ISO/IEC 27001 Sertifikası Nedir, Nasıl Alınır, Hangi Şirket İçin Gerekli

TL;DR: ISO/IEC 27001, bilgi güvenliği yönetim sistemi (BGYS) için uluslararası standart. Şirketin teknik, idari, fiziksel kontrolleri belgelenmiş süreçle yönetmesini şart koşar. Sertifika TURKAK akreditasyonlu denetim kuruluşundan alınır. Süreç 6 ila 12 ay arası sürer. Kamu ihaleleri, finans ve sağlık sektörü, ihracat ve büyük kurumsal müşteri taleplerinde fiilen zorunlu. 2022 versiyonunda Annex A 93 kontrol içerir, dört tema altında gruplanmıştır.

Bilgi güvenliği yatırımı yapan her kurumun bir noktada ISO/IEC 27001 sorusu önüne çıkar. Pillar yazımız Türkiye Siber Tehdit Manzarası 2026 ekosistemin neden yapılandırılmış bir BGYS gerektirdiğini ortaya koyuyor. Bu yazıda standardın ne olduğunu, kimin için gerekli olduğunu, alma sürecini ve maliyet kalemlerini günlük dilde anlatıyoruz.

ISO 27001 nedir?

ISO/IEC 27001, bilgi güvenliği yönetim sistemi (BGYS, İngilizce ISMS) kurma ve sürdürme şartlarını tanımlayan uluslararası bir standart. ISO 9001 kalite yönetiminin bilgi güvenliği versiyonu gibi düşünülebilir. Süreç odaklıdır, sadece teknik kontrol değil yönetim disiplinini de kapsar.

Üç ana mantığa dayanır:

1. Risk bazlı yaklaşım · Kuruluş, hangi varlıkları neye karşı koruduğunu önce risk değerlendirmesiyle belirler.
2. Kontrol uygulaması · Risklere karşı seçilen kontroller Annex A listesinden veya başka kaynaklardan uygulanır.
3. Sürekli iyileştirme (PDCA) · Plan, Do, Check, Act döngüsü ile sistem yıllık güncellenir.

KVKK gibi yasal yükümlülüklerden farkı şudur: ISO 27001 gönüllüdür (kanunen zorunlu değildir), ama pek çok sözleşme ve ihale açısından fiilen zorunluluk haline gelmiştir.

ISO 27001 vs ISO 27002

İki numara sık karıştırılır:

• ISO/IEC 27001 · Zorunlu standart. Sertifika alınan belgedir. "Ne yapacaksın" sorusunu yanıtlar.
• ISO/IEC 27002 · Rehber doküman. "Bu kontrolleri nasıl uygulayacaksın" sorusunun detaylı kılavuzudur. Sertifika alınmaz, ama denetimde sıkça referans verilir.

2022 sürümünde ISO 27002, Annex A kontrollerinin uygulama detaylarını sağlar. Birlikte okunması gerekir.

Hangi şirket için gerekli?

Zorunlu (mevzuat veya ihale gereği)

• Kamu ihaleleri · BTK, sağlık ihaleleri, finans dijital hizmet alımları sıkça ISO 27001 şartı koyar.
• TÜBİTAK TEYDEB Ar-Ge destekleri · bazı kategorilerde aranır.
• Kritik altyapı operatörleri · enerji, telekom, finans regülasyonu çerçevesinde.

Fiilen zorunlu (sözleşme gereği)

• Büyük kurumsal müşterilerin tedarikçi yükümlülüğü · "Sertifikası yok" tedarikçinin kapısı kapanır.
• İhracat ve uluslararası satış · özellikle AB ve ABD pazarına SaaS, yazılım, danışmanlık satıyorsanız.
• SaaS ve bulut hizmet sağlayıcıları · müşterinin "SOC 2 ve ISO 27001 belgenizi gönderin" talebi standartlaştı.
• KVKK uyum kanıtı · sertifika tek başına KVKK'ya uymak demek değil, ama uyumun ciddi destekçisidir.

Marka değeri ve rekabet

• Pazar farklılaşması · "ISO 27001 sertifikalı tedarikçi" ifadesi B2B kapı açıcıdır.
• Siber sigorta primi indirimi · bazı sigortalar belgeli kuruluşlara avantajlı şartlar sunar.
• Yatırımcı incelemesi · due diligence sürecinde olgunluk göstergesi.

Süreç adım adım

Aşama 1: Hazırlık (1 ila 3 ay)

Üst yönetimin yazılı taahhüdü olmadan ISO 27001 süreci yürümez. Bilgi güvenliği politikası onaylanır, kapsam (scope) tanımı yapılır (hangi birimler, hangi süreçler, hangi lokasyonlar dahil), risk değerlendirme metodolojisi seçilir. Bu aşamada bir danışman (iç veya dış) sıklıkla devreye girer.

Aşama 2: Risk analizi (1 ila 2 ay)

Varlık envanteri çıkarılır (donanım, yazılım, veri, personel, lokasyon, marka itibarı). Her varlık için tehdit ve zafiyet eşleştirilir, risk skoru hesaplanır. Risk iştahı (acceptable risk) yönetim onayıyla belirlenir. Kabul edilemez risklere kontrol atanır. SoA (Statement of Applicability) dokümanı, Annex A'daki her kontrolün uygulanıp uygulanmadığını ve gerekçesini listeler.

Aşama 3: Kontrol uygulama (3 ila 6 ay)

Risk değerlendirmesinden çıkan kontroller fiilen kurulur. Tipik bir kurumsal projede 15'i aşkın yazılı politika hazırlanır (erişim politikası, kullanım politikası, mobil cihaz politikası, parola politikası, vendor politikası, olay yönetim politikası ve benzeri). Teknik kontroller (MFA, EDR, SIEM, log yönetimi, yedekleme, network segmentasyonu) hayata geçirilir. Çalışan eğitimleri tamamlanır.

Aşama 4: İç denetim (1 ay)

Bağımsız iç denetçi, kapsamı baştan sona denetler. İç denetçi şirket çalışanı olabilir (eğitim almışsa) veya dışarıdan kiralanabilir. Çıkan uygunsuzluklar için düzeltici aksiyon planı yapılır.

Aşama 5: Yönetim gözden geçirmesi

Üst yönetim, BGYS performansını formal toplantıda gözden geçirir, kararlar alır, kaynak ayırır. Toplantı tutanağı denetimde gösterilir.

Aşama 6: Belgelendirme denetimi (iki aşamalı)

TURKAK akreditasyonlu bir belgelendirme kuruluşu seçilir. İki aşama:

• Stage 1 · Doküman ve hazırlık değerlendirmesi. Politikalar, prosedürler, kayıtlar gözden geçirilir. Eksiklerse Stage 2'ye geçilmez.
• Stage 2 · Sahada uygulama denetimi. Denetçiler ofisleri ve sistemleri inceler, çalışanlarla konuşur, kontrollerin gerçekten işlediğini doğrular.

Major uygunsuzluk varsa düzeltilmeden sertifika verilmez. Minor uygunsuzluklar için kapanış planı kabul edilir.

Aşama 7: Sertifika ve sürekli iyileştirme

Sertifika 3 yıl geçerlidir. Birinci ve ikinci yıllarda gözetim denetimi (surveillance audit) yapılır. Üçüncü yıl sonunda yeniden belgelendirme (recertification) için tam denetim tekrarlanır.

Annex A 2022: 4 tema, 93 kontrol

2022 sürümü, eski 14 alanı 4 temaya konsolide etti:

A.5 Organizational (37 kontrol)

Politika, sorumluluk, görev ayrılığı, sözleşme yönetimi, varlık yönetimi, sınıflandırma, tedarikçi ilişkileri, bulut hizmet kullanımı, olay yönetimi, kanıt yönetimi, iş sürekliliği.

A.6 People (8 kontrol)

İşe alım taraması, gizlilik anlaşması, çalışan eğitimi, disiplin süreci, ayrılma süreci, uzaktan çalışma.

A.7 Physical (14 kontrol)

Fiziksel çevre güvenliği, erişim kontrolü, ofis düzeni, ekipman yerleştirme, kablolama, atık imha, temiz masa politikası.

A.8 Technological (34 kontrol)

Kimlik doğrulama, MFA, kripto, anahtar yönetimi, log toplama, yedekleme, ağ güvenliği, segmentasyon, açık tarama, web filtreleme, geliştirme güvenliği, izleme, anti-malware.

Maliyet kalemleri

Belgenin alınması tek bir kalem değil, beş ana harcama grubunu kapsar:

1. Danışman ücreti · Orta ölçekli kuruluşlar için piyasada makul aralık bulunur. Yıllık iç denetçi eğitimi ve danışman desteği toplam projenin önemli bir kalemidir.
2. Belgelendirme kuruluşu ücreti · Stage 1 ve Stage 2 denetim, ilk yıl sertifika ücreti, ardından yıllık gözetim ücreti. Kuruluş büyüklüğüne göre değişir.
3. Teknik yatırımlar · MFA, EDR, SIEM, log yönetimi, yedekleme platformu, ağ segmentasyon araçları. Mevcut altyapıya göre eksik olanlar tamamlanır.
4. İç denetçi eğitimi · Şirket içinden 1-2 kişiyi ISO 27001 İç Tetkikçi eğitimine göndermek, uzun vadede danışman bağımlılığını azaltır.
5. Çalışan eğitimi ve farkındalık · Yıllık tüm personel eğitimi, simülasyonlu phishing kampanyaları, dokümantasyon zamanı.

Toplam tutar kuruluş ölçeğine ve mevcut güvenlik olgunluğuna göre geniş bir aralıkta dolaşır. Net teklif için kuruluş kapsamı netleştikten sonra sağlam bir bütçe çıkarılır.

Süreç ne kadar sürer?

Tipik aralık 6 ila 12 ay arasındadır. Belirleyici üç faktör:

• Kuruluş büyüklüğü (50 kişilik bir KOBİ vs 1000 kişilik bir holding).
• Mevcut güvenlik olgunluğu (ISO 27001'e yakın bir disiplin zaten varsa kısa sürer).
• Danışmanın deneyimi ve şirketin paydaş katılımı.

Hızlı tamamlamak isteyen kuruluşlar 6 ay, sıfırdan başlayan ve organizasyonel direnç olan kuruluşlar 12 ay ve üzerine sarkabilir.

TURKAK akreditasyonu ne demek?

TURKAK Türk Akreditasyon Kurumu, Türkiye'deki belgelendirme kuruluşlarını akredite eden resmi kurum. TURKAK akreditasyonu olmayan kuruluştan alınan sertifika, IAF (International Accreditation Forum) MLA çerçevesinde uluslararası geçerliliğe sahip değil. Yani sertifika almak için seçtiğiniz kuruluşun TURKAK akredite olduğundan emin olmalısınız. TURKAK web sitesinde akredite kuruluşların listesi yayınlanır.

KVKK uyumu ile farkı

İki kavram sıkça karıştırılır:

• KVKK · 6698 sayılı Kişisel Verilerin Korunması Kanunu. Türkiye'de zorunlu, kişisel veri merkezli yasal düzenleme.
• ISO 27001 · Uluslararası, gönüllü, tüm bilgi varlıkları için (sadece kişisel veri değil).

İkisi örtüşür ama biri diğerinin yerine geçmez. ISO 27001 sertifikası, KVKK uyum kanıtını güçlendirir ama tek başına yeterli değildir. KVKK için ayrıca VERBIS kaydı, aydınlatma metni, açık rıza yönetimi, ihlal bildirimi süreçleri gibi spesifik adımlar gerekir. Detaylı süreç için KVKK veri ihlali bildirimi yazımıza bakabilirsiniz.

Yaygın 5 hata

1. Kapsamı yanlış belirleme · Çok geniş (her şey dahil) süreci yorar, çok dar (önemli birimi dışarıda bırakma) sertifikayı anlamsızlaştırır.
2. Üst yönetim desteğinin sözde kalması · İlk politikayı imzalamak yeterli değil; aylık yönetim gözden geçirme toplantısı yapılmıyorsa süreç çöker.
3. Kontrolleri "kağıt üzerinde" uygulama · Politika yazılır ama hayatta uygulanmaz. Denetçi çalışanı arar, çalışan politikayı bilmez. Bu, sertifikayı kaybettiren en sık hata.
4. Risk değerlendirmesini formalite görme · Risk skorları kopya-yapıştır yapılır, gerçeklikle örtüşmez. Denetçi bunu hızla tespit eder.
5. Sertifika sonrası BGYS'yi unutma · Birinci yıl gözetim denetiminde uyarı alınır, ikinci yıl sertifika askıya alınır. Sürekli iyileştirme döngüsü ihmal edilmemeli.

ISO 27001:2013 vs 2022 farkı

2013 sürümü 114 kontrol içeriyordu, 14 alana bölünmüştü. 2022'de 93 kontrole indirildi, 4 tema altında konsolide edildi. Yeni eklenen kontroller arasında bulut hizmet kullanımı, threat intelligence, fiziksel izleme, web filtreleme ve veri sızıntısı önleme bulunur.

2025 itibarıyla 2013 sürümünden 2022'ye geçiş süresi tamamen doldu. Yeni belgelendirme ve yenileme süreçleri 2022 üzerinden yürütülüyor.

Cumhurbaşkanlığı Dijital Dönüşüm Ofisi rehberi

CBDDO Bilgi ve İletişim Güvenliği Rehberi, kamu kurumları için ISO 27001'i temel alan bir yönerge sunar. Kamu sektöründe ya da kamu projelerinde çalışan kurumlar bu rehberi mutlaka incelemeli. TS ISO/IEC 27001 etrafında konsolide edilmiş yapı, kamu alıcılarının beklediği baz çizgisidir.

Sıkça Sorulan Sorular

Şirketim küçük, ISO 27001 gerekir mi?

Mevzuat zorunluluğu yoksa şart değildir. Ama büyük müşterilerin tedarikçi şartı olarak isteyebileceğini, ihracat ve B2B satış süreçlerinde kapı açacağını unutmayın. KOBİ ölçeğinde sertifika almak son yıllarda yaygınlaştı.

Sertifika almadan da süreci uygulayabilir miyim?

Evet. ISO 27001 disiplinini sertifikasız uygulayan pek çok kurum var. Sertifika, sürecin dış denetim ile doğrulanmasıdır; bir pazarlama ve güven aracıdır. Süreci uygulamanın faydası sertifikadan bağımsız mevcuttur.

Sertifika yenilenmezse ne olur?

3 yıllık geçerlilik biter, kuruluş sertifikalı statüsünü kaybeder. İhalelerde, sözleşmelerde, müşteri taleplerinde geri adım atılmış olur.

Tedarikçilerim ISO 27001'siz, sözleşmem ne olur?

Annex A'da tedarikçi güvenliği kontrolleri var. Kritik tedarikçilerin güvenlik düzeyini değerlendirmeniz, sözleşmelerinde bilgi güvenliği maddeleri olmasını sağlamanız beklenir. Sertifikalı olmaları şart değil ama eşdeğer güvence gerekir.

Bulut servis sağlayıcımız ISO 27001'li, bu beni kapsar mı?

Hayır. Sağlayıcının sertifikası onu kapsar, sizin kuruluşunuzu değil. Ama bulut sağlayıcının sertifikası, sizin Annex A 5.23 (bulut hizmet kullanımı) kontrolünü uygularken işiniz kolaylaştırır.

KVKK uyumum varsa ISO 27001 de almış sayılır mıyım?

Hayır, iki ayrı çerçeve. KVKK uyum çalışması ISO 27001'in bir kısmıyla örtüşür, ama Annex A'nın teknolojik kontrollerinin önemli bir kısmı KVKK kapsamı dışındadır.

Denetim sırasında neye dikkat edilir?

Denetçi şu üç şeyi arar: politika var mı, politika uygulanıyor mu, uygulamanın kaydı tutuluyor mu. Çalışanlarla konuşma, kayıt incelemesi, sistem inceleme üçlüsü temel yöntemdir.

DSET ile çalışmak

DSET olarak ISO 27001 hazırlık danışmanlığını, KVKK uyum projeleriyle ve pentest hizmetiyle birleşik paket olarak sunuyoruz. Kapsamı 50 kişiden 500 kişiye uzanan kuruluşlarda saha tecrübemiz var. Süreç boyunca aylık raporlama, paydaş eğitimi, iç denetçi yetiştirme, belgelendirme kuruluşu seçimi ve denetim refakati dahil. Pillar yazımız Türkiye Siber Tehdit Manzarası 2026 sürecin neden gerekli olduğunu gerekçelendirir, KVKK uyumu için KVKK veri ihlali bildirimi yazısı tamamlayıcı kaynak.

İletişim: Hacettepe Teknokent, Ankara. Telefon: +90 536 662 38 09. E-posta: [email protected].

---

Kaynaklar: ISO/IEC 27001 resmi sayfa · ISO/IEC 27002 resmi sayfa · TURKAK · KVKK · Cumhurbaşkanlığı Dijital Dönüşüm Ofisi