ISO 42001 Sertifikası Nasıl Alınır?
Adım Adım Kapsamlı Rehber
Yapay zekâ yönetim sistemi kurulumundan belgelendirme denetimine kadar tüm süreç — Türkiye bağlamı, sektörel öncelikler ve pratik yol haritası.
1. ISO/IEC 42001 Nedir ve Neden Önemli?
ISO/IEC 42001:2023, ISO ve IEC tarafından Aralık 2023’te yayımlanan ve yapay zekâya özgü ilk uluslararası yönetim sistemi standardıdır. Standardın tam adı Yapay Zekâ Yönetim Sistemi (Artificial Intelligence Management System — AIMS) olup YZ sistemi geliştiren, sağlayan veya kullanan her ölçekte kurum için geçerlidir.
Geleneksel bilgi güvenliği standartları (ISO 27001 gibi) gizlilik, bütünlük ve erişilebilirlik odaklıyken ISO 42001, yapay zekânın getirdiği kendine özgü risklere yanıt verir: önyargı (bias), şeffaflık eksikliği, açıklanabilirlik, model kayması, hesap verebilirlik ve etik sorunlar.
2. Kimler ISO 42001 Sertifikası Almalı?
ISO 42001, yalnızca “yapay zekâ şirketi” olan kurumlar için değil, YZ sistemi kullanan her organizasyonu kapsar. CRM’deki tahmin motoru, müşteri segmentasyonu, dolandırıcılık tespiti, belge OCR, özgeçmiş tarama aracı — bunların hepsi YZ kapsamındadır.
| Sektör | YZ Kullanım Alanı | İtici Regülasyon | Aciliyet |
|---|---|---|---|
| Bankacılık | Kredi skorlama, dolandırıcılık tespiti, chatbot | BDDK YZ Rehberi, AB AI Act | Yüksek |
| Fintech & Ödeme | Risk modelleri, anomali tespiti, müşteri segmentasyonu | DORA, BDDK, AB AI Act | Yüksek |
| Havacılık | Prediktif bakım, otonom süreçler | EASA Part-IS, SHGM SHT-IS | Orta-Yüksek |
| Yazılım Tedarikçisi | LLM tabanlı ürünler, NLP, öneri sistemleri | AB müşteri gerekliliği, ihale kriteri | Orta-Yüksek |
| Kamu (DDO kapsamı) | Karar destek, belge işleme, e-devlet YZ | DDO BİG Rehberi, KVKK | Orta |
| Sağlık Teknolojileri | Tanı destek, görüntü analizi, klinik karar | AB AI Act (yüksek risk), MDR | Yüksek |
3. ISO 42001 ile ISO 27001: Farklar ve Entegrasyon
Her iki standart da ISO’nun Annex SL (Yüksek Yapı / Harmonized Structure) iskeletini paylaşır. Bu, risk yönetimi, iç denetim, yönetimin gözden geçirmesi gibi ortak maddelerin büyük ölçüde yeniden kullanılabilir olduğu anlamına gelir.
| Kriter | 🔐 ISO 27001:2022 | 🤖 ISO 42001:2023 |
|---|---|---|
| Odak | Bilgi güvenliği riskleri | Yapay zekâ riskleri ve etik |
| Temel İlkeler | Gizlilik, Bütünlük, Erişilebilirlik (CIA) | Şeffaflık, Adillik, Hesap verebilirlik |
| Kontrol Seti | Annex A — 93 kontrol | Annex A + Annex B (YZ’ye özgü kontroller) |
| Risk Odağı | Bilgi varlıkları üzerindeki tehditler | YZ etkisi ve yönetişim |
| Türkiye Pazarı | Olgun — ihale kriteri | Erken dönem — fırsat penceresi açık |
| Geçiş Avantajı | — | ISO 27001 altyapısı süreyi ~%40 kısaltır |
4. ISO 42001 Standardının Temel Bileşenleri
ISO 42001, Plan-Do-Check-Act (PUKÖ) döngüsüne dayalı sistematik bir yapı sunar. Standardın ana maddeleri ve pratik karşılıkları:
| Madde | Konu | Pratik Karşılığı |
|---|---|---|
| 4 | Bağlam ve İlgili Taraflar | Kurumun YZ kullanım bağlamı, regülatörler, tedarikçiler, müşteriler |
| 5 | Liderlik ve Taahhüt | Üst yönetim YZ politikası, sorumluluk ataması, AIMS sahibi belirleme |
| 6 | Planlama ve Risk | YZ risklerinin tanımlanması, AIIA (AI Impact Assessment), hedef belirleme |
| 7 | Destek | Kaynaklar, yetkinlik, farkındalık eğitimi, iletişim, dokümante bilgi |
| 8 | Operasyon | YZ yaşam döngüsü yönetimi — geliştirme, dağıtım, izleme, devre dışı bırakma |
| 9 | Performans Değerlendirme | İzleme, ölçüm, iç denetim, yönetimin gözden geçirmesi |
| 10 | İyileştirme | Uygunsuzlukların giderilmesi, sürekli iyileştirme döngüsü |
| Annex A | YZ’ye Özgü Kontroller | Şeffaflık, açıklanabilirlik, veri kalitesi, insan gözetimi, önyargı yönetimi |
| Annex B | Uygulama Rehberi | Annex A kontrollerinin uygulanmasına yönelik detaylı kılavuz |
5. ISO 42001 Sertifikası Alma Süreci: 8 Adım
ISO 42001 sertifikası almak, yapılandırılmış bir süreçtir. Aşağıda hazırlık aşamasından belgelendirme denetimine kadar tüm adımları sıralıyoruz.
Adım Adım Detaylı Süreç
6. Sertifika Sonrası: Gözetim ve Sürdürme
Sertifika almak sürecin sonu değil, başlangıcıdır. ISO 42001 sertifikası 3 yıl geçerlidir ve her yıl gözetim denetimi yapılır. Gözetim denetimleri ilk belgelendirme denetiminin yaklaşık üçte biri kadar sürer ve genellikle örnekleme yaklaşımıyla gerçekleştirilir.
Yapay zekâ teknolojisi hızla değiştiğinden AIMS’in güncel tutulması kritiktir. Sürekli izlenmesi gereken alanlar:
- YZ sistemlerinde model kayması (model drift) ve performans değişikliklerinin izlenmesi
- Yeni YZ sistemleri veya kullanım alanlarının envantere eklenmesi
- Düzenleyici değişikliklerin takibi (AB AI Act uygulama rehberleri, BDDK/BTK güncellemeleri)
- Tedarikçi YZ modellerindeki değişikliklerin şeffaflık çerçevesinde değerlendirilmesi
- Yıllık iç denetim ve yönetimin gözden geçirmesinin gerçekleştirilmesi
- Çalışan farkındalık eğitiminin güncellenmesi ve tekrar verilmesi
- Uygunsuzluk ve olay kayıtlarının sürekli iyileştirme döngüsüne dahil edilmesi
7. Hazırlık Kontrol Listesi: Sertifikasyona Hazır mısınız?
Aşağıdaki kontrol listesi, belgelendirme denetimine girmeye ne kadar hazır olduğunuzu ölçmenize yardımcı olur. Tüm maddeler “evet” olmadan denetim planlanmamalıdır.
- YZ envanterin güncel ve eksiksiz — tüm sistemler kayıtlı
- AIMS kapsam dokümanı onaylanmış
- YZ politikası üst yönetim tarafından imzalanmış ve dağıtılmış
- Her YZ sistemi için risk değerlendirmesi ve AIIA tamamlanmış
- Annex A kontrolleri seçilmiş ve Uygulanabilirlik Bildirgesi (SoA) hazırlanmış
- Prosedürler yazılmış ve uygulamada (kanıt kayıtları mevcut)
- Çalışan farkındalık eğitimi verilmiş ve kayıtları saklanmış
- İç denetim gerçekleştirilmiş ve uygunsuzluklar giderilmiş
- Yönetimin gözden geçirmesi (YGG) toplantısı yapılmış ve tutanaklar hazır
- Belgelendirme kuruluşu seçilmiş ve denetim takvimi belirlenmiş
8. YZ Yönetişiminde Kırmızı Bayraklar
Kurumunuzda aşağıdaki durumlardan biri veya birkaçı geçerliyse, ISO 42001 sertifikasyon sürecine başlamak için beklenecek bir neden yoktur:
- YZ sistemleri bir envantere kayıtlı değil — hangi sistemlerin çalıştığı bilinmiyor
- YZ kararlarını açıklayacak bir sorumluluk zinciri tanımlanmamış
- Tedarikçilerin sağladığı YZ modelleri şeffaflık belgesi olmadan devrede
- YZ tabanlı kararlar (kredi reddi, işe alım) itiraz mekanizması olmaksızın uygulanıyor
- Model kayması (model drift) veya veri zehirlenmesi için izleme mekanizması yok
- YZ sistemlerinin kapsam ve limitleri çalışanlara net biçimde aktarılmamış
- Departmanlar Shadow AI araçlarını denetimsiz kullanıyor
- YZ kaynaklı bir olay yaşandığında müdahale planı mevcut değil
9. Belgelendirme Kuruluşu Seçimi
ISO 42001 belgelendirme denetimini bağımsız, akredite bir kuruluş yapar — danışmanlık firması değil. Belgelendirme kuruluşu seçerken dikkat edilmesi gerekenler:
10. İlgili Standartlar ve Düzenleyici Çerçeve
ISO 42001 tek başına değil, bir standartlar ve düzenleyici çerçeveler ekosistemi içinde işler. Aşağıdaki tablo, ISO 42001 ile birlikte değerlendirilmesi gereken ana referansları gösterir:
| Standart / Düzenleme | Yayınlayan | ISO 42001 ile İlişkisi |
|---|---|---|
| ISO/IEC 23894:2023 | ISO / IEC | YZ Risk Yönetimi rehberi — 42001 ile birlikte kullanılır |
| ISO/IEC 22989 | ISO / IEC | YZ kavramları ve terminoloji — 42001’in normatif referansı |
| AB AI Act (2024/1689) | Avrupa Birliği | 42001 uyumluluk kanıtı olarak referans gösterilebilir |
| NIST AI RMF | NIST (ABD) | Tamamlayıcı çerçeve — risk metodolojisi için |
| ISO/IEC 27001:2022 | ISO / IEC | Entegrasyon zemini — ortak HLS yapısı |
| KVKK YZ Rehberi | KVKK (Şubat 2026) | Türkiye’de üretken YZ veri işleme gereklilikleri |
| BDDK YZ/ML Rehberi | BDDK (taslak) | Finansal sektörde YZ model risk yönetimi |
| DORA | Avrupa Birliği | Fintech ve finans sektörü dijital operasyonel dayanıklılık |
11. Sık Sorulan Sorular (SSS)
ISO 27001 altyapısı olan kurumlarda hazırlık süreci ortalama 3–4 ay, sıfırdan başlayan kurumlarda 5–8 ay sürer. Belgelendirme kuruluşunun denetim süreci (Aşama 1 + Aşama 2) bu takvime ek olarak 2–4 hafta ekler. Kurum büyüklüğü, YZ sistemi sayısı ve kapsamın genişliği süreyi doğrudan etkiler.
Şu an için yasal zorunluluk yok. Ancak AB AI Act kapsamında AB müşterisi veya pazarıyla çalışan firmalar fiilen etki altında. BDDK ve BTK’nın kendi YZ yönetişim rehberlerini yayımlaması bekleniyor. İhale kriterlerinde de ISO 27001’in yaşadığı dönüşüm yakın vadede ISO 42001 için tekrarlanabilir.
Evet, önemli ölçüde. Her iki standart aynı Annex SL iskeletini paylaşır. Risk yönetimi, iç denetim, yönetimin gözden geçirmesi, tedarikçi yönetimi büyük ölçüde yeniden kullanılabilir. Entegre bir yönetim sistemi altında iki standardı birlikte yönetmek mümkün. Geçiş süresi yaklaşık %40 kısalabilir.
Sertifika 3 yıl geçerlidir. Her yıl gözetim denetimi yapılır. Gözetim denetimleri ilk belgelendirme denetiminin yaklaşık üçte biri kadardır ve genellikle örnekleme yaklaşımıyla kontrollerin bir bölümü incelenir. 3. yılın sonunda yeniden belgelendirme denetimi gerekir.
Hayır. Danışmanlık (hazırlık) ücreti ve belgelendirme (denetim) ücreti ayrı kalemlerdir. Danışmanlık firması AIMS kurulumunu ve hazırlığını yapar; belgelendirme denetimini bağımsız akredite kuruluş gerçekleştirir. Bu ayrım standardın bağımsızlık ilkesinin gereğidir.
Müşterileriniz banka, kamu kurumu veya AB pazarındaki şirketlerse, ISO 42001 yakın vadede ihale kriteri haline gelecek. ISO 27001’in birkaç yıl önce ihale şartı haline gelmesi ile aynı dönüşüm YZ alanında tekrarlanıyor. Özellikle LLM tabanlı ürün geliştiren firmalar için erken benimseme hem rekabet avantajı hem müşteri güveni sağlar.
AB AI Act, yüksek riskli uygulama kategorilerini Annex III’te sıralar: biyometrik tanıma, kritik altyapı yönetimi, eğitim/istihdam kararları, temel hizmetlere erişim, kanun uygulama, göç ve adalet. Bu alanlarda faaliyet gösteren ya da bu alanlarda müşterisi olan firmalar yüksek risk kapsamına girme olasılığı yüksek. GAP analizinin ilk adımı bu değerlendirmeyi yapmaktır.
ISO 42001 Yolculuğunuza Birlikte Başlayalım
Ücretsiz 30 dakikalık ön görüşmede kurumunuzun YZ envanterini ve mevcut boşluklarını konuşalım. ISO 27001 altyapınız varsa geçiş ne kadar sürer, yoksa nereden başlamalısınız — somut adımlarla çıkalım.
Ücretsiz Ön Görüşme İsteyin →
