iso 27001 işletmeler için rehber
Bölüm II Bölüm III Bölüm IV

Bölüm 1

Kitabın Tamamı için ISO 27001 Google Books sayfamızı ziyaret edebilir veya bölüm bölüm okuyabilirsiniz

ISO 27001 Nedir?

ISO/IEC 27001, Uluslararası Standardizasyon Örgütü (ISO) ve Uluslararası Elektroteknik Komisyonu (IEC) tarafından yayınlanan uluslararası bir bilgi güvenliği yönetim standardıdır (Wikipedia, n.d.). Bu standart, bir Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için gereksinimleri tanımlar. Amaç, kuruluşların ellerindeki bilgi varlıklarını sistematik bir yaklaşımla korumasına yardımcı olmaktır. ISO 27001, kurumların bilgi güvenliği risklerini tanımlamalarını, bu riskleri yönetmelerini ve gerekli güvenlik kontrollerini uygulamalarını sağlayan bir çerçeve sunar (BSI, n.d.). Bu sayede finansal veriler, fikri mülkiyet ve müşteri bilgileri gibi kritik bilgiler koruma altına alınır ve iş sürekliliği güvenceye alınır.

ISO 27001 belgesi, standart gereksinimlerini karşılayan bir BGYS’nin varlığını doğrulayan sertifikadır. Sertifika, bağımsız bir denetim sonucunda verilir ve kuruluşun bilgi güvenliği konusunda uluslararası kabul görmüş önlemleri uyguladığını gösterir (Wikipedia, n.d.). ISO 27001 belgesi nasıl alınır? sorusunun cevabı, öncelikle bu standardın ne olduğunu ve neleri kapsadığını anlamaktan geçer. Bu rehberde ISO 27001’in kapsamı ve gereksinimlerine dair teknik bilgileri aktararak, sertifikasyon sürecine dair yol haritasını ortaya koyacağız.

ISO 27001’in Tarihçesi

ISO 27001 standardının kökeni, 1990’lı yıllara uzanan Britanya standartlarına dayanmaktadır. 1995 yılında yayımlanan BS 7799 standardı, bilgi güvenliği yönetimi için ilk kapsamlı çerçevelerden biriydi. Daha sonra BS 7799 iki kısma ayrıldı: birinci kısım en iyi uygulama kodu (sonradan ISO 27002’ye temel oldu), ikinci kısım ise BGYS gereksinimlerini tanımladı (Secureframe, 2023) (Secureframe, 2023). Ekim 2005’te BS 7799-2 standardı ISO tarafından benimsenerek ilk uluslararası sürüm ISO/IEC 27001:2005 adıyla yayınlandı (Secureframe, 2023). ISO 27001, 2013 yılında önemli bir revizyona uğrayarak ISO/IEC 27001:2013 sürümü yayımlandı (Protiviti, n.d.). Bu revizyon, standardın yapısını diğer ISO yönetim sistemi standartlarıyla uyumlu hale getirdi ve bazı kontrol maddelerini güncelledi. En güncel sürüm ise Ekim 2022’de yayınlanan ISO/IEC 27001:2022’dir (Protiviti, n.d.). 2022 revizyonu, teknoloji ve tehdit ortamındaki gelişmelere uyum sağlamak amacıyla bazı maddelerde küçük değişiklikler ve ek güncellemeler içermektedir. Sonuç olarak, ISO 27001 standardı yıllar içinde evrilerek günümüzdeki halini almış; kuruluşların modern bilgi güvenliği risklerini yönetmesine yardımcı olacak bir yapı sunmaya devam etmiştir.

ISO 27001 Sertifikası Neden Önemlidir?

ISO 27001 sertifikası, bir kuruluşun bilgi güvenliği yönetiminde uluslararası en iyi uygulamaları benimsediğinin kanıtıdır. Bu sertifika, öncelikle müşteri ve iş ortağı güveni açısından kritiktir. Bir BGYS sertifikası, müşterilere kurumun bilgilerini korumak için ciddi adımlar attığını göstererek itibar ve güven sağlar (BSI, n.d.). Nitekim ISO 27001 belgesi alan şirketlerin %80’i, bu belgenin “işimize güven kattı” dediğini belirtmiştir (BSI, n.d.). Benzer şekilde, sertifikaya sahip firmaların %75’i ISO 27001 sayesinde iş risklerini azalttıklarını raporlamıştır (BSI, n.d.). Bu veriler, standart uygulamanın somut ticari faydalar sağladığını göstermektedir.

ISO 27001, aynı zamanda risk yönetimi odaklı bir yaklaşım getirdiği için önemlidir. Kuruluşlar, BGYS kurarak sistematik bir şekilde risk analizi yapmakta ve uygun kontrolleri devreye almaktadır. Bu da siber saldırılara karşı koruma sağlar ve olası veri ihlallerinin önlenmesine yardımcı olur. Örneğin, ISO 27001 sertifikalı kuruluşların %71’i, standardın bilgi sistemlerini korumalarını sağladığını ifade etmiştir (BSI, n.d.). Yani standart, sadece uyum amacıyla değil, fiilen bilgi varlıklarını koruma amacıyla da değer yaratmaktadır.

Bunun yanında, ISO 27001 sertifikası yasal ve sözleşmesel gerekliliklerin karşılanmasını kolaylaştırır. Birçok sektör regülasyonu ve yasa (örneğin KVKK veya GDPR) şirketlerin güçlü bilgi güvenliği kontrollerine sahip olmasını şart koşar. ISO 27001, bu gereksinimlere uyumu belgeleyen bir çerçeve sunarak hukuki uyumluluğa katkı yapar (Pivot Point Security, n.d.) (Pivot Point Security, n.d.). Ayrıca giderek daha fazla iş ortağı ve müşteri, tedarikçilerinden ISO 27001 gibi sertifikalara sahip olmalarını talep etmektedir (DataGuard, 2023). Dolayısıyla, sertifikasyon rekabet avantajı da sağlamaktadır.

Özetle, ISO 27001 sertifikasının önemi üç ana boyutta incelenebilir: (1) Müşterilere ve paydaşlara güven vermek ve kurumsal itibarı pekiştirmek, (2) Bilgi güvenliği risklerini azaltarak kritik varlıkları korumak ve iş sürekliliğini sağlamak, (3) Mevzuat ve sektör standartlarıyla uyumu göstererek hukuki riskleri azaltmak ve yeni iş fırsatlarına kapı açmak. Bu nedenlerle, bilgi güvenliği uzmanları ve işletmeler için ISO 27001’e uyum sağlamak stratejik bir öncelik haline gelmektedir.

ISO 27001 Standardının Temelleri

Bilgi Güvenliği İlkeleri

ISO 27001 ve genel olarak BGYS, bilgi güvenliğinin üç temel prensibi üzerine kuruludur: Gizlilik, Bütünlük ve Erişilebilirlik. Bu üç temel ilke, İngilizce karşılıklarının baş harfleriyle “CIA üçlüsü” olarak da anılmaktadır (Wikipedia, n.d.). Türk Standartları Enstitüsü tarafından yayınlanan TS ISO/IEC 27001 standardı da bilgi güvenliğini bu üç başlık altında tanımlamaktadır (Wikipedia, n.d.):

Gizlilik (Confidentiality): Bilgilerin yetkisiz kişiler tarafından erişilmesini ve ifşa edilmesini engellemek anlamına gelir. Gizlilik ilkesi, yalnızca doğru yetkilendirilmiş kişilerin ve süreçlerin hassas bilgilere erişimini garanti altına alır. Başka bir deyişle verilerin gizli tutulmasıdır. Örneğin, müşteri kayıtlarının veya kişisel verilerin izinsiz ele geçirilmesinin önlenmesi gizlilik kapsamındadır (Wikipedia, n.d.). Gizlilik ihlaline bir örnek, bir şirkete ait müşteri veritabanının siber saldırı sonucu dışarı sızdırılmasıdır.

Bütünlük (Integrity): Bilgilerin doğruluğunun ve tutarlılığının korunması, yetkisiz değişikliklere karşı güvence altına alınması demektir. Bütünlük ilkesi, bilginin kaynağından hedefe kadar bozulmadan kalmasını, verilerin izinsiz olarak değiştirilmemesini sağlar (Wikipedia, n.d.). Örneğin, bir finansal tabloda rakamların bir saldırgan tarafından değiştirilmesi bütünlük ihlalidir. Bütünlük, hem veri bütünlüğü (verinin kendisinin korunması) hem de sistem bütünlüğü (veriyi işleyen sistemlerin korunması) boyutlarını kapsar (Wikipedia, n.d.).

Erişilebilirlik (Availability): Bilgilerin ihtiyaç duyulduğu anda yetkili kullanıcılar tarafından erişilebilir olmasını ifade eder. Yani sistemlerin ve bilgilerin kullanım için hazır ve erişilebilir durumda tutulmasıdır (Wikipedia, n.d.). Erişilebilirlik, kesinti sürelerinin minimize edilmesini ve kritik hizmetlerin sürekliliğini içerir. Örneğin, bir web hizmetine yönelik DoS (Hizmet Durdurma) saldırıları erişilebilirlik ilkesine yönelik tehditlerdir; ISO 27001 kapsamında alınan önlemlerle (yedeklilik, felaket kurtarma vb.) bu tür saldırılara karşı hazırlık yapılır (Wikipedia, n.d.).

Yukarıdaki CIA ilkeleri, bilgi güvenliği yönetim sisteminin temelini oluşturur. Bir BGYS kurulurken, gizlilik-bütünlük-erişilebilirlik dengesinin sağlanması hedeflenir. Bu üç ilke birbirini tamamlar ve herhangi birindeki zafiyet, bilgi güvenliğinin bütününü riske atabilir. ISO 27001, uygulamaya koyduğu kontrollerle bu ilkeleri hayata geçirmeyi amaçlar. Örneğin, çalışanlara bilgi güvenliği farkındalık eğitimi verilmesi gizlilik ve bütünlüğe katkı sağlarken, düzenli yedekleme ve felaket kurtarma planları erişilebilirliği güvence altına alır. Aşağıdaki tabloda bu üç ilke özetlenmiştir:

İlkeTanım
GizlilikBilginin yetkisiz erişime karşı korunması; verilerin sadece yetkili kişilerce görülebilmesi.
BütünlükBilginin tam ve doğru olması; yetkisiz kişilerce değiştirilmemesi ve tutarlılığının korunması.
ErişilebilirlikBilginin ihtiyaç duyulduğunda yetkili kullanıcılar tarafından erişilebilir ve kullanılabilir olması.

Bu prensipler, ISO 27001 kapsamındaki tüm kontrollerin ve süreçlerin arkasındaki temel hedeflerdir. BGYS uygulaması sırasında alınan her önlem (ör. erişim kontrolü, şifreleme, yedekleme, vs.), nihayetinde gizliliği, bütünlüğü veya erişilebilirliği sağlamaya yöneliktir. Dolayısıyla, ISO 27001’in temellerini anlamak için öncelikle bu bilgi güvenliği ilkelerinin anlaşılması kritiktir.

Risk Yönetimi

ISO 27001’in getirdiği en kritik yaklaşım, bilgi güvenliği risklerinin sistematik bir şekilde yönetilmesidir. Standardın kalbinde risk yönetimi vardır ve bu risk odaklı yaklaşım, BGYS’nin dinamik bir şekilde işletilmesini sağlar (Isobelgesi, n.d.). Risk yönetimi süreci; kuruluşun hangi bilgi varlıklarına sahip olduğunu, bunların hangi tehdit ve zafiyetlerle karşı karşıya olduğunu belirlemeyi ve uygun önlemlerle riskleri kabul edilebilir seviyelere indirmeyi içerir.

ISO 27001 kapsamında risk yönetimi belirli adımlardan oluşan bir döngü olarak ele alınır. Genel kabul görmüş çerçevelere göre bir bilgi güvenliği risk yönetim süreci, risklerin belirlenmesi, analiz edilmesi, değerlendirilmesi, yönetilmesi (tedavisi) ve izlenmesi adımlarından oluşur (Böke Yazıcıoğlu, 2024). Bu adımları kısaca açıklayalım:

Risklerin Belirlenmesi: İlk adım, korunacak bilgi varlıklarını ve bunlara yönelik potansiyel riskleri tanımlamaktır. Bu kapsamda kuruluş, sahip olduğu tüm bilgi varlıklarının (veriler, sistemler, altyapı, insan kaynağı vb.) envanterini çıkarır. Ardından bu varlıkları tehdit edebilecek senaryolar belirlenir. Örneğin, bir sunucu odası için tehditler arasında yangın, elektrik kesintisi veya siber saldırılar sayılabilir. Bu adımda genellikle nitel yöntemler (beyin fırtınası, “olursa ne olur?” analizleri) veya ISO 27005 gibi risk değerlendirme standartları kullanılır (Secureframe, 2023).

Risk Analizi (Değerlendirilmesi): Tanımlanan her bir risk için, gerçekleşme olasılığı ve gerçekleştiğinde yaratacağı etki analiz edilir (Secureframe, 2023). Bu analiz nitel olabilir (düşük-orta-yüksek şeklinde) veya nicel olabilir (olasılık ve etkiyi sayısal değerlerle çarpıp bir risk skoru elde etme şeklinde). Örneğin, bir fidye yazılımı saldırısının gerçekleşme olasılığı “orta”, etkisi “yüksek” ise genel risk seviyesi “yüksek” olarak değerlendirilebilir. Bu aşamada risklerin önceliklendirilmesi de yapılır; olasılık ve etki skorlarına göre risklerin önem sırası belirlenir (Secureframe, 2023).

Risk Tedavisi (Yönetilmesi): Analiz sonucunda kabul edilemez seviyede olduğu belirlenen riskler için uygun risk işleme stratejileri geliştirilir. ISO 27001’e göre dört temel risk işleme seçeneği vardır: riski azaltmak için güvenlik kontrolü uygulamak, riski tamamen önlemek (faaliyeti durdurmak veya riske maruz kalmamayı seçmek), riski transfer etmek (örneğin sigorta yapmak veya dış kaynakla yönetmek) veya riski kabul etmek (bazen riskin getireceği zarar, önlem maliyetine kıyasla düşükse) (Secureframe, 2023) (Secureframe, 2023). Örneğin, bir şirket müşteri verilerini korumak için erişim kontrolü ve şifreleme gibi tedbirler alarak riski azaltabilir; çok düşük olasılıklı bir riski ise kabul edebilir. Risk tedavi planları hazırlanır ve hangi kontrolün hangi riski adreslediği dokümante edilir.

Risklerin İzlenmesi ve Gözden Geçirilmesi: Risk yönetimi tek seferlik bir faaliyet değildir. ISO 27001, risklerin ve uygulanan kontrollerin düzenli aralıklarla izlenmesini ve değişen koşullara göre güncellenmesini öngörür. Yeni ortaya çıkan tehditler, değişen iş süreçleri veya meydana gelen güvenlik olayları, risk değerlendirmesinin yeniden yapılmasını gerektirebilir. Bu nedenle kuruluş, BGYS kapsamında risklerini sürekli izler ve gerektiğinde risk değerlendirme sürecini tekrarlar. Bu adım aynı zamanda sürekli iyileştirme döngüsünün bir parçasıdır (Planla-Uygula-Kontrol Et-Önlem Al döngüsünün “Kontrol Et” ve “Önlem Al” kısımları).

ISO 27001, risk yönetimi konusunda esneklik tanır; kuruluşlar kendi ihtiyaçlarına uygun metodolojileri seçebilir. Örneğin, bazıları kalitatif (nitel) risk analizi yaparken bazıları kantitatif (nicel) yöntemler kullanabilir. Önemli olan, seçilen yaklaşımın tutarlı ve tekrarlanabilir olmasıdır (Secureframe, 2023). Standardın gereği olarak risk değerlendirme yönteminin ve kriterlerinin dokümante edilmesi gerekir. Üst yönetimin risk iştahı (kabul edilebilir risk seviyesi) tanımlanmalı ve tüm değerlendirmeler bu kritere göre yapılmalıdır.

Risk yönetimi, ISO 27001’in başarısının anahtarıdır. Etkin bir risk yönetimi sayesinde kuruluş, en kritik risklerine odaklanarak kaynaklarını verimli kullanır ve gereksiz kontrollerle vakit kaybetmez. Aynı zamanda, bu yaklaşım güvenlik harcamalarının iş hedefleriyle uyumlu olmasını sağlar. ISO 27001, risk odaklı yaklaşımı sayesinde, farklı büyüklükteki ve sektörlerdeki kuruluşların kendi özel risk profilini yönetebileceği ölçeklenebilir bir sistem sunar. Bir sonraki bölümde, standardın yapısını ve temel maddelerini inceleyerek bu risk yönetimi yaklaşımının nasıl formalize edildiğini göreceğiz.

ISO 27001’in Temel Maddeleri

ISO 27001 standardı, diğer yönetim sistemi standartlarına benzer şekilde maddeler halinde yapılandırılmıştır. Standardın 1–3. maddeleri giriş niteliğinde olup kapsam, terimler ve referansları içerirken; asıl gereksinimler 4. maddeden 10. maddeye kadar sıralanmıştır. ISO 27001’in bu ana maddeleri, bir BGYS’nin kurulması ve işletilmesi için gereken tüm unsurları kapsar (StandardFusion, 2022). Aşağıdaki tabloda ISO 27001:2022 standardının temel maddeleri ve bu maddelerin içerikleri özetlenmiştir:

Madde  Konu (Kapsam)

4. Kuruluşun Bağlam: Kuruluşun iç ve dış bağlamının analiz edilmesi, BGYS’nin kapsamının belirlenmesi ve ilgili tarafların beklenti ve gereksinimlerinin değerlendirilmesi. Bu maddede kuruluş, BGYS’nin sınırlarını ve uygulanacağı alanları tanımlar.

5. Liderlik: Üst yönetimin BGYS’ye liderlik etmesi ve taahhüdü, bilgi güvenliği politikası oluşturulması ve onaylanması, görev ve sorumlulukların dağıtılması. Yönetimin aktif desteği ve katılımı bu maddeyle güvence altına alınır.

6. Planlama: BGYS’yi kurarken risk değerlendirmesi ve risk işleme planlarının hazırlanması (Madde 6.1), bilgi güvenliği amaçlarının belirlenmesi ve bu hedeflere ulaşmak için planlar yapılması (Madde 6.2). Bu aşamada kuruluş, risklerine yönelik stratejilerini ve ölçülebilir güvenlik hedeflerini ortaya koyar.

7. Destek: BGYS’nin etkinliği için gerekli kaynakların sağlanması. Bu madde altında insan kaynağı yetkinliklerinin sağlanması (eğitim, farkındalık), iletişimin planlanması ve kontrolü, ve BGYS dokümantasyonunun yönetimi (doküman kontrolü) yer alır. Tüm personelin farkındalığı ve gerekli becerilere sahip olması hedeflenir.

8. İşletim (Operasyon): BGYS’nin işletilmesi ve uygulamaya konulması. Risk değerlendirme sonuçlarına göre seçilen kontrollerin hayata geçirilmesi, bilgilerin korunması için gerekli süreçlerin işletilmesi bu madde kapsamındadır. Ayrıca bilgi güvenliği olay yönetimi ve iş sürekliliği gibi operasyonel süreçler de bu aşamada yürütülür.

9. Performans Değerlendirme: BGYS’nin performansının ölçülmesi ve izlenmesi. Bu madde, iç denetimlerin düzenli aralıklarla gerçekleştirilmesini (Madde 9.2) ve üst yönetimin BGYS’yi gözden geçirmesini (Madde 9.3) gerektirir. Ayrıca güvenlik hedeflerinin gerçekleşme durumunun izlenmesi ve ölçümler (Madde 9.1) de bu kapsamda ele alınır.

10. İyileştirme: BGYS’nin sürekli iyileştirilmesi için gereken adımlar. Uygunsuzlukların tespiti halinde düzeltici faaliyetlerin gerçekleştirilmesi (Madde 10.1) ve BGYS’nin süreklilik arz eden bir şekilde iyileştirilmesi (Madde 10.2) bu maddenin odak noktasıdır. Bu sayede, değişen şartlara uyum sağlanır ve sistem sürekli olarak geliştirilebilir.

Yukarıdaki yapıya bakıldığında, ISO 27001’in yönetim sistemi yaklaşımı net biçimde görülmektedir. Madde 4–10, Planla-Uygula-Kontrol Et-Önlem Al (PDCA) döngüsünü destekleyecek şekilde tasarlanmıştır: Önce planlama yapılır (Madde 4, 5, 6), sonra uygulanır (Madde 7, 8), kontroller ve değerlendirmeler gerçekleştirilir (Madde 9) ve elde edilen sonuçlara göre iyileştirmeler yapılır (Madde 10). Bu döngüsel yaklaşım, BGYS’nin canlı bir sistem olmasını ve değişen koşullara adapte olmasını sağlar.

ISO 27001’in maddelerine ek olarak, standardın sonunda bir Ek A bulunmaktadır. Ek A, bilgi güvenliği için belirlenmiş kontrol hedeflerini ve kontrolleri listeler (ISO 27001:2013 sürümünde 114 adet kontrol, 2022 sürümünde güncellenmiş 93 kontrol). Bu kontroller, risk değerlendirmesi sonucu uygulanmasına karar verilen önlemlerdir. Standardın 6.1.3 maddesi gereği, kuruluş bu kontrollerden hangilerinin uygulanacağını ve hangilerinin kapsam dışında bırakıldığını bir Uygulanabilirlik Bildirgesi (Statement of Applicability, SoA) dokümanında beyan eder. Böylece, kuruluşun risklerine uygun bir kontrol seti tanımlanmış olur.

Özetle, ISO 27001’in temel maddeleri, bir BGYS’nin kurulumu ve işletimi için gereken yönetimsel çerçeveyi sunar. Kuruluş, 4–10. maddelerdeki gereklilikleri yerine getirerek bilgi güvenliği yönetim sistemini oluşturur ve dökümante eder. Bu yapı, farklı büyüklükteki kuruluşların kendi bağlamlarına uygun bir BGYS tesis etmesine olanak tanıyan esnek ama disiplinli bir yaklaşımdır.

Kaynakça

• Advisera. (n.d.). ISO 27001 mandatory documents.
• Afyonluoğlu, S. (2019). ISO 27001 Uygulama Kılavuzu (PDF).
• AuditBoard. (2022). Definitive Guide to ISO 27001 Audits.
• BSI. (n.d.). ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nedir?
• Böke Yazıcıoğlu, M. (2024). ISO/IEC 27001:2022 Bilgi Güvenliği Yönetim Sistemi Kapsamında Bilgi Güvenliği Risk Yönetimi ve Risk Analizi. Bilgisayar Bilimleri ve Teknolojileri Dergisi, 5(2), 01-13
• DataGuard. (2023). ISO 27001 Clause 9.2: Internal Audit & ISO 27001 Clause 5.2: Information Security Policy.
• IBM Security. (2023). Cost of a Data Breach Report.
• Isobelgesi. (n.d.). ISO 27001 Belgesi Bilgi Güvenliği Yönetim Sistemi.
• Online Standart. (2023). Teknik Bilgide Güvenilir Kaynak – ISO 27001 Standardı Satın Alın.
• Pivot Point Security. (n.d.). ISO 27001 and Data Protection: The Crucial Link.
• Protiviti. (n.d.). ISO/IEC 27001:2013 and ISO/IEC 27001:2022 revision details.
• Prozorov, A. (2023). ISO Survey 2022: ISO 27001 Certificates (ISMS). SlideShare.
• Secureframe. (2023). ISO 27001 Certification Process: A Step-by-Step Guide.
• StandardFusion. (2022). ISO 27001 Mandatory Clauses – Guide.
• Wikipedia. (n.d.). Bilgi Güvenliği.