// ISO 27001:2022 · BİLGİ GÜVENLİĞİ YÖNETİMİ

ISO 27001 Belgelendirme.
Bilgi güvenliği, stratejik sorumluluk.

KVKK + GDPR uyumu için en pratik altyapı. 2022 versiyonu, 93 kontrol. Yazılım, fintech, sağlık için kritik.

10 Dakikalık Ön Görüşme 📞 0531 847 86 88

ISO 27001:2022 Nedir?

ISO 27001, bir kuruluşun bilgi varlıklarını (veri, sistem, süreç, insan) korumak için kullanılan uluslararası bilgi güvenliği yönetim sistemi (BGYS) standardıdır. 2022 versiyonu, 2013'e göre kontrol setlerini sadeleştirmiş ve modern siber tehditlere göre güncellemiştir.

Bilgi güvenliği artık sadece IT departmanının işi değil — tüm organizasyonun stratejik sorumluluğudur. ISO 27001 bu sorumluluğun yapılandırılmasını sağlar.

2026'da Neden ISO 27001 Aciliyet Kazandı?

  • KVKK uyumu: Kişisel Verilerin Korunması Kanunu (6698) için ISO 27001 en kapsamlı sistematik altyapıdır.
  • Siber saldırı patlaması: 2025-2026'da fidye yazılım, veri sızıntısı vakalarında %200+ artış. Önleme zorunlu.
  • Müşteri sözleşmeleri: Kurumsal müşteriler (banka, sağlık, kamu) tedarikçi seçim kriterinde ISO 27001 şart koşuyor.
  • AB GDPR uyumu: AB pazarına hizmet veren firmalar için GDPR uyumunda ISO 27001 temel.
  • Yatırımcı baskısı: SaaS ve fintech firmaları için yatırım yapmadan önce ISO 27001 sorgulanıyor.

Kapsam — Hangi Konuları İçerir?

ISO 27001:2022, 93 kontrol içerir, 4 ana tema altında gruplanır:

  • Organizasyonel kontroller (37): Politikalar, sorumluluk dağılımı, varlık yönetimi, tedarikçi güvenliği
  • İnsan kontrolleri (8): İşe alım, eğitim, gizlilik sözleşmeleri, disiplin süreçleri
  • Fiziksel kontroller (14): Bina güvenliği, ekipman koruması, çevresel tehditler
  • Teknolojik kontroller (34): Erişim yönetimi, kriptografi, ağ güvenliği, yedekleme, izleme

Belgelendirme Süreci — 8-10 Hafta

  1. Bilgi Varlıkları Envanteri — 5-7 gün: Hangi veriniz var, nerede saklanıyor, kim erişiyor — net bir varlık envanteri.
  2. Risk Analizi — 7-10 gün: Her bilgi varlığı için tehdit, zafiyet, etki ve olasılık analizi. Risk skoru hesaplama.
  3. SoA (Statement of Applicability) — 3-5 gün: 93 kontrolden hangilerini uygulayacağınızı gerekçeleriyle belgeleme.
  4. Kontrol Uygulaması — 14-21 gün: Politikalar, prosedürler, teknik kontroller (erişim yönetimi, kriptografi, log yönetimi) kurulur.
  5. Eğitim & Farkındalık — 5-7 gün: Tüm personel için BGYS eğitimi, IT personeli için derinleştirilmiş teknik eğitim.
  6. İç Denetim — 5-7 gün: Prova denetimi.
  7. Belgelendirme Denetimi — 3-5 gün: Stage 1 (doküman incelemesi) + Stage 2 (saha denetimi).

Hangi Sektörler İçin Kritik?

  • Yazılım ve SaaS: Müşteri verisi yönetimi, kod güvenliği, üretim ortamı izolasyonu
  • Fintech ve Bankacılık: PCI DSS ile entegre, finansal işlem güvenliği
  • Sağlık: Hasta verisi koruması, KVKK + GDPR uyumu
  • Telekomünikasyon: Ağ altyapı güvenliği, müşteri verisi
  • E-ticaret: Müşteri verisi + ödeme güvenliği
  • Kamu/Yarı-Kamu: Hassas veri yönetimi

KVKK + ISO 27001 Entegrasyonu

KVKK uyumu için ISO 27001 en pratik ve sürdürülebilir altyapı:

  • Kişisel veri envanteri (VERBİS) → ISO 27001 varlık envanteri ile entegre
  • Veri sorumlusu sorumlulukları → SoA ile dokümante
  • İhlal bildirim süreçleri → Olay yönetimi ile entegre
  • Aydınlatma yükümlülüğü → İletişim ve gizlilik politikalarıyla bütünleşik

Focus Academy ile ISO 27001 Farkı

  • Bilgi güvenliği danışmanlarımız aktif saha deneyimine sahip
  • KVKK + ISO 27001 entegre yaklaşım
  • Teknik kontrol uygulamasında IT ekibinizle yan yana çalışma
  • Sektörel risk kütüphanemiz (yazılım, fintech, sağlık, e-ticaret)
  • Stage 1 / Stage 2 denetimlerinde "sıfır major bulgu" hedefiyle hazırlık

İlgili Hizmetlerimiz

// ISO 27001:2022 SIK SORULANLAR

ISO 27001 hakkında en çok sorulan sorular

ISO 27001:2022 ile 2013 farkı nedir?

2022 versiyonu kontrol sayısını 114'ten 93'e düşürdü ve sadeleştirdi. Modern tehditler (bulut, kriptografi, tedarikçi riski) için yeni kontroller eklendi. 2025 sonuna kadar 2013 versiyonu tamamen kullanım dışı kalacak.

ISO 27001 KVKK uyumu için yeterli mi?

Tam yeterli değil ama en pratik temel altyapıyı sağlar. KVKK'ya özel bazı yükümlülükler (aydınlatma metni, VERBİS, ihlal bildirimleri) ek olarak yönetilir. Birlikte alındığında çok daha sürdürülebilir.

ISO 27001 ne kadar sürede alınır?

Ortalama 8-10 hafta. IT altyapısı olgun firmalar için 8 hafta, kapsamı geniş firmalar için 10-12 hafta. Bilgi varlıkları envanteri süreyi belirleyen ana faktör.

Pentest (sızma testi) ISO 27001 için zorunlu mu?

Doğrudan zorunlu değil ama kuvvetli önerilen kontrollerden biri (kontrol A.8.34). Belgelendirme denetiminde 'teknik açıkları nasıl test ediyorsunuz?' sorusuna kanıt sunmak gerek. Yıllık pentest tavsiye edilir.

Küçük yazılım firması için ISO 27001 abartı mı?

Aksine — küçük firmalar için daha hızlı ve daha az maliyetli kurulur. Müşteri sözleşmelerinde ISO 27001 şartı varsa zorunlu hale gelir. SaaS/fintech için yatırım turlarında kritik.

ISO 27001 yıllık denetim süreçleri nasıl?

Sertifika 3 yıl geçerli. 1. ve 2. yıl gözetim denetimleri, 3. yıl yenileme. Her yıl iç denetim, risk değerlendirme güncelleme, yönetim gözden geçirme zorunlu.

Stage 1 ve Stage 2 denetimleri nedir?

Stage 1: Belgelendirme firmasının ilk denetim — dokümantasyon incelemesi, hazırlığın değerlendirmesi. Stage 2: Saha denetimi — kontrollerin uygulamada nasıl çalıştığı incelenir. İkisi başarılıysa sertifika verilir.

ISO 27001 ve SOC 2 farkı nedir?

ISO 27001 uluslararası standart (sertifika). SOC 2 ABD merkezli denetim raporu (AICPA). İkisi de bilgi güvenliği için ama ISO 27001 daha yapısal ve dünya çapında tanınır. SaaS firmaları için ikisi de istenebilir.

// SONRAKİ ADIM

ISO 27001 mı düşünüyorsunuz?

10 dakikalık ücretsiz ön görüşmede süreç, süre ve fiyat aralığını net konuşalım. Satış değil, danışmanlık.

📅 Görüşme Planla 💬 WhatsApp ile Yaz
Ücretsiz10 dakika24 saatte cevap