BGYS Kurulumu İçin Pratik Kontrol Listesi: ISO 27001’e Hazırlık

BGYS kurulumu için pratik kontrol listesi, ISO 27001’e hazırlanırken “doküman üretme” ile “sistem kurma” arasındaki farkı netleştirir. ISO 27001 denetiminde kağıt değil, kanıt konuşur. Kanıt da rastgele dosya yığını değil; kapsam, varlık envanteri, risk yaklaşımı, SoA ve uygulanmış kontrollerin izlerinden oluşur.

Bu yazı, BGYS kontrol listesi formatında ilerler. Her madde, hem bilgi arayanı hem karşılaştıran “bu bizde var mı?” diye bakanı hem de aksiyona hazır olanı tatmin edecek şekilde kurgulandı. Amaç: ISO 27001 hazırlığında hız kazanmak ve denetimde sürpriz yememek.

BGYS kontrol listesi neden ISO 27001’de işi hızlandırır?

ISO 27001 hazırlığında zaman kaybı genelde aynı yerden gelir: herkes “bir şeyler” yapar ama kimse neyin kanıt olduğunu, neyin hangi kontrolü karşıladığını netleştirmez. Kontrol listesi, BGYS’nin çekirdek kayıtlarını ve denetçinin bakacağı noktaları tek düzende toplar.

İlgili içeriklere geçiş köprüsü :
ISO 27001 Belgesi
ISO 27001:2022 Revizyonu ve Geçiş Rehberi

Hazırlık 0: Kapsam, hedef ve “neden”in netleşmesi

ISO 27001 hazırlığının ilk adımı “kapsam”dır. Kapsam geniş yazılırsa kanıt yetişmez, dar yazılırsa müşteri beklentisi karşılanmaz. Kapsamın yanında hedef de netleşmeli: müşteri talebi mi, tedarikçi denetimi mi, KVKK uyumu mu, iç risk azaltma mı? Hedef netleşince kontrol seçimi daha rasyonel olur.

• Kapsam hangi süreçleri ve hangi lokasyonları kapsıyor?
• Kritik bilgi varlıkları nerede tutuluyor? (bulut/on-prem/hibrit)
• Hedef “belge almak” mı, yoksa riskleri kontrol altına almak mı?
• Sözleşme veya müşteri şartı var mı? (uyum gereksinimleri)

1) Varlık envanteri: neyi koruduğunu bilmeden koruyamazsın

BGYS’nin omurgası varlık envanteridir. Varlık, sadece sunucu ve laptop değildir. Müşteri verisi, kaynak kod, sözleşmeler, yedekler, API anahtarları, e-posta kutuları, SaaS hesapları da varlıktır. Envanter eksikse risk analizi yüzeyde kalır.

Kontrol listesi

• Varlık listesi var mı? (uygulama, sistem, veri, doküman)
• Her varlığın sahibi belli mi? (owner)
• Konum bilgisi net mi? (bulut sağlayıcı, sunucu, klasör)
• İş etkisi değerlendirmesi var mı? (kesinti olursa ne olur?)

2) Veri sınıflandırma ve erişim mantığı

Varlık envanteri tamamlandıktan sonra sınıflandırma ve erişim mantığı oturur. “Gizli veri” etiketini dosyaya yazmak tek başına kontrol değildir. Sınıflandırma; erişim yetkisi, paylaşım kuralı, yedekleme, saklama süresi ve imha kararlarını etkiler.

Kontrol listesi

• Sınıflandırma seviyeleri tanımlı mı? (ör. açık/iç/gizli/çok gizli)
• Erişim talepleri nasıl açılıyor, nasıl kapatılıyor?
• İşe giriş/çıkışta erişim kapatma süresi net mi?
• Yetki değişiklikleri kayıt altına alınıyor mu?

3) Risk metodolojisi: ölçmeden yönetmek yok

ISO 27001 risk temelli bir standarttır. Risk metodolojisi net değilse denetimde SoA da zayıf görünür. Risk yaklaşımı; kriter, puanlama ve kabul eşiği gibi net bileşenlere dayanmalı.

Kontrol listesi

• Risk kriterleri tanımlı mı? (olasılık/etki skala)
• Risk kabul eşiği var mı? (hangi skor üstü aksiyon zorunlu)
• Risk sahibi belirleniyor mu?
• Risk kapanış kanıtı belirleniyor mu? (kayıt/rapor/link)

4) SoA (Uygulanabilirlik Bildirimi): kontrol seçimi gerekçesi

SoA, ISO 27001’in en kritik yönetim belgesidir. Denetçi “neden bu kontrol var, neden yok?” sorusunu SoA üzerinden okur. SoA şablon doldurma gibi yapılırsa denetimde güven kaybı yaşanır.

Kontrol listesi

• Her kontrol için uygulanabilirlik kararı var mı? (E/H)
• Gerekçe yazıyor mu? (risk veya iş ihtiyacı)
• Uygulama durumu net mi? (planlı/uygulanıyor/tamamlandı)
• Kanıt referansı var mı? (politika, prosedür, kayıt)

5) Politika/prosedür mimarisi: şişirme değil, çalışır sistem

BGYS dokümantasyonunda en sık hata, dosya sayısını şişirmektir. Denetim dosya sayısı saymaz; uygulanabilirlik ve kanıt düzeni arar. Dokümanlar kısa, net, versiyon kontrollü ve günlük iş akışına oturmuş olmalı.

Kontrol listesi

• Bilgi güvenliği politikası yayınlı mı? (güncel ve erişilebilir)
• Doküman kontrol kuralı var mı? (revizyon, onay, dağıtım)
• Temel prosedürler mevcut mu? (erişim, olay, yedek, tedarikçi)
• Kayıt şablonları sade mi? (kullanılabilir ve tekrar üretilebilir)

6) İnsan faktörü: eğitim, farkındalık, rol dağılımı

BGYS’nin zayıf halkası çoğu zaman insan davranışıdır. Politikalar yazılır ama farkındalık yoksa kimse uygulamaz. Eğitim “imza toplama” seviyesinde kalırsa gerçek risk devam eder.

Kontrol listesi

• Rol bazlı yetkinlik listesi var mı?
• BGYS farkındalık eğitimi planlı mı?
• Phishing/sosyal mühendislik farkındalık yaklaşımı var mı?
• Gizlilik taahhütleri ve işten ayrılma süreçleri net mi?

7) Olay yönetimi: “hiç olay olmadı” bahanesini bitirme

ISO 27001 denetiminde olay yönetimi sorulduğunda “hiç olay olmadı” cevabı tek başına güçlü değildir. Olay yönetimi; ihlal olunca ne yapılacağını, nasıl kayıt tutulacağını ve nasıl öğrenme çıkarılacağını gösteren bir mekanizmadır. Olay olmaması, mekanizma olmadığı anlamına gelmez.

Kontrol listesi

• Olay yönetim prosedürü var mı?
• Olay kayıt formatı var mı? (tarih, etki, müdahale, kapanış)
• Bildirim akışı net mi? (kim, ne zaman, nasıl bildirir)
• Tatbikat/masa başı senaryo çalışması var mı?

8) Yedekleme ve geri dönüş testleri: kanıtsız yedek yok sayılır

Yedek alınıyor olması yeterli değildir. Denetimde sorulan soru “geri dönüş test edildi mi?” olur. Test kaydı yoksa yedek kağıt üstünde var sayılır. Bu bölüm, iş sürekliliği ile de doğrudan bağlantılıdır.

Kontrol listesi

• Yedekleme politikası ve periyodu net mi?
• Yedeklerin saklandığı yer güvenli mi?
• Geri dönüş testleri yapılıyor mu?
• Test kayıtları tutuluyor mu? (tarih, kapsam, sonuç)

9) Tedarikçi ve üçüncü taraf güvenliği

SaaS kullanımı, dış kaynak yazılım, hosting, muhasebe servisleri, taşeron ekipler… üçüncü taraf sayısı arttıkça risk de artar. ISO 27001 hazırlığında tedarikçi güvenliği genelde en zayıf halka olur; sözleşme maddeleri ve erişim kuralları net değilse denetimde soru uzar.

Kontrol listesi

• Tedarikçi envanteri var mı?
• Güvenlik şartları sözleşmeye yansıyor mu?
• Üçüncü taraf erişimleri kayıtlı mı?
• Periyodik değerlendirme yapılıyor mu?

10) İç denetim ve yönetimin gözden geçirmesi

BGYS yaşayan bir sistemse iç denetim gerçek bulgu üretir ve yönetim gözden geçirmesi (YGG) karar çıkarır. Bu ikisi göstermelik olursa denetimde “sistem sahiplenilmemiş” görüntüsü oluşur.

Kontrol listesi

• İç denetim planı var mı? (kapsam ve tarih)
• Bulgu ve düzeltici faaliyet kayıtları tutuluyor mu?
• YGG gündemi ve kararları kayıtlı mı?
• Risk ve SoA güncellemeleri YGG’ye taşınıyor mu?

Genel uygulamalar vs BGYS yaklaşımı (kıyas)

Genel uygulamalarda bilgi güvenliği “olay olunca panik” şeklinde yaşanır. BGYS yaklaşımında riskler görünürdür, kontroller gerekçelidir, kanıt düzeni nettir. Fark, denetimdeki rahatlıkla anlaşılır.

Başlık	Genel uygulamalar	BGYS yaklaşımı
Kontrol seçimi	Kopyala-yapıştır	Risk + SoA gerekçesi
Kanıt	Dağınık dosyalar	Tek düzende kayıt akışı
Olay yönetimi	Reaktif	Prosedür + tatbikat + öğrenme

30 günde ISO 27001 hazırlığı: pratik yol haritası

1. Hafta 1: Kapsam + varlık envanteri + sınıflandırma
2. Hafta 2: Risk metodolojisi + risk kayıtları + SoA taslağı
3. Hafta 3: Politika/prosedür çekirdeği + eğitim + tedarikçi şartları
4. Hafta 4: Olay yönetimi tatbikatı + yedek geri dönüş testi + iç denetim + YGG

“Yorumlar” katmanı: ekiplerin en çok takıldığı noktalar

BGYS hazırlığında en çok takılan temalar benzer: envanterin eksik kalması, risk metodolojisinin belirsiz olması, SoA’nin gerekçesiz doldurulması, yedek geri dönüş testinin kayıt altına alınmaması, üçüncü taraf erişimlerinin kontrolsüz kalması, iç denetimin gerçek bulgu üretmemesi. Bu temalar düzeldiğinde denetim soruları da kısalır.

Sık yapılan hatalar ve doğru yöntem

En pahalı hata, BGYS’yi “doküman projesi” zannetmektir. Doğru yöntem; kapsamı akıllı çizmek, kanıt üretimini süreçlere gömmek ve SoA–risk kayıtlarını tutarlı tutmaktır. Böylece sistem sürdürülebilir olur.

Sıkça Sorulan Sorular

BGYS kurulumu için ilk adım nedir?

Kapsamın ve hedefin netleşmesi ilk adımdır. Kapsam net değilse envanter ve risk analizi de dağılır.

ISO 27001’e hazırlanırken en çok hangi kayıtlar istenir?

Varlık envanteri, risk kayıtları, SoA, erişim yönetimi kayıtları, olay yönetimi kayıtları, yedek geri dönüş test kayıtları ve iç denetim/YGG çıktıları çekirdek kanıtlardır.

SoA neden bu kadar önemli?

SoA kontrol seçimini gerekçelendirir ve uygulama durumunu gösterir. Denetimde kontrol soruları SoA üzerinden okunur.

Olay yaşanmadıysa olay yönetimi kanıtı nasıl olur?

Masa başı senaryo çalışması veya tatbikat yapılabilir. Prosedür ve kayıt formatı kanıt olarak sunulur.

Yedek alınıyorsa test şart mı?

Evet. Geri dönüş test edilmediyse yedek “kanıtsız” kalır. Denetimde test kaydı beklenir.

Üçüncü taraf güvenliği neleri kapsar?

SaaS sağlayıcıları, hosting, taşeron ekipler, dış kaynak yazılım ve entegrasyonlar üçüncü taraf güvenliği kapsamındadır. Sözleşme ve erişim kontrolleri kritik olur.

İç denetim ne zaman yapılmalı?

Belgelendirme denetimi öncesi mutlaka yapılmalı ve bulguların düzeltici faaliyetleri kapanmalıdır. Gözetim dönemlerinde de periyodik devam etmelidir.