ISO 27001 nedir? — Bilgi Güvenliği Sözlüğü

Uyum & Yönetim

ISO 27001

👤 Güvenlik Uzmanı★ 1/3⏱ 5 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Bir veri ihlali sonrası müşteriniz "Verim sizde güvende miydi?" diye sorduğunda, ISO 27001 sertifikası bağımsız bir denetçinin onayladığı somut bir kanıttır — sözünüze değil, belgeye dayanır.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu kartta bilgi güvenliği dünyasının en yaygın uluslararası standardı olan ISO/IEC 27001'i inceliyoruz. Bir kuruluşun bilgi varlıklarını sistematik biçimde nasıl koruduğunu tanımlayan bu standardın ne olduğunu, nasıl işlediğini ve iş hayatında neden değer taşıdığını ele alacağız.

Anlatım

NEDİR? ISO/IEC 27001, bir kuruluşun Bilgi Güvenliği Yönetim Sistemi (BGYS / ISMS) kurması, işletmesi, izlemesi ve sürekli iyileştirmesi için gereksinimleri tanımlayan uluslararası bir standarttır. ISO (Uluslararası Standardizasyon Örgütü) ve IEC (Uluslararası Elektroteknik Komisyonu) tarafından ortak yayımlanır; güncel sürümü ISO/IEC 27001:2022'dir. Standardın temel hedefi bilginin gizliliği (yetkisiz erişime kapalı), bütünlüğü (değiştirilmemiş/doğru) ve erişilebilirliğini (gerektiğinde ulaşılabilir) — yani CIA üçlüsünü — güvence altına almaktır. Önemli ayrım: ISO 27001 belirli bir teknolojiyi (ör. hangi firewall, hangi şifreleme) dayatmaz; bunun yerine riski yöneten bir SÜRECİ zorunlu kılar. NASIL ÇALIŞIR? Standart, risk-temelli ve süreç-odaklı çalışır. Tipik adımlar: 1) Kapsam belirleme: BGYS'nin hangi birim, lokasyon ve varlıkları kapsadığı tanımlanır. 2) Liderlik ve politika: Üst yönetim bir bilgi güvenliği politikası onaylar ve sorumluluk atar (madde 5). 3) Risk değerlendirmesi: Bilgi varlıkları üzerindeki tehdit ve zafiyetler belirlenir, olasılık ve etkiye göre risk seviyeleri hesaplanır (madde 6). 4) Risk işleme: Her risk için karar verilir — azalt (kontrol uygula), kabul et, transfer et (sigorta/üçüncü taraf) veya kaçın. 5) Kontrol seçimi: Ek-A (Annex A) referans alınır. 2022 sürümünde 93 kontrol 4 tema altında toplanmıştır (Organizasyonel, Kişiler, Fiziksel, Teknolojik). Uygulanabilirlik Bildirgesi (SoA) hangi kontrolün neden uygulandığını/uygulanmadığını belgeler. 6) İşletme ve izleme: Kontroller çalıştırılır; iç denetim ve yönetim gözden geçirmesi yapılır (madde 9). 7) Sürekli iyileştirme: Bulunan uygunsuzluklar düzeltici faaliyetlerle giderilir — bu döngü PUKÖ (Planla-Uygula-Kontrol-Önlem; PDCA) mantığını izler (madde 10). Sertifikasyon, akredite bir belgelendirme kuruluşunun yaptığı bağımsız denetimle alınır; tipik olarak 3 yıl geçerlidir ve yıllık gözetim (sürveyans) denetimleriyle sürdürülür. NEDEN ÖNEMLİ / İŞ YERİNDE ISO 27001 sertifikası, müşterilere ve iş ortaklarına bilgi güvenliğinin profesyonelce yönetildiğine dair bağımsız ve güvenilir bir kanıt sunar. Pratik faydaları: kurumsal ihalelerde ve KOBİ-üstü tedarik zinciri sözleşmelerinde çoğu zaman ön koşuldur; KVKK/GDPR gibi yasal yükümlülüklere uyum sürecini destekler (ancak tek başına yasal uyum garantisi DEĞİLDİR); ihlal olasılığını ve maliyetini düşürür; müşteri güvenini ve marka itibarını artırır. Bir SaaS veya bulut sağlayıcısı için ISO 27001, satış görüşmelerinde tekrar tekrar sorulan güvenlik sorularına standart bir yanıttır. DİKKAT / İYİ UYGULAMA • ISO 27001 bir HEDEF değil, yaşayan bir süreçtir — "sertifikayı aldık, iş bitti" tuzağına düşmeyin; gözetim denetimleri ve sürekli iyileştirme zorunludur. • Kapsamı dürüst tanımlayın; gerçekte korunmayan bir alanı sertifika kapsamı gibi göstermek hem denetimde hem ihlalde sorun yaratır. • ISO 27001 "ne yapılması gerektiğini" söyler; "nasıl" uygulanacağına ilişkin ayrıntılı rehber kılavuz standart olan ISO/IEC 27002'dedir. İkisini karıştırmayın: 27001 sertifiye edilebilir gereksinim standardıdır, 27002 kontrol uygulama kılavuzudur.

📌 Senaryolar

📌 Örnek 1: Bir bulut yazılım (SaaS) şirketi büyük bir bankaya hizmet satmak istiyor; banka tedarikçi onayı için ISO 27001 sertifikası şart koşuyor.
  Açıklama: Şirket BGYS kapsamını üretim ortamı ve müşteri verisini işleyen sistemler olarak tanımlar, risk değerlendirmesi yapar, Ek-A kontrollerini SoA ile belgeler ve akredite bir kuruluştan denetim alır. Sertifika, bankaya güvenliğin bağımsız olarak doğrulandığını kanıtlar ve sözleşmenin önünü açar.

📌 Örnek 2: Bir kuruluş yıllık gözetim (sürveyans) denetiminde "erişim hakları altı ayda bir gözden gözden geçirilmiyor" şeklinde bir uygunsuzluk (nonconformity) ile karşılaşıyor.
  Açıklama: ISO 27001 sürekli iyileştirmeyi (madde 10) zorunlu kılar. Kuruluş bir düzeltici faaliyet planı açar: kök neden analizi yapar, periyodik erişim gözden geçirme prosedürünü tanımlar, sorumlu atar ve kanıtları bir sonraki denetime kadar toplar. Böylece sertifika geçerliliğini korur.

📌 Örnek 3: Bir e-ticaret firması risk değerlendirmesinde "ödeme veritabanının çalınması" riskini yüksek olarak belirliyor.
  Açıklama: Risk işleme aşamasında firma "azalt" kararı verir ve Ek-A teknolojik kontrollerinden şifreleme, erişim kontrolü ve loglama uygular; ayrıca artık riski kabul edilebilir seviyeye indiremediği kısım için siber sigorta ile riski transfer eder. Tüm bu kararlar SoA ve risk işleme planında belgelenir — denetçi bu izlenebilirliği arar.

Özet

• ISO/IEC 27001, Bilgi Güvenliği Yönetim Sistemi (BGYS) için uluslararası, sertifiye edilebilir gereksinim standardıdır; güncel sürüm 2022. • Belirli teknoloji dayatmaz; risk-temelli bir süreç ve sürekli iyileştirme (PUKÖ/PDCA) döngüsü zorunlu kılar. • Kontroller Ek-A'da (2022: 93 kontrol, 4 tema) listelenir; hangisinin uygulandığı Uygulanabilirlik Bildirgesi (SoA) ile belgelenir. • Sertifika akredite bağımsız denetimle alınır, ~3 yıl geçerlidir ve yıllık gözetim denetimiyle sürdürülür; müşteri güveni ve ihale ön koşulu olarak değer taşır.

✅ Mini-Test (3)

1.ISO/IEC 27001 standardı temel olarak neyi tanımlar?

2.ISO 27001 sertifikası alındıktan sonra herhangi bir denetim veya iyileştirme gerektirmeden süresiz geçerli kalır.

3.ISO 27001'de hangi kontrollerin neden uygulandığını veya uygulanmadığını belgeleyen dokümanın adı nedir?

← Tüm sözlük terimleri · Farkındalık eğitimi