Merhaba
Ön Not – Kapsam ve Amaç
Bu rehber, ISO 27001:2022’nin zorunlu dokümantasyon setini standardın maddeleriyle eşleştirerek anlaşılır kılmak amacıyla yazılmıştır. Odak noktası tek tek belge şablonları değil, sürecin kendisidir: hangi maddenin neden bir kanıt gerektirdiği, bu kanıtın hangi belgeyle üretildiği ve belgelerin birbiriyle nasıl ilişkilendiği.
Metindeki doküman adları, numaralandırmalar ve örnek içerikler (politika başlıkları, doküman kodları, kontrol referansları) kuruma, standardın revizyonuna ve yıllara göre değişiklik gösterebilir. Bir belgenin adı farklılaşabilir, bir kontrol güncellenebilir, yeni bir uygulama yaklaşımı ortaya çıkabilir. Bu nedenle örnekleri birebir kopyalanacak reçeteler olarak değil, mantığı kavramak için birer illüstrasyon olarak okuyun; kendi ISMS’inize uygularken ISO 27001:2022 standardının güncel metnini ve akredite belgelendirme kuruluşunuzun yönlendirmelerini esas alın.
Aynı şekilde, “Ödeme Kuruluşları İçin Düzenleyici Katman” başlığı altında hazırlanan bölümler de yürürlükteki düzenlemelere dayanır ve mevzuat değiştikçe güncellenmesi gerekir. PCI DSS sürümleri, TCMB tebliğleri, BDDK düzenlemeleri, KVKK/MASAK gereksinimleri ve saklama (retention) süreleri zaman içinde değişebilir. Bu rehber hukuki veya denetim danışmanlığı yerine geçmez; nihai uygulama için kurumunuzun uyumluluk ekibine, QSA’sına ve güncel resmi mevzuata başvurun.
Kısacası: amaç, süreci ve mantığı anlamaktır. Örnekler bugünün fotoğrafıdır; ilke ise kalıcıdır.
ISO 27001:2022 sertifikasyon sürecine giren birçok ekibin ilk takıldığı soru şudur: “Hangi dokümanları hazırlamak zorundayız?” Standardın kendisi aslında sınırlı sayıda dokümante edilmiş bilgi talep eder; ama gerçek denetim pratiğinde her bir madde ve her bir Annex A kontrolü için somut kanıt (evidence) üretmeniz beklenir. Bu yazıda, standardın ana maddelerini (Clause 4-10) ve Annex A kontrol setini (A.5-A.8) karşılayan doküman referanslarını tek tek ele alıyorum.
Burada dikkat çeken nokta şu: Aşağıdaki tabloların bir kısmı standardın kesin olarak zorunlu tuttuğu belgelerdir (Örneğin Kapsam Dokümanı, Risk Değerlendirme Metodolojisi, Uygulanabilirlik Bildirgesi/SoA). Geri kalanı ise “dokümante edilmiş bilgi” ilkesini karşılayan, denetçinin olgunluk kanıtı olarak beklediği pratik belgelerdir. Bir doküman birden fazla maddeyi karşılayabilir bu yüzden aynı belge ismini birden çok satırda göreceksiniz. Bu bir tekrar değil, sağlıklı bir ISMS’in tek bir politikayla birden fazla kontrolü örtmesidir.
ISMS (BGYS) Nedir?
Tablolara girmeden önce, bu yazı boyunca sürekli karşınıza çıkacak bir kavramı netleştirelim:
ISMS (Information Security Management System) – Türkçesiyle Bilgi Güvenliği Yönetim Sistemi (BGYS).
ISMS, bir kuruluşun bilgi varlıklarını (veri, sistem, süreç ve insan) korumak için kurduğu sistematik ve yönetsel çerçevedir. Dikkat: ISMS tek bir yazılım ya da tek bir belge değildir. Politikaların, prosedürlerin, rollerin, risk yönetiminin ve sürekli iyileştirme döngüsünün bütününü kastediyoruz.
Önemli olan nokta şu: ISMS, güvenliği “teknik önlemler yığını” olmaktan çıkarıp yönetilebilir bir sürece dönüştürür. Firewall kurmak veya antivirüs yüklemek tek başına ISMS değildir; bunları hangi riske karşı, kimin sorumluluğunda, hangi politikaya dayanarak yaptığınızı tanımlayan ve düzenli olarak ölçüp gözden geçirdiğiniz yapı ISMS’tir.
ISO 27001’in temel mantığı, ISMS’i PUKÖ döngüsü (Planla-Uygula-Kontrol Et-Önlem Al / PDCA) üzerine oturtur. Bu döngü, standardın ana maddeleriyle birebir örtüşür:
| Döngü Adımı | Ne Yapılır | İlgili Maddeler |
|---|---|---|
| Planla | Kapsamı belirle, riskleri değerlendir, kontrolleri seç | Madde 4-6 |
| Uygula | Politikaları ve kontrolleri hayata geçir | Madde 7-8 |
| Kontrol Et | İç denetim ve yönetim gözden geçirmesiyle ölç | Madde 9 |
| Önlem Al | Uygunsuzlukları düzelt, sürekli iyileştir | Madde 10 |
Bu yüzden aşağıdaki tablolarda sık sık göreceğiniz iki çatı belgesi kritiktir. ISMS El Kitabı (ISMS Manual) sistemin bir bütün olarak nasıl işlediğini anlatır; adeta ISMS’in anayasasıdır. ISMS Kapsam Dokümanı (ISMS Scope Document) ise sistemin hangi birimleri, lokasyonları ve varlıkları kapsadığını yani sertifikasyonun sınırlarını çizer.
Tek cümlede: ISMS, bilgi güvenliğini rastgele önlemler yerine, riske dayalı ve sürekli iyileşen bir yönetim disiplinine oturtan sistemin adıdır. Aşağıdaki doküman listesi de işte bu sistemi kanıtlayan belgeler bütünüdür.
Bölüm 1: Ana Maddeler (Clause 4-10)
Standardın gövdesini oluşturan bu maddeler, Bilgi Güvenliği Yönetim Sistemi’nin (BGYS) yönetsel çerçevesini tanımlar. Annex A teknik/organizasyonel kontrolleri anlatırken, bu maddeler sistemin nasıl yönetileceğini belirler.
Madde 4 – Kuruluşun Bağlamı
| Madde | Başlık | Doküman Referansı |
|---|---|---|
| 4.1 | Kuruluşun ve bağlamının anlaşılması | İç ve Dış Konular Kaydı (Internal & External Issue Register) |
| 4.2 | İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması | İhtiyaç ve Beklentiler Kaydı (Needs & Expectations Register) |
| 4.3 | BGYS kapsamının belirlenmesi | BGYS Kapsam Dokümanı (ISMS Scope Document) |
| 4.4 | Bilgi güvenliği yönetim sistemi | BGYS El Kitabı (ISMS Manual) |
Genel görünüm: Madde 4, sertifikasyonun temelidir. Kapsam Dokümanı ve iç/dış konu analizi doğru kurulmazsa, sonraki tüm risk değerlendirmesi zemininden kayar. Denetçiler bu bölümü genellikle en ince eleyip sık dokudukları yerlerden biridir.
Madde 5 – Liderlik
| Madde | Başlık | Doküman Referansı |
|---|---|---|
| 5.1 | Liderlik ve taahhüt | BGYS El Kitabı |
| 5.2 | Politika | Bilgi Güvenliği Politikası |
| 5.3 | Kurumsal roller, sorumluluklar ve yetkiler | Rol ve Sorumluluklar Dokümanı |
Madde 6 – Planlama
| Madde | Başlık | Doküman Referansı |
|---|---|---|
| 6.1 | Risk ve fırsatları ele alan faaliyetler | BGYS El Kitabı |
| 6.1.1 | Genel | Risk Değerlendirme Metodolojisi |
| 6.1.2 | Bilgi güvenliği risk değerlendirmesi | Risk Kaydı (Risk Register) |
| 6.1.3 | Bilgi güvenliği risk işleme | Risk Kaydı |
| 6.1.3 (d) | Uygulanabilirlik Bildirgesi | Uygulanabilirlik Bildirgesi (Statement of Applicability / SoA) |
| 6.2 | Bilgi güvenliği hedefleri ve bunlara ulaşma planlaması | Fonksiyonel Düzey Hedefler Kaydı |
Burada dikkat çeken nokta şu: Uygulanabilirlik Bildirgesi (SoA), ISO 27001’in pazarlık kabul etmez zorunlu belgesidir. 93 Annex A kontrolünün her biri için “uyguluyor musunuz, uygulamıyorsanız neden” gerekçesini içermek zorundadır. Denetçinin ilk isteyeceği belgelerden biridir.
Madde 7 – Destek
| Madde | Başlık | Doküman Referansı |
|---|---|---|
| 7.1 | Kaynaklar | BGYS El Kitabı |
| 7.2 | Yetkinlik | Yetkinlik Matrisi (Competency Matrix) |
| 7.3 | Farkındalık | Bilgi Güvenliği Farkındalık Sunumu |
| 7.4 | İletişim | İletişim Kontak Listesi |
| 7.5 | Dokümante edilmiş bilgi | BGYS Doküman Yönetim Politikası |
| 7.5.1 | Genel | BGYS Doküman Yönetim Politikası |
| 7.5.2 | Oluşturma ve güncelleme | BGYS Doküman Yönetim Politikası |
| 7.5.3 | Dokümante edilmiş bilginin kontrolü | BGYS Doküman Yönetim Politikası |
Madde 8 – Operasyon
| Madde | Başlık | Doküman Referansı |
|---|---|---|
| 8.1 | Operasyonel planlama ve kontrol | BGYS El Kitabı |
| 8.2 | Bilgi güvenliği risk değerlendirmesi | Risk Kaydı |
| 8.3 | Bilgi güvenliği risk işleme | Risk Kaydı |
Madde 9 – Performans Değerlendirme
| Madde | Başlık | Doküman Referansı |
|---|---|---|
| 9.1 | İzleme, ölçme, analiz ve değerlendirme | KPI Matrisi |
| 9.2 | İç denetim | İç Denetim Prosedürü |
| 9.2.1 | Genel | İç Denetim Raporu |
| 9.2.2 | İç denetim programı | İç Denetim Takvimi |
| 9.3 | Yönetim gözden geçirmesi | Yönetim Gözden Geçirme Sunumu |
| 9.3.1 | Genel | Yönetim Gözden Geçirme Sunumu |
| 9.3.2 | Yönetim gözden geçirme girdileri | Yönetim Gözden Geçirme Sunumu |
| 9.3.3 | Yönetim gözden geçirme sonuçları | Yönetim Gözden Geçirme Tutanağı |
Genel görünüm: Madde 9, ISMS’in “yaşadığını” kanıtladığınız yerdir. İç denetim kayıtları ve yönetim gözden geçirme tutanakları olmadan, sisteminizin işlediğine dair somut kanıt sunamazsınız. Sertifikasyon öncesi en az bir tam döngüyü (iç denetim + yönetim gözden geçirmesi) tamamlamış olmanız beklenir.
Madde 10 – İyileştirme
| Madde | Başlık | Doküman Referansı |
|---|---|---|
| 10.1 | Sürekli iyileştirme | BGYS El Kitabı |
| 10.2 | Uygunsuzluk ve düzeltici faaliyet | DÖF Kaydı (CAPA Register) |
Bölüm 2: Annex A Kontrolleri (A.5-A.8)
ISO 27001:2022 ile birlikte Annex A yeniden yapılandırıldı ve kontrol sayısı 114’ten 93’e düştü. Kontroller artık dört tematik grup altında toplanıyor: Organizasyonel, İnsan, Fiziksel ve Teknolojik.
A.5 – Organizasyonel Kontroller
| Kontrol | Kontrol Gereksinimi | Doküman Referansı |
|---|---|---|
| 5.1 | Bilgi güvenliği politikaları | Bilgi Güvenliği Politikası |
| 5.2 | Bilgi güvenliği rol ve sorumlulukları | Bilgi Güvenliği Politikası; BGYS El Kitabı |
| 5.3 | Görevler ayrılığı | Bilgi Güvenliği Politikası; BGYS El Kitabı |
| 5.4 | Yönetim sorumlulukları | Bilgi Güvenliği Politikası; BGYS El Kitabı |
| 5.5 | Yetkililerle iletişim | Bilgi Güvenliği Politikası; İletişim Kontak Listesi |
| 5.6 | Özel ilgi gruplarıyla iletişim | Bilgi Güvenliği Politikası; İletişim Kontak Listesi |
| 5.7 | Tehdit istihbaratı | Zafiyet Yönetimi Politikası; Zafiyet Yönetimi Prosedürü; Tehdit İstihbaratı Politikası; Tehdit İstihbaratı Prosedürü |
| 5.8 | Proje yönetiminde bilgi güvenliği | Proje Yönetimi Politikası/Kılavuzu |
| 5.9 | Bilgi ve ilişkili varlıkların envanteri | Varlık Yönetimi Politikası; Varlık Yönetimi Prosedürü; Varlık Kaydı |
| 5.10 | Bilgi ve ilişkili varlıkların kabul edilebilir kullanımı | Kabul Edilebilir Kullanım Politikası |
| 5.11 | Varlıkların iadesi | Varlık Yönetimi Politikası; Varlık Yönetimi Prosedürü |
| 5.12 | Bilginin sınıflandırılması | Veri Sınıflandırma, Koruma ve Saklama Politikası; Varlık Yönetimi Politikası; Varlık Yönetimi Prosedürü |
| 5.13 | Bilginin etiketlenmesi | Varlık Yönetimi Politikası; Varlık Yönetimi Prosedürü |
| 5.14 | Bilgi aktarımı | Ağ Güvenliği Politikası; Ağ Güvenliği Prosedürü; Veri Sınıflandırma, Koruma ve Saklama Politikası; Taşınabilir Medya Politikası |
| 5.15 | Erişim kontrolü | Erişim Kontrol Politikası; Erişim Kontrol Prosedürü |
| 5.16 | Kimlik yönetimi | Erişim Kontrol Politikası; Erişim Kontrol Prosedürü |
| 5.17 | Kimlik doğrulama bilgisi | Erişim Kontrol Politikası; Erişim Kontrol Prosedürü; Parola Yönetimi Politikası; Parola Yönetimi Prosedürü |
| 5.18 | Erişim hakları | Erişim Kontrol Politikası; Erişim Kontrol Prosedürü |
| 5.19 | Tedarikçi ilişkilerinde bilgi güvenliği | Tedarikçi İlişkileri Politikası; Tedarikçi İlişkileri Prosedürü; Ana Hizmet Sözleşmesi Şablonu |
| 5.20 | Tedarikçi anlaşmalarında bilgi güvenliğinin ele alınması | Tedarikçi İlişkileri Politikası; Tedarikçi İlişkileri Prosedürü; Ana Hizmet Sözleşmesi Şablonu |
| 5.21 | BİT tedarik zincirinde bilgi güvenliği yönetimi | Tedarikçi İlişkileri Politikası; Tedarikçi İlişkileri Prosedürü; Ana Hizmet Sözleşmesi Şablonu |
| 5.22 | Tedarikçi hizmetlerinin izlenmesi, gözden geçirilmesi ve değişiklik yönetimi | Tedarikçi Durum Tespiti Kontrol Listesi; Tedarikçi İlişkileri Politikası; Tedarikçi İlişkileri Prosedürü; Ana Hizmet Sözleşmesi Şablonu |
| 5.23 | Bulut hizmetlerinin kullanımında bilgi güvenliği | Bulut Güvenliği Politikası |
| 5.24 | Bilgi güvenliği olay yönetimi planlama ve hazırlık | Olay Yönetimi Politikası; Olay Müdahale Planı; Olay Müdahale Kılavuzları |
| 5.25 | Bilgi güvenliği olaylarının değerlendirilmesi ve karar verilmesi | Olay Yönetimi Politikası; Olay Müdahale Planı; Olay Müdahale Kılavuzları |
| 5.26 | Bilgi güvenliği olaylarına müdahale | Olay Yönetimi Politikası; Olay Müdahale Planı; Olay Müdahale Kılavuzları |
| 5.27 | Bilgi güvenliği olaylarından öğrenme | Olay Yönetimi Politikası; Olay Müdahale Planı; Olay Müdahale Kılavuzları |
| 5.28 | Kanıt toplama | Olay Yönetimi Politikası; Olay Müdahale Planı; Olay Müdahale Kılavuzları |
| 5.29 | Kesinti sırasında bilgi güvenliği | İş Sürekliliği Politikası; İş Sürekliliği Planı; İş Etki Analizi Kaydı |
| 5.30 | İş sürekliliği için BİT hazırlığı | İş Sürekliliği Politikası; İş Sürekliliği Planı; İş Etki Analizi Kaydı |
| 5.31 | Yasal, düzenleyici ve sözleşmesel gereksinimler | Bilgi Güvenliği Politikası; Uygulanabilir Yasa ve Düzenlemeler Kaydı |
| 5.32 | Fikri mülkiyet hakları | Bilgi Güvenliği Politikası; Kabul Edilebilir Kullanım Politikası |
| 5.33 | Kayıtların korunması | Veri Sınıflandırma, Koruma ve Saklama Politikası |
| 5.34 | Kişisel tanımlanabilir bilginin (PII) gizliliği ve korunması | Veri Sınıflandırma, Koruma ve Saklama Politikası; Gizlilik Politikası |
| 5.35 | Bilgi güvenliğinin bağımsız gözden geçirilmesi | Bilgi Güvenliği Politikası; İç Denetim Politikası |
| 5.36 | Bilgi güvenliği politika, kural ve standartlarına uyum | Bilgi Güvenliği Politikası; BGYS El Kitabı |
| 5.37 | Dokümante edilmiş işletim prosedürleri | ISMS’in tüm politika ve prosedürleri |
Burada dikkat çeken nokta şu: A.5.7 (Tehdit İstihbaratı) ve A.5.23 (Bulut Güvenliği), 2022 revizyonuyla gelen yeni kontrollerdendir. Özellikle bulut yoğun ortamlarda çalışan ekipler için, önceki 2013 sürümünden geçiş yapılıyorsa bu iki kontrol çoğunlukla eksik kalmış olur. Denetim öncesi öncelikli kapatılacaklar listesine alınmalıdır.
A.6 – İnsan Kontrolleri
| Kontrol | Kontrol Gereksinimi | Doküman Referansı |
|---|---|---|
| 6.1 | Tarama (özgeçmiş kontrolü) | İK Güvenlik Politikası |
| 6.2 | İstihdam şart ve koşulları | Gizlilik (NDA) Şablonu |
| 6.3 | Bilgi güvenliği farkındalığı, eğitim ve öğretim | Bilgi Güvenliği Farkındalık Sunumu; Bilgi Güvenliği Farkındalık Sınavı |
| 6.4 | Disiplin süreci | İK Güvenlik Politikası |
| 6.5 | İstihdam sonrası veya değişim sonrası sorumluluklar | Gizlilik (NDA) Şablonu |
| 6.6 | Gizlilik veya ifşa etmeme anlaşmaları | Çalışan Sözleşmesi Şablonu |
| 6.7 | Uzaktan çalışma | Uzaktan Çalışma (Teleworking) Politikası |
| 6.8 | Bilgi güvenliği olayı raporlama | Olay Yönetimi Politikası |
A.7 – Fiziksel Kontroller
| Kontrol | Kontrol Gereksinimi | Doküman Referansı |
|---|---|---|
| 7.1 | Fiziksel güvenlik çevreleri | Fiziksel ve Çevresel Güvenlik Politikası |
| 7.2 | Fiziksel giriş | Fiziksel ve Çevresel Güvenlik Politikası |
| 7.3 | Ofis, oda ve tesislerin güvenliği | Fiziksel ve Çevresel Güvenlik Politikası |
| 7.4 | Fiziksel güvenlik izleme | Fiziksel ve Çevresel Güvenlik Politikası |
| 7.5 | Fiziksel ve çevresel tehditlere karşı koruma | Fiziksel ve Çevresel Güvenlik Politikası |
| 7.6 | Güvenli alanlarda çalışma | Fiziksel ve Çevresel Güvenlik Politikası |
| 7.7 | Temiz masa ve temiz ekran | Kabul Edilebilir Kullanım Politikası |
| 7.8 | Ekipman yerleşimi ve korunması | Fiziksel ve Çevresel Güvenlik Politikası; Varlık Yönetimi Politikası; Varlık Yönetimi Prosedürü |
| 7.9 | Tesis dışı varlıkların güvenliği | Fiziksel ve Çevresel Güvenlik Politikası; Varlık Yönetimi Politikası; Varlık Yönetimi Prosedürü |
| 7.10 | Depolama medyası | Taşınabilir Medya Politikası; Taşınabilir Medya Prosedürü |
| 7.11 | Destekleyici altyapı hizmetleri | Fiziksel ve Çevresel Güvenlik Politikası |
| 7.12 | Kablolama güvenliği | Fiziksel ve Çevresel Güvenlik Politikası |
| 7.13 | Ekipman bakımı | Fiziksel ve Çevresel Güvenlik Politikası |
| 7.14 | Ekipmanın güvenli imhası veya yeniden kullanımı | Fiziksel ve Çevresel Güvenlik Politikası; Varlık Yönetimi Politikası; Varlık Yönetimi Prosedürü; Medya İmha Politikası; Medya İmha Prosedürü |
A.8 – Teknolojik Kontroller
| Kontrol | Kontrol Gereksinimi | Doküman Referansı |
|---|---|---|
| 8.1 | Kullanıcı uç nokta cihazları | Uç Nokta Güvenlik Politikası; Uç Nokta Güvenlik Prosedürü; Kabul Edilebilir Kullanım Politikası |
| 8.2 | Ayrıcalıklı erişim hakları | Erişim Kontrol Politikası; Erişim Kontrol Prosedürü |
| 8.3 | Bilgiye erişim kısıtlaması | Erişim Kontrol Politikası; Erişim Kontrol Prosedürü |
| 8.4 | Kaynak koduna erişim | Sistem ve Yazılım Geliştirme, Tedarik ve Bakım Politikası; Erişim Kontrol Politikası; Erişim Kontrol Prosedürü |
| 8.5 | Güvenli kimlik doğrulama | Erişim Kontrol Politikası; Erişim Kontrol Prosedürü; Parola Yönetimi Politikası; Parola Yönetimi Prosedürü |
| 8.6 | Kapasite yönetimi | Kapasite Yönetimi Politikası; Kapasite Yönetimi Prosedürü |
| 8.7 | Kötü amaçlı yazılıma karşı koruma | Anti-malware Politikası; Anti-malware Prosedürü |
| 8.8 | Teknik zafiyetlerin yönetimi | Zafiyet Yönetimi Politikası; Zafiyet Yönetimi Prosedürü; Yama Yönetimi Politikası; Yama Yönetimi Prosedürü |
| 8.9 | Yapılandırma yönetimi | Yapılandırma Yönetimi Politikası; Temel Yapılandırma Kontrol Listesi |
| 8.10 | Bilgi silme | Veri Sınıflandırma, Koruma ve Saklama Politikası |
| 8.11 | Veri maskeleme | Veri Sınıflandırma, Koruma ve Saklama Politikası |
| 8.12 | Veri sızıntısı önleme | Veri Sınıflandırma, Koruma ve Saklama Politikası; Uç Nokta Güvenlik Politikası; Taşınabilir Medya Politikası |
| 8.13 | Bilgi yedekleme | Yedekleme ve Saklama Politikası; Yedekleme ve Saklama Prosedürü |
| 8.14 | Bilgi işleme tesislerinin yedekliliği | Yedekleme ve Saklama Politikası; Yedekleme ve Saklama Prosedürü; İş Sürekliliği Politikası; İş Sürekliliği Planı; İş Etki Analizi Kaydı |
| 8.15 | Günlük kaydı (Logging) | Günlük ve İzleme Politikası; Günlük ve İzleme Prosedürü |
| 8.16 | İzleme faaliyetleri | Günlük ve İzleme Politikası; Günlük ve İzleme Prosedürü |
| 8.17 | Saat senkronizasyonu | Ağ Güvenliği Politikası; Ağ Güvenliği Prosedürü |
| 8.18 | Ayrıcalıklı yardımcı program kullanımı | Uç Nokta Cihaz Güvenlik Politikası |
| 8.19 | Operasyonel sistemlere yazılım kurulumu | Uç Nokta Cihaz Güvenlik Politikası |
| 8.20 | Ağ güvenliği | Ağ Güvenliği Politikası; Ağ Güvenliği Prosedürü; Ağ Mimari Diyagramı |
| 8.21 | Ağ hizmetlerinin güvenliği | Ağ Güvenliği Politikası; Ağ Güvenliği Prosedürü; Ağ Mimari Diyagramı |
| 8.22 | Ağların ayrıştırılması (segregation) | Ağ Güvenliği Politikası; Ağ Güvenliği Prosedürü; Ağ Mimari Diyagramı |
| 8.23 | Web filtreleme | Ağ Güvenliği Politikası; Ağ Güvenliği Prosedürü; Ağ Mimari Diyagramı |
| 8.24 | Kriptografi kullanımı | Kriptografik Politika; Anahtar Yönetimi Prosedürü |
| 8.25 | Güvenli geliştirme yaşam döngüsü | Sistem ve Yazılım Geliştirme, Tedarik ve Bakım Politikası |
| 8.26 | Uygulama güvenliği gereksinimleri | Sistem ve Yazılım Geliştirme, Tedarik ve Bakım Politikası |
| 8.27 | Güvenli sistem mimarisi ve mühendislik ilkeleri | Sistem ve Yazılım Geliştirme, Tedarik ve Bakım Politikası |
| 8.28 | Güvenli kodlama | Sistem ve Yazılım Geliştirme, Tedarik ve Bakım Politikası; Güvenli Kodlama Kılavuzu |
| 8.29 | Geliştirme ve kabulde güvenlik testi | Sistem ve Yazılım Geliştirme, Tedarik ve Bakım Politikası |
| 8.30 | Dış kaynaklı geliştirme | Sistem ve Yazılım Geliştirme, Tedarik ve Bakım Politikası; Dış Kaynak Geliştirme Anlaşması Şablonu |
| 8.31 | Geliştirme, test ve üretim ortamlarının ayrılması | Sistem ve Yazılım Geliştirme, Tedarik ve Bakım Politikası |
| 8.32 | Değişiklik yönetimi | Değişiklik Yönetimi Politikası; Değişiklik Yönetimi Prosedürü |
| 8.33 | Test bilgisi | Sistem ve Yazılım Geliştirme, Tedarik ve Bakım Politikası |
| 8.34 | Denetim testleri sırasında bilgi sistemlerinin korunması | Zafiyet Yönetimi Politikası |
Burada dikkat çeken nokta şu: A.8.20-8.23 (ağ güvenliği, ağ hizmetleri, segmentasyon, web filtreleme) kümesinin tümü Ağ Mimari Diyagramı talep eder. Diyagram bir “belge” gibi görünmese de denetçinin somut kanıt olarak gördüğü şeydir; VLAN segmentasyonu, DMZ, güvenlik duvarı zonları ve trafik akışları güncel bir diyagramda okunabilir olmalıdır. Özellikle düzenlemeye tabi ortamlarda (ödeme kuruluşları, finans) bu diyagramın kapsam sınırlarını net göstermesi kritiktir.
Bölüm 3: Ödeme Kuruluşları İçin Düzenleyici Katman
Yukarıdaki liste her sektöre uygulanabilen genel bir ISO 27001 setidir. Ancak Türkiye’de faaliyet gösteren bir ödeme kuruluşu (6493 sayılı Kanun kapsamındaki Ödeme ve Elektronik Para Kuruluşu) iseniz, ISO 27001 tek başına yeterli değildir; üzerine oturması gereken beş ayrı düzenleyici çerçeve vardır. Bunların çoğu ISO kontrolleriyle örtüşür ama ondan daha fazlasını ister. İşte kritik nokta budur: ISO 27001 sertifikanız olsa bile, bu çerçevelerin ek gereksinimlerini karşılayan belgeleriniz yoksa denetimde açık kalırsınız.
Bu bölüm, ISO 27001 setinize hangi düzenlemeye özgü belgeleri eklemeniz gerektiğini gösterir.
3.1 TCMB (Bilgi Sistemleri Yönetmeliği)
TCMB’nin “Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri” ile ilgili düzenlemesi, ISO 27001’in en çok örtüştüğü çerçevedir ancak bilgi sistemleri sürekliliği, birincil/ikincil sistem ayrımı ve yurt içinde veri bulundurma gibi noktalarda ondan daha spesifiktir.
| Gereksinim Alanı | İlgili ISO Kontrolü | Eklenecek/Genişletilecek Belge |
|---|---|---|
| Bilgi sistemleri süreklilik planı ve birincil/ikincil sistem yönetimi | A.5.29, 5.30, 8.14 | İş Sürekliliği Planı (birincil-ikincil sistem senaryoları ile); Felaket Kurtarma (DR) Planı |
| İkincil sistemlere periyodik geçiş (tatbikat) kayıtları | A.5.30 | İş Sürekliliği/DR Tatbikat Raporları |
| Yurt içinde veri bulundurma (data localization) | A.5.34, 8.10 | Veri Yerleşimi Beyanı; Bulut/Barındırma Envanteri (lokasyon bilgisiyle) |
| Dış hizmet alımı (outsourcing) bildirim ve yönetimi | A.5.19-5.22 | Dış Hizmet Alımı Envanteri; Tedarikçi Risk Değerlendirme Kayıtları |
| Bilgi sistemleri bağımsız denetimi | A.5.35, 9.2 | Bağımsız BS Denetim Raporu (dış denetçi) |
| Sızma testi (penetrasyon) periyodik yükümlülüğü | A.8.8, 8.34 | Sızma Testi Raporu ve bulgu kapatma kayıtları |
Burada dikkat çeken nokta şu: TCMB’nin bağımsız bilgi sistemleri denetimi ve periyodik sızma testi yükümlülüğü, ISO 27001’in “iç denetim”inden farklıdır bunlar dışarıdan, akredite bir tarafça yapılmak zorundadır. ISO’nun iç denetim kaydı bu yükümlülüğü karşılamaz.
3.2 BDDK (Erişim ve Kart Ödeme Sistemleri)
BDDK tarafı, özellikle kart hamili verisi ve ödeme sistemi katılımcılığı olan kuruluşlar için erişim yönetimi ve loglama gereksinimlerini sıkılaştırır.
| Gereksinim Alanı | İlgili ISO Kontrolü | Eklenecek/Genişletilecek Belge |
|---|---|---|
| Ayrıcalıklı erişim ve PAM zorunluluğu | A.8.2, 5.15-5.18 | Ayrıcalıklı Erişim Yönetimi (PAM) Politikası ve erişim kayıtları |
| Log saklama süreleri ve bütünlük | A.8.15, 8.16 | Log Yönetimi Politikası (saklama süresi tabloları ile); Log Bütünlük/WORM kayıtları |
| Görevler ayrılığı (özellikle ödeme onay akışları) | A.5.3 | Görevler Ayrılığı Matrisi (SoD Matrix) |
3.3 MASAK (Suç Gelirlerinin Aklanmasının Önlenmesi)
MASAK, bilgi güvenliğinden çok uyum (compliance) alanına girer; ancak ISO’nun kayıt saklama, izlenebilirlik ve loglama kontrolleriyle doğrudan bağı vardır.
| Gereksinim Alanı | İlgili ISO Kontrolü | Eklenecek/Genişletilecek Belge |
|---|---|---|
| Şüpheli işlem izleme ve kayıt tutma | A.8.15, 8.16, 5.33 | İşlem İzleme Prosedürü; MASAK Uyum Programı |
| Kayıtların saklanma yükümlülüğü (yasal süre) | A.5.33, 8.10 | Veri Saklama Politikası (MASAK saklama süreleri ile) |
| Uyum görevlisi ve raporlama akışı | A.5.4, 5.31 | Uyum Görevlisi Atama Belgesi; MASAK Raporlama Prosedürü |
3.4 KVKK (6698 Sayılı Kanun)
KVKK, ISO 27001’in A.5.34 (PII gizliliği) kontrolüyle örtüşür ama ondan çok daha kapsamlı bir dokümantasyon seti ister. ISO’nun tek bir “Gizlilik Politikası” satırı KVKK’yı karşılamaz.
| Gereksinim Alanı | İlgili ISO Kontrolü | Eklenecek/Genişletilecek Belge |
|---|---|---|
| Kişisel veri işleme envanteri (VERBİS) | A.5.9, 5.34 | Kişisel Veri İşleme Envanteri; VERBİS Kaydı |
| Aydınlatma ve açık rıza yönetimi | A.5.34 | Aydınlatma Metinleri; Rıza Yönetim Kayıtları |
| Veri sahibi başvuru (ilgili kişi) süreci | A.5.34 | İlgili Kişi Başvuru Prosedürü |
| Veri ihlali bildirim yükümlülüğü (72 saat) | A.5.24-5.27 | Veri İhlali Müdahale Prosedürü (KVKK bildirim akışı ile) |
| Yurt dışına veri aktarımı | A.5.14, 5.34 | Yurt Dışı Aktarım Değerlendirmesi / Taahhütnameler |
Burada dikkat çeken nokta şu: ISO 27001’in olay müdahale kontrolleri (A.5.24-5.27) “olayı yönet ve öğren” der; KVKK ise buna 72 saat içinde Kurul’a bildirim zorunluluğunu ekler. Olay müdahale planınızda bu yasal süre ve bildirim kanalı açıkça yazılı olmalıdır aksi halde ISO uyumlu ama KVKK’ya aykırı bir sürece sahip olursunuz.
3.5 PCI DSS v4.0.1
Kart hamili verisi (CHD) işleyen, saklayan veya ileten her ödeme kuruluşu için PCI DSS ayrı ve teknik olarak en yoğun katmandır. ISO 27001 ile ciddi örtüşmesi olsa da, PCI DSS kontrolleri çok daha öngörücü ve ölçülebilirdir (Örneğin belirli şifreleme algoritmaları, belirli tarama periyotları).
| PCI DSS Gereksinim (v4.0.1) | İlgili ISO Kontrolü | Eklenecek/Genişletilecek Belge |
|---|---|---|
| Req 1 – Ağ güvenlik kontrolleri | A.8.20-8.23 | Ağ Mimari Diyagramı (CDE sınırları belirgin); Güvenlik Duvarı Kural Seti |
| Req 2 – Güvenli yapılandırma | A.8.9 | Yapılandırma Standartları (hardening baseline’ları) |
| Req 3 – Saklanan kart verisinin korunması | A.8.24, 8.11 | Kriptografik Politika; Veri Maskeleme Prosedürü |
| Req 4 – İletim sırasında şifreleme | A.8.24, 5.14 | Şifreleme/TLS Standartları |
| Req 5 – Kötü amaçlı yazılım koruması | A.8.7 | Anti-malware Politikası |
| Req 6 – Güvenli yazılım geliştirme | A.8.25-8.29 | Güvenli SDLC Politikası; Güvenli Kodlama Kılavuzu |
| Req 7-8 – Erişim ve kimlik doğrulama | A.5.15-5.18, A.8.2-8.5 | Erişim Kontrol Politikası; MFA Standartları |
| Req 9 – Fiziksel erişim | A.7.1-7.4 | Fiziksel ve Çevresel Güvenlik Politikası |
| Req 10 – Loglama ve izleme | A.8.15, 8.16 | Log Yönetimi Politikası; SIEM Korelasyon Kuralları |
| Req 11 – Güvenlik testi (ASV + iç tarama + pentest) | A.8.8, 8.34 | ASV Tarama Raporları; İç Zafiyet Tarama Raporları; Sızma Testi Raporu |
| Req 12 – Bilgi güvenliği politikası ve program | A.5.1-5.4 | Bilgi Güvenliği Politikası; Hedef Risk Analizi (v4.0.1 TRA’ları) |
Burada dikkat çeken nokta şu: PCI DSS v4.0.1’in getirdiği en önemli yenilik, birçok kontrol için Targeted Risk Analysis (Hedeflenmiş Risk Analizi) dokümanı istemesidir. Bu, ISO 27001’in genel risk kaydından farklı, kontrol-bazlı ayrı bir belgedir; Örneğin log inceleme sıklığını veya bazı esnek gereksinimlerin uygulama şeklini gerekçelendiren mini risk analizleridir. ISO risk kaydınız bu boşluğu doldurmaz.
Genel Görünüm – Katmanları Nasıl Yönetmeli
Genel görünüm: Bu beş çerçeve ISO 27001 ile büyük ölçüde örtüştüğü için, akıllıca kurgulanmış bir ISMS tek doküman setiyle hepsini birden besleyebilir. Pratik yaklaşım, mevcut ISO politikalarınıza düzenleyici gereksinimleri ek bölüm olarak işlemek ve tek bir çapraz uyum matrisi (crosswalk) tutmaktır: bir sütunda ISO kontrolü, yanında TCMB / BDDK / MASAK / KVKK / PCI DSS karşılıkları. Bu matris, denetimden denetime aynı kanıtı tekrar tekrar üretmenizi engeller ve bir kontroldeki değişikliğin hangi düzenlemeleri etkilediğini anında gösterir.
Genel Görünüm ve Pratik Notlar
Bu eşleştirme tablosu, ISO 27001:2022 dokümantasyon setini planlarken bir yol haritası olarak kullanılabilir.
Birkaç Pratik Çıkarım:
Birincisi, tek bir politika birden çok kontrolü örter. Örneğin “Erişim Kontrol Politikası” A.5.15, 5.16, 5.17, 5.18 ile A.8.2, 8.3, 8.4, 8.5’i birden karşılar. Bu, doküman setinizi 40-50 dosyada tutmanızı sağlar; her kontrole ayrı belge yazmak gereksiz bir yüktür ve bakımını zorlaştırır.
İkincisi, kayıtlar (register/log) ile politikalar farklı şeylerdir. Risk Kaydı, Varlık Kaydı, İç ve Dış Konular Kaydı gibi belgeler “yaşayan” dokümanlardır; denetçi bunların güncel tutulduğunu ve gerçek veriyle dolu olduğunu görmek ister. Boş bir şablon, olmayan bir belgeden daha kötü izlenim bırakır.
Üçüncüsü, Uygulanabilirlik Bildirgesi (SoA) her şeyi bağlar. Yukarıdaki Annex A kontrollerinin her biri için “uyguluyoruz/uygulamıyoruz + gerekçe + ilgili doküman” satırını SoA’da tutmalısınız. SoA, denetçinin dokümantasyon setinizi gezmek için kullandığı içindekiler tablosudur.
Son olarak, bu liste bir başlangıç şablonudur, kutsal metin değil. Kuruluşunuzun bağlamına göre bazı dokümanları birleştirebilir, bazılarını bölebilir veya sektöre özgü ek belgeler ekleyebilirsiniz. Düzenlemeye tabi bir ödeme kuruluşuysanız, Bölüm 3’teki TCMB/BDDK/MASAK/KVKK/PCI DSS katmanını mutlaka ISO setinizin üzerine oturtun. Önemli olan, standardın her maddesi ve uygulanabilir her düzenlemenin her yükümlülüğü için izlenebilir bir kanıt zincirinin mevcut olmasıdır.
Ek: Çekirdek Belge Örnekleri
Yukarıdaki referans tablolarında adı geçen belgelerin nasıl göründüğünü merak edenler için, en kritik dokümanlardan dokuzunu örnek içerikle doldurdum. Bu şablonlar bir yönetim sistemi mantığını göstermek amaçlıdır; başlangıç iskeletidir, kopyala-yapıştır uyumluluk garantisi değildir. [Köşeli parantez içindeki alanlar] kuruma özgü doldurulacak yer tutuculardır.
Ek.1 – BGYS El Kitabı (ISMS Manual)
Doküman No: BGYS-EK-001 | Sürüm: 1.0 | Gözden geçirme: Yıllık | Gizlilik: İç Kullanım
1. Amaç ve Kapsam. Bu el kitabı, [Kurum Adı] bünyesinde kurulan Bilgi Güvenliği Yönetim Sistemi’nin (BGYS) genel çerçevesini, işleyişini ve ISO 27001:2022 uyumunu tanımlar. BGYS’nin tüm bileşenlerine üst düzey bir bakış sunar ve ilgili alt dokümanlara referans verir.
2. Kuruluşun Bağlamı (Madde 4). Kurum, iç ve dış konularını “İç ve Dış Konular Kaydı” ile, ilgili tarafların beklentilerini “İhtiyaç ve Beklentiler Kaydı” ile belirler. BGYS kapsamı ayrı bir “Kapsam Dokümanı”nda tanımlanmıştır.
3. Liderlik ve Taahhüt (Madde 5). Üst yönetim bilgi güvenliğine liderlik eder; politikanın oluşturulması, kaynak tahsisi ve BGYS hedeflerinin kurumsal stratejiyle uyumundan sorumludur. Roller “Rol ve Sorumluluklar Dokümanı”nda ayrıntılandırılır.
4. Risk Yönetimi Yaklaşımı (Madde 6). Riskler “Risk Değerlendirme Metodolojisi”ne göre değerlendirilir ve “Risk Kaydı”nda izlenir. Seçilen kontroller “Uygulanabilirlik Bildirgesi (SoA)”nda gerekçeleriyle listelenir.
5. Destek, Operasyon ve Değerlendirme (Madde 7-9). Yetkinlik, farkındalık, dokümantasyon kontrolü, operasyonel planlama, izleme (KPI Matrisi), iç denetim ve yönetim gözden geçirmesi ilgili prosedürlerle yürütülür.
6. Sürekli İyileştirme (Madde 10). Uygunsuzluklar “DÖF Kaydı” üzerinden yönetilir; kök neden analizi ve düzeltici faaliyetlerle BGYS sürekli iyileştirilir.
El kitabı sistemin “anayasası”dır; ayrıntıyı değil çerçeveyi verir. Ayrıntılar ilgili politika ve prosedürlere bırakılır.
Ek.2 – Bilgi Güvenliği Politikası (Information Security Policy)
Doküman No: BGYS-POL-001 | Sürüm: 1.0 | Onaylayan: [Genel Müdür/Yönetim Kurulu]
1. Amaç. Bu politika, [Kurum Adı]’nın bilgi varlıklarının gizlilik, bütünlük ve erişilebilirliğini korumaya yönelik üst düzey taahhüdünü ortaya koyar.
2. Kapsam. Tüm çalışanları, yüklenicileri, üçüncü tarafları ve kurumun işlediği tüm bilgi varlıklarını kapsar.
3. Temel İlkeler.
- Gizlilik: Bilgiye yalnızca yetkili kişiler erişir.
- Bütünlük: Bilginin doğruluğu ve tamlığı korunur.
- Erişilebilirlik: Bilgi, yetkili kullanıcılar için gerektiğinde erişilebilir olur.
- Yasal uyum: İlgili tüm yasal, düzenleyici ve sözleşmesel gereksinimlere uyulur.
- Risk temelli yaklaşım: Kontroller, değerlendirilmiş risklere göre belirlenir.
4. Sorumluluklar. Üst yönetim politikayı onaylar ve destekler; Bilgi Güvenliği Yöneticisi uygulamayı koordine eder; tüm çalışanlar politikaya uymakla yükümlüdür. İhlaller “Disiplin Süreci” kapsamında ele alınır.
5. Yürürlük. Onay tarihinde yürürlüğe girer; yılda en az bir kez veya önemli değişikliklerde gözden geçirilir.
Ek.3 – BGYS Kapsam Dokümanı (ISMS Scope Document)
Doküman No: BGYS-KPS-001 | Sürüm: 1.0
1. Kapsam Beyanı. [Kurum Adı]’nın BGYS’si; [ör. ödeme hizmetleri operasyonlarının yürütüldüğü bilgi sistemleri, bunları destekleyen altyapı ve personel] süreçlerini kapsar.
2. Dahil Olan Birimler ve Lokasyonlar.
| Kategori | Kapsam İçi |
|---|---|
| Birimler | Bilgi Teknolojileri, Bilgi Güvenliği, Operasyon, [diğer] |
| Lokasyonlar | [Merkez Ofis – İstanbul], [Birincil Veri Merkezi], [İkincil/DR Veri Merkezi] |
| Bilgi Varlıkları | Uygulama sunucuları, veritabanları, ağ altyapısı, son kullanıcı cihazları |
3. Kapsam Dışı Alanlar ve Gerekçesi. [ör. Fiziksel güvenliği tamamen üçüncü tarafça yönetilen X lokasyonu ilgili sorumluluk tedarikçi sözleşmesiyle devredilmiştir.]
4. Ara Yüzler ve Bağımlılıklar. Kapsam; bulut hizmet sağlayıcıları, ödeme sistemleri katılımcılığı ve dış hizmet tedarikçileriyle olan ara yüzleri dikkate alır.
Kapsam dokümanı denetimin sınırlarını çizer. Fazla dar kapsam kritik riski dışarıda bırakır; fazla geniş kapsam yönetilemez hale gelir.
Ek.4 – Risk Değerlendirme Metodolojisi (Risk Assessment Methodology)
Doküman No: BGYS-PRO-002 | Sürüm: 1.0
1. Amaç. Bilgi güvenliği risklerinin tutarlı, tekrarlanabilir ve karşılaştırılabilir biçimde belirlenmesi, analiz edilmesi ve değerlendirilmesi için yöntemi tanımlar.
2. Risk Hesaplama. Risk Skoru = Olasılık × Etki formülüyle hesaplanır. Her iki eksen 1-5 ölçeğinde derecelendirilir.
Olasılık ölçeği: 1 = Çok Düşük (yılda birden az), 3 = Orta (ara sıra), 5 = Çok Yüksek (neredeyse kesin). Etki ölçeği: 1 = Önemsiz (ihmal edilebilir), 3 = Orta (sınırlı kesinti), 5 = Kritik (ciddi mali kayıp, yasal yaptırım, itibar zararı).
3. Risk Kabul Kriterleri.
| Risk Skoru | Seviye | Aksiyon |
|---|---|---|
| 1-5 | Düşük | Kabul edilebilir, izlenir |
| 6-14 | Orta | İşleme planı gerekir |
| 15-25 | Yüksek | Acil işleme, üst yönetim onayı |
4. Risk İşleme Seçenekleri. Azaltma (kontrol uygulama), transfer (sigorta/sözleşme), kaçınma (faaliyeti durdurma) veya kabul (gerekçeli onayla).
Ek.5 – Uygulanabilirlik Bildirgesi (Statement of Applicability – SoA)
Doküman No: BGYS-SOA-001 | Sürüm: 1.0
1. Amaç. ISO 27001:2022 Annex A’daki 93 kontrolün her biri için uygulanabilirlik durumunu, gerekçesini ve ilgili dokümanı listeler. Denetçinin dokümantasyon setini gezmek için kullandığı ana referanstır.
2. Örnek Kontrol Satırları.
| Kontrol | Başlık | Uygulanıyor mu? | Gerekçe | İlgili Doküman |
|---|---|---|---|---|
| A.5.1 | Bilgi güvenliği politikaları | Evet | Yasal ve iş gereksinimi | Bilgi Güvenliği Politikası |
| A.5.7 | Tehdit istihbaratı | Evet | Aktif tehdit ortamı | Tehdit İstihbaratı Politikası |
| A.5.23 | Bulut hizmetleri güvenliği | Evet | Bulut altyapısı kullanımı | Bulut Güvenliği Politikası |
| A.8.24 | Kriptografi kullanımı | Evet | Hassas veri koruması | Kriptografik Politika |
| A.7.4 | Fiziksel güvenlik izleme | Hayır | [ör. Veri merkezi tamamen dış hizmet; sorumluluk sağlayıcıda] | Tedarikçi Sözleşmesi |
SoA, ISO 27001’in pazarlık kabul etmez zorunlu belgesidir. “Uygulanmıyor” seçilen her kontrol için gerekçe mutlaka yazılmalıdır.
Ek.6 – KPI Matrisi (KPI Matrix – Madde 9.1)
Doküman No: BGYS-KPI-001 | Sürüm: 1.0
1. Amaç. BGYS’nin performansını ve etkinliğini ölçmek için izlenen temel performans göstergelerini tanımlar.
2. İzlenen Göstergeler.
| KPI | Hedef | Ölçüm Sıklığı | Sorumlu |
|---|---|---|---|
| Kritik yamaların uygulanma süresi | ≤ 15 gün | Aylık | BT Operasyon |
| Güvenlik farkındalık eğitimi tamamlama oranı | ≥ %95 | Çeyreklik | İK / BG |
| Ortalama olay müdahale süresi (MTTR) | ≤ 4 saat | Aylık | SOC |
| Kapatılmamış yüksek riskli bulgu sayısı | 0 | Aylık | BG Yöneticisi |
| Yedekleme başarı oranı | ≥ %99 | Haftalık | BT Operasyon |
| Zamanında kapatılan DÖF oranı | ≥ %90 | Çeyreklik | BG Yöneticisi |
KPI’lar ölçülebilir ve gerçek veriyle dolu olmalıdır. Boş bir matris denetçide olumsuz izlenim bırakır.
Ek.7 – İç Denetim Prosedürü (Internal Audit Procedure – Madde 9.2)
Doküman No: BGYS-PRO-009 | Sürüm: 1.0
1. Amaç. BGYS’nin planlanan düzenlemelere, ISO 27001:2022 gereksinimlerine ve kurumun kendi gereksinimlerine uygunluğunu bağımsız biçimde doğrulamak için iç denetim sürecini tanımlar.
2. Süreç Adımları.
- Planlama: Yıllık İç Denetim Takvimi hazırlanır; kapsam ve kriterler belirlenir.
- Denetçi Ataması: Denetçi kendi işini denetleyemez (tarafsızlık ilkesi).
- Yürütme: Kanıt toplanır (görüşme, kayıt incelemesi, gözlem).
- Raporlama: Bulgular (uygunsuzluk / gözlem / iyileştirme fırsatı) İç Denetim Raporu’na işlenir.
- Takip: Uygunsuzluklar DÖF Kaydı’na aktarılır ve kapatılması izlenir.
3. Bulgu Sınıflandırması. Majör uygunsuzluk (bir gereksinimin tümden karşılanmaması), minör uygunsuzluk (tekil/sınırlı sapma), gözlem (uygunsuzluğa dönüşebilecek zayıflık).
Ödeme kuruluşları için: ISO iç denetimi, TCMB’nin bağımsız bilgi sistemleri denetimi yükümlülüğünü karşılamaz; o denetim dışarıdan akredite tarafça yapılmalıdır.
Ek.8 – Erişim Kontrol Politikası (Access Control Policy)
Doküman No: BGYS-POL-005 | Sürüm: 1.0
1. Amaç. Bilgi varlıklarına erişimin, iş gereksinimi ve güvenlik ilkeleri doğrultusunda yetkilendirilmesini, sınırlanmasını ve izlenmesini sağlar.
2. Temel İlkeler.
- Bilmesi gereken (need-to-know): Erişim yalnızca görev için gerekli ölçüde verilir.
- En az ayrıcalık (least privilege): Kullanıcılara asgari yetki tanımlanır.
- Görevler ayrılığı: Çıkar çatışması yaratan yetkiler aynı kişide toplanmaz.
3. Kullanıcı Yaşam Döngüsü.
| Aşama | Kontrol |
|---|---|
| İşe alım | Onaylı talep üzerine hesap açılır, roller atanır |
| Görev değişikliği | Yetkiler yeni role göre güncellenir, eskiler kaldırılır |
| Ayrılış | Hesap aynı gün devre dışı bırakılır |
| Periyodik gözden geçirme | Erişim hakları en az 6 ayda bir denetlenir |
4. Ayrıcalıklı Erişim. Yönetici (admin) hesapları ayrı yönetilir, MFA zorunludur ve tüm ayrıcalıklı oturumlar loglanır. [Ödeme kuruluşları için PAM çözümü zorunludur.]
Ek.9 – DÖF Kaydı (CAPA Register – Madde 10.2)
Doküman No: BGYS-KAY-004 | Sürüm: 1.0
1. Amaç. Tespit edilen uygunsuzlukların kaydını, kök neden analizini, düzeltici/önleyici faaliyetleri ve kapatma durumunu izler. Sürekli iyileştirmenin (Madde 10) somut kanıtıdır.
2. Örnek Kayıt Satırları.
| DÖF No | Kaynak | Uygunsuzluk | Kök Neden | Faaliyet | Sorumlu | Durum |
|---|---|---|---|---|---|---|
| DOF-2026-001 | İç Denetim | Ayrılan personel hesabı 5 gün açık kalmış | İK-BT bildirim gecikmesi | Otomatik devre dışı bırakma entegrasyonu | BT Op. | Açık |
| DOF-2026-002 | Olay | Kritik yama 15 günü aştı | Yama takvimi eksikliği | Aylık yama penceresi tanımlandı | BT Op. | Kapalı |
| DOF-2026-003 | Yönetim G.G. | Farkındalık eğitimi oranı %80’de kaldı | Hatırlatma mekanizması yok | Otomatik hatırlatma + raporlama | İK | Devam ediyor |
3. Kapatma Kriteri. Bir DÖF, uygulanan faaliyetin etkinliği doğrulandığında (verification) kapatılır. Yalnızca “yapıldı” beyanı yeterli değildir; etkinlik kanıtı aranır.
ISO 27001:2022 dokümantasyonu, ilk bakışta göz korkutan bir belge yığını gibi görünse de aslında tutarlı bir mantığın üzerine kuruludur: her madde bir soru sorar, her belge o soruya kanıtla cevap verir. Bu rehberin amacı, o mantığı görünür kılmak ve “hangi belgeyi neden hazırlıyorum” sorusuna net bir yanıt vermekti. Belgeleri tek tek üretmek yerine, birbiriyle konuşan bir sistem olarak kurgulamak — tek bir politikanın birden çok kontrolü örtmesi, kayıtların gerçek veriyle yaşaması, SoA’nın her şeyi birbirine bağlaması — hem denetim yükünü hafifletir hem de güvenliği kağıt üzerinde kalmaktan çıkarıp işleyen bir sürece dönüştürür.
Ödeme kuruluşları gibi düzenlemeye tabi kurumlar için tablo bir kat daha katmanlıdır: ISO 27001 sağlam bir temel sunar, ancak TCMB, BDDK, MASAK, KVKK ve PCI DSS’in ek yükümlülükleri bu temelin üzerine ayrı ayrı oturtulmalıdır. Buradaki en pratik yaklaşım, çerçeveleri ayrı ayrı yönetmek yerine tek bir çapraz uyum matrisinde buluşturmak; böylece bir kez üretilen kanıt, birden fazla denetimde tekrar tekrar kullanılabilir.
Unutulmaması gereken tek bir şey varsa o da şudur: dokümantasyon bir amaç değil, araçtır. Amaç, bilgi varlıklarını gerçekten korumaktır. En zarif politika bile uygulanmıyorsa, en dolu risk kaydı bile güncellenmiyorsa hiçbir değer taşımaz. Bu yüzden kurduğunuz sistemi yaşayan, ölçülen ve sürekli iyileşen bir bütün olarak düşünün — sertifikayı hedef değil, doğru kurulmuş bir sürecin doğal sonucu olarak görün.
Bu rehberin, kendi ISMS yolculuğunuzda sağlam bir başlangıç noktası olmasını dilerim. Sorularınız, katkılarınız ve deneyimleriniz için her zaman buradayım.
Başka bir yazımızda görüşmek dileğiyle…