ISO 27001 (Bilgi Güvenliği Yönetim Sistemi)

ISO 27001 nedir?

ISO/IEC 27001, bir kuruluşun bilgi güvenliğini sistematik şekilde yönetmesi için uluslararası standarttır. ISO (International Organization for Standardization) ve IEC (International Electrotechnical Commission) tarafından yayımlanmıştır. 2022 versiyonu güncel yürürlükte olan versiyondur. Standart, sektör veya boyut bağımsız — banka, SaaS şirketi, sağlık platformu, devlet kurumu hepsi sertifika alabilir.

ISO 27001’in temeli: ISMS

Standart, bir Bilgi Güvenliği Yönetim Sistemi (ISMS — Information Security Management System) kurmayı gerektirir. ISMS bir dokümanlar dizisi değildir — sürekli işleyen, ölçülen ve iyileştirilen bir yönetim sistemidir. Plan-Do-Check-Act (PDCA) döngüsünde çalışır.

Annex A — 93 kontrol

ISO 27001:2022’de 93 güvenlik kontrolü 4 başlık altında sınıflandırılır:

• Organizational (37 kontrol): Politikalar, roller, tedarikçi yönetimi, ihlal yönetimi
• People (8 kontrol): Personel taraması, eğitim, gizlilik anlaşmaları
• Physical (14 kontrol): Erişim kontrolü, bina güvenliği, temiz masa politikası
• Technological (34 kontrol): Şifreleme, ağ güvenliği, log yönetimi, yedekleme, malware koruması

Sertifikasyon süreci

1. Boşluk analizi (Gap Assessment): Mevcut durum vs. ISO 27001 gereklilikleri — 4-8 hafta
2. Remediation: Eksikleri kapatma — 3-9 ay (firmanın olgunluğuna göre)
3. İç denetim: Sertifikasyon öncesi self-audit
4. Yönetim gözden geçirme
5. Aşama 1 denetimi: Akredite belgelendirme firması (BSI, TÜV, Bureau Veritas, TÜRKAK akredite) doküman incelemesi
6. Aşama 2 denetimi: Uygulama denetimi — saha ziyareti
7. Sertifika: 3 yıl geçerli; her yıl gözetim denetimi (surveillance audit)

ISO 27001 ile KVKK arasındaki ilişki

ISO 27001 sertifikası, KVKK’nın gerektirdiği teknik ve idari tedbirleri (TOM) büyük ölçüde karşılar. KVKK Tracker‘da görüldüğü üzere, Kurul kararlarında ISO 27001 sertifikasyonu indirimde bir faktör olarak değerlendirilebilmektedir. Ayrıca ISO/IEC 27701 (gizlilik bilgi yönetimi) genişletmesi GDPR/KVKK ile birlikte alındığında ‘belt and suspenders’ uyum sağlar.

Founder için pratik etki

SaaS/B2B startup’lar için ISO 27001 enterprise satışın açıcı anahtarıdır — Türkiye’de büyük kurumsal müvekkiller (bankalar, kamu, sigorta) RFP’lerinde şart koşar. Series B+ aşamada sertifikasyon yatırımcı tarafından sorulur. Maliyeti: ~TL 200k-500k ilk sertifika, ~TL 50-100k yıllık sürdürme. Sertifika yolculuğunu Vircon Legal hukuk danışmanlığı ile koordine edebilir — özellikle DPA’ların ISO kontrol gereklilikleriyle uyumlandırılması.

Referanslar

• 6698 sayılı Kişisel Verilerin Korunması Kanunu (Mevzuat)
• Kişisel Verileri Koruma Kurumu (KVKK)
• KVK Kurulu Kararları
• EU GDPR (Regülasyon 2016/679) — EUR-Lex
• U.S. Securities and Exchange Commission (SEC)