ISO/IEC 42001 Danışmanlığı

AI Güvenliği & Yönetişimi ISO 42001 Danışmanlık

ISO/IEC 42001 Danışmanlığı:
Yapay Zekâ Yönetim Sisteminizi Kurun

AB AI Act · BDDK YZ Rehberi · ISO 27001 entegrasyonu · Türkiye’de erken benimseyici avantajı

Ersin Erol — Siber Güvenlik Uzmanı 📅 Mart 2026 14 dakika okuma süresi
Kurumunuz yapay zekâ kullanıyor — kredi skorlamada, müşteri segmentasyonunda, süreç otomasyonunda ya da yazılım geliştirmede. Ama şu soruya net cevabınız var mı: “YZ sistemlerimizin kararlarını kim denetliyor, hangi etik çerçeve içinde çalışıyorlar ve bir sorun olduğunda hesabını kim veriyor?”

ISO/IEC 42001:2023, bu soruların tamamına kurumsal bir yanıt veriyor. Dünyada yapay zekâya özgü ilk uluslararası yönetim sistemi standardı olarak Aralık 2023’te yayımlandı. Bu yazıda standardın ne olduğunu, kimin alması gerektiğini, Türkiye’deki bağlamı ve Secure Fors’un danışmanlık sürecini gerçekçi bir şekilde aktarıyoruz.

1. Neden ISO 42001, Neden Şimdi?

Yapay zekâ sistemi kurmak artık teknik karar değil, yönetim kararı. Avrupa Birliği Yapay Zekâ Kanunu (AI Act), Haziran 2024’te yürürlüğe girdi. Kanun, özellikle yüksek riskli YZ uygulamaları için sıkı yönetişim gereklilikleri getiriyor — ve bu kapsam Türkiye’deki AB müşterisi ya da AB pazarına satış yapan şirketleri doğrudan etkiliyor.

⚖️ 2024 AB AI Act yürürlük tarihi — şimdi uyumluluk penceresi açık
🇹🇷 Düşük Türkiye’de ISO 42001 sertifikalı kurum sayısı — erken benimseyici avantajı var
🔗 ISO 27001 Altyapısı olan kurumlar için geçiş süresi %40’a kadar kısalıyor
📌 Türkiye bağlamı KVKK, Şubat 2026’da üretken YZ rehberi yayımladı. BDDK’nın YZ ve makine öğrenmesi rehber taslağı gündemdeki yerini koruyor. DDO BİG Rehberi kapsamındaki kamu kurumları için ise YZ sistemlerinin güvenlik yönetimine dahil edilmesi artık beklenti değil, gereklilik haline geliyor.

2. ISO/IEC 42001 Gerçekte Ne Anlama Geliyor?

ISO/IEC 42001:2023, ISO ve IEC tarafından ortaklaşa yayımlanan Yapay Zekâ Yönetim Sistemi (AIMS) standardıdır. ISO 9001, ISO 27001 ile aynı Yüksek Yapı (Annex SL / HLS) iskeletini kullanır — bu yüzden zaten bir yönetim sistemi standardınız varsa yapı size tanıdık gelecek.

ISO 27001 ile Farkı Ne?

🔐 ISO 27001:2022

  • Bilgi güvenliği riskleri
  • Gizlilik, bütünlük, erişilebilirlik (CIA)
  • Annex A — 93 kontrol
  • Tehditlere odaklı
  • Türkiye’de olgun pazar

🤖 ISO/IEC 42001:2023

  • Yapay zekâ riskleri ve etik
  • Şeffaflık, adillik, hesap verebilirlik
  • Annex A + Annex B (YZ’ye özgü)
  • Etki ve yönetişim odaklı
  • Türkiye’de erken dönem — fırsat var
✅ Önemli avantaj ISO 27001 sertifikanız varsa, ISO 42001 geçişiniz çok daha kısa sürer. Risk yönetimi, iç denetim, tedarikçi yönetimi, yönetimin gözden geçirmesi — bunların tamamı yeniden kullanılabilir altyapı. GAP analizi sonrası kesin takvim belirliyoruz.

Standardın Temel Bileşenleri

Madde Konu Pratik Karşılığı
4 Bağlam ve İlgili Taraflar Kurumun YZ kullanım bağlamı, regülatörler, tedarikçiler, müşteriler
5 Liderlik ve Taahhüt Üst yönetimin YZ politikası ve sorumluluk ataması
6 Planlama ve Risk YZ risklerinin ve fırsatlarının tanımlanması, AIIA (AI Impact Assessment)
8 Operasyon YZ sistemleri yaşam döngüsü yönetimi — geliştirme, dağıtım, izleme
9 Performans Değerlendirme İzleme, ölçüm, iç denetim, yönetimin gözden geçirmesi
10 İyileştirme Uygunsuzlukların giderilmesi, sürekli iyileştirme döngüsü
Annex A YZ’ye Özgü Kontroller Şeffaflık, açıklanabilirlik, veri kalitesi, insan gözetimi, önyargı yönetimi

3. ISO 42001 Kimler İçin Zorunlu Hale Geliyor?

Bugün için zorunluluk yok — ama bu yıl içinde “zorunlu değil ama ihaleyi etkiliyor” noktasına hızla yaklaşıyoruz. Türkiye’deki öncelikli sektörler:

🏦 Bankacılık & Fintech ✈️ Havacılık & Savunma 💻 Yazılım Tedarikçileri 🏛️ Kamu Kurumları 🎓 Üniversite & Araştırma 🏥 Sağlık Teknolojileri
Sektör YZ Kullanım Alanı İtici Regülasyon Aciliyet
Bankacılık Kredi skorlama, dolandırıcılık tespiti, chatbot BDDK YZ Rehberi, AB AI Act (yüksek risk) Yüksek
Fintech & Ödeme Risk modelleri, anomali tespiti, müşteri segmentasyonu DORA, BDDK, AB AI Act Yüksek
Havacılık & Savunma Prediktif bakım, otonom süreçler, gözetleme EASA Part-IS, SHGM SHT-IS, DO-178C Orta-Yüksek
Yazılım Tedarikçisi LLM tabanlı ürünler, NLP, öneri sistemleri AB müşteri gerekliliği, ihale kriteri Orta-Yüksek
Kamu / DDO kapsamı Karar destek, belge işleme, e-devlet YZ DDO BİG Rehberi, KVKK YZ Rehberi Orta
💡 “Yapay zekâ kullanmıyoruz” — Bu söylemi test edin CRM’deki tahmin modeli, e-posta spam filtresi, belge OCR sistemi, İK’daki özgeçmiş tarama aracı — bunların tamamı YZ içeriyor. İlk adım, YZ envanteri çıkarmak. GAP analizimizin ilk yarım günü buna ayrılıyor.

4. Secure Fors ile ISO 42001 Danışmanlık Süreci

ISO 42001 danışmanlığını belge fabrikası olarak görmüyoruz. Hedefimiz: kurumun gerçekten işleyen, denetimde savunulabilir, çalışanlar tarafından benimsenen bir Yapay Zekâ Yönetim Sistemi kurması.

1

GAP Analizi 1–2 Hafta

Mevcut YZ kullanım envanteri çıkarılır. Hangi sistemler var, hangi riskleri taşıyor, AIMS için ne kadar altyapı mevcut? ISO 27001 uyumunuz varsa bu aşama belirgin biçimde kısalır. Çıktı: önceliklendirilmiş boşluk raporu ve proje takvimi teklifi.

2

Kapsam ve Bağlam 1 Hafta

Kurumun YZ bağlamı netleştirilir: iç/dış ilgili taraflar, regülatörler, tedarikçiler, ürün ve hizmet kapsamı. Kapsam hatası sertifikasyon sürecinin en kritik riski — bu aşamayı atlamak sonradan pahalıya patlıyor.

3

Risk Değerlendirmesi ve Annex A Kontrolleri 2–3 Hafta

ISO 42001 Annex A kontrolleri risk bazlı seçilir. Her kontrolün nasıl uygulanacağı ve denetimde nasıl kanıtlanacağı belirlenir. Etki değerlendirme formları (AI Impact Assessment — AIIA) kurumun YZ sistemlerine özel olarak hazırlanır.

4

Dokümantasyon ve Uygulama 3–6 Hafta

YZ yönetim politikası, prosedürler, sorumluluk matrisi, eğitim içerikleri hazırlanır. Çalışan farkındalık eğitimi verilir. Bu aşama kurumun mevcut ISMS’sine entegre olacak şekilde yapılandırılır.

5

İç Denetim ve Belgelendirme Hazırlığı 1–2 Hafta

Akredite belgelendirme kuruluşunun Aşama 1/2 denetimine hazırlık yapılır. Bulunan uygunsuzlukların giderilmesinde refakat edilir. Belgelendirme kuruluşu seçiminde bağımsız yönlendirme (Türkak, UKAS, DAkkS akrediteli) yapılır.

⏱ Ortalama proje süresi ISO 27001 altyapısı olan kurumlarda 3–4 ay. Sıfırdan başlayan kurumlarda 5–8 ay. Belgelendirme denetimi bu süreye dahil değildir — bağımsız akredite kuruluş yürütür.

5. Neden Secure Fors? Rakiplerden Gerçek Fark

Türkiye’de “ISO 42001 danışmanlığı” sunan çoğu firma genel belgelendirme danışmanlık şirketi. Bankacılık yazılım ekosistemi, fintech regülasyonu ya da havacılık sektörü gibi alanlarda gerçek YZ risk değerlendirmesi deneyimi yok. Sektör uzmanlığı olmadan yapılan kontrol seçimi çoğunlukla gerçek riskle örtüşmüyor.

🏦

Sektör Uzmanlığı

Bankacılık yazılım firmaları (BDDK/DDO BİGR deneyimi), havacılık (EASA Part-IS, SHGM SHT-IS), fintech. Soyut kontrol listesi değil, sektörünüzün gerçek risk tablosu.

🔗

ISO 27001 Entegrasyonu

Mevcut ISMS’nizi ISO 42001 ile entegre eden yaklaşım. Çift iş yükü yaratmaz — birleşik kontrol seti, ortak iç denetim, ortak yönetimin gözden geçirmesi.

🤖

Sahada Uygulanan AI Governance

Kurumsal YZ politikası geliştirme, Shadow AI tespiti, çalışan farkındalık eğitimi — teorik değil, üretim ortamında uygulanmış deneyim.

📋

Gerçekçi Takvim ve Maliyet

Süreci olduğundan kısa ya da ucuz göstermiyoruz. GAP analizinin ardından kuruma özel, savunulabilir bir proje planı sunuyoruz. Sürpriz yok.

⚖️

Belgelendirme Bağımsızlığı

Belgelendirme kuruluşu satmıyoruz. Akredite kuruluş seçiminde tarafsız yönlendirme — Türkak, UKAS, DAkkS akrediteli kurumlar arasında karşılaştırmalı teklif yönetimi.

🔍

TPRM ile Birleşik Hizmet

YZ sistemlerini sağlayan tedarikçilerinizin değerlendirmesi ISO 42001 kapsamında ayrıca ele alınır — tedarikçi denetimi deneyimimizle entegre.

6. Sık Sorulan Sorular

ISO 42001 Türkiye’de zorunlu mu?
Şu an için yasal zorunluluk yok. Ancak AB Yapay Zekâ Kanunu (AI Act), AB pazarına satış yapan veya AB müşterisi olan Türkiye şirketlerini doğrudan etkiliyor. ISO 42001, AI Act uyumluluk kanıtı için güçlü bir referans standart olarak kullanılıyor. BDDK ve BTK’nın önümüzdeki dönemde kendi YZ yönetişim rehberlerini yayımlaması bekleniyor — erken hareket edenler hem düzenleyici incelemeye daha hazır, hem de pazar güveni inşa ediyor.
ISO 27001’im var. ISO 42001 almak ne kadar sürer?
ISO 27001 altyapısı olan kurumlarda süreç belirgin biçimde kısalıyor. Risk yönetimi, iç denetim, yönetimin gözden geçirmesi, tedarikçi yönetimi maddeleri büyük ölçüde yeniden kullanılabiliyor. Ortak Yüksek Yapı (HLS) sayesinde iki standardı entegre bir yönetim sistemi altında yönetmek mümkün. GAP analizini tamamladıktan sonra size kuruma özel kesin takvim sunuyoruz.
Belgelendirme masrafı ayrı mı?
Evet. Secure Fors hazırlık ve danışmanlık hizmetleri sunar; sertifikasyon denetimini bağımsız, akredite bir belgelendirme kuruluşu gerçekleştirir. Bu kuruluş seçiminde ve teklif yönetiminde tarafsız yönlendirme yapıyoruz. Türkiye’de ISO 42001 için akredite belgelendirme yapan kurumların sayısı henüz sınırlı — seçim kriterleri konusunda rehberlik önemli.
Sadece belgelendirme denetimine hazırlık mı, yoksa uygulamaya da destek var mı?
Her ikisi de mümkün. Sıfırdan başlayan kurumlarda AIMS kurulumu dahil tam danışmanlık sunuyoruz. Zaten hazırlanmış bir sistemi denetleme sürecine taşımak isteyen kurumlar için yalnızca iç denetim ve hazırlık hizmeti de alınabilir. İhtiyacınıza göre kapsam birlikte belirleniyor — gereksiz hizmet eklemiyoruz.
Küçük bir yazılım firmasıyız. Bu standart bizi ilgilendiriyor mu?
Müşterileriniz banka, kamu kurumu veya AB pazarındaki şirketlerse, ISO 42001 yakın vadede ihale kriteri haline gelecek. ISO 27001 nasıl birkaç yıl önce ihale şartı olduysa, ISO 42001 aynı tabloyu YZ alanında oluşturacak. Erken benimseyici olmak hem rekabet avantajı hem de müşteri güveni açısından değerli — özellikle LLM tabanlı ürün geliştiren firmalar için.
AI Act yüksek riskli kategorisinde miyiz?
AB AI Act, yüksek riskli uygulama kategorilerini Annex III’te listeledi: biyometrik tanıma, kritik altyapı yönetimi, eğitim/istihdam kararları, temel hizmetlere erişim, kanun uygulama, göç, adalet ve demokratik süreçler. Bu kategorilerde faaliyet gösteren ya da bu alanlarda müşterisi olan bir firmaysanız yüksek risk kapsamına girmeniz kuvvetle muhtemel. GAP analizimizin ilk adımı bu değerlendirmeyi yapmak.

7. YZ Yönetişiminde Kırmızı Bayraklar

Kurumunuzda aşağıdakilerden biri ya da birkaçı geçerliyse, ISO 42001 yolculuğuna başlamak için beklenecek bir neden yok:

🚨 Acil dikkat gerektiren durumlar
  • YZ sistemleri bir envantere kayıtlı değil — hangi sistemlerin çalıştığı bilinmiyor
  • YZ kararlarını açıklayacak bir sorumluluk zinciri tanımlanmamış
  • Tedarikçilerin sağladığı YZ modelleri şeffaflık belgesi olmadan devrede
  • YZ tabanlı kararlar (kredi reddi, işe alım vb.) itiraz mekanizması olmaksızın uygulanıyor
  • Veri zehirlenmesi veya model kayması (model drift) için izleme mekanizması yok
  • YZ sistemlerinin kapsam ve limitleri çalışanlara net biçimde aktarılmamış

8. İlgili Standartlar ve Düzenleyici Çerçeve

Standart / Düzenleme Yayınlayan ISO 42001 ile İlişkisi
ISO/IEC 42001:2023 ISO / IEC Temel standart — AIMS çerçevesi
ISO/IEC 23894:2023 ISO / IEC YZ Risk Yönetimi rehberi — 42001 ile birlikte kullanılır
AB AI Act (2024/1689) Avrupa Birliği 42001 uyumluluk kanıtı olarak referans gösterilebilir
NIST AI RMF NIST (ABD) Tamamlayıcı çerçeve — özellikle risk metodolojisi için
ISO/IEC 27001:2022 ISO / IEC Entegrasyon zemini — ortak HLS yapısı
KVKK YZ Rehberi (Şubat 2026) KVKK Türkiye’de üretken YZ veri işleme gereklilikleri
BDDK YZ/ML Rehberi (taslak) BDDK Finansal sektörde YZ model risk yönetimi

ISO 42001 Yolculuğunuza Nerede Durduğunuzu Birlikte Değerlendirelim

Ücretsiz 30 dakikalık ön görüşmede kurumunuzun YZ envanterini ve mevcut boşluklarını konuşalım. ISO 27001 altyapınız varsa geçiş ne kadar sürer, yoksa nereden başlamalısınız — somut adımlarla çıkalım.

Ücretsiz Ön Görüşme İsteyin →

📞 0850 305 4223 · bilgi@securefors.com

İlgili Okumalar

Sosyal medyada paylaş
Facebook
Twitter
LinkedIn
Telegram