• 0212 541 25 53
  • 0533 050 77 58
  • This email address is being protected from spambots. You need JavaScript enabled to view it.
  • Pzt Cuma 09:00 20:00

Sık Sorulan Sorular

ISO 27001 Erişim Kontrol Politikası Nasıl Yazılır? (2025 Uyumlu Örnekler ile)

Bilgilendirme
Gösterim: 377

ISO 27001 Erişim Kontrol Politikası Nasıl Yazılır? (2025 Uyumlu Örnekler ile)

Bilgiye yetkisiz erişim, bir kurumun en büyük bilgi güvenliği tehditlerinden biridir.
Bu yüzden erişim kontrolü, ISO/IEC 27001 standardının en kritik yapı taşlarından biridir.

Peki erişim kontrol politikası nedir? Nasıl yazılır? Nelere dikkat edilir?
Bu rehberde, 2025 yılına uygun erişim kontrol politikasını adım adım oluşturmayı öğreneceksiniz.

Erişim Kontrolü Nedir?

ISO 27001'e göre erişim kontrolü:

“Bilgi varlıklarına yalnızca yetkili kişilerin, tanımlı kurallar çerçevesinde erişebilmesini sağlayan süreçtir.”

Bu kontrol aşağıdaki üç temel ilkeye dayanır:

  • Yetkilendirme (Authorization)

  • Kimlik Doğrulama (Authentication)

  • İzleme ve Denetleme (Monitoring)

Hangi ISO 27001 Maddeleriyle İlgili?

A.5.15 — Erişim Kontrol Politikalarının Oluşturulması
A.5.16 — Kullanıcı Erişim Yönetimi
A.5.17 — Kullanıcı Sorumlulukları
A.5.18 — Sistem ve Uygulama Erişim Kontrolleri

Erişim Kontrol Politikası Neden Yazılmalı?

  • Yetkisiz erişimi önler

  • Yasal ve regülasyonlara uyum sağlar (KVKK, GDPR)

  • Kullanıcıların hangi bilgilere, hangi şartlarda erişeceği belirlenmiş olur

  • Denetimlerde belge olarak talep edilir

ISO 27001 Uyumlu Erişim Kontrol Politikası Nasıl Yazılır?

1. Politika Amaç ve Kapsamı Belirleyin

Örnek:

“Bu politika, YYS Danışmanlık bünyesindeki tüm bilgi sistemlerine erişimi düzenler. Kullanıcı, sistem, ağ ve uygulamalara erişimi kapsar.”

2. Rolleri ve Sorumlulukları Tanımlayın

Rol Sorumluluk
BT Yöneticisi Erişim haklarını teknik olarak tanımlar ve yönetir
Bilgi Güvenliği Yetkilisi Politikanın uygulanmasını denetler
Kullanıcılar Kendi erişim bilgilerini gizli tutmakla yükümlüdür

3. Erişim Türlerini Belirleyin

  • Fiziksel Erişim: Sunucu odası, arşiv odası

  • Mantıksal Erişim: Yazılım sistemleri, veritabanları

  • Uzak Erişim: VPN, uzaktan masaüstü uygulamaları

4. Kullanıcı Kategorilerini Tanımlayın

  • Yetkili kullanıcı

  • Ziyaretçi / Geçici kullanıcı

  • Harici iş ortağı / danışman

5. Erişim Kontrollerini Tanımlayın

  • Parola Politikası (örnek: min. 10 karakter, 90 günde bir yenileme)

  • İki Faktörlü Kimlik Doğrulama (2FA)

  • İlk Girişte Parola Değişikliği Zorunluluğu

  • Kilitlenen Hesapların Yönetimi

  • Erişim Günlüklerinin (logların) tutulması

6. Erişim Talepleri ve Onay Süreci

  • Erişim talepleri yazılı olarak yapılır (form/email)

  • Birim yöneticisinin onayı alınmadan erişim tanımlanmaz

  • Her erişim süresi ve amacıyla birlikte kayıt altına alınır

7. Erişim Sonlandırma Prosedürü

  • İşten ayrılan ya da pozisyon değiştiren personelin erişimi 24 saat içinde kapatılmalıdır

  • Eski kullanıcı hesapları devre dışı bırakılır ve loglanır

Politika Belgesinde Bulunması Gereken Başlıklar

  1. Politikanın Amacı

  2. Kapsam

  3. Tanımlar

  4. Rol ve Sorumluluklar

  5. Erişim Türleri

  6. Erişim İlkeleri

  7. Yetkilendirme Süreci

  8. Parola Yönetimi

  9. Kayıt ve İzleme

  10. Politika İhlalleri ve Yaptırımlar

  11. Gözden Geçirme ve Revizyon Takvimi

Denetimde Sıkça Sorulanlar

  • Parola politikası yazılı mı?

  • Kimlerin hangi sistemlere erişimi var? (erişim matrisi)

  • Yeni işe giren bir personel için nasıl erişim tanımlanıyor?

  • Erişim kayıtları loglanıyor mu?

  • Yetkisi sona eren kullanıcıların erişimi ne zaman sonlandırılıyor?

YYS Danışmanlık ile Güçlü Erişim Yönetimi

YYS olarak:

  • ISO 27001'e uygun erişim kontrol politikası ve prosedürlerini oluşturuyoruz

  • Erişim matrisi ve talep formlarını hazırlıyoruz

  • Ekiplerinize erişim güvenliği farkındalık eğitimi veriyoruz

Unutmayın:
Erişim kontrolü zayıf olan sistem, dışarıdan değil içeriden çöker.

 

Sosyal Medya

© 2026 YYS Belgelendirme Eğitim Danışmanlık ve Test&Analiz Hizmetleri Tüm Hakları Saklıdır.