Ecem Aksut · ISO 27001 Lead Auditor, CRISC · 15+ yıl kurumsal risk ve denetim deneyimi
Rehber · Bilgi Güvenliği
ISO 27001 hakkında internette yüzlerce tanım var. Çoğu, standardı satan kurumlar tarafından yazıldığı için size belgeyi anlatır, denetimi anlatmaz. Bu rehber farklı: standardın güncel sürümü olan ISO 27001:2022 üzerinden, bir belgelendirme denetiminde masanın hangi tarafında durduğumu ve gerçekte neye baktığımı anlatıyor.
İçindekiler
ISO 27001, bir kurumun bilgi güvenliğini tek seferlik bir önlem olarak değil, sürekli işleyen bir yönetim sistemi olarak kurmasını şart koşan uluslararası standarttır. Adının açılımı önemlidir: ISO/IEC 27001, Bilgi Güvenliği, Siber Güvenlik ve Gizliliğin Korunması başlığı altında yayımlanır ve dünya genelinde belgelendirmeye esas alınan tek bilgi güvenliği yönetim sistemi standardıdır.
Burada en sık yapılan kavram hatası şu: ISO 27001'i bir antivirüs, bir güvenlik duvarı ya da bir sızma testi gibi teknik bir çözüm sanmak. Standart hiçbir teknik ürünü zorunlu kılmaz. Onun yerine, kurumun kendi risklerini tanımlamasını, bu risklere karşı bilinçli kararlar vermesini ve verdiği kararları kanıtlayabilmesini ister. Yani ISO 27001 size ne yapacağınızı söylemez; nasıl karar vereceğinizi ve bu kararı nasıl yöneteceğinizi standartlaştırır.
Bu ayrımı erken kavramak önemli, çünkü ISO 27001 yolculuğuna teknik bir proje gibi başlayan kurumların büyük kısmı denetimde zorlanır. Standart bir teknoloji projesi değil, bir yönetişim projesidir.
Yeni başlıyorsanız
Denetçi gözüyle hazırladığım hazırlık kontrol listesini ve haftalık kurumsal risk bültenini birlikte alın. İlk denetimden önce kapatmanız gereken boşlukları önceden görün.
Bültene katıl, listeyi alISO 27001'in kalbinde BGYS, yani Bilgi Güvenliği Yönetim Sistemi vardır. Standardın zorunlu maddeleri (4 ile 10 arasındaki ana gövde) tamamen bu sistemi tarif eder. Denetimde bir belgelendirme kuruluşu önce bu maddelere bakar, Annex A'daki teknik kontrollere değil.
BGYS'nin temel mantığı bir döngüdür: kurum bilgi güvenliği bağlamını anlar, risklerini değerlendirir, bu risklere karşı kontroller seçer, uygular, ölçer ve sürekli iyileştirir. Bu döngünün her halkasının yazılı kanıtı olması beklenir. Bir baş denetçi olarak benim aradığım ilk şey, kurumun bu döngüyü gerçekten yaşayıp yaşamadığıdır, yoksa sadece denetimden bir hafta önce hazırlanmış kâğıtlar mı sunduğudur.
Bir BGYS'nin canlı olup olmadığını anlamak için belgelere değil, tarihlere bakarım. Tüm kayıtlar aynı haftaya aitse, o sistem yaşamıyor demektir.
BGYS kurmanın ilk somut çıktısı genellikle üç temel dokümandır: kapsam bildirimi, bilgi güvenliği politikası ve risk değerlendirme metodolojisi. Bu üçü olmadan ilerleyen projeler, sonradan dağılmaya en yatkın olanlardır.
ISO 27001 genel olarak gönüllü bir standart olsa da, bazı kurumlar için fiilen zorunlu, bazıları için ise güçlü bir rekabet avantajıdır. Kendinizi aşağıdaki profillerde görüyorsanız, standart sizin gündeminizde olmalıdır:
Buna karşılık, bilgi varlığı sınırlı ve dış paydaş beklentisi olmayan çok küçük bir işletme için ISO 27001 erken bir yatırım olabilir. Standart herkese her zaman gerekli değildir; doğru soru "almalı mıyım" değil, "benim iş modelimde hangi kapıyı açıyor ya da hangi riski kapatıyor" sorusudur.
Standardın ekinde yer alan Annex A, kurumların seçebileceği referans kontrolleri listeler. Güncel sürümde bu kontroller dört tema altında toplanmıştır: örgütsel, insan kaynaklı, fiziksel ve teknolojik kontroller. Toplam 93 kontrolden oluşur.
Burada kritik bir yanlış anlama var: birçok kurum 93 kontrolün tamamını uygulamak zorunda olduğunu sanır. Bu doğru değil. Annex A bir menüdür, bir zorunluluk listesi değil. Kurum, risk değerlendirmesi sonucunda hangi kontrollerin kendisi için anlamlı olduğunu belirler ve bunu Uygulanabilirlik Bildirgesi adı verilen belgede gerekçesiyle yazar. Bir kontrolü uygulamıyorsanız, denetçinin sorduğu soru "neden uygulamıyorsunuz" olur ve makul bir gerekçe yeterlidir.
| Annex A Teması | Neyi kapsar |
|---|---|
| Örgütsel kontroller | Politikalar, roller, tedarikçi ilişkileri, olay yönetimi |
| İnsan kaynaklı kontroller | Farkındalık, işe alım, ayrılış süreçleri, disiplin |
| Fiziksel kontroller | Erişim güvenliği, ekipman, temiz masa, imha |
| Teknolojik kontroller | Erişim yönetimi, şifreleme, yedekleme, log kaydı |
Dört temayı kısaca açmak, hangi kontrolün nereye düştüğünü anlamayı kolaylaştırır:
En geniş tema budur ve genellikle en çok ihmal edilen alandır. Politikalar, bilgi güvenliği rolleri, tedarikçi ilişkileri, olay yönetimi ve sürekliliği kapsar. Kurumların çoğu güvenliği teknik bir mesele sandığı için bu temayı hafife alır; oysa denetimde en fazla bulgu buradan çıkar. Çünkü örgütsel kontroller, sistemin yönetiliyor olduğunu kanıtlayan kontrollerdir.
Bilgi güvenliğinin en zayıf halkası genellikle teknoloji değil, insandır. Bu tema işe alımdaki güvenlik kontrollerini, çalışan farkındalığını, gizlilik taahhütlerini ve işten ayrılış süreçlerini kapsar. Bir çalışan ayrıldığında erişimlerinin ne kadar sürede kapatıldığı, bu temanın klasik denetim sorusudur.
Uzaktan çalışma yaygınlaşsa da fiziksel güvenlik hâlâ önemlidir. Sunucu odalarına erişim, temiz masa uygulaması, ekipmanın güvenli imhası ve cihazların korunması bu temada yer alır. Tamamen bulutta çalışan bir şirket bile, çalışanların dizüstü bilgisayarları üzerinden fiziksel risk taşır.
Çoğu kurumun ISO 27001 deyince ilk aklına gelen tema budur: erişim yönetimi, şifreleme, yedekleme, log kaydı, güvenli kodlama ve 2022 ile gelen yeni kontroller. Teknik ekiplerin en rahat olduğu alandır, ama paradoksal biçimde denetimde tek başına yeterli olmayan alandır. Çünkü teknoloji vardır da onu işleten süreç yoksa, kontrol kâğıt üzerinde kalır.
Denetçi Notu
Sahada en çok gördüğüm hata, Uygulanabilirlik Bildirgesi'nin bir şablondan kopyalanmasıdır. Her kontrolün karşısında "Uygulanıyor" yazar ama hiçbirinin gerekçesi yoktur. Bu, denetçiye sistemin düşünülerek değil doldurulmak için kurulduğunu anlatır ve genellikle daha derin bir incelemeyi tetikler.
Standardın güncel sürümü ISO 27001:2022'dir ve bir önceki 2013 sürümünden anlamlı biçimde farklıdır. Hâlâ eski sürüme göre kurulmuş sistemlerle karşılaşıyorum; bu yüzden farkı bilmek önemli. En kritik değişiklik Annex A tarafındadır:
2013 sürümüne göre belgelendirilmiş kurumlar için 2022'ye geçişin resmi bir son tarihi tanımlanmıştı. Bugün yeni kurulan her BGYS doğrudan 2022 sürümüne göre tasarlanmalıdır; eski sürüm üzerinden ilerlemek, kısa süre sonra geçiş maliyeti doğurur.
Denetçi Notu
2022'nin getirdiği yeni kontrollerin önemli bir kısmı doğrudan kişisel veri korumasını ilgilendiriyor: veri maskeleme, veri sızıntısı önleme ve bilgi silme bunların başında geliyor. Bu, ISO 27001'i KVKK ve GDPR tarafına belirgin biçimde yaklaştırdı. Yani güncel sürüme göre kurulmuş sağlam bir BGYS, kişisel veri uyumunun teknik ayağında size ciddi yol aldırır.
Türkiye'deki kurumların en çok karıştırdığı konu budur. İkisi sık sık aynı cümlede geçtiği için aynı şey sanılır. Oysa temel doğaları farklıdır.
KVKK, yani 6698 sayılı Kişisel Verilerin Korunması Kanunu, Türkiye'de geçerli, zorunlu bir yasal düzenlemedir. Uymamak idari para cezası doğurur. Kapsamı kişisel verilerle sınırlıdır. Avrupa tarafındaki muadili GDPR'dır; ikisi felsefe olarak büyük ölçüde örtüşür. ISO 27001:2022 ise gönüllü, uluslararası bir yönetim sistemi standardıdır; her tür bilgi varlığını kapsar, sadece kişisel veriyi değil.
İkisi rakip değil, tamamlayıcıdır. Özellikle 2022 sürümüyle gelen veri maskeleme, veri sızıntısı önleme ve bilgi silme kontrolleri, ISO 27001'i kişisel veri korumasının teknik tarafına belirgin biçimde yaklaştırdı. Bu yüzden sağlam bir BGYS, KVKK'nın istediği teknik ve idari tedbirlerin büyük kısmını doğal olarak karşılar.
Aşağıdaki tablo, KVKK'nın beklediği başlıca teknik tedbir alanlarını ISO 27001:2022 Annex A kontrolleriyle eşleştirir. Bu, "ISO 27001'imiz var, KVKK için ne kadar yol almışız" sorusunun pratik cevabıdır:
| KVKK Teknik Tedbir Alanı | ISO 27001:2022 Karşılığı (Annex A) | Örtüşme |
|---|---|---|
| Yetki ve erişim matrisleri | Erişim kontrolü, kimlik yönetimi, ayrıcalıklı erişim hakları | Yüksek |
| Kişisel veri güvenliği takibi (loglama) | İzleme faaliyetleri, log kaydı, olay yönetimi | Yüksek |
| Şifreleme ve kriptografi | Kriptografi kullanımı, bilgi aktarımının güvenliği | Yüksek |
| Veri maskeleme ve anonimleştirme | Veri maskeleme (2022 ile yeni) | Yüksek |
| Sızıntı önleme | Veri sızıntısı önleme (2022 ile yeni) | Yüksek |
| Verilerin yedeklenmesi | Bilgi yedekleme, BİT iş sürekliliği hazırlığı | Yüksek |
| Saklama ve imha | Bilgi silme (2022 ile yeni), kayıtların korunması | Orta-Yüksek |
| Çalışan farkındalığı ve gizlilik taahhütleri | Farkındalık eğitimi, gizlilik anlaşmaları, disiplin süreci | Yüksek |
| Tedarikçi (veri işleyen) yönetimi | Tedarikçi ilişkilerinde bilgi güvenliği, hizmet sunumu izleme | Yüksek |
| İhlal bildirimi süreci | Bilgi güvenliği olaylarının yönetimi ve raporlanması | Orta-Yüksek |
Tablodan görüleceği gibi örtüşme yüksektir, ancak bire bir değildir. ISO 27001 teknik ve idari altyapıyı kurar; fakat KVKK'nın hukuki yükümlülüklerini (aydınlatma metni, açık rıza yönetimi, VERBİS kaydı, veri sahibi başvuruları gibi) doğrudan karşılamaz. Bu hukuki katman ayrıca ele alınmalıdır. Bir adım öteye gitmek isteyenler için ISO 27701, 27001'in üzerine kurulan ve doğrudan kişisel veri gizliliği yönetimine odaklanan uzantı standardıdır; KVKK ve GDPR uyumu için en doğal köprüdür.
Pratikte sık verdiğim tavsiye şudur: ISO 27001:2022'yi yönetim sistemi omurgası olarak kurun, KVKK uyumunu bu omurganın üzerine oturtun. Tersi, yani her düzenleme için ayrı ada kurmak, kurumu yorar.
Uygulama aşamasındaysanız
BGYS kurarken iş sürekliliği ve yapay zeka riski gibi alanlarda sıfırdan başlamak zorunda değilsiniz. ISO 22301 uyumlu BCP şablonu ve AI risk değerlendirme çerçevesi, denetime hazır yapıda kullanıma sunulmuştur.
Araç kütüphanesini görISO 27001'in en yanlış anlaşılan parçası risk değerlendirmesidir. Birçok kurum bunu denetimden önce doldurulması gereken bir tablo sanır. Oysa risk değerlendirmesi, tüm BGYS'nin üzerine kurulduğu temeldir; hangi kontrolleri neden seçtiğinizin, hangi riski neden kabul ettiğinizin gerekçesi buradan çıkar. Yüzeysel bir risk değerlendirmesi, sağlam görünen bir sistemi denetimde çökerten en yaygın nedendir.
Standart belirli bir metodolojiyi zorunlu kılmaz; size kendi tutarlı yönteminizi tanımlama özgürlüğü verir. Ancak denetçi olarak aradığım şey her zaman aynıdır: yöntemin yazılı, tekrarlanabilir ve tutarlı uygulanmış olması. Pratikte sağlıklı bir risk değerlendirmesi şu adımlardan geçer:
Burada kritik nokta beşinci adımdır. Bir riski "kabul ediyoruz" demek tamamen geçerlidir; standart sizi her riski sıfırlamaya zorlamaz. Ama bu kararın bilinçli, gerekçeli ve yetkili biri tarafından verilmiş olması gerekir. Denetimde "bu riski neden kabul ettiniz" sorusuna "fark etmemiştik" cevabı bir uygunsuzluktur; "iş gerekçesiyle, şu tarihte yönetim onayıyla kabul ettik" cevabı ise sistemin çalıştığının kanıtıdır.
İyi bir risk değerlendirmesini kötüsünden ayıran tek şey vardır: iyi olanı okuduğunuzda kurumu tanırsınız. Kötü olanı her kuruma yapıştırabilirsiniz.
Denetçi Notu
Risk değerlendirmesinin canlı olup olmadığını anlamak için tek bir soru sorarım: "Bu değerlendirmeyi en son ne zaman güncellediniz ve neyi değiştirdiniz?" Cevap "kurduğumuzda yapmıştık" ise, o risk değerlendirmesi bir fotoğraftır, oysa olması gereken bir filmdir. Risk ortamı değişir; değerlendirme onu takip etmiyorsa sistem geride kalmıştır.
ISO 27001 sertifikasına giden yol, kurum olgunluğuna göre değişmekle birlikte, genellikle aynı aşamalardan geçer:
Tipik bir kurumda bu döngü, mevcut olgunluğa göre 4 ila 9 ay arasında tamamlanır. Süreyi en çok uzatan şey teknik eksiklik değil, risk değerlendirmesinin yüzeysel yapılması ve iç denetimin geç başlatılmasıdır.
Teorik anlatım bir yere kadar yardımcı olur. Gerçek bir denetimin nasıl hissettirdiğini aktarmak için, kurum kimliğini gizleyerek tipik bir Aşama 2 saha denetimini özetleyeyim. Orta ölçekli bir teknoloji şirketiydi; teknik altyapıları güçlüydü ve bu yüzden kendilerinden emindiler.
Denetim, teknik kontrollerle değil, bir soruyla başladı: "Geçen çeyrekte yaşadığınız bir bilgi güvenliği olayını ve nasıl ele aldığınızı anlatır mısınız?" Ekip duraksadı. Sistemleri loglar üretiyordu, ama hiç kimse bu logları düzenli incelemiyordu. Yani teknik kontrol vardı, fakat onu işleten süreç yoktu. Bu, ISO 27001'in tam da yakaladığı boşluktur: araç ile yönetim arasındaki fark.
İkinci tespit tedarikçi tarafında çıktı. Kritik müşteri verisini bir bulut sağlayıcıda tutuyorlardı, ama bu sağlayıcıyla yapılmış bir bilgi güvenliği değerlendirmesi yoktu. Kendi evleri düzenliydi; ancak verinin yarısı başka birinin evindeydi ve o eve hiç bakılmamıştı.
Üçüncüsü daha inceydi. Risk değerlendirmeleri özenliydi, fakat altı ay öncesine aitti ve o dönemde şirket yeni bir ürün hattı başlatmıştı. Yeni ürün, yeni veri akışları ve yeni riskler demekti; ama bunların hiçbiri risk değerlendirmesine yansımamıştı. Sistem kurulmuştu, ama yaşamı takip etmiyordu.
Bu denetim bir uygunsuzlukla kapanmadı, çünkü bulgular düzeltilebilir nitelikteydi ve ekip şeffaf davrandı. Ama anlatmak istediğim nokta şu: hiçbir bulgu teknik bir zafiyet değildi. Hepsi, teknolojinin değil yönetimin boşluklarıydı. ISO 27001 denetimi tam olarak burayı görmek için vardır.
"ISO 27001 sertifika fiyatı ne kadar" sorusunun tek bir cevabı yoktur, çünkü fiyat birden çok kalemden oluşur ve bunların çoğu kurumdan kuruma değişir. Maliyeti belirleyen ana etkenler:
Burada en sık yapılan bütçeleme hatası, yalnızca belgelendirme kuruluşunun ücretini hesaba katıp iç iş gücünü, danışmanlığı ve yıllık gözetim denetimlerini görmezden gelmektir. Gerçekçi bir bütçe, üç yıllık toplam sahip olma maliyeti üzerinden kurulmalıdır.
Maliyeti bütçelerken kalemleri ayrı ayrı görmek faydalıdır. Aşağıdaki tablo, tutar vermeden, hangi kalemlerin toplam maliyeti oluşturduğunu ve bunların tek seferlik mi yoksa süregelen mi olduğunu özetler:
| Maliyet Kalemi | Niteliği | Sık atlanır mı |
|---|---|---|
| Boşluk analizi / hazırlık | Tek seferlik | Bazen |
| Danışmanlık desteği | Tek seferlik (opsiyonel) | Hayır |
| İç iş gücü (proje ekibi zamanı) | Tek seferlik, yoğun | Sıklıkla |
| Teknik iyileştirme yatırımları | Değişken | Bazen |
| Aşama 1 + Aşama 2 belgelendirme denetimi | Tek seferlik | Hayır |
| Yıllık gözetim denetimi (1. ve 2. yıl) | Süregelen | Sıklıkla |
| Üç yıl sonu yeniden belgelendirme | Periyodik | Sıklıkla |
| Sistemin sürdürülmesi (personel zamanı) | Süregelen | Neredeyse her zaman |
Tablodaki "neredeyse her zaman atlanır" satırı en önemlisidir: ISO 27001 bir kerede alınıp rafa kaldırılan bir belge değildir. Sertifikanın asıl maliyeti, sistemin canlı tutulması için ayrılan sürekli emektir. Bunu bütçelemeyen kurumlar, ikinci yıl gözetim denetiminde zorlanır.
Sertifikayı veren belgelendirme kuruluşunun seçimi, çoğu kurumun fiyata bakarak verdiği ama aslında stratejik olan bir karardır. Çünkü tüm sertifikalar eşit ağırlıkta değildir. Dikkat edilmesi gereken başlıca noktalar:
Bir denetçi olarak şunu söyleyebilirim: kurumlar bazen "kolay geçiren" bir belgelendirme kuruluşu arar. Oysa kolay geçiren denetim, size hiçbir şey öğretmeyen denetimdir. İyi bir denetim, sertifikadan çok daha değerli bir şey verir: kör noktalarınızın haritasını.
Yıllar içinde farklı sektörlerden onlarca kurumu denetledim. Hatalar şaşırtıcı biçimde tekrar eder. En sık karşılaştığım beşi:
BGYS sürekli işlemesi gereken bir döngüdür. Son anda toplanan kayıtlar denetçinin gözünden kaçmaz; tarihler her şeyi anlatır.
Risk değerlendirmesi bir Excel egzersizi değil, bir karar sürecidir. Çıktısı, yönetimin hangi riski neden kabul ettiğini gösteren bilinçli kararlardır.
Standart, liderliğin görünür sahipliğini açıkça ister. Yönetimin gözden geçirme toplantısı yapılmamışsa ya da göstermelikse, bu bir uygunsuzluktur.
Kurumun kendi güvenliği güçlü olsa bile, kritik verisini işleyen tedarikçileri zayıfsa risk oradadır. Annex A bunu açıkça kapsar ve denetimde giderek daha çok sorgulanır.
Çalışan farkındalığı, herkese gönderilen tek bir bilgilendirme e-postasıyla kanıtlanamaz. Denetçi, farkındalığın ölçüldüğüne dair kanıt arar.
Süreci tek başınıza yönetmek istemiyorsanız
ISO 27001 sürecinizi nereden başlatacağınızdan emin değilseniz ya da yaklaşan bir denetime hazırlanıyorsanız, bağımsız bir bakış açısı zaman ve maliyet kaybını önleyebilir. The Governance üzerinden iletişime geçebilirsiniz.
İletişime geçGenel olarak zorunlu değildir; gönüllü bir standarttır. Ancak bazı kamu ihalelerinde, finans ve telekomünikasyon gibi düzenlenmiş sektörlerde ya da büyük müşterilerin tedarikçi şartlarında fiilen zorunlu hale gelebilir.
ISO 27001 belgelendirmeye esas alınan, zorunlu gereklilikleri içeren standarttır. ISO 27002 ise Annex A kontrollerinin nasıl uygulanacağına dair rehber niteliğindedir; belgelendirilmez, yol gösterir.
Belgelendirme sertifikası üç yıl geçerlidir. Bu süre içinde her yıl gözetim denetimi yapılır ve üç yılın sonunda yeniden belgelendirme denetimi gerekir.
Tek başına yeterli değildir ama büyük bir avantaj sağlar. ISO 27001:2022, KVKK'nın istediği teknik ve idari tedbirlerin önemli kısmını karşılar; ancak aydınlatma, açık rıza, VERBİS kaydı ve veri sahibi başvuruları gibi hukuki yükümlülükler ayrıca ele alınmalıdır. Gizlilik tarafını güçlendirmek için ISO 27701 uzantısı değerlendirilebilir.
Evet. Standart ölçek bağımsızdır. Kapsam ve kontroller kurumun büyüklüğüne ve risklerine göre ayarlanır; küçük bir ekip de sistemi orantılı biçimde kurabilir.
Bu rehberi faydalı bulduysanız
The Governance, Türkiye'nin bağımsız GRC bültenidir. ISO 27001, KVKK, tedarik zinciri riski ve AI yönetişimini yönetici dilinde, haftada 10 dakikada özetler.
Bültene abone ol