ISO Standartları

ISO 27001 Bilgi Güvenliği: Dijital Tehditlere Karşı Kurumsal Kalkan

7 dakika okuma
Özgen Eğitim Danışmanlık

ISO 27001, kurumsal bilginin gizliliğini (confidentiality), bütünlüğünü (integrity) ve erişilebilirliğini (availability) korumak için tasarlanmış uluslararası bir yönetim sistemi standardıdır. Siber saldırıların ve veri ihlallerinin hız ve karmaşıklık açısından her yıl tırmandığı günümüzde bilgi güvenliği, yalnızca BT departmanının değil üst yönetimden operasyon sahasına kadar tüm kurumun sorumluluğudur.

ISO 27001:2022 Revizyonu Ne Getirdi?

Ekim 2022'de yayımlanan ISO 27001:2022, önceki 2013 versiyonunun yerine geçmiştir. Temel değişiklikler şunlardır:

  • Kontrol sayısı 114'ten 93'e indirgenmiş; bazı kontroller birleştirilmiş, bazıları yeniden yapılandırılmıştır.
  • Bulut güvenliği, tehdit istihbaratı ve veri maskeleme gibi modern teknolojilere özgü yeni kontroller eklenmiştir.
  • Tema bazlı yapıya geçilmiştir: Organizasyonel, teknolojik, fiziksel ve insana yönelik kontroller.

Mevcut ISO 27001:2013 sertifika sahiplerinin Ekim 2025'e kadar yeni versiyona geçiş yapması gerekmektedir.

KVKK Uyumu ile ISO 27001'in Kesişimi

Kişisel Verilerin Korunması Kanunu (KVKK), veri sorumlularına teknik ve idari tedbirler alma yükümlülüğü getirmektedir. ISO 27001'in güvenlik kontrolleri, KVKK'nın teknik güvenlik gerekliliklerinin büyük bölümünü karşılamaktadır. Bu iki sistemi entegre yönetmek, hem uyum riskini hem de operasyonel yükü önemli ölçüde azaltır.

Ancak KVKK'nın hukuki boyutları (aydınlatma yükümlülüğü, açık rıza yönetimi, veri sahibi başvuruları) ISO 27001 kapsamı dışında kalmaya devam eder; bu konular ayrıca ele alınmalıdır.

Üretim Firmaları İçin Neden Kritiktir?

ISO 27001, yalnızca yazılım şirketleri veya bankalar için bir standart değildir. Üretim tesisleri için özellikle kritik olan alanlar şunlardır:

  • PLC/SCADA sistemleri: Üretim otomasyon altyapısına yönelik siber saldırılar üretim hattını durdurabileceği gibi fiziksel güvenlik risklerine de yol açabilir.
  • Ürün formülasyonları ve Ar-Ge verileri: Fikri mülkiyet hırsızlığına karşı teknik koruma şarttır.
  • Tedarikçi ve müşteri bilgileri: B2B ilişkilerde veri ihlali, ticari itibar ve sözleşmeler üzerinde ağır sonuçlar doğurur.
  • İhale süreçleri: Savunma, enerji ve kamu alımlarında ISO 27001 belgesi teknik yeterlilik kriteri olarak aranmaktadır.

ISO 27001 Danışmanlık ve Belgelendirme Süreci

  1. Kapsam Belirleme: Hangi bilgi varlıklarının, hangi lokasyonların ve süreçlerin kapsama alınacağı netleştirilir.
  2. Risk Değerlendirmesi: Bilgi varlıkları envantere alınır, tehditler ve açıklıklar belirlenir, risk seviyesi hesaplanır.
  3. Kontrol Seçimi ve Uygulanabilirlik Beyanı (SoA): ISO 27001 Ek A kontrollerinden hangilerinin uygulanacağı ve gerekçeleri kayıt altına alınır.
  4. Politika ve Prosedür Hazırlığı: Bilgi güvenliği politikası, erişim yönetimi, olay yönetimi ve iş sürekliliği prosedürleri oluşturulur.
  5. İç Tetkik ve Yönetimin Gözden Geçirmesi: Sistem bağımsız olarak doğrulanır.
İletişime Geçin

Kalite Yolculuğunuzda Birlikte Yürümeye Hazır Mısınız?

Firmanıza özel yol haritasını belirlemek için ücretsiz ön değerlendirme görüşmesi talep edin.

Teklif Alın Hemen Arayın