Sertifika ne kadar sürer?

3 yıllık geçerlilikle verilir; yıllık gözetim denetimleri yapılır.

KOBİ için maliyet ne kadar?

Danışmanlık, iç kaynak ve dış denetim dahil aylık 1-3 bin dolar hazırlık bütçesi tipiktir; işletme büyüklüğüne göre değişir.

KVKK ile ISO 27001 aynı mı?

Hayır ama örtüşür. KVKK yasal zorunluluk; ISO 27001 gönüllü standart. İkisi birbirini destekler.

Küçük bir firma gerçekten alabilir mi?

Evet. Kapsam küçük tutulabilir (tek ürün, tek departman). Sonraki dönemlerde kapsam genişletilir.

Politika şablonları ücretsiz bulunabilir mi?

İnternet üzerinde şablonlar var; işletmeye uyarlanmadan kullanılması risklidir. Denetimde derinlik sorulduğunda kopya şablonlar yetersiz kalır.

ISO 27001 — KOBİ Hazırlık Yol Haritası

Özet: ISO 27001 hazırlığı; kapsam belirleme, risk değerlendirme, SoA, 114 Annex A kontrolünün uygulanması ve iç denetim olmak üzere 6-12 ay süren kademeli bir süreçtir. KOBİ'ler önce 10-15 kritik kontrolle başlayıp sertifikaya kadar aşamalı olgunlaşabilir.

ISO 27001 uluslararası bilgi güvenliği yönetim standardıdır; süreçleri, politikaları ve kontrolleri sistematik bir çerçevede toplar. Genellikle büyük kurumlara özgü görülür ama KOBİ'ler de kademeli bir hazırlık ile bu sertifikayı alabilir. Müşteri veya ortak talebi, tender gereksinimi ya da sadece olgun güvenlik kültürü isteğiyle yola çıkılır. Bu rehber KOBİ ölçeğinde pratik bir yol haritası sunar.

ISO 27001 Neden Anlamlı?

Standart, bilgi güvenliği yönetim sistemini (BGYS) kurmak için 10 ana madde ve Annex A'da 93 kontrol sunar. Sertifikasyon yalnızca bir belge değil; işletmenin güvenlik süreçlerini olgunlaştıran bir çerçevedir. KOBİ'lerde faydaları:

Uluslararası müşteri/ortak taleplerini karşılama
Tender ve ihalelerde rekabet avantajı
Siber risk yönetiminin yazılı hale gelmesi
Düzenli denetimlerle güvenlik kültürü pekişmesi
Sigorta koşullarında iyileştirme
KVKK uyumuyla doğal örtüşme

Sertifikasyon 8-12 ay arası hazırlık + denetim sürecine yayılır.

Yol Haritası — 7 Faz

Faz 1: Kapsam ve Üst Yönetim Desteği

İlk adım, BGYS kapsamını belirlemektir. Tüm ofis mi, belirli bir hizmet mi? Üst yönetim onayı olmadan süreç ilerlemez; yönetim katılımı yazılı taahhüt olarak alınır.

Faz 2: Risk Değerlendirmesi

Varlıklar (sunucular, veriler, süreçler) listelenir; her birine yönelik tehdit, zafiyet ve etki haritası çıkarılır. Risk matrisi (olasılık × etki) oluşturulur. Yüksek riskli alanlar öncelikli olarak ele alınacaktır.

Faz 3: Kontrol Seçimi ve Uygulama (Annex A)

93 kontrol içinden işletmeye uygun olanlar seçilir. Her kontrol için uygulama durumu: var, kısmen, yok, uygulanmıyor (gerekçe). İhtiyaç duyulan kontroller için eylem planı hazırlanır.

Faz 4: Politika ve Dokümantasyon

BGYS politikası, kabul edilebilir kullanım, parola, erişim, yedekleme, olay yanıt, kriz yönetimi politikaları yazılır. Belgeler versiyonlu tutulur ve onaylanır.

Faz 5: İç Denetim

Bağımsız bir iç denetçi (dışarıdan destek alınabilir) sistemi denetler. Uyumsuzluklar raporlanır, düzeltici aksiyonlar uygulanır.

Faz 6: Yönetim Gözden Geçirme

Üst yönetim BGYS performansını inceler. Risk, olay, iç denetim sonuçları değerlendirilir; gerekli kaynak ve karar alınır.

Faz 7: Dış Denetim (Sertifikasyon)

Akredite bir sertifikasyon kuruluşu iki aşamada denetim yapar: dokümantasyon (Stage 1) ve uygulama (Stage 2). Sonuç olumluysa sertifika 3 yıllık geçerlilikle verilir; her yıl gözetim denetimi yapılır.

Tipik Zaman Çizelgesi

Faz	Süre
Kapsam + risk	6-8 hafta
Kontrol uygulama	3-4 ay
Politika + eğitim	4-6 hafta
İç denetim	2-3 hafta
Yönetim gözden geçirme	1 hafta
Dış denetim	2-4 hafta
Toplam	8-12 ay

KOBİ için bu süreç kademeli planlama ile öngörülebilir.

Sık Yapılan Hatalar

Üst yönetim desteği almadan başlamak
Kontrol seçimini "hepsi uygulanacak" diye belirsiz bırakmak
Politikaları kopyala-yapıştır formatta yazmak (işletmeye özgü değilse sorun çıkar)
İç denetimi atlayıp doğrudan dış denetime girmek
Çalışan eğitimine yeteri kadar zaman ayırmamak
Yıl içinde gözetim denetimlerini hafife almak
Sertifikayı "bir defalık" görmek; yaşayan sistem gerekir

Gerçek İşletme Örnekleri

Örnek 1: Muhasebe Firmasında Müşteri Talebi

Bir muhasebe firması uluslararası müşterisinin ISO 27001 şartı sunmasıyla başlattı. 10 aylık hazırlık sonrası sertifika alındı; müşterinin denetim süreci kısaldı, ek iş kazanıldı.

Örnek 2: Üretim Tesisinde İhale Gereksinimi

Bir üretim tesisi kamu ihalelerinde ISO 27001 ön şartıyla karşılaşıyordu. Tedarik zinciri kontrolleri güçlendirildi; sertifika alındıktan sonra rekabet gücü arttı.

Örnek 3: Danışmanlık Firmasında Kurumsal Olgunlaşma

Bir danışmanlık firması ISO 27001 hazırlığını iç disiplin için tercih etti. Süreç sonunda yalnızca belge değil, bir güvenlik kültürü ortaya çıktı; çalışan memnuniyeti ve müşteri güveni arttı.

Yamanlar Bilişim Bu Süreçte Nasıl Destek Sağlar?

Yamanlar Bilişim, ISO 27001 hazırlığının IT tarafını yönetir; politikalar, kontrol uygulamaları ve denetim hazırlıklarını işletmenize özel olarak yürütür. Sertifikasyon firmasıyla koordinasyon da sağlanır.

Yamanlar Bilişim'in destek verebildiği başlıca alanlar şunlardır:

Kapsam belirleme ve risk değerlendirmesi
Annex A kontrol haritasının çıkarılması
Politika ve prosedür şablonlarının işletmeye uyarlanması
Teknik kontrollerin kurulumu (MFA, log, yedek, şifreleme)
İç denetim öncesi boşluk analizi
Çalışan eğitim programı
Dış denetim hazırlığı ve denetçiyle koordinasyon
Sertifikasyon sonrası yıllık gözetim desteği

ISO 27001 Sertifikasına Hazırlık: KOBİ Yol Haritası