ISO 27001:2022; bilgi güvenliği yönetim sistemleri için uluslararası altın standarttır. Türkçev olarak Annex A'daki 93 kontrolü kurumun risk profiline göre uyarlayarak; regülatif uyumu aşıp fiili güvenlik olgunluğu sağlayan sistemler kuruyoruz.
ISO 27001:2022 Yeni Kontrol Yapısı
2022 revizyonu Annex A kontrollerini 14 alandan 4 temaya indirgedi: Organizasyonel, Kişisel, Fiziksel, Teknolojik.
- Organizasyonel Kontroller — 37 kontrol — politika, roller ve yönetişim.
- Kişisel Kontroller — 8 kontrol — personel güvenliği ve farkındalık.
- Fiziksel Kontroller — 14 kontrol — tesis ve ekipman güvenliği.
- Teknolojik Kontroller — 34 kontrol — sistem, ağ ve kriptografi.
- Risk Yönetimi — Varlık bazlı risk değerlendirme ve muamele.
- Uyum — KVKK, GDPR ve sektörel regülasyonlara eşleme.
Kurulum Süreci
Sıfırdan kurulumda 6-9 ay; olgun bilgi güvenliği pratiği olan kurumlarda 3-4 ay.
- 01 · Kapsam & Bağlam — Hangi varlıklar, hangi süreçler dahil.
- 02 · Varlık Envanteri — Bilgi varlıklarının sınıflandırılması.
- 03 · Risk Değerlendirme — Varlık × Tehdit × Zafiyet analizi.
- 04 · SoA (Uygulanabilirlik Beyanı) — 93 kontrolden hangilerinin uygulanacağı.
- 05 · Kontrol Uygulama — Teknik ve organizasyonel tedbirler.
- 06 · İç Denetim & Yönetim — Sürekli gözden geçirme döngüsü.
"Bilgi güvenliği; saldırılara karşı duvar değil, veriye güven duyulmasını sağlayan mühendisliktir."
KVKK ve GDPR ile Entegrasyon
ISO 27001 tek başına KVKK veya GDPR uyumluluğu sağlamaz — ama güçlü bir temel oluşturur. Türkçev olarak müşterilerimize ISO 27001 + ISO 27701 (Privacy Information Management) + KVKK/GDPR eşleme matrisleri sunuyoruz. Bu sayede tek sistemle çoklu uyum sağlanır.
NEDEN TÜRKÇEV
Süreç, Belge ve Kültür
ISO 27001; bilgi güvenliğini antivirüs kurulumu olarak değil, tüm organizasyonun risk tabanlı yönetim disiplini olarak ele alır. KVKK cezalarının artması, fidye yazılım saldırılarının kurumsal bilançoyu patlatması ve tedarikçi denetimlerinde güvenlik sertifikası istenmesiyle birlikte sertifika; bir pazarlama vitrini olmaktan çıkıp müşteri sözleşmesinin ekidir. Türkçev, 2012'den beri finans teknolojisi, sağlık bilişimi, e-ticaret, üretim tesisleri ve kamu tedarikçilerine ISMS kurulumu, risk değerlendirmesi ve SoA hazırlama süreçlerinde danışmanlık veriyor.
Standardın 2022 revizyonu ile Annex A kontrolleri 114'ten 93'e düştü ve dört tematik grupta toplandı: Örgütsel, İnsan, Fiziksel, Teknolojik. Yeni eklenen 11 kontrol — tehdit istihbaratı, bulut servis güvenliği, veri maskeleme, güvenli kodlama, yapılandırılmış log analizi — işletmelerin uyum planını baştan yazmasını gerektirdi. Biz varlık envanterini ISO 27005 metodolojisi ile çıkarır, risk değerlendirmesini nicel (ALE) veya nitel (ROMA) yaklaşımla yapar, Uygulanabilirlik Bildirgesi (SoA) ile KVKK VERBİS kayıtlarını aynı matriste tutarız; böylece çift kayıt ve çelişen ifadeler oluşmaz.
Türkçev farkı; belge sonrası sürdürülebilirliktir. ISMS dokümantasyonu kabineye kilitlendiğinde ilk gözetim denetiminde uygunsuzluk çıkmak kaçınılmazdır. Biz üç yıllık sertifika döngüsü boyunca iç denetim, yönetim gözden geçirme, düzeltici aksiyon takibi ve yıllık risk güncellemesini takvimlendiriyoruz. Güvenlik olayı (incident) yaşandığında olay müdahale prosedürünü devreye alıyor; tedarikçi denetiminde taraf soru listesine hazır dosya sunuyoruz. ISO 27001; bir rozet değil, organizasyonun güvenlik refleksidir.