• 0212 541 25 53
  • 0533 050 77 58
  • This email address is being protected from spambots. You need JavaScript enabled to view it.
  • Pzt Cuma 09:00 20:00

Sık Sorulan Sorular

ISO 27001 Kapsam Belirleme Nasıl Yapılır? (Uygulamalı 2025 Rehberi)

Bilgilendirme
Gösterim: 475

ISO 27001 Kapsam Belirleme Nasıl Yapılır? (Uygulamalı 2025 Rehberi)

ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi’ni kurarken en kritik adımlardan biri, hiç şüphesiz kapsam belirleme sürecidir.


Sistemi kimler için, nerede, hangi süreçleri kapsayacak şekilde kuracağınızı doğru şekilde tanımlamak, hem belge geçerliliğiniz hem de denetim başarınız için temel taşıdır.

ISO 27001 Kapsamı Ne Demektir?

Kapsam, kuruluşun ISO 27001 sistemini hangi faaliyet alanları, bölümler, lokasyonlar ve teknolojik sınırlar dahilinde uygulayacağını gösteren çerçevedir.

ISO 27001 kapsamı, belgelendirme denetim raporlarında, sertifikalarda ve politika belgelerinde açıkça beyan edilmelidir.

Kapsam Belirleme Neden Önemlidir?

  • Sertifikanın neyi kapsadığını netleştirir

  • Uygulama sınırlarını belirleyerek kaynak israfını önler

  • Denetim sırasında hangi alanların değerlendirileceğini ortaya koyar

  • Hatalı kapsam seçimi, uygunsuzluk sebebi olabilir

ISO 27001 Kapsamı Nasıl Belirlenir? (Adım Adım)

1. Kuruluşun Bağlamı Analiz Edilir

  • İç ve dış hususlar (müşteri talepleri, regülasyonlar, sektör beklentileri) gözden geçirilir.

  • Örn: KVKK’ya tabi bir firma, kişisel veri içeren süreçleri dışarıda bırakamaz.

2. İlgili Tarafların Beklentileri Belirlenir

  • Müşteriler, tedarikçiler, çalışanlar, yasal otoriteler kim?

  • Bilgi güvenliği açısından bu taraflardan gelen beklentiler neler?

3. Faaliyet Alanları Netleştirilir

  • Üretim mi? Yazılım mı? Eğitim mi? Ar-Ge mi?

  • Alt şirketler, iştirakler veya departmanlar dahil mi, değil mi?

4. Fiziksel ve Dijital Sınırlar Tanımlanır

  • Hangi binalar, ofisler, veri merkezleri dahil olacak?

  • Sadece ana merkez mi, yoksa şubeler de dahil mi?

5. Süreç ve Departman Bazlı Seçim Yapılır

  • Tüm süreçler mi dahil edilecek? Yoksa sadece belirli bölümler mi?

  • Örn: Sadece BT departmanını kapsayan sistemler de olabilir.

6. Hariç Tutmalar Gerekçesiyle Belirtilmelidir

  • Hariç tutulan süreçlerin bilgi güvenliği açısından ilgili olmaması gerekir.

  • Örn: Muhasebe süreçleri sisteme bilgi girdisi yapmıyorsa dışarıda bırakılabilir.

Kapsam Tanımı Örnekleri

Doğru Örnek:

“Yazılım geliştirme, sistem yönetimi, veri barındırma ve destek hizmetleri kapsamında bilgi güvenliğinin yönetilmesi.”

Yanlış Örnek:

“Bilgi sistemleri” (çok genel – hangi süreçler, nerede, kim için belirsiz)

Kapsam Belirlemede Dikkat Edilmesi Gerekenler

  • ISO 27001 kapsamı, bilgi güvenliği politikasıyla uyumlu olmalıdır.

  • Hariç tutmalar açıklanmalı, gerekçeleri kayıt altına alınmalıdır.

  • Kapsam, belgelendirme kuruluşuna yazılı olarak beyan edilmeli ve denetime hazır hale getirilmelidir.

YYS Danışmanlık ile Doğru Kapsamla Başlayın

YYS olarak, ISO 27001 sistemi kurulumunda:

  • Sektörünüze özel kapsam analizi yapıyor,

  • Gereksiz harcamaları önleyecek şekilde alan daraltması sağlıyor,

  • Tüm süreçleri standartla uyumlu hale getiriyoruz.

Kapsam net değilse, sistem de net olamaz.
Başarı, doğru kapsamla başlar.

 

Sosyal Medya

© 2026 YYS Belgelendirme Eğitim Danışmanlık ve Test&Analiz Hizmetleri Tüm Hakları Saklıdır.