ISO 27001
ISO 42001
Karşılaştırma
ISO 27001 mi, ISO 42001 mi?
Farklar, Benzerlikler ve
Hangisinden Başlamalısınız?
İki standardın yan yana karşılaştırması, birlikte alınması gereken durumlar ve kurumunuz için doğru uyumluluk yol haritası.
📅 Mart 2026
⏱ 14 dk okuma
🎯 CISO · GRC · Üst Yönetim
Bir yönetim kurulu toplantısında gündeme gelen soru şöyle: “Yapay zeka kullanıyoruz, müşterilerimiz sertifika soruyor. ISO 27001 yeterli değil mi? Bu ISO 42001 de ne?”
Bu soruyu duyan güvenlik yöneticileri için bu yazı bir yanıt belgesi niteliğinde. İki standardı sıfırdan karşılaştırıyor, aralarındaki ilişkiyi netleştiriyor ve kurumunuzun özelinde hangisinden başlaması gerektiğini somut kıstaslara bağlıyor.
Kısa yanıt: İkisi birbirinin rakibi değil, tamamlayıcısı. Ancak sıralama ve önceliklendirme kuruma göre değişir. Uzun yanıt aşağıda.
Tek Bakışta: ISO 27001 vs ISO 42001
1998 / Rev. 2022
ISO 27001
Bilgi Güvenliği Yönetim Sistemi
🎯 Odak: Varlıkların korunması
🔑 Temel: Gizlilik · Bütünlük · Erişilebilirlik
📋 Kontrol: 93 Ek A kontrolü
🌍 Olgunluk: 40.000+ sertifikalı kuruluş
⚖️ Düzenleme: GDPR, NIS2, BDDK, DDO
Aralık 2023 · YENİ
ISO 42001
Yapay Zeka Yönetim Sistemi
🎯 Odak: AI’nın sorumlu yönetimi
🔑 Temel: Etik · Şeffaflık · Risk
📋 Kontrol: 38+ Ek A kontrolü
🌍 Olgunluk: Hızla büyüyen, yeni ekosistem
⚖️ Düzenleme: AB AI Act, KVKK GenAI
💡 En basit tanımla: ISO 27001, siber saldırılardan ve veri ihlallerinden korunmayı yönetir. ISO 42001, yapay zekanın önyargılı, açıklanamaz veya etik dışı çalışmasından korunmayı yönetir. Biri sistemlerin güvenliği, diğeri sistemlerin dürüstlüğü için vardır.
Derinlemesine Karşılaştırma
| Kriter |
ISO 27001 |
ISO 42001 |
| Ne korur? |
Bilgi varlıkları (veri, sistem, altyapı) |
AI sistemlerinin güvenilirliği ve etiği |
| Tehdit kaynağı |
Siber saldırılar, iç tehditler, ihlaller |
Önyargı, drift, açıklanamama, kötüye kullanım |
| Kimin için? |
Her tür ve ölçekteki kuruluş |
AI geliştiren, sağlayan veya kullanan kuruluşlar |
| Risk metodolojisi |
Varlık tabanlı (asset-based) |
AI sistem ve etki tabanlı |
| Kontrol sayısı |
93 kontrol (4 tema) |
38+ kontrol (AI yaşam döngüsü) |
| Sertifika olgunluğu |
Çok olgun — 40.000+ sertifika dünyada |
Yeni — hızla büyüyen ekosistem |
| Yasal uyum desteği |
GDPR, NIS2, BDDK, DDO BİGR |
AB AI Act, KVKK GenAI Rehberi |
| Ortalama uygulama süresi |
6–18 ay (ölçeğe göre) |
27001 varsa 5–8 ay, yoksa 9–14 ay |
| Temel yapı (metodoloji) |
HLS + PUKÖ döngüsü |
HLS + PUKÖ döngüsü (aynı) |
| Zorunluluk |
Birçok sektörde fiilen zorunlu |
Gönüllü, ancak AB AI Act ile kritikleşiyor |
Ortak Zemin: İki Standardın Benzerlikleri
ISO 27001’i tanıyan birinin ISO 42001’e yaklaşımı, yabancı bir ülkeye değil tanıdık ama farklı bir şehre gitmek gibidir. Altyapı aynı, içerik farklı.
Her İki Standartta Ortak Olan Unsurlar
🏗️
Yüksek Düzey Yapı (HLS)
10 maddelik aynı iskelet. Bağlam, liderlik, planlama, destek, operasyon, değerlendirme, iyileştirme.
🔄
PUKÖ Metodolojisi
Planla–Uygula–Kontrol Et–Önlem Al döngüsü her ikisinde de temel sürekli iyileştirme motoru.
⚠️
Risk Temelli Yaklaşım
Her iki standart da kontrolleri risk değerlendirmesine dayandırır. Metodoloji farklı ama mantık aynı.
🏛️
Üst Yönetim Liderliği
İkisi de politikanın üst yönetim tarafından sahiplenilmesini ve yönetim gözden geçirmesini zorunlu kılar.
📋
Belgelendirme Zorunluluğu
Politika, prosedür, talimat ve kayıt hiyerarşisi aynı mantıkla kurgulanır. Belgeler kanıt oluşturur.
🔍
İç Denetim & Sertifika
Her ikisi de iç denetim döngüsü ve akredite CB tarafından iki aşamalı belgelendirme denetimini gerektirir.
🤝
Tedarikçi Yönetimi
Her iki standartta da dış tedarikçilerden kaynaklanan riskler yönetilmeli ve izlenmelidir.
🎓
Farkındalık ve Eğitim
Personelin konu özelinde farkındalık eğitimi alması ve kayıtların tutulması ikisinde de zorunlu.
Kritik Farklar: Yanıltıcı Benzerliğin Ötesi
“HLS yapısı aynı, o zaman ISO 27001 kontrollerini kopyalayıp AI için uyarlarım” düşüncesi en tehlikeli yanılgıdır. İki standardın odaklandığı riskler ve kontrol mantığı köklü biçimde farklıdır.
1
Risk Kaynağı Tamamen Farklı
ISO 27001
Riskler dışarıdan gelir: siber saldırganlar, kötü niyetli iç kullanıcılar, kazalar. Kontroller bu tehditlere karşı bariyer kurar.
ISO 42001
Riskler içeriden gelir: modelin kendisinden, eğitim verisinden, tasarım kararlarından. Kontroller sistemi içten yönetir.
2
Kontrol Ettiğiniz Şey Farklı
ISO 27001
Fiziksel ve dijital varlıkları kontrol eder: sunucular, yazılımlar, kullanıcı erişimleri, şifreleme, yedekleme.
ISO 42001
AI kararlarını, model davranışlarını ve algoritmik süreçleri kontrol eder: önyargı, açıklanabilirlik, etik uyum.
3
Envanter Mantığı Farklı
ISO 27001
Varlık envanteri: sunucu, veritabanı, uygulama, kişisel veri deposu. Değeri ve gizlilik düzeyi önemli.
ISO 42001
AI sistem envanteri: model, kullanım amacı, eğitim verisi kaynağı, AB AI Act risk sınıfı, model kartı.
4
“Başarısızlık” Tanımı Farklı
ISO 27001
Başarısızlık = veri ihlali, yetkisiz erişim, servis kesintisi. Genellikle ani ve fark edilebilir.
ISO 42001
Başarısızlık = önyargılı karar, yanlış sınıflandırma, şeffaf olmayan çıktı. Sinsi, birikimli ve geç fark edilir.
ISO 27001
İnsan = tehdit kaynağı veya zayıf halka. Farkındalık eğitimi, erişim kontrolü, davranış izleme odaklı.
ISO 42001
İnsan = güvence mekanizması. “Human-in-the-loop” yani insan gözetimi, yüksek riskli AI kararlarında zorunlu güvenlik katmanı.
Neden Bu Belgelendirmelere İhtiyaç Var?
“Sertifika alamasak ne olur?” sorusunun üç farklı yanıtı var: iş kaybı, yasal risk ve operasyonel kırılganlık. Her ikisi için bu üç boyutu ayrı ayrı ele alıyoruz.
ISO 27001 Olmadan Risk
💼
İş kaybı: Büyük kurumsal müşteriler ve kamu ihaleleri ISO 27001 şartı koyuyor. Sertifika yoksa teklif bile verilemiyor.
⚖️
Yasal risk: KVKK, BDDK ve DDO düzenlemeleri bilgi güvenliği yönetişimini fiilen zorunlu kılıyor.
🔓
Operasyonel risk: Belgelenmiş güvenlik kontrolleri olmadan veri ihlali sonrası hem teknik hem hukuki savunma yapmak çok daha zor.
🏦
Sigortacılık: Siber sigorta primlerinde ISO 27001 sertifikası önemli bir indirim kriteri haline geliyor.
ISO 42001 Olmadan Risk
🇪🇺
AB pazarı riski: AB AI Act uyumsuzluğunda €35M veya global cironun %7’si ceza. ISO 42001 bu uyumu kanıtlamanın en pratik yolu.
📉
İtibar riski: Önyargılı AI kararları, şeffaf olmayan sistem çıktıları kamuoyunda hızla viral olabiliyor. Yönetişim kanıtı yoksa savunma imkânsız.
🔗
Tedarik zinciri baskısı: Büyük kurumlar tedarikçilerinden giderek AI güvenlik kanıtı istiyor. Bu dalga THY, Akbank gibi kurumlardan küçük tedarikçilere akıyor.
🏁
Rekabet: ISO 42001 sertifikası henüz nadir. Erken alanlar, sertifikayı farklılaştırıcı bir marka değeri olarak kullanıyor.
Karar Rehberi: Hangisinden Başlamalısınız?
Bu sorunun yanıtı kurumunuzun profiline, AI kullanımına ve mevcut olgunluk seviyesine göre değişir. Aşağıdaki karar haritasını kendi durumunuza göre okuyun:
Karar Ağacı: Nereden Başlayacağım?
🤔 ISO 27001 sertifikanız var mı?
EVET YOLU
Mevcut altyapıya dayalı olarak direkt ISO 42001’e geçebilirsiniz.
✅ ISO 42001’den başlayın
HAYIR YOLU
Kritik AI kullanımınız var mı?
Evet → Paralel başlayın
Hayır → 27001 önce
Karar kriterleriniz için aşağıdaki senaryo tablolarına bakın →
🏢
SENARYO A: ISO 27001 var, AI kullanıyorsunuz
Örnek: Fintech, SaaS, BT hizmet şirketi
Durumunuz:
- 27001 altyapısı kurulu
- AI sistemler üretimde çalışıyor
- Müşteriler AI güvenliği soruyor
Önerilen yaklaşım:
ISO 42001’e hemen başlayın. Mevcut BGYS altyapısını genişletin. Entegre denetim planlayın. Süre: 5–8 ay.
🚀
SENARYO B: ISO 27001 yok, kritik AI kullanıyorsunuz
Örnek: AI-first startup, sağlık teknoloji şirketi
Durumunuz:
- Resmi güvenlik yönetişimi yok
- AI çekirdeği oluşturuyor (AI-first)
- AB pazarı hedefleniyor
Önerilen yaklaşım:
ISO 27001 ve 42001’i paralel başlatın. Ortak HLS altyapıyı bir kez kurun, her iki standardı aynı anda kapsamına alın. Kombine denetim hedefleyin. Süre: 12–16 ay.
🏭
SENARYO C: ISO 27001 yok, AI kullanımı sınırlı
Örnek: Geleneksel imalat, perakende, hizmet sektörü
Durumunuz:
- Dijital dönüşüm aşamasında
- AI kullanımı başlangıç seviyesinde
- Temel güvenlik ihtiyaçları belirgin
Önerilen yaklaşım:
Önce ISO 27001. Sağlam temel kurun. AI kullanımı büyüdükçe ISO 42001’i ekleyin. İki standardın HLS uyumu geçişi kolaylaştırır. Süre: 8–14 ay + 5–8 ay.
🏦
SENARYO D: Finans/sağlık sektörü, her iki standart kritik
Örnek: Banka, sigorta, e-sağlık platformu
Durumunuz:
- BDDK/KVKK/DDO baskısı yüksek
- AI karar destek sistemleri kritik
- Her iki standart müşteri ve düzenleyici tarafından isteniyor
Önerilen yaklaşım:
İkisi birlikte zorunlu. Entegre yönetim sistemi kurun: tek politika hiyerarşisi, birleşik iç denetim, ortak risk metodolojisi. Kombine sertifika hedefleyin. Süre: 10–14 ay.
İkisini Birlikte Almak: Sinerjiler ve Kazanımlar
İki standardı entegre yönetmek, iki ayrı silo oluşturmaktan çok daha verimli ve etkilidir. İşte birlikte çalışmanın somut faydaları:
Entegre Yönetim Sistemi Kazanımları
⚡
%30–40 Daha Az Belge Yükü
Politika, prosedür ve kayıtlar ortak HLS yapıda birleştiriliyor. İki ayrı sistem yerine tek entegre BGYS-AIMS sistemi.
💰
Kombine Denetim ile Maliyet Tasarrufu
Belgelendirme kuruluşları her iki standardı tek denetimde değerlendirebiliyor. Ayrı ayrı denetimden çok daha ekonomik.
🎯
Tek Risk Metodolojisi
Bilgi güvenliği riskleri ile AI riskleri aynı metodoloji ve araçlarla yönetilir. Risk kaydı, risk iştahı ve eskalasyon prosedürleri birleşik çalışır.
🏛️
Tek Yönetim Yapısı
Bilgi Güvenliği Komitesi, AI yönetişim gündemini de kapsar. Yönetim gözden geçirmesi tek toplantıda her iki sistemi değerlendirir.
📊
Güçlü Pazar Konumlanması
İki sertifikanın bir arada bulunması; hem geleneksel güvenlik hem AI güvenliği talep eden müşterilere tam yanıt verir. Rakip farklılaşması güçlüdür.
Entegrasyon Haritası: Hangi Süreçler Nasıl Birleşir?
| Süreç Alanı |
ISO 27001 |
ISO 42001 |
Entegrasyon |
| Kapsam ve Politika |
BGYS Politikası |
AI Politikası |
Tek üst politika |
| Risk Yönetimi |
Bilgi güvenliği riskleri |
AI sistem riskleri |
Birleşik risk kaydı |
| Varlık/Sistem Envanteri |
Bilgi varlık envanteri |
AI sistem envanteri |
Ayrı tutulur |
| Tedarikçi Yönetimi |
Güvenlik gereksinimleri |
AI güvenliği maddeleri |
Tek sözleşme şablonu |
| Olay Yönetimi |
Siber güvenlik olayları |
AI olayları (etik, drift) |
Genişletilmiş prosedür |
| İç Denetim |
BGYS denetim planı |
AIMS denetim planı |
Kombine denetim |
| Yönetim Gözden Geçirme |
BGYS performansı |
AIMS performansı |
Tek YGG toplantısı |
Türkiye Bağlamı: Sektöre Göre Öncelik Haritası
🏦
Bankacılık & Finans
BDDK ve DDO BİGR zorunluluğu ile ISO 27001 fiilen mecburi. Kredi skorlama ve dolandırıcılık tespitinde AI yaygınlaştıkça ISO 42001 kritik hale geliyor.
27001: Zorunlu
42001: Acil
🏥
Sağlık Teknolojisi
Klinik karar destek, görüntü analizi AI sistemleri AB AI Act’te “yüksek riskli” sınıfta. ISO 42001 hem zorunluluk hem de hasta güveni için kritik.
27001: Gerekli
42001: Öncelikli
✈️
Havacılık & Lojistik
EASA ve SHGM güvenlik gereksinimleri ISO 27001 ile örtüşüyor. Otonom yük optimizasyonu ve tahminsel bakım AI’larında ISO 42001 önem kazanıyor.
27001: Gerekli
42001: Planla
💻
SaaS & Teknoloji
Kurumsal müşteriler her iki sertifikayı vendor güvenlik sorularında soruyor. AB pazarı için ikisi birlikte güçlü bir farklılaştırıcı unsur.
27001: Gerekli
42001: Rekabet avantajı
Her İki Standart İçin Tek Danışman
ISO 27001 ve ISO 42001’i birlikte entegre eden yönetim sistemi tasarımı, gap analizi, belge geliştirme ve belgelendirme sürecinin yönetimi konusunda deneyimli ekibimizle yanınızdayız.
Sonuç: Rakip Değil, Ortak
ISO 27001 ve ISO 42001 aynı soruya farklı cephelerden yanıt veriyor: “Sistemlerimize güvenilir miyiz?” Biri güvenliği, diğeri dürüstlüğü yönetiyor. Biri saldırganlardan koruyor, diğeri sistemin kendisinden.
AI kullanan her kuruluş için orta vadede iki standardın da bulunması kaçınılmaz hale geliyor. Düzenleyici baskı, müşteri talepleri ve tedarik zinciri gereksinimleri bu yönde ilerliyor.
Sıralama ve hız, kurumunuzun profiline göre belirlenmeli. Ancak şurası kesin: Bu iki standardı entegre bir yönetim sistemi olarak tasarlamak, ayrı ayrı uygulamaktan hem daha verimli hem daha sürdürülebilir.
Başlamak için mükemmel bir an beklemeye gerek yok. Gap analizi ile mevcut durumunuzu netleştirmek, en az maliyetle en fazla netliği sağlayan ilk adımdır.
🏷️ Etiketler:
ISO 27001
ISO 42001
Karşılaştırma
Entegre Yönetim Sistemi
AI Yönetişimi
Bilgi Güvenliği
AB AI Act
BDDK Uyumluluk
GRC
AIMS BGYS
