ISO 27001 belgelendirme süreci, kağıt üzerinde bir çalışma değil, yaşayan bir sistemdir. 2022 revizyonu ile birlikte dijitalleşen dünyaya tam uyum sağlayan bu sistemde, dokümantasyon iki ana grupta toplanır:
- Yönetimsel Çerçeve,
- Ek-A Kontrolleri.
ISO 27001:2022 revizyonuna göre hangi maddenin hangi dokümanı veya kaydı zorunlu kıldığını gösteren kapsamlı Çekirdek Dokümantasyon Yapısı aşağıdadır. ISO 27001 belgesi almak isteyen firmaların bu doküman listelerini hazırlama ve uygulamaları gerekmektedir.
ISO 27001 denetimlerinde “Söyle, Yaz, Uygula ve Kanıtla” prensibi esastır. Aşağıdaki liste, standardın yüksek seviyeli yapısındaki (Madde 4-10) zorunlulukları karşılar.
ISO 27001 Temel Doküman Listesi
Bu belgeler olmadan bir BGYS’nin kurulmuş sayılması mümkün değildir.
| Standart Maddesi | Gereksinim Duyulan Doküman / Kayıt | Açıklama |
| Madde 4.3 | BGYS Kapsam Dokümanı | Kuruluşun fiziksel ve mantıksal sınırlarının yazılı beyanı. |
| Madde 5.2 | Bilgi Güvenliği Politikası | Üst yönetimin güvenlik hedefleri ve taahhüdü. |
| Madde 6.1.2 | Risk Değerlendirme Metodolojisi | Risklerin nasıl belirleneceği, analiz edileceği ve değerlendirileceği kuralları. |
| Madde 6.1.3 | Uygulanabilirlik Bildirgesi (SoA) | Ek-A kontrollerinin hangilerinin seçildiği ve nedenleri. |
| Madde 6.1.3 | Risk İşleme Planı (RTP) | Belirlenen riskleri düşürmek için atılacak adımlar. |
| Madde 6.2 | Bilgi Güvenliği Hedefleri | Ölçülebilir, izlenebilir yıllık güvenlik hedefleri. |
| Madde 7.2 | Yetkinlik Kanıtları | Personelin eğitim, deneyim ve sertifikasyon kayıtları. |
| Madde 8.1 | Operasyonel Planlama ve Kontrol | Güvenlik süreçlerinin işletilmesi için gerekli prosedürler. |
| Madde 8.2 | Risk Değerlendirme Sonuçları | Gerçekleştirilen risk analizinin çıktıları ve raporu. |
| Madde 8.3 | Risk İşleme Sonuçları | Risklerin kabul edilebilir seviyeye çekildiğine dair kanıtlar. |
| Madde 9.1 | İzleme ve Ölçme Sonuçları | Güvenlik performansının (loglar, metrikler) ölçüm kayıtları. |
| Madde 9.2 | İç Tetkik Programı ve Raporu | Denetim planı ve bulguların raporlanması. |
| Madde 9.3 | Yönetimin Gözden Geçirme Kayıtları | Üst yönetimin sistem performansını değerlendirdiği toplantı tutanakları. |
| Madde 10.1 | Uygunsuzluk ve Düzeltici Faaliyetler | Hataların tespiti, kök neden analizi ve çözüm kayıtları. |
Sistemin kurulum aşamasında (Madde 4’ten 10’a kadar olan gereksinimler) hazırlanması zorunlu olan belgelerdir:
- BGYS Kapsam Dokümanı: Kurumun hangi sınırları içinde bilgi güvenliğinin sağlanacağının beyanı.
- Bilgi Güvenliği Politikası: Üst yönetimin güvenlik taahhüdü.
- Bilgi Güvenliği Risk Değerlendirme Süreci: Risklerin nasıl belirleneceği ve derecelendirileceğine dair metodoloji.
- Risk İşleme Planı (RTP): Tespit edilen risklere karşı alınacak aksiyonlar.
- Uygulanabilirlik Bildirgesi (SoA): 93 adet kontrolün hangilerinin seçildiğini gösteren en kritik denetim belgesi.
- Görev Tanımları ve Sorumluluklar: Güvenlik rollerinin atanması.
ISO 27001 Ek-A Kontrollerine Dayalı Dokümanlar
Standart maddelerine ek olarak, Ek-A kontrollerini yönetmek için şu prosedürlerin de yazılı hale getirilmesi (denetim derinliğine göre) beklenir:
Bilgi ve Varlık Yönetimi
- Varlık Envanteri ve Sınıflandırma Rehberi: Verinin gizlilik derecesine göre nasıl etiketleneceği.
- Bilginin Kabul Edilebilir Kullanımı Politikası: Şirket varlıklarının (PC, e-posta) kullanım kuralları.
Erişim ve Şifreleme
- Erişim Kontrol Politikası: Kullanıcı kayıt, silme ve yetkilendirme süreçleri.
- Parola ve Kimlik Doğrulama Kriterleri: Şifre karmaşıklığı ve MFA kuralları.
- Kriptografik Kontroller Politikası: Veri şifreleme ve anahtar yönetimi esasları.
Operasyonel Güvenlik
- Değişiklik Yönetimi Prosedürü: Sistemlerde yapılacak güncellemelerin onay süreci.
- Yedekleme Politikası: Verilerin yedeklenme sıklığı, testi ve saklama süresi.
- Zararlı Yazılımdan Korunma Süreçleri: Antivirüs ve EDR yönetimi.
ISO 27001 Ek-A Kontrolleri 2022 Revizyonu
Yeni versiyonla birlikte kontroller 4 ana temada toplanmıştır. Her tema için ilgili prosedürlerin hazır olması gerekir:
- Organizasyonel Kontroller (37 Kontrol): Bilgi güvenliği yönetimi, bulut hizmetleri kullanımı vb.
- İnsan Kontrolleri (8 Kontrol): İşe alım, uzaktan çalışma, gizlilik sözleşmeleri.
- Fiziksel Kontroller (14 Kontrol): İzleme, giriş güvenliği, ekipman bakımı.
- Teknolojik Kontroller (34 Kontrol): Şifreleme, ağ güvenliği, yazılım geliştirme.
ISO 27001 Zorunlu Doküman Listesi
ISO 27001 belgelendirme denetimi sırasında firmada bulunması gereken zorunlu doküman listesi aşağıdaki tabloda gösterilmiştir. Denetçiler, sistemin sadece kurulduğunu değil, “işletildiğini” görmek isterler. Bu yüzden şu kayıtlar altın değerindedir:
| Kayıt / Doküman Türü | Açıklama | Denetim Odağı |
| Varlık Envanteri | Bilgi varlıklarının (veri, donanım, yazılım) listesi. | Sahiplik ve Sınıflandırma |
| Erişim Kontrol Politikası | Kimin hangi veriye erişebileceğinin kuralları. | “Bilmesi gereken” prensibi |
| İç Tetkik Raporu | Sistemin öz denetim sonuçları. | Sürekli İyileştirme |
| İhlal Olay Kayıtları | Yaşanan güvenlik olayları ve müdahale raporları. | Reaksiyon Süresi |
| Tedarikçi Gizlilik Sözleşmeleri | Dış kaynaklı hizmetlerin güvenlik taahhütleri. | Üçüncü Taraf Riskleri |
ISO 27001 Dokümanları Hakkında Sıkça Sorulan Sorular
- Her madde için ayrı bir doküman mı lazım? Hayır, örneğin Risk Değerlendirme ve Risk İşleme süreçlerini tek bir “Risk Yönetim Prosedürü” altında toplayabilirsiniz. Önemli olan standardın talep ettiği içeriğin dokümante edilmiş olmasıdır.
- Eskiden 114 kontrol vardı, şimdi 93. Dokümanlarım azalacak mı? Kontrol sayısı azalsa da içerik birleştirildi. Yeni eklenen “Tehdit İstihbaratı (A.5.7)” gibi maddeler için mevcut prosedürlerinize yeni bölümler eklemeniz gerekecektir.
- Kayıt ve Doküman arasındaki fark nedir? Doküman ne yapacağınızı söyler (Politika/Prosedür); Kayıt ise yaptığınızın kanıtıdır (İmza föyü, Log kaydı, Rapor).
DSR belgelendirme tüm iso 27001 süreçlerinizde size tam destek sağlayarak yardımcı olmaktadır.
