📋 ISO 27001 Uygulama Rehberi
ISO 27001 İç Denetim Nasıl Yapılır? Adım Adım Uygulama Rehberi
BGYS iç tetkik sürecini doğru planlamak, yürütmek ve raporlamak için kapsamlı rehber. En yaygın 7 hata, örnek zaman planı ve hazır kontrol listesi dahil.
📖 İçindekiler
ISO 27001 sertifikası almanın önündeki en büyük engellerden biri, iç denetim sürecini yanlış uygulamak ya da göstermelik yapmaktır. Dış tetkikçi gelmeden önce kendi ev ödevinizi doğru yapmazsanız, sertifika süreciniz sürpriz bulgularla sekteye uğrar. Bu rehber, bilgi güvenliği ekiplerinin gerçek bir iç denetimi nasıl yürütmesi gerektiğini tüm ayrıntılarıyla ele alıyor.
1İç Denetim Neden Kritiktir?
ISO 27001:2022 standardının Madde 9.2 kapsamında planlı aralıklarla gerçekleştirilmesi zorunlu olan iç denetim, yalnızca bir uyum zorunluluğu değildir. Organizasyonun BGYS’nin gerçekten işlediğini, politikaların sahaya yansıdığını ve risklerin yönetildiğini doğrulamanın en güvenilir mekanizmasıdır. Pek çok şirket iç denetimi “belge toplama egzersizine” indirger. Oysa etkin bir iç denetim; süreç sahiplerini hesap verebilir kılar, aksiyon noktalarını zamanlı tespit eder ve dış tetkikçiye güçlü bir hazırlık sinyali gönderir.%73
ISO 27001 dış tetkiklerinde iç denetimden kaçırılan bulgular tespit ediliyor
3×
Etkin iç denetim yapan kurumlar sertifika yenileme başarısını 3 katına çıkarıyor
9.2
ISO 27001:2022 madde numarası — iç denetim zorunluluğunun normatif dayanağı
ISO 27001:2022 Değişikliği: 2013 versiyonuna kıyasla 2022 revizyonu, iç tetkik programının daha esnek yönetilmesine izin verirken tetkikçi bağımsızlığı ve yeterlilik kanıtlama gerekliliklerini güçlendirdi. 2022 geçişini tamamlamayan kurumlar Ekim 2025 sonrasında geçerli sertifikaya sahip sayılmamaktadır.
2Denetim Süreci: 4 Ana Aşama
ISO 27001 iç denetimi dört birbirine bağlı aşamadan oluşur. Her aşamanın çıktısı, bir sonraki aşamanın girdisini oluşturur.ISO 27001 İç Denetim Süreci
📋
Planlama
Kapsam, takvim, tetkikçi ataması
🔍
Yürütme
Görüşmeler, belge inceleme, saha gözlemi
📝
Raporlama
Bulgu sınıflandırma, kanıt kaydı, taslak rapor
✅
Takip
DÖF açma, kapatma, etkinlik doğrulama
Planlama Aşaması
Denetim programı yıllık olarak hazırlanmalı ve üst yönetim onayına sunulmalıdır. Planlama aşamasında kritik kararlar verilir: hangi birimlerin denetime alınacağı, tetkikçilerin belirlenmesi (kendi faaliyetlerini denetleyemez!), denetim kriterleri ve kullanılacak kontrol listelerinin seçimi. Risk bazlı yaklaşım zorunludur: yüksek riskli süreçler ve kontrol alanları öncelikli denetime alınmalıdır. Bir önceki iç denetim bulguları ile dış tetkik gözlemleri de denetim odağını şekillendirir.Yürütme Aşaması
Açılış toplantısıyla başlayan yürütme fazında tetkikçi; birim yöneticisi ve süreç sahipleriyle görüşür, politika ve prosedür belgelerini inceler, kayıt ve kanıtları örneklem yoluyla doğrular ve mümkünse saha gözlemi yapar. Tüm bulgular kanıtla desteklenmelidir: ekran görüntüsü, tutanak, belge versiyonu veya görüşme notu.Önemli: “Belge var mı?” sorusu yeterli değildir. “Belge güncel mi, personel biliyor mu, pratikte uygulanıyor mu?” üç sorusu birlikte sorulmalıdır. ISO 27001 dış tetkikçileri bu üç boyutu ayrı ayrı test eder.
Raporlama ve Takip Aşamaları
Kapanış toplantısında bulgular birim yöneticisiyle paylaşılır, itirazlar alınır. Nihai rapor bulgu türlerine göre sınıflandırılmış, DÖF (Düzeltici Önleyici Faaliyet) referansları içermeli ve yönetim gözden geçirmesine sunulmaya hazır formatta olmalıdır.3Kapsam: Hangi ISO 27001 Maddeleri Denetlenir?
ISO 27001:2022, Madde 4–10 arasındaki gereklilikler ile Ek A kontrollerini kapsar. Yıllık denetim programı tüm maddeleri döngüsel olarak kapsamalı, ancak her turda hepsini detaylı ele almak zorunda değildir.ISO 27001:2022 — Temel Denetim Alanları
Madde 4
Bağlam ve İlgili Taraflar
BGYS kapsamı, iç/dış konular
Madde 5
Liderlik ve Taahhüt
Politika, roller, sorumluluklar
Madde 6
Planlama
Risk değerlendirme, risk işleme planı
Madde 7
Destek
Kaynaklar, yeterlilik, iletişim
Madde 8
Operasyon
Süreç kontrolü, tedarikçi yönetimi
Madde 9
Performans Değerlendirme
İzleme, ölçüm, iç tetkik, YGG
Madde 10
İyileştirme
Uygunsuzluk, DÖF yönetimi
Ek A
93 Kontrol
Organizasyonel, teknolojik, fiziksel
4Bulgu Türleri ve Tanımları
ISO 19011 rehber standardı ve denetim pratiği, iç denetim bulgularını üç ana kategoride sınıflandırır. Bu sınıflandırmayı doğru uygulamak hem DÖF sürecini hem de yönetim raporlamasını etkiler.Majör NC
Büyük Uygunsuzluk
Standardın bir maddesinin tamamen karşılanmaması; sistemik başarısızlık; veya kritik bir sürecin hiç uygulanmaması.Minör NC
Küçük Uygunsuzluk
Gereklilikten izole sapma; belgede eksiklik; nadiren uygulanan tek bir kontrol kalemi.Gözlem
Gözlem / Öneri
Şu an uygunsuzluk değil, ama iyileştirme yapılmadığında ileride risk oluşturabilecek alan.Pratik İpucu: Bir bulguyu hemen “majör” sınıflandırmak yerine sistematik etki değerlendirmesi yapın. Tek bir kayıtta eksik imza minör’dür; tüm departmanda imza alınmaması sistematik olduğundan majöre dönebilir. Sınıflandırma gerekçesi raporda mutlaka belgelenmelidir.
5En Yaygın 7 Hata
Yıllar içinde yüzlerce BGYS iç denetimini inceleyen deneyimlerimizden derlediğimiz en sık yapılan hatalar ve her biri için pratik çözüm önerisi:1
Kendi Çalışmasını Denetlemek
BGYS yöneticisi aynı zamanda iç tetkikçi olarak atanıyor. ISO 19011 açıkça tetkikçi bağımsızlığını zorunlu kılıyor.Farklı birimden yetkin personel atayın veya harici iç tetkikçi hizmeti alın.
2
Kontrol Listesini Ezberden Doldurmak
Gerçek kanıt toplamadan, önceki yıl cevaplarını kopyalanarak doldurulan denetim formları hiçbir değer üretmez.Her “evet” yanıtı bir kanıt referansı içermelidir: belge no, ekran görüntüsü, tutanak tarihi.
3
SoA’yı Denetimde Dikkate Almamak
Uygulanabilirlik Bildirimi’ni güncellemeden veya referans almadan yapılan denetim, kritik boşluklara kör kalır.Denetim planını SoA üzerinden oluşturun; her kontrol için uygulama kanıtı talep edin.
4
Risk İşleme Planını Kontrol Etmemek
Belge denetimi yapılıyor, ancak risk kayıt defteri ve risk işleme planının güncelliği sorgulanmıyor.Madde 6.1 kapsamında risk değerlendirme tarihini ve risk sahiplerini örneklem yoluyla doğrulayın.
5
Tedarikçi Yönetimini Atlamak
Ek A kontrollerinden A.5.19–A.5.22 kapsamındaki tedarikçi güvenliği sıklıkla denetim dışı bırakılıyor.Kritik tedarikçi listesini ve ilgili güvenlik maddelerini sözleşme bazında örneklendirin.
6
Bulguları Zamanında Kapatmamak
Açık DÖF’ler yönetim gözden geçirmesinde arka planda kalıyor, dış tetkikte tekrar karşımıza çıkıyor.Her bulgu için kapatma tarihi ve sorumlusu atanmalı; aylık takip mekanizması kurulmalıdır.
7
Farkındalık Eğitimini Belgelememek
Eğitim yapılıyor ama katılım kayıtları, sınav sonuçları veya içerik onay belgeleri tutulmuyor.LMS kaydı, imzalı katılım listesi veya e-posta onayı gibi kanıtları sistematik arşivleyin.
6Örnek Denetim Takvimi (8 Hafta)
Orta ölçekli bir organizasyon için önerdiğimiz iç denetim takvimi aşağıdadır. Kapsam ve birim sayısına göre ±2 hafta esneklik sağlanabilir.Hafta 1–2
🗓 Planlama ve Hazırlık
Denetim programının onaylanması · Tetkikçi görevlendirme yazıları · Kontrol listelerinin hazırlanması · Birimlere bildirim ve takvim paylaşımı
Hafta 3
📄 Belge İncelemesi
Politika, prosedür ve kayıtların ön incelemesi · SoA ve risk kayıt defteri gözden geçirme · Önceki denetim bulgularının takip durumu
Hafta 4–5
🏢 Saha Denetimleri
Birim bazlı görüşmeler · Teknik kontroller (log yönetimi, erişim hakları, yedekleme testleri) · Fiziksel güvenlik turları · Farkındalık sınavları veya spot kontroller
Hafta 6
📊 Bulgu Değerlendirme
Toplanan kanıtların sınıflandırılması · Bulgu taslakları üzerinde ekip içi kalibrasyon · Birim yöneticileriyle doğrulama görüşmeleri
Hafta 7
📝 Raporlama
Kapanış toplantısı · Nihai denetim raporunun hazırlanması · DÖF formlarının açılması · Üst yönetime sunum
Hafta 8 →
🔄 Takip Süreci
DÖF aksiyon planlarının birim bazında devreye alınması · Yönetim Gözden Geçirme gündem maddesine ekleme · Bir sonraki denetim döngüsü için ön planlama
7Denetim Başlangıç Kontrol Listesi
Denetim sahasına girmeden önce aşağıdaki hazırlıkların tamamlanmış olması, hem tetkikçi hem de birim için süreci önemli ölçüde kolaylaştırır.✅ Tetkikçi Hazırlık Listesi
Denetim planı onaylandı ve birimlere iletildi
Tetkikçi yeterlilik kanıtları dosyalandı
Kontrol listeleri güncel ISO 27001:2022’ye göre hazırlandı
SoA’nın güncel versiyonu temin edildi
Önceki denetim bulguları ve DÖF durumu incelendi
Risk kayıt defteri ve risk işleme planı alındı
Birim prosedürleri ve politikaların listesi alındı
Görüşme soru setleri hazırlandı (Madde 4–10 + Ek A)
Kanıt formu / denetim çalışma kağıtları hazır
Açılış ve kapanış toplantı takvimleri netleştirildi
Gizlilik taahhüdü formları imzalandı (gerekiyorsa)
Teknik erişim talepleri (SIEM, IAM logları) iletildi
8Sonuç: Denetim Bir Yük Değil, Güçtür
ISO 27001 iç denetimini yalnızca sertifika zorunluluğu olarak görmek, kurumun siber güvenlik olgunluğuna en önemli katkılardan birini kaçırmak demektir. Gerçek anlamda icra edilen bir iç denetim programı; güvenlik açıklarını zamanlı tespit eder, çalışanları hesap verebilir kılar ve yönetimin bilinçli karar almasını sağlar. Tetkikçi yetkinliği, bağımsızlık ilkesi ve kanıt bazlı yaklaşım olmak üzere üç temel direği olan iç denetim programlarını kuran organizasyonlar, dış tetkikten çok daha az bulguyla çıkmakta ve sertifika yenileme süreçlerini sorunsuz atlatmaktadır.Tetkikçi Yetkinliğini Artırmak İstiyorsanız: Secure Fors’un ISO 27001:2022 İç Tetkikçi Eğitimi, pratik denetim simülasyonları ve gerçek bulgu değerlendirme egzersizleriyle tetkikçilerinizi sertifikaya hazır hale getirir. Grup ve bireysel katılım seçenekleri mevcuttur.
ISO 27001 İç Denetim Programınızı Güçlendirin
Deneyimli BGYS danışmanlarımız iç denetim programınızı tasarlamanıza, tetkikçilerinizi eğitmenize ve mevcut bulgularınızı kapatmanıza destek olur. Ücretsiz Danışma Alın → İç Tetkikçi EğitimiISO 27001 Danışmanlığı İçin Bize Ulaşın
Secure Fors olarak, ISO 27001 iç denetim süreçleri dahil BGYS kurulumu ve yönetimi konusunda uçtan uca danışmanlık sunuyoruz.
👉 ISO 27001 BGYS Danışmanlığı hizmetimiz hakkında detaylı bilgi alın →
Ayrıca TPRM – Tedarikçi Bilgi Güvenliği Hizmetlerimiz ile tedarik zincirinizi güvence altına alın.
