ISO 27001 Uyum Süreci: BT Yöneticileri İçin Pratik Rehber

4 Mayıs 2026 10 dk okuma BT Yöneticisi

ISO 27001, kuruluşların bilgi güvenliğini sistematik şekilde yönettiğini gösteren uluslararası standarttır. Müşteri ihaleleri, KVKK uyumu ve siber sigorta için giderek zorunlu hale geliyor. Bu rehberde uyum süreci adımlarını anlatıyoruz.

ISO 27001 Neden Önemli?

Müşteri ihalelerinde ön koşul (özellikle banka, telekom, kamu). KVKK uyum sürecinde 'teknik ve idari tedbirler' kanıtı.

Siber sigorta primlerinde indirim. Marka itibarı ve müşteri güveni.

Uyum Süreci Adımları

1. Kapsam belirleme: Hangi süreçler, departmanlar dahil? Genelde tüm IT + ürün geliştirme + müşteri verisi işleyen birimler.

2. Risk değerlendirme: Tüm varlıkları (sunucular, veriler, çalışanlar) listele, tehditleri ve etkilerini puanla.

3. Kontrol seçimi (Annex A 93 kontrol): Risklere karşı uygulanacak güvenlik kontrollerini seç.

4. SoA (Statement of Applicability): Hangi kontrolleri neden seçtin/seçmedin dokümante et.

5. Uygulama: Politikalar, prosedürler, teknik kontroller (firewall, EDR, MFA, log yönetimi).

6. İç denetim: 6 ay önce iç denetim yap, eksiklikleri kapat.

7. Sertifikasyon denetimi: Akredite belgelendirme kuruluşu (TÜRKAK akrediteli).

En Önemli Kontroller

A.5 — Bilgi güvenliği politikaları

A.6 — Organizasyonel güvenlik (roller, sorumluluklar)

A.8 — Varlık yönetimi (CMDB, sınıflandırma)

A.9 — Erişim kontrolü (RBAC, MFA, ayrıcalıklı hesap yönetimi)

A.12 — Operasyonel güvenlik (log, monitoring, backup)

A.16 — Olay yönetimi (incident response)

A.17 — İş sürekliliği (DR, BCP)

Pratik Tavsiyeler

Süreç KOBİ için 6-12 ay, büyük kurumsalda 12-18 ay sürer. Maliyet 50.000-500.000 TL+ (dış danışman + araç + sertifikasyon).

Smyrna Bilgi Teknolojileri olarak İzmir'deki kurumlara ISO 27001 hazırlık danışmanlığı, eksik analizi ve teknik kontrollerin (SIEM, EDR, MFA) kurulumunu sağlıyoruz.

Sıkça Sorulan Sorular

ISO 27001 belgesi geçerlilik süresi?

3 yıl. Yıllık gözetim denetimleri (surveillance audit) gerekir. 3 yıl sonunda yeniden belgelendirme.

KVKK uyumlu olmak için ISO 27001 zorunlu mu?

Hayır, ama 'teknik ve idari tedbirler' yükümlülüğünü kanıtlamada güçlü dayanak. Kurul denetimlerinde olumlu etki yapar.

Hangi belgelendirme kuruluşunu seçmeliyim?

TÜRKAK akredite olanlar: BSI, DNV, TUV SUD, Bureau Veritas, SGS, TSE. Fiyat ve sektörel deneyime göre seçin.

Yardıma mı ihtiyacınız var?

İzmir Bayraklı merkezli ekibimiz aynı gün yerinde müdahale ediyor.

+90 542 767 00 29 Teklif Al

İlgili konular: KVKK Veri Envanteri · SIEM Log Yönetimi