ISO 42001 Uyumluluğu İçin Adım Adım Yapılması Gereken Tüm Çalışmalar

ISO 42001 · Uygulama Rehberi

ISO 42001 Uyumluluğu İçin Adım Adım Yapılması Gereken Tüm Çalışmalar

Gap analizinden sertifika denetimine: Yapay Zeka Yönetim Sistemi kurulumunun eksiksiz uygulama haritası.

📅 Mart 2026
⏱ 15 dk okuma
🎯 CISO · Uyum · GRC

“ISO 42001’e uymalıyız” kararı verildi. Peki şimdi ne yapılacak? Hangi belgeler hazırlanacak, hangi süreçler kurulacak, kim ne yapacak ve denetçiye ne gösterilecek?

Bu yazı, ISO 42001 uyumluluk sürecini baştan sona, somut görevler ve çıktılar özelinde ele alıyor. ISO 27001 deneyiminiz varsa pek çok kavram tanıdık gelecek; olmasa da her adım sıfırdan uygulanabilir biçimde açıklandı.

Süreç toplam 6 ana aşamadan oluşuyor. Küçük-orta ölçekli kuruluşlar için ortalama tamamlanma süresi 9–14 ay; ISO 27001 altyapısı olanlar için bu süre 5–8 aya kadar düşebilir.

ISO 42001 Uyumluluk Sürecine Genel Bakış

1
BAŞLANGIÇ
Gap Analizi & Kapsam
1–2 ay
2
TEMELLİ KURULUM
Politika & Yapı
2–3 ay
3
RİSK & ENVANTER
AI Envanteri & Risk Yönetimi
2–3 ay
4
KONTROL UYGULAMA
Annex A & Yaşam Döngüsü
2–3 ay
5
İÇ DENETİM
Denetim & Gözden Geçirme
1–2 ay
6
SERTİFİKA
Belgelendirme Denetimi
1–2 ay
Toplam süre: ISO 27001 altyapısı varsa 5–8 ay · Yoksa 9–14 ay
1

Başlangıç: Gap Analizi ve Kapsam Tanımı

Uyumluluk yolculuğunun ilk ve en kritik adımı, nerede durduğunuzu anlamaktır. Gap analizi, mevcut durumunuzla ISO 42001’in gerektirdiği durum arasındaki mesafeyi haritalandırır. Bu analiz olmadan yapılan tüm çalışmalar yanlış alana odaklanma riskini taşır.

📋 Gap Analizi: Yapılacak Çalışmalar ve Çıktılar

✅ Yapılacaklar
  • Mevcut AI araç ve sistemleri keşfet ve listele
  • ISO 42001 maddelerini mevcut süreçlerle karşılaştır
  • Yönetim desteği ve sponsor belirle
  • AIMS kapsamını tanımla (hangi sistemler, hangi birimler)
  • İlgili yasal ve düzenleyici gereksinimleri listele (KVKK, BDDK, AB AI Act)
  • Proje ekibini oluştur ve sorumlulukları dağıt
  • Proje planı ve bütçe hazırla
📄 Üretilecek Belgeler
  • Gap Analizi Raporu
  • AIMS Kapsam Belgesi
  • Proje Şartnamesi
  • Paydaş Haritası
  • Yasal Gereksinimler Listesi
  • Proje Planı (Gantt/milestone)

🔍 Gap Analizi Olgunluk Seviyesi Modeli

0
Mevcut değil: Süreç veya kontrol hiç uygulanmamış
1
Başlangıç: Gayri resmi uygulamalar var, belgelenmemiş
2
Gelişmekte: Kısmen belgelenmiş, tutarsız uygulamalar
3
Tanımlı: Belgelenmiş ve düzenli uygulanan süreçler
4
Yönetilen: Ölçülen, izlenen ve sürekli iyileştirilen süreçler
2

Temel Kurulum: Politika, Yapı ve Roller

Gap analizi tamamlandıktan sonra AIMS’in iskeletini oluşturan belgeler ve yönetişim yapısı kurulur. Bu aşamada üst yönetimin aktif katılımı zorunludur; sadece onay değil, gerçek sahiplik gereklidir.

📚 AIMS Belge Hiyerarşisi

SEVİYE 1 — POLİTİKA AI Politikası (Üst yönetim onaylı, stratejik yön)
SEVİYE 2 — PROSEDÜRLER Risk değerlendirme, AI yaşam döngüsü, olay yönetimi, iç denetim
SEVİYE 3 — TALİMATLAR Model değerlendirme talimatı, veri kalitesi kontrol talimatı…
SEVİYE 4 — KAYITLAR Risk kaydı, model kartları, denetim bulguları, olay logları…

📝 Bu Aşamada Hazırlanacak Belgeler

✓ AI Politikası Üst yönetim taahhüdü, amaç ve prensipler
✓ AIMS Kapsam Belgesi Sınırlar, dahil/hariç sistemler
✓ Rol ve Sorumluluk Matrisi AI Yönetişim Kurulu, AI Güvenliği sorumlusu
✓ AI Etik Çerçevesi Adalet, şeffaflık, hesap verebilirlik ilkeleri
✓ Paydaş İletişim Planı İç/dış paydaşlara AI şeffaflık bildirimleri
✓ Yasal Gereksinimler Kaydı KVKK, BDDK, AB AI Act gereksinimlerinin haritası
3

Risk Yönetimi ve AI Sistem Envanteri

ISO 42001’in kalbinde risk yönetimi ve AI sistem envanteri yer alır. Tüm kontrollerin temeli, hangi AI sistemlerinin var olduğunu bilmek ve her birine özgü riskleri tanımlamaktır.

🗂️ AI Sistem Envanteri — Minimum İçerik Gereksinimleri

Alan Açıklama Örnek
Sistem Adı Sistemin benzersiz adı Müşteri Destek Chatbot v2
Kullanım Amacı Ne işe yarıyor Müşteri sorularını otomatik yanıtlama
AI Türü Model/teknoloji tipi LLM tabanlı, üçüncü taraf API
Veri Kategorisi Kullanılan veri türleri Müşteri iletişim verileri (KVK kapsamlı)
Risk Seviyesi AB AI Act sınıfı Sınırlı Risk (şeffaflık yükümlülüğü)
Sistem Sahibi Sorumlu birim/kişi Müşteri Hizmetleri Müdürü
Tedarikçi İç/dış, tedarikçi adı Dış — OpenAI API
İnsan Gözetimi Müdahale mekanizması Müşteri isteğiyle insan operatöre devir

⚠️ ISO 42001 Kapsamında AI’ya Özgü Risk Kategorileri

🎯 Önyargı Riski
Modelin eğitim verisindeki önyargıların adil olmayan kararlar üretmesi
🔍 Açıklanamama Riski
Kararların açıklanamaması, XAI eksikliği
💾 Veri Zehirlenmesi
Eğitim verisinin manipülasyonuyla model davranışının bozulması
📉 Model Kayması
Zaman içinde ortam değişiminden model performansının düşmesi
🔐 Gizlilik İhlali
Kişisel verinin model çıktısında sızdırılması
🎭 Prompt Injection
Kullanıcı girdisiyle model yönlendirmesinin manipüle edilmesi
4

Kontrol Uygulama: Annex A ve Yaşam Döngüsü

Bu aşama en kapsamlı ve en çok iş gerektiren adımdır. ISO 42001 Ek A kontrolleri hayata geçirilir; aynı zamanda her AI sisteminin yaşam döngüsü (tasarımdan emekliliğe) yönetim sistemi kapsamına alınır.

AI Sistem Yaşam Döngüsü Yönetimi

💡
TASARIM
Kullanım amacı tanımı, etik değerlendirme, AB AI Act sınıfı belirleme
🗄️
VERİ
Veri kalitesi doğrulama, önyargı analizi, KVKK uyum kontrolü
🔧
GELİŞTİRME
Model eğitimi, güvenlik testleri, açıklanabilirlik değerlendirmesi
DEĞERLENDİRME
Performans metrikleri, etik uyum değerlendirmesi, onay kapısı
🚀
DEVREYE ALMA
Üretim izleme, drift takibi, insan gözetim mekanizması
🗑️
EMEKLİLİK
Devre dışı bırakma kararı, veri silme, kanıt saklama

📋 Model Kartı (Model Card) — Zorunlu Bölümler

Her AI sistemi için hazırlanması gereken model kartı, hem ISO 42001 hem AB AI Act şeffaflık gereksinimlerini karşılar:

1. Sistem Tanımı
Amaç, kapsam, kullanıcı kitlesi
2. Model Detayları
Mimari, eğitim verisinin kaynağı ve tarihi
3. Performans Metrikleri
Doğruluk, hata oranları, değerlendirme sonuçları
4. Sınırlamalar
Bilinenhatalar, kullanılmaması gereken senaryolar
5. Etik Değerlendirme
Önyargı analizi, adalet metrikleri
6. Güncelleme Geçmişi
Versiyon tarihleri, önemli değişiklikler
5

İç Denetim, Performans Ölçümü ve Yönetim Gözden Geçirmesi

Kontroller uygulandıktan sonra, bunların gerçekten işlediğini kanıtlamak gerekir. İç denetim ve yönetim gözden geçirmesi, hem sistemin etkinliğini ölçer hem de belgelendirme denetimi için kritik kanıtları oluşturur.

📊 ISO 42001 İçin Örnek KPI’lar ve Ölçüm Kriterleri

%100
Hedef
AI Sistem Envanteri Tamlığı
Tüm AI sistemlerin kayıt altında olma oranı (yıllık envanter denetimi)
90 gün
Maks.
Risk Giderme Süresi
Yüksek riskli bulguların kapatılma süresi
Yılda 2
Min.
Model Performans Değerlendirmesi
Üretim modellerinin drift ve etik uyum kontrolü sıklığı
%95
Hedef
AI Farkındalık Eğitimi Tamamlama
AI sistemleriyle çalışan personelin yıllık eğitim tamamlama oranı
48 saat
Maks.
AI Olay Raporlama Süresi
Tespit edilen AI olayının resmi kayıt altına alınma süresi

✅ İç Denetim Kontrol Listesi (Ana Başlıklar)

☐ AI politikası güncel ve onaylı mı?
☐ Tüm AI sistemleri envanterda kayıtlı mı?
☐ Her sistem için model kartı hazırlandı mı?
☐ Risk değerlendirmeleri güncel mi?
☐ Eğitim kayıtları mevcut mu?
☐ İnsan gözetim mekanizmaları çalışıyor mu?
☐ Olay yönetimi prosedürü test edildi mi?
☐ Tedarikçi AI güvenlik gereksinimleri kontrol edildi mi?
☐ KPI’lar ölçülüyor ve raporlanıyor mu?
☐ Düzeltici faaliyetler takip ediliyor mu?
6

Belgelendirme Denetimi ve Sertifika Süreci

ISO 42001 sertifikası, akredite bir belgelendirme kuruluşu (CB) tarafından gerçekleştirilen iki aşamalı denetim sonucunda verilir. Denetim öncesi hazırlık, başarının en kritik faktörüdür.

A1

Aşama 1 Denetimi

Belge incelemesi denetimidir. Denetçi AIMS belgelerini, politikalarını ve kayıtlarını inceler. Genellikle uzaktan yapılır.

Kontrol noktaları:
  • AIMS kapsamı ve politika belgesi
  • Risk metodolojisi ve kayıtları
  • AI sistem envanteri
  • Hedefler ve KPI takibi
  • İç denetim planı
A2

Aşama 2 Denetimi

Sahada uygulama doğrulama denetimidir. Denetçi belgelerin gerçekte uygulandığını bizzat doğrular. Genellikle yerinde yapılır.

Kontrol noktaları:
  • Kontrollerin fiili uygulaması
  • Personel görüşmeleri
  • Canlı sistem demonstrasyonları
  • Olay yönetimi kanıtları
  • Yönetim gözden geçirme kanıtları

📁 Denetçiye Sunulacak Kanıt Paketi — Kontrol Listesi

✅ AI Politikası (imzalı)
✅ AIMS Kapsam Belgesi
✅ Gap Analizi Raporu
✅ AI Sistem Envanteri
✅ Risk Kayıtları
✅ Model Kartları
✅ İç Denetim Raporu
✅ Yönetim Gözden Geçirme Tutanağı
✅ Düzeltici Faaliyet Kayıtları
✅ Eğitim Tamamlama Kayıtları
✅ KPI Raporları
✅ Olay Yönetimi Kayıtları

ISO 27001 Var mı? İşte Kazandıklarınız

ISO 27001 sertifikalı kuruluşlar için ISO 42001 uyum yolculuğu önemli ölçüde kısalır. İki standardın ortak yüksek düzey yapısı (HLS), pek çok belge ve süreci yeniden kullanılabilir kılar:

Çalışma Alanı ISO 27001 Varsa Yoksa
Risk yönetim metodolojisi ♻️ Uyarla 🆕 Sıfırdan kur
İç denetim süreci ♻️ Kapsam genişlet 🆕 Sıfırdan kur
Yönetim gözden geçirmesi ♻️ Gündem ekle 🆕 Sıfırdan kur
Olay yönetimi ⚡ AI olayı ekle 🆕 Sıfırdan kur
Tedarikçi yönetimi ⚡ AI madde ekle 🆕 Sıfırdan kur
AI sistem envanteri 🆕 Yeni oluştur 🆕 Yeni oluştur
AI risk kategorileri ve model kartları 🆕 Yeni oluştur 🆕 Yeni oluştur
♻️ Yeniden kullan / uyarla ⚡ Kısmen güncelle 🆕 Yeni oluştur

⚠️ Uygulamada Sık Yapılan Hatalar

Kapsamı çok geniş tutmak: Tüm AI sistemlerini bir anda kapsama almak çoğu zaman projeyi felç eder. Kritik ve yüksek riskli sistemlerden başlayın, kademeli genişletin.
Üst yönetimi sürece dahil etmemek: AI politikasının imzalanması yeterli değil. Yönetim gözden geçirmesine gerçek katılım ve kaynak taahhüdü şart.
Shadow AI sistemlerini görmezden gelmek: Çalışanların kendi inisiyatifleriyle kullandığı AI araçları envantera girmezse tüm kapsam anlamlını yitirir.
ISO 27001 kontrollerini kopyalamak: AI’ya özgü riskler (önyargı, drift, açıklanamama) bilgi güvenliği kontrollerinin kapsamı dışındadır. Bunlar ayrıca ele alınmalıdır.
Belgeleri doldurup uygulamayı unutmak: Denetçiler evrak değil kanıt arar. Politikalar hayata geçmediyse, belgeler ne kadar mükemmel olursa olsun sertifika verilmez.
Secure Fors Danışmanlık

ISO 42001 Uyumluluk Sürecinizi Birlikte Yönetelim

Gap analizinden iç denetçi eğitimine, model kartı hazırlığından belgelendirme öncesi son kontrole kadar tüm aşamalarda deneyimli ekibimizle yanınızdayız. ISO 27001 altyapınızı ISO 42001 ile entegre eden verimli bir yol izliyoruz.

Sonuç: Doğru Sırayla, Doğru Hızda

ISO 42001 uyum süreci, içerik olarak karmaşık ama yapısal olarak son derece mantıklı bir yolculuktur. Her adımın bir önce geleni var; her belgenin bir kanıt değeri var. Panik yapmak için değil, plan yapmak için zaman harcamak gerekiyor.

En zor kısım genellikle teknik değil, kültüreldir: AI sistemlerinin belgelenmesi, envanterin tutulması ve risk yönetiminin rutin bir operasyonel faaliyet haline gelmesi. Bu kültürel dönüşüm, belgelendirme sertifikasından çok daha değerli bir kazanımdır.

AB AI Act uygulama takvimi işliyor. Tedarik zincirleri AI yönetişim kanıtı istemeye başladı. Rekabetçi farklılaşma penceresi henüz açık. ISO 42001 sertifikası, bugün atılan adımların yarın yaratacağı güvenin belgesidir.

🏷️ Etiketler:

ISO 42001 AI Yönetişim Uyumluluğu AIMS Kurulum Gap Analizi Model Kartı AI Risk Yönetimi ISO 27001 Entegrasyon AB AI Act Belgelendirme Denetimi AI Uyumluluk Türkiye

📚 ISO 42001 Rehber Serisi — Bu Konuda Devam Edin

Sosyal medyada paylaş
Facebook
Twitter
LinkedIn
Telegram