• 0212 541 25 53
  • 0533 050 77 58
  • This email address is being protected from spambots. You need JavaScript enabled to view it.
  • Pzt Cuma 09:00 20:00

Sık Sorulan Sorular

ISO 27001’de Risk Analizi Nasıl Yapılır? (2025 Adım Adım Kılavuz)

Bilgilendirme
Gösterim: 471

ISO 27001’de Risk Analizi Nasıl Yapılır? (2025 Adım Adım Kılavuz)

 

ISO/IEC 27001:2022 Bilgi Güvenliği Yönetim Sistemi’nin en kritik bileşenlerinden biri, kuşkusuz risk analizi sürecidir. Çünkü bilgi varlıklarının korunması; risklerin tanımlanması, değerlendirilmesi ve etkin şekilde yönetilmesiyle mümkündür.

Bu yazımızda 2025 yılı için güncel yaklaşım ve yöntemlerle adım adım ISO 27001 risk analizi nasıl yapılır? sorusunu açıklıyoruz.

Risk Analizi Nedir?

Risk analizi; bilgi varlıklarını tehdit eden unsurların, bu tehditlerin gerçekleşme olasılığı ve etkilerinin değerlendirilerek, uygun önlemlerin planlanmasını sağlayan sistematik bir yaklaşımdır.

ISO 27001:2022’de risk yönetimi kuruluşa özel olarak planlanmalı ve belgelendirilmelidir. Bu süreç, sadece IT departmanını değil, tüm bilgi işleyen birimleri kapsar.

Risk Analizi Aşamaları (Adım Adım)

1. Kapsam ve Yöntem Belirleme

  • Hangi süreçler ve bilgi varlıkları dahil edilecek?

  • Hangi risk değerlendirme yöntemi kullanılacak? (Nitel / Nicel / Yarı Nicel)

2. Varlıkların Envanterini Çıkarma

  • Donanım (sunucular, bilgisayarlar)

  • Yazılım (veritabanları, uygulamalar)

  • İnsan (personel, danışmanlar)

  • Bilgi (sözleşmeler, müşteri verileri)

3. Tehdit ve Zafiyetleri Belirleme

  • Fiziksel tehditler (yangın, su baskını)

  • Siber tehditler (zararlı yazılım, veri sızıntısı)

  • İnsan hatası (bilgisiz işlem, kötü niyet)

4. Risklerin Hesaplanması

  • Risk = Olasılık x Etki

  • Örneğin: E-posta sunucusunun dışarıdan erişime açık olması → Yüksek olasılık x Yüksek etki → Kritik risk

5. Risklerin Önceliklendirilmesi

  • Hangi riskler kabul edilebilir seviyede?

  • Hangi riskler için aksiyon alınmalı?

6. Riskin İşlenmesi (İşlem Stratejileri)

  • Reddet (Avoid): Süreci iptal et

  • Kabul Et (Accept): Risk seviyesini tolere et

  • Azalt (Mitigate): Kontroller uygula (firewall, eğitim, yedekleme)

  • Paylaş (Transfer): Sigorta, dış kaynak

7. Risk İşleme Planı Oluşturma

  • Kim, ne zaman, hangi kaynaklarla, hangi kontrolü uygulayacak?

8. İzleme ve Gözden Geçirme

  • Riskler zaman içinde değişebilir. Her yıl iç denetim ve yönetimin gözden geçirmesi ile güncelleme yapılmalıdır.

YYS Danışmanlık ile Güvenli Risk Yönetimi

YYS olarak, ISO 27001 kapsamındaki risk analizi süreçlerinde:

  • Uygun metodolojiyi birlikte seçiyor,

  • Bilgi varlıklarınızı envantere döküyor,

  • Olası riskleri hesaplıyor,

  • Uygulanabilir risk işleme planları oluşturuyoruz.

Her sektörün ihtiyaçlarına göre özelleştirilmiş risk analiz yaklaşımımızla hem belgelendirme sürecinizi kolaylaştırıyor hem de bilgi güvenliği kültürünü firmanıza kazandırıyoruz.

 

Sosyal Medya

© 2026 YYS Belgelendirme Eğitim Danışmanlık ve Test&Analiz Hizmetleri Tüm Hakları Saklıdır.