1. ISO 27001 NEDİR?
ISO 27001, işletmelerin bilgi varlıklarını korumak için kurduğu Bilgi Güvenliği Yönetim Sistemi (BGYS) standardıdır.
Ancak çoğu kişinin yaptığı hata şu:
👉 ISO 27001’i sadece “belge” sanmak
Hayır.
ISO 27001 = Bir güvenlik yönetim sistemi + risk yönetimi modeli + kurumsal disiplin
🔍 ISO 27001’in Temel Amacı
3 ana güvenlik prensibini korumaktır:
1. Gizlilik (Confidentiality)
Bilgiye sadece yetkili kişiler erişebilir
2. Bütünlük (Integrity)
Bilgi değiştirilemez, bozulamaz
3. Erişilebilirlik (Availability)
Bilgi gerektiğinde erişilebilir olmalıdır
🎯 Gerçek Hayat Örneği
Bir e-ticaret sitesi düşün:
- Müşteri kart bilgileri çalındı ❌
- Sipariş verileri silindi ❌
- Site 3 gün kapalı kaldı ❌
Sonuç:
- Müşteri kaybı
- İtibar kaybı
- Hukuki ceza
ISO 27001 işte bu riskleri önler.
2. ISO 27001 NEDEN BU KADAR ÖNEMLİ?
Günümüzde:
- Siber saldırılar her yıl katlanarak artıyor
- Küçük işletmeler bile hedef alınıyor
- Veri ihlali cezaları milyon TL seviyesine ulaştı
👉 Artık “güvenlik” değil, “hayatta kalma meselesi”
📊 Güncel Riskler
🔴 Ransomware (Fidye Yazılımı)
Tüm veriler şifrelenir → para istenir
🔴 Phishing (Oltalama)
Çalışanlar kandırılır → sistem ele geçirilir
🔴 İç Tehdit
Personel veri sızdırır
🔴 Tedarik Zinciri Saldırıları
- parti yazılımlar üzerinden saldırı
💡 ISO 27001 Ne Sağlar?
✔ Sistematik koruma
✔ Sürekli izleme
✔ Risk yönetimi
✔ Denetlenebilir yapı
3. ISO 27001’İN TARİHÇESİ
ISO 27001 bir anda ortaya çıkmadı.
📅 Gelişim Süreci:
- 1995 → BS 7799 (İngiltere)
- 2005 → ISO 27001 yayınlandı
- 2013 → Büyük revizyon
- 2022 → Güncel versiyon
🔄 2022 REVİZYONU NE GETİRDİ?
- Kontrol sayısı sadeleştirildi
- Siber güvenlik odaklı hale geldi
- Bulut sistemler eklendi
- Uzaktan çalışma riskleri dahil edildi
4. ISO 27001 STANDARDININ YAPISI
ISO 27001 aslında bir yönetim sistemi standardıdır.
📚 ANA MADDELER
Madde 4: Kuruluşun Bağlamı
Şirketin iç ve dış faktörleri analiz edilir
Madde 5: Liderlik
Üst yönetim sistemi sahiplenir
Madde 6: Planlama
Riskler ve fırsatlar belirlenir
Madde 7: Destek
Kaynaklar, eğitim, farkındalık
Madde 8: Operasyon
Sistem uygulanır
Madde 9: Performans Değerlendirme
Denetimler yapılır
Madde 10: İyileştirme
Sürekli gelişim sağlanır
🔁 PDCA DÖNGÜSÜ
ISO 27001’in temelidir:
- Planla
- Uygula
- Kontrol Et
- Önlem Al
Bu döngü sayesinde sistem asla sabit kalmaz, sürekli gelişir.
5. ISO 27001 ANNEX A KONTROLLERİ
Burası en kritik bölüm.
ISO 27001 = Yönetim sistemi
Annex A = Teknik ve operasyonel kontroller
🔐 ANA KONTROL ALANLARI
1. Organizasyonel Kontroller
- Politika yönetimi
- Roller ve sorumluluklar
2. İnsan Kaynakları Güvenliği
- Personel eğitimleri
- Gizlilik sözleşmeleri
3. Fiziksel Güvenlik
- Kamera sistemleri
- Kartlı geçiş
4. Teknolojik Kontroller
- Firewall
- Antivirus
- Şifre politikaları
🔥 ÖRNEK KONTROLLER
- Parola politikası zorunlu
- USB kullanımı sınırlı
- Log kayıtları tutulmalı
- Veri yedekleme yapılmalı
6. ISO 27001 KİMLER İÇİN GEREKLİ?
Cevap net:
👉 Veriyle çalışan herkes için
🎯 Kritik Sektörler
- Yazılım firmaları
- E-ticaret siteleri
- Bankalar
- Hastaneler
- Danışmanlık firmaları
- Üretim tesisleri
❗ Büyük Yanılgı
“Biz küçük firmayız, bize gerek yok”
YANLIŞ.
👉 Hackerlar küçük firmaları daha kolay hedef alır.
7. ISO 27001 NASIL ALINIR?
Bu süreç aslında bir dönüşümdür.
📌 ADIM ADIM SÜREÇ
1. GAP ANALİZİ
Mevcut durum ölçülür
2. RİSK ANALİZİ
Tehditler belirlenir
3. DOKÜMANTASYON
Sistem yazılır
4. UYGULAMA
Kurallar uygulanır
5. İÇ DENETİM
Eksikler bulunur
6. BELGELENDİRME
Denetim yapılır
8. ISO 27001 KURULUM SÜRECİ (ULTRA DETAY)
Bu bölüm SEO açısından altın değerinde.
🔍 ADIM 1: VARLIK ENVANTERİ
Tüm bilgi varlıkları listelenir:
- Sunucular
- Bilgisayarlar
- Yazılımlar
- Veritabanları
🔍 ADIM 2: RİSK MATRİSİ
Risk hesaplama:
Risk = Olasılık x Etki
🔍 ADIM 3: KONTROLLERİN SEÇİMİ
Annex A’dan uygun kontroller seçilir
🔍 ADIM 4: SOA (Uygulanabilirlik Bildirgesi)
Hangi kontrollerin uygulanacağı yazılır
9. RİSK ANALİZİ
ISO 27001’in kalbi burasıdır.
📊 RİSK TÜRLERİ
- Siber saldırı
- İnsan hatası
- Sistem arızası
- Doğal afet
🎯 RİSK AZALTMA YÖNTEMLERİ
- Risk kabul
- Risk azaltma
- Risk transferi
- Risk ortadan kaldırma
10. ISO 27001 DOKÜMANTASYON SİSTEMİ
ISO 27001’in en çok zaman alan kısmıdır.
📄 TEMEL DOKÜMANLAR
- BGYS Politikası
- Risk Analizi
- SoA
- Prosedürler
- Talimatlar
⚠️ EN BÜYÜK HATA
👉 İnternetten indirilen hazır dokümanlar
Bu yaklaşım:
- Denetimde kalmanıza sebep olur
- Sistemi çalışmaz hale getirir
11. ISO 27001 POLİTİKALARI
ISO 27001’de politika, sistemin temelidir. Denetçiler ilk olarak buraya bakar.
📄 ZORUNLU VE KRİTİK POLİTİKALAR
🔹 1. Bilgi Güvenliği Politikası
Tüm sistemin ana çerçevesini belirler.
İçeriği:
- Amaç
- Kapsam
- Yönetim taahhüdü
- Sürekli iyileştirme
🔹 2. Erişim Kontrol Politikası
Kim hangi veriye erişebilir?
İçermesi gerekenler:
- Kullanıcı yetkilendirme
- Parola kuralları
- Yetki matrisi
🔹 3. Şifre (Parola) Politikası
En çok denetlenen alanlardan biridir.
Örnek kurallar:
- Minimum 8-12 karakter
- Büyük/küçük harf zorunlu
- Periyodik değişim
🔹 4. Yedekleme Politikası
Veri kaybını önler.
İçerik:
- Günlük/haftalık yedekleme
- Yedek saklama süresi
- Test prosedürleri
🔹 5. Olay Yönetimi Politikası
Bir saldırı olduğunda ne yapılacak?
🔹 6. Fiziksel Güvenlik Politikası
Ofis güvenliği:
- Kamera sistemi
- Kartlı geçiş
- Ziyaretçi kayıtları
🔹 7. Tedarikçi Güvenliği Politikası
- parti firmalar büyük risktir.
🔹 8. Mobil Cihaz Politikası
Laptop, telefon, USB kullanımı
⚠️ KRİTİK SEO NOTU
“ISO 27001 politika örnekleri” araması yüksek trafiklidir → bu bölüm tek başına trafik çeker.
12. ISO 27001 PROSEDÜRLERİ
Politika = Kural
Prosedür = Nasıl yapılacağı
📌 EN ÖNEMLİ PROSEDÜRLER
🔧 1. Doküman Kontrol Prosedürü
- Doküman nasıl oluşturulur
- Kim onaylar
- Nasıl güncellenir
🔧 2. İç Denetim Prosedürü
- Denetim planı
- Denetçi seçimi
- Raporlama
🔧 3. Uygunsuzluk Yönetimi
- Hata nasıl tespit edilir
- Düzeltici faaliyet
🔧 4. Risk Yönetimi Prosedürü
ISO 27001’in kalbidir
🔧 5. Eğitim Prosedürü
Personel farkındalığı zorunludur
13. ISO 27001 FORM VE KAYITLAR
Denetimde en çok istenenler:
📊 KRİTİK KAYITLAR
- Risk değerlendirme formu
- Eğitim katılım listesi
- Denetim raporu
- Olay kayıt formu
- Varlık envanteri
❗ ALTIN KURAL
“Yapmadığın şeyi yazma, yazdığını yap.”
14. ISO 27001 EĞİTİM SİSTEMİ
ISO 27001 sadece teknik değil, insan odaklıdır.
🎓 ZORUNLU EĞİTİMLER
- Bilgi güvenliği farkındalık eğitimi
- Phishing eğitimi
- KVKK eğitimi
📌 EĞİTİM OLMADAN NE OLUR?
- İnsan hatası artar
- Sistem çöker
- Denetimde kalırsınız
15. ISO 27001 DENETİM SÜRECİ
🔍 1. AŞAMA DENETİMİ (STAGE 1)
- Dokümanlar incelenir
- Hazırlık kontrol edilir
🔍 2. AŞAMA DENETİMİ (STAGE 2)
- Sahada denetim
- Gerçek uygulama kontrolü
🎯 DENETÇİLER NEYE BAKAR?
- Risk analizi
- Kayıtlar
- Sistem uygulanıyor mu?
- Personel farkındalığı
16. İÇ DENETİM NASIL YAPILIR?
📋 ADIM ADIM
- Denetim planı hazırlanır
- Checklist oluşturulur
- Saha denetimi yapılır
- Rapor yazılır
- Düzeltici faaliyet başlatılır
🔥 CHECKLIST ÖRNEĞİ
- Parola politikası uygulanıyor mu?
- Yedekler alınıyor mu?
- Log kayıtları tutuluyor mu?
17. ISO 27001 BELGELENDİRME SÜRECİ
🏢 SÜREÇ
- Belgelendirme kuruluşu seçilir
- Denetim yapılır
- Uygunsuzluk varsa kapatılır
- Belge verilir
📌 BELGE SÜRESİ
- 3 yıl geçerli
- Her yıl ara denetim
18. ISO 27001 MALİYET KALEMLERİ
Fiyat yazmadan ama SEO uyumlu anlatım:
💰 MALİYETİ ETKİLEYEN FAKTÖRLER
- Firma büyüklüğü
- Çalışan sayısı
- Şube sayısı
- IT altyapısı
- Risk seviyesi
📊 MALİYET KALEMLERİ
- Danışmanlık
- Belgelendirme
- Eğitim
- İç kaynak maliyeti
19. ISO 27001 NE KADAR SÜRER?
⏱️ ORTALAMA SÜRE
- Küçük işletme → 1-3 ay
- Orta ölçek → 3-6 ay
- Büyük firma → 6-12 ay
20. ISO 27001 VE KVKK / GDPR
🇹🇷 KVKK İLİŞKİSİ
ISO 27001:
✔ KVKK uyumu kolaylaştırır
✔ Veri yönetimini düzenler
✔ Denetimlerde avantaj sağlar
🌍 GDPR İLİŞKİSİ
- Avrupa ile çalışıyorsanız kritik
- ISO 27001 büyük avantaj sağlar
21. ISO 27001 TEKNİK KONTROLLER
Bu bölüm, çoğu içeriğin yüzeysel geçtiği ama Google’ın “uzman içerik” olarak algıladığı kısımdır.
🔥 1. FIREWALL YÖNETİMİ
Firewall = İlk savunma hattı
✔ Yapılması Gerekenler:
- Tüm trafik filtrelenmeli
- Gereksiz portlar kapatılmalı
- IP bazlı erişim kısıtlanmalı
🔐 2. LOG YÖNETİMİ
Denetimde en kritik konulardan biri.
📊 Log Tutulması Gerekenler:
- Kullanıcı giriş çıkışları
- Yetki değişiklikleri
- Sistem hataları
- Güvenlik olayları
⚠️ KRİTİK KURAL:
👉 “Log yoksa olay hiç olmamış sayılır.”
🧠 3. SIEM SİSTEMLERİ
(Security Information and Event Management)
Ne yapar?
- Tüm logları toplar
- Anomali tespit eder
- Alarm üretir
🔑 4. ERİŞİM KONTROLÜ (ACCESS MANAGEMENT)
Uygulanması Gerekenler:
- Role-based access (RBAC)
- Minimum yetki prensibi
- MFA (Çok faktörlü doğrulama)
💾 5. YEDEKLEME VE FELAKET KURTARMA
✔ Altın Kurallar:
- 3-2-1 kuralı
- Offline yedek
- Test edilmiş restore
☁️ 6. BULUT GÜVENLİĞİ
ISO 27001:2022 ile birlikte kritik hale geldi.
Riskler:
- Yanlış yapılandırma
- Veri sızıntısı
- Yetkisiz erişim
22. GERÇEK SALDIRI SENARYOLARI
🎯 SENARYO 1: PHISHING SALDIRISI
- Çalışana sahte mail gelir
- Şifre girilir
- Sistem ele geçirilir
👉 ISO 27001 çözümü:
- Eğitim
- MFA
- Log takibi
🎯 SENARYO 2: RANSOMWARE
- Tüm veriler şifrelenir
- Şirket durur
👉 ISO 27001 çözümü:
- Yedekleme
- Antivirus
- Network segmentasyonu
🎯 SENARYO 3: İÇ TEHDİT
- Personel veri çalar
👉 ISO 27001 çözümü:
- Yetki sınırlama
- Log izleme
- NDA sözleşmesi
23. ISO 27001 EN SIK YAPILAN HATALAR
❌ 1. SADECE BELGE ODAKLI YAKLAŞIM
👉 Sistem çalışmaz
👉 Denetimde kalınır
❌ 2. COPY-PASTE DOKÜMAN
👉 Denetçi hemen anlar
❌ 3. RİSK ANALİZİNİ CİDDİYE ALMAMAK
👉 Tüm sistem çöker
❌ 4. ÜST YÖNETİMİN SAHİPLENMEMESİ
👉 ISO 27001 başarısız olur
24. ISO 27001 BAŞARI HİKAYESİ (VAKA ANALİZİ)
🏢 ÖRNEK: ORTA ÖLÇEKLİ YAZILIM FİRMASI
Öncesi:
- Güvenlik yok
- Veri dağınık
- Risk yüksek
Sonrası:
- ISO 27001 kuruldu
- Süreçler standardize edildi
- Yeni müşteriler kazanıldı
📈 SONUÇ:
✔ %40 güven artışı
✔ %30 iş büyümesi
✔ Sıfır veri ihlali
25. ISO 27001 İLE KURUMSALLAŞMA
ISO 27001 sadece güvenlik değil:
👉 Şirketin DNA’sını değiştirir
🚀 SAĞLADIĞI DÖNÜŞÜM
- Süreç bazlı yönetim
- Disiplinli yapı
- Ölçülebilir performans
26. ISO 27001 BELGE YENİLEME
📌 SÜREÇ
- 3 yıl geçerli
- Her yıl gözetim denetimi
⚠️ YAPILMAZSA:
👉 Belge iptal edilir
27. ISO 27001 DANIŞMANLIK NEDEN ŞART?
🎯 GERÇEKLER
Danışmansız süreç:
- Uzun sürer
- Hatalı olur
- Denetimde kalma riski yüksek
✔ DANIŞMANLIK İLE:
- Süre %70 kısalır
- Doğru sistem kurulur
- Denetim garantisi artar
28. SNG KALİTE İLE ISO 27001
ISO 27001 sürecini hızlı, doğru ve sorunsuz tamamlamak için uzman destek şart.
📞 İLETİŞİM
SNG Kalite
📞 0533 558 38 28
🌐 www.sngkalite.com.tr
📧 info@sngkalite.com.tr
29. SIK SORULAN SORULAR
ISO 27001 zorunlu mu?
Hayır, ancak birçok sektörde fiilen zorunlu.
ISO 27001 küçük firmalar için uygun mu?
Evet, hatta daha kritik.
ISO 27001 kaç günde alınır?
1–6 ay arası.
ISO 27001 zor mu?
Doğru kurulumla hayır.
30. STRATEJİK SONUÇ
🔥 NET GERÇEK:
ISO 27001 =
✔ Güven
✔ İtibar
✔ Rekabet avantajı
✔ Veri koruma
31. ISO 27001 MALİYETİ NEDİR?
ISO 27001 maliyeti, bir işletmenin bilgi güvenliği yönetim sistemini kurması, uygulaması ve belgelendirmesi için yaptığı toplam yatırımdır.
Bu maliyet:
👉 Tek kalem değildir
👉 Sabit değildir
👉 Firmaya özel değişir
32. ISO 27001 MALİYETİNİ ETKİLEYEN ANA FAKTÖRLER
🏢 1. Firma Büyüklüğü
En önemli faktörlerden biridir.
- Küçük işletme → Daha düşük maliyet
- Büyük firma → Daha yüksek maliyet
Çünkü:
- Süreç sayısı artar
- Denetim süresi uzar
👥 2. Çalışan Sayısı
Denetim süresi çalışan sayısına göre belirlenir.
- 5 kişi → kısa denetim
- 100+ kişi → uzun denetim
🌍 3. Şube / Lokasyon Sayısı
Her lokasyon = ek denetim
💻 4. IT Altyapısı
- Basit sistem → düşük maliyet
- Karmaşık sistem → yüksek maliyet
🔐 5. Risk Seviyesi
Risk arttıkça:
- Kontrol sayısı artar
- Süreç uzar
- Maliyet yükselir
33. ISO 27001 MALİYET KALEMLERİ
💼 1. Danışmanlık Maliyeti
ISO 27001 sürecinin en kritik kısmıdır.
Danışmanlık kapsamında:
- Gap analizi
- Risk analizi
- Dokümantasyon
- Eğitim
- Denetim hazırlığı
🏢 2. Belgelendirme Maliyeti
Akredite kuruluşa ödenir.
İçerir:
- Stage 1 denetim
- Stage 2 denetim
- Belge düzenleme
🎓 3. Eğitim Maliyeti
Personel eğitimi zorunludur.
💻 4. Yazılım / Güvenlik Yatırımı
Gerekli olabilir:
- Firewall
- Antivirus
- SIEM
- Yedekleme sistemleri
🧑💼 5. İç Kaynak Maliyeti
Şirket içindeki zaman ve iş gücü
34. GİZLİ MALİYETLER
🔴 Zaman Kaybı
Yanlış kurulum = süreç uzar
🔴 Denetimde Kalma
Tekrar denetim = ek maliyet
🔴 Yanlış Danışman Seçimi
👉 En pahalı hatadır
35. ISO 27001 MALİYETİ VE SÜRE İLİŞKİSİ
📌 KURAL:
Süre uzadıkça maliyet artar
🎯 OPTİMUM SENARYO:
- Doğru danışman
- Hızlı kurulum
- Tek seferde denetim geçişi
36. MALİYET NASIL DÜŞÜRÜLÜR?
✔ 1. Doğru Danışman Seçimi
✔ 2. Süreçleri Basitleştirme
✔ 3. Gereksiz kontrollerden kaçınma
✔ 4. Eğitimleri doğru planlama
37. ISO 27001 YATIRIM MI, GİDER Mİ?
🚀 GERÇEK CEVAP:
👉 Yatırım
📈 SAĞLADIĞI KAZANÇLAR
- Yeni müşteri
- İhale avantajı
- Güven artışı
- Veri ihlali riskinin azalması
38. ISO 27001 OLMAMANIN MALİYETİ
❗ GERÇEK MALİYET:
- Veri ihlali
- Müşteri kaybı
- KVKK cezası
- İtibar kaybı
39. SEKTÖRE GÖRE MALİYET ANALİZİ
💻 Yazılım Firmaları
Orta – yüksek
🛒 E-ticaret
Orta
🏭 Üretim
Değişken
🏥 Sağlık
Yüksek (kritik veri)
40. ISO 27001 ROI
📊 ORTALAMA ETKİ
- %30 daha fazla müşteri güveni
- %20 daha fazla iş fırsatı
- %40 daha düşük risk
41. ISO 27001 MALİYET HESAPLAMA MANTIĞI
📌 FORMÜL (YAKLAŞIK)
Toplam Maliyet =
Danışmanlık + Belgelendirme + Eğitim + Sistem yatırımı + İç kaynak
42. EN BÜYÜK MALİYET HATALARI
- En ucuz danışmanı seçmek
- Süreci uzatmak
- Kopya doküman kullanmak
43. ISO 27001 MALİYETİ VE ŞİRKET BÜYÜMESİ
ISO 27001 alan firmalar:
✔ Daha hızlı büyür
✔ Daha fazla iş alır
✔ Daha güvenilir görünür
📞 SNG KALİTE İLE ISO 27001
ISO 27001 sürecinizi doğru ve hızlı yönetmek için uzman destek alın.
SNG Kalite
📞 0533 558 38 28
🌐 www.sngkalite.com.tr
📧 info@sngkalite.com.tr
❓ SIK SORULAN SORULAR
ISO 27001 maliyeti sabit mi?
Hayır, firmaya göre değişir.
ISO 27001 pahalı mı?
Hayır, doğru kurulumla maliyet optimize edilir.
ISO 27001 kaç ayda alınır?
Genellikle 1–6 ay.
🚀 SONUÇ
ISO 27001 maliyeti bir gider değil, şirketinizi koruyan stratejik bir yatırımdır.
🚀 SON SÖZ
ISO 27001 artık bir tercih değil, zorunluluğa dönüşen bir standarttır.
Bugün almayan firmalar:
👉 Yarın risk altında
📞 HEMEN BAŞLAYIN
SNG Kalite
📞 0533 558 38 28
🌐 www.sngkalite.com.tr
📧 info@sngkalite.com.tr
