1) ISO/IEC 27001 tam olarak nedir?
ISO/IEC 27001, bir kurumun bilgi güvenliğini risk bazlı yönetmesini sağlayan Bilgi Güvenliği Yönetim Sistemi (BGYS) standardıdır.
Amaç; bilgiyi gizlilik (confidentiality), bütünlük (integrity) ve erişilebilirlik (availability) ilkeleriyle korumaktır.
Kısaca: ISO 27001 “antivirüs kur” standardı değildir; yönetim sistemi standardıdır.
2) ISO 27001 sadece siber güvenlik standardı mı?
Hayır. Siber güvenlik ISO 27001’in önemli bir parçasıdır ama standart daha geniştir:
İnsan (farkındalık, yetkilendirme, disiplin)
Süreç (politika, prosedür, olay yönetimi)
Teknoloji (erişim kontrolü, log, yedekleme)
Fiziksel güvenlik (ofis, cihaz, ortam)
Tedarik zinciri (3. taraf riskleri)
3) ISO 27001 ile “sertifika almak” ne demek?
Sertifika almak; kurumun BGYS’sinin bağımsız bir belgelendirme kuruluşu tarafından denetlenip uygun bulunduğunu gösterir.
Denetimde şunlar aranır:
Kapsam net mi?
Risk değerlendirmesi doğru mu?
Kontroller seçilmiş mi, uygulanıyor mu?
Kanıt var mı? (kayıt, log, rapor, tutanak)
Süreklilik var mı? (iyileştirme, iç denetim, yönetimin gözden geçirmesi)
4) ISO 27001 belgesi ile ISO 27001 uyumluluğu aynı şey mi?
Değil.
Uyumluluk: standarda uygun şekilde çalışmak (resmi sertifika olmayabilir)
Belgelendirme: akredite bir kuruluş tarafından denetlenip sertifika almak
İhaleler/kurumsal sözleşmeler çoğu zaman belgelendirme ister.
5) ISO 27001’in işletmeye somut faydası nedir?
En sık görülen 7 fayda:
Veri ihlali olasılığını azaltma
Olaylara daha hızlı müdahale (incident management)
Müşteri güvenini artırma
Tedarikçi risklerini kontrol altına alma
Denetim ve regülasyon süreçlerini kolaylaştırma
İhale ve kurumsal müşteri kapılarını açma
Kurum içi süreç disiplinini güçlendirme
6) ISO 27001’i kimler almalı? Hangi sektörler için uygundur?
Bilgi işleyen her kurum için uygundur. Özellikle:
Yazılım, SaaS, teknoloji
FinTech ve finans
Sağlık
E-ticaret
Eğitim/EdTech
Danışmanlık ve BPO
Lojistik / tedarik zinciri
Üretimde OT/IoT içeren yapılar
7) ISO 27001 “kapsam” nedir? Neden bu kadar önemli?
Kapsam, BGYS’nin nerede başlayıp nerede bittiğini söyler.
Örnek kapsam ifadeleri:
“XYZ A.Ş. İstanbul ofisinde yürütülen müşteri destek süreçleri ve ilgili bilgi varlıkları…”
“Bulut ortamında sunulan SaaS ürününün operasyonları ve geliştirme süreçleri…”
Yanlış kapsam = denetimde en çok sorun çıkaran konulardan biridir.
8) Kapsamı dar tutmak avantaj mı?
Bazen evet, bazen hayır.
Avantaj: Daha hızlı kurulum, daha az iş yükü
Risk: Müşteri beklentisini karşılamayan sertifika, “neden şu süreç yok?” soruları
İdeal yaklaşım: İş hedefi + müşteri beklentisi + risk profilini birlikte düşünmek.
9) ISO 27001’de “risk bazlı yaklaşım” ne demek?
Kurum önce riskleri belirler, sonra kontrolleri seçer.
Basit örnek:
Risk: “Müşteri verisi sızarsa itibar ve ceza riski”
Neden: Zayıf erişim yönetimi
Kontrol: MFA, least privilege, loglama, DLP, eğitim, tedarikçi şartları
ISO 27001’de “kontrol uygulamak” değil, riske göre kontrol seçmek esastır.
10) Risk değerlendirmesinde en sık yapılan hata nedir?
En yaygın 5 hata:
Varlık envanteri olmadan risk değerlendirmesi yapmak
Etki/olasılığı “hissiyatla” puanlamak, kanıtlamamak
Aynı kontrolü her riske yapıştırmak
Risk iştahını (risk appetite) tanımlamamak
Risklerin sahibi (risk owner) belirsiz bırakmak
11) ISO 27001 Annex A nedir?
Annex A, ISO 27001’in referans kontrol kataloğudur. Kurum risklerine göre buradan uygun kontrolleri seçer.
Önemli: Annex A “mecburi yapılacaklar listesi” değil; risk bazlı seçim için bir havuzdur.
12) Statement of Applicability (SoA) nedir? Neden kritik?
SoA, seçilen/seçilmeyen kontrollerin listesidir ve şunu açıklar:
Kontrol uygulanıyor mu?
Uygulanmıyorsa neden?
Nasıl uygulanıyor? (referans doküman/kanıt)
Denetimde SoA, BGYS’nin “omurgası” gibi çalışır.
13) ISO 27001 dokümantasyon zorunluluğu çok mu?
Zorunlu dokümanlar vardır ama hedef “doküman üretmek” değildir. Ama denetimde kanıt gerekir.
Tipik doküman seti:
BGYS Politikası
Kapsam, roller, sorumluluklar
Risk metodolojisi + risk kayıtları
SoA
Olay yönetimi prosedürü
İç denetim ve yönetimin gözden geçirmesi kayıtları
İş sürekliliği ile ilgili temel yaklaşım/dokümanlar (kuruma göre)
14) “Politika yazdık, tamam mı?” neden yetmez?
Çünkü denetim “uygulama ve kanıt” arar.
Örnek:
Politika: “MFA zorunlu”
Denetçi sorar: “Hangi sistemlerde aktif? Kanıt?”
Kanıt: IAM ekran görüntüsü, konfig raporu, log, değişiklik kaydı
15) ISO 27001 denetiminde denetçiler neye bakar?
Denetçiler genelde şu soruların peşindedir:
“Risklerinizi gerçekten biliyor musunuz?”
“Kontroller gerçekten çalışıyor mu?”
“Olay olursa ne yaparsınız?”
“Üst yönetim işi sahiplenmiş mi?”
“Sürekli iyileştirme yapıyor musunuz?”
16) Belgelendirme denetimi kaç aşamadan oluşur?
Genelde:
Stage 1 (Doküman ve hazırlık değerlendirmesi): sistem kurulmuş mu?
Stage 2 (Saha denetimi): uygulama, kanıt, görüşmeler
Sonrasında yıllık gözetim denetimleri ve 3 yılda bir yeniden belgelendirme yapılır.
17) ISO 27001’i kurmak ne kadar sürer?
Bu, kurumun mevcut olgunluğuna bağlıdır.
Aşağıdaki tablo kaba bir çerçeve verir:
| Kurum Durumu | Tipik Süre | Not |
|---|---|---|
| Hazır altyapı + düzenli süreç | 6–10 hafta | Kanıtları toparlamak kritik |
| Orta olgunluk | 10–16 hafta | Risk/SoA + süreçler oturur |
| Dağınık süreç + zayıf kayıt | 4–6 ay+ | Envanter, sahiplik, eğitim zaman alır |
18) ISO 27001 almak için teknik olarak hangi kontroller çok kritik?
Kuruma göre değişir ama sık öne çıkanlar:
Erişim yönetimi (MFA, least privilege, joiner-mover-leaver)
Loglama ve izleme
Yedekleme ve geri dönüş testleri
Varlık envanteri
Güvenli yazılım geliştirme (varsa)
Zafiyet yönetimi
Tedarikçi güvenliği
Olay yönetimi
19) ISO 27001, KVKK/GDPR uyumluluğu sağlar mı?
Tek başına “tam uyum sağladı” dedirtmez ama güçlü bir çerçeve sağlar.
ISO 27001 → yönetim sistemi ve risk yaklaşımı
KVKK/GDPR → kişisel veriye özel hukuki şartlar
İkisi birlikte yürütüldüğünde uyum çok daha kolay olur.
20) ISO 27001 ile ISO 27701 arasındaki fark nedir?
ISO 27001: bilgi güvenliği yönetim sistemi
ISO 27701: gizlilik/kişisel veri yönetimi için 27001’e ek mahremiyet uzantısı
Kişisel veri yoğun kurumlarda 27701 güçlü tamamlayıcıdır.
21) ISO 27001 ile SOC 2 arasındaki temel fark nedir?
Kısa kıyas:
| Başlık | ISO 27001 | SOC 2 |
|---|---|---|
| Model | Yönetim sistemi standardı | Denetim raporu çerçevesi |
| Global yaygınlık | Çok yüksek | Özellikle ABD ve SaaS |
| Yaklaşım | Risk bazlı BGYS | Trust Services Criteria (kontroller) |
| Çıktı | Sertifika | Denetim raporu (Type I/II) |
22) ISO 27001 “Lead Implementer” ne yapar?
Lead Implementer, BGYS’yi kurup işletmeye liderlik eder:
Kapsam belirleme
Risk metodolojisi ve risk değerlendirme
SoA hazırlama
Politika/prosedürleri kurumsallaştırma
İç denetim ve iyileştirme döngüsünü yürütme
Eğitim bağlantısı (tek seferlik iç link):
Certified ISO/IEC 27001 Lead Implementer Eğitimi
23) ISO 27001 “Lead Auditor” ne yapar?
Lead Auditor, BGYS’yi denetleme yetkinliğine odaklanır:
Denetim planı
Kanıt toplama
Uygunsuzluk yazımı
Düzeltici faaliyet doğrulama
ISO 19011 denetim mantığı
Eğitim bağlantısı (tek seferlik iç link):
Certified ISO/IEC 27001 Lead Auditor Eğitimi
24) ISO 27001 “Practitioner” kimler için ideal?
Practitioner daha uygulamalı/operasyonel bakar:
BGYS süreçlerinde görev alan uzmanlar
Bilgi güvenliği, IT, uyum, iç kontrol ekipleri
“Kurulum lideri değil ama uygulayıcı” rolündekiler
Eğitim bağlantısı (tek seferlik iç link):
Certified ISO 27001 Practitioner Eğitimi
25) Hangi rol için hangi eğitim daha mantıklı? (Mini karar tablosu)
| Senin Hedefin | Önerilen Yol |
|---|---|
| BGYS’yi sıfırdan kurup yöneteceğim | Lead Implementer |
| Denetim yapacağım / denetçi olacağım | Lead Auditor |
| Ekipte uygulayıcı olarak çalışacağım | Practitioner |
| “Hem kurarım hem denetlerim” | Implementer + Auditor (sıralı) |
26) ISO 27001’de yapay zekâ (AI) ve bulut hizmetleri nasıl ele alınır?
ISO 27001 doğrudan “AI standardı” değildir; fakat AI/bulut risklerini BGYS’ye dahil etmenizi ister.
AI ve bulut tarafında tipik risk başlıkları:
Veri sızıntısı (prompt/çıktı üzerinden)
Model eğitimi için veri kullanımı
Tedarikçi bağımlılığı (vendor lock-in)
Erişim anahtarlarının sızması
Log/izleme eksikliği
Yetkisiz veri paylaşımı
Pratik yaklaşım:
AI kullanım politikası
Veri sınıflandırma + maskeleme
DLP ve erişim kontrolleri
Tedarikçi sözleşmelerinde güvenlik maddeleri
Model/araç envanteri ve onay süreci
27) ISO 27001’de “tedarikçi güvenliği” neden bu kadar konuşuluyor?
Çünkü 2026’da güvenlik risklerinin büyük kısmı 3. taraflardan geliyor:
Bulut servisleri
Yazılım sağlayıcıları
Danışmanlar
Outsource ekipler
ISO 27001, tedarikçi risklerini:
değerlendirmeyi
sözleşmeyle güvenceye almayı
performansı izlemeyi
bekler.
28) ISO 27001 kurulumunda en çok atlanan ama kritik konu nedir?
En sık atlanan 6 konu:
Varlık envanteri ve sahiplik
Loglama/izleme kanıtlarının düzenli üretilmesi
Yedek geri dönüş testleri (sadece yedek almak yetmez)
Olay yönetimi tatbikatları
İç denetim kalitesi (checklist değil kanıt odaklı)
Üst yönetim katılımı (YGG toplantısı “formal” kalmamalı)
29) ISO 27001 belgesi alındıktan sonra iş biter mi?
Hayır. ISO 27001 “sürekli iyileştirme” ister.
Sertifika sonrası tipik rutin:
Yıllık iç denetim planı
Risklerin güncellenmesi (değişiklik olduğunda)
Olayların analiz edilmesi
Düzeltici faaliyetlerin kapanması
Yönetimin gözden geçirmesi
Gözetim denetimlerine hazırlık
30) ISO 27001 için en doğru başlangıç adımı nedir?
En sağlıklı başlangıç sırası:
Kapsam ve hedef (neden istiyoruz?)
Varlık envanteri + veri sınıflandırma
Risk metodolojisi ve risk değerlendirmesi
SoA (kontrollerin seçimi)
Politika/prosedür + kanıt üretimi
İç denetim + yönetimin gözden geçirmesi
Belgelendirme denetimi (Stage 1-2)