ISO 27001
ISO 42001
Karşılaştırma
ISO 27001 mi, ISO 42001 mi?
Farklar, Benzerlikler ve
Hangisinden Başlamalısınız?
İki standardın yan yana karşılaştırması, birlikte alınması gereken durumlar ve kurumunuz için doğru uyumluluk yol map.
📅 Mart 2026
⏱ 14 dk okuma
🎯 CISO · GRC · Üst Ynetim
Bir ynetim kurulu toplantısında gündeme gelen soru şyle: “Yapay zeka kullanıyoruz, müşterilerimiz sertifika soruyor. ISO 27001 yeterli değil mi? Bu ISO 42001 de ne?”
Bu soruyu duyan security yneticileri için bu yazı bir yanıt belgesi niteliğinde. İki standardı sıfırdan karşılaştırıyor, aralarındaki ilişkiyi netleştiriyor ve kurumunuzun zelinde hangisinden başlaması gerektiğini somut kıstaslara bağlıyor.
Kısa yanıt: İkisi birbirinin rakibi değil, tamamlayıcısı. Ancak sıralama ve nceliklendirme kuruma gre değişir. Uzun yanıt aşağıda.
Tek Bakışta: ISO 27001 vs ISO 42001
1998 / Rev. 2022
ISO 27001
Bilgi Güvenliği Ynetim Sistemi
🎯 Odak: Varlıkların korunması
🔑 Temel: Gizlilik · Bütünlük · Erişilebilirlik
📋 Control: 93 Ek A kontrolü
🌍 Olgunluk: 40.000+ sertifikalı kuruluş
⚖️ Düzenleme: GDPR, NIS2, BDDK, DDO
Aralık 2023 · YENİ
ISO 42001
Yapay Zeka Ynetim Sistemi
🎯 Odak: AI’nın sorumlu ynetimi
🔑 Temel: Etik · Şeffaflık · Risk
📋 Control: 38+ Ek A kontrolü
🌍 Olgunluk: Hızla büyüyen, yeni ekosistem
⚖️ Düzenleme: AB AI Act, KVKK GenAI
💡 En basit tanımla: ISO 27001, siber saldırılardan ve veri ihlallerinden korunmayı ynetir. ISO 42001, yapay zekanın nyargılı, açıklanamaz veya etik dışı çalışmasından korunmayı ynetir. Biri sistemlerin güvenliği, diğeri sistemlerin dürüstlüğü için vardır.
Derinlemesine Karşılaştırma
| Kriter | ISO 27001 | ISO 42001 |
|---|
| Ne korur? | Bilgi varlıkları (veri, sistem, altyapı) | AI sistemlerinin güvenilirliği ve etiği |
| Tehdit kaynağı | Siber saldırılar, iç tehditler, ihlaller | Önyargı, drift, açıklanamama, ktüye kullanım |
| Kimin için? | Her tür ve lçekteki kuruluş | AI geliştiren, sağlayan veya kullanan kuruluşlar |
| Risk metodolojisi | Varlık tabanlı (asset-based) | AI sistem ve etki tabanlı |
| Control sayısı | 93 kontrol (4 tema) | 38+ kontrol (AI yaşam dngüsü) |
| Sertifika olgunluğu | Çok olgun — 40.000+ sertifika dünyada | Yeni — hızla büyüyen ekosistem |
| Yasal uyum desteği | GDPR, NIS2, BDDK, DDO BIGR | AB AI Act, KVKK GenAI Rehberi |
| Ortalama uygulama süresi | 6–18 ay (lçeğe gre) | 27001 varsa 5–8 ay, yoksa 9–14 ay |
| Temel yapı (metodoloji) | HLS + PUKÖ dngüsü | HLS + PUKÖ dngüsü (aynı) |
| Zorunluluk | Birçok sektrde fiilen zorunlu | Gnüllü, ancak AB AI Act ile kritikleşiyor |
Ortak Zemin: İki Standardın Benzerlikleri
ISO 27001’i tanıyan birinin ISO 42001’e yaklaşımı, yabancı bir ülkeye değil tanıdık ama farklı bir şehre gitmek gibidir. Altyapı aynı, içerik farklı.
Her İki Standartta Ortak Olan Unsurlar
🏗️
high Düzey Yapı (HLS)
10 maddelik aynı iskelet. Bağlam, liderlik, planlama, destek, operasyon, değerlendirme, iyileştirme.
🔄
PUKÖ Metodolojisi
Planla–Uygula–Control Et–Önlem Al dngüsü her ikisinde de temel continuous improvement motoru.
⚠️
Risk Temelli Yaklaşım
Her iki standart da kontrolleri risk değerlendirmesine dayandırır. Metodoloji farklı ama mantık aynı.
🏛️
Üst Ynetim Liderliği
İkisi de politikanın üst ynetim tarafından sahiplenilmesini ve ynetim gzden geçirmesini zorunlu kılar.
📋
Belgelendirme Zorunluluğu
Politika, prosedür, talimat ve kayıt hiyerarşisi aynı mantıkla kurgulanır. Belgeler evidence oluşturur.
🔍
İç Denetim & Sertifika
Her ikisi de iç denetim dngüsü ve akredite CB tarafından iki aşamalı belgelendirme denetimini gerektirir.
🤝
Tedarikçi Ynetimi
Her iki standartta da dış tedarikçilerden kaynaklanan riskler ynetilmeli ve izlenmelidir.
🎓
Farkındalık ve Education
Personelin konu zelinde farkındalık eğitimi alması ve kayıtların tutulması ikisinde de zorunlu.
Kritik Farklar: Yanıltıcı Benzerliğin Ötesi
“HLS yapısı aynı, o zaman ISO 27001 kontrollerini kopyalayıp AI için uyarlarım” düşüncesi en tehlikeli yanılgıdır. İki standardın odaklandığı riskler ve kontrol mantığı kklü biçimde farklıdır.
1
Risk Kaynağı OKen Farklı
ISO 27001
Riskler dışarıdan gelir: siber saldırganlar, ktü niyetli iç kullanıcılar, kazalar. Controller bu tehditlere karşı bariyer kurar.
ISO 42001
Riskler içeriden gelir: modelin kendisinden, eğitim verisinden, tasarım kararlarından. Controller sistemi içten ynetir.
2
Control Ettiğiniz Şey Farklı
ISO 27001
Fiziksel ve dijital varlıkları kontrol eder: sunucular, yazılımlar, kullanıcı erişimleri, şifreleme, yedekleme.
ISO 42001
AI kararlarını, model davranışlarını ve algoritmik süreçleri kontrol eder: nyargı, açıklanabilirlik, etik uyum.
ISO 27001
asset inventoryi: sunucu, veritabanı, uygulama, kişisel veri deposu. Valuei ve gizlilik düzeyi nemli.
ISO 42001
AI sistem inventory: model, kullanım amacı, eğitim verisi kaynağı, AB AI Act risk sınıfı, model kartı.
4
“Başarısızlık” Tanımı Farklı
ISO 27001
Başarısızlık = veri ihlali, yetkisiz erişim, servis kesintisi. Genellikle ani ve fark edilebilir.
ISO 42001
Başarısızlık = nyargılı karar, yanlış sınıflandırma, şeffaf olmayan çıktı. Sinsi, birikimli ve geç fark edilir.
ISO 27001
İnsan = tehdit kaynağı veya zayıf halka. Farkındalık eğitimi, erişim kontrolü, davranış izleme odaklı.
ISO 42001
İnsan = güvence mekanizması. “Human-in-the-loop” yani insan gzetimi, yüksek riskli AI kararlarında zorunlu security katmanı.
Neden Bu Belgelendirmelere İhtiyaç Var?
“Sertifika alamasak ne olur?” sorusunun üç farklı yanıtı var: iş kaybı, yasal risk ve operasyonel kırılganlık. Her ikisi için bu üç boyutu ayrı ayrı ele alıyoruz.
ISO 27001 Olmadan Risk
💼
İş kaybı: Büyük kurumsal müşteriler ve kamu ihaleleri ISO 27001 şartı koyuyor. Sertifika yoksa teklif bile verilemiyor.
⚖️
Yasal risk: KVKK, BDDK ve DDO düzenlemeleri bilgi güvenliği governanceini fiilen zorunlu kılıyor.
🔓
Operasyonel risk: Belgelenmiş security kontrolleri olmadan veri ihlali sonrası hem teknik hem hukuki savunma yapmak çok daha zor.
🏦
Sigortacılık: Siber sigorta primlerinde ISO 27001 sertifikası nemli bir indirim kriteri haline geliyor.
ISO 42001 Olmadan Risk
🇪🇺
AB pazarı riski: AB AI Act uyumsuzluğunda €35M veya global cironun %7’si ceza. ISO 42001 bu uyumu evidencelamanın en pratik yolu.
📉
İtibar riski: Önyargılı AI kararları, şeffaf olmayan sistem çıktıları kamuoyunda hızla viral olabiliyor. Ynetişim evidenceı yoksa savunma imkânsız.
🔗
Tedarik zinciri baskısı: Büyük kurumlar tedarikçilerinden giderek AI security evidenceı istiyor. Bu dalga THY, Akbank gibi kurumlardan küçük tedarikçilere akıyor.
🏁
Rekabet: ISO 42001 sertifikası henüz nadir. Erken alanlar, sertifikayı farklılaştırıcı bir marka değeri olarak kullanıyor.
Karar Rehberi: Hangisinden Başlamalısınız?
Bu sorunun yanıtı kurumunuzun profiline, AI kullanımına ve mevcut olgunluk seviyesine gre değişir. Aşağıdaki karar mapnı kendi durumunuza gre okuyun:
Karar Ağacı: Nereden Başlayacağım?
🤔 ISO 27001 sertifikanız var mı?
EVET YOLU
Mevcut altyapıya dayalı olarak direkt ISO 42001’e geçebilirsiniz.
✅ ISO 42001’den başlayın
HAYIR YOLU
Kritik AI kullanımınız var mı?
Evet → Paralel başlayın
No → 27001 nce
Karar kriterleriniz için aşağıdaki senaryo tablolarına bakın →
🏢
SENARYO A: ISO 27001 var, AI kullanıyorsunuz
Örnek: Fintech, SaaS, BT hizmet şirketi
Durumunuz:
- 27001 altyapısı kurulu
- AI sistemler üretimde çalışıyor
- customerler AI güvenliği soruyor
Önerilen yaklaşım:
ISO 42001’e hemen başlayın. Mevcut BGYS altyapısını genişletin. Entegre denetim planlayın. Duration: 5–8 ay.
🚀
SENARYO B: ISO 27001 yok, kritik AI kullanıyorsunuz
Örnek: AI-first startup, sağlık teknoloji şirketi
Durumunuz:
- Resmi security governancei yok
- AI çekirdeği oluşturuyor (AI-first)
- AB pazarı hedefleniyor
Önerilen yaklaşım:
ISO 27001 ve 42001’i paralel başlatın. Ortak HLS altyapıyı bir kez kurun, her iki standardı aynı anda kapsamına alın. Kombine denetim hedefleyin. Duration: 12–16 ay.
🏭
SENARYO C: ISO 27001 yok, AI kullanımı sınırlı
Örnek: Geleneksel imalat, perakende, hizmet sektrü
Durumunuz:
- Dijital dnüşüm aşamasında
- AI kullanımı başlangıç seviyesinde
- Temel security ihtiyaçları belirgin
Önerilen yaklaşım:
Önce ISO 27001. Sağlam temel kurun. AI kullanımı büyüdükçe ISO 42001’i ekleyin. İki standardın HLS uyumu geçişi kolaylaştırır. Duration: 8–14 ay + 5–8 ay.
🏦
SENARYO D: Finans/sağlık sektrü, her iki standart kritik
Örnek: Banka, sigorta, e-sağlık platformu
Durumunuz:
- BDDK/KVKK/DDO baskısı yüksek
- AI karar destek sistemleri kritik
- Her iki standart müşteri ve düzenleyici tarafından isteniyor
Önerilen yaklaşım:
İkisi birlikte zorunlu. Entegre ynetim sistemi kurun: tek politika hiyerarşisi, birleşik iç denetim, ortak risk metodolojisi. Kombine sertifika hedefleyin. Duration: 10–14 ay.
İkisini Birlikte Almak: Sinerjiler ve Kazanımlar
İki standardı entegre ynetmek, iki ayrı silo oluşturmaktan çok daha verimli ve etkilidir. İşte birlikte çalışmanın somut faydaları:
Entegre Ynetim Sistemi Kazanımları
⚡
%30–40 Daha Az Belge Yükü
Politika, prosedür ve kayıtlar ortak HLS yapıda birleştiriliyor. İki ayrı sistem yerine tek entegre BGYS-AIMS sistemi.
💰
Kombine Denetim ile Maliyet Tasarrufu
Belgelendirme kuruluşları her iki standardı tek denetimde değerlendirebiliyor. Ayrı ayrı denetimden çok daha ekonomik.
🎯
Tek Risk Metodolojisi
Bilgi güvenliği riskleri ile AI riskleri aynı metodoloji ve araçlarla ynetilir. Risk kaydı, risk iştahı ve eskalasyon prosedürleri birleşik çalışır.
🏛️
Tek Ynetim Yapısı
Bilgi Güvenliği Komitesi, AI governance gündemini de kapsar. Ynetim gzden geçirmesi tek toplantıda her iki sistemi değerlendirir.
📊
Güçlü Pazar Konumlanması
İki sertifikanın bir arada bulunması; hem geleneksel security hem AI güvenliği talep eden müşterilere tam yanıt verir. Rakip farklılaşması güçlüdür.
Entegrasyon Haritası: Hangi Durationçler Nasıl Birleşir?
| Durationç Alanı | ISO 27001 | ISO 42001 | Entegrasyon |
|---|
| Kapsam ve Politika | BGYS Politikası | AI Politikası | Tek üst politika |
| Risk Ynetimi | Bilgi güvenliği riskleri | AI sistem riskleri | Birleşik risk kaydı |
| Varlık/Sistem Envanteri | Bilgi varlık inventory | AI sistem inventory | Ayrı tutulur |
| Tedarikçi Ynetimi | Security gereksinimleri | AI güvenliği maddeleri | Tek szleşme şablonu |
| Olay Ynetimi | Siber security olayları | AI olayları (etik, drift) | Genişletilmiş prosedür |
| İç Denetim | BGYS denetim planı | AIMS denetim planı | Kombine denetim |
| Ynetim Gzden Geçirme | BGYS performansı | AIMS performansı | Tek YGG toplantısı |
Türkiye Bağlamı: Sektre Gre Öncelik Haritası
🏦
Bankacılık & Finans
BDDK ve DDO BIGR zorunluluğu ile ISO 27001 fiilen mecburi. Kredi skorlama ve dolandırıcılık tespitinde AI yaygınlaştıkça ISO 42001 kritik hale geliyor.
27001: Zorunlu
42001: Acil
🏥
health Teknolojisi
Klinik karar destek, grüntü analizi AI sistemleri AB AI Act’te “yüksek riskli” sınıfta. ISO 42001 hem zorunluluk hem de hasta güveni için kritik.
27001: Gerekli
42001: Öncelikli
✈️
Havacılık & Lojistik
EASA ve SHGM security gereksinimleri ISO 27001 ile rtüşüyor. Otonom yük optimizasyonu ve tahminsel bakım AI’larında ISO 42001 nem kazanıyor.
27001: Gerekli
42001: Planla
💻
SaaS & Teknoloji
Company müşteriler her iki sertifikayı vendor security sorularında soruyor. AB pazarı için ikisi birlikte güçlü bir farklılaştırıcı unsur.
27001: Gerekli
42001: Rekabet avantajı
Her İki Standart İçin Tek Danışman
ISO 27001 ve ISO 42001’i birlikte entegre eden ynetim sistemi tasarımı, gap analizi, belge geliştirme ve belgelendirme sürecinin ynetimi konusunda deneyimli ekibimizle yanınızdayız.
Sonuç: Rakip Değil, Ortak
ISO 27001 ve ISO 42001 aynı soruya farklı cephelerden yanıt veriyor: “Sistemlerimize güvenilir miyiz?” Biri güvenliği, diğeri dürüstlüğü ynetiyor. Biri saldırganlardan koruyor, diğeri sistemin kendisinden.
AI kullanan her kuruluş için orta vadede iki standardın da bulunması kaçınılmaz hale geliyor. Düzenleyici baskı, müşteri talepleri ve tedarik zinciri gereksinimleri bu ynde ilerliyor.
Sıralama ve hız, kurumunuzun profiline gre belirlenmeli. Ancak şurası kesin: Bu iki standardı entegre bir ynetim sistemi olarak tasarlamak, ayrı ayrı uygulamaktan hem daha verimli hem daha sürdürülebilir.
Başlamak için mükemmel bir an beklemeye gerek yok. Gap analizi ile mevcut durumunuzu netleştirmek, en az maliyetle en fazla netliği sağlayan ilk adımdır.
🏷️ Etiketler:
ISO 27001
ISO 42001
Karşılaştırma
Entegre Ynetim Sistemi
AI Ynetişimi
Bilgi Güvenliği
AB AI Act
BDDK Uyumluluk
GRC
AIMS BGYS
