ISO 27001 Bilgi Varlığı Envanteri Nasıl Hazırlanır? (2025 Uygulama Rehberi)
ISO/IEC 27001:2022 standardı kapsamında bilgi varlıklarının envanterlenmesi, sistemin bel kemiğidir.
Çünkü bir kuruluşun neyi koruduğu net değilse, neyi riske attığını da bilemez.
Bu yazıda, ISO 27001’e göre bilgi varlığı envanteri nasıl oluşturulur, nereden başlanır, neleri içermeli, adım adım uygulamalı şekilde açıklıyoruz.
Bilgi Varlığı Nedir?
Bilgi varlığı, kuruluş için değer taşıyan ve korunması gereken her türlü bilgidir.
Bu yalnızca dijital dosyalar anlamına gelmez. Aşağıdaki türlerin tümü bilgi varlığıdır:
-
Elektronik veriler (veritabanları, yazılımlar)
-
Fiziksel belgeler (sözleşmeler, çizimler)
-
Donanımlar (sunucular, laptoplar)
-
İnsanlar (bilgiye sahip personel)
-
Süreçler ve prosedürler
-
Hizmet sağlayıcılar
-
Sözlü bilgi (stratejiler, müşteri görüşmeleri)
ISO 27001'e Göre Neden Envanter Şart?
-
5.9, 6.1.3, A.5 ve A.8 maddelerine göre bilgi varlıklarının sınıflandırılması, sahipliğinin belirlenmesi ve izlenebilir olması gerekir.
-
Risk analizi ancak envantere dayalı olarak yapılabilir.
-
Denetimlerde en çok kontrol edilen belgelerden biridir.
Bilgi Varlığı Envanteri Nasıl Hazırlanır?
1. Departmanlara Göre Ayırın
Her birimin kendi bilgi varlığı olabilir:
-
BT Departmanı → Sunucular, ağ cihazları
-
İK Departmanı → Personel verileri
-
Satın Alma → Tedarikçi sözleşmeleri
-
Üretim → Teknik resimler, proses verileri
2. Kategorilere Göre Gruplayın
| Kategori | Örnekler |
|---|---|
| Donanım | Dizüstü bilgisayar, sunucu, router |
| Yazılım | ERP, CRM, veri tabanı yazılımları |
| Fiziksel belge | Fatura arşivi, eğitim sertifikaları |
| Dijital veri | Müşteri listesi, ürün veritabanı |
| İnsan | Uzmanlık bilgisi olan çalışanlar |
3. Varlık Sahiplerini Belirleyin
Her varlık bir kişiye ya da birime atanmalıdır. Bu kişi:
-
Varlığın güvenliğinden sorumlu olur
-
Güncellemeleri ve kontrolleri yapar
-
Varlığın izlenmesini sağlar
4. Kritiklik Seviyesi ve Değer Ataması
Her varlık için şu sorular sorulmalı:
-
Gizlilik: Bilgi yetkisiz kişilerin eline geçerse ne olur?
-
Bütünlük: Bozulursa ne zarar verir?
-
Erişilebilirlik: Ulaşılamazsa ne etkilenir?
Örn:
| Varlık | Sahip | Gizlilik | Bütünlük | Erişilebilirlik | Toplam Risk |
|---|---|---|---|---|---|
| Personel dosyası | İK Müdürü | Yüksek | Orta | Düşük | Yüksek |
5. Saklama Yeri ve Erişim Bilgilerini Ekleyin
-
Fizikselse → Hangi odada, dolapta
-
Dijitalse → Hangi sunucuda, klasörde
-
Kimler erişebilir → Rol bazlı
6. Periyodik Güncelleme Takvimi Belirleyin
-
Envanter yılda en az 1 kez güncellenmeli
-
Yeni işe alım, sistem değişikliği, yeni yazılım vb. durumlarda revize edilmelidir
Envanter Tablosu Nasıl Görünür? (Örnek)
| Varlık Adı | Türü | Sahibi | Konum | Erişim Grubu | Risk Seviyesi |
|---|---|---|---|---|---|
| CRM Sistemi | Yazılım | BT Müdürü | Veri Merkezi | Satış, Pazarlama | Yüksek |
| İK Belgeleri | Fiziksel | İK Şefi | Arşiv Odası | Sadece İK | Orta |
| Firewall Cihazı | Donanım | BT | Sunucu Odası | BT | Yüksek |
YYS Danışmanlık ile Bilgi Varlıklarınızı Kontrol Altına Alın
YYS olarak:
-
Saha çalışmalarıyla kurumunuza özel envanter çıkarıyor,
-
Excel ya da yazılım tabanlı envanter sistemleri kuruyor,
-
Denetimlerde geçerli dokümantasyonu oluşturuyoruz.
Ne korunduğu bilinmeden, güvenlik olmaz.
Bilgi varlıklarınızı kayıt altına alın, risklerinizi yönetin.