ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS): Varlıklarınızı Koruyun, Güveninizi Tescilleyin

Q: ISO 27001 Kimler İçin Zorunludur?

Türkiye’de bazı sektörler için yasal zorunluluktur. Bilişim Sektörü: Kamu ihalelerine giren yazılım ve entegratör firmalar. Enerji Piyasası: EPDK lisansı (Elektrik, Doğalgaz, Petrol) sahibi firmalar. Elektronik Haberleşme: İnternet Servis Sağlayıcıları (ISS), GSM operatörleri. Gümrük İşlemleri: Yetkilendirilmiş Yükümlü Statüsü (YYS) almak isteyen ihracatçılar. Ayrıca, e-Fatura Özel Entegratörleri ve Ödeme Kuruluşları için de zorunludur.

Q: ISO 27001 Belgesi Kaç Yıl Geçerlidir?

Belge, 3 yıllık bir döngü için verilir. 1. Yıl: İlk Belgelendirme Denetimi yapılır ve belge alınır. 2. Yıl: 1. Gözetim Denetimi (Sistemin devamlılığı kontrol edilir). 3. Yıl: 2. Gözetim Denetimi. 3 yılın sonunda “Yeniden Belgelendirme” (Re-Certification) yapılarak döngü başa döner.

Veri, çağımızın petrolüdür. Müşteri bilgilerinizi, ticari sırlarınızı ve kurumsal itibarınızı siber tehditlere karşı koruma altına alın. Vertacert, ISO 27001:2022 revizyonuna uygun, KVKK ile entegre ve uluslararası akredite belgelendirme çözümleri sunar.

İÇİNDEKİLER

1. ISO/IEC 27001 Nedir? (Bilgi Güvenliğinin Anayasası)

Bilgi Güvenliğinin 3 Altın Kuralı (CIA Üçgeni)

2. İşletmenize Sağlayacağı Ticari ve Yasal 7 Kritik Fayda

3. ISO 27001:2022 Revizyonu: Yeni Eklenen 11 Kritik Kontrol

Ek-A (Annex A) Yapısı Tamamen Değişti: 4 Ana Tema

Sisteminize Eklenen 11 Yeni Güvenlik Kontrolü

4. BGYS Kurulumu: Varlık Envanteri, Risk Analizi ve SoA

Adım 1: Varlık Envanteri (Neyi Koruyoruz?)

Adım 2: Bilgi Güvenliği Risk Analizi (Tehlike Nerede?)

Adım 3: Uygulanabilirlik Bildirgesi - SoA (Reçete)

5. KVKK ve ISO 27001 Entegrasyonu: Yasal ve Teknik Uyum

6. Adım Adım ISO 27001 Belgelendirme Süreci

7. Merak Edilenler: Maliyetler, Süreçler ve Zorunluluklar (SSS)

ISO 27001 Belgesi Fiyatları Neye Göre Belirlenir?

Belgeyi Almak Ne Kadar Sürer?

ISO 27001 Kimler İçin Zorunludur?

ISO 27001 Belgesi Kaç Yıl Geçerlidir?

1. ISO/IEC 27001 Nedir? (Bilgi Güvenliğinin Anayasası)

Bilgi güvenliği denildiğinde akla ilk gelen genellikle “virüs programları”, “güvenlik duvarları” (firewall) veya karmaşık şifrelerdir. Oysa teknoloji, güvenliğin sadece bir parçasıdır. En pahalı güvenlik yazılımını da alsanız, şifresini post-it kağıdına yazıp monitörüne yapıştıran bir çalışanınız varsa güvende değilsiniz demektir.

ISO 27001, sadece teknolojiyi değil; insanı, süreçleri ve teknolojiyi bir araya getirerek bilginin güvenliğini sağlayan dünyanın en kapsamlı ve prestijli yönetim sistemi standardıdır. Bu standart, kurumunuzun hassas bilgilerini yönetmenize yardımcı olurken, aynı zamanda müşterilerinize, iş ortaklarınıza ve yasa koyuculara (KVKK) verilerinin güvende olduğu mesajını verir.

Uzman Notu: Neden "ISO/IEC" Olarak Yazılır?

Dikkatli gözler, standardın tam adının ISO/IEC 27001 olduğunu fark edecektir. Bu bir yazım hatası değildir.

ISO: Uluslararası Standartlar Organizasyonu (Yönetim ve süreç tarafı).
IEC (International Electrotechnical Commission): Uluslararası Elektroteknik Komisyonu (Teknoloji ve mühendislik tarafı).

Bilgi güvenliği, hem "yönetimsel" hem de "teknolojik" bir disiplin olduğu için, bu standart ISO ve IEC'nin oluşturduğu Ortak Teknik Komite (JTC 1) tarafından geliştirilir. Bu detay, ISO 27001'in sadece bir prosedür seti değil, teknik altyapıyı da kapsayan bir teknoloji standardı olduğunun kanıtıdır.

Bilgi Güvenliğinin 3 Altın Kuralı (CIA Üçgeni)

Bir BGYS (Bilgi Güvenliği Yönetim Sistemi) kurmak, “hacklenmemek”ten çok daha fazlasıdır. ISO 27001, bilgi varlıklarınızın güvenliğini sağlamak için literatürde CIA Üçgeni (Gizlilik, Bütünlük, Erişilebilirlik) adı verilen üç temel prensibi korumayı hedefler.

1. Gizlilik (Confidentiality): Bilginin sadece yetkili kişiler tarafından erişilebilir olmasıdır.
- Örnek: Personel maaş bilgilerini sadece İnsan Kaynakları departmanının görmesi.
- İhlal: Bir çalışanın maaş listesini yazıcıda unutması ve yetkisiz birinin görmesi.
2. Bütünlük (Integrity): Bilginin yetkisiz kişilerce değiştirilmemesi, silinmemesi ve doğruluğunun korunmasıdır.
- Örnek: Bir faturanın tutarının, muhasebe kaydına girdikten sonra izinsiz değiştirilememesi.
- İhlal: Bir virüsün dosyalarınızı bozması veya web sitesi içeriğinin değiştirilmesi.
3. Erişilebilirlik (Availability): Bilginin, ihtiyaç duyulduğu anda yetkili kişilerce ulaşılabilir olmasıdır.
- Örnek: E-posta sunucunuzun 7/24 çalışması.
- İhlal: Sistemin çökmesi, internetin kesilmesi veya fidye yazılımı (Ransomware) nedeniyle dosyaların şifrelenip açılamaması.

ISO 27001 sistemi, işte bu üç unsuru tehdit eden riskleri belirlemek ve yönetmek üzerine kuruludur.

→ Bu standart, Vertacert’in sunduğu geniş hizmet yelpazesinin bir parçasıdır. Diğer tüm yönetim sistemleri (Kalite, Çevre, İSG) hakkında bilgi almak için ISO Belgelendirme Hizmetleri Merkezimizi ziyaret edebilirsiniz.

2. İşletmenize Sağlayacağı Ticari ve Yasal 7 Kritik Fayda

ISO 27001 sertifikasına sahip olmak, günümüz iş dünyasında “olsa iyi olur” denilen bir lüks değil, sürdürülebilir büyüme için stratejik bir zorunluluktur. Bu belge, işletmenize sadece siber güvenlik değil, aynı zamanda ciddi ticari avantajlar sağlar.

1. KVKK ve Yasal Mevzuatlara Teknik Uyum

Türkiye'de faaliyet gösteren her işletme 6698 Sayılı KVKK (Kişisel Verilerin Korunması Kanunu) hükümlerine uymak zorundadır. KVKK, veri güvenliği için alınması gereken "Teknik Tedbirleri" tarif eder.

Avantaj: ISO 27001 standardını uyguladığınızda, KVKK'nın talep ettiği teknik güvenlik altyapısının %90'ını otomatik olarak kurmuş olursunuz. Bu sizi olası idari para cezalarından ve yasal yaptırımlardan korur.

→ ISO 27001 ile KVKK arasındaki teknik ve idari ilişkiyi, eşleşen maddeleri ve entegrasyonu öğrenmek için ISO 27001 ve KVKK İlişkisi: Kişisel Verilerin Korunması rehberimizi inceleyin.

2. İhalelere Giriş ve Tedarikçi Ön Koşulu

Kamu ihalelerinde, savunma sanayi projelerinde ve büyük kurumsal firmaların tedarikçi listelerinde ISO 27001 belgesi artık bir **"Ön Yeterlilik Kriteri"**dir.

Avantaj: Bu belgeye sahip değilseniz, fiyatınız ne kadar iyi olursa olsun birçok ihaleye davet edilmezsiniz. Belge, size yeni pazarların kapısını açan bir pasaporttur.

3. Müşteri Güveni ve Kurumsal İtibar

Müşterileriniz (özellikle B2B müşteriler), size emanet ettikleri verilerin (projeler, müşteri listeleri, finansal bilgiler) güvende olduğunu bilmek ister.

Avantaj: ISO 27001 logosu, müşterilerinize "Bilgileriniz bizimle güvende" mesajını verir. Bu güven, marka sadakatini artırır ve rakiplerinizden ayrışmanızı sağlar.

4. Siber Saldırı ve Veri İhlali Maliyetlerinin Azalması

Bir siber saldırının maliyeti, sadece çalınan veri değildir; iş durması, fidye ödemeleri ve itibar kaybıdır.

Avantaj: Risk analizi ve proaktif önlemler sayesinde saldırı olasılığı düşer. Olası bir olayda ise "İş Sürekliliği Planları" sayesinde zarar minimize edilir ve sistem hızla ayağa kaldırılır.

5. Uluslararası Pazarda Rekabet Gücü (GDPR)

Eğer Avrupa Birliği ile iş yapıyorsanız, GDPR (Genel Veri Koruma Tüzüğü) uyumluluğu karşınıza çıkacaktır.

Avantaj: ISO 27001, uluslararası geçerliliği olan bir standart olduğu için, global müşterilerinize veri güvenliği standartlarına uyduğunuzu kanıtlamanın en hızlı ve kolay yoludur.

6. İş Sürekliliği ve Kesintisiz Operasyon

Bilgi güvenliği sadece "virüs" değildir; sunucunun çökmesi, elektriğin kesilmesi veya doğal afetler de bir risktir.

Avantaj: ISO 27001, felaket senaryolarına karşı hazırlıklı olmanızı sağlar. Bir kriz anında verilerinizi nasıl kurtaracağınız ve işe nasıl devam edeceğiniz önceden planlanmıştır.

7. Kurumsal Hafıza ve Disiplin

Bilgi güvenliğinin kişilere (IT Müdürü'ne) değil, bir sisteme bağlı olmasını sağlar.

Avantaj: Çalışanlar değişse bile güvenlik kuralları, şifreleme politikaları ve yedekleme prosedürleri değişmez. Kurumsallaşmayı sağlar.

3. ISO 27001:2022 Revizyonu: Yeni Eklenen 11 Kritik Kontrol ve Değişen Yapı

Bilgi güvenliği dünyasında 9 yıl, bir asır gibidir. Standardın bir önceki versiyonu (2013) yayınlandığında “Bulut Bilişim”, “Fidye Yazılımları (Ransomware)” veya “Uzaktan Çalışma” bu kadar hayatımızın merkezinde değildi.

Bu yeni tehditlere cevap verebilmek için standart modernize edildi ve ISO/IEC 27001:2022 olarak güncellendi. Eğer sisteminiz hala eski versiyona göreyse, güncelleme yapmanız kaçınılmazdır.

Ek-A (Annex A) Yapısı Tamamen Değişti: 4 Ana Tema

Standardın kalbi olan ve risklere karşı uygulanacak önlemleri içeren Ek-A bölümü sadeleştirildi. Eski versiyondaki 14 farklı kategori ve 114 kontrol maddesi, daha yönetilebilir 4 Ana Tema ve 93 Kontrol altında toplandı.

Organizasyonel Kontroller (37 Adet): Politikalar, yönetim rolleri, bulut kullanımı.
Kişi (İnsan) Kontrolleri (8 Adet): Uzaktan çalışma, eğitim, disiplin süreçleri.
Fiziksel Kontroller (14 Adet): Kamera izleme, güvenli alanlar, bakım onarım.
Teknolojik Kontroller (34 Adet): Ağ güvenliği, sızma testleri, güvenli kodlama.

Sisteminize Eklenen 11 Yeni Güvenlik Kontrolü

2022 revizyonunun en can alıcı noktası, daha önce standartta adı geçmeyen 11 yeni kontrolün hayatımıza girmesidir. Vertacert denetçilerinin geçiş denetimlerinde en çok sorguladığı bu maddeler şunlardır:

1. Tehdit İstihbaratı (Threat Intelligence): Sadece içe değil, dışa da bakılmalı. Sektörünüze yönelik siber tehditler izlenmeli ve analiz edilmeli.
2. Bulut Hizmetleri İçin Bilgi Güvenliği: AWS, Azure veya Google Cloud kullanıyorsanız, güvenliğin neresinden siz, neresinden sağlayıcı sorumlu? Bu sınırlar çizilmeli.
3. İş Sürekliliği İçin BIT (ICT) Hazırlığı: Bir felaket anında (deprem, siber saldırı) sunucularınız ve yazılımlarınız ne kadar sürede ayağa kalkacak?
4. Fiziksel Güvenlik İzleme: Alarm, kamera ve giriş kartı sistemlerinin sürekli aktif olduğu izlenmeli.
5. Konfigürasyon Yönetimi: Sistem ayarlarının (server, firewall) standartlaştırılması ve izinsiz değişikliklerin önlenmesi.
6. Bilginin Silinmesi: KVKK ile doğrudan ilişkilidir. Saklama süresi dolan verilerin güvenli imhası veya anonimleştirilmesi.
7. Veri Maskeleme (Data Masking): Hassas verilerin (TCKN, Kredi Kartı) ekranda açıkça görünmemesi, maskelenmesi.
8. Veri Sızıntısı Önleme (DLP): Hassas verilerin USB veya mail yoluyla şirket dışına çıkmasını engelleyen teknik önlemler.
9. İzleme Faaliyetleri (Monitoring): Sistem loglarının ve ağ trafiğinin anormalliklere karşı sürekli izlenmesi.
10. Web Filtreleme: Çalışanların zararlı sitelere erişiminin engellenmesi.
11. Güvenli Kodlama: Yazılım geliştirme sürecinde güvenlik açıklarının (Secure Coding) baştan engellenmesi.

→ Eski versiyondan (2013) yeni versiyona (2022) nasıl geçiş yapacağınızı, son tarihleri ve yapılması gereken teknik hazırlıkları detaylıca öğrenmek için ISO 27001:2022 Geçiş ve Revizyon Rehberi blog yazımızı okuyun.

4. BGYS Kurulumu: Varlık Envanteri, Risk Analizi ve SoA

ISO 27001 Belgesi almak isteyen bir kuruluşun atması gereken en kritik üç teknik adım vardır. Bu üçlü sacayağı kurulmadan yazılan politikalar veya prosedürler, denetimde “içi boş” olarak değerlendirilir.

Vertacert danışmanlığı ve rehberliğinde yürütülen kurulum sürecinin temel taşları şunlardır:

Adım 1: Varlık Envanteri (Neyi Koruyoruz?)

Koruyacağınız şeyin ne olduğunu bilmeden, onu koruyamazsınız. İlk adım, kurumun “Bilgi Varlığı” sayılan tüm değerlerinin bir haritasını çıkarmaktır.

Fiziksel Varlıklar: Sunucular, bilgisayarlar, modemler, arşiv odaları.
Yazılımsal Varlıklar: ERP sistemi, CRM, işletim sistemleri, ofis programları.
Bilgi Varlıkları: Müşteri veritabanları, sözleşmeler, tasarımlar, finansal kayıtlar.
İnsan Varlıkları: Kritik bilgiye sahip kilit personeller.

Bu envanterde her bir varlığın Sahibi belirlenir ve varlığın kritiklik seviyesi (Gizlilik, Bütünlük, Erişilebilirlik açısından) puanlanır.

Adım 2: Bilgi Güvenliği Risk Analizi (Tehlike Nerede?)

Envanterdeki varlıkları tehdit eden unsurlar nelerdir? Bu adımda, ISO 27005 gibi metodolojiler kullanılarak riskler matematiksel olarak hesaplanır.

Senaryo: “Sunucu odasını su basması” veya “Muhasebe personelinin oltalama (phishing) mailine tıklaması.”
Hesaplama: Olasılık x Etki = Risk Skoru
Karar: Çıkan skor “Kabul Edilebilir Seviye”nin üzerinde mi? Eğer üzerindeyse (örneğin Yüksek Risk), bu riski düşürmek için önlem alınması şarttır.

Risk İşleme Seçenekleri:

Azaltma (Mitigate): Güvenlik kontrolü uygulayarak riski düşürmek (En yaygın yöntem).
Kaçınma (Avoid): O faaliyeti yapmaktan vazgeçmek.
Transfer Etme (Transfer): Sigorta yaptırmak veya işi taşere etmek.
Kabul Etme (Accept): Riski bilerek ve onaylayarak üstlenmek (Düşük riskler için).

→ Risk puanlama mantığını, 5×5 matris yöntemini ve hesaplama tekniklerini detaylıca öğrenmek için Risk Değerlendirmesi ve Metodolojisi rehberimizi inceleyebilirsiniz. (Risk hesaplama matematiği tüm standartlarda benzerdir).

Adım 3: Uygulanabilirlik Bildirgesi – SoA (Reçete)

Burası ISO 27001’in en stratejik dokümanının hazırlandığı yerdir: Statement of Applicability (SoA).

Risk analizinde bulduğunuz “Yüksek Riskleri” düşürmek için, standardın Ek-A (Annex A) listesindeki 93 kontrolden hangilerini seçeceğinizi beyan ettiğiniz belgedir.

Örnek: “Risk analizimde ‘Veri Sızıntısı’ riski yüksek çıktı. Bu yüzden Ek-A 8.12 (Veri Sızıntısı Önleme) maddesini UYGULUYORUM.“
Örnek: “Firmamızda yazılım geliştirme yapılmamaktadır. Bu yüzden Ek-A 8.28 (Güvenli Kodlama) maddesini UYGULAMIYORUM.“

Denetim İpucu: Denetçiler, denetime başladıklarında ilk olarak SoA dokümanını isterler. Çünkü SoA, işletmenizin güvenlik profilinin özetidir.

→ SoA dokümanınızı hazırlarken rehberlik edecek olan tüm kontrol maddelerinin detaylı açıklamasını ve tam listesini ISO 27001 Ek-A Kontrolleri Rehberi sayfamızda bulabilirsiniz.

5. KVKK ve ISO 27001 Entegrasyonu: Yasal ve Teknik Uyum

Türkiye’de faaliyet gösteren her işletme, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) hükümlerine uymak ve VERBİS süreçlerini yönetmek zorundadır. Ancak birçok firma, KVKK’yı sadece “Hukuki Metinler”den ibaret sanır. Oysa Kanun, verilerin korunması için “Teknik ve İdari Tedbirler” alınmasını şart koşar.

İşte tam bu noktada ISO 27001, KVKK uyumluluğunun teknik omurgasını oluşturur.

→ Bilgi güvenliği kurumsal verilerinizi korurken, kişisel verilerin (KVKK/GDPR) yönetimi için ISO 27001’in özel bir genişlemesi olan ISO 27701 Kişisel Veri Yönetim Sistemi standartlarını uygulamanız önerilir.

ISO 27001 ve KVKK Arasındaki Fark Nedir?

Basitçe anlatmak gerekirse:

ISO 27001 (Büyük Şemsiye): Kurumun TÜM bilgi varlıklarını (ticari sırlar, finansal veriler, AR-GE, kişisel veriler) korur.
KVKK (Odaklı Alan): Sadece “Gerçek Kişiye Ait Kişisel Verileri” (Ad, Soyad, TC No, Sağlık verisi vb.) korur.

Eğer ISO 27001 Bilgi Güvenliği Yönetim Sistemi’ni doğru kurarsanız, KVKK’nın teknik güvenlik gereksinimlerinin büyük bir kısmını otomatik olarak karşılamış olursunuz.

Tek Taşla İki Kuş: Entegre Yönetim

Vertacert olarak, ISO 27001 kurulum süreçlerimizi KVKK uyum süreçlerinizle entegre ediyoruz. Böylece iki ayrı iş yüküyle uğraşmak yerine tek bir sistemle her iki gerekliliği de yönetebilirsiniz.

Varlık Envanteri = Veri Envanteri: ISO 27001 için çıkardığımız varlık envanterini, KVKK’nın istediği “Kişisel Veri İşleme Envanteri” ile eşleştiriyoruz.
Risk Analizi: Bilgi güvenliği risklerine, “Kişisel Veri İhlali” ve “İdari Para Cezası” risklerini de ekliyoruz.
İhlal Yönetimi: ISO 27001’in olay yönetimi prosedürünü, KVKK’nın “72 Saat İçinde Kurula Bildirim” kuralına göre revize ediyoruz.
Veri İmhası: ISO 27001:2022’nin yeni maddesi olan A.8.10 (Bilginin Silinmesi) ile KVKK’nın “Saklama ve İmha Politikası”nı birleştiriyoruz.

→ Bu entegrasyonun teknik detaylarını, KVKK Kurumu’nun istediği tedbirler ile ISO 27001 maddelerinin eşleşme tablosunu görmek için ISO 27001 ve KVKK İlişkisi: Kişisel Verilerin Korunması başlıklı detaylı rehberimizi mutlaka inceleyin.

6. Adım Adım ISO 27001 Belgelendirme Süreci: Vertacert Yol Haritası

Bilgi güvenliği yolculuğu karmaşık görünebilir, ancak doğru bir planlamayla süreç oldukça şeffaftır. Vertacert olarak, başvurudan sertifikanın duvara asılmasına kadar olan süreci 5 Temel Adımda yönetiyoruz.

ISO 27001 denetimleri, uluslararası kurallar gereği iki aşamalı (Stage 1 ve Stage 2) gerçekleştirilir.

Adım 1: Başvuru ve Kapsamın Belirlenmesi
Sürecin en stratejik adımıdır. ISO 27001 belgesini şirketinizin tamamı için mi, yoksa sadece Bilgi İşlem (IT) departmanı veya belirli bir hizmetiniz için mi alacaksınız?
- Aksiyon: Vertacert uzmanları, ticari hedeflerinize en uygun "Kapsam"ı (Scope) belirlemenize yardımcı olur ve denetim gün sayısını hesaplayarak teklifi sunar.
Adım 2: Aşama 1 Denetimi (Dokümantasyon Kontrolü)
Bu aşama, "sahaya inmeden önceki" masa başı kontrolüdür. Denetçilerimiz, hazırladığınız SoA (Uygulanabilirlik Bildirgesi), Risk Analizi ve Politikaların standardın şartlarını karşılayıp karşılamadığını inceler.
- Amaç: Ana denetime girmeden önce eksikleri tespit etmek ve size düzeltme fırsatı vermektir. Böylece "denetimden kalma" riski minimize edilir.
Adım 3: Aşama 2 Denetimi (Saha Denetimi)
Asıl denetim budur. Denetçilerimiz ofisinizi, sunucu odanızı ziyaret eder ve çalışanlarınızla görüşür.
- Kontrol: Sadece evraklara bakılmaz; "Ekranlar kilitli mi?", "Misafirler kayıt altına alınıyor mu?", "Yangın tüpleri sunucu odasında uygun mu?" gibi fiziksel ve dijital kontroller yerinde yapılır.
- Uygulama: Sistemin sadece kağıt üzerinde değil, gerçek hayatta işlediği kanıtlanır.
Adım 4: Raporlama ve Sertifikasyon
Denetim başarıyla tamamlandığında veya tespit edilen küçük eksiklikler (uygunsuzluklar) giderildiğinde, dosyanız Teknik Komiteye sunulur.
- Sonuç: Onaylanan sertifikanız, ISO 27001:2022 versiyonuna uygun, uluslararası akreditasyonlu (TÜRKAK, IAS vb.) olarak düzenlenir ve teslim edilir.
Adım 5: Gözetim ve Süreklilik
ISO belgeleri 3 yıl geçerlidir, ancak sistemin yaşadığından emin olmak için her yıl (belge tarihinden 12 ay sonra) Gözetim Denetimi yapılır. Vertacert, her yıl size hatırlatma yaparak belgenizin geçerliliğini korumanızı sağlar.

7. Merak Edilenler: Maliyetler, Süreçler ve Zorunluluklar (SSS)

ISO 27001 Belgesi Fiyatları Neye Göre Belirlenir?

ISO 27001 fiyatlandırması sabit bir ürün fiyatı gibi değildir. Uluslararası akreditasyon kurallarına göre fiyat; çalışan sayısı, şube sayısı, faaliyetin karmaşıklığı ve risk seviyesine göre hesaplanan “Denetim Gün Sayısı” (Adam/Gün) üzerinden belirlenir.

Örnek: 10 çalışanı olan bir yazılım firmasının denetim süresi ile 500 çalışanı olan bir bankanın denetim süresi (ve maliyeti) farklıdır. En doğru fiyat için işletme bilgilerinizi uzmanlarımıza iletmeniz gerekir.

Belgeyi Almak Ne Kadar Sürer?

Bu süre, sistemin kurulma hızına ve firmanın hazır bulunuşluğuna bağlıdır.

Kurulum Süreci: Danışmanlık ve dokümantasyon hazırlığı ortalama 2-4 ay sürer.
Denetim Süreci: Denetim planlandıktan sonra 1-2 hafta içinde denetim tamamlanır ve raporlanır.
Toplamda, sıfırdan başlayan bir firma için 3 ile 6 ay arasında belge alınabilir.

ISO 27001 Kimler İçin Zorunludur?

Türkiye’de bazı sektörler için yasal zorunluluktur.

Bilişim Sektörü: Kamu ihalelerine giren yazılım ve entegratör firmalar.
Enerji Piyasası: EPDK lisansı (Elektrik, Doğalgaz, Petrol) sahibi firmalar.
Elektronik Haberleşme: İnternet Servis Sağlayıcıları (ISS), GSM operatörleri.
Gümrük İşlemleri: Yetkilendirilmiş Yükümlü Statüsü (YYS) almak isteyen ihracatçılar.
Ayrıca, e-Fatura Özel Entegratörleri ve Ödeme Kuruluşları için de zorunludur.

ISO 27001 Belgesi Kaç Yıl Geçerlidir?

Belge, 3 yıllık bir döngü için verilir.

1. Yıl: İlk Belgelendirme Denetimi yapılır ve belge alınır.
2. Yıl: 1. Gözetim Denetimi (Sistemin devamlılığı kontrol edilir).
3. Yıl: 2. Gözetim Denetimi.
3 yılın sonunda “Yeniden Belgelendirme” (Re-Certification) yapılarak döngü başa döner.

Dijital Dünyada Güvenli Limanınız: Vertacert

Bilgi güvenliği, hata kabul etmeyen hassas bir süreçtir. Yanlış kurgulanmış bir risk analizi veya eksik bir SoA dokümanı, sadece denetimden kalmanıza değil, gerçek bir siber saldırıda savunmasız kalmanıza neden olabilir.

Vertacert olarak, süreci sadece “belge almak” olarak görmüyoruz. İşletmenizin dijital bağışıklık sistemini güçlendiriyor, KVKK risklerinizi minimize ediyor ve uluslararası pazarlarda başınız dik ticaret yapmanızı sağlıyoruz.

Bu sayfa, bilgi güvenliği sistemlerine odaklanmıştır. Kalite (ISO 9001), Çevre (ISO 14001) ve diğer tüm kurumsal belgelendirme çözümlerimiz için ISO Belgelendirme Hizmetleri Merkezimizi ziyaret edin.

Bilgi Güvenliği & Gizlilik Kategorimizden Öne Çıkanlar

Bu kategori; verinin dijital kalesi olan ISO 27001‘den, mahremiyetin anayasası olan ISO 27701 ve KVKK‘ya kadar tüm “güven” odaklı içerikleri kapsamaktadır. Bilmeniz gereken tüm teknik detayları ve güncel mevzuat bilgilerini blog yazılarımızda paylaşıyoruz.