ISO 27001 belgesi nedir ve ne işe yarar?

ISO 27001 belgesi, bir kuruluşun bilgi varlıklarını korumak için uluslararası standartlarda bir yönetim sistemi kurduğunu kanıtlayan tescil belgesidir. 2026 siber güvenlik projeksiyonunda bu belge, verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini garanti altına alarak kurumsal itibarı ve yasal uyumu korur.

2026 yılında ISO 27001 belgesi almak zorunlu mu?

EPDK kapsamındaki enerji şirketleri, Gümrük ve Ticaret Bakanlığı YYS statüsü isteyen firmalar ve kamu ihalesi alan bilişim şirketleri için ISO 27001 belgesi yasal bir zorunluluktur. Ayrıca 2026 itibarıyla dijital ticaret ekosisteminde güven tesis etmek isteyen tüm sektörler için stratejik bir gerekliliktir.

ISO 27001 belgesi geçerlilik süresi ne kadardır?

Akredite bir denetim sonucunda alınan ISO 27001 belgesi 3 yıl boyunca geçerlidir. Ancak sistemin sürekliliğinin ve standartlara uyumunun teyit edilmesi amacıyla her yıl periyodik gözetim denetimlerinin yapılması zorunludur.

ISO 27001:2022 revizyonu neleri kapsıyor?

ISO 27001:2022 revizyonu, bilgi güvenliği kontrollerini modernize ederek 114 kontrolü 93 maddeye indirmiştir. Bu güncel yapı; bulut bilişim, veri maskeleme ve siber tehdit istihbaratı gibi 2026 dijital ihtiyaçlarını doğrudan karşılayan 4 ana tema (Organizasyonel, Kişisel, Fiziksel, Teknolojik) üzerine kuruludur.

ISO 27001 belgesi fiyatları nasıl belirlenir?

Belgelendirme ücretleri; kuruluşun personel sayısı, kapsamdaki lokasyon dağılımı ve faaliyet gösterilen sektörün risk seviyesine göre belirlenen 'adam/gün' denetim süresi üzerinden hesaplanır. Net bir teklif için akredite belgelendirme kuruluşu ile iletişime geçilmelidir.

ISO 27001 Belgesi - DSR Belgelendirme | Uluslararası Belgelendirme Firması

ISO 27001 Belgesi: Belgelendirme Süreci ve Adım Adım Güncel Tam Rehber

Bilgi güvenliği, dijitalleşen dünyada artık bir lüks değil, zorunluluktur. İşletmelerin veri varlıklarını koruma altına aldığını kanıtlayan en prestijli standart ise ISO 27001 Belgesi‘dir. Peki, ISO 27001 belgesi nedir, nasıl alınır ve bu süreçte sizi neler bekler? Bu makalede, DSR Belgelendirme standartlarında bir sertifikasyon süreci için bilmeniz gereken her şeyi derinlemesine inceleyeceğiz.

ISO 27001 Belgesi Nedir?

ISO 27001 Belgesi, bir kurumun Bilgi Güvenliği Yönetim Sistemi (BGYS) kurduğunu, uyguladığını ve sürekli iyileştirdiğini gösteren uluslararası standarttır. Sadece IT departmanını değil; insan kaynaklarından fiziksel güvenliğe kadar tüm kurumsal yapıyı kapsar.

Uluslararası standartların geliştiricisi olan ISO (International Organization for Standardization) tarafından yayınlanan resmi dokümanlara ve ISO/IEC 27001 teknik spesifikasyonlarına kurumun resmi portalı üzerinden erişim sağlayabilirsiniz.

Semantik Terimler ve Bağlam

BGYS (Bilgi Güvenliği Yönetim Sistemi): ISO 27001’in temel iskeletidir.
Risk Analizi ve Değerlendirme: Veri tehditlerini belirleme sürecidir.
Annex A Kontrolleri: Standartta yer alan 114 (yeni versiyonda 93) maddelik kontrol listesidir.
SoA (Statement of Applicability): Uygulanabilirlik Bildirgesi.

ISO 27001 Belgesi Alım Sürecinin Aşamaları

ISO 27001 belgesi almak, sadece bir kağıda sahip olmak değil, bir kültür dönüşümüdür. İşte adım adım süreç:

1. Mevcut Durum Analizi (Gap Analysis)

Sürecin ilk adımı, mevcut sisteminizin standart gereksinimlerine ne kadar uzak olduğunu belirlemektir. Eksiklikler raporlanır ve yol haritası çıkarılır.

2. Risk Yönetimi ve Değerlendirme

ISO 27001 belgesi almanın kalbi risk yönetimidir. Şirketin sahip olduğu varlıklar (donanım, yazılım, insan kaynağı) listelenir ve bu varlıklara yönelik tehditler analiz edilir. Kabul edilebilir risk seviyeleri belirlenir.

3. Dokümantasyon Hazırlığı

Sistemin sürdürülebilirliği için yazılı kurallar şarttır. Bu aşamada şu dokümanlar oluşturulur:

Bilgi Güvenliği Politikası
Varlık Yönetimi Prosedürü
Erişim Kontrol Politikası
İş Sürekliliği Planları

4. Uygulama ve Kayıt Oluşturma

Dokümanlar hazırlandıktan sonra sistem işletilmeye başlanır. Eğitimler verilir, olay kayıtları tutulur ve personelin ISO 27001 belgesi standartlarına uyumu gözlemlenir.

ISO 27001 Belgesi Almanın Avantajları

Neden bir işletme ISO 27001 belgesi almalıdır?

Yasal Uyum: KVKK ve ilgili regülasyonlara uyumu kolaylaştırır.
Müşteri Güveni: Verilerin güvende olduğu mesajını verir.
Rekabet Avantajı: İhalelerde ve uluslararası ortaklıklarda ön koşul olarak aranır.
Maliyet Tasarrufu: Güvenlik ihlallerinden kaynaklanacak maddi kayıpları minimize eder.

ISO 27001 Belgesi İçin Gerekli Denetimler

Belgelendirme süreci iki aşamalı dış denetimden oluşur:

1. Aşama Denetimi: Dokümantasyonun standart gerekliliklerini karşılayıp karşılamadığı kontrol edilir.
2. Aşama Denetimi: Sistemin sahada nasıl uygulandığı, çalışanların farkındalığı ve risklerin nasıl yönetildiği incelenir. Başarı durumunda kurum ISO 27001 belgesi almaya hak kazanır.

ISO 27001 Belgesi Sürecinde Risk Analizi ve Değerlendirme

ISO 27001 belgesi alım sürecinin en kritik virajı, kurumun sahip olduğu bilgi varlıklarına yönelik risklerin doğru analiz edilmesidir. Standart, “risk tabanlı bir yaklaşım” benimsemenizi zorunlu kılar. Bu aşamada sadece bilgisayarları değil; personeli, fiziksel binaları, tedarikçileri ve hatta kurumsal itibarı tehdit edebilecek unsurlar ele alınır.

Risk Analizi Metodolojisi Nasıl Olmalı?

Bir kurum ISO 27001 belgesi standartlarına uyum sağlarken genellikle şu adımları izler:

Varlık Envanterinin Çıkarılması: Veri nerede tutuluyor? (Sunucular, bulut sistemler, kağıt arşivler).
Tehdit ve Zafiyet Belirleme: Veriye kim sızabilir? Yangın veya sel gibi doğal afetler veriyi yok edebilir mi? Personel hatası riski nedir?
Etki ve Olasılık Hesaplama: Bir riskin gerçekleşme ihtimali ile gerçekleştiğinde kuruma vereceği zararın çarpımı, risk skorunuzu belirler.

Bu analiz sonucunda, yüksek riskli bulunan alanlar için “Risk İşleme Planı” hazırlanır. ISO 27001 belgesi almak isteyen bir kuruluş, kabul edilemez seviyedeki her risk için bir aksiyon (azaltma, transfer etme veya kaçınma) planlamak zorundadır.

ISO 27001 Ek-A (Annex A) Kontrolleri: Bilgi Güvenliğinin 93 Maddesi

2022 güncellemesiyle birlikte ISO 27001 belgesi standartlarındaki kontroller daha sade ve modern hale getirilmiştir. Bu kontroller, sistemin teknik ve idari iskeletini oluşturur. İşte dört ana kategoride inceleyeceğimiz o yapılar:

Organizasyonel Kontroller (Organizational Controls)

Bu kategori, bilginin korunması için gerekli olan kurumsal politikaları kapsar. Bilgi güvenliği rollerinin tanımlanması, bulut hizmetlerinin kullanımı ve tedarikçi ilişkileri bu başlık altındadır. Bir firmanın ISO 27001 belgesi sahibi olabilmesi için, çalışanlarının bu politikalara sadece imza atması yetmez; onları içselleştirmesi gerekir.

Personel Kontrolleri (People Controls)

İnsan, bilgi güvenliğindeki en zayıf halkadır. Bu nedenle ISO 27001 belgesi süreci; işe alım öncesi taramaları, gizlilik sözleşmelerini ve sürekli farkındalık eğitimlerini şart koşar. Çalışan ayrılırken erişim haklarının nasıl iptal edileceği bile bu standardın bir parçasıdır.

Fiziksel Kontroller (Physical Controls)

Ofis alanları, veri merkezleri ve cihazların bulunduğu odaların güvenliği bu kapsamdadır. Kartlı geçiş sistemleri, yangın söndürme sistemleri ve temiz masa/ekran politikası, ISO 27001 belgesi denetimlerinde fiziksel olarak kontrol edilen maddelerdir.

Teknolojik Kontroller (Technological Controls)

Şifreleme, ağ güvenliği, yedekleme ve sızma testleri gibi teknik konular bu bölüme girer. ISO 27001 belgesi denetçileri, verinin transfer edilirken uçtan uca şifrelenip şifrelenmediğini ve yetkisiz erişimlerin nasıl engellendiğini bu başlık altında sorgular.

Uygulanabilirlik Bildirgesi (SoA) Nedir?

Eğer bir web sitesi veya danışman size ISO 27001 belgesi alım sürecini anlatıyorsa, mutlaka “Statement of Applicability” (SoA) belgesinden bahsetmelidir. SoA, yukarıda saydığımız 93 kontrol maddesinden hangilerinin kurumunuz için geçerli olduğunu, hangilerinin neden hariç tutulduğunu açıklayan beyannamedir. Denetçilerin eline ilk aldığı doküman budur.

ISO 27001 Belgesi Almanın Maliyeti ve Bütçe Planlaması

Bir kurum için ISO 27001 belgesi alma kararı verildiğinde, ilk sorulan soru genellikle maliyettir. Ancak bu sürecin tek bir fiyat etiketi yoktur; maliyet, kurumun büyüklüğüne ve kapsamına göre değişkenlik gösterir.

Maliyeti Belirleyen Temel Unsurlar:

Danışmanlık Ücretleri: Sistemin kurulması, dokümantasyonun hazırlanması ve personelin eğitilmesi sürecinde dışarıdan alınan destek.
Teknolojik Yatırımlar: Mevcut sisteminizde güvenlik açıkları varsa (firewall eksikliği, lisanssız yazılımlar, yedekleme üniteleri vb.), ISO 27001 belgesi standartlarını karşılamak için bu donanım ve yazılımların tamamlanması gerekir.
Belgelendirme Kuruluşu Ücreti: Türkak veya muadili akreditasyona sahip kurumun yaptığı denetim ve sertifika basım maliyeti.
İnsan Kaynağı Zamanı: Kendi personelinizin bu sürece ayıracağı mesai saati de dolaylı bir maliyet kalemidir.

Genellikle ISO 27001 belgesi maliyetini bir gider olarak değil, olası bir veri sızıntısının yaratacağı milyonlarca liralık tazminat ve itibar kaybına karşı yapılmış bir sigorta olarak görmek daha stratejik bir yaklaşımdır.

ISO 27001:2022 Yeni Versiyonu ile Gelen Değişiklikler

Ekim 2022’de standart güncellendi ve artık kurumların ISO 27001 belgesi alırken yeni düzene uyum sağlaması gerekiyor. Peki, eski versiyona (2013) göre neler değişti?

Kontrol Sayısı: 114 olan kontrol sayısı, bazı maddelerin birleştirilmesiyle 93’e düştü.
Kategorizasyon: Kontroller artık 4 ana grupta (İdari, Personel, Fiziksel ve Teknolojik) toplandı.
Yeni Eklenen Maddeler: “Bulut Hizmetleri Güvenliği”, “ICT Sürekliliği”, “Veri Sızıntısını Önleme (DLP)” ve “Web İçeriği Filtreleme” gibi günümüz teknolojisine uygun maddeler zorunlu hale geldi.

Eğer mevcut bir ISO 27001 belgesi sahibiyseniz, 2025 yılına kadar geçiş denetimlerinizi tamamlamış olmanız gerektiğini hatırlatmakta fayda var.

ISO 27001 Belgesi Alırken Yapılan En Yaygın 5 Hata

Birçok kuruluş, ISO 27001 belgesi sürecini sadece bir “evrak işi” olarak gördüğü için başarısız olmakta veya belgenin sağladığı gerçek korumadan mahrum kalmaktadır. İşte kaçınmanız gereken hatalar:

Üst Yönetimin Desteği Olmaması: Bilgi güvenliği sadece IT biriminin işi değildir. Yönetim bu süreci sahiplenmezse sistem kısa sürede çöker.
Kopyala-Yapıştır Dokümantasyon: Başka bir firmanın el kitabını kopyalamak, denetimde doğrudan elenmenize neden olur. ISO 27001 belgesi her kurumun kendi risklerine özel (terzi usulü) tasarlanmalıdır.
Eğitimsiz Personel: Teknik sistemler ne kadar güçlü olursa olsun, bir çalışanın oltalama (phishing) e-postasına tıklaması tüm sistemi riske atar.
Yüzeysel Risk Analizi: Riskleri “varmış gibi” göstermek yerine, gerçekçi ve ölçülebilir bir analiz yapılmalıdır.
İç Tetkiklerin İhmal Edilmesi: Dış denetçiden önce kendi hatalarınızı bulmanızı sağlayan iç tetkik süreci, ISO 27001 belgesi sürdürülebilirliği için hayatidir.

ISO 27001 Belgesi Kaç Yıl Geçerlidir?

Sertifikayı bir kez aldığınızda bu sonsuza kadar sürmez. ISO 27001 belgesi 3 yıllık bir döngüye sahiptir:

1. Yıl: Belgelendirme Denetimi (Belgenin alınması).
2. Yıl: 1. Gözetim Denetimi (Sistemin yaşayıp yaşamadığı kontrol edilir).
3. Yıl: 2. Gözetim Denetimi.
3. Yıl Sonu: Yeniden Belgelendirme (Re-Certification).

Rica ederim, ne demek! Rehberimizi daha da derinleştirmek ve otoritesini pekiştirmek için şimdi KVKK uyumu, akreditasyon seçimi ve sektörel zorunluluklar gibi teknik ve hukuki boyutu yüksek konularla devam ediyoruz.

KVKK ve ISO 27001 Belgesi İlişkisi: Veri Korumanın İki Ayağı

Türkiye’deki işletmeler için 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) bir yasal zorunluluktur. Birçok kurum, “KVKK’ya uyumluysak neden ISO 27001 belgesi almalıyız?” ya da tam tersi soruları sormaktadır.

Aslında bu iki yapı birbirini mükemmel şekilde tamamlar:

KVKK Hukuki Bir Çerçevedir: Verilerin işlenmesi, saklanması ve kişi haklarını yasalarla belirler.
ISO 27001 Teknik ve Yönetsel Bir Standarttır: Bilginin (sadece kişisel verilerin değil, ticari sırların da) nasıl korunacağını metodolojik olarak açıklar.

ISO 27001 belgesi alan bir kurum, KVKK’nın “Veri Güvenliğine İlişkin Teknik ve İdari Tedbirler” maddesinin büyük bir kısmını kendiliğinden yerine getirmiş olur.

Kurulun yayınladığı rehberlerdeki teknik tedbirlerin (sızma testleri, log yönetimi, yetki matrisi vb.) neredeyse tamamı ISO 27001 belgesi standartlarında detaylandırılmıştır.

Dolayısıyla bu belgeye sahip olmak, olası bir veri ihlalinde KVKK kuruluna karşı “ben elimden gelen tüm uluslararası önlemleri aldım” demenin en güçlü kanıtıdır.

Dilerseniz daha detaylı bilgi için KVKK Danışmanlık Hizmetleri sayfamızı inceleyebilirsiniz.

Belgelendirme Kuruluşu Seçerken Nelere Dikkat Edilmeli?

Piyasada ISO 27001 belgesi verdiğini iddia eden birçok kurum bulunmaktadır. Ancak her belge aynı geçerliliğe sahip değildir. Seçim yaparken şu kriterleri göz önünde bulundurmalısınız:

Akreditasyon (TÜRKAK vb.): Sertifikanızın üzerinde mutlaka ulusal veya uluslararası bir akreditasyon kurumunun logosu olmalıdır. Türkiye’de TÜRKAK (Türk Akreditasyon Kurumu) en yetkili mercidir. Akreditasyonsuz bir ISO 27001 belgesi, sadece “duvar süsü” niteliğindedir ve resmi ihalelerde geçersiz sayılabilir.
Denetçi Yetkinliği: Denetimi yapacak personelin sizin sektörünüzde tecrübesi olması kritiktir. Bir yazılım firmasını denetleyen kişiyle bir üretim fabrikasını denetleyen kişinin odak noktaları farklı olmalıdır.
Uluslararası Tanınırlık: Eğer global firmalarla çalışıyorsanız, sertifikanızın IAF (International Accreditation Forum) üyesi bir kurum tarafından onaylı olması gerekir.

Sektörel Bazda ISO 27001 Belgesi Zorunlulukları

Bazı sektörler için ISO 27001 belgesi almak keyfi bir karar değil, yasal bir şarttır.

Enerji Piyasası (EPDK): Enerji dağıtım veya üretim lisansına sahip firmaların bu belgeyi alması yasal bir zorunluluktur.
Gümrük ve Dış Ticaret (YYS): Yetkilendirilmiş Yükümlü Statüsü (YYS) almak isteyen firmaların ISO 27001 belgesi ve ISO 9001 belgesi sahibi olmaları şarttır.
Haberleşme ve Bilişim: İnternet servis sağlayıcıları veya kritik altyapı yöneten firmalar bu standartla denetlenir.
E-Fatura Özel Entegratörleri: Gelir İdaresi Başkanlığı (GİB) üzerinden hizmet veren entegratörlerin bu belgeyi alması zorunludur.

Bilgi Güvenliği Farkındalık Eğitimi: Kültür Değişimi

ISO 27001 belgesi sürecinde dokümantasyon kadar önemli olan bir diğer konu personelin eğitilmesidir. Bir güvenlik duvarı (firewall) ne kadar pahalı olursa olsun, “şifresini bilgisayarının altına yapıştıran” bir personel kadar büyük bir güvenlik açığı olamaz.

Eğitimlerde şu konuların işlenmesi ISO 27001 belgesi standartları gereğidir:

Sosyal mühendislik ve oltalama saldırıları.
Parola güvenliği politikaları.
Temiz masa ve temiz ekran kuralı.
Mobil cihazların ve uzaktan çalışma araçlarının güvenliği.

ISO 27001 Belgesi İçin Gerekli Dokümanlar: Adım Adım Checklist

Bir denetçi kapınızı çaldığında görmek isteyeceği temel bir evrak listesi vardır. ISO 27001 belgesi kurulum sürecinde hazırlamanız gereken bu dokümanlar, sistemin yaşayan bir kanıtıdır. İşte olmazsa olmazlar:

BGYS Kapsam Dokümanı: Kurumun hangi departmanlarının ve lokasyonlarının ISO 27001 belgesi kapsamına dahil olduğunu belirtir.
Bilgi Güvenliği Politikası: Yönetimin bilgi güvenliğine bakış açısını özetleyen üst düzey belgedir.
Risk Değerlendirme ve Risk İşleme Metodolojisi: Risklerin nasıl puanlandığını ve nasıl yönetileceğini açıklar.
Uygulanabilirlik Bildirgesi (SoA): Ek-A kontrollerinin hangilerinin uygulandığını gösteren ana liste.
İş Sürekliliği Planları: Bir felaket anında (deprem, siber saldırı vb.) sistemin nasıl ayağa kaldırılacağını tarif eder.
Erişim Kontrol Politikası: Kimin, hangi veriye, hangi yetkiyle erişeceğini belirleyen kurallar bütünüdür.
Olay Yönetimi Prosedürü: Bir güvenlik ihlali yaşandığında (veri sızıntısı gibi) ilk kimin aranacağını ve hangi adımların atılacağını belirler.

Sektörden Sıkça Sorulan Sorular (SSS)

ISO 27001 belgesi hakkında danışmanlık sürecinde en sık karşılaştığımız soruları ve yanıtlarını burada topladık:

1. Küçük bir yazılım firmasıyız, ISO 27001 belgesi almamız çok mu zor?

Hayır. Standart ölçeklenebilirdir. Çalışan sayınız azsa dokümantasyonunuz daha yalın, risk analiziniz daha spesifik olur. Önemli olan sistemin büyüklüğü değil, mantığının kurulmuş olmasıdır.

2. ISO 27001 belgesi sadece IT departmanını mı ilgilendirir?

Kesinlikle hayır. Bu en büyük yanılgıdır. İK departmanının işe alım süreçlerinden, idari işlerin bina güvenliğine kadar her birim ISO 27001 belgesi kapsamındadır.

3. Belgeyi aldıktan sonra süreç bitiyor mu?

Hayır, asıl süreç o zaman başlıyor. ISO 27001 belgesi “Planla – Uygula – Kontrol Et – Önlem Al” (PUKÖ) döngüsüne dayanır. Yılda en az bir kez iç tetkik ve yönetim gözden geçirme toplantısı yapmanız zorunludur.

4. ISO 27001 ve ISO 9001 entegre edilebilir mi?

Evet. Eğer halihazırda ISO 9001 Kalite Yönetim Sisteminiz varsa, ISO 27001 belgesi sistemini buna entegre etmek çok daha kolaydır; çünkü birçok yönetsel prosedür ortaktır.

Sonuç: Geleceği Güvence Altına Almak

Sonuç olarak, ISO 27001 belgesi almak sadece bir prestij göstergesi değil, modern iş dünyasında hayatta kalma stratejisidir. Siber saldırıların her geçen gün arttığı, veri gizliliğinin yasal yaptırımlarla korunduğu bir dönemde, bu belgeye sahip olmak kurumunuzun profesyonelliğini tesciller.

Doğru bir danışmanlık, titiz bir risk analizi ve sürekli eğitimle, siz de kurumunuzu uluslararası standartlarda bir bilgi kalesi haline getirebilirsiniz. Unutmayın, bilgi en değerli varlığınızdır ve onu korumak için en sağlam yol ISO 27001 belgesi standartlarını rehber edinmektir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi: 2026 Kapsamlı Belgelendirme Rehberi

2026 yılı küresel siber güvenlik projeksiyonunda, kurumsal veri varlıklarının gizliliğini ve bütünlüğünü uluslararası standartlarda tescil altına alan ISO 27001 belgesi; bir kuruluşun siber tehditlere karşı yönetimsel olgunluğunu ve dijital güvenilirliğini kanıtlayan en stratejik kurumsal kimlik belgesidir.

Bilginin en stratejik varlık haline geldiği 2026 dijital vizyonunda, verinin güvenliğini sağlamak sadece teknik bir tercih değil, kurumsal bir zorunluluktur.

2026 Projeksiyonu: Siber saldırıların küresel maliyeti yıllık 12 trilyon doları aştı. ISO 27001 sadece bir sertifika değil; şirketinizin dijital hayatta kalma rehberidir.

TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS), bir kuruluşun bilgi varlıklarını korumak, risklerini yönetmek ve siber dayanıklılığını uluslararası standartlarda tescil etmek için oluşturulmuş küresel bir çerçevedir. Bu rehberde, ISO 27001 belgelendirme sürecine dair tüm teknik detayları, yasal zorunlulukları ve denetim prosedürlerini bulacaksınız.

ISO 27001 Belgesi Nedir? Bilgi Güvenliğinde Uluslararası Standart

Dijitalleşen dünyada veri, bir kurumun sahip olduğu en kritik varlıktır. Müşteri bilgileri, ticari sırlar ve finansal verilerin korunması sadece teknik bir konu değil, kurumsal itibarın da temelidir. ISO 27001 Belgesi, bu verilerin güvenliğini sağlamak için oluşturulmuş, dünya çapında kabul gören tek uluslararası standarttır.

Günümüzde bilgi, bir kurumun sahip olduğu en değerli varlıktır. Müşteri bilgileri, finansal veriler, ticari sırlar ve fikri mülkiyetlerin korunması sadece teknik bir tercih değil, kurumsal sürdürülebilirlik için bir zorunluluktur. ISO 27001 Sertifikası, bu kritik verilerin yönetilmesi ve korunması için geliştirilmiş, dünya çapında kabul gören tek uluslararası standarttır.

ISO 27001 Standartı Nedir?

Tam adıyla ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS), kuruluşların bilgi varlıklarını korumalarına ve bu varlıkların risklerini yönetmelerine yardımcı olan bir çerçevedir. Bu standart, bir şirketin verilerini korumak için sadece teknolojiye değil; aynı zamanda süreçlere ve insan kaynağına da odaklanır.

ISO 27001 Nedir? Standartın Temelleri ve 2022 Revizyonu

Dijital dünyada güven, inşa edilmesi yıllar süren ancak saniyeler içinde kaybedilebilen bir hazinedir; ISO 27001 belgesi, bu hazinenin uluslararası koruma kalkanıdır.

ISO 27001, bilginin Gizliliği, Bütünlüğü ve Erişilebilirliği (CIA Üçlüsü) prensipleri üzerine inşa edilmiştir. Standart, kuruluşların bilgi güvenliğini tesadüflere veya sadece teknolojik araçlara bırakmak yerine; süreçler, insanlar ve teknoloji arasında dengeli bir yönetim sistemi kurmasını hedefler.

2022 yılında yayımlanan ve 2026 itibarıyla tam geçişin zorunlu olduğu ISO/IEC 27001:2022 revizyonu, beraberinde kritik değişiklikler getirmiştir. Eski versiyonda yer alan 114 kontrol maddesi, modern ihtiyaçlar doğrultusunda güncellenerek 93 kontrole düşürülmüş ve bu kontroller 4 ana tema (Organizasyonel, Kişisel, Fiziksel, Teknolojik) altında toplanmıştır.

ISO 27001 Belgesi Nasıl Alınır? Adım Adım Belgelendirme Süreci

ISO 27001 belgesi alma süreci, kurumun bilgi güvenliği açıklarını kapatmayı hedefleyen stratejik bir yol haritasıdır. İlk adımda kuruluş, sistemin sınırlarını belirleyerek bir BGYS kapsamı oluşturur; bu aşamada hangi departmanların ve verilerin koruma altına alınacağı netleştirilir. Ardından sürecin en kritik halkası olan risk analizi gerçekleştirilir; bu analizle bilgi varlıklarına yönelik tehditler belirlenir ve bu risklerin nasıl yönetileceği kararlaştırılır.

Seçilen güvenlik önlemleri, Uygulanabilirlik Bildirgesi (SoA) adı verilen ana dokümanda toplanarak standartla uyum belgelenir. Sistem kağıt üzerinde kurulduktan sonra, personel eğitimleri verilerek süreç fiilen işletilir ve iç tetkik ile olası aksaklıklar denetlenir.

Son aşamada ise akredite bir belgelendirme kuruluşunun yaptığı iki aşamalı denetimden başarıyla geçilerek ISO 27001 sertifikası alınır. Bu belge, sadece bir kağıt parçası değil, kurumun veriyi koruma konusundaki kararlılığının küresel bir ispatıdır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi belgesine sahip olmak, bir kurumun verilerini uluslararası standartlarda koruduğunun en somut kanıtıdır. Ancak bu belgeyi almak, sadece bir başvuru işlemi değil; kurumun çalışma kültürünü güvenlik odaklı yeniden yapılandırdığı bir süreçtir.

İşte ISO 27001 belgesi almak için izlemeniz gereken temel adımlar:

1. Hazırlık ve Kapsamın Belirlenmesi

Sürecin ilk adımı, Bilgi Güvenliği Yönetim Sistemi’nin (BGYS) sınırlarını çizmektir. Kurumun tamamı mı yoksa sadece belirli bir departman (örneğin; yazılım geliştirme veya veri merkezi) mı sertifikalandırılacak? Bu aşamada üst yönetimin desteği alınmalı ve gerekli bütçe/insan kaynağı planlanmalıdır.

2. Risk Analizi ve Değerlendirme

ISO 27001’in kalbi risk yönetimidir. Kurumun bilgi varlıkları (veriler, donanımlar, yazılımlar) envanter haline getirilir. Bu varlıklara yönelik tehditler ve zayıflıklar analiz edilir. Risklerin kabul edilebilir seviyeye indirilmesi için uygulanacak kontroller seçilir.

3. Dokümantasyon Oluşturma

Sistemin sürekliliği için standart tarafından zorunlu kılınan politikaların ve prosedürlerin yazılı hale getirilmesi gerekir.

Bilgi Güvenliği Politikası
Erişim Kontrolü Prosedürü
Uygulanabilirlik Bildirgesi (SoA – Statement of Applicability) gibi belgeler bu aşamada hazırlanır.

4. Sistemin İşletilmesi ve Kayıtların Tutulması

Hazırlanan dokümanlar rafa kaldırılmamalı, fiilen uygulanmalıdır. Çalışanlara bilgi güvenliği eğitimleri verilir ve sistemin işlediğine dair kanıtlar (log kayıtları, eğitim katılım formları, risk değerlendirme raporları) toplanmaya başlanır.

5. İç Tetkik (İç Denetim)

Belgelendirme denetiminden önce kurum, kendi kendini denetler. Sistemdeki aksaklıklar ve standarda uygun olmayan noktalar (uygunsuzluklar) bu aşamada tespit edilerek düzeltici faaliyetler başlatılır.

6. Belgelendirme Denetimi ve Sertifikasyon

Tüm hazırlıklar tamamlandığında, akredite bir belgelendirme kuruluşuna başvurulur. Denetim süreci genellikle iki aşamadan oluşur:

1. Aşama: Dokümantasyonun standarda uygunluğu incelenir.
2. Aşama: Sistemin sahada (pratikte) nasıl uygulandığı denetlenir.

Denetim başarıyla tamamlandığında kurum, ISO 27001 Belgesi almaya hak kazanır.

Önemli Not: ISO 27001 belgesi 3 yıl süreyle geçerlidir. Ancak sistemin canlı kalması için her yıl ara denetimler (gözetim denetimleri) yapılması zorunludur.

Neden ISO 27001 Belgesi Alınmalıdır?

Bilgi güvenliği bir ürün değil, bir süreçtir. ISO 27001 belgesi ise bu sürecin kusursuz işlediğinin küresel teyididir.

Akredite bir belgelendirme kuruluşu tarafından gerçekleştirilen denetimler sonucunda sertifika sahibi olmak, kuruma çok boyutlu değer katar:

Küresel Güven ve İtibar: Belge, uluslararası pazarlarda “güvenilir iş ortağı” statüsü kazandırır.
Yasal Uyum (Compliance): Türkiye’deki 6698 sayılı KVKK, EPDK regülasyonları ve Avrupa Birliği GDPR süreçlerine tam uyumun kanıtıdır.
İhale Avantajı: Kamu ihalelerinde ve büyük ölçekli kurumsal satın alımlarda ISO 27001 genellikle bir ön şart veya puan artırıcı kriterdir.
Siber Dayanıklılık: Risk odaklı yaklaşım sayesinde, siber saldırılara karşı proaktif bir savunma hattı oluşturulur.
Maliyet Optimizasyonu: Veri ihlallerinden kaynaklanabilecek yüksek tazminat ve operasyonel duruş maliyetlerini minimize eder.

ISO 27001 Belgelendirme Süreci: Adım Adım Tescil Yolculuğu

Müşterileriniz size verilerini emanet ederken vaatlerinize değil, ISO 27001 belgesi ile tescillenmiş disiplininize bakar.

Belgelendirme, tarafsızlık ilkesi çerçevesinde yürütülen profesyonel bir dış denetim sürecidir. Bu süreç şu aşamalardan oluşur:

1. BGYS Kapsamının Belirlenmesi

Kuruluş, yönetim sisteminin sınırlarını çizmelidir. Belgelendirme denetimi; ilgili departmanları, lokasyonları, varlıkları ve kullanılan teknolojileri kapsayacak şekilde planlanır.

2. Varlık Envanteri ve Risk Analizi

Hangi verilerin korunacağı belirlenir. 2026 yılının karmaşık siber tehditleri göz önüne alınarak; tehditler, zayıflıklar ve bu risklerin iş üzerindeki etkileri analiz edilir. Belgelendirme denetçileri, kurumun bu riskleri nasıl “işlediğini” (kabul etme, aktarma, azaltma veya kaçınma) detaylıca inceler.

3. Uygulanabilirlik Bildirgesi (SoA – Statement of Applicability)

Kurumun 93 kontrol maddesinden hangilerini seçtiğini ve hangilerini dışarıda bıraktığını beyan ettiği temel dokümandır. Denetimlerin odak noktasını bu belge oluşturur. Aynı zamanda ISO 27001 sistem kurulumu mantığının da temelini oluşturmaktadır.

4. Yönetim Sistemi Dokümantasyonu

Bilgi güvenliği politikaları, erişim kontrol prosedürleri, olay yönetimi planları ve iş sürekliliği dokümanları oluşturulur. Bu belgeler, sistemin sürdürülebilirliğinin yazılı kanıtlarıdır.

5. İç Tetkik ve Yönetimin Gözden Geçirmesi (YGG)

Kurum, dış denetim öncesinde kendi sistemini denetleyerek uygunsuzlukları saptamalıdır. Üst yönetim, sistemin performansını ve kaynak yeterliliğini resmi olarak onaylamalıdır.

6. Belgelendirme Denetimi (2 Aşama)

Aşama 1 (Dokümantasyon Denetimi): Denetçiler, BGYS dokümantasyonunun standart şartlarını karşılayıp karşılamadığını kontrol eder.
Aşama 2 (Saha Denetimi): Yazılı prosedürlerin sahada ne kadar etkin uygulandığı, mülakatlar, gözlemler ve teknik incelemelerle doğrulanır.

Sektörel Zorunluluklar: ISO 27001 Kimler İçin Şarttır?

Geleceği tahmin etmenin en iyi yolu, riskleri yönetmektir. ISO 27001 sertifikası, belirsizlikleri kurumsal birer kontrol mekanizmasına dönüştürür.

2026 yılı itibarıyla bazı sektörler için belgelendirme bir seçenek değil, yasal bir zorunluluktur:

Enerji Sektörü: EPDK mevzuatları uyarınca elektrik, doğalgaz ve petrol piyasasındaki lisans sahibi firmalar.
Gümrük İşlemleri: Yetkilendirilmiş Yükümlü Statüsü (YYS) almak veya korumak isteyen dış ticaret firmaları.
Finans ve Ödeme Sistemleri: Bankalar, elektronik para kuruluşları ve fintech girişimleri.
Haberleşme ve Bilişim: Telekomünikasyon operatörleri ve kritik veri işleyen yazılım evleri.
Kamu Tedarikçileri: Savunma sanayii ve kritik kamu projelerinde yer alan yükleniciler.

ISO 27001:2022 Maddeleri ve Kontrol Temaları

Yeni revizyonla birlikte kontroller 4 ana kategoride sınıflandırılmıştır. Denetimler bu temalar üzerinden gerçekleştirilir:

Organizasyonel Kontroller (37 Adet): Bilgi güvenliği politikaları, varlık yönetimi ve tedarikçi ilişkileri gibi yönetimsel süreçleri kapsar.
Kişisel Kontroller (8 Adet): İşe alım, eğitim ve farkındalık gibi insan odaklı güvenlik süreçlerini içerir.
Fiziksel Kontroller (14 Adet): Güvenli alanlar, giriş kontrolleri ve donanım güvenliğini kapsar.
Teknolojik Kontroller (34 Adet): Kimlik doğrulama, şifreleme, ağ güvenliği ve veri maskeleme gibi teknik gereklilikleri içerir.

ISO 27001 Belgesi Hakkında Sıkça Sorulan Sorular (S.S.S.)

ISO 27001 Belgesi Fiyatı Nedir?

Belgelendirme ücretleri; kuruluşun personel sayısı, kapsamdaki lokasyon sayısı, faaliyet gösterilen sektörün risk seviyesi ve denetim süresine (adam/gün) bağlı olarak değişkenlik gösterir. Akredite teklif almak için kurum bilgilerinin tam beyan edilmesi gereklidir.

Belge Geçerlilik Süresi Ne Kadardır?

Başarılı bir denetim sonrası verilen belge 3 yıl geçerlidir. Sistemin sürekliliğinin teyidi için her yıl Gözetim Denetimi yapılması zorunludur.

Belge Nereden Alınır?

ISO 27001 belgesi, ulusal akreditasyon kurumu (Örneğin: TÜRKAK) tarafından yetkilendirilmiş, bağımsız ve tarafsız belgelendirme kuruluşlarından alınır.

2022 yılında yayımlanan yeni revizyonla birlikte geçiş süreci başlamıştır. Bu süreçle ilgili resmi takvim ve teknik detaylara TÜRKAK tarafından yayınlanan ISO 27001:2022 geçiş şartları duyurusundan ulaşabilirsiniz.

ISO 27001 ve KVKK İlişkisi Nedir?

ISO 27001, KVKK’nın öngördüğü teknik ve idari tedbirlerin büyük bir kısmını standartize eder. Bu belgeye sahip olmak, veri koruma kanununa uyum sürecini resmi bir metodolojiye dayandırır.

Belgelendirme Kuruluşu Seçerken Dikkat Edilmesi Gerekenler

2026 siber ekosisteminde sarsılmaz bir kale inşa etmek isteyen her kurum için ISO 27001 bilgi güvenliği yönetim sistemi, temel taşı niteliğindedir.

Belgelendirme sürecinin prestiji ve geçerliliği, seçilen kuruluşun yetkinliğine bağlıdır. Kuruluşumuz;

Akreditasyon Güvencesi: Uluslararası geçerliliği olan, tanınmış akreditasyon sertifikalarıyla hizmet verir.
Uzman Denetçi Kadrosu: Sektörel tecrübeye sahip, teknik derinliği yüksek baş denetçilerle çalışır.
Tarafsızlık ve Gizlilik: Denetim sürecinin her aşamasında etik ilkelere ve veri gizliliğine tam bağlılık gösterir.

Sonuç: 2026 Dijital Dünyasına Hazır Olun

Bilgi güvenliği ihlalleri tesadüf değildir; ancak güvenlik, ISO 27001 standardı ile tasarlanmış bilinçli bir yönetim kararıdır.

ISO 27001, kurumunuzun siber tehditler karşısındaki olgunluk seviyesini gösteren en güçlü kanıttır. Bilgi güvenliği süreçlerinizi tescil altına almak, sadece bugünkü verilerinizi korumak değil, markanızın gelecekteki güvenilirliğini inşa etmektir.

Küresel pazarda rekabet etmek bir yetenek, ISO 27001 sahibi olmak ise bir standarttır.
2026 vizyonuna sahip bir kuruluş için ISO 27001 BGYS, sadece bir sertifika değil, dijital dünyaya sunulan bir güven mektubudur.
Teknoloji değişir, tehditler evrilir; ancak ISO 27001 ile kurulan sistem, kurumunuzu her daim güncel ve dirençli tutar.

DSR Uluslararası Belgelendirme firması olarak, TÜRKAK akreditasyonlu ISO 27001 belgelendirme süreçlerimizle dünya standartlarında denetim ve tescil hizmeti sunuyoruz. 2026 yılı denetim takvimi, geçiş süreçleri ve belgelendirme başvurularınız için profesyonel ekibimizden destek alabilirsiniz.