ISO 42001 Standardına Göre Yapay Zeka Yönetişimi Nasıl Yapılır?

AI Yönetişimi · Standartlar

ISO 42001 Standardına Göre
Yapay Zeka Yönetişimi Nasıl Yapılır?

Dünyanın ilk sertifikalandırılabilir AI yönetim sistemi standardı: Ne gerektirir, nasıl uygulanır, ISO 27001 ile nasıl entegre edilir?

📅 Mart 2026

⏱ 10 dk okuma

🎯 CISO · GRC · AI Governance

Şirketiniz yapay zekayı benimsedi. Çalışanlar AI araçları kullanıyor, süreçler otomatize edildi, belki bir yapay zeka modeli bile kurgulandı. Peki tüm bunlar bir yönetişim çerçevesi altında mı yürütülüyor? Yoksa her departman kendi bağımsız AI kararlarını mı alıyor?

Aralık 2023’te yayımlanan ISO/IEC 42001, bu soruya sistematik bir yanıt veriyor. Yapay zeka yönetim sistemleri için dünyanın ilk uluslararası ve sertifikalandırılabilir standardı olarak, kuruluşlara AI’ı sorumlu, şeffaf ve denetlenebilir bir şekilde yönetmek için somut bir yol haritası sunuyor.

Bu yazıda ISO 42001’in ne olduğunu, hangi gereksinimleri getirdiğini, nasıl uygulandığını ve Türkiye’deki kuruluşlar için neden şimdiden önem taşıdığını ele alıyoruz.

ISO 42001 Nedir? ISO 27001 ile Farkı Ne?

ISO 27001’i bilen bir güvenlik profesyoneli için ISO 42001’i anlamak görece kolaydır. İkisi de yönetim sistemi standardıdır, ikisi de PUKÖ (Planla–Uygula–Kontrol Et–Önlem Al) döngüsünü esas alır. Ancak odak noktaları temelden farklıdır:

	ISO 27001	ISO 42001
Kapsam	Bilgi güvenliği yönetimi	Yapay zeka yönetim sistemi
Yayın Tarihi	2013 (rev. 2022)	Aralık 2023
Temel Odak	Varlık gizliliği, bütünlük, erişilebilirlik	AI etiği, şeffaflık, risk, yaşam döngüsü
Sertifikalandırma	✅ Mevcut	✅ Mevcut (2024’ten itibaren)
AB Düzenlemesi Uyumu	GDPR, NIS2	AB Yapay Zeka Yasası
Entegrasyon	ISO 27001 ile bağımsız	ISO 27001 ile entegre çalışır

“ISO 42001, yapay zeka için ISO 27001’ın yaptığını yapıyor: Ad hoc politikalardan çıkıp denetlenebilir, sürekli iyileştirilebilir bir yönetim sistemine geçişi sağlıyor.”

— Mindgard AI Governance Report, 2025

Standardın Temel Yapısı: PUKÖ Döngüsü

ISO 42001, tüm ISO yönetim sistemi standartlarında olduğu gibi Planla–Uygula–Kontrol Et–Önlem Al (PUKÖ) metodolojisi üzerine kuruludur. Bu döngü, AI yönetişimini statik bir belge setinden çıkarıp canlı, gelişen bir sisteme dönüştürür:

PUKÖ — AI Yönetim Sistemi Döngüsü

PLANLA

AI politikası belirle, kapsam tanımla, riskler ve fırsatları değerlendir, hedefler koy

UYGULA

Kontroller uygula, roller ata, AI yaşam döngüsü süreçlerini entegre et, eğitimler ver

KONTROL ET

İç denetim yap, performans ölç, yönetim gözden geçirmesi gerçekleştir, KPI izle

ÖNLEM AL

Uygunsuzlukları gider, düzeltici faaliyetler başlat, sistemi sürekli iyileştir

ISO 42001’in Temel Gereksinimleri

Standart, 10 ana madde ve bir kontrol eki (Annex A) üzerine kuruludur. Pratikte uygulamanın beş temel boyutu şöyle özetlenebilir:

🏛️

1. Yönetişim ve Liderlik (Maddeler 4–5)

Üst yönetim, AI politikasını onaylamalı ve sahiplenmeli. AI yönetişim kurulu veya AI sorumlusu gibi roller atanmalı. Organizasyonun AI ile ilgili iç ve dış bağlamı (regülasyonlar, paydaş beklentileri, sektörel riskler) net biçimde tanımlanmalı.

⚖️

2. Risk Yönetimi (Madde 6 + ISO/IEC 23894)

AI’a özgü riskler tanımlanmalı ve değerlendirilmeli: önyargı (bias), açıklanamaz karar alma, veri zehirlenmesi, model kayması, gizlilik ihlalleri. ISO/IEC 23894 risk rehberiyle entegre çalışılması beklenir. Her AI sistemi için ayrı risk kaydı tutulmalı.

🔄

3. AI Yaşam Döngüsü Kontrolleri (Madde 8)

Tasarımdan emekliliğe kadar her aşama yönetilmeli. Eğitim verisi yönetimi, model değerlendirme protokolleri, devreye alma kararları, üretim izlemesi (drift/harm) ve devre dışı bırakma prosedürleri belgelenmeli. Her geçiş noktasında onay kapıları tanımlanmalı.

📄

4. Şeffaflık ve Dokümantasyon (Madde 7 + Annex A)

Her AI sistemi için model kartı (model card), eğitim verisi özeti, değerlendirme raporları ve devreye alma kararı belgelenebilir olmalı. Paydaşlara (çalışanlar, müşteriler, denetçiler) AI kullanımı hakkında şeffaf bilgi sunulmalı.

🔔

5. İzleme, Olay Yönetimi ve İyileştirme (Maddeler 9–10)

KPI’lar ve izleme mekanizmaları kurulmalı. AI olayları (hatalı çıktı, güvenlik ihlali, etik ihlal) raporlanabilir ve yönetilebilir olmalı. İç denetim ve yönetim gözden geçirmesi düzenli yapılmalı. Uygunsuzluklar düzeltici faaliyetlerle kapatılmalı.

Annex A: AI Yönetim Sistemi Kontrolleri

ISO 27001’daki Ek A kontrolleri gibi, ISO 42001 de bir kontrol seti sunar. Bu kontroller, kuruluşun AI sistemlerini yönetmek için hayata geçirmesi gereken somut önlemleri tanımlar:

🗺️

AI Sistem Envanteri

Tüm AI sistemlerinin merkezi kaydı. Hangi AI ne amaçla, ne verisiyle, kim tarafından kullanılıyor.

🎯

Kullanım Amacı Kısıtlamaları

Her AI sisteminin onaylı kullanım senaryoları ve yasaklı kullanımlar net tanımlanmalı.

🧾

Veri Kalitesi Yönetimi

Eğitim ve operasyon verilerinin kalitesi, önyargıdan arındırılması ve yaşam döngüsü yönetimi.

👁️

İnsan Gözetimi

Yüksek riskli AI kararlarında insan onayı ve müdahale mekanizmaları.

🔒

AI Güvenliği Kontrolleri

Model güvenliği, adversarial saldırılara karşı dayanıklılık, prompt injection koruması.

🤝

Tedarik Zinciri Yönetimi

Üçüncü taraf AI hizmetleri ve modellerinin yönetişim gereksinimleri.

ISO 42001 ve AB Yapay Zeka Yasası: Örtüşen Gereksinimler

Ağustos 2024’te yürürlüğe giren AB Yapay Zeka Yasası (EU AI Act), birçok gereksinim için ISO 42001’in sağladığı çerçeveyle örtüşüyor. Bu iki düzenleme birbirini tamamlar nitelikte:

🇪🇺 AB Yapay Zeka Yasası Gereksinimleri

Risk tabanlı sınıflandırma sistemi
Yüksek riskli AI için uygunluk değerlendirmesi
Şeffaflık ve açıklama yükümlülükleri
İnsan gözetimi zorunluluğu
Veri yönetişimi gereksinimleri
Teknik dokümantasyon tutma
Olay bildirimi

📋 ISO 42001’in Karşıladığı Alanlar

✅ AI risk kayıtları ve değerlendirme
✅ Yaşam döngüsü kontrol süreçleri
✅ Model kartı ve dokümantasyon
✅ İnsan gözetim mekanizmaları
✅ Veri kalitesi ve yönetimi
✅ Teknik kanıt oluşturma
✅ Olay yönetimi süreçleri

Önemli Not: AB Yapay Zeka Yasası’nın GPAI (Genel Amaçlı AI) sağlayıcıları için yükümlülükleri Ağustos 2025’ten itibaren, tam uygulama ise Ağustos 2026’dan itibaren aktif. ISO 42001 uyumu, bu düzenlemeye hazırlığı önemli ölçüde kolaylaştırıyor.

ISO 42001 Uygulama Yol Haritası

ISO 27001 uygulamasına benzer bir yapıda, ISO 42001 için tipik bir uygulama süreci beş aşamada tamamlanır:

AŞAMA 1 · 1–2 Ay Boşluk Analizi ve Kapsam Tanımı

Mevcut AI kullanımı haritalanır. ISO 42001 gereksinimleriyle mevcut durum kıyaslanır. AIMS kapsamı ve sınırları belirlenir. Yönetim taahhüdü alınır.

AŞAMA 2 · 2–3 Ay Politika ve Prosedür Geliştirme

AI politikası yazılır. Roller ve sorumluluklar atanır. AI sistem envanteri oluşturulur. Risk yönetim metodolojisi belirlenir. ISO 27001 BGYS ile entegrasyon planlanır.

AŞAMA 3 · 2–3 Ay Kontrol Uygulama ve Eğitim

Annex A kontrolleri hayata geçirilir. AI risk kayıtları oluşturulur. Model kartları hazırlanır. Personel eğitimleri verilir. İzleme mekanizmaları kurulur.

AŞAMA 4 · 1–2 Ay İç Denetim ve Yönetim Gözden Geçirmesi

İç denetim planlanır ve yürütülür. Bulgular raporlanır. Yönetim gözden geçirmesi yapılır. Düzeltici faaliyetler başlatılır.

AŞAMA 5 · Hedef Belgelendirme Denetimi

Akredite belgelendirme kuruluşu tarafından Aşama 1 ve Aşama 2 denetimi gerçekleştirilir. ISO/IEC 42001 sertifikası alınır. Gözetim denetimleri ile süreklilik sağlanır.

ISO 27001 Var mı? ISO 42001 Daha Kolay

İki standart aynı yönetim sistemi yapısını (HLS — High Level Structure) paylaşıyor. Bu sayede ISO 27001 sertifikalı kuruluşlar için ISO 42001 uygulaması çok daha az yük gerektiriyor:

♻️

Ortak Politikalar

Bilgi güvenliği politikası, risk yönetimi ve iç denetim süreçleri entegre edilebilir

👥

Ortak Ekip

Aynı BGYS ekibi her iki standardı da yönetebilir; ayrı kaynak gerekmez

📊

Ortak Denetim

Kombine denetimlerle hem 27001 hem 42001 aynı anda değerlendirilebilir

🛡️

AI Güvenliği Sinerji

ISO 27001 güvenlik kontrolleri, AI sistemlerine özel kontrollerle genişletilir

Türkiye’deki Kuruluşlar İçin Neden Şimdi?

ISO 42001, gönüllü bir standart olmaya devam etse de birkaç kritik etken onu Türkiye’deki kuruluşlar için şimdiden zorunlu kılıyor:

🇪🇺

AB Piyasasında Faaliyet: Türk şirketleri AB’ye ihracat yapıyorsa veya Avrupalı müşterilere hizmet veriyorsa AB AI Act uyumu gerekiyor. ISO 42001, bu uyumu kanıtlamanın en pratik yolu.

🏦

BDDK ve Finansal Sektör: BDDK’nın AI kullanımına ilişkin düzenleyici beklentileri artıyor. ISO 42001, bankacılık ve finans sektöründe denetçilere sunulabilecek kanıt çerçevesi oluşturuyor.

🔐

KVKK ve Gizlilik: KVKK’nın Şubat 2026 GenAI rehberi, AI sistemlerinde kişisel veri yönetişimine özel vurgu yapıyor. ISO 42001’in veri yönetimi kontrolleri bu gereksinimleri doğrudan karşılıyor.

🏆

Rekabet Avantajı: 2024’te ISO 42001 sertifikalı kuruluş sayısı dünya genelinde %20 arttı. Erken benimseyenler, tedarik zinciri seçimlerinde ve müşteri güveninde önemli bir avantaj elde ediyor.

ISO 42001 — Özet Görünüm

2023

Yayın tarihi

Ana madde

38+

Annex A kontrolü

%20

2024 sertifika artışı

AB AI Act ceza oranı

Secure Fors

ISO 42001 Danışmanlığı ve Gap Analizi

ISO 27001 deneyiminizden yola çıkarak ISO 42001 uyum sürecinizi planlıyoruz. Gap analizi, politika geliştirme, iç denetçi eğitimi ve belgelendirmeye hazırlık hizmetleriyle yanınızdayız.

Ücretsiz Ön Değerlendirme →

Sonuç: AI Yönetişimi Artık Bir Seçenek Değil

Yapay zeka organizasyonların içine işledi. Artık soru “AI kullanacak mıyız?” değil, “AI’ı nasıl sorumlu ve denetlenebilir biçimde yönetiriz?” sorusu. ISO 42001, bu soruya uluslararası düzeyde kabul görmüş, sertifikalandırılabilir ve AB düzenlemeleriyle uyumlu bir yanıt veriyor.

ISO 27001’i zaten uygulamış kuruluşlar için bu yolculuk düşündüğünüzden çok daha kısa. Mevcut yönetim sistemi altyapısı, deneyimli ekip ve yerleşik kültür, ISO 42001 uygulamasının bedelini önemli ölçüde düşürüyor.

AB AI Act uygulama takvimi ilerliyor. Müşterileriniz ve tedarik zinciriniz yakında AI yönetişim kanıtı isteyecek. Sertifikaya giden bu yolda şimdiden adım atmak, sonradan koşmaktan her zaman daha az maliyetlidir.

🏷️ Etiketler:

ISO 42001 AI Yönetişimi AIMS AB Yapay Zeka Yasası ISO 27001 AI Risk Yönetimi KVKK Yapay Zeka Politikası AI Uyumluluk