• 0212 541 25 53
  • 0533 050 77 58
  • This email address is being protected from spambots. You need JavaScript enabled to view it.
  • Pzt Cuma 09:00 20:00

Sık Sorulan Sorular

ISO 27001 Kök Neden Analizi Nasıl Yapılır? Uygulamalı Rehber (2025)

Bilgilendirme
Gösterim: 436

ISO 27001 Kök Neden Analizi Nasıl Yapılır? Uygulamalı Rehber (2025)

Bilgi güvenliği yönetim sistemi sadece politika ve prosedürlerden ibaret değildir. Gerçek başarı; tespit edilen uygunsuzlukların neden kaynaklandığını anlayarak, bir daha yaşanmayacak şekilde önlem alabilmektir. İşte bu noktada kök neden analizi (root cause analysis) devreye girer.

ISO/IEC 27001:2022’nin 10.1 ve 10.2 maddeleri, uygunsuzlukların nedensel analizini ve düzeltici faaliyetlerin planlanmasını zorunlu kılar.

Kök Neden Analizi Nedir?

Kök neden analizi; bir uygunsuzluk, güvenlik olayı ya da sistemsel hata karşısında, yalnızca sonucu değil, sorunun gerçek kaynağını ortaya çıkaran sistematik bir yöntemdir.

Örneğin:
“Kritik yedekleme başarısız oldu” demek yeterli değildir.
→ Neden başarısız oldu?
→ Planlamada mı hata vardı?
→ Yazılım ayarı mı yanlış?
→ Personel farkında mı değil?

ISO 27001'e Göre Kök Neden Neden Gereklidir?

  • Düzeltici faaliyetler yalnızca kök nedene dayanarak oluşturulabilir

  • ISO 27001’in 10.2.1 maddesi açıkça der ki:

“Kuruluş, uygunsuzluğun nedenini belirlemelidir.”

  • Yüzeysel çözümler, ileride tekrar eden hatalara neden olur

  • Denetimlerde kök neden analizi yapılmamış uygunsuzluklar genellikle "yetersiz düzeltici faaliyet" olarak geri döner

ISO 27001 İçin Uygulanabilir Kök Neden Analizi Yöntemleri

1. 5N1K ile Sorgulama

Basit ama etkili bir başlangıç:

  • Ne oldu?

  • Nerede oldu?

  • Ne zaman oldu?

  • Nasıl fark edildi?

  • Kim etkiledi?

  • Neden oldu?

2. 5 Neden (5 Whys) Tekniği

Örnek:

Olay: Erişim log kayıtları 7 gün boyunca alınmamış

  1. Neden? → Günlük raporlama ayarlanamamış

  2. Neden? → Görevi tanımlı değilmiş

  3. Neden? → Süreçte sorumlu kişi atanmamış

  4. Neden? → Dokümantasyonda eksiklik var

  5. Neden? → Süreçler gözden geçirilmemiş

Kök Neden = Süreç belirsizliği ve görev eksikliği

3. Balık Kılçığı (Ishikawa) Diyagramı

Ana neden kategorileri:

  • İnsan

  • Süreç

  • Teknoloji

  • Ortam

  • Veri
    → Her birinde “neden?” diye sorgulama yaparak kök neden tespiti yapılır.

ISO 27001 Uygunsuzluk Raporunda Kök Neden Nasıl Yazılır?

Yetersiz ifade:

Kullanıcı parolası sızdırılmış. Düzeltici: Kullanıcıya uyarı yapıldı.

Doğru ifade:

Kök neden: Parola politikası uygulanmıyor. Eğitim verilmemiş.
Düzeltici: Parola politikasının devreye alınması + tüm kullanıcılar için eğitim yapılması.

Düzeltici Faaliyet ile İlişkisi

  • Kök neden bulunmadan düzeltici faaliyet yapılamaz

  • Düzeltici faaliyet formunun içinde “kök neden analizi yöntemi” bölümü olmalıdır

  • Faaliyet tamamlandıktan sonra etkinlik kontrolü mutlaka yapılmalı

YYS Danışmanlık ile Uygunsuzlukları İyileştirme Fırsatına Dönüştürün

YYS olarak:

  • ISO 27001 iç denetimlerinde uygunsuzlukları tespit ediyoruz

  • Kök neden analizinde size metodolojik destek veriyoruz

  • Düzeltici faaliyetlerinizi oluşturuyor ve denetim geçerliğini sağlıyoruz

Kök neden bulunmazsa, aynı hata farklı kılıkla tekrar eder.
Siz de sisteminizi iyileştirmek istiyorsanız, sorunların köküne inin.

 

Sosyal Medya

© 2026 YYS Belgelendirme Eğitim Danışmanlık ve Test&Analiz Hizmetleri Tüm Hakları Saklıdır.