ISO 27001 Gereklilikleri

ISO 27001 gereklilikleri, işletmelerin bilgi güvenliği yönetim sistemi kurarken yerine getirmesi gereken temel şartları ifade eder. ISO 27001 şartları; kapsam belirleme, risk analizi, varlık envanteri, uygulanabilirlik bildirgesi, politika hazırlığı, iç denetim, yönetim gözden geçirme ve sürekli iyileştirme gibi başlıkları kapsar.

DM Belgelendirme, Ankara merkezli yapısıyla ISO 27001 gereklilikleri konusunda işletmelere BGYS kurulumu, dokümantasyon, risk analizi, iç denetim hazırlığı ve belgelendirme öncesi kontrol desteği sunar. Amaç yalnızca belgeye hazırlanmak değil; işletmenin bilgi güvenliği risklerini yönetilebilir ve denetlenebilir bir yapıya taşımaktır.

ISO 27001 Gereklilikleri Nelerdir?

ISO 27001 gereklilikleri, bir kuruluşun bilgi güvenliği yönetim sistemi kurması, uygulaması, sürdürmesi ve sürekli iyileştirmesi için yerine getirmesi gereken şartlardan oluşur. Bu şartlar yalnızca teknik güvenlik önlemlerini kapsamaz; yönetim sorumluluğu, risk yaklaşımı, çalışan farkındalığı, tedarikçi ilişkileri, dokümantasyon ve performans takibi gibi alanları da içerir.

ISO/IEC 27001 standardı, bilgi güvenliği yönetim sistemleri için dünya genelinde en bilinen standartlardan biridir. ISO’nun resmi açıklamasında standardın, kuruluşların bilgi güvenliği yönetim sistemi kurmasına, uygulamasına, sürdürmesine ve sürekli iyileştirmesine rehberlik ettiği belirtilir. Standardın yaklaşımı; insan, politika ve teknolojiyi birlikte ele alan bütüncül bir bilgi güvenliği modeline dayanır.

ISO 27001 şartları, işletmenin bilgi varlıklarını koruması için risk temelli bir yönetim sistemi kurulmasını ister. Bu yüzden standart, sadece “güvenlik yazılımı kullanılıyor mu?” sorusuyla ilgilenmez. Bilginin nerede olduğu, kimlerin eriştiği, hangi risklerin bulunduğu ve bu risklerin nasıl yönetildiği daha kritik hale gelir.

• BGYS kapsamının belirlenmesi
• Bilgi güvenliği politikalarının oluşturulması
• Varlık envanterinin hazırlanması
• Risk analizi ve risk işleme planının yapılması
• Uygulanabilirlik bildirgesinin hazırlanması
• İç denetim ve yönetim gözden geçirme faaliyetlerinin yürütülmesi
• Düzeltici faaliyet ve sürekli iyileştirme yapısının kurulması

Bu başlıkların her biri, ISO 27001 belgelendirme sürecinde değerlendirilen temel alanlardır. Eksik veya yüzeysel hazırlanan gereklilikler, denetim sürecinde uygunsuzluk riski oluşturabilir.

ISO 27001 Gereklilikleri Neden Önemlidir?

ISO 27001 gereklilikleri, işletmenin bilgi güvenliği yaklaşımını rastgele önlemlerden çıkarıp yönetilebilir bir sisteme dönüştürür. Bir işletmede antivirüs, firewall, yedekleme veya parola politikası bulunabilir; fakat bunlar tek başına ISO 27001 uyumu anlamına gelmez.

Standardın gereklilikleri, bilgi güvenliğini yönetim kararı haline getirir. Hangi bilgilerin kritik olduğu, bu bilgilere kimlerin eriştiği, hangi risklerin kabul edilebilir olduğu ve hangi kontrollerin uygulanacağı tanımlı hale gelir.

Bu yapı özellikle müşteri verisi, finansal bilgi, personel kayıtları, sözleşmeler, yazılım kaynak kodları, teknik dokümanlar veya ticari sır işleyen firmalar için önemlidir. Riskler büyümeden yönetilmezse veri kaybı, yetkisiz erişim, operasyon kesintisi ve itibar kaybı gibi sonuçlar doğabilir.

Gerekliliklerin İşletmeye Sağladığı Katkılar

1. Risklerin görünür hale gelmesi: Bilgi güvenliği riskleri ölçülebilir şekilde değerlendirilir.
2. Sorumlulukların netleşmesi: Bilgi varlıklarından ve kontrollerden kimlerin sorumlu olduğu belirlenir.
3. Müşteri güveninin artması: Kurumsal müşterilere karşı bilgi güvenliği taahhüdü güçlenir.
4. Belgelendirme hazırlığı: ISO 27001 denetimi için gerekli altyapı oluşturulur.
5. Sürekli iyileştirme: Sistem belirli aralıklarla gözden geçirilir ve geliştirilir.

ISO 27001 gereklilikleri, yalnızca denetim günü için hazırlanacak bir kontrol listesi değildir. Doğru uygulandığında işletmenin bilgi güvenliği kararlarını daha tutarlı hale getirir.

ISO 27001 Kapsam Belirleme Gerekliliği

ISO 27001 gereklilikleri içinde ilk kritik adımlardan biri kapsam belirlemedir. Kapsam, bilgi güvenliği yönetim sisteminin hangi faaliyetleri, departmanları, lokasyonları, sistemleri ve bilgi varlıklarını kapsayacağını belirler.

Kapsam yanlış belirlenirse BGYS zayıf kalır. Çok dar kapsam gerçek riskleri dışarıda bırakabilir. Gereğinden geniş kapsam ise süreci gereksiz yere karmaşıklaştırabilir. Bu yüzden kapsam belirleme aşaması işletmenin gerçek faaliyet yapısına göre yapılmalıdır.

Kapsam belirlenirken işletmenin hizmetleri, müşteri talepleri, yasal yükümlülükleri, kullanılan yazılımlar, bulut sistemleri, fiziksel çalışma alanları, uzaktan çalışma düzeni ve tedarikçi bağlantıları birlikte değerlendirilir.

Kapsam Başlığı	Değerlendirilecek Konu
Faaliyet Alanı	Hangi hizmet, ürün veya süreçlerin BGYS kapsamına alınacağı belirlenir.
Lokasyon	Merkez, şube, uzaktan çalışma ve fiziksel alanlar değerlendirilir.
Sistemler	Sunucu, yazılım, bulut, ağ ve veri depolama sistemleri incelenir.
Taraflar	Müşteri, tedarikçi, çalışan ve dış hizmet sağlayıcı ilişkileri dikkate alınır.

ISO 27001 belgesi almak isteyen işletmeler için kapsamın doğru yazılması, belgenin kullanım alanını doğrudan etkiler. Belge kapsamı işletmenin gerçek hizmetlerini yansıtmalıdır.

ISO 27001 belgelendirme sürecinin genel yapısı için ISO 27001 belgelendirme sayfası, belge alma şartları için ISO 27001 belgesi almak için gerekenler içeriği incelenebilir.

ISO 27001 Risk Analizi ve Risk İşleme Gereklilikleri

ISO 27001 gereklilikleri içinde en kritik başlıklardan biri risk analizidir. Standardın temel mantığı, bilgi güvenliğinin risk temelli yönetilmesine dayanır. İşletme hangi bilgi varlıklarına sahip olduğunu, bu varlıkların hangi tehditlerle karşı karşıya olduğunu ve risklerin nasıl ele alınacağını belirlemelidir.

Risk analizi yalnızca tablo doldurmak değildir. Tehdit, zafiyet, olasılık, etki, mevcut kontroller ve risk seviyesi birlikte değerlendirilmelidir. Ardından riskin kabul edileceği, azaltılacağı, aktarılacağı veya farklı bir yöntemle ele alınacağı belirlenir.

ISO’ya göre ISO/IEC 27001, kuruluşun bilgi güvenliği risklerini kendi ihtiyaçlarına göre değerlendirmesini ve işlemesini gerektirir. Bu yüzden her işletmenin risk analizi farklı olmalıdır. Hazır risk listesiyle yapılan çalışmalar denetimde zayıf kalabilir.

• Risk değerlendirme metodolojisi belirlenmelidir.
• Bilgi varlıkları ve sahipleri tanımlanmalıdır.
• Tehdit ve zafiyetler gerçek işletme yapısına göre analiz edilmelidir.
• Riskin gerçekleşme olasılığı ve etkisi değerlendirilmelidir.
• Risk işleme planı hazırlanmalıdır.
• Risklerin yönetim tarafından kabulü veya kontrol altına alınması sağlanmalıdır.

Risk işleme planı, hangi risk için hangi kontrolün uygulanacağını, kimin sorumlu olduğunu ve hangi zaman planıyla ilerlenmesi gerektiğini gösterir. Bu plan BGYS’nin kağıt üzerinde kalmaması için kritik bir belgedir.

ISO 27001 Varlık Envanteri Gerekliliği

ISO 27001 gereklilikleri açısından varlık envanteri, risk analizinin temelini oluşturur. İşletme hangi bilgi varlıklarına sahip olduğunu bilmiyorsa bu varlıkları koruyacak doğru kontrolleri de seçemez.

Varlık envanteri yalnızca bilgisayar, sunucu veya yazılım listesi değildir. Müşteri verileri, personel kayıtları, sözleşmeler, finansal tablolar, e-posta hesapları, kaynak kodları, fiziksel arşivler, lisanslar, donanımlar, ağ cihazları, hizmet sağlayıcılar ve kritik iş süreçleri de varlık olarak değerlendirilir.

Her varlık için varlık sahibi, gizlilik-bütünlük-erişilebilirlik değeri, saklandığı ortam, erişim yetkileri ve ilişkili riskler belirlenmelidir. Bu yapı, risk analizinin gerçekçi yapılmasını sağlar.

Varlık Envanterinde Yer Alabilecek Başlıklar

1. Bilgi varlıkları: Müşteri verisi, finansal bilgi, personel kayıtları, sözleşmeler.
2. Yazılım varlıkları: ERP, CRM, muhasebe yazılımı, özel yazılımlar, lisanslar.
3. Donanım varlıkları: Sunucu, bilgisayar, ağ cihazı, depolama birimi.
4. Fiziksel varlıklar: Arşiv odası, çalışma alanı, güvenli dolaplar.
5. İnsan kaynağı: Kritik bilgiye erişen çalışanlar ve görevler.
6. Tedarikçiler: Bulut sağlayıcılar, yazılım firmaları, dış hizmet sağlayıcılar.

Varlık envanteri güncel tutulmalıdır. Yeni yazılım alındığında, çalışan değiştiğinde, yeni müşteri verisi işlenmeye başladığında veya sistem altyapısı değiştiğinde envanterin de güncellenmesi gerekir.

ISO 27001 Dokümantasyon Gereklilikleri

ISO 27001 gereklilikleri, belirli dokümante edilmiş bilgilerin oluşturulmasını ve kontrol edilmesini gerektirir. Dokümantasyon, sistemin nasıl kurulduğunu, nasıl uygulandığını ve nasıl izlendiğini gösterir.

Buradaki amaç gereksiz evrak yükü oluşturmak değildir. Dokümanlar işletmenin bilgi güvenliği uygulamalarını anlaşılır ve izlenebilir hale getirmelidir. Çalışanların uygulamadığı, yönetimin takip etmediği ve güncellenmeyen dokümanlar güçlü bir BGYS oluşturmaz.

ISO 27001 dokümantasyonu, işletmenin kapsamına ve risk yapısına göre şekillenir. Yazılım firması, üretim işletmesi, sağlık kurumu, danışmanlık şirketi veya e-ticaret firmasının doküman ihtiyacı aynı olmayabilir.

• BGYS kapsam dokümanı
• Bilgi güvenliği politikası
• Risk değerlendirme metodolojisi
• Varlık envanteri
• Risk analizi ve risk işleme planı
• Uygulanabilirlik bildirgesi
• Erişim kontrol prosedürü
• Olay yönetimi prosedürü
• İş sürekliliği ve yedekleme kayıtları
• İç denetim ve yönetim gözden geçirme kayıtları
• Düzeltici faaliyet kayıtları

Dokümanların kontrolü de gerekliliklerden biridir. Hangi dokümanın güncel olduğu, kim tarafından onaylandığı, nerede saklandığı ve nasıl revize edildiği net olmalıdır.

Uygulanabilirlik Bildirgesi ve Kontrol Seçimi

Uygulanabilirlik bildirgesi, ISO 27001 gereklilikleri içinde en önemli dokümanlardan biridir. Genellikle SoA olarak da adlandırılır. Bu doküman, hangi bilgi güvenliği kontrollerinin uygulanacağını, hangilerinin kapsam dışında bırakıldığını ve bu kararların gerekçesini gösterir.

ISO/IEC 27001:2022 ile Annex A kontrolleri güncel bir yapıyla ele alınır. Kontroller; organizasyonel, insan, fiziksel ve teknolojik başlıklar altında değerlendirilebilir. ISO/IEC 27002 ise bu kontrollerin uygulanmasına yönelik daha ayrıntılı rehberlik sunar. ISO’ya göre ISO/IEC 27002, ISO/IEC 27001’deki BGYS gerekliliklerini destekleyen bilgi güvenliği kontrol ve iyi uygulamalarına odaklanır. :contentReference[oaicite:2]{index=2}

Uygulanabilirlik bildirgesi hazır şablonla geçiştirilemez. İşletmenin risk analizine, kapsamına, müşteri beklentilerine ve yasal yükümlülüklerine göre hazırlanmalıdır.

Kontrol Alanı	Örnek Değerlendirme
Organizasyonel Kontroller	Politikalar, sorumluluklar, tedarikçi ilişkileri ve bilgi güvenliği rolleri.
İnsan Kontrolleri	Farkındalık, görev değişiklikleri, gizlilik yükümlülükleri ve personel süreçleri.
Fiziksel Kontroller	Ofis, arşiv, cihaz güvenliği ve fiziksel erişim önlemleri.
Teknolojik Kontroller	Erişim yönetimi, yedekleme, ağ güvenliği, kayıt izleme ve olay yönetimi.

SoA dokümanının denetimde tutarlı olması gerekir. Risk analizinde yüksek çıkan bir risk için ilgili kontrol seçilmemişse bunun gerekçesi açıklanmalıdır. Uygulanan kontrollerin kayıtlarla desteklenmesi de beklenir.

İç Denetim ve Yönetim Gözden Geçirme Gereklilikleri

ISO 27001 gereklilikleri içinde iç denetim ve yönetim gözden geçirme kritik iki adımdır. İç denetim, bilgi güvenliği yönetim sisteminin standarda, işletmenin kendi kurallarına ve uygulama gerçekliğine uygun olup olmadığını kontrol eder.

Yönetim gözden geçirme ise üst yönetimin BGYS performansını değerlendirdiği aşamadır. Risk durumu, denetim sonuçları, uygunsuzluklar, hedefler, olaylar, kaynak ihtiyaçları ve iyileştirme fırsatları bu toplantıda ele alınır.

• İç denetim planı hazırlanmalıdır.
• Denetim kapsamı ve kriterleri belirlenmelidir.
• Uygunsuzluklar kayıt altına alınmalıdır.
• Düzeltici faaliyetler takip edilmelidir.
• Yönetim gözden geçirme toplantısı yapılmalıdır.
• Toplantı kararları ve iyileştirme aksiyonları kayıt altına alınmalıdır.

İç denetim ve yönetim gözden geçirme yapılmadan ISO 27001 belgelendirme denetimine girmek ciddi eksiklik oluşturabilir. Bu adımlar sistemin gerçekten çalışıp çalışmadığını gösterir.

Genel Uygulamalar ile Profesyonel ISO 27001 Hazırlığı Arasındaki Fark

ISO 27001 gereklilikleri hazırlanırken en sık görülen zayıf yaklaşım, hazır doküman setleriyle belgelendirme sürecine girmektir. Bu yöntem hızlı görünür; fakat işletmenin gerçek bilgi varlıklarını, risklerini, teknik altyapısını ve operasyonel yapısını yansıtmıyorsa denetimde problem oluşturabilir.

Profesyonel ISO 27001 hazırlığında önce işletmenin faaliyetleri, bilgi varlıkları, sistemleri, çalışan rolleri, tedarikçi ilişkileri ve yasal yükümlülükleri incelenir. Ardından gereklilikler bu gerçek yapıya göre hazırlanır.

Başlık	Zayıf Yaklaşım	Profesyonel Hazırlık
Kapsam	Genel ve belirsiz yazılır.	Faaliyet, lokasyon, sistem ve veri yapısına göre belirlenir.
Risk Analizi	Hazır tablo doldurulur.	Varlık, tehdit, zafiyet, olasılık ve etki ilişkisiyle yapılır.
SoA	Kontroller gerekçesiz seçilir.	Kontrol seçimleri risk ve kapsam ile ilişkilendirilir.
Uygulama	Dosyalar hazırlanır, çalışanlar sürece dahil edilmez.	Sorumlular, kontroller ve kayıtlar işletme içinde uygulanır.

ISO 27001 gereklilikleri, yalnızca denetim dosyası hazırlamak için değil, bilgi güvenliği yönetim sistemini gerçekten çalıştırmak için ele alınmalıdır. Denetçi karşısında açıklanamayan dokümanlar, uygulamada karşılığı olmayan kontroller ve güncel olmayan kayıtlar süreci zayıflatır.

Ankara’da ISO 27001 Gereklilikleri İçin Danışmanlık

DM Belgelendirme, Huzur Mahallesi 1218 Cadde No:13/B Öveçler, Çankaya, Ankara adresinde ISO 27001 gereklilikleri, BGYS kurulumu ve belgelendirme hazırlığı için danışmanlık desteği sunar. Ankara’da faaliyet gösteren işletmeler için yüz yüze analiz, kapsam belirleme ve dokümantasyon çalışması daha planlı yürütülebilir.

Çankaya, Öveçler, Balgat, Söğütözü, Ostim, İvedik, Yenimahalle ve Ankara çevresindeki yazılım, bilişim, danışmanlık, üretim, e-ticaret, sağlık, eğitim ve hizmet firmaları için ISO 27001 süreci işletmeye özel planlanabilir.

Ankara dışındaki işletmeler için de uzaktan danışmanlık, risk analizi hazırlığı, varlık envanteri, SoA dokümanı ve belgelendirme öncesi kontrol desteği sağlanabilir. ISO 27001 gereklilikleri, lokasyondan çok işletmenin bilgi varlıklarına, risk seviyesine ve belge kullanım amacına göre şekillenir.

ISO 27001 Gerekliliklerinde Yapılan Yaygın Hatalar

ISO 27001 gereklilikleri hazırlanırken yapılan hatalar, belgelendirme sürecinde uygunsuzluklara yol açabilir. En yaygın hata, standart gerekliliklerinin yalnızca doküman listesi gibi görülmesidir.

Oysa ISO 27001, yaşayan bir bilgi güvenliği yönetim sistemi ister. Riskler değiştikçe, sistemler güncellendikçe, çalışanlar değiştikçe ve yeni müşteri gereklilikleri ortaya çıktıkça BGYS de güncellenmelidir.

• Kapsamı net belirlememek
• Varlık envanterini eksik hazırlamak
• Risk analizini gerçek tehditlere göre yapmamak
• Risk işleme planını aksiyonlara bağlamamak
• Uygulanabilirlik bildirgesini gerekçesiz hazırlamak
• İç denetim ve yönetim gözden geçirme kayıtlarını oluşturmamak
• Teknik kontroller ile yönetim sistemi dokümanlarını birbirinden kopuk bırakmak

Bu hatalardan kaçınmak için ISO 27001 hazırlığı, yönetim, bilgi işlem, insan kaynakları, satın alma, satış ve operasyon ekiplerini kapsayan ortak bir çalışma olarak planlanmalıdır.

ISO 27001 Gereklilikleri ve Belgelendirme Süreci

ISO 27001 belgelendirme sürecinde kuruluşun gereklilikleri ne kadar doğru karşıladığı değerlendirilir. Denetimde kapsam, risk analizi, varlık envanteri, bilgi güvenliği politikası, uygulanabilirlik bildirgesi, iç denetim, yönetim gözden geçirme, düzeltici faaliyetler ve kontrol uygulamaları incelenir.

Belgelendirme öncesi hazırlık tamamlandığında yetkili belgelendirme kuruluşu tarafından denetim yapılır. Uygunsuzluk tespit edilirse düzeltici faaliyetler tamamlanır. Uygunluk sağlandığında ISO 27001 belgesi düzenlenebilir.

1. BGYS kapsamı belirlenir.
2. Varlık envanteri hazırlanır.
3. Risk analizi ve risk işleme planı yapılır.
4. Uygulanabilirlik bildirgesi oluşturulur.
5. Politika ve prosedürler hazırlanır.
6. Kontroller uygulanır ve kayıtlar oluşturulur.
7. İç denetim yapılır.
8. Yönetim gözden geçirme tamamlanır.
9. Belgelendirme denetimine girilir.

ISO 27001 belgesi fiyat ve maliyet tarafındaki detaylar için ISO 27001 belgesi fiyatı, genel belge bilgisi için ISO 27001 belgesi sayfaları incelenebilir.

Sıkça Sorulan Sorular

ISO 27001 gereklilikleri nelerdir?

ISO 27001 gereklilikleri; BGYS kapsamı, risk analizi, varlık envanteri, bilgi güvenliği politikası, risk işleme planı, uygulanabilirlik bildirgesi, iç denetim, yönetim gözden geçirme ve sürekli iyileştirme başlıklarını kapsar.

ISO 27001 için risk analizi zorunlu mu?

Evet. ISO 27001 bilgi güvenliği yönetim sistemi risk temelli bir standarttır. Kuruluşun bilgi güvenliği risklerini değerlendirmesi ve bu riskler için işleme planı oluşturması gerekir.

ISO 27001 için varlık envanteri gerekir mi?

Evet. Varlık envanteri, risk analizinin temelini oluşturur. Bilgi varlıkları, sistemler, yazılımlar, donanımlar, fiziksel alanlar ve sorumlular belirlenmelidir.

Uygulanabilirlik bildirgesi nedir?

Uygulanabilirlik bildirgesi, hangi bilgi güvenliği kontrollerinin uygulanacağını, hangilerinin kapsam dışında bırakıldığını ve bu kararların gerekçelerini gösteren önemli bir ISO 27001 dokümanıdır.

ISO 27001 gereklilikleri için hangi dokümanlar hazırlanır?

BGYS kapsamı, bilgi güvenliği politikası, varlık envanteri, risk analizi, risk işleme planı, uygulanabilirlik bildirgesi, iç denetim kayıtları, yönetim gözden geçirme kayıtları ve düzeltici faaliyet kayıtları hazırlanabilir.

ISO 27001 gereklilikleri ne kadar sürede tamamlanır?

Süre, işletmenin mevcut hazırlık durumuna, çalışan sayısına, bilgi varlığı yoğunluğuna, kapsamına ve teknik altyapısına göre değişir. Hazır altyapısı olan firmalarda süreç daha kısa ilerleyebilir.

ISO 27001 gerekliliklerini karşılamadan belge alınabilir mi?

Belgelendirme denetiminde ISO 27001 gerekliliklerinin karşılanması beklenir. Eksik kapsam, yüzeysel risk analizi veya uygulanmayan kontroller uygunsuzluk oluşturabilir.

Ankara’da ISO 27001 gereklilikleri için danışmanlık alınabilir mi?

DM Belgelendirme, Ankara Çankaya Öveçler merkezli yapısıyla ISO 27001 gereklilikleri, BGYS kurulumu, risk analizi ve belgelendirme hazırlığı için danışmanlık desteği sunar.