ISO 27001 Nedir?

ISO 27001 (ISO/IEC 27001), Bilgi Güvenliği Yönetim Sistemi (BGYS/ISMS) için uluslararası standarttır. Gizlilik, bütünlük ve erişilebilirlik (CIA Triad) prensiplerini korumak için sistematik bir yaklaşım sunar.

---

CIA Triad

Prensip	Açıklama
Gizlilik (Confidentiality)	Bilgiye sadece yetkili kişilerin erişimi
Bütünlük (Integrity)	Bilginin doğruluğu ve tamlığı
Erişilebilirlik (Availability)	Bilgiye ihtiyaç duyulduğunda erişim

---

Standart Yapısı (HLS)

Madde	Konu
4	Organizasyonun Bağlamı
5	Liderlik
6	Planlama
7	Destek
8	Operasyon
9	Performans Değerlendirme
10	İyileştirme

---

Annex A Kontrolleri (ISO 27001:2022)

Kategori	Kontrol Sayısı
Organizasyonel Kontroller	37
İnsan Kaynakları Kontrolleri	8
Fiziksel Kontroller	14
Teknolojik Kontroller	34
Toplam	93

---

Risk Yönetimi Süreci

1. Bağlam Belirleme: Kapsam ve risk kriterleri
2. Risk Tanımlama: Varlık, tehdit, zafiyet
3. Risk Analizi: Olasılık × Etki
4. Risk Değerlendirmesi: Kabul edilebilirlik kontrolü
5. Risk Muamelesi: Önleme, transfer, kabul veya kaçınma

---

Sertifikasyon Süreci

1. Gap Analizi: Mevcut durum değerlendirmesi
2. Dokümantasyon: Politikalar ve prosedürler
3. Risk Değerlendirmesi: Varlık envanteri ve risk analizi
4. Kontrol Uygulaması: Annex A kontrolleri
5. İç Denetim: Sistem kontrolü
6. Belgelendirme Denetimi: Aşama 1 ve Aşama 2
7. Sertifika: 3 yıl geçerli, yıllık gözetim

---

Uygulama Alanları

Sektör	Uygulama
Finans	Müşteri verileri, ödeme sistemleri
Sağlık	Hasta kayıtları, tıbbi cihaz verileri
IT/Yazılım	Kod güvenliği, bulut servisleri
E-Ticaret	Müşteri ve ödeme bilgileri

---

İlgili Konular

• ISO 9001 Nedir?
• Validasyon Nedir?