Ana Sayfa
BlogBize Ulaşın
Hizmetler  / Savunma Güvenliği  /  BGYS Danışmanlığı (ISO 27001)
Hizmet · BGYS / ISO 27001

ISO 27001 yolculuğunuzu uçtan uca yönetiyoruz.

ISO 27001 standartlarına uygun Bilgi Güvenliği Yönetim Sistemi kurulumu

ISO 27001ISO 27017ISO 27018ISO 27701Annex A
Uyum DurumuISO 27001
Annex A kontrolü
93
Uygunsuzluk
7
Hazırlık %
78
Doküman
24
Kontrol Alanları
Access ControlEksik
CryptographyUyumlu
Incident MgmtEksik
Business ContinuityUygunsuz
Supplier RelationsUyumlu
01 — Genel Bakış

BGYS Nedir?

Bilgi Güvenliği Yönetim Sistemi (BGYS), kuruluşların bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini korumak için kurdukları risk temelli, sistematik bir yönetim yaklaşımıdır. BGYS tek seferlik bir proje değil; Planla-Uygula-Kontrol Et-Önlem Al (PUKÖ / PDCA) döngüsüyle sürekli iyileştirilen canlı bir sistemdir.

ISO/IEC 27001, BGYS'nin kurulması, işletilmesi ve sürekli iyileştirilmesi için uluslararası kabul görmüş gereksinimleri tanımlar. Standardın gövdesi liderlik, planlama, risk yönetimi, performans değerlendirme (madde 9 iç denetim) ve iyileştirme (madde 10 düzeltici faaliyet) maddelerinden; Annex A ise ISO/IEC 27002:2022'de detaylandırılan kontrol kataloğuna atıf yapan normatif ekten oluşur. Güncel sürüm ISO/IEC 27001:2022'dir.

1

Analiz ve Planlama

Mevcut durum analizi, kapsam belirleme ve proje planlaması

2

Risk Değerlendirmesi

Bilgi varlıkları ve risklerin belirlenmesi ve değerlendirilmesi

3

Politika ve Prosedürler

Güvenlik politikaları ve prosedürlerinin geliştirilmesi

4

Uygulama ve Sertifikasyon

Sistemin uygulanması ve sertifikasyon denetimine hazırlık

02 — Çerçeve ve Kontroller

ISO 27001:2022 Çerçevesi: Annex A, SoA ve Sertifikasyon

BGYS kurulumu üç yapı taşı üzerine oturur: risk değerlendirmesine dayalı kontrol seçimi (Annex A), bu seçimin gerekçelendirildiği Uygulanabilirlik Bildirgesi (SoA) ve akredite bir belgelendirme kuruluşunca yürütülen sertifikasyon denetimi. Netlore, danışman rolüyle bu üç adımı uçtan uca yönetir; belgelendirme denetimini ise bağımsızlık gereği ayrı bir kuruluş yapar.

Annex A — 93 Kontrol, 4 Tema

ISO 27001:2022 Annex A, ISO/IEC 27002:2022'de tanımlanan yaklaşık 93 kontrole atıf yapan normatif bir ektir. Kontroller dört temada gruplanır: Organizasyonel (A.5), İnsan Kaynaklı (A.6), Fiziksel (A.7) ve Teknolojik (A.8). 2022 revizyonu, 2013 sürümündeki 114 kontrolü konsolide etti ve tehdit istihbaratı, bulut güvenliği ile A.8.28 Güvenli Kodlama gibi 11 yeni kontrol ekledi. Netlore, risk değerlendirmenizin çıktısına göre hangi kontrollerin uygulanacağını birlikte belirler.

Uygulanabilirlik Bildirgesi (SoA)

SoA, ISO 27001'in madde 6.1.3'ü gereği zorunlu bir belgedir. Hangi Annex A kontrollerinin gerekli olduğunu, dahil edilme veya hariç bırakılma gerekçelerini ve her kontrolün uygulanma durumunu tek bir dokümanda kayıt altına alır. Denetçinin ilk incelediği belgelerden biri olduğu için SoA'nın risk değerlendirmesi ve risk işleme planıyla tutarlı olması kritiktir. Netlore, varlık envanterinden başlayarak olabilirlik × etki temelli risk skorlaması ve savunulabilir bir SoA hazırlar.

Sertifikasyon: Aşama 1 → Aşama 2 → Gözetim

Belgelendirme, akredite bir kuruluşun iki aşamalı denetimiyle yürür: Aşama 1'de dokümantasyon ve hazırlık olgunluğu incelenir, Aşama 2'de kontrollerin fiilen işlediği doğrulanır. Türkiye'de belgelendirme kuruluşları TÜRKAK akreditasyonu altında çalışır (zincir: IAF → TÜRKAK → belgelendirme kuruluşu → belgeli firma). Sertifika üç yıl geçerlidir ve her yıl gözetim denetimiyle sürdürülür. Netlore danışman olarak süreci hazırlar; bağımsızlık ilkesi gereği belgeyi veren denetçi ayrı bir kuruluştur.

03 — Standartlar

ISO 27001 Standart Ailesi

Farklı ihtiyaçlara yönelik ISO 27000 serisi standartları ile kapsamlı bilgi güvenliği

ISO 27001

Bilgi Güvenliği Yönetim Sistemi (BGYS) temel standardı

ISO 27017

Bulut hizmetleri için bilgi güvenliği kontrolleri

ISO 27018

Bulutta kişisel verilerin korunması

ISO 27701

Gizlilik bilgileri yönetim sistemi genişletmesi

04 — Kazanımlar

BGYS Kurulumunun Faydaları

Bilgi güvenliği risklerinin sistematik yönetimi
Uluslararası standartlara uyumluluk
Müşteri ve paydaş güveninin artırılması
Yasal ve düzenleyici gereksinimlere uyum
Rekabet avantajı ve kurumsal itibar
Sürekli iyileştirme ve geçerlilik yönetimi
05 — Sıkça Sorulan Sorular

ISO 27001 Danışmanlığı — Sıkça Sorulan Sorular

ISO 27001 belgelendirmesi ne kadar sürer?

Kapsam, kuruluş büyüklüğü ve mevcut olgunluğa bağlı olmakla birlikte, tipik bir BGYS kurulumu kapsam belirlemeden Aşama 2 denetimine hazır olmaya kadar yaklaşık 3-6 ay sürer. Netlore, ihtiyaç analizi, risk değerlendirmesi, doküman geliştirme, uygulama ve iç denetimi kapsayan yaklaşık 12 haftalık bir çalışma planıyla ilerler; belgelendirme denetiminin tarihi ise seçtiğiniz akredite kuruluşun takvimine bağlıdır.

ISO 27001:2022, 2013 sürümünden nasıl farklı?

2022 revizyonu, Annex A'yı yeniden yapılandırdı: 2013'teki 14 kontrol alanı ve 114 kontrol, dört temaya (Organizasyonel, İnsan Kaynaklı, Fiziksel, Teknolojik) ve yaklaşık 93 kontrole konsolide edildi; tehdit istihbaratı, bulut güvenliği ve güvenli kodlama gibi 11 yeni kontrol eklendi. 2013'ten 2022'ye geçiş süresi 31 Ekim 2025'te sona ermiştir; bu nedenle geçerli tüm ISO 27001 sertifikaları artık 2022 sürümüne dayanır. Yeni kurulan BGYS'ler doğrudan 2022 çerçevesiyle tasarlanır.

Uygulanabilirlik Bildirgesi (SoA) zorunlu mu?

Evet. SoA, ISO 27001 madde 6.1.3 gereği zorunlu bir belgedir ve denetimde ilk incelenen dokümanlardan biridir. İçinde gerekli görülen Annex A kontrolleri, her birinin dahil edilme veya hariç bırakılma gerekçesi ve uygulanma durumu yer alır. SoA'nın, risk değerlendirmesi ve risk işleme planıyla birebir tutarlı olması gerekir; tutarsızlık en sık karşılaşılan uygunsuzluk nedenlerinden biridir. Netlore, savunulabilir ve denetime hazır bir SoA hazırlanmasını sağlar.

ISO 27001 sertifikasını kim verir? Danışmanlık ile denetim aynı mı?

Sertifikayı, danışman değil, akredite bir belgelendirme kuruluşu verir. Türkiye'de bu kuruluşlar TÜRKAK akreditasyonu altında çalışır (zincir: IAF → TÜRKAK → belgelendirme kuruluşu → belgeli firma). Bağımsızlık ilkesi gereği, BGYS'nizi kuran danışman ile belgeyi veren denetçi aynı taraf olamaz. Netlore danışman rolüyle kuruluşu kurulum, doküman ve iç denetim boyunca hazırlar; belgelendirme denetimini seçtiğiniz akredite kuruluş yürütür.

ISO 27001, KVKK uyumu için tek başına yeterli mi?

ISO 27001 güçlü bir teknik ve organizasyonel temel sağlar; kurduğu kontroller KVKK'nın veri güvenliği yükümlülükleriyle geniş ölçüde örtüşür. Ancak ISO 27001 bir bilgi güvenliği standardıdır, bir mahremiyet/veri koruma çerçevesi değildir. Kişisel veri işleme faaliyetlerini eksiksiz yönetmek için ISO 27701 (Gizlilik Bilgileri Yönetim Sistemi) BGYS'nin üzerine bir uzantı olarak konumlandırılır. Netlore, ISO 27001'i KVKK ve ISO 27701 gereksinimleriyle birlikte tasarlayarak örtüşen kontrollerin tek seferde karşılanmasını sağlar.

Gözetim denetimi nedir ve sertifika kaç yıl geçerlidir?

ISO 27001 sertifikası üç yıl geçerlidir. Bu süre boyunca belgelendirme kuruluşu, BGYS'nin sürekliliğini ve etkinliğini doğrulamak için genellikle yıllık gözetim denetimleri yapar. Üçüncü yılın sonunda ise sertifikanın yenilenmesi için yeniden belgelendirme denetimi gerçekleştirilir. Gözetim denetimleri, standardın gerektirdiği sürekli iyileştirme döngüsünün (iç denetim, madde 9; düzeltici faaliyet, madde 10) fiilen işlediğini teyit eder. Netlore, gözetim öncesi hazırlık ve iç denetim desteğiyle sertifikanın kesintisiz sürdürülmesini sağlar.

Hizmet · BGYS / ISO 27001

BGYS Kurulum Danışmanlığı İçin Bize Ulaşın

ISO 27001 sertifikasyonu için profesyonel destek alın ve bilgi güvenliğinizi garanti altına alın

İletişime Geçin

Çerez Kullanımı

Web sitemizde deneyiminizi geliştirmek için çerezler kullanıyoruz. Devam ederek çerez kullanımını kabul etmiş olursunuz.

Çerez Politikası