ISO 27001 Uyumluluğu: IT Yöneticileri için Teknik Rehber
İçindekiler
Neden Şimdi? Tehdit Ortamı ve Uyumluluk Baskısı
Kurumsal BT altyapıları artık statik perimeter savunmasının çok ötesine geçmiş durumda. Zero-trust mimarilerinin yaygınlaştığı, bulut-hibrit ortamların norm haline geldiği ve OT/IT konverjansının ivme kazandığı bu dönemde, bilgi güvenliği artık operasyonel süreklilik ve rekabet avantajının doğrudan belirleyicisidir.
Regülatif baskı da paralel biçimde yoğunlaşmaktadır. BDDK, EPDK, BTK ve GİB gibi düzenleyici otoriteler ISO 27001 uyumluluğunu birçok sektörde zorunlu kılarken, Avrupa pazarına açılmayı hedefleyen kuruluşlar için DORA ve NIS2 direktifleri de gündemin üst sıralarına yerleşmiştir.
"Güvenlik bir maliyet kalemi değil; iş sürekliliği yatırımıdır."
— ISO/IEC 27001:2022, Giriş Bölümü
ISO 27001:2022 — Teknik Çerçeve
ISO/IEC 27001, Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulumu, implementasyonu, sürdürülmesi ve sürekli iyileştirilmesi için uluslararası düzeyde kabul görmüş gereksinim setini tanımlar. 2022 revizyonuyla Annex A kontrol sayısı 114'ten 93'e konsolide edilmiş ve kontroller dört tema altında yeniden yapılandırılmıştır:
Standardın özü PDCA döngüsü (Plan-Do-Check-Act) ve risk tabanlı düşüncedir. Kontrol seçimi, kapsamlı bir risk değerlendirmesinden (Madde 6.1.2) ve ardından Statement of Applicability'den türetilmelidir.
Temel Kavramlar: Terminoloji Referansı
| Kavram | Açıklama |
|---|---|
| BGYS Kapsamı | Hangi varlıkların, lokasyonların ve süreçlerin standart kapsamına girdiğini tanımlayan belge. Hatalı kapsam tanımı, sertifikasyon denetimlerinin en yaygın başarısızlık nedenidir. |
| Risk İştahı | Üst yönetimin kabul etmeye hazır olduğu maksimum risk seviyesi. Risk değerlendirme metodolojisinin temelidir. |
| SoA | Annex A kontrollerinin hangilerinin uygulanacağını ve hangilerinin dışlandığını gerekçeleriyle listeleyen temel uyumluluk belgesi (Statement of Applicability). |
| ISMS-as-Code | Politika ve kontrollerin sürüm kontrollü, makine-okunabilir formatlarda yönetilmesi. DevSecOps olgunluk modellerinin üst katmanları için kritiktir. |
| Residual Risk | Kontroller uygulandıktan sonra kalan kabul edilebilir risk seviyesi. SoA ve risk kayıt defteri bu değeri belgelemek zorundadır. |
Uyumluluk için Kritik IT Süreçleri
Varlık Envanteri ve Konfigürasyon Yönetimi A.8.8 · A.8.9
CMDB (Configuration Management Database) olmadan kapsamlı bir BGYS kurmak mümkün değildir. Tüm yazılım, donanım ve bulut varlıklarının gerçek zamanlı keşfi, CVSS skorlarıyla eşleştirilmiş zafiyet yönetimi ve drift detection mekanizmaları zorunlu altyapı bileşenleridir.
SPIDYA BT Varlık ve Konfigurasyon Yönetimi Nedir?Erişim ve Kimlik Yönetimi A.8.2 · A.8.3 · A.8.5
PAM (Privileged Access Management) ve JIT (Just-In-Time) erişim ilkeleri, MFA, RBAC ve least-privilege principle uygulamaları Annex A teknolojik kontrolleri kapsamında değerlendirilir. Zero Standing Privilege modeli, yüksek olgunluk seviyesindeki BGYS'lerin hedef mimarisidir.
Ayrıcalıklı Erişim YönetimiSürekli İzleme ve Log Yönetimi A.8.15 · A.8.16
SIEM mimarisinin log normalizasyon, korelasyon kuralları ve SOAR entegrasyonu boyutlarıyla tasarlanması gerekir. Log bütünlüğü, saklama süresi (≥1 yıl) ve anomali tespiti kapasitesi denetim kriterlerine girer.
Imperum ile Siber Güvenlik Operasyonlarında Fark Yaratİş Sürekliliği ve Olay Müdahalesi A.5.29 · A.5.30
RTO/RPO hedeflerinin iş etki analizine (BIA) dayandırılması ve olay müdahale runbook'larının düzenli tatbikatlarla test edilmesi zorunludur. MTTR metriği, yönetim gözden geçirmelerinde izlenmesi gereken temel KPI'lardan biridir.
Olay Yönetimi ve Monitoring İkisi Bir Arada Daha GüçlüDeğişiklik ve Yama Yönetimi A.8.19 · A.8.32
Değişiklik yönetimi prosedürlerinin CAB (Change Advisory Board) süreçleriyle entegre edilmesi ve her değişikliğin güvenlik etkisinin değerlendirilmesi standardın gereğidir. Kritik yamalar için SLA tabanlı bir takvim oluşturulmalı ve uyumluluk oranı raporlanmalıdır.
Değişiklik YönetimiODYA Teknoloji ile ISO 27001 Yolculuğu
ODYA Teknoloji; kurumların ITIL, COBIT ve ISO standartlarına uyumluluklarını gözetirken BT altyapısının süreklilik, güvenlik ve performansını bütüncül bir çatı altında yönetmelerine olanak tanıyan yerli sistem entegratörü ve yönetilen hizmet sağlayıcısıdır. Aşağıdaki çözüm alanları ISO 27001 uyumluluk sürecini doğrudan destekler:
Gözlemlenebilirlik (Observability)
KARŞILAR → A.8.16 İzleme FaaliyetleriSunucular, ağ bileşenleri, veritabanları, uygulama katmanları ve bulut servisleri dahil tüm BT varlıklarını 7/24 kapsayan izleme platformu. Log korelasyonu, anomali tespiti ve uyarı yönetimi çekirdeğiyle SIEM entegrasyon gereksinimlerini karşılayacak kanıt ve raporlama altyapısı sunar.
Gözlemlenebilirlik Çözümleri →ODYA Automated NOC
KARŞILAR → A.5.26 Olay YönetimiYapay zeka destekli otomatik olay çözümü ile MTTR'yi minimize eder. Her olay kategorize edilerek otomatik kayıt altına alınır — bu kayıtlar denetim sürecinde doğrudan kanıt değeri taşır ve eskalasyon prosedürlerinin izlenebilirliğini sağlar.
ODYA Automated NOC →BT Süreç Otomasyonu
KARŞILAR → A.8.9 Konfigürasyon · A.8.32 DeğişiklikKeşif ve bağımlılık haritalama yetenekleriyle CMDB'yi canlı tutar, konfigürasyon sapmalarını (drift) tespit eder, değişiklik onay iş akışlarını otomatize eder. Her değişiklik için tam denetim izi (audit trail) üretilir.
BT Süreç Otomasyonu →Siber Güvenlik Çözümleri
KARŞILAR → A.8.x Teknolojik KontrollerErişim yönetimi otomasyonu, güvenlik açığı taraması, kimlik yönetimi, web filtreleme ve veri sızıntısı önleme (DLP) bileşenlerini kapsar. Annex A'nın 2022 revizyonuyla zorunlu hale gelen teknolojik kontrollerin büyük bölümünü karşılar.
Siber Güvenlik Çözümleri →Video Analitiği ve Gözetim
KARŞILAR → A.7.x Fiziksel KontrollerFiziksel güvenlik izlemeyi dijital sistemlerle entegre eder. Veri merkezi ve tesis güvenliği kapsamında yetkisiz erişim olaylarını kayıt altına alır — fiziksel ve bilgi güvenliği denetimlerinde kanıt değeri taşıyan veriler üretir.
Video Analitiği ve Gözetim →Yönetilen Hizmetler (Managed Services)
KARŞILAR → Madde 9 Performans DeğerlendirmeAltyapı sağlığı, güvenlik durumu, olay yönetimi ve çözüm süreçlerine ilişkin düzenli raporlar otomatik olarak üretilir. Bu raporlar iç denetçilerin ve bağımsız belgelendirme kuruluşlarının ihtiyaç duyduğu kanıt setini hazır hale getirir.
Yönetilen Hizmetler →Nereden Başlamalı? Uygulama Faz Planı
ISO 27001 bir proje değil, bir süreçtir. Ancak her sürecin başlangıç noktası vardır: kapsamlı bir Boşluk Analizi (Gap Analysis).
Kapsam ve Bağlam
4–6 HaftaOrganizasyonel bağlam analizi (Madde 4), paydaş gereksinimleri ve BGYS kapsam belgesinin hazırlanması. Liderlik taahhüdünün (Madde 5) belgelenmesi.
Risk Değerlendirme ve SoA
6–10 HaftaVarlık envanteri, tehdit modelleme, risk değerlendirme ve Statement of Applicability hazırlığı. ODYA Observability ve CMDB çözümleri bu fazda devreye alınabilir.
Kontrol Implementasyonu
3–6 AyTeknik ve idari kontrollerin devreye alınması, politika ve prosedür dökümantasyonu. ODYA'nın siber güvenlik ve otomasyon çözümleri teknolojik kontrolleri karşılar.
İç Denetim ve Sertifikasyon
4–8 Haftaİç denetim, yönetim gözden geçirmesi, Stage 1 (doküman) ve Stage 2 (saha) dış denetim. ODYA Managed Services raporlaması kanıt setini otomatik olarak üretir.