ISO 27001 yazılım firmaları için artık opsiyonel bir rozet değil; kurumsal RFP’lerin, KVKK denetimlerinin ve uluslararası SaaS satışının kapı bekçisi haline geldi. ISO/IEC 27001:2022 revizyonu 93 kontrol (eski 114’ten daraltıldı, 11 yeni kontrol eklendi) ile organizasyonel, kişi, fiziksel ve teknolojik 4 ana tema getirdi. Türkiye’de bir yazılım firmasının sertifika alma süreci stage-1 ve stage-2 audit dahil ortalama 6-9 ay sürüyor; akreditasyon maliyetleri 80.000 TL ile 350.000 TL arasında değişiyor. Bu yazıda ISO 27001:2022’nin yazılım firmalarına özgü uygulamasını, kontrol haritasını, gap analizinden sürveyans denetimine kadar yol haritasını ve sık yapılan hataları teknik derinlikle ele alıyoruz.
ISO 27001:2022 Yazılım Firmaları İçin Ne Anlama Geliyor?
ISO/IEC 27001:2022 Ekim 2022’de yayımlandı ve geçiş dönemi 31 Ekim 2025’te sona erdi. 2026 itibarıyla tüm sertifikalar yeni standarda uyumlu olmak zorunda; 2013 sürümünden kalan belgeler geçersiz. Standardın yazılım firmaları için en kritik farkı, Annex A kontrollerinin 114’ten 93’e indirilmesi değil; Threat Intelligence (A.5.7), Cloud Services (A.5.23), ICT Readiness for BC (A.5.30), Data Masking (A.8.11), DLP (A.8.12), Monitoring (A.8.16), Web Filtering (A.8.23), Secure Coding (A.8.28), Configuration Management (A.8.9), Information Deletion (A.8.10) ve Physical Security Monitoring (A.7.4) olmak üzere 11 yeni kontrolün eklenmesidir. Bu kontroller modern DevSecOps, cloud-native ve SaaS operasyonlarına dokunduğu için uyum yükü ciddi arttı.
ENISA’nın 2024 Threat Landscape raporuna göre tedarik zinciri saldırıları yıllık %38 artış gösterdi; kurumsal alıcılar yazılım vendor’larından ISO 27001 + SOC 2 ikilisini standart kabul ediyor. KVKK VERBİS’e kayıtlı 1.7 milyondan fazla veri sorumlusunun çalıştığı SaaS sağlayıcıları için ISO 27001 fiilen zorunlu. NIS2 ve KVKK denetimlerinde sertifika varlığı denetimcinin due diligence yargısını doğrudan etkiliyor.
| Standart Versiyonu | Yayın Tarihi | Kontrol Sayısı | Tema Sayısı | Geçerlilik 2026 |
|---|---|---|---|---|
| ISO/IEC 27001:2005 | Ekim 2005 | 133 | 11 | Geçersiz |
| ISO/IEC 27001:2013 | Ekim 2013 | 114 | 14 | Geçersiz (31 Ekim 2025 son) |
| ISO/IEC 27001:2022 | Ekim 2022 | 93 | 4 | Aktif zorunlu |
| ISO/IEC 27002:2022 (rehber) | Şubat 2022 | 93 detaylı | 4 | Uygulama rehberi |
| ISO/IEC 27001 Amd 1:2024 | Şubat 2024 | 93 + İklim | 4 | İklim değişikliği ek maddesi |
Sertifikasyon Süreci: Gap Analizinden Stage-2 Auditine
ISO 27001 süreci 7 aşamada modellenir: scope tanımı, gap analizi, ISMS kurulum ve dökümantasyon, risk assessment + treatment, kontrol uygulama, internal audit + management review, akredite belgelendirme kuruluşunca stage-1 ve stage-2 auditler. 30-80 kişilik SaaS firması için 6-9 ay, 100+ kişilik enterprise için 9-14 ay sürer. DevSecOps shift-left yerleşik olan firmalarda A.8.25 ve A.8.28 kontrolleri anlamlı kısalır.
- Aşama 1 — Scope tanımı (1-2 hafta): ISMS kapsam dokümanı, lokasyonlar, ürün/servis listesi, veri akışları, alt yükleniciler. Scope’u dar tutmak maliyeti ve süreyi düşürür; müşteri kontratları all production environments diyorsa daraltılamaz.
- Aşama 2 — Gap analizi (2-4 hafta): 93 Annex A kontrolüne karşı mevcut durumun (Yok/Kısmi/Tam) cetveli. Çoğu firmada ilk skor %35-50 civarı.
- Aşama 3 — ISMS dökümantasyon (1-2 ay): Bilgi Güvenliği Politikası, SoA, Risk Assessment Metodolojisi, Risk Treatment Plan, 25-40 destek prosedürü.
- Aşama 4 — Risk değerlendirme (3-6 hafta): Asset inventory, threat-vulnerability eşleştirme, risk hesabı (likelihood × impact), Risk Treatment Plan ile kontrol seçimi.
- Aşama 5 — Kontrol uygulama (2-4 ay): En uzun aşama; MFA, log management, secure SDLC, supplier review, BCP testleri.
- Aşama 6 — İç denetim + management review (3-4 hafta): En az 1 tam internal audit cycle, yönetim tutanağı zorunlu.
- Aşama 7 — Sertifikasyon auditleri (4-8 hafta): Stage-1 dökümantasyon (1-2 gün), Stage-2 implementation (3-5 gün), bulgu kapama 30-90 gün.
| Firma Boyutu | Toplam Süre | Danışmanlık Maliyeti (TL) | Belgelendirme Maliyeti (TL) | Tahmini İç İnsan-Saati |
|---|---|---|---|---|
| 10-30 kişi (mikro SaaS) | 5-7 ay | 80.000 – 150.000 | 40.000 – 70.000 | 400-600 |
| 30-80 kişi (KOBİ yazılım) | 6-9 ay | 150.000 – 250.000 | 70.000 – 120.000 | 700-1100 |
| 80-200 kişi (orta ölçek) | 8-12 ay | 250.000 – 400.000 | 120.000 – 200.000 | 1200-1800 |
| 200-500 kişi (büyük SaaS) | 10-14 ay | 400.000 – 700.000 | 200.000 – 350.000 | 2000-3000 |
| 500+ kişi (enterprise) | 12-18 ay | 700.000+ | 350.000+ | 3500+ |
Annex A Kontrolleri ve Yazılım Firmasında Uygulama Karşılığı
2022 revizyonu Annex A’yı 4 tema altında topladı: A.5 Organizational (37), A.6 People (8), A.7 Physical (14), A.8 Technological (34). Yazılım firmaları için ağırlık A.5 ve A.8 üzerinde; A.7 genelde co-location DC veya hibrit ofis ile karşılanıyor. Kontroller shall implement demiyor — risk-based seçim: SoA dokümanında her kontrol için Uygulanabilir mi / Uygulama biçimi / Kanıt referansı üçlüsü zorunlu. Kontrol dışı bırakma her zaman gerekçelendirilmek zorunda.
Kritik yeni kontrollerden A.5.7 Threat Intelligence için MISP, OpenCTI veya ticari TI feed entegrasyonu beklenir; haftalık TI brief’i ve SIEM korelasyon kuralları kanıt olarak istenir. A.8.28 Secure Coding için OWASP ASVS L2 baseline, SAST aracı (SonarQube, Snyk Code, Semgrep) ve PR-blocking quality gate, eğitim kayıtları auditörün ilk istediği belgeler arasında. SAST/DAST/IAST üçlüsünün CI/CD pipeline’ına entegre edilmesi A.8.28 ve A.8.29 (Security Testing in Development) için kanıt oluşturur.
| Annex A Kodu | Kontrol Adı | Yazılım Firmasında Karşılığı | Beklenen Kanıt |
|---|---|---|---|
| A.5.7 | Threat Intelligence | MISP/OpenCTI feed, weekly TI brief | TI raporu, SIEM kural log |
| A.5.23 | Information Security for Cloud Services | AWS/Azure/GCP shared responsibility matrix | Cloud security baseline doc, CIS benchmark report |
| A.5.30 | ICT Readiness for BC | RTO/RPO testleri, DR drill | Drill raporu, post-mortem |
| A.8.9 | Configuration Management | IaC (Terraform), drift detection | Terraform state, AWS Config rules |
| A.8.10 | Information Deletion | Data retention policy, secure wipe | S3 lifecycle, GDPR/KVKK delete log |
| A.8.11 | Data Masking | PII masking in non-prod env | Masking job log, sample audit |
| A.8.12 | Data Leakage Prevention | DLP (Microsoft Purview, Symantec), egress filter | DLP policy, alert history |
| A.8.16 | Monitoring Activities | SIEM (Splunk, Sentinel, Wazuh), 24/7 MDR | SIEM dashboard, alert metrics |
| A.8.23 | Web Filtering | DNS filtering (Cisco Umbrella, NextDNS) | Filter policy, block log |
| A.8.28 | Secure Coding | OWASP ASVS, SAST, code review | SonarQube quality gate, PR records |
Risk Yönetimi: Yazılım Firmasında Asset, Threat ve Risk Treatment
ISO 27001 Madde 6.1.2-6.1.3 risk değerlendirme ve işleme prosedürlerini şart koşar. Yazılım firmasında asset envanteri yalnızca laptop ve sunucu listesi değildir; kaynak kodu repoları, CI/CD pipeline’ları, container imajları, API token’ları, müşteri verisi içeren veritabanları, üçüncü-taraf SaaS hesapları, domain ve sertifikalar, build artefact’ları, kişi-bağımlı bilgi hepsi ayrı asset class. NIST SP 800-30 threat-source taksonomisi (adversarial, accidental, structural, environmental) bu contexte adaptasyonla kullanılmalı.
Risk hesaplama metodolojisi olarak en yaygını qualitative 5×5 matris (Likelihood × Impact = Risk Score 1-25). FAIR gibi quantitative modeller 200+ kişilik organizasyonlarda yatırım dönüşü sağlar. Risk treatment 4 seçenektir: Modify, Avoid, Transfer, Retain. Zero Trust mimari birçok ağ/erişim riski için tek modify aksiyonu olarak tercih ediliyor. Secret management Vault uygulaması A.5.17 için doğrudan kanıttır.
- Avantaj — Qualitative 5×5: Hızlı uygulanır, küçük takımda anlaşılır, audit’te yeterli kabul görür.
- Dezavantaj — Qualitative 5×5: Subjektif, finansal karar destek zayıf, karşılaştırılabilirlik düşük.
- Avantaj — FAIR Quantitative: ALE (Annualized Loss Expectancy) cinsinden TL/USD raporlama, CFO/yönetim için ROI anlamlı.
- Dezavantaj — FAIR: Eğitilmiş analist gerektirir, data toplama maliyetli, ilk uygulamada 3-6 ay yatırım.
- Ne zaman seç: 100 kişi altı SaaS için 5×5 matris yeterli; 200+ veya regülasyon-yoğun (fintech, sağlık) sektörler için FAIR + 5×5 hibrit.
Akredite Belgelendirme Kuruluşu Nasıl Seçilir?
Türkiye’de ISO 27001 belgelendirme yapan onlarca kuruluş var, ancak hepsi akredite değil. Tek geçerli akreditasyon mercii TÜRKAK; uluslararası geçerlilik için IAF MLA imzacısı bir akreditörden (UKAS, ANAB, ACCREDIA) alınan belge tercih edilir. TÜRKAK akreditasyonu Türkiye’deki çoğu kurumsal müşteri için yeterli; ancak ABD, AB veya İngiliz alıcılarla çalışan SaaS firmalarının UKAS akrediteli (BSI, LRQA) veya ANAB akrediteli (Schellman, A-LIGN) firmaları tercih etmesi tavsiye edilir.
| Belgelendirme Kuruluşu | Akreditör | Yıllık Fiyat Aralığı (TL) | Audit Stili | Uluslararası Tanınırlık |
|---|---|---|---|---|
| TSE | TÜRKAK | 80.000 – 200.000 | Geleneksel, dokümantasyon ağırlıklı | Türkiye odaklı |
| BSI Türkiye | UKAS | 180.000 – 400.000 | Risk tabanlı, derinlemesine | Yüksek (global) |
| Bureau Veritas | UKAS / TÜRKAK | 150.000 – 350.000 | Sektörel uzmanlık | Yüksek |
| SGS Türkiye | UKAS / TÜRKAK | 140.000 – 320.000 | Pragmatik | Yüksek |
| DNV | UKAS / NA | 180.000 – 380.000 | Norveç ekolü, operasyonel | Yüksek (özellikle EU) |
| TÜV SÜD | DAkkS / TÜRKAK | 170.000 – 360.000 | Alman titizliği | Yüksek (DACH bölgesi) |
Sertifika 3 yıl geçerlidir; yıllık sürveyans zorunlu — stage-1 + stage-2 + 2 sürveyans ve 3. yıl recertification. Sürveyans başlangıç maliyetinin %40-50’si; recertification %60-80’i. 3 yıllık TCO hesabı vendor seçiminin asıl matematiği.
Yazılım SDLC ile ISMS Entegrasyonu
2013’ten 2022’ye geçişin yazılım firmaları için en pratik faydası, Annex A.8.25 (Secure SDLC), A.8.26 (App Security Requirements), A.8.27 (Secure Architecture), A.8.28 (Secure Coding) ve A.8.29 (Security Testing) kontrollerinin SDLC ile birebir hizalanmasıdır. Modern bir yazılım firmasında ISMS’in SDLC’den ayrı çalışması imkansız; her PR, release ve infrastructure değişikliği aslında bir change record’dur ve A.8.32 ile A.8.31 kontrolünün kanıtıdır.
OWASP SAMM veya BSIMM çerçevesi A.8.25 için referans framework olarak kullanılabilir. Auditörlerin beklediği belgeler: secure coding standardı (dil-bazlı), threat modeling kayıtları (STRIDE veya PASTA), code review checklist, dependency scanning (Dependabot, Snyk Open Source), container image scanning (Trivy), SBOM ve SLSA framework uygulaması. Container güvenliği Docker imaj imzalama (cosign) ve Kubernetes admission control ile A.8.27 için güçlü kanıttır.
| SDLC Fazı | İlgili Annex A Kontrolü | Pratik Uygulama | Otomasyon Aracı |
|---|---|---|---|
| Requirement | A.8.26 App Security Req | OWASP ASVS L2 baseline | Jira template, security stories |
| Design | A.8.27 Secure Architecture | Threat modeling (STRIDE) | OWASP Threat Dragon, IriusRisk |
| Code | A.8.28 Secure Coding | Linter + SAST + standart | SonarQube, Snyk Code, Semgrep |
| Build | A.8.9 Configuration Mgmt | IaC scanning, SBOM | Checkov, tfsec, Syft |
| Test | A.8.29 Security Testing | DAST, IAST, pen test | OWASP ZAP, Burp, Contrast |
| Deploy | A.8.32 Change Mgmt | GitOps, signed releases | ArgoCD, Cosign, Sigstore |
| Operate | A.8.16 Monitoring | SIEM + EDR + APM | Splunk, Sentinel, Datadog |
Cloud ve Tedarik Zinciri Kontrolleri
A.5.23 (Cloud Services) ve A.5.21 (ICT Supply Chain) 2022 revizyonunun en zorlayıcı kısımları. Bir SaaS firması AWS, GCP, Azure üzerinde çalışıyorsa shared responsibility matrix dokümante edilmeli — auditör için bu zorunlu. AWS ISO 27001:2022 sertifikalı kalır ve raporu AWS Artifact üzerinden sunar; Google Cloud ve Microsoft Azure güncel raporlarını portal’larından paylaşır; bu raporlar firma SoA’sına ek konulmalı.
Üçüncü-taraf risk yönetimi (TPRM) artık ayrı bir disiplin. ENISA’ya göre 2024’te global ihlallerin yaklaşık %33’ü tedarik zinciri kaynaklı. ISO 27001 A.5.19, A.5.20, A.5.21, A.5.22 ve A.5.23 topluca tedarik zinciri kontrolünü oluşturur. Pratik uygulama: sub-processor listesi, her birinin sertifika durumu (ISO 27001 / SOC 2 / CAIQ), DPA imza durumu ve yıllık review kaydı.
- Adım 1 — Vendor envanteri: Tüm SaaS, IaaS, PaaS, açık kaynak destek vendor’ları (Slack, GitHub, Datadog, AWS, OpenAI, Stripe, vb.) listelenir.
- Adım 2 — Sınıflandırma: Kritik / Önemli / Düşük etki (müşteri verisi işliyor mu, downtime etkisi var mı).
- Adım 3 — Belge toplama: ISO 27001 sertifika kopyası, SOC 2 Type II raporu, CAIQ Lite/Full, DPA, varsa Pen-test özet.
- Adım 4 — Risk skoru: Vendor risk skoru (0-100), eşik altındakiler için risk treatment.
- Adım 5 — Yıllık review: Sertifika yenileme tarihleri takip edilir, sürveyans denetim raporu istenir.
- Adım 6 — Off-boarding: Sözleşme sona erince veri silme/iade prosedürü ve kanıtı.
Access Management, Identity ve Cryptography Kontrolleri
Annex A teknolojik bölümü kimlik-erişim için A.8.2 (Privileged Access), A.8.3 (Access Restriction), A.8.4 (Access to Source Code), A.8.5 (Secure Authentication) ve A.5.17 (Authentication Information) kontrollerini içerir. Pratik beklenti: SSO + MFA zorunluluğu (Okta, Microsoft Entra ID), PAM çözümü (CyberArk, Teleport), kod repolarına 4-eye review, JIT erişim modeli, quarterly access review log kaydı.
Verizon DBIR 2024 raporuna göre ihlallerin %68’i insan faktörü kaynaklı (sosyal mühendislik, çalınmış credential, hatalı yapılandırma). Bu istatistik MFA ve OAuth 2.1 / OpenID Connect uygulamasının kritikliğini gösteriyor. A.8.5 için phishing-resistant MFA (WebAuthn, FIDO2, hardware token) artık 2022 sürümünde “industry good practice” olarak yorumlanıyor; SMS tabanlı OTP audit’te downgrade önerisi ile dönebilir. RBAC, ABAC, ReBAC modellerinin doğru seçimi A.8.3 için risk seviyesini ciddi düşürür.
Cryptography kontrolü A.8.24 altında. Beklenen baseline: TLS 1.2 minimum (TLS 1.3 önerilen), at-rest encryption (AES-256-GCM), key management (AWS KMS, GCP KMS, HashiCorp Vault), key rotation policy, HSM kullanımı kritik anahtarlar için, deprecated algoritmaların yasaklanması (MD5, SHA-1, 3DES, RC4, RSA 1024). NIST SP 800-131A cryptographic transition rehberi audit tartışmalarında sık referans verilen doküman.
Olay Yönetimi, İş Sürekliliği ve KVKK Hizalama
A.5.24-A.5.28 (incident management planning, assessment, response, learning, evidence collection) kontrolleri incident response capability’yi tanımlar. Beklenen artefaktlar: IR playbook’u, severity matrix (P1-P4), on-call rotation, post-mortem template, incident tracking sistemi (PagerDuty, Jira, OpsGenie) ve yıllık tabletop exercise kaydı. Penetration testing sonuçlarının remediation log’u da bu kontrol setinin kanıtıdır.
KVKK Madde 12/5 veri ihlali bildirim zorunluluğunu 72 saat olarak belirler. ISO 27001 incident management prosedürü KVKK bildirim akışıyla entegre olmalı; aksi halde audit’te regulatory alignment eksikliği bulgu olarak çıkar. NIS2 direktifi (AB iş yapan firmalar için zorunlu) 24 saat early warning + 72 saat incident notification + 1 ay final report düzeni getirir.
- RTO (Recovery Time Objective): Servisin yeniden çalışır hale gelme hedef süresi. Tier-1 SaaS için tipik 1-4 saat.
- RPO (Recovery Point Objective): Kabul edilebilir veri kaybı penceresi. Tipik 15 dakika – 1 saat.
- MTTD (Mean Time to Detect): Bir incident’ı tespit etme süresi. Mature SIEM ile dakikalar mertebesinde.
- MTTR (Mean Time to Respond): Tespitten sonra response başlama süresi. SLA’larla bağlı.
- DR Drill frequency: Yıllık minimum 1, kritik fintech için yarıyılda 1.
Sertifikasyon Sonrası: Sürdürülebilirlik ve Yaygın Hatalar
Sertifika alındıktan sonraki ilk 12 ay genelde audit travmasından çıkış dönemi olarak yaşanır; takım rahatlar, dökümantasyon güncellenmez, kontroller set-and-forget haline gelir. Bu durum sürveyans denetiminde major non-conformity ile sonuçlanır ve sertifika askıya alınabilir. İptal vakalarının yaklaşık %20-25’i sürveyans bulgularının kapatılamamasından kaynaklanır (akreditörlerin yıllık raporlarından derlenen tahmini değer).
Sürdürülebilirlik için ISMS owner, Information Security Committee (aylık, üst yönetim sponsorlu) ve continuous compliance otomasyonu (Drata, Vanta, Sprinto, Secureframe gibi GRC platformları) kritik. Vanta ve Drata 2024 itibarıyla 7000+ entegrasyon ile en yaygın çözümler; aylık $400-2000 maliyetle ISO 27001 evidence collection otomasyonu sağlıyor. Akredite belgelendirme kuruluşları bu araçların output’unu birincil değil destekleyici kanıt olarak değerlendiriyor.
En sık karşılaşılan 7 hata: (1) Scope’u çok geniş tutup audit maliyetini patlatma, (2) SoA’da kontrolleri uygulanabilir işaretleyip kanıt üretmeme, (3) Risk assessment’ı tek seferlik doküman gibi yapıp güncellememe, (4) Asset envanterinin cloud-native asset’leri (S3, RDS, container imajı) içermemesi, (5) Vendor review’ı yıllık tekrar etmeme, (6) İç audit’i danışmana yaptırma, (7) Yönetim gözden geçirme toplantısının tutanaksız bırakılması. Bu süreçleri kurarken Ömer Önal’ın deneyiminden yararlanmak isteyenler için danışmanlık değerlendirmesi de seçenekler arasında.
| Yaygın Hata | Risk Sonucu | Düzeltici Aksiyon | Önleyici Kontrol |
|---|---|---|---|
| Geniş scope | Audit maliyeti %40-80 artar | Scope re-definition | İlk yıl dar başla |
| Kanıtsız SoA | Major NC, sertifika risk | Evidence backlog kapatma sprint’i | SoA’da “kanıt referansı” kolonu zorunlu |
| Statik risk register | Audit bulgusu, minor NC | Aylık review meeting | Risk owner atama |
| Eksik asset | Shadow IT, ihlal riski | Cloud asset discovery | CSPM aracı (Wiz, Prisma) |
| Vendor review boşluğu | Supply chain exposure | TPRM platformu | Quarterly cadence |
| Bağımlı iç audit | Bağımsızlık ihlali | İç audit’ör eğitimi | Çapraz departman audit’or |
| Tutanaksız MR | “No evidence of leadership” | Önceki toplantılar reconstruction | MR template + sponsor |
Sık Sorulan Sorular (SSS)
ISO 27001 sertifikası bir yazılım firmasına ne kadar sürede çıkar?
Firma boyutu ve mevcut güvenlik olgunluğuna göre 5 ile 14 ay arasında değişir. 30-80 kişilik bir SaaS firmasında tipik süre 6-9 ay; gap analizi, ISMS kurulum, risk değerlendirme, kontrol uygulama, iç denetim ve stage-1/stage-2 audit dahil. Mevcut DevSecOps olgunluğu yüksek firmalar bu süreyi anlamlı şekilde kısaltabilir.
ISO 27001:2013 sertifikam var, 2022’ye geçiş için ne yapmalıyım?
31 Ekim 2025 itibarıyla 2013 sürümü geçersiz; 2026 yılında geçerli tek sürüm 2022’dir. Geçiş için yeni 11 kontrolün (Threat Intelligence, Cloud Services, Secure Coding, Data Masking, DLP, vb.) uygulanması, SoA güncellenmesi ve transition auditi gerekir. Transition audit normal sürveyans denetimi ile birleştirilebilir, böylece ekstra maliyet 1.5-2 kat artış aralığında kalır.
ISO 27001 ile SOC 2 arasındaki temel fark nedir?
ISO 27001 uluslararası bir standarttır ve sertifika verir; SOC 2 AICPA tarafından geliştirilen ABD çıkışlı bir attestation raporudur (sertifika değil, denetim raporu). ISO 27001 risk-based ve ISMS odaklıdır; SOC 2 Trust Service Criteria (security, availability, processing integrity, confidentiality, privacy) etrafında kuruludur. Çoğu enterprise SaaS firması her ikisini birlikte tutar; %60-70 kontrol örtüşmesi mevcut.
Akredite olmayan ISO 27001 sertifikası geçerli mi?
Teknik olarak ISO 27001 belgesi diyebilirsiniz ancak akredite olmayan sertifikalar uluslararası tedarik zincirlerinde, kurumsal RFP’lerde ve denetimlerde kabul görmez. TÜRKAK (Türkiye), UKAS (İngiltere), ANAB (ABD), ACCREDIA (İtalya) gibi IAF MLA üyesi akreditörlerden alınmış belgeler “geçerli” sayılır. Akreditasyon olmadan alınan belgeler düşük itibarlı kabul edilir.
Küçük bir yazılım firması ISO 27001 almalı mı?
10-20 kişilik mikro SaaS firmaları için ROI analizi gerekir. Eğer kurumsal müşteriler (banka, sigorta, sağlık, kamu) hedefleniyorsa veya AB pazarına satış yapılıyorsa cevap “evet” yönünde. B2C ürün satan küçük firmalar için ilk aşamada ISO 27001 Foundation Light yaklaşımı (gap analizi + temel ISMS, sertifikasyona sonra geçiş) genelde daha pragmatik.
Sonuç
ISO 27001:2022 yazılım firmaları için artık compliance rozeti değil; kurumsal satışın, KVKK uyumunun ve uluslararası açılımın eşik koşulu. 2022 revizyonunun 11 yeni kontrolü — Threat Intelligence, Cloud Services, Secure Coding, Data Masking, DLP — modern DevSecOps pratikleriyle güçlü hizalanmış; iyi mühendislik kültürü olan firmalar avantajlı başlıyor. Sertifikasyon ortalama 6-9 ay, toplam yatırım 150.000-700.000 TL bandında; gerçek maliyet kalemi 3 yıllık sürdürülebilirlik kapasitesi.
Karar çerçevesi üç soruya indirgenebilir: (1) Müşteri portföyünde ISO 27001 isteyen alıcı var mı veya 12 ay içinde olacak mı? (2) En az 1 tam zamanlı ISMS owner ayırma kapasitesi var mı? (3) 3 yıllık TCO iş hedefiyle uyumlu mu? Üç soruya da evet çıkıyorsa süreç başlatılmalı; hayır varsa önce gap analizi ve hazırlık dönemi tavsiye edilir.
Pratik bir sonraki adım: gap analizi öncesi 93 Annex A kontrolünün ne kadarını karşıladığınızı 4 saatlik self-assessment ile çıkarabilirsiniz. Süreç planlaması, scope optimization veya belgelendirme kuruluşu seçimi için iletişim sayfası üzerinden görüşme talep edebilirsiniz. Standart metni için ISO resmi sayfası, kontrol rehberi için ISO/IEC 27002:2022, akreditasyon için TÜRKAK, threat landscape için ENISA Threat Landscape 2024, risk yönetimi için NIST SP 800-30, ihlal istatistikleri için Verizon DBIR ve cloud baseline için AWS ISO 27001 birinci elden kaynaklardır.
Ömer ÖNAL
Mayıs 16, 2026Kurumsal güvenlik denetimlerinde sıkça karşılaştığım bir gerçek: zayıflıkların %60’ından fazlası bilinen ama yamanmamış component’lerden geliyor. Bu konuda denetim süreçlerinizi nasıl yönetiyorsunuz? Yorumlara yazabilirsiniz.