Hemen başlayın
Siber Güvenlik Rehberi

ISO 27001 adım adım: bilgi güvenliği yönetim sistemi nasıl kurulur?

ISO/IEC 27001, bilgi güvenliği yönetim sistemi (BGYS) için uluslararası standarttır. Sertifikasyon süreci yalnızca dokümantasyon değil; risk değerlendirme, kontrol uygulama, iç denetim ve sürekli iyileştirme döngüsünü gerektirir. SG Danışmanlık ISO 27001 danışmanlığı hizmetiyle kapsam tanımından denetim hazırlığına kadar aşamalı bir yol haritası sunar; teknik kontroller sızma testi çıktılarıyla desteklenir.

ISO 27001 danışmanlığı - bilgi güvenliği yönetim sistemi
  • Yazar: SG Danışmanlık
  • 5 Haziran 2026
  • 11 dk okuma

ISO 27001 nedir ve neden tercih edilir?

ISO 27001, kurumların bilgi varlıklarını sistematik biçimde korumak için BGYS kurmasını ve sürdürmesini tanımlar. Annex A'daki 93 kontrol, teknik ve idari tedbirlerin referans listesidir; kurum risk değerlendirmesine göre uygulanacak kontrolleri seçer.

Sertifikasyon müşteri güveni, ihale avantajı ve tedarik zinciri gereksinimlerini karşılar. Özellikle teknoloji, finans ve kamu tedarikçileri ISO 27001 sertifikasını sık talep eder. KVKK uyum programlarıyla birlikte yürütüldüğünde bütüncül bir yönetişim modeli oluşur.

Adım 1: Kapsam ve liderlik taahhüdü

BGYS kapsamı hangi iş birimlerini, lokasyonları ve bilgi varlıklarını içerdiğini netleştirir. Çok geniş kapsam projeyi yönetilemez kılar; çok dar kapsam denetimde soru işareti yaratır. Üst yönetim taahhüdü yazılı politika ve kaynak tahsisi ile somutlaşır.

Bilgi güvenliği politikası, risk iştahı beyanı ve rol-sorumluluk matrisi bu aşamada hazırlanır. Proje sponsoru ve BGYS sorumlusu atanır.

Adım 2: Varlık envanteri ve risk değerlendirme

Bilgi varlıkları — veritabanları, uygulamalar, altyapı, insan kaynağı — envantere alınır. Her varlık için gizlilik, bütünlük ve erişilebilirlik (CIA) etkisi değerlendirilir. Tehdit ve zafiyet eşleştirmesiyle risk skoru hesaplanır.

Risk işleme seçenekleri: azaltma, transfer, kabul veya kaçınma. Kabul edilen riskler üst yönetim onayı ile kayıt altına alınır. Risk değerlendirme yılda en az bir kez veya büyük değişikliklerde yenilenir.

  • Bilgi varlığı envanteri
  • Tehdit ve zafiyet analizi
  • Risk skorlama metodolojisi
  • Risk işleme planı ve sorumlular
  • Kalan risk kabul kayıtları

Adım 3: Statement of Applicability (SoA)

SoA, Annex A kontrollerinden hangilerinin uygulandığını, hangilerinin hariç tutulduğunu ve gerekçesini listeler. Her uygulanan kontrol için uygulama kanıtı (doküman, yapılandırma, test raporu) referanslanır.

Teknik kontroller — erişim yönetimi, şifreleme, ağ güvenliği — sızma testi ve zafiyet tarama raporlarıyla doğrulanır. İdari kontroller politika, eğitim kayıtları ve sözleşmelerle kanıtlanır.

Adım 4: Dokümantasyon ve süreç tasarımı

BGYS dokümantasyonu prosedürler, talimatlar ve kayıtlardan oluşur. Olay müdahale, değişiklik yönetimi, yedekleme, tedarikçi güvenliği ve insan kaynakları güvenliği prosedürleri tipik çekirdek dokümanlardır.

Dokümantasyon "rafta kalan" değil, operasyonel süreçlerle eşleşmelidir. Fazla doküman sürdürülebilirliği zorlaştırır; danışmanlık sürecinde gereksiz yükler sadeleştirilir.

Adım 5: İç denetim ve yönetim gözden geçirmesi

İç denetim, kontrollerin tasarlandığı gibi çalışıp çalışmadığını bağımsız biçimde doğrular. Bulgular düzeltici faaliyet planına dönüştürülür. Yönetim gözden geçirmesi üst yönetimin BGYS performansını değerlendirdiği yıllık toplantıdır.

Sertifikasyon denetimi öncesi mock audit (ön denetim) yapılması önerilir. Eksik kanıtlar bu aşamada tamamlanır.

Adım 6: Sertifikasyon denetimi ve sürekli iyileştirme

Belgelendirme kuruluşu Stage 1 (doküman inceleme) ve Stage 2 (uygulama denetimi) denetimlerini yapar. Sertifika genellikle üç yıl geçerlidir; yıllık gözetim denetimleri ile sürdürülür.

PDCA (Plan-Do-Check-Act) döngüsü BGYS'nin canlı kalmasını sağlar. Yeni tehditler, teknoloji değişiklikleri ve mevzuat güncellemeleri risk değerlendirmesine yansıtılır.

ISO 27001 ve teknik kanıt: sızma testi entegrasyonu

Denetimde Annex A kontrollerinin uygulandığını göstermek için teknik test raporları güçlü kanıt sağlar. A.8 (varlık yönetimi) ve A.14 (güvenli geliştirme) kontrolleri sızma testi bulgularıyla desteklenebilir.

BGYS kurulumu için ISO 27001 danışmanlığı hizmetimiz kapsamdan denetim hazırlığına kadar destek verir. Teknik kontroller sızma testi ile doğrulanır; kişisel veri tarafında KVKK uyum danışmanlığı paralel yürütülebilir.

ISO 27001 projesinde zaman çizelgesi örneği

0–2 ay: kapsam, envanter ve risk değerlendirme. 2–5 ay: SoA, dokümantasyon ve kontrol uygulama. 5–8 ay: iç denetim, düzeltici faaliyetler ve mock audit. 8–12 ay: belgelendirme denetimi ve sertifikasyon. Kurum olgunluğuna göre süreler kısalabilir veya uzayabilir.

Pratik kontrol listesi

  • BGYS kapsamı ve sınırları yazılı tanımlandı mı?
  • Risk değerlendirme metodolojisi ve kayıtları tamamlandı mı?
  • SoA tüm Annex A kontrollerini gerekçelendiriyor mu?
  • İç denetim ve yönetim gözden geçirmesi planlandı mı?
  • Teknik kontroller sızma testi ile doğrulandı mı?

Sonuç

ISO 27001 adım adım ilerlediğinde BGYS, kurumun güvenlik olgunluğunu sürdürülebilir kılar. Risk odaklı yaklaşım gereksiz kontrolleri eleyerek kaynakları kritik alanlara yönlendirir.

ISO 27001 danışmanlığı ve teknik doğrulama hizmetlerimiz hakkında bilgi almak için iletişim sayfamızdan ücretsiz ön görüşme talep edin.

Ücretsiz ön değerlendirme için iletişim sayfamızdan bize ulaşın veya hizmetlerimiz sayfasından kapsamı inceleyin.

Sık sorulan sorular

Kurum olgunluğuna göre 6–18 ay arası değişir. Mevcut kontroller güçlüyse süre kısalır; sıfırdan BGYS kurulumunda daha uzun planlama gerekir.

Siber güvenliğinizi şansa bırakmayın.

Ücretsiz danışmanlık için hemen bizimle iletişime geçin.
Ücretsiz danışmanlık alın
Danışmanlık görseli