ISO 27001 Belgesi Nasıl Alınır? 2026 Güncel Süreç Rehberi

ISO 27001 Nedir ve Neden Alınmalı?

2026 yılında yürürlükteki ISO 27001:2022 versiyonu, 93 kontrol içerir ve özellikle bulut güvenliği, tedarik zinciri riskleri, uzaktan çalışma gibi modern tehditlere odaklanır. Deneyimlerimizde gördüğümüz kadarıyla, belgeyi sırf ihale şartnamesi için alan firmalar genelde 1-2 yıl içinde yenileme denetiminde zorlanıyor; oysa BGYS'yi canlı bir sistemle yönetenler hem operasyonel verimliliği artırıyor hem sigorta primlerinde indirim alıyor.

İnvekor.com.tr olarak müşterilerimize siber güvenlik hizmetleri sunarken, ISO 27001 belgesi olanların olay müdahale sürelerinin %40-50 daha kısa olduğunu gözlemledik. Sebebi basit: risk değerlendirmesi, envanter yönetimi ve erişim kontrolü gibi süreçler zaten oturmuş oluyor.

Belgelendirme Öncesi Hazırlık Süreci

ISO 27001 belgesi almadan önce, kuruluşunuzda çalışır bir BGYS kurmanız gerekir. Bu aşama genelde 3-6 ay sürer ve en çok kaynak harcanan bölümdür. Sahada sık gördüğümüz hata, danışmanlık firmasının hazırladığı dökümanları olduğu gibi kabul edip çalışanlara duyurmamak. Oysa ISO 27001, "kağıt üzerinde var ama uygulanmıyor" denetimlerinden hemen anlaşılır.

1. Kapsam Belirleme: Hangi lokasyonlar, departmanlar ve bilgi varlıkları BGYS'ye dahil? Örneğin sadece IT departmanı mı, yoksa tüm şirket mi?
2. Risk Değerlendirmesi: Bilgi varlıklarınızı listeleyin (sunucular, veritabanları, müşteri verileri, yazılım kodları) ve her birine yönelik tehditleri puanlayın. Sızma testleri bu aşamada gerçekçi risk skorları verir.
3. Kontrol Seçimi: 93 kontrolden hangilerini uygulayacağınızı, Risk Tedavi Planı (RTP) ile belirleyin. Uygulanmayan kontroller için gerekçe sunmalısınız.
4. Politika ve Prosedür Yazımı: Bilgi Güvenliği Politikası, Erişim Kontrolü Prosedürü, Olay Yönetimi Prosedürü vb. Danışman şablonları kullanabilirsiniz ama kendi süreçlerinize uyarlayın.
5. Farkındalık Eğitimi: Tüm çalışanlara temel bilgi güvenliği eğitimi verin. Denetimde rastgele bir çalışana "Şifre politikası nedir?" diye sorulabilir.

Belgelendirme Kuruluşu Seçimi ve Denetim Aşamaları

BGYS'niz hazır olduğunda, akredite bir belgelendirme kuruluşu seçmeniz gerekir. Türkiye'de TÜRKAK akreditasyonlu firmalar (BSI, TÜV, SGS, Bureau Veritas vb.) tanınır. Müşterilerimize genelde 2-3 teklif almalarını, sadece fiyata değil denetçi deneyimine de bakmalarını öneriyoruz. Bazı kuruluşlar sektör uzmanlığı sunar (finans, sağlık, e-ticaret), bu avantaj sağlar.

Denetim sırasında denetçiler genelde örnekleme yapar: birkaç risk senaryosu, birkaç çalışan, birkaç log kaydı inceler. Dolayısıyla her süreç için en az 2-3 somut kanıt bulundurun (e-posta, toplantı tutanağı, ekran görüntüsü). Sahada gördüğümüz en yaygın majör uygunsuzluk, "yedekleme politikası var ama hiç test edilmemiş" durumu.

Maliyet ve Süre Hesaplaması

Maliyet, kuruluş büyüklüğüne (çalışan sayısı, lokasyon sayısı) göre değişir. 10-50 kişilik bir yazılım firması için danışmanlık ~40.000 TL, belgelendirme ücreti ~25.000 TL, eğitim ve araç maliyetleri ~15.000 TL olmak üzere toplam 80.000 TL civarı bütçe ayırmalısınız. 500+ kişilik kurumlar 200.000 TL'yi aşabilir.

Süreyi kısaltmak için, mevcut bulut altyapınızı ve yazılım süreçlerinizi erken envanterleyin. Risk değerlendirmesinin %70'ini tamamlamadan danışman tutmayın; aksi halde toplantılar sadece bilgi toplama olur, uygulama gecikir.

Dikkat Edilmesi Gereken Kritik Noktalar

• Üst Yönetim Desteği: CEO veya genel müdür, BGYS'yi desteklediğini yazılı beyan etmeli ve kaynak sağlamalı. Denetimde üst yönetim görüşmesi yapılır.
• Kapsam Daraltma: İlk belgelendirmede tüm şirketi kapsamak yerine, kritik bir birim veya lokasyon ile başlamak daha kolay. Sonraki yıllarda genişletebilirsiniz.
• Dış Kaynak (Outsource) Yönetimi: Bulut sağlayıcıları, yazılım geliştirme firmaları gibi dış hizmet alıyorsanız, onların bilgi güvenliği yeterliliğini kontrol edin ve sözleşmeye ekleyin. ISO 27001:2022, tedarik zinciri riskini vurgular.
• Olay Müdahale Planı: Sahada en az test edilen ama denetimde mutlaka sorulan konu. En az yılda bir kez tabletop exercise (masa başı tatbikat) yapın ve kayıt tutun.

Müşterilerimizde sık karşılaştığımız bir diğer sorun, log yönetimi. ISO 27001, kullanıcı ve sistem loglarının saklanmasını, düzenli incelenmesini ister. Ancak 6 aylık log biriktirip hiç analiz etmemek yeterli değil; aylık veya üç aylık periyotlarda anomali araması yapın ve rapor oluşturun.

ISO 27001:2022 ile Gelen Yenilikler (2026 Perspektifi)

ISO 27001:2022, bir önceki 2013 versiyonuna göre kontrolleri 114'ten 93'e indirdi ama konsolidasyon yaptı, derinleştirdi. Öne çıkan değişiklikler:

• Kontrol 5.7 - Tehdit İstihbaratı: Dış tehdit kaynaklarını (CERT bildirimleri, sektörel paylaşımlar) izlemek ve değerlendirmek artık zorunlu.
• Kontrol 5.23 - Bulut Hizmetleri Güvenliği: Bulut kullanıyorsanız, veri yerleşimi, şifreleme, yedekleme gibi konularda somut önlemler alın.
• Kontrol 8.10 - Bilgi Silme: KVKK/GDPR uyum için de kritik; artık kullanılmayan verileri güvenli silme prosedürü zorunlu.
• Kontrol 8.28 - Güvenli Kodlama: Yazılım geliştiren firmalar için, OWASP Top 10 gibi rehberlere uygun kod incelemesi ve test süreçleri isteniyor.

Eğer hâlâ ISO 27001:2013 belgesi ile çalışıyorsanız, 2026 sonuna kadar geçiş denetimi yapmanız gerekiyor. İnvekor olarak müşterilerimize yazılım entegrasyon ve bulut mimarisi hizmetlerimizle yeni kontrollere uyum sağlamalarında yardımcı oluyoruz.

Belge Aldıktan Sonra: Sürdürülebilirlik ve Sürekli İyileştirme

ISO 27001 belgesi almak, maratonun yarısı. Gerçek değer, sistemi canlı tutmakta. Yıllık gözetim denetimleri, BGYS'nin kağıt üzerinde değil pratikte işlediğini kontrol eder. Deneyimlerimizde başarılı firmalar şunları yapıyor:

• Üç Aylık Yönetim Gözden Geçirme Toplantıları: Standart yılda en az bir kez ister, ancak üç ayda bir kısa toplantı yapmak daha etkili. Olay istatistikleri, risk değişiklikleri, denetim bulguları masaya yatırılır.
• BGYS Sorumlusu Atama: Bilgi güvenliği sorumlusu veya CISO, günlük operasyonda kontrolü sağlar, eğitimleri organize eder, politika güncellemelerini yönetir.
• Otomatik İzleme Araçları: Log toplama, güvenlik açığı taraması, yedekleme doğrulama gibi işlemleri otomasyona bağlayın. Böylece gözetim denetiminde "son 12 ayda kaç güvenlik açığı tespit edildi?" sorusuna anında yanıt verebilirsiniz.
• Periyodik Risk Değerlendirmesi: Yeni teknoloji, yeni tehdit veya organizasyon değişikliğinde (birleşme, yeni ofis, yeni uygulama) risk değerlendirmesini güncelleyin.

İnvekor.com.tr olarak, yönetilen güvenlik hizmetleri kapsamında müşterilerimizin BGYS süreçlerini 7/24 izliyor, olay müdahale planlarını test ediyor ve yıllık iç tetkik desteği sağlıyoruz. Bu sayede belge yenileme dönemlerinde stres yaşamıyorlar.

Sıkça Sorulan Sorular (SSS)

Sonuç: ISO 27001 Belgesi Yolculuğunuza Başlarken

ISO 27001 belgesi almak, disiplin ve süreklilik isteyen ama kuruluşunuza somut değer katan bir yatırımdır. 2026 yılında güncellenmiş standart, bulut güvenliği, tedarik zinciri risk yönetimi ve tehdit istihbaratı gibi modern gereksinimleri içeriyor; dolayısıyla sadece bir sertifika değil, gerçek bir siber dayanıklılık çerçevesi sunuyor. Deneyimlerimizde gördüğümüz kadarıyla, süreci ciddiye alan, çalışanlarını dahil eden ve teknolojiyi doğru kullanan firmalar hem denetimlerden kolayca geçiyor hem de siber olay maliyetlerini önemli ölçüde düşürüyor.

Eğer ISO 27001 yolculuğunuza başlamak veya mevcut BGYS'nizi 2022 versiyonuna taşımak istiyorsanız, invekor.com.tr olarak siber güvenlik danışmanlığı, bulut altyapı ve yönetilen hizmetler portföyümüzle yanınızdayız. 15 yıllık saha deneyimimizi paylaşarak, belgelendirme sürecinizi hızlandırabilir ve sürdürülebilir bir bilgi güvenliği kültürü oluşturmanıza yardımcı olabiliriz.