.) bilgi güvenliği beklentileri ve BGYS’nin kapsamı net bir şekilde tanımlanır.
  • Madde 5 – Liderlik: Üst yönetimin bilgi güvenliğine olan bağlılığını göstermesi şarttır. Bilgi güvenliği politikası oluşturulmalı ve roller, sorumluluklar ile yetkiler net bir şekilde dağıtılmalıdır. Yönetim desteği olmadan bir BGYS projesinin başarılı olması imkansızdır.
  • Madde 6 – Planlama: Bilgi güvenliği risklerinin ve fırsatlarının belirlenmesi aşamasıdır. Riske dayalı yaklaşımın kalbi buradadır. Risk değerlendirme metodolojisi seçilir, riskler hesaplanır ve bir risk işleme planı (Risk Treatment Plan) oluşturulur.
  • Madde 7 – Destek: BGYS’nin kurulması, uygulanması ve sürdürülmesi için gerekli kaynakların (bütçe, personel, teknoloji) sağlanmasıdır. Çalışanların farkındalık eğitimleri, yetkinlikleri ve iletişimi bu maddenin altındadır. Dokümante edilmiş bilginin kontrolü de burada yer alır.
  • Madde 8 – Operasyon: Risk değerlendirme ve risk işleme planlarının hayata geçirilmesidir. Planlanan süreçler yürütülür ve dış kaynaklı süreçler (tedarikçi yönetimi) kontrol altında tutulur.
  • Madde 9 – Performans Değerlendirme: Kurulan sistemin işe yarayıp yaramadığının ölçülmesidir. İzleme, ölçme, analiz ve değerlendirme faaliyetleri yapılır. İç tetkikler (internal audit) gerçekleştirilir ve yönetimi gözden geçirme (YGG) toplantıları ile üst yönetime rapor sunulur.
  • Madde 10 – İyileştirme: Karşılaşılan uygunsuzlukların düzeltici faaliyetlerle (DİF) ortadan kaldırılması ve Bilgi Güvenliği Yönetim Sistemi’nin sürekli olarak iyileştirilmesini kapsar.
kesintisiz entegrasyon
İSO 27001 Belgelendirme

4. Ek-A (Annex A) Kontrolleri ve 2022 Güncellemesi

Standardın kalbi olarak nitelendirilen Ek-A (Annex A), bilgi güvenliği risklerini azaltmak için kurumların seçip uygulayabileceği güvenlik kontrollerinin bir listesidir. Ekim 2022’de standart güncellenmiş (ISO/IEC 27001:2022) ve kontroller modern teknolojik tehditlere (bulut güvenliği, fidye yazılımları, veri sızıntısı önleme vb.) uyumlu hale getirilmiştir.

Eski versiyondaki 114 kontrol, 4 ana tema altında 93 kontrol olarak yeniden düzenlenmiştir:

  1. Organizasyonel Kontroller (37 Kontrol): Kurumun genel bilgi güvenliği politikaları, bilgi varlıklarının yönetimi, erişim kontrolü politikaları ve tedarikçi ilişkilerini kapsar.
  2. Kişi (İnsan) Kontrolleri (8 Kontrol): İşe alım öncesi, işe alım süreci ve işten ayrılış süreçlerindeki güvenlik koşullarını, uzaktan çalışma (teleworking) güvenliğini ve bilgi güvenliği farkındalığını içerir.
  3. Fiziksel Kontroller (14 Kontrol): Binaların, ofislerin, sistem odalarının fiziksel güvenliği, çevre güvenliği, ekipmanların çalınmaya karşı korunması ve temiz masa/temiz ekran politikaları bu gruptadır.
  4. Teknolojik Kontroller (34 Kontrol): Kriptografi, ağ güvenliği, sistem edinim ve geliştirme, zararlı yazılımlara karşı koruma, veri sızıntısı önleme (DLP), loglama ve izleme gibi IT odaklı teknik güvenlik önlemleridir.

Kurumlar, risk değerlendirmesi sonucunda bu 93 kontrolün hangilerinin kendileri için uygulanabilir, hangilerinin uygulanamaz olduğuna karar verir ve bu kararı Uygulanabilirlik Bildirgesi (SoA – Statement of Applicability) belgesi ile resmiyet kazandırır.

5. Adım Adım ISO 27001 Belgelendirme Süreci

Tam anlamıyla profesyonel ve eksiksiz bir iso 27001 belgelendirme sürecine girmek, iyi yapılandırılmış bir proje yönetimi gerektirir. Süreç, genellikle danışmanlık hizmeti alınarak ya da kurum içi yetkin bir ekibin liderliğinde yürütülür. İşte adım adım belgelendirme yolculuğu:

Adım 1: Projenin Başlatılması ve Kapsamın Belirlenmesi

Sürecin ilk adımı, üst yönetimin taahhüdünü almaktır. Ardından BGYS’nin sınırları (kapsamı) belirlenir. Kapsam; tüm kurumu, belirli bir departmanı, belirli bir lokasyonu veya spesifik bir hizmeti kapsayabilir. Doğru kapsam belirlemek, maliyetleri ve eforu doğrudan etkiler.

Adım 2: Bilgi Varlıklarının Envanteri

Kurumdaki tüm bilgi varlıkları (sunucular, yazılımlar, veritabanları, fiziksel evraklar, çalışanlar, taşeronlar) listelenir. Her varlığın bir sahibi (asset owner) atanır ve bu varlıkların gizlilik, bütünlük ve erişilebilirlik açısından kritiklik seviyeleri derecelendirilir.

Adım 3: Risk Değerlendirmesi ve Risk İşleme

Belirlenen bilgi varlıklarına yönelik tehditler ve bu tehditlerin sızabileceği zayıflıklar (açıklıklar) analiz edilir. Risk, olayın gerçekleşme ihtimali ve gerçekleşmesi durumunda yaratacağı etkinin çarpımı ile hesaplanır. Kabul edilemez seviyedeki riskler için;

  • Riski Azaltma (Kontrol uygulama),
  • Riski Aktarma (Örn: Siber sigorta yaptırma veya dış kaynak kullanımı),
  • Riski Kabul Etme (Yönetim onayı ile),
  • Riske Neden Olan Faaliyetten Kaçınma, stratejilerinden biri seçilerek “Risk İşleme Planı” oluşturulur.

Adım 4: Uygulanabilirlik Bildirgesi (SoA) Hazırlığı

Risk işleme planına bağlı olarak, ISO 27001 Ek-A’daki kontrollerden hangilerinin uygulanacağı, uygulananların neden seçildiği, mevcut durumu ve eğer uygulanmıyorsa neden uygulanmadığı (hariç tutma gerekçesi) tek bir dokümanda (SoA) toplanır. Bu belge, denetçilerin en çok odaklanacağı temel dokümandır.

Adım 5: Politikaların ve Prosedürlerin Yazılması (Dokümantasyon)

Sistemin işlemesi için gerekli olan temel politikalar oluşturulur. Bunlar arasında Bilgi Güvenliği Politikası, Erişim Kontrol Politikası, Parola Politikası, Temiz Masa/Temiz Ekran Politikası, İhlal Olayı Yönetim Prosedürü, İş Sürekliliği Planları ve Yedekleme Prosedürleri bulunur.

Adım 6: Uygulama ve Farkındalık Eğitimleri

Dokümante edilen kurallar kuruma entegre edilir. Sadece IT departmanına değil, kurumdaki temizlik personelinden üst yöneticiye kadar herkese kendi rolüne uygun düzeyde bilgi güvenliği farkındalık eğitimleri verilir. Unutulmamalıdır ki, siber güvenlik zincirinin en zayıf halkası genellikle insandır.

Adım 7: İç Tetkik (Internal Audit)

Dış belgelendirme denetiminden önce, sistemin kendi kendini kontrol etmesi gerekir. Kurum içinden bağımsız çalışanlar veya dışarıdan bir danışman tarafından kurum denetlenir. Bulunan eksiklikler (uygunsuzluklar) için Düzeltici Faaliyetler başlatılır.

Adım 8: Yönetimi Gözden Geçirme (YGG)

İç tetkik sonuçları, risk değerlendirme güncellemeleri, güvenlik ihlalleri, hedef gerçekleşme oranları gibi tüm veriler üst yönetime bir rapor (YGG toplantısı) halinde sunulur. Yönetim, sistemin sağlıklı işlediğine dair onay verir ve gerekli kaynakları sağlar.

Adım 9: Belgelendirme Denetimi (Aşama 1 ve Aşama 2)

Tüm hazırlıklar tamamlandığında, akredite bir bağımsız denetim kuruluşu (TSE, BSI, SGS, TÜV vb.) ile anlaşılır.

  • Aşama 1 Denetimi (Doküman İncelemesi): Denetçiler kurumun politikalarını, SoA belgesini ve risk değerlendirme metodolojisini masa başında inceler. Temel eksiklikler varsa Aşama 2’ye geçilmeden düzeltilmesi istenir.
  • Aşama 2 Denetimi (Saha Denetimi): Denetçiler fiziki veya uzaktan bağlantı ile kuruma gelir. Çalışanlarla mülakatlar yapar, kayıtları (loglar, yedekleme raporları, risk testleri) inceler ve uygulamaların dokümanlarla uyumlu olup olmadığını kontrol eder.

Aşama 2 denetimini başarıyla (majör uygunsuzluk olmadan) tamamlayan kurumlar, 3 yıl geçerli olacak ISO 27001 sertifikasını almaya hak kazanır. Sertifika 3 yıl geçerli olsa da, her yıl “Ara Denetimler” (Gözetim Denetimleri) yapılarak sistemin devamlılığı teyit edilir.

6. Sık Yapılan Hatalar ve Kaçınılması Gerekenler

Bu süreçte kurulan yapının sürdürülebilir olması, en az belgenin kendisi kadar önemlidir. Süreçte sıkça karşılaşılan tuzaklar şunlardır:

  • Sadece BT Projesi Olarak Görmek: Bilgi güvenliği sadece Bilgi İşlem (IT) departmanının sorumluluğunda değildir. İnsan Kaynakları, Hukuk, Satın Alma, Üretim ve Yönetim gibi tüm departmanların entegre olması şarttır.
  • Aşırı Karmaşık Dokümantasyon: Kurumun gerçek yapısına uymayan, internetten kopyalanmış, aşırı bürokratik ve hantal prosedürler yazmak sistemi işlevsiz kılar. “Yaptığını yaz, yazdığını yap” prensibi esas alınmalıdır.
  • Risk Değerlendirmesini Yanlış Kurgulamak: Gerçekçi olmayan veya tüm riskleri ‘düşük’ göstererek işten kaçmaya çalışan risk değerlendirmeleri, ileride yaşanacak bir güvenlik ihlalinde kurumu savunmasız bırakır.
  • Üst Yönetim Desteğinin Eksikliği: Bütçe ve yaptırım gücü olmayan bir BGYS’nin uzun vadede yaşama şansı yoktur. Liderlik eksikliği sistemin çökmesine neden olur.

7. Sonuç ve Stratejik Değerlendirme

Özetle, iso 27001 nedir sorusunun cevabı sadece duvarda asılı duran bir sertifika değil; yaşayan, sürekli gelişen ve kurumun DNA’sına işleyen bir güvenlik kültürüdür. Kurumların dijital varlıklarını koruma altına almaları, hem marka değerini maksimize eder hem de operasyonel devamlılığı sağlar.

Profesyonel bir iso 27001 belgelendirme süreci, kurumun kendi öz değerlendirmesini yapması, güvenlik açıklarını yamaması ve uluslararası arenada “Biz verilerinizi uluslararası standartlarda koruyoruz” mesajını müşterilerine en güçlü şekilde iletmesi için bulunmaz bir fırsattır. Artan siber savaşlar, karmaşıklaşan oltalama saldırıları ve ağırlaşan kişisel veri koruma cezaları göz önüne alındığında, ISO 27001 artık bir lüks değil, her ölçekteki vizyoner işletme için stratejik bir zorunluluktur. Kurumların dijital çağdaki güvenilirlik pusulası bu standarttır.

https://iso27001danismanlik.com.tr

Etiketler : iso 27001 nedir, iso 27001 belgelendirme, bgys nedir, bilgi güvenliği yönetim sistemi, iso 27001 sertifikası nasıl alınır, iso 27001 standart maddeleri, iso 27001:2022 güncellemeleri, ek-a kontrolleri, uygulanabilirlik bildirgesi soa, bilgi güvenliği risk değerlendirmesi, kurumsal siber güvenlik

baş denetci
baş denetci

https://iso27001danismanlik.com

, , , , , , , , , ,