ISO 27001 yolculuğunuzu uçtan uca yönetiyoruz.
ISO 27001 standartlarına uygun Bilgi Güvenliği Yönetim Sistemi kurulumu
BGYS Nedir?
Bilgi Güvenliği Yönetim Sistemi (BGYS), kuruluşların bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini korumak için kurdukları risk temelli, sistematik bir yönetim yaklaşımıdır. BGYS tek seferlik bir proje değil; Planla-Uygula-Kontrol Et-Önlem Al (PUKÖ / PDCA) döngüsüyle sürekli iyileştirilen canlı bir sistemdir.
ISO/IEC 27001, BGYS'nin kurulması, işletilmesi ve sürekli iyileştirilmesi için uluslararası kabul görmüş gereksinimleri tanımlar. Standardın gövdesi liderlik, planlama, risk yönetimi, performans değerlendirme (madde 9 iç denetim) ve iyileştirme (madde 10 düzeltici faaliyet) maddelerinden; Annex A ise ISO/IEC 27002:2022'de detaylandırılan kontrol kataloğuna atıf yapan normatif ekten oluşur. Güncel sürüm ISO/IEC 27001:2022'dir.
Analiz ve Planlama
Mevcut durum analizi, kapsam belirleme ve proje planlaması
Risk Değerlendirmesi
Bilgi varlıkları ve risklerin belirlenmesi ve değerlendirilmesi
Politika ve Prosedürler
Güvenlik politikaları ve prosedürlerinin geliştirilmesi
Uygulama ve Sertifikasyon
Sistemin uygulanması ve sertifikasyon denetimine hazırlık
ISO 27001:2022 Çerçevesi: Annex A, SoA ve Sertifikasyon
BGYS kurulumu üç yapı taşı üzerine oturur: risk değerlendirmesine dayalı kontrol seçimi (Annex A), bu seçimin gerekçelendirildiği Uygulanabilirlik Bildirgesi (SoA) ve akredite bir belgelendirme kuruluşunca yürütülen sertifikasyon denetimi. Netlore, danışman rolüyle bu üç adımı uçtan uca yönetir; belgelendirme denetimini ise bağımsızlık gereği ayrı bir kuruluş yapar.
ISO 27001:2022 Annex A, ISO/IEC 27002:2022'de tanımlanan yaklaşık 93 kontrole atıf yapan normatif bir ektir. Kontroller dört temada gruplanır: Organizasyonel (A.5), İnsan Kaynaklı (A.6), Fiziksel (A.7) ve Teknolojik (A.8). 2022 revizyonu, 2013 sürümündeki 114 kontrolü konsolide etti ve tehdit istihbaratı, bulut güvenliği ile A.8.28 Güvenli Kodlama gibi 11 yeni kontrol ekledi. Netlore, risk değerlendirmenizin çıktısına göre hangi kontrollerin uygulanacağını birlikte belirler.
SoA, ISO 27001'in madde 6.1.3'ü gereği zorunlu bir belgedir. Hangi Annex A kontrollerinin gerekli olduğunu, dahil edilme veya hariç bırakılma gerekçelerini ve her kontrolün uygulanma durumunu tek bir dokümanda kayıt altına alır. Denetçinin ilk incelediği belgelerden biri olduğu için SoA'nın risk değerlendirmesi ve risk işleme planıyla tutarlı olması kritiktir. Netlore, varlık envanterinden başlayarak olabilirlik × etki temelli risk skorlaması ve savunulabilir bir SoA hazırlar.
Belgelendirme, akredite bir kuruluşun iki aşamalı denetimiyle yürür: Aşama 1'de dokümantasyon ve hazırlık olgunluğu incelenir, Aşama 2'de kontrollerin fiilen işlediği doğrulanır. Türkiye'de belgelendirme kuruluşları TÜRKAK akreditasyonu altında çalışır (zincir: IAF → TÜRKAK → belgelendirme kuruluşu → belgeli firma). Sertifika üç yıl geçerlidir ve her yıl gözetim denetimiyle sürdürülür. Netlore danışman olarak süreci hazırlar; bağımsızlık ilkesi gereği belgeyi veren denetçi ayrı bir kuruluştur.
ISO 27001 Standart Ailesi
Farklı ihtiyaçlara yönelik ISO 27000 serisi standartları ile kapsamlı bilgi güvenliği
Bilgi Güvenliği Yönetim Sistemi (BGYS) temel standardı
Bulut hizmetleri için bilgi güvenliği kontrolleri
Bulutta kişisel verilerin korunması
Gizlilik bilgileri yönetim sistemi genişletmesi
BGYS Kurulumunun Faydaları
ISO 27001 Danışmanlığı — Sıkça Sorulan Sorular
ISO 27001 belgelendirmesi ne kadar sürer?
Kapsam, kuruluş büyüklüğü ve mevcut olgunluğa bağlı olmakla birlikte, tipik bir BGYS kurulumu kapsam belirlemeden Aşama 2 denetimine hazır olmaya kadar yaklaşık 3-6 ay sürer. Netlore, ihtiyaç analizi, risk değerlendirmesi, doküman geliştirme, uygulama ve iç denetimi kapsayan yaklaşık 12 haftalık bir çalışma planıyla ilerler; belgelendirme denetiminin tarihi ise seçtiğiniz akredite kuruluşun takvimine bağlıdır.
ISO 27001:2022, 2013 sürümünden nasıl farklı?
2022 revizyonu, Annex A'yı yeniden yapılandırdı: 2013'teki 14 kontrol alanı ve 114 kontrol, dört temaya (Organizasyonel, İnsan Kaynaklı, Fiziksel, Teknolojik) ve yaklaşık 93 kontrole konsolide edildi; tehdit istihbaratı, bulut güvenliği ve güvenli kodlama gibi 11 yeni kontrol eklendi. 2013'ten 2022'ye geçiş süresi 31 Ekim 2025'te sona ermiştir; bu nedenle geçerli tüm ISO 27001 sertifikaları artık 2022 sürümüne dayanır. Yeni kurulan BGYS'ler doğrudan 2022 çerçevesiyle tasarlanır.
Uygulanabilirlik Bildirgesi (SoA) zorunlu mu?
Evet. SoA, ISO 27001 madde 6.1.3 gereği zorunlu bir belgedir ve denetimde ilk incelenen dokümanlardan biridir. İçinde gerekli görülen Annex A kontrolleri, her birinin dahil edilme veya hariç bırakılma gerekçesi ve uygulanma durumu yer alır. SoA'nın, risk değerlendirmesi ve risk işleme planıyla birebir tutarlı olması gerekir; tutarsızlık en sık karşılaşılan uygunsuzluk nedenlerinden biridir. Netlore, savunulabilir ve denetime hazır bir SoA hazırlanmasını sağlar.
ISO 27001 sertifikasını kim verir? Danışmanlık ile denetim aynı mı?
Sertifikayı, danışman değil, akredite bir belgelendirme kuruluşu verir. Türkiye'de bu kuruluşlar TÜRKAK akreditasyonu altında çalışır (zincir: IAF → TÜRKAK → belgelendirme kuruluşu → belgeli firma). Bağımsızlık ilkesi gereği, BGYS'nizi kuran danışman ile belgeyi veren denetçi aynı taraf olamaz. Netlore danışman rolüyle kuruluşu kurulum, doküman ve iç denetim boyunca hazırlar; belgelendirme denetimini seçtiğiniz akredite kuruluş yürütür.
ISO 27001, KVKK uyumu için tek başına yeterli mi?
ISO 27001 güçlü bir teknik ve organizasyonel temel sağlar; kurduğu kontroller KVKK'nın veri güvenliği yükümlülükleriyle geniş ölçüde örtüşür. Ancak ISO 27001 bir bilgi güvenliği standardıdır, bir mahremiyet/veri koruma çerçevesi değildir. Kişisel veri işleme faaliyetlerini eksiksiz yönetmek için ISO 27701 (Gizlilik Bilgileri Yönetim Sistemi) BGYS'nin üzerine bir uzantı olarak konumlandırılır. Netlore, ISO 27001'i KVKK ve ISO 27701 gereksinimleriyle birlikte tasarlayarak örtüşen kontrollerin tek seferde karşılanmasını sağlar.
Gözetim denetimi nedir ve sertifika kaç yıl geçerlidir?
ISO 27001 sertifikası üç yıl geçerlidir. Bu süre boyunca belgelendirme kuruluşu, BGYS'nin sürekliliğini ve etkinliğini doğrulamak için genellikle yıllık gözetim denetimleri yapar. Üçüncü yılın sonunda ise sertifikanın yenilenmesi için yeniden belgelendirme denetimi gerçekleştirilir. Gözetim denetimleri, standardın gerektirdiği sürekli iyileştirme döngüsünün (iç denetim, madde 9; düzeltici faaliyet, madde 10) fiilen işlediğini teyit eder. Netlore, gözetim öncesi hazırlık ve iç denetim desteğiyle sertifikanın kesintisiz sürdürülmesini sağlar.
BGYS Kurulum Danışmanlığı İçin Bize Ulaşın
ISO 27001 sertifikasyonu için profesyonel destek alın ve bilgi güvenliğinizi garanti altına alın