ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS)

ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS)

Ana Sayfa / Hizmetler / ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS)

ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS): Uygulama, Kapsam ve Kurumsal Faydalar

ISO 27001 Nedir?

ISO 27001, bir kuruluşun bilgi varlıklarını sistemli ve sürekli bir şekilde korumasını sağlayan bilgi güvenliği yönetim sistemidir (BGYS). Amaç; bilgiyi gizlilik, bütünlük ve erişilebilirlik çerçevesinde yönetmektir. Fiziksel belgeler, dijital veriler, çalışan bilgileri, müşteri kayıtları, yazılım sistemleri gibi tüm bilgi türleri bu kapsamda değerlendirilir.

ISO 27001 standardı, sadece teknik güvenlik değil, organizasyonel ve operasyonel güvenlik önlemleri de içerir. Bu nedenle sadece IT ekiplerine değil, tüm çalışanlara sorumluluk yükleyen bir sistemdir.

Hangi Problemi Çözer?

  • Yetkisiz erişim,
  • Veri sızıntısı,
  • Sistem kesintileri,
  • Bilgi kayıpları,
  • İtibar zedelenmesi,
  • Regülasyon uyumsuzluğu.

Bu gibi risklerin sistematik şekilde önüne geçmek ve kontrol altına almak için ISO 27001 devreye girer.

Kimler Uygulayabilir?

  • Kişisel veri işleyen tüm kurumlar (ör. sağlık, eğitim, e-ticaret),
  • Müşteri bilgisi, sözleşme, gizli proje verileri barındıran firmalar,
  • IT şirketleri, bankalar, kamu kurumları, hukuk büroları,
  • ISO 9001 gibi bir sistemi zaten kurmuş ve BGYS ile entegre etmek isteyen işletmeler.

Kısaca bilgi ile çalışan her kurum için uygundur.

Ne Sağlar?

  • Sistemli bilgi güvenliği yönetimi
  • İç ve dış risklerin analizi ve kontrolü
  • Gizlilik, bütünlük ve erişilebilirlik garantisi
  • Yasal ve sözleşmesel uyumluluk
  • Olaylara hazırlıklı olma ve hızlı müdahale imkanı
  • Tedarikçi ve müşteri güveni
  • Siber saldırı riskinin düşürülmesi
  • İçeriden kaynaklı hataların ve ihmallerin azaltılması

Bu çıktılar ancak sistemin gerçekçi uygulanmasıyla sağlanabilir.

Kapsamı Nedir?

ISO 27001 sadece sunucu güvenliğinden ibaret değildir. Aşağıdaki unsurlar sistemin kapsamındadır:

  • Fiziksel güvenlik (ofis, sunucu odası, giriş-çıkışlar)
  • Dijital güvenlik (şifreler, antivirüs, ağ güvenliği)
  • İnsan faktörü (yetkilendirme, farkındalık, eğitim)
  • Politika ve prosedürler (erişim, yedekleme, parola politikası)
  • Olay müdahale planları
  • Tedarikçi sözleşmeleri ve dış hizmetler
  • Kişisel verilerin korunması
  • İş sürekliliği ve felaket senaryoları

ISO 27001 Kurulum Süreci (Adım Adım)

  • Kapsam Belirleme: Sistem hangi bölümleri kapsayacak? (Tüm şirket, sadece yazılım departmanı vb.)
  • Varlık Envanteri Oluşturma: Kurumda bulunan tüm bilgi varlıkları listelenir. Donanım, yazılım, belge, kişi, süreç vs.
  • Risk Analizi: Hangi bilginin ne kadar önemli olduğu, ne tür tehditlere açık olduğu ve etkisinin ne olacağı değerlendirilir.
  • Kontrollerin Seçimi: Standardın sunduğu 114 kontrol (Annex A) içinden kuruma uygun olanlar seçilir.
  • Dokümantasyon: Bilgi güvenliği politikası, prosedürler, talimatlar ve kayıtlar oluşturulur. Gereksiz evrak yükünden kaçınılır.
  • Uygulama: Seçilen kontroller hayata geçirilir. Parola politikaları, antivirüs, ağ erişim kuralları vb. uygulanır.
  • Farkındalık ve Eğitim: Tüm çalışanlar sistemin gereklilikleri hakkında bilgilendirilir.
  • İzleme ve İç Denetim: Sistem periyodik olarak gözden geçirilir. Zayıf noktalar tespit edilir.
  • Yönetim Gözden Geçirmesi: Üst yönetim sistemi değerlendirir ve gerekli düzeltmeleri planlar.
  • Belgelendirme: Akredite belgelendirme kuruluşu dış denetim yapar. Uygun bulunursa ISO 27001 sertifikası verilir.

ISO 27001 Belgesi Neden Gereklidir?

  • KVKK, GDPR gibi veri koruma düzenlemeleriyle uyumlu hareket edildiğini gösterir.
  • Müşteri ve iş ortaklarının bilgi güvenliği konusundaki beklentilerini karşılar.
  • Rekabet avantajı sağlar, özellikle büyük kurumsal firmalarla çalışmak isteyen KOBİ’ler için önemli bir referanstır.
  • Denetimlerde ve soruşturmalar sırasında hukuki savunma gücü oluşturur.

Belge Almak Ne Kadar Zaman Alır?

Kurulacak sistemin kapsamına ve kurumun hazır oluşuna göre değişir. Ortalama 3–6 ay arası bir süre gerekir. Hızlı ama yüzeysel kurulumlar belge alınsa da sürdürülebilir olmaz.

Belgelendirme Sonrası Ne Olur?

  • Belge 3 yıl geçerlidir.
  • Her yıl bir gözetim denetimi yapılır.
  • Süreçler uygulanmadığında veya ihmal edildiğinde belge iptal edilebilir.
  • Sistemin yaşam döngüsü devam ettirilmelidir: eğitimler, iç denetimler, iyileştirme çalışmaları vb.

ISO 27001 ile Sık Karıştırılanlar

  • ISO 9001: Kalite yönetimi ile ilgilidir. Bilgi güvenliği kapsamı içermez.
  • ISO 22301: İş sürekliliği yönetim sistemi standardıdır. ISO 27001 ile entegre çalışabilir.
  • KVKK / GDPR: Yasal düzenlemelerdir. ISO 27001 bu yasaların sistemli şekilde uygulanmasına yardımcı olur.

Uygulama Maliyetleri

  • Danışmanlık ve belgelendirme ayrı kalemlerdir.
  • Maliyet, çalışan sayısı, kapsam, mevcut sistem düzeyi gibi faktörlere göre değişir.
  • İlk yıl maliyeti genellikle yüksektir, ancak sonraki yıllarda bakım ve denetim giderleri daha düşüktür.

Uygulamada Karşılaşılan Zorluklar

  • Üst yönetim desteğinin yetersizliği
  • “IT’nin işi” olarak görülmesi
  • Aşırı belge yükü yaratılması
  • Farkındalık eksikliği
  • Gerçek hayata uygulanamayacak kurallar koyulması

Bu sorunlar, sistemin işlevsiz kalmasına neden olabilir. Uygulama, yalın ve gerçekçi olmalıdır.

ISO 27001’in Gerçek Hayattaki Etkileri

  • Veri sızıntısı risklerinde düşüş
  • Parola ve erişim kontrol düzeninin sağlanması
  • Siber olaylara daha hızlı müdahale
  • İşten ayrılan personellerin bilgi erişiminin kesilmesi
  • Kişisel verilerle ilgili şikayetlerin azalması
  • Denetimlere hazırlıklı olma

Bu sonuçlar, sadece belge almakla değil, sistemin etkin yürütülmesiyle elde edilir.

Sonuç

ISO 27001, bilgi güvenliğini tesadüflere bırakmak istemeyen kurumlar için bir çerçeve sunar. Sistem; neyi, neden, nasıl koruyacağınızı tanımlar ve olası tehditlere karşı hazırlıklı olmanızı sağlar. Kurumsal ölçekte bilgi yönetimi sağlamak, sadece teknoloji değil, insan, süreç ve kültür yönetimi gerektirir. ISO 27001 bu bütünsel yaklaşımı kurumunuza kazandırır.

ISO 27001 SSS – SIK SORULAN SORULAR

1. ISO 27001 nedir?

ISO 27001, bilgi güvenliğinin yönetilmesini sağlayan uluslararası bir standarttır. Kuruluşların gizlilik, bütünlük ve erişilebilirlik esaslarına göre bilgi varlıklarını korumalarını hedefler. Yalnızca teknik önlemler değil, kurumsal süreçler ve insan faktörüyle birlikte ele alınır.

2. Bilgi güvenliği neden bu kadar önemlidir?

Günümüzde dijital veriler kurumların en değerli varlıkları arasında yer alıyor. Bilgi kaybı, sızıntı veya izinsiz erişim; finansal zarar, yasal yaptırım ve itibar kaybına yol açabilir. ISO 27001 bu riskleri azaltmak için yapılandırılmış bir sistem sunar.

3. ISO 27001 hangi kuruluşlar için gereklidir?

Tüm sektörlerde faaliyet gösteren, bilgiyle çalışan her kuruluş ISO 27001 uygulayabilir. Özellikle sağlık, finans, hukuk, bilişim ve kamu sektörlerinde daha kritik hale gelmiştir. Küçük işletmelerden büyük şirketlere kadar uygulanabilir bir sistemdir.

4. ISO 27001 ile ISO 9001 arasındaki fark nedir?

ISO 9001 kalite yönetimini, ISO 27001 ise bilgi güvenliğini düzenler. ISO 27001 daha çok dijital varlıkların korunmasına odaklanır. Her iki sistem de süreç odaklıdır ancak farklı yönetim alanlarına hitap eder.

5. ISO 27001 belgesi ne işe yarar?

Kuruluşun bilgi güvenliği risklerini yönetebildiğini gösterir. Bu, müşteriler ve iş ortakları için güven yaratır. Ayrıca, birçok sektörde sözleşme ve ihale şartı olarak talep edilebilir.

6. ISO 27001 almak zorunlu mudur?

Zorunlu değildir, ancak regülasyonlara uyum, müşteri beklentisi ve sektörel şartlar nedeniyle gerekli hale gelebilir. Örneğin, KVKK uyumluluğu için güçlü bir altyapı sunar. Ayrıca yasal denetimlerde avantaj sağlar.

7. Sadece bilişim şirketleri mi ISO 27001 almalı?

Hayır, bilgi üreten ve işleyen tüm sektörler bu standardı uygulayabilir. Eğitim kurumları, sağlık kuruluşları, üretim firmaları ve kamu idareleri de sistemden faydalanabilir. Sadece dijital veri değil, fiziksel bilgi de kapsamdadır.

8. ISO 27001 belgesi nasıl alınır?

Öncelikle bilgi güvenliği yönetim sistemi kurulur ve uygulanır. Daha sonra bir akredite belgelendirme kuruluşu tarafından denetlenir. Uygunluk sağlanırsa 3 yıl geçerli bir sertifika verilir.

9. Belgelendirme süreci ne kadar sürer?

Kurulumun kapsamına ve mevcut duruma göre 3 ila 6 ay arasında değişebilir. Kurumun büyüklüğü, altyapısı ve hazırlığı süreyi etkiler. Denetim süreci ise birkaç gün içinde tamamlanabilir.

10. ISO 27001 sadece teknik önlemleri mi kapsar?

Hayır, sistem hem teknik hem de idari güvenlik önlemlerini içerir. İnsan faktörü, süreç yönetimi ve kültürel farkındalık sistemin temel parçalarıdır. Sadece yazılım değil, politika ve prosedürler de sistemin parçasıdır.

11. ISO 27001 hangi bilgileri korur?

Dijital veriler, yazılı belgeler, sözlü bilgiler ve görsel kayıtlar sistemin kapsamındadır. Kuruma özel her türlü bilginin gizliliği, bütünlüğü ve erişilebilirliği sağlanır. Bilginin türü değil, değeri ve riski esas alınır.

12. Risk analizi neden bu kadar önemlidir?

ISO 27001 risk temelli bir yaklaşıma dayanır. Bilgi varlıklarının ne kadar değerli olduğu ve hangi tehditlere açık olduğu belirlenmeden sistem kurulamaz. Riskler yönetilmediğinde güvenlik açıkları artar.

13. İç denetim ISO 27001’de zorunlu mudur?

Evet, sistemin işlerliğini kontrol etmek için iç denetimler yapılmalıdır. Bu denetimler yılda en az bir kez planlanmalı ve raporlanmalıdır. İç denetim hataları önceden tespit etmeyi sağlar.

14. Yönetim gözden geçirmesi ne anlama gelir?

Üst yönetim sistemin performansını belirli periyotlarla değerlendirir. Gelişim alanları, sorunlar ve hedeflerin gerçekleşme durumu analiz edilir. Bu toplantılar sistemi canlı tutar.

15. ISO 27001 sistemini kim yönetir?

Genellikle bir Bilgi Güvenliği Yönetim Temsilcisi (BGYT) görevlendirilir. Ancak tüm çalışanlar sistemin uygulanmasında rol alır. Sistem bireylere değil, sürece dayanır.

16. ISO 27001 ile KVKK ilişkisi nedir?

KVKK kişisel verilerin korunmasını zorunlu kılar. ISO 27001 bu süreci sistematik olarak yönetmenizi sağlar. Yasal uygunluk için güçlü bir çerçevedir.

17. Dokümantasyon zorunlu mu?

Evet. Politika, prosedür, talimat ve kayıt gibi temel dokümanların oluşturulması gerekir. Ancak dokümantasyonun sade ve uygulanabilir olması tercih edilir.

18. Belge süresi ne kadardır?

ISO 27001 belgesi 3 yıl geçerlidir. Her yıl gözetim denetimi yapılır. Üçüncü yılın sonunda yeniden sertifikasyon gerekir.

19. Tüm şirketin mi sisteme dahil olması gerekir?

Hayır, belirli departmanlar veya lokasyonlar da dahil edilebilir. Ancak kapsam sınırlıysa bu durum açıkça belirtilmelidir. Geniş kapsam, daha fazla güven sağlar.

20. İhlal olursa ne olur?

Ciddi ihlallerde belge iptal edilebilir. Hafif uygunsuzluklarda düzeltici faaliyet süresi tanınır. Belgeyi korumak için sistem sürekli çalıştırılmalıdır.

21. ISO 27001 sistemi pahalı mı?

Maliyet, kurumun büyüklüğüne, danışmanlık ihtiyacına ve denetim firmasına göre değişir. Ancak bilgi sızıntısı gibi bir krizin maliyeti çok daha yüksektir. Yatırım olarak değerlendirilmelidir.

22. ISO 27001 uygulaması zor mu?

Uygun planlama ve eğitimle zor değildir. Ancak sistemin içselleştirilmesi gerekir. Hazır dokümanlarla değil, kuruma özel yapıyla kurulmalıdır.

23. Sadece belge almak için kurulursa ne olur?

Kısa vadede belge alınabilir, ancak sistem sürdürülemez. Bu durumda belge gözetim denetimlerinde iptal edilebilir. Gerçek fayda ancak uygulamayla elde edilir.

24. Tedarikçiler de sisteme dahil edilir mi?

Evet. Bilgiye erişimi olan tüm dış taraflar sistemin kapsamındadır. Sözleşmeler ve SLA’lar buna göre düzenlenmelidir.

25. Kişisel bilgisayarlar da sistemde yer alır mı?

Evet. Kurum verilerine erişim sağlayan her cihaz, kullanıcı veya ortam sistemin kapsamındadır. BYOD (kendi cihazını getir) politikası varsa mutlaka yönetilmelidir.

26. ISO 27001 sadece IT departmanının sorumluluğu mu?

Hayır. Sistem tüm organizasyonu kapsar. IT sadece teknik destek sağlar.

27. Çalışan eğitimleri zorunlu mu?

Evet. Farkındalık, sistemin başarısı için kritiktir. Her yeni çalışan sisteme dahil edilmelidir.

28. Sistem dijital mi kurulmalı?

Hayır. İster dijital ister kağıt üzerinde yürütülebilir. Önemli olan sistemin uygulanabilir olmasıdır.

29. Parola politikası zorunlu mu?

Evet. Güçlü ve düzenli değiştirilen parolalar bilgi güvenliğinin temelidir. Parola politikası yazılı olarak tanımlanmalıdır.

30. Şifreleme kullanımı şart mı?

Kritik veriler için evet. Özellikle taşınabilir cihazlarda ve yedeklerde önerilir. Şifreleme yöntemi dokümante edilmelidir.

31. Erişim yetkileri nasıl belirlenir?

Yetkiler rol bazlı tanımlanır. Kim hangi bilgiye neden erişiyor, bu kayıt altına alınır. Fazla yetki risktir.

32. Yedekleme süreci sisteme dahil mi?

Evet. Yedekleme sıklığı, ortamı ve güvenliği dokümante edilmelidir. Ayrıca test edilmesi gerekir.

33. Felaket kurtarma planı zorunlu mu?

Evet. Olası sistem çökmesi, saldırı veya fiziksel felaketlerde hizmetin devamı için gereklidir. Plan periyodik olarak test edilmelidir.

34. ISO 27001 sertifikası uluslararası geçerli mi?

Akredite bir kuruluştan alındıysa evet. Tüm dünyada tanınır ve kabul edilir.

35. Aynı anda başka ISO belgeleri alınabilir mi?

Evet. ISO 9001, 14001 veya 22301 gibi sistemlerle entegre olarak kurulabilir. Entegre sistemler kaynak tasarrufu sağlar.

36. Danışmanlık almak zorunlu mu?

Zorunlu değildir. Ancak karmaşık yapılarda profesyonel destek süreci hızlandırır.

37. Belgeyi kim denetler?

Akredite olmuş bağımsız belgelendirme kuruluşları denetim yapar. Bunlar uluslararası tanınırlığı olan firmalardır.

38. Sertifikada kimin adı yazar?

Kuruluşun tüzel ismi ve sistem kapsamı yer alır. Kapsam dışı alanlar belirtilmezse tüm kurum geçerli sayılır.

39. Bilgi güvenliği ile siber güvenlik aynı şey mi?

Hayır. Siber güvenlik, bilgi güvenliğinin dijital tarafıdır. ISO 27001 her türlü bilgiyi kapsar.

40. Açık ofislerde fiziksel güvenlik nasıl sağlanır?

Fiziksel erişim sınırlandırılmalı, ekran koruyucular ve kilitli dolaplar kullanılmalıdır. Ayrıca ziyaretçi yönetimi uygulanmalıdır.

41. İşten ayrılan çalışanlar nasıl yönetilmeli?

Tüm erişimleri derhal sonlandırılmalı, cihazlar ve parolalar iade alınmalıdır. Bu süreç önceden tanımlanmalıdır.

42. ISO 27001 dinamik bir sistem midir?

Evet. Teknolojik gelişmeler ve yeni tehditler karşısında sürekli güncellenmelidir. Statik sistemler kısa sürede geçersiz kalır.

43. Denetimde en çok dikkat edilen konular nelerdir?

Risk analizi, dokümantasyonun güncelliği, uygunsuzluk kayıtları ve düzeltici faaliyetler yakından incelenir. Ayrıca çalışan farkındalığı önemlidir.

44. Veri sınıflandırması yapılmalı mı?

Evet. Her bilginin güvenlik seviyesi belirlenmeli ve buna uygun korunmalıdır. Kamuya açık, özel, gizli gibi seviyeler tanımlanır.

45. Olay müdahale planı nedir?

Bilgi güvenliği ihlallerinde hangi adımların izleneceğini tanımlar. Kimin ne yapacağı, ne zaman yapacağı bellidir.

46. Belge alındıktan sonra işler kolaylaşır mı?

Evet, çünkü görevler netleşir, riskler önceden tespit edilir. Ancak sistemin aktif şekilde yürütülmesi şarttır.

47. Denetim başarısız olursa ne olur?

Eksikler tespit edilir ve düzeltme süresi tanınır. Belge ancak tekrar denetimle verilir.

48. Sadece bilgi teknolojileri yeterli midir?

Hayır. Sistem, tüm organizasyonu kapsayan bir kültür gerektirir.

49. Bilgi güvenliği kültürü nasıl oluşur?

Sürekli eğitim, farkındalık çalışmaları ve yönetsel destek ile zaman içinde oturur. Süreklilik esastır.

50. ISO 27001 işletmenin itibarına nasıl katkı sağlar?

Kuruluşun bilgiyi koruma sorumluluğunu ciddiyetle ele aldığını gösterir. Güven duygusu oluşturur ve ticari itibarı yükseltir.

Menu

Kalite, Belgelendirme ve Eğitim Çözümleri

Hemen Ara