• 0212 541 25 53
  • 0533 050 77 58
  • This email address is being protected from spambots. You need JavaScript enabled to view it.
  • Pzt Cuma 09:00 20:00

Sık Sorulan Sorular

ISO 27001 Kapsam Belirleme ve Sınırlandırma Nasıl Yapılır? (2025 Proje Başlangıç Rehber)

Bilgilendirme
Gösterim: 449

ISO 27001 Kapsam Belirleme ve Sınırlandırma Nasıl Yapılır? (2025 Proje Başlangıç Rehber)

 

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulumunun ilk ve en kritik adımı kapsamın doğru tanımlanmasıdır.


Yanlış belirlenen kapsam, denetimlerde uygunsuzluklara, hatta belge alınamamasına neden olabilir.

Bu yazıda kapsam nasıl belirlenir, nasıl sınırlandırılır ve nasıl yazılır konularını, 2025'e uygun olarak adım adım açıklıyoruz.

Kapsam Nedir?

ISO 27001 kapsamı, bilgi güvenliği yönetim sisteminin:

  • Hangi birimleri,

  • Hangi faaliyetleri,

  • Hangi lokasyonları ve

  • Hangi bilgi varlıklarını kapsadığını açıkça ortaya koyan ifadedir.

ISO 27001:2022’de Kapsamla İlgili Gereklilik

Standardın 4.3 maddesi der ki:

“Kuruluş, BGYS’nin kapsamını belirlemeli ve bu kapsamı, sistemin amaçlanan sonuçlarını sağlayacak şekilde dokümante etmelidir.”

Kapsam Belirleme Aşamaları

1. Kuruluşun Faaliyetlerini Tanımlayın

  • Şirket ne iş yapıyor?

  • Ana hizmet veya ürün nedir?

Örnek:

“Bilişim çözümleri geliştirme, bulut tabanlı yazılım hizmetleri ve veri depolama servisleri.”

2. Uygulama Alanlarını Belirleyin

  • Sadece BT departmanı mı? Yoksa tüm şirket mi?

  • Satın alma, insan kaynakları gibi destek birimleri dâhil mi?

3. Lokasyonları Netleştirin

  • Ana merkez mi, tüm şubeler mi?

  • Sunucular farklı şehirdeyse onlar da kapsamda mı?

4. İlgili Taraflar ve Gereklilikleri

  • Müşteri talepleri, yasal yükümlülükler, iş ortakları dikkate alınmalı.

5. Varlık Türleri

  • Fiziksel, dijital, insan ve hizmet varlıkları dâhil edilmeli.

Sınırlandırma Yaparken Nelere Dikkat Edilmeli?

  • ISO 27001’de kapsam dışında bırakılan alanlar gerekçeleriyle açıklanmalıdır.

  • Kritik bilgi varlıklarını içeriyorsa dışarda bırakamazsınız.

  • Denetçiye “bu alan neden kapsam dışı?” sorusuna net cevap verebilmelisiniz.

Kapsam Cümlesi Örneği

“YYS Danışmanlık Ltd. Şti. tarafından yürütülen bilgi güvenliği yönetim sistemi; İstanbul’daki merkez ofiste, yazılım geliştirme, sistem yönetimi, danışmanlık ve destek hizmetleri faaliyetlerini kapsar. İnsan kaynakları ve muhasebe faaliyetleri kapsam dışındadır.”

Not: “Kapsam dışı” bırakılan faaliyetlerin neden dışlandığı prosedür ya da politika içinde açıklanmalıdır.

Kapsam Belgesi Şunları İçermeli

  1. Kuruluşun unvanı

  2. BGYS kapsamındaki faaliyetler

  3. Uygulama alanı (departmanlar, hizmet türleri)

  4. Coğrafi sınırlar (lokasyonlar)

  5. Hariç tutulan alanlar ve gerekçeleri

  6. Revizyon tarihi ve versiyon numarası

Denetimlerde Sıkça Sorulanlar

Soru Gerekli Kanıt
BGYS kapsamı nasıl tanımlandı? Kapsam dokümanı
Kapsam dışı bırakılan birimlerde kritik bilgi var mı? Varlık envanteri
BGYS’nin uygulandığı lokasyonlar hangileri? Organizasyon şeması, yerleşim planı
Kapsam ile risk değerlendirmesi uyumlu mu? Risk matrisi

YYS Danışmanlık ile Doğru Kapsam Kurulumu

YYS olarak:

  • BGYS kapsamınızı sektörünüze ve denetim hedefinize göre optimize ederiz

  • Kapsam dışı bırakılabilecek alanlar için uygun gerekçelendirme hazırlarız

  • Belgede sade, denetime uygun ve doğru kapsam cümleleri yazarız

  • Lokasyonlar arası fark varsa geçerli bir sınırlandırma stratejisi kurarız

Unutmayın:
“Doğru kurulmayan kapsam, sistemin temeline zarar verir.”

 

Sosyal Medya

© 2026 YYS Belgelendirme Eğitim Danışmanlık ve Test&Analiz Hizmetleri Tüm Hakları Saklıdır.