ISO ve IEC tarafından ortaklaşa yayımlanan ISO/IEC 27001 standardı, dünya genelinde 70.000'den fazla kuruluş tarafından uygulanmakta olup bilgi güvenliği yönetim sistemleri için uluslararası geçerliliğe sahip tek sertifikalandırma çerçevesidir.
ISO 27001 Sertifikasyon Maliyetini Etkileyen Faktörler
ISO 27001 sertifikasyon sürecinin toplam maliyeti üç ana kalemi kapsar: danışmanlık hizmeti, iç kaynak harcamaları ve belgelendirme kuruluşu denetim ücreti. Bu kalemlerin her biri kurumun büyüklüğüne ve olgunluk düzeyine göre önemli ölçüde değişir.
1. Kapsam Belirleme
Tüm kuruluşu kapsayan sertifikasyon ile belirli bir departman veya hizmet hattını kapsayan sertifikasyon arasında ciddi bir iş yükü farkı vardır. Kapsam ne kadar genişse denetim ve danışmanlık maliyeti de o oranda artar.
2. Mevcut Güvenlik Olgunluk Düzeyi
Boşluk analizi (gap analysis) sonucunda mevcut durumla ISO 27001 gereksinimleri arasındaki mesafe büyükse uyum çalışmaları uzar ve maliyetlenir. Zafiyet tarama ve temel güvenlik kontrolleri önceden uygulanmış kurumlar sertifikasyona daha hızlı ve düşük maliyetle ulaşır.
3. Danışmanlık Hizmetinin Kapsamı
Yalnızca belge şablonları sunan danışmanlıkla, politika yazımı, risk değerlendirmesi, personel eğitimi ve iç denetim desteğini birlikte sunan tam kapsamlı danışmanlık arasında önemli bir hizmet ve dolayısıyla fiyat farkı bulunur.
4. Belgelendirme Kuruluşu Seçimi
TÜRKAK akreditasyonuna sahip belgelendirme kuruluşları yurt içi ihaleler için tercih edilirken uluslararası pazarlara yönelik çalışan firmalar BSI, Bureau Veritas veya SGS gibi küresel tanınırlığa sahip kuruluşları değerlendirebilir.
Kurum Büyüklüğüne Göre Süreç Süresi Tahmini
Kurum Tipi | Hazırlık Süresi | Toplam Süreç |
|---|---|---|
KOBİ | 3-6 ay | 6-9 ay |
Orta Ölçekli | 6-9 ay | 9-15 ay |
Büyük Kurumsal | 12-18 ay | 18-24 ay |
ISO 27001 ve Sızma Testi Zorunluluğu
ISO 27001 Annex A kontrolleri teknik güvenlik testini kapsamakta; bu nedenle sertifikasyon sürecinde sızma testi raporlanması beklenmektedir. Test bulgularını sürekli izlemek için ise SOC hizmeti devreye alınabilir.
Secunnix ISO 27001 Danışmanlık Yaklaşımı
Secunnix olarak ISO 27001 danışmanlık hizmetini boşluk analizinden belgelendirme denetimine kadar uçtan uca yönetiyoruz. Kurumunuza özel teklif almak için iletişime geçin.
Sık Sorulan Sorular
ISO 27001 sertifikasyonu zorunlu mu?
Yasal olarak zorunlu değildir; ancak kamu ihaleleri, büyük özel sektör tedarikçilikleri ve uluslararası iş birlikleri için giderek daha fazla ön koşul haline gelmektedir. Rekabet avantajı açısından da kritik bir fark yaratmaktadır.
Sertifikanın geçerlilik süresi ne kadar?
ISO 27001 sertifikası 3 yıl için verilir. Bu süre içinde her yıl gözetim denetimi yapılır; üç yıl sonunda yenileme denetimi gerekir. Gözetim denetimleri yenileme denetiminden daha az kapsamlıdır.
KVKK ile ISO 27001 arasında ne ilişki var?
ISO 27001, KVKK'nın teknik ve idari tedbirler maddesini karşılamanın en kabul görmüş yoludur. Sertifikasyon, KVKK denetimleri sırasında güçlü bir kanıt niteliği taşır.
Danışmanlık almadan sertifikasyon mümkün mü?
Güçlü bir BT ve hukuk ekibine sahip büyük kurumlar danışmanlık almadan süreci yönetebilir; ancak KOBİ ölçeğindeki firmalar için deneyimli danışmanlık süreci kısaltır ve başarı olasılığını artırır.
ISO 27001 GDPR uyumunu sağlar mı?
ISO 27001 bilgi güvenliği yönetimini kapsar; GDPR ise kişisel verilerin işlenmesine odaklanır. İki standart örtüşmektedir; ancak GDPR uyumluluğu için ISO 27001'e ek veri gizliliği kontrolleri uygulanmalıdır.
Sertifikasyon süreci sırasında operasyonlar aksıyor mu?
Belgeleme çalışmaları ve iç kaynak gereksinimleri süreci biraz yavaşlatabilir; ancak profesyonel bir danışmanlık ekibi bu yükü minimize eder. Proje planı bölümler arası koordinasyonu ve iş yükünü dengeler.
Hangi belgelendirme kuruluşunu seçmeliyim?
Yurt içi kamu ihaleleri için TÜRKAK akreditasyonlu kuruluşlar tercih edilir. Uluslararası tanınırlık için BSI, Bureau Veritas veya SGS değerlendirilebilir. Seçim ölçütleri: akreditasyon, referans listesi ve denetçi deneyimi.
