• 0212 541 25 53
  • 0533 050 77 58
  • This email address is being protected from spambots. You need JavaScript enabled to view it.
  • Pzt Cuma 09:00 20:00

Sık Sorulan Sorular

ISO 27001 Politikaları: Hangi Politikalar Zorunludur? (2025 Pratik Liste)

Bilgilendirme
Gösterim: 523

ISO 27001 Politikaları: Hangi Politikalar Zorunludur? (2025 Pratik Liste)

ISO/IEC 27001:2022 Bilgi Güvenliği Yönetim Sistemi’nin kalbi, sadece teknik önlemler değil; aynı zamanda kurumsal politikalarla belirlenen davranış ve kontrol çerçevesidir.
Politikalar, kuruluşun bilgi güvenliği konusundaki kararlılığını, sorumluluklarını ve kurallarını hem iç hem de dış paydaşlara açıkça gösterir.

Bu yazıda, ISO 27001’e göre hangi politikaların mutlaka bulunması gerektiğini, sade ve uygulanabilir şekilde açıklıyoruz.

ISO 27001’de Politika Ne Demektir?

Politika, bir kuruluşun belirli bir konuda hedeflerini, taahhütlerini ve genel yaklaşımını tanımlayan üst düzey belgedir.
Politikalar prosedürlerden farklıdır: ne yapılacağını söyler, nasıl yapılacağını değil.

ISO 27001:2022 İçin Zorunlu Politikalar

1. Bilgi Güvenliği Politikası

  • ISO 27001’in 5.2 maddesi kapsamında zorunludur

  • Kuruluşun bilgi güvenliğine yaklaşımını genel hatlarıyla açıklar

  • Hedeflere referans verir ve tüm paydaşlara duyurulur

İçeriğinde mutlaka şu ifadeler olmalı:
✔ Sürekli iyileştirme taahhüdü
✔ Yasal ve düzenleyici şartlara uyum
✔ Bilgi güvenliği hedeflerinin belirlenmesi

2. Erişim Kontrol Politikası

  • Kullanıcı erişim yetkilerinin nasıl belirleneceğini tanımlar

  • En az ayrıcalık prensibi, kullanıcı doğrulama yöntemleri, rol bazlı erişimler

3. Kriptografi Politikası (Varsa Kriptografi Kullanılıyorsa)

  • Şifreleme algoritmaları, anahtar yönetimi, parola standartları

  • Özellikle uzaktan bağlantı, veri yedekleme, e-posta gibi alanlar için gereklidir

4. Varlık Yönetim Politikası

  • Bilgi varlıklarının (donanım, yazılım, belge vb.) sahipliği ve sınıflandırılması

  • Envanter kayıtları, sorumluluklar ve etiketleme yöntemleri

5. İletişim Güvenliği Politikası

  • İç ve dış iletişimlerde bilgi güvenliğinin nasıl sağlanacağı

  • VPN, e-posta şifreleme, sosyal medya, mobil cihaz politikaları gibi alt başlıkları içerebilir

6. Olay Yönetimi Politikası

  • Güvenlik ihlalleri ve olaylarının nasıl bildirileceği, değerlendirileceği ve kapatılacağı

  • Olay örnekleri, sorumluluklar ve raporlama prosedürlerine referans verir

7. Yedekleme Politikası

  • Ne sıklıkla, hangi araçla, nereye ve ne kadar süreyle yedekleme yapılacağı

  • Geri yükleme testlerinin sıklığı ve sorumluları

8. Tedarikçi Güvenliği Politikası

  • Hizmet alınan firmaların bilgi güvenliği gerekliliklerine uygun seçilmesi

  • NDA (gizlilik sözleşmesi), değerlendirme kriterleri ve izleme yöntemleri

9. İş Sürekliliği Politikası (27001 ile 22301 Entegreyse)

  • Acil durumlarda bilgi güvenliği süreçlerinin nasıl devam ettirileceğini açıklar

  • BT altyapı sürekliliği, iletişim planları ve yedek kaynaklar gibi unsurlar

Nasıl Hazırlanmalı?

  • Politika başlıkları kuruma özel olarak uyarlanmalı

  • Politika metinleri sade, anlaşılır ve uygulanabilir olmalı

  • Her politika versiyon kontrolüyle yayınlanmalı ve gözden geçirilmelidir

  • Üst yönetim onayı mutlaka alınmalıdır

YYS Danışmanlık ile Uygulanabilir Politika Seti

YYS olarak;

  • Sektöre özel, sade ve denetimden geçer düzeyde tüm ISO 27001 politikalarını hazırlıyor,

  • Onay döngülerini yönetiyor,

  • Gerekirse kurum içi farkındalık eğitimleriyle bu politikaların hayata geçirilmesini sağlıyoruz.

Politika olmadan sistem olmaz. Kağıt üzerinde değil, uygulanabilir bir yapı kurmak için doğru adımlarla ilerleyin.

 

Sosyal Medya

© 2026 YYS Belgelendirme Eğitim Danışmanlık ve Test&Analiz Hizmetleri Tüm Hakları Saklıdır.