ISO 42001 Danışmanlık Hizmeti Alırken Nelere Dikkat Etmelisiniz?

AI Yönetişimi ISO 42001 Danışman Seçimi Satın Alma Rehberi

ISO 42001 Danışmanlık Hizmeti Alırken
Nelere Dikkat Etmelisiniz?

7 Kritik Soru · Kırmızı Bayraklar · Değerlendirme Çerçevesi

Ersin Erol — Siber Güvenlik Uzmanı 📅 Mart 2026 11 dakika okuma süresi
Türkiye’de “ISO 42001 danışmanlığı” veren firma sayısı her ay artıyor. Ama standart Aralık 2023’te yayımlandı — yani piyasadaki firmaların büyük çoğunluğunun gerçek proje deneyimi henüz sıfıra yakın. Bu yazı, teklife baktığınızda neyi ölçeceğinizi bilmeniz için yazıldı: doğru soruları, kırmızı bayrakları ve değerlendirme çerçevesini içeriyor.

Neden ISO 42001 Danışman Seçimi Bu Kadar Kritik?

ISO 9001 veya ISO 27001 danışmanı seçmek nispeten kolaylaşmış bir süreç — on yıllık pazar deneyimi var, referans sorabilirsiniz, binlerce sertifikalı kurum var. ISO 42001’de tablo bambaşka:

📅 Ara. 2023 Standardın yayım tarihi — çoğu firma gerçek proje deneyimsiz
🇹🇷 Az Türkiye’de tamamlanmış ISO 42001 sertifikasyon projesi sayısı
⚠️ 3 tip Piyasadaki danışman profili: uzmanlık seviyeleri çok farklı

Standart yeni ve karmaşık olunca, pazarlama ile gerçek uzmanlığı ayırt etmek zorlaşıyor. Pek çok firma web sitesine “ISO 42001 danışmanlığı” ekledi ama bu hizmetin içinde ne var, kim yapacak, ne kadar sürecek soruları muğlak kalıyor. Aşağıdaki çerçeve bu muğlaklığı ortadan kaldırmak için hazırlandı.

🔍 Piyasadaki üç danışman profili
  • Genel ISO firması: ISO 9001/14001/27001 altyapısını kopyalayarak ISO 42001’i sunanlar. YZ risk değerlendirmesi ve Annex B kontrolleri konusunda bilgi sığ.
  • Teknik YZ/yazılım firması: Yapay zeka teknolojisini biliyor ama yönetim sistemi kurulum deneyimi, denetim ve dokümantasyon bilgisi zayıf.
  • Entegre siber güvenlik + yönetim sistemi danışmanı: Hem ISO çerçevesini hem de YZ ve sektör risklerini anlıyor. Bu profildir aradığınız.

7 Kritik Değerlendirme Kriteri

1

Gerçek Proje Referansı vs. “Hizmet Veriyoruz” İddiası

ISO 42001 için en önemli kriter bu. Standardın 2 yılı yeni doldu; bu noktada tamamlanmış Türkiye referansı yoksa firmayı eleyebilirsiniz. Ama eğer talep sıfır olsaydı bu sertifika piyasası da şekillenmemiş olurdu — bu nedenle tamamlanmış proje yerine aktif devam eden proje referansı da değerlidir.

Sormanız gereken: “Tamamladığınız ya da aktif yürüttüğünüz ISO 42001 projeleri var mı? Sektör ve genel kapsam hakkında bilgi paylaşabilir misiniz?” Cevabın belirsizliği zaten veriyi taşır.

2

Sektör Uzmanlığı: Soyut Bilgi Yeterli Değil

ISO 42001 Annex A ve B kontrolleri, YZ sisteminin türüne ve sektörün risk profiline göre uygulanır. Bir kredi skorlama modelinin riski ile prediktif bakım YZ’sinin riski aynı kontrol seti ile yönetilemez. Danışmanın sektörünüzü gerçekten anlıyor olması şart.

Bankacılık için: BDDK model riski, KVKK veri işleme, AB AI Act yüksek risk kategorisi bağlamını bilmeli. Havacılık için: EASA Part-IS, SHGM bağlamını ve güvenlik-kritik YZ sistemleri özelliklerini bilmeli. Yazılım tedarikçisi için: SBOM, SSDLC ve tedarik zinciri YZ riskleri gündemde olmalı.

3

ISO 27001 Entegrasyonu Yetkinliği

ISO 27001’iniz varsa, danışmanın bunu ISO 42001 ile entegre etme kapasitesi olmalı. İki ayrı yönetim sistemi, iki ayrı iç denetim, iki ayrı yönetimin gözden geçirmesi — bu sürdürülemez ve gereksiz maliyet üretir. İyi danışman ortak HLS yapısını kullanarak entegre bir sistem kurar.

Sormanız gereken: “ISO 27001 altyapımız var. İki standardı nasıl entegre edersiniz? Ortak hangi belgeler tekrar kullanılabilir?” Buna net cevap veremiyorsa bu firmanın HLS deneyimi muhtemelen teorik.

4

Kapsam Tanımı: “Her Şey Dahil” Aldatıcıdır

ISO 42001’de kapsam hatası en pahalı hatadır. Kapsam çok geniş tutulursa sertifikasyon denetiminde savunulamaz; çok dar tutulursa iş değeri yaratmaz. Profesyonel danışman GAP analizinden önce kapsamı önermez.

Teklif aşamasında “Tüm YZ sistemlerinizi kapsıyoruz” diyen firma, henüz kurumunuzu tanımadan satış yapıyor demektir. Doğru yaklaşım: önce YZ envanteri çıkarılır, ardından kapsam kurumla birlikte belirlenir.

5

Belgelendirme Kurumu ile İlişki: Bağımsızlık Şart

ISO standartlarında danışmanlık hizmeti ile belgelendirme denetimi aynı kuruluş tarafından yapılamaz — bu ISO 17021 gereği bir çıkar çatışmasıdır. Bazı firmalar bu sınırı muğlaklaştırarak “paket” satmaya çalışır.

Danışman firmanın belirli bir belgelendirme kuruluşuna “yönlendirme” veya “komisyon” ilişkisi olup olmadığını doğrudan sorun. Gerçekten bağımsız danışman, birden fazla akredite seçenek sunar ve avantaj/dezavantajlarını nesnel biçimde anlatır.

6

Takvim ve Fiyat Gerçekçiliği

Türkiye’de ISO 42001 danışmanlık tekliflerinde iki aşırı uç var: rakip kazanmak için gerçekçi olmayan kısa süre/düşük fiyat önerileri ve tam tersi, aşırı şişirilmiş teklifler. Her ikisi de kırmızı bayrak.

Gerçekçi referans aralıklar: ISO 27001 altyapısı olmayan kurum için 5–8 ay, 27001 altyapısı olan için 3–4 ay. Bu süreden belirgin biçimde kısa teklif, ya kapsam çok dardır ya da “hazır şablon” teslim edilecektir. Sertifikasyon denetim ücreti danışmanlık ücretinden ayrı olmalı — birleşik tek fiyat teklifine dikkat.

7

Sertifikasyon Sonrası Destek: Bir Kere Bitip Bitmediği

ISO 42001 sertifikası 3 yıl geçerli, ara dönemde gözetim denetimleri var. YZ teknolojisi hızla değişiyor — yeni YZ sistemi devreye girmesi, model güncellemeleri, regülasyon değişiklikleri AIMS’i etkiliyor. Danışmanın “sertifika aldınız, görüşürüz” modeli bu standart için sürdürülemez.

Sormanız gereken: Gözetim denetimlerine hazırlıkta destek var mı? Yeni YZ sistemi devreye alındığında kapsamı birlikte güncelleyebilir miyiz? Retainer modeli mümkün mü?

Teklif Görüşmesinde Sormanız Gereken 10 Soru

Aşağıdaki sorular iki işe yarıyor: doğru danışmanı bulmak ve yetersiz olanı ayıklamak. İyi danışman bu soruların tamamına somut, özgün cevap verir.

📋 Danışmana sorun — ve cevabı dinleyin

  1. Tamamladığınız veya aktif yürüttüğünüz ISO 42001 projesi var mı? Sektör ve genel proje boyutu hakkında bilgi paylaşabilir misiniz?
  2. Standardın Annex B’sini nasıl uyguluyorsunuz? Bu soru teknik bilgiyi test eder — Annex B, YZ kontrolleri için uygulama kılavuzudur ve birçok danışman Annex A ile karıştırır.
  3. AI Impact Assessment (AIIA) metodolojiniz nedir? Hangi şablonu kullanıyorsunuz, kuruma özgü mü yoksa hazır mı?
  4. ISO 27001 altyapımız var. Hangi belgeler yeniden kullanılabilir, hangilerini sıfırdan yazıyoruz?
  5. Kapsam kararını ne zaman ve nasıl veriyorsunuz? GAP analizinden önce mi, sonra mı?
  6. YZ sistemlerinin envanterini nasıl çıkarıyorsunuz? Hangi araçlar veya metodoloji kullanılıyor?
  7. Belgelendirme kuruluşu seçiminde nasıl bir yaklaşım izliyorsunuz? Belirli bir kuruluşla komisyon/yönlendirme anlaşmanız var mı?
  8. Annex A kontrollerini nasıl seçiyorsunuz? Risk bazlı mı, tüm kontroller mi?
  9. Çalışan eğitimi hizmetinizin içeriği ne? Standart farkındalık mı, sektöre özgü senaryolar mı?
  10. Sertifikasyon sonrası gözetim döneminde ne tür destek sunuyorsunuz?

🚨 Kırmızı Bayraklar: Bunları Görünce Duraksayın

Teklif veya görüşme sürecinde aşağıdaki işaretlerden biri belirirse, ilerlemeden önce ek doğrulama yapın — ya da eleyin.

🕐

GAP Analizi Olmadan Kesin Teklif

Kurumunuzu tanımadan “X ayda, Y fiyata” diyen firma gerçekçi değerlendirme yapmıyor.

📦

“Hazır Şablon Paketi” Yaklaşımı

ISO 42001 politika ve prosedürlerinin %100’ü hazır şablonla teslim edilebileceği iddiası — kapsam ve YZ envanteri kuruma özgüdür.

🔗

Belgelendirme Kurumu ile Pakette Satış

“Belgelendirme garantisi veriyoruz” ifadesi — danışman belgelendirme sonucunu garanti edemez, bağımsız denetim gerektirir.

🎭

Annex B’yi Açıklayamamak

Standardın uygulama kılavuzunu bilmiyorsa, kontrollerini de doğru seçemez.

1–2 Aylık Proje Teklifi

ISO 27001 altyapısı olan kurum için bile 3 ay minimum gerçekçi süre. 1–2 ay sadece kağıt üretimi anlamına gelir.

🤷

Sektörünüze Dair Spesifik Bilgi Eksikliği

Bankacılık firmasına BDDK’yı ya da havacılık firmasına EASA’yı sormadıysa sektörünüzü bilmiyordur.

✅ Yeşil Bayraklar: Doğru Firmayı Tanıyın

Karşı tarafta bunları görüyorsanız ilerleyin:

🔎

GAP Analizini Ön Koşul Olarak Sunuyor

Kurumunuzu anlamadan teklif vermek yerine önce GAP analizi yaparak kapsam ve takvimi birlikte belirlemeyi öneriyor.

📐

ISO 27001 Entegrasyon Planı Var

Var olan ISMS altyapınızı nasıl kullanacağını somut olarak açıklıyor — hangi belgeler yeniden kullanılacak, hangiler yazılacak.

🏦

Sektörünüzü Biliyor ve Konuşuyor

İlk görüşmede sektörünüze özgü regülasyon, risk ve YZ kullanım senaryosu gündeme geliyor.

⚖️

Belgelendirme Kuruluşunda Tarafsız

Birden fazla akredite seçenek sunuyor, aralarındaki farkları nesnel açıklıyor ve tercih kararını size bırakıyor.

📅

Gerçekçi Takvim ve Gerekçesi Var

Takvim teklifini kurumun mevcut altyapısına bağlı olarak veriy ve “neden bu kadar sürecek” sorusunu cevaplıyor.

🔄

Sertifikasyon Sonrası Planı Var

Gözetim dönemleri, yeni YZ sistemi entegrasyonu ve retainer destek seçeneklerini proaktif olarak ele alıyor.

Danışman Değerlendirme Puanlama Tablosu

Birden fazla teklif karşılaştırıyorsanız, aşağıdaki tabloyu 1–5 arası puanlama ile kullanın. 30 puan üzeri güvenli bölge, 20–29 ek inceleme, 20 altı risk olarak değerlendirin.

Değerlendirme Kriteri Ağırlık Puan (1–5) Açıklama
Proje referansı ve gerçek deneyim %25 × 1,25 Tamamlanmış/aktif ISO 42001 projesi var mı?
Sektörünüze özgü bilgi %20 × 1,00 Regülasyon ve risk profilinizi biliyor mu?
ISO 27001 entegrasyon yetkinliği %15 × 0,75 HLS entegrasyonunu somut açıklayabiliyor mu?
Kapsam metodolojisi %15 × 0,75 GAP analizinden sonra mı kapsam tanımlanıyor?
Belgelendirme bağımsızlığı %10 × 0,50 Belirli bir kuruluşa bağımlılık var mı?
Takvim gerçekçiliği %10 × 0,50 Süre kurumun altyapısına göre gerekçeli mi?
Sertifikasyon sonrası destek %5 × 0,25 Gözetim dönemi ve retainer planı var mı?
✅ Güvenli Bölge

30–35 Puan

  • İlerlemeye değer
  • Sözleşme detaylarını netleştirin
  • Referans doğrulama yapın
⚠️ Ek İnceleme

20–29 Puan

  • Zayıf kriterleri netleştirin
  • Ek soru turu yapın
  • Alternatif teklif alın
🚫 Risk Bölgesi

20 Altı Puan

  • Alternatif firma arayın
  • Fiyat cazip olsa da ilerlemeyin
  • Süreç ileride pahalıya patlayabilir

Sözleşmeye Yansıması Gereken 6 Madde

Danışman seçtikten sonra sözleşme aşamasında aşağıdaki unsurların net olduğundan emin olun:

1
Kapsam tanımı yazılı ve imzalı Hangi YZ sistemleri, hangi süreçler, hangi organizasyon birimleri kapsama dahil — sözleşmede açık yazılmalı. Sözlü mutabakat yeterli değil.
2
Çıktılar ve teslim tarihleri Her aşamanın çıktısı (GAP raporu, risk değerlendirmesi, politikalar, AIIA formları, iç denetim raporu) ve teslim tarihi sözleşmede yer almalı.
3
Danışman kim — isim bazında Sunum yapan kişi ile sahada çalışacak kişi aynı mı? Ekip değişikliği durumunda ne olacak? Kıdemli danışmanla başlayıp junior ile devam eden projeler yaygın bir şikayet kaynağı.
4
Gizlilik ve veri güvenliği Danışman YZ sistemleriniz, veri varlıklarınız ve riskleriniz hakkında hassas bilgilere erişecek. Gizlilik yükümlülükleri ve veri işleme koşulları ayrıntılı düzenlenmeli.
5
Denetim başarısızlığı durumunda sorumluluk Danışmanlık süreci tamamlanıp belgelendirme denetiminde uygunsuzluk çıkarsa ne olacak? Düzeltici destek dahil mi, ek ücretli mi?
6
Fikri mülkiyet: şablonlar kime ait? Danışman hazır şablonlarını mı kullanıyor, yoksa kuruma özgü belgeler mi üretiyor? Sözleşme bitiminde tüm belgeler kuruma ait olmalı — lisans kısıtı olmamalı.

Sık Sorulan Sorular

ISO 27001 olmadan ISO 42001 alınabilir mi?
Sertifikasyon denetimini kim yapabilir?
Danışmanlık maliyeti ne kadar olmalı?
Kurumsal YZ politikamız zaten var. Danışmana hâlâ ihtiyacımız var mı?

Teklifleri Kıyaslamadan Önce 30 Dakikalık Ön Görüşme Yapın

Aldığınız teklifleri ya da danışman adaylarını birlikte değerlendirebiliriz. Kurumunuzun mevcut durumu, YZ envanteri ve gerçekçi beklentiler — somut çıktıyla çıkalım.

Ücretsiz Ön Görüşme İsteyin →

📞 0850 305 4223 · bilgi@securefors.com

İlgili Okumalar

Sosyal medyada paylaş
Facebook
Twitter
LinkedIn
Telegram