ISO 27001:2022

ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi


ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi Nedir?


Bilgi Yönetim Sistemi ISO 27001 nedir ve almak için neler gereklidir konusunda bilgi vereceğiz. Bilgi, kuruluşların faaliyetlerinin sürdürülebilmesi için en önemli kavramlardan birisidir. Kuruluşların en önemli değerlerinden birisi olan bilginin kaybedilmesi halinde telafisi olmamaktadır ve parasal karşılığı yoktur. Bu nedenle bilginin her kurum ve kuruluş için korunması, gizlenmesi ve saklanması çok önemlidir. Bilgi güvenliği sağlamak yapılacak olan yatırımların ve bu yatırımlardan oluşan fırsatların dönüşünden maksimum seviyede yararlanmak için mutlaka gereklidir. Ticari kayıpları sıfıra yaklaştırmak ve sürekliliği sağlamak için bilgi güvenliği korunumu kavramı ortaya çıkmıştır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, değerli bilgi ve varlıkların yönetilmesini ve korunmasını sağlayan belgelendirme ve yönetim türüdür. ISO 27001 belgesi almak isteyen kurumların bilgi güvenliği yönetim sistemi standartlarına göre sistemlerini kurmalı ve aktif olarak uygulamaları gerekmektedir.

ISO 27001:2022, Bilgi Güvenliği Yönetim Sistemleri (ISMS-BGYS) uluslararası standardıdır ve geniş ölçüde, 1995 yılından beri kullanılmakta olan BS 7799 bilgi güvenliği yönetim standardını esas alarak hazırlanmıştır.

ISO 27001:2022 standardı; kuruluşların kendi bilgi güvenlik sistemlerini sağlamasını mümkün kılan teknoloji tarafsız, satıcı- tarafsız yönetim sistemleri için bir çerçeve sağlar. Bu yapı sürekli erişilebilirlik, gizlilik ve kendi bilgileriyle bütünlük sağlayarak, tarafların yasal uyumluluklarını kapsar.

ISO 27001:2022 standardının uygulanması, aşağıda belirtilen davranışlara yönelik yasal talepler ve muhtemel güvenlik ihlâllerine karşı ideal bir tepkidir:

  1. Vandalizm / Terörizm
  2. Yangın
  3. Amaç dışı kullanmak
  4. Hırsızlık
  5. Virüs saldırısı

ISO 27001 standardı, ISO 9001 ile ISO 14001 gibi diğer yönetim sistemi standartlarına kolayca uyum sağlayacak şekilde yapılandırılmıştır.

Bazı maddelerdeki farkları ortaya koyarken, ortak öğeler belge düzenlemeyi, inceleme ve denetim taleplerini kapsar; büyük ölçüde bütünleşmiş bir yönetim sistemini geliştirmek için gereken düzenlemeleri sağlar.

Modern iletişim ortamları, genelde ISMS sistemlerinin çoğunun ICT’de odaklandığını ortaya koyarken, ISO-27001, bilginin yazılı kayıtlar, görüntüler ve hatta konuşmalar gibi diğer türlerine de uygulanabilir.

ISO 27001 Nedir?


ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi uluslararası geçerliliği olan bir güvenlik standardıdır. Kamu kurumları, ticari ve sivil toplum kuruluşları için bilgi güvenliği yönetim sisteminin (BGYS) uygulama, kurulum, gözetim ve sistem iyileştirme aşamalarını kapsar.

Neden ISO 27001?


  • ISO 27001 ile yasal tarafların zorunlu kıldığı kriterleri sağlamış olursunuz.
  • ISO 27001 gizli ve önemli bilgilerinizi korumanızı doğru bir şekilde yönetmenizi sağlar.
  • ISO 27001 riskleri minimize etmenizi ve sistem zayıflıklarını tespit edip önlemler almanızı sağlar.
  • ISO 27001 ile bilgi varlıklarının korunduğu yolunda hissedar ve müşteri güveni elde edersiniz.
  • ISO 27001 ile aranılan kriterde tercih edilen tedarikçi konumuna gelirsiniz.
  • ISO 27001 ile ulusal ve uluslararası seviyede tanınırlık, pazarda söz sahibi olursunuz.

ISO 27001:2022 Bilgi Güvenliği Yönetim Sisteminin Amacı


iso 27001’in amacı, modern bir kuruluşun bilgilerini ve verilerini nasıl yönetmesi gerektiğine ilişkin bir standartlar çerçevesi sağlamaktır. Risk yönetimi, bir şirketin veya kâr amacı gütmeyen kuruluşun güçlü ve zayıf yönlerinin nerede oluğunu anlamasını sağlayan iso 27001 ‘in önemli bir parçasıdır.

ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi ile İlgili Terim ve Kavramlar


Bilgi Güvenliği Yönetim Sistemi (BGYS): Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, takip etmek, gözden geçirmek, devam ettirmek ve geliştirmek için, iş riski yaklaşımına dayalı yönetim sisteminin bir parçası.
Risk analizi: Bilginin, kaynakları belirleyip risk tahmini yapmak amacıyla sistematik kullanımı.
Risk değerlendirme: Risk analizi ve risk derecelendirmesini kapsayan süreç.
Risk derecelendirme: Riskin önemini belirlemek amacıyla tahmin edilen riskin verilen risk ölçütleriyle karşılaştırılması işlemi.
Risk yönetimi: Bir firmayı risk ile ilgili olarak kontrol etmek ve yönlendirmek amacıyla kullanılan eşgüdümlü çalışmalar.
Risk işleme: Riski değiştirmek için alınması gereken önlemlerin seçilmesi ve uygulanması işlemi.
Uygulanabilirlik bildirgesi: Kuruluşun BGYS ile ilgili ve uygulanabilir kontrol amaçlarını ve kontrolleri açıklayan belgelendirilmiş bildiridir.

ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi Standardının Genel Özellikleri


  • Sektör bağımsız olup, her türlü büyüklükteki kurum için uygulanabilir.
  • İç denetimlerin bağımsızlığının ve etkinliğinin sağlanması ile kurumsal yönetişim ve iş sürekliliği ihtiyaçlarını karşılar.
  • Regülasyonlara uyumun sağlandığını gösterir.
  • Müşteri bilgilerinin güvenliğine gösterilen önem ile rekabet avantajı ve kurumsal itibarı güçlendirir.
  • Kurumsal risklerin ön görüldüğünü ve bu riskleri en aza indirgemek için çalışma yapıldığını gösterir.
  • Teknik ve teknoloji bağımlı bir standart değildir. Belli bir ürün ve ya bilgi teknolojisi ile ilgilenmez

ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi Kurmanın Yararları


  • Bilgi varlıklarına yönelik tehditlere karşı önlemler alır.
  • Riskler analiz edilir ve işlenerek etkileri azaltılır.
  • Ulusal ve uluslararası pazarlarda rekabet gücünü arttırır.
  • Kuruluşların, bilgi varlıklarının farkına varmalarını sağlar.
  • Firmanın sahip olduğu varlıların korunmasını sağlar.
  • Firma genelinde bilgi güvenliği bilinci oluşur.
  • İş sürekliliğini kesintiye uğratacak durumlar azaltılır.
  • Tedarikçi, müşteri, çalışanlara  ve tüm taraflara güven verir.
  • Belirli bir sistem sayesinde bilgi korunur, kötü sürprizlere yer bırakılmaz.
  • Bilgi güvenliği konusundaki açıklar tespit edilir ve açıklar kapatılır.
  • Yasal alanda yükümlülüklere uyum kolaylaşır, yasal takip ihtimali engellenir.
  • Her türlü veri kaybı ihtimallerini ortadan kaldırır
  • Çalışanların motivasyonunu arttırır.

ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemini Kimlere uygulanabilir?


ISO/IEC 27001:2022, müşteri kayıtlarının amaç dışı kullanılması, bozulması veya kaybolması gibi durumlar nedeniyle ticari bilgilerini ya da müşteri bilgilerini yitirmesiyle büyük ticari zarar görmesi mümkün olan bütün kuruluşlara uygulanabilir.

ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi Belgesini Faydaları


Müşteri memnuniyeti – Kişisel bilgilerinin korunduğu ve gizliliğin güvence altına alındığını göstererek sağlanır. Sözleşmeden doğan gereklilikleri karşılayarak ve müşterilerinize bilgilerinin güvenliğine gösterdiğiniz özeni göstererek bir rekabet avantajı sağlar

Ticari devamlılık – Risk yönetimi, yasal uyumluluk ve gelecekteki güvenlik olaylarında ve konularında önceden hazır olmak suretiyle elde edilir. Düzenli değerlendirme işlemi performansınızı sürekli izlemenize ve geliştirmenize yardımcı olur

Yasal uyumluluk – Yasa ve yönetmelik taleplerinin kuruluş ile müşteriler üzerindeki etkilerini kavrayarak gerçekleştirilir.Geçerli yasa ve düzenlemelere uygun davranıldığını bağımsız bir şekilde gösterir

Gelişmiş risk yönetimi – Müşteri kayıtlarının, mali bilgilerin ve fikrî mülkiyetin güvenceye alınmasını sistemli bir çerçeveye oturtmak suretiyle; kayıp, hırsızlık ile hasardan koruyarak gerçekleştirilir.

Ticari kredibilitenin – İç denetimlerinizin bağımsız bir şekilde sağlandığını gösterir ve kurumsal yönetişim ve iş devamlılığı gereksinimlerini karşılar

Daha fazla iş olacağı elde edilir – Özellikle satın alma niteliklerinin ürüne ilişkin sertifikayı şart koştuğu durumlar ortaya çıktığı zamanlarda, iş fırsatları artar.

ISO 27001:2022 Bilgi Güvenliği Yönetim Sertifikasının Müşterileriniz Açısından Faydaları


  • Müşterilerin fikri mülkiyetlerinin ve değerli bilgilerinin güvenli olmasını sağlar
  • Müşterilere ve paydaşlara riski yönetilme durumu konusunda güven sağlar
  • Bilgi alışverişini güvence altına alır
  • Müşterilerin yasal yükümlülüklerini yerine getirdiğinizi görmelerini sağlar
  • Hizmet veya ürün teslim memnuniyetini artırır

ISO 27001:2022 Bilgi Güvenliği Yönetim Belgesi Zorunlu Mudur?


26.12.2014 tarihinde yayınlanan 29217 sayılı Resmi Gazete’deki değişikliklerle, Petrol, Elektrik, Doğalgaz hizmeti veren firmalar için Enerji Pitasası Düzenleme Kurumu(EPDK), bu belgeye sahip olunması zorunlu getirmiştir. e-Fatura hizmeti veren özel entegratör firmalara, Gelir İdaresi Başkanlığı tarafından yayınlanan Nisan 2015 tarihli e-Fatura Uygulaması Özel Entegrasyon Kılavuzu’nda bu sertifikayı zorunlu kılınmıştır. Ayrıca Gümrük ve Ticaret Bakanlığı tarafından Resmi Gazete’de yayımlanan kapsamda yetkilendirilmiş yükümlü statüsü gümrük yükümlülüklerini yerine getiren, mali yeterliliğe ve güvenlik standartlarına sahip firmalara verilmektedir.

  • 26.12.2014 tarihli ve 29217 sayılı Resmi Gazete’de yayımlanan değişikliklerle, Enerji Piyasası Düzenleme Kurumu (EPDK), Petrol, Elektrik, Doğalgaz Piyasası’ndaki firmalar için ISO 27001 Bilgi Güvenliği Yönetim Sistemi belgesine sahip olmayı zorunlu hale getirmiştir.
  • T.C. Gümrük ve Ticaret Bakanlığı tarafından, 10 Ocak 2013 tarihli Resmi Gazete’de yayımlanan Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği kapsamında hayata geçirilen, Yetkilendirilmiş Yükümlü statüsü; gümrük yükümlülüklerini yerine getiren, mali yeterliliğe ve güvenlik standartlarına (ISO 27001 ve ISO 9001) sahip firmalara veriliyor.
  • Gelir İdaresi Başkanlığı – Denetim ve Uyum Yönetimi Daire Başkanlığı’nın Nisan 2015 tarihli e-Fatura Uygulaması Özel Entegrasyon Kılavuzu’nda, e-Fatura hizmeti verecek özel entegratör firmalara ISO 27001, ISO 22301 ve ISO 20000 belgeleri alma zorunluluğu getirildiği bildirilmektedir.

ISO 27001:2022 Bilgi Güvenliği Sistemi Hangi Kurumları İlgilendirir


ISO 27001 Bilgi Güvenliği Yönetimi Sistemi her sektörden tüm kurum ve kuruluşlar için uygundur. Ancak bu standartlar finans, sağlık, kamu ve bilgi teknolojileri sektörleri gibi önemi yüksek olan alanlarda mutlaka gereklidir. Ayrıca bilgi teknolojileri taşeron şirket ve benzeri şekilde yönetilen kuruluşlar için mutlaka gereklidir. Bu tür firmalar müşterilerine bilgilerin koruma altında olduğu güvencesini vermek zorundadır.

ISO 27001:2022 Belgesi Alma Zorunluluğu Olan Sektörler Hangileridir?


  • İnternet servis sağlayıcıları
  • Bilişim sektöründe faaliyet gösteren ayrıca kamu ihalelerine girmek isteyen yazılım firmaları
  • Elektronik haberleşme şebekesi sağlayan ve işleten firmalar
  • Gümrük işleri süreçlerinin kolaylaştırılmasını isteyen ihracatçı firmalar
  • E-fatura özel entegratör yetkisi almak isteyen kuruluşlar
  • Sanal olarak mobil şebeke hizmeti veren kuruluşlar
  • Sabit telefon hizmeti veren kuruluşlar
  • Mobil telefon hizmeti veren firmalar
  • İmtiyaz ve/veya görev sözleşmesi imzalayan firmalar
  • Uydu haberleşme ve/veya alt yapı işletmeciliği hizmeti veren firmalar

ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi Belgendirmesi için Doküman Sistemi Kurumu Nasıl Yapılır?


  • Bilgi için bir Yönetim Platformu oluşturulması; hedeflerin, amaçların, bilgi güvenliği politikasının belirlenmesi,
  • Güvenlik risklerinin belirlenmesi ve değerlendirilmesi,
  • Kontrollerin seçimi ve uygulanması.

ISO 27001 standardına uygun bir bilgi güvenliği yönetim sisteminin kurulması, kuruluşunuzu güvenlik saldırılarına karşı tamamen korumayabilir. Ancak, bu tür saldırıların başarılı olma olasılığını önemli ölçüde azaltacaktır.

Kuruluşların uyguladığı bazı kontroller şunlardır

  • Şifre kullanarak kişisel bağlanma,
  • Virüs kontrolleri, yedekleme ve saklama (şirket dışında saklama da dahil) uygulamaları,
  • Yetki tabloları,
  • İK ile işbirliği,
  • İş planlama ( kaza sonucunda ve iş sürekliliği için yapılacakların listesi),
  • BT hata raporlamaları,
  • E-posta, faks, internet ve fotokopi için kullanma koşulları,
  • Dosyalara erişimde yetkiler.

ISO 27001:2022 Bilgi Güvenliği Yönetim Sisteminin “6 Adımda Belgelendirmesi”


  • Bilgi Güvenliği Yönetim Sistemi (BGYS) kapsamını belirlemek için “Boşluk Analizi” yapılır.
  • Uygulama planı hazırlanır.
  • Ön denetim gerçekleştirilir.
  • Aşama 1 denetimi yapılır.
  • Aşama 2 denetimi yapılır ve tespit edilen uygunsuzluklar düzeltilir.
  • Denetim raporunuz hazırlanır ve komitenin onayı ile belgelendirmeniz yapılır ve yıllık denetimler başlatılır.

ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi Belgesi Nasıl Alınır?


ISO 27001:2022 belgesi almak isteyen firmalar, ISO 27001:2022 standardına uygun bir kalite yönetim sistemi oluşturmalıdır. Meydana getirilecek bu sistem, firmanın mal veya hizmet üretmesine etkisi olan tüm süreçleri içine almalıdır. Sözü edilen kalite yönetim sistemi uygulanabilecek bir programdan ziyade bir belgeler bütünüdür. Bu belgeler basılı veya dijital herhangi bir biçimde veya ortamda olabilir. Standardın ihtiyacı olan bütün çalışmalar yapıldıktan sonra (belgelemelerin ve gerekli kayıtların oluşturulması, iç denetimlerin ve Yönetimin Gözden Geçirmesi(YGG) çalışmalarının yapılması vb.) belgeyi almak isteyen firmalar üçüncü taraf denetim için kendilerine belgelendirme şirketi seçer. Seçilen şirket, meydana getirilen kalite yönetim sisteminin ISO 27001:2022 standardına uygun olup olmadığını, mal veya hizmet kalitesine etki eden tüm süreçleri içerip içermediğini denetler. Denetimler sonucunda belgelendirme isteyen firmanın oluşturduğu kalite yönetim sistemi ile standartlar arasında büyük farklar yoksa firma ISO 27001:2022 belgesi almaya hak kazanır ve en kısa sürede belgelendirme yapılır.

ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi Belgesi Alma Sürecinde Avrupa Belgelendirme


Avrupa Belgelendirme olarak sizlere ISO 27001:2022 Belgelendirme sürecinde size sistem kurulumundan belgelendirme sürecine kadar hizmet sağlıyoruz.

Firmanıza ilgili standart gereği bir kurulu sistem yok ise sisteminizin kurulması, gerekli eğitimlerin verilmesi, gerekli dokümanların oluşturulması, gerekli metotların belirlenmesi süreçlerini danışmanlık ile tamamlayıp bir sonraki aşamada ise belgelendirme sürecini tamamlıyoruz.

“Daha ayrıntılı bilgi için Sistem Belgelendirme Departmanı ile iletişime geçebilirsiniz.”

ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi- Sertifika Başvuru Formu

Müşteri Hizmetleri