ISO 27001 Sertifikasyon Danışmanlığı
BGYS kurulumundan belgelendirme denetimine kadar tüm sertifikasyon sürecini yönetiyoruz. Gap analizi, risk değerlendirmesi ve iç denetim desteğiyle kurumunuzu ISO 27001:2022 sertifikasına taşıyoruz.
Boşluk Analizi
Mevcut kontrollerinizi 93 Annex A başlığına karşı değerlendiriyoruz.
Risk Değerlendirmesi
Tehditler önceliklendirilir, Risk İşleme Planı hazırlanır.
Kontrol Uygulaması
Politika, prosedür ve teknik kontroller ISO 27001:2022 uyumlu kurulur.
Belgelendirme Denetimi
Aşama 1 ve 2 denetimine hazırlık simülasyonuyla desteklenir.
ISO 27001 Nedir?
ISO 27001, Uluslararası Standardizasyon Örgütü tarafından yayımlanan ve dünya genelinde 70.000'den fazla kuruluşun sertifika aldığı tek evrensel Bilgi Güvenliği Yönetim Sistemi (BGYS) standardıdır; finans, sağlık, enerji ve kamu sektörlerinde tedarikçi seçim kriteri olarak kabul görmektedir.
Standart, bir kurumun bilgi varlıklarını (dijital veriler, fiziksel belgeler, sistemler ve insan kaynağı) sistematik biçimde korumasını sağlayan politikalar, prosedürler ve teknik kontroller bütününü tanımlar. Temel hedefi; gizlilik (confidentiality), bütünlük (integrity) ve erişilebilirlik (availability) üçgenini kurumsal risk yönetimi çerçevesinde güvence altına almaktır.
ISO 27001'in teknik detaylarına Wikipedia ISO/IEC 27001 sayfasından ulaşabilirsiniz.
ISO 27001, NIST Cybersecurity Framework, MITRE ATT&CK ve OWASP gibi diğer siber güvenlik çerçeveleriyle uyumlu çalışacak biçimde tasarlanmıştır. Bu sayede mevcut güvenlik yatırımları sertifikasyon sürecinde yeniden değerlendirilerek verimlilik elde edilir.
ISO 27001 Kurumunuza Ne Kazandırır?
ISO 27001 sertifikası; teknik bir denetim belgesi olmanın ötesinde, kurumun iş ortakları ve müşteriler nezdindeki güvenilirliğini somut biçimde kanıtlayan stratejik bir araçtır. Sertifikanın sağladığı başlıca faydalar:
- › Yasal uyumluluk kolaylığı: KVKK teknik ve idari tedbirler gereklilikleri, GDPR güvenlik yükümlülükleri ve BDDK Bilgi Sistemleri Tebliği için güçlü bir uyum kanıtı sağlar.
- › Tedarik zinciri avantajı: Uluslararası alıcılar ve kamu kurumları, hizmet aldıkları firmalarda ISO 27001 sertifikasını ön koşul olarak talep etmeye başlamıştır.
- › Sigorta primi indirimi: Siber sigorta poliçelerinde ISO 27001 sertifikası, risk profilini iyileştirdiğinden prim hesaplamalarında doğrudan avantaj sağlar.
- › Olay maliyetinin düşmesi: Sertifikasyon sürecinde kurulan olay müdahale prosedürleri, gerçek bir saldırıda tespit ve yanıt sürelerini önemli ölçüde kısaltır.
- › Güvenlik kültürü: Çalışanları kapsayan farkındalık eğitimleri ve net sorumluluk atamaları, sosyal mühendislik saldırılarına karşı kurumsal direnci artırır.
- › Sürekli iyileştirme: Yıllık gözetim denetimleri ve iç denetim döngüsü, güvenlik yönetimini statik değil dinamik bir süreç olarak kurumsal kültüre yerleştirir.
ISO 27001 Sertifikasyon Süreci: 6 Adımda Belgelendirme
ISO 27001 danışmanlık sürecinde kurumunuzu sertifikasyon denetimine taşıyan altı temel aşama uygulanır. Her aşama, ISO 27001:2022 revizyonunun gereklilikleri ve akredite belgelendirme kuruluşlarının beklentileri doğrultusunda yapılandırılmıştır.
Kapsam Belirleme
BGYS'nin hangi iş süreçlerini, coğrafi lokasyonları ve teknolojik varlıkları kapsayacağı netleştirilir. Dar ve iyi tanımlı bir kapsam, hem sertifikasyon maliyetini hem de denetim süresini doğrudan etkiler. Bu aşamada kurumun paydaşları, yasal yükümlülükleri ve tedarikçi riskleri de haritalanır.
Boşluk Analizi (Gap Analysis)
Kurumun mevcut güvenlik kontrollerini ISO 27001:2022 Annex A'daki 93 kontrol başlığına karşı değerlendiririz. Çıktı, hangi kontrollerin tam uyumlu, kısmen uyumlu veya eksik olduğunu gösteren önceliklendirilmiş bir eylem planıdır. Gap analizi, sertifikasyon yol haritasının temel taşıdır.
Risk Değerlendirmesi ve Risk İşleme Planı
Bilgi varlıkları envanteri oluşturulur, her varlığa yönelik tehditler ve güvenlik açıkları belirlenir. Olasılık × etki matrisiyle risk puanları hesaplanır; kabul edilemez riskler için Risk İşleme Planı (RTP) hazırlanır. Bu doküman belgelendirme denetiminin en çok incelenen belgelerinden biridir.
Kontrollerin Uygulanması (Annex A)
Risk işleme kararları doğrultusunda teknik ve idari kontroller devreye alınır. Bu aşama; politika ve prosedür yazımını, log yönetimi altyapısının yapılandırılmasını, şifreleme politikalarının belirlenmesini, yama yönetimi süreçlerinin otomasyonunu ve SIEM entegrasyonunu kapsar.
İç Denetim ve Yönetim Gözden Geçirmesi
Bağımsız iç denetçiler tarafından BGYS'nin ISO 27001 gerekliliklerine uygunluğu değerlendirilir; bulgular raporlanır, iyileştirme aksiyonları alınır. Ardından üst yönetim, BGYS'nin etkinliğini ve kurumsal hedeflerle uyumunu resmi bir toplantıda değerlendirerek belgelere geçirir.
Belgelendirme Denetimi (Aşama 1 & 2)
Akredite belgelendirme kuruluşu iki aşamalı denetim gerçekleştirir. Aşama 1'de dokümanlar ve BGYS kapsamı incelenir. Aşama 2'de sahadaki uygulamalar, kontrol kanıtları ve çalışan farkındalığı test edilir. Secunnix danışmanları, denetim öncesinde simülasyon soruları ve hazırlık toplantılarıyla kurumunuzu denetim sürecine hazırlar.
ISO 27001:2022 Annex A Kontrol Kategorileri
ISO 27001:2022 revizyonuyla Annex A yeniden yapılandırılmış; kontrol sayısı 114'ten 93'e indirilerek 4 tema altında toplanmıştır. Boşluk analizi bu 93 kontrolün tamamını kapsar.
| Tema | Kontrol Grubu | Kontrol Sayısı | Örnek Kontroller |
|---|---|---|---|
| A.5 | Organizasyonel Kontroller | 37 | Bilgi güvenliği politikaları, roller, tehdit istihbaratı, iş sürekliliği |
| A.6 | Kişi Kontrolleri | 8 | İşe alım güvenlik taraması, farkındalık eğitimi, uzaktan çalışma |
| A.7 | Fiziksel Kontroller | 14 | Fiziksel erişim yönetimi, temiz masa politikası, ekipman güvenliği |
| A.8 | Teknolojik Kontroller | 34 | Erişim yönetimi, şifreleme, güvenlik açığı yönetimi, log yönetimi |
| Toplam | 93 | Tüm kontrol grupları | |
ISO 27001 Danışmanlık: Proje Süresi ve Maliyet Faktörleri
ISO 27001 danışmanlık projelerinin süresi ve maliyeti; kurumun büyüklüğüne, mevcut güvenlik olgunluğuna ve belirlenen kapsama göre önemli ölçüde değişir. Aşağıdaki tablo, farklı kurum boyutları için gerçekçi bir zaman çizelgesi sunmaktadır.
| Kurum Boyutu | Çalışan Sayısı | Tahmini Süre | Öne Çıkan Zorluk |
|---|---|---|---|
| Küçük (Startup / SME) | 10 – 100 | 3 – 5 ay | Politika ve prosedür belgelerini sıfırdan oluşturmak |
| Orta Ölçekli | 100 – 500 | 5 – 8 ay | Çok departmanlı koordinasyon ve risk varlık envanteri |
| Büyük (Kurumsal) | 500+ | 8 – 12 ay | Çok lokasyonlu kapsam ve tedarikçi güvenliği gereklilikleri |
Maliyeti Etkileyen Başlıca Faktörler
- › Kapsam genişliği: Tek lokasyon ile çok merkezli yapılar arasında iş yükü önemli ölçüde farklılaşır.
- › Mevcut olgunluk düzeyi: Gap analizi sonucunda eksik bulunan kontrol sayısı doğrudan danışmanlık yükünü belirler.
- › Teknik altyapı karmaşıklığı: SIEM, bulut sistemleri ve eski altyapıların entegrasyonu ek zaman gerektirebilir.
- › Belgelendirme kuruluşu seçimi: Akredite kuruluşların denetim ücretleri ve takvim müsaitliği toplam maliyeti etkiler.
- › Sızma testi entegrasyonu: Sızma testi hizmetinin ayrı tedarikçiden alınması yerine danışmanlık paketiyle birleştirilmesi toplam maliyeti optimize eder.
Kurumunuza özel bir süre ve maliyet tahmini için ücretsiz ön değerlendirme görüşmesi talep edebilirsiniz.
Türkiye'deki ISO 27001 Danışmanlık Gereksinimleri
Türkiye'de faaliyet gösteren kurumlar, sektöre göre farklı otoritelerin bilgi güvenliği yükümlülüklerine tabidir. ISO 27001, bu yükümlülüklerin büyük bölümünü tek bir çerçeve altında karşılamaktadır.
| Düzenleyici / Standart | İlgili Sektör | ISO 27001 ile Örtüşme |
|---|---|---|
| KVKK Teknik Tedbirler | Tüm sektörler | Yüksek örtüşme: erişim kontrolü, şifreleme ve log yönetimi ISO 27001 kontrolleriyle doğrudan eşleşir. |
| BDDK Bilgi Sistemleri Yönetimi Tebliği | Bankacılık ve finans | Yüksek örtüşme: risk yönetimi, iş sürekliliği ve denetim gereklilikleri ISO 27001 çerçevesiyle karşılanır. |
| EPDK Siber Güvenlik Rehberi | Enerji | Orta örtüşme: kritik altyapı kontrolleri için sektöre özgü ek gereklilikler söz konusu olabilir. |
| SPK Bilişim Sistemleri Tebliği | Sermaye piyasaları | Yüksek örtüşme: güvenlik politikaları ve erişim yönetimi gereklilikleri ISO 27001 kapsamında ele alınır. |
| GDPR Madde 32 | AB'ye veri aktaran tüm kurumlar | Yüksek örtüşme: uygun teknik güvenlik önlemleri standardın temel çıktısını oluşturur. |
Secunnix danışmanları, sektörünüze özgü regülasyon gerekliliklerini ISO 27001 kontrol setine eşleştirerek çakışan çalışmaları birleştirir ve proje süresini optimize eder.
ISO 27001 ve Sızma Testi Zorunluluğu
ISO 27001:2022 Annex A Kontrol 8.8 (Teknik Güvenlik Açıklarının Yönetimi) kapsamında kurumun sistemlerindeki güvenlik açıklarının periyodik olarak tespit edilmesi zorunludur. Belgelendirme kuruluşlarının büyük çoğunluğu bu kontrolün kanıtı olarak profesyonel sızma testi raporunu kabul eder.
Secunnix, ISO 27001 danışmanlık paketlerine OWASP ve PTES standartlarına uygun penetrasyon testi hizmetini entegre etme seçeneği sunar. Bu sayede iki ayrı tedarikçiyle çalışmanın yarattığı koordinasyon yükü ve maliyet ortadan kalkar; sızma testi bulguları doğrudan Risk İşleme Planına beslenir.
Red Team operasyonları yürüten kurumlar için sızma testi bulguları ile red team raporları birleştirildiğinde ISO 27001 Annex A kontrol kanıt paketi daha güçlü ve kapsamlı hale gelir.
Secunnix ISO 27001 Danışmanlık Yaklaşımı
Secunnix olarak ISO 27001 danışmanlığını yalnızca belge üretme süreci olarak değil, kurumun gerçek güvenlik olgunluğunu artıran bir dönüşüm programı olarak yürütüyoruz. Danışmanlarımız, aktif sızma testi ve red team deneyimini sertifikasyon sürecine taşıyarak teknik kontrollerin kağıtta değil sahada da çalıştığını doğrular.
- › Deneyimli ekip: Sertifikasyon süreçlerini bizzat yönetmiş, aynı zamanda teknik sızma testi ve olay müdahale deneyimine sahip danışmanlar.
- › Uyarlanabilir metodoloji: Küçük ölçekli teknoloji firmalarından büyük holdinglara kadar kapsam ve bütçeye göre şekillenen esnek proje planı.
- › Doküman hazırlama desteği: Bilgi Güvenliği Politikası, Risk Değerlendirme Metodolojisi, Uygulanabilirlik Bildirimi (SoA) ve tüm prosedür şablonları Türkçe olarak sağlanır.
- › Denetim simülasyonu: Belgelendirme denetimi öncesinde iç denetimle aynı soru setleri kullanılarak kapsamlı bir hazırlık değerlendirmesi yapılır.
- › Entegre güvenlik araçları: Güvenlik Rehberi araçlarımız ve SIEM yapılandırma desteğiyle teknik kontrollerin hayata geçirilmesi hızlanır.
- › Sertifika sonrası destek: Yıllık gözetim denetimleri ve iç denetim desteğiyle sertifika geçerliliği korunur.
ISO 27001 Sertifikasyon Yolculuğunuzu Başlatın
Uzman danışmanlarımızla ilk değerlendirme görüşmesini ücretsiz gerçekleştirin; kurumunuzun mevcut durumunu değerlendirelim, kapsam belirleyelim ve gerçekçi bir proje planı hazırlayalım.
Teklif İsteyinSık Sorulan Sorular
ISO 27001 sertifikası almak ne kadar sürer?
Kurumun büyüklüğüne ve mevcut güvenlik olgunluk düzeyine göre 3 ila 12 ay arasında değişir. Gap analizinden belgelendirme denetimine kadar geçen süreyi Secunnix danışmanları projenin başında netleştirir.
ISO 27001 hangi büyüklükteki kurumlara uygundur?
ISO 27001 ölçek bağımsız bir standarttır; küçük ölçekli teknoloji girişimlerinden büyük holdinglere kadar her kurum sertifika alabilir. Kapsam belirleme aşamasında standart, kurumun ihtiyacına göre daraltılabilir veya genişletilebilir.
ISO 27001 sertifikası KVKK uyumunu sağlar mı?
ISO 27001, KVKK'nın teknik ve idari tedbirler gerekliliklerini büyük ölçüde karşılar. Ancak KVKK uyumu için ek veri işleme politikaları, aydınlatma metinleri ve açık rıza mekanizmaları da gerekmektedir. İki süreç paralel yürütüldüğünde çakışan kontroller tekrar çalışma gerektirmez.
ISO 27001 için sızma testi zorunlu mu?
ISO 27001 Annex A Kontrol 8.8 kapsamında periyodik güvenlik açığı değerlendirmesi zorunludur. Belgelendirme kuruluşlarının büyük çoğunluğu sızma testi raporunu bu kontrolün kanıtı olarak kabul eder.
Sertifika aldıktan sonra ne olur?
ISO 27001 sertifikası 3 yıl geçerlidir. Her yıl gözetim denetimi yapılır; 3. yılda yenileme denetimi gerçekleştirilir. Secunnix, sertifika sonrası yıllık iç denetim ve sürekli iyileştirme desteği de sunmaktadır.
BDDK ve EPDK ISO 27001 talep ediyor mu?
BDDK'nın Bilgi Sistemleri Yönetimi Tebliği ve EPDK'nın siber güvenlik rehberleri, yönetilen kuruluşlardan bilgi güvenliği yönetim sistemi kurmasını talep eder. ISO 27001 bu talepleri karşılayan en yaygın kabul gören uluslararası standarttır.
ISO 27001 danışmanlık hizmeti için nasıl teklif alabilirim?
İletişim sayfamızdan formu doldurarak ulaşabilirsiniz. İlk görüşmede kurumunuzun mevcut durumu değerlendirilir, kapsam belirlenir ve proje planı hazırlanır.
Müşteri Portföyümüz
