01 / AKIŞ
Sekiz aşama, tek döngü
Sertifikasyon denetimi aslında tek bir olay değil, PDCA döngüsü etrafında kurgulanmış sürekli bir süreçtir. Hazırlıktan sürveyansa kadar her aşamanın net çıktıları vardır.
01Plan
Hazırlık & Kapsam
BGYS kapsamı, organizasyon bağlamı (Md. 4) ve ilgili taraflar belirlenir. Üst yönetim taahhüdü alınır.
Çıktılar
· Kapsam beyanı
· Bağlam analizi
· Liderlik taahhüdü
02Plan
Risk Değerlendirme & SoA
Varlık–tehdit–zafiyet analizi, risk işleme planı ve Uygulanabilirlik Bildirgesi (SoA) hazırlanır.
Çıktılar
· Risk register
· Risk işleme planı
· Statement of Applicability
03Do
Kontrollerin Uygulanması
Annex A kontrolleri (Org / Kişi / Fiziksel / Teknoloji) hayata geçirilir, politikalar ve prosedürler yayınlanır.
Çıktılar
· Politika seti
· Teknik/idari tedbirler
· Farkındalık eğitimleri
04Check
İç Denetim (Md. 9.2)
Bağımsız iç denetçiler kontrollerin tasarım ve işletim etkinliğini test eder. Bulgular raporlanır.
Çıktılar
· İç denetim programı
· Uygunsuzluk raporları
· Düzeltici faaliyetler
05Check
Yönetimin Gözden Geçirmesi
Üst yönetim sistemin uygunluğunu, yeterliliğini ve etkinliğini değerlendirir (Md. 9.3). Kararlar alınır.
Çıktılar
· YGG tutanağı
· Kaynak kararları
· Performans göstergeleri
06Check
Stage 1 · Doküman Denetimi
Belgelendirme kuruluşu, BGYS dokümantasyonunun hazır olup olmadığını sahada kısa bir ziyaretle teyit eder.
Çıktılar
· Hazırlık raporu
· Stage 2 planı
· Gözlemler listesi
07Check
Stage 2 · Saha Denetimi
Derinlemesine kanıt toplama: mülakat, gözlem, örnekleme. Uygunsuzluklar sınıflandırılır (major/minor/observation).
Çıktılar
· Denetim raporu
· NCR listesi
· Sertifika tavsiyesi
08Act
Sertifika & Sürveyans
Sertifika 3 yıl geçerlidir. 1. ve 2. yıl sürveyans, 3. yıl yeniden belgelendirme denetimleriyle sürdürülür.
Çıktılar
· ISO 27001 sertifikası
· Yıllık sürveyans raporları
· Sürekli iyileştirme
PLAN
DO
CHECK
ACT
PDCA — Sürekli İyileştirme Döngüsü →
02 / KONTROLLER
Annex A · 93 kontrol, 4 tema
→ Annex A Denetim Kılavuzu — 93 kontrolün her biri için denetçi soruları, kanıt, bulgu/öneri çifti.
ISO 27001:2022 ile kontroller 14 başlıktan 4 ana temaya konsolide edildi. Denetçi her temadan örnekleme yaparak kanıt arar.
A.5
Organizasyonel Kontroller
Politikalar, roller, tedarikçi ilişkileri, olay yönetimi, iş sürekliliği
37
kontrol
A.6
Kişilerle İlgili Kontroller
Tarama, sözleşmeler, farkındalık, disiplin süreci, uzaktan çalışma
8
kontrol
A.7
Fiziksel Kontroller
Güvenli alanlar, ekipman, temiz masa, bakım, imha
14
kontrol
A.8
Teknolojik Kontroller
Erişim, şifreleme, log, yedek, ağ, uygulama güvenliği, secure dev
34
kontrol
◆ PLAN — Planla
Kapsam, risk, SoA
BGYS'in neyi koruyacağını ve hangi kontrollerin uygulanacağını kağıda dök.
◆ DO — Uygula
Kontrolleri işlet
Politikaları yayınla, teknik tedbirleri kur, eğitimleri ver, kayıt tut.
◆ CHECK — Kontrol et
Ölç, izle, denetle
KPI'ları topla, iç denetim yap, YGG ile yönetim gözden geçirmesini tamamla.
◆ ACT — İyileştir
Düzeltici faaliyet
Uygunsuzlukların kök nedenini bul, sistemi iyileştir, tekrarı önle.
03 / ROLLER
Kim, neyi, ne zaman?
Bir BGYS'yi tek kişi taşımaz. Denetim sürecinin her adımında roller netleşmelidir — aşağıda tipik bir RACI haritası.
Görev / Aşama
Üst Yönetim
BGYS Sorumlusu
Süreç Sahibi
İç Denetçi
Baş Denetçi (3. taraf)
Kapsam & liderlik taahhüdü
A
R
C
I
–
Risk değerlendirme & SoA
I
A/R
R
C
–
Kontrollerin uygulanması
I
A
R
I
–
İç denetim yürütme
I
C
C
R/A
–
Yönetimin gözden geçirmesi
R/A
C
I
I
–
Stage 1 & Stage 2 denetim
I
C
C
I
R/A
Düzeltici faaliyet & kapanış
I
A
R
C
C
R = Responsible (yapan) · A = Accountable (hesap veren) · C = Consulted (danışılan) · I = Informed (bilgilendirilen)
04 / BULGULAR
Tipik bulgular, üç sınıf
Her uygunsuzluk aynı ağırlıkta değildir. Major bulgular sertifikasyonu engeller; minor bulgular düzeltici faaliyet ister; gözlemler iyileştirme fırsatıdır.
◆ MAJOR · Uygunsuzluk
Risk işleme planı hiç uygulanmamış
Bulgu
Risk register'da "yüksek" olarak işaretlenen 12 risk için tanımlanan kontroller 9 ay sonra hâlâ aktive edilmemiş; üst yönetim haberdar değil.
Öneri
RTP'ye gerçekçi termin + sorumlu atayın; aylık yönetim raporuna "işlenmemiş yüksek risk" göstergesi ekleyin; kök nedeni dokümante edin.
İhlal: Md. 6.1.3 · 9.3 · Etki: Sertifika ertelenir
◆ MINOR · Uygunsuzluk
Erişim gözden geçirme periyodu kaçırılmış
Bulgu
Kritik sistemlerde kullanıcı erişim gözden geçirmesi 6 ayda bir gerekirken son gözden geçirme 9 ay önce yapılmış; kayıt yok.
Öneri
IAM sistemine otomatik hatırlatıcı kurun; her çeyrekte süreç sahibi imzasıyla kapatın; kaçırma durumunda escalation tanımlayın.
İhlal: A.5.18 Access rights · Etki: Düzeltici faaliyet planı
◆ OBSERVATION · Gözlem
Farkındalık eğitimi ölçümü zayıf
Bulgu
Yıllık eğitim tamamlama oranı %97 ancak eğitim etkinliği (quiz, phishing simülasyonu) ölçülmüyor.
Öneri
Yılda 2 kez phishing simülasyonu + role-bazlı mikro-öğrenme; tıklama/rapor oranını KPI olarak YGG'ye taşıyın.
İlgili: A.6.3 Awareness · Etki: Rapor notu, zorunlu değil
◆ MAJOR · Uygunsuzluk
Tedarikçi güvenliği dokümante değil
Bulgu
Kritik bulut tedarikçisiyle imzalı sözleşme güvenlik ekleri içermiyor; tedarikçi risk değerlendirmesi yapılmamış.
Öneri
Tedarikçi sınıflandırma matrisi kurun; kritik olanlara DPA + güvenlik eki zorunlu; yıllık DD (SOC 2 / ISO / pentest raporu) isteyin.
İhlal: A.5.19 · A.5.20 · Etki: Sertifika ertelenir
◆ MINOR · Uygunsuzluk
Log yönetimi eksik
Bulgu
2 kritik veritabanında audit log saklama süresi politikada yazan 12 ayın altında; log bütünlüğü (WORM) yok.
Öneri
Merkezi SIEM'e yönlendirip 12 ay cold-storage'a alın; log integrity için append-only bucket veya imza zinciri kurgulayın.
İhlal: A.8.15 Logging · Etki: 60 gün içinde düzeltme
◆ OBSERVATION · Gözlem
İş sürekliliği testleri minimal
Bulgu
BCP planı mevcut, yıllık tatbikat yapılıyor; ancak tatbikat senaryosu 3 yıldır değişmemiş ve yalnızca masa başı.
Öneri
Senaryoları güncel tehditlere göre rotasyona alın (ransomware, tedarikçi çökmesi, bölgesel kesinti); yılda 1 tane "live" test ekleyin.
İlgili: A.5.29 · A.5.30 · Etki: İyileştirme önerisi
05 / SORULAR
Denetçi ne sorar?
Saha denetiminde iyi bir denetçi "evet/hayır" soruları yerine kanıt çıkartan açık uçlu sorular kullanır. Denetlenen için kısa bir set:
→ Liderlik (Md. 5)
BGYS politikasının ana hedefleri nelerdir ve üst yönetim bu hedeflere ne sıklıkla geri dönüyor? Son YGG tutanağını gösterebilir misiniz?
Kanıt: YGG tutanağı, politika imzası, KPI raporu
→ Risk (Md. 6.1)
Risk metodolojiniz nedir? Son 6 ayda risk register'ına eklenen 3 riski ve bunların işleme planını görmek istiyorum.
Kanıt: Risk register, RTP, SoA
→ Erişim (A.5.15 – A.5.18)
X sistemine son 30 gün içinde eklenen kullanıcı kim? Onay kaydı var mı? Ayrıcalıklı hesaplar nasıl ayrıştırılıyor?
Kanıt: IAM log'u, onay e-postası, rol matrisi
→ Olay Yönetimi (A.5.24 – A.5.28)
Son yaşadığınız güvenlik olayını anlatır mısınız? Tespit, müdahale ve ders çıkarma aşamalarında zaman çizelgesi neydi?
Kanıt: Incident ticket, post-mortem, iyileştirme listesi
→ Tedarikçi (A.5.19 – A.5.23)
Kritik tedarikçilerinizi nasıl sınıflandırıyorsunuz? Her biri için güvenlik gereksinimleri sözleşmelerde nerede yazıyor?
Kanıt: Tedarikçi envanteri, sözleşme ekleri, DD raporu
→ Sürekli İyileştirme (Md. 10)
Geçen yılın iç denetiminde çıkan en önemli bulgu hangisiydi ve onu nasıl kapattığınızı kanıtlayabilir misiniz?
Kanıt: NCR kayıt, kök neden analizi, doğrulama
06 / RİSK · KONTROL
Risk–kontrol matrisi, çalışan örnek
Risk değerlendirme, likelihood × impact ile puanlanır. Her yüksek/kritik risk en az bir Annex A kontrolüne bağlanmalıdır.
◆ Bu Matris Nasıl Okunur?
1 · İki eksen var
Dikey eksen
Etki — risk gerçekleşirse ne kadar zarar verir.
Yatay eksen
Olasılık — o riskin gerçekleşme ihtimali ne kadar.
2 · Skoru hesapla
Etki seviyesi × Olasılık seviyesi = Risk skoru.
Örnek: Etki Kritik (5) × Olasılık Yüksek (4) =
20 — Kritik
3 · Renk ne anlama gelir?
■ Yeşil (1–6) Kabul edilebilir, izle
■ Sarı (8–12) Önlem planla
■ Kırmızı (15–25) Acil aksiyon gerekli
Sağ tabloda her yüksek riske karşı hangi Annex A kontrollerinin uygulanması gerektiği gösteriliyor. Skor ne kadar yüksekse o risk için birden fazla kontrol devreye alınmalıdır.
Etki ↓ / Olasılık →
Çok Düşük
Düşük
Orta
Yüksek
Çok Yüksek
Kritik
5
10
15
20
25
Yüksek
4
8
12
16
20
Orta
3
6
9
12
15
Düşük
2
4
6
8
10
Çok Düşük
1
2
3
4
5
Örnek risk → kontrol eşleşmeleri
| Risk | Skor | Kontrol |
|---|
Phishing ile kimlik sızıntısı
Olasılık: Yüksek · Etki: Kritik |
20 |
A.5.17 · A.6.3 · A.8.5 |
Yetkisiz bulut erişimi
Olasılık: Orta · Etki: Kritik |
15 |
A.5.15 · A.5.23 · A.8.3 |
Kaynak kod sızıntısı
Olasılık: Düşük · Etki: Yüksek |
8 |
A.8.4 · A.8.28 |
Dizüstü hırsızlığı
Olasılık: Orta · Etki: Orta |
9 |
A.7.7 · A.8.1 · A.8.24 |
Tedarikçi veri ihlali
Olasılık: Düşük · Etki: Kritik |
10 |
A.5.19 – A.5.23 |
İç çalışan hatası (log silme)
Olasılık: Çok Düşük · Etki: Yüksek |
4 |
A.8.15 · A.5.10 |