DM Danışmanlık IAF ve TÜRKAK Akrediyasyonlu ISO Belgelendirme Hizmetleri Firması
dmbelgelendirme@gmail.com +90 0533 033 05 05

ISO 27001 Belgesi Almak İçin Gerekenler: Sıfırdan Zirveye Başvuru Rehberi

Aralık 16, 2025

ISO 27001 Belgesi Almak İçin Gerekenler

Şirketiniz için bilgi güvenliği sertifikası almak istiyor ama nereden başlayacağınızı bilmiyor musunuz? İhaleler, kurumsal tedarikçi listeleri ve KVKK uyumu için gerekli olan ISO 27001 sürecinin eksiksiz kontrol listesi burada.

Günümüzde kamu ihalelerine girmek, büyük ölçekli firmalarla çalışmak veya yasal uyumluluğu (KVKK/GDPR) kanıtlamak isteyen işletmeler için ISO 27001 Bilgi Güvenliği Yönetim Sistemi bir tercih değil, zorunluluk haline gelmiştir. Ancak birçok firma yöneticisi için süreç karmaşık ve belirsiz görünebilir.

“Sadece evrak hazırlamak yeterli mi?”, “Hangi donanımları almalıyım?”, “Denetimde nelere bakıyorlar?” gibi sorularınız varsa, bu rehber tam size göre. İşte 2025 yılı standartlarına göre ISO 27001 belgesi almak için gerekenler ve izlemeniz gereken yol haritası.

1. Başvuru Öncesi Temel Gereklilikler (Resmi Evraklar)

ISO 27001 teknik bir standart olsa da, başvuru sürecinin başlatılabilmesi için şirketin ticari varlığının kanıtlanması gerekir. Belgelendirme kuruluşuna sunulacak temel resmi evraklar şunlardır:

  • Vergi Levhası: Güncel ve faal olduğunuzu gösterir.
  • Ticaret Sicil Gazetesi: Şirket kuruluş ve unvan değişikliklerini içerir.
  • İmza Sirküleri: Yetkili kişinin imza beyanıdır.
  • Oda Kayıt Belgesi / Faaliyet Belgesi: Bağlı bulunduğunuz odadan (ATO, İTO vb.) alınır.
  • SGK Hizmet Listesi: Şirkette çalışan sayısını doğrulamak için istenir (Denetim süresi çalışan sayısına göre belirlenir).

2. Sistemsel Gereklilikler: “Olmazsa Olmaz” Dokümantasyon

ISO 27001, “Yazdığını yap, yaptığını yaz” prensibine dayanır. Belgeyi almak için sadece firewall (güvenlik duvarı) almak yetmez; sistemin nasıl yönetildiğini anlatan dokümanları hazırlamanız gerekir. Denetçinin ilk bakacağı kritik dokümanlar şunlardır:

Doküman Adı Neden Gereklidir?
Varlık Envanteri Şirketteki tüm bilgisayar, yazılım, sunucu, personel ve fiziksel arşivlerin listesidir. Neyin korunacağını belirler.
Risk Analizi Raporu Varlıkların başına gelebilecek tehditlerin (yangın, virüs, hırsızlık) puanlanması ve önlem planıdır.
Uygulanabilirlik Bildirgesi (SoA) Standardın 93 kontrol maddesinden hangilerini uyguladığınızı gösteren, sistemin özet haritasıdır.
Bilgi Güvenliği Politikası Üst yönetimin güvenlik taahhüdünü içeren ve tüm personele duyurulan ana anayasadır.
İş Sürekliliği Planı Deprem veya siber saldırı anında işin nasıl devam edeceğini anlatan acil durum senaryosudur.

3. Teknik ve Fiziksel Gereklilikler

Sadece kağıt üzerinde hazırlık yeterli değildir. ISO 27001, ofisinizde ve IT altyapınızda bazı somut önlemler almanızı ister:

  • Erişim Kontrolü: Sunucu odasına veya arşiv odasına sadece yetkili kişilerin girmesini sağlayan kilitli kapılar veya kartlı geçiş sistemleri.
  • Ekran Kilidi ve Temiz Masa: Bilgisayarların başından kalkıldığında otomatik kilitlenmesi ve masalarda hassas evrak bırakılmaması kuralı.
  • Yedekleme Sistemi: Verilerin düzenli olarak yedeklendiği ve bu yedeklerin geri yüklenebildiğinin test edildiği bir yapı (Cloud veya Harici Disk).
  • Antivirüs ve Güvenlik Duvarı: Tüm bilgisayarlarda güncel lisanslı antivirüs yazılımı bulunması.

4. Adım Adım Belgelendirme Süreci Nasıl İşler?

Evraklar ve sistem hazırlandıktan sonra sertifikayı almak için şu yolu izlersiniz:

  1. Gap Analizi ve Kurulum: Eksiklerin tespiti ve BGYS (Bilgi Güvenliği Yönetim Sistemi) kurulumu tamamlanır.
  2. İç Denetim (Internal Audit): Gerçek denetimden önce, sistemin kendi kendisini kontrol ettiği bir prova denetimi yapılır.
  3. Yönetim Gözden Geçirme (YGG): Üst yönetimle toplanılarak sistemin performansı değerlendirilir ve tutanak altına alınır.
  4. 1. Aşama Denetimi (Doküman İnceleme): Belgelendirme kuruluşu, hazırladığınız dokümanları uzaktan veya yerinde inceler. Eksik varsa düzeltmeniz istenir.
  5. 2. Aşama Denetimi (Saha Denetimi): Denetçiler ofisinize gelir. “Yazdığınız kuralları uyguluyor musunuz?” diye çalışanlarla görüşür ve kanıt arar.
  6. Belgenin Alınması: Başarılı denetim sonrası TÜRKAK veya uluslararası akreditasyonlu (IAS, UKAS vb.) ISO 27001 belgeniz düzenlenir.

Sıkça Sorulan Sorular (SSS)

ISO 27001 belgesi almak ne kadar sürer?

Süreç, firmanın büyüklüğüne ve hazırlık seviyesine göre değişir. Ortalama olarak hazırlık, dokümantasyon ve denetim dahil 1 ile 3 ay arasında tamamlanabilir. Profesyonel danışmanlık almak bu süreyi kısaltır.

ISO 27001 belgesi almak için IT departmanı zorunlu mu?

Hayır, zorunlu değildir. IT süreçleriniz dışarıdan bir firmadan (Outsource) hizmet alıyor olabilir. Önemli olan bu tedarikçinin yönetimi ve güvenlik sözleşmelerinin yapılmış olmasıdır.

ISO 27001 belgesi maliyeti nedir?

Maliyet; çalışan sayısı, lokasyon sayısı ve firmanın sektörüne göre belirlenir. Sabit bir fiyat yoktur. Güncel bütçeniz için ISO 27001 maliyet hesaplama sayfamızdan teklif alabilirsiniz.

Sonuç: Profesyonel Destekle Hata Yapmayın

ISO 27001 süreci, sadece bir belge almaktan öte, kurum kültürünü değiştiren bir yolculuktur. Eksik dokümantasyon veya yanlış risk analizi, denetimden kalmanıza ve sürecin uzamasına neden olabilir.

Zaman ve maliyet kaybı yaşamadan, garantili bir belgelendirme süreci geçirmek için uzmanlarımızla hemen iletişime geçin. Sizin yerinize tüm süreci biz planlayalım.

Teklif İsteyin WhatsApp Destek