ISO 27001 Kullanıcı Erişim Yetkileri Nasıl Yönetilir? (2025 BGYS Uygulama Kılavuzu)
Bilgi güvenliğinin en zayıf halkası genellikle kullanıcı erişimleridir.
Hatalı verilen bir yetki, hassas verilerin sızmasına, sistemlerin zarar görmesine ya da veri bütünlüğünün bozulmasına neden olabilir.
Bu nedenle ISO/IEC 27001:2022, kullanıcı erişimlerinin kontrollü, izlenebilir ve gerekçeli şekilde yönetilmesini zorunlu kılar.
Bu yazıda:
-
Erişim yetkisi neden kritik?
-
ISO 27001’de hangi kontrollerle ilişkilidir?
-
Etkili bir erişim yönetimi sistemi nasıl kurulur?
konularını sade, yönlendirici ve danışmanlık gereksinimini vurgulayan bir şekilde ele alıyoruz.
Erişim Yönetimi Neden Önemlidir?
-
Yetkisiz erişim: Bilgilerin çalınmasına veya silinmesine neden olabilir
-
Aşırı yetkilendirme: Kullanıcının ihtiyacından fazla sisteme erişmesi
-
Yetki güncellememe: İşten ayrılan veya görev değişen personelin eski yetkilerinin kalması
-
Yasal riskler: KVKK, GDPR ve ISO 27001 uyumsuzluğu durumunda cezai sonuçlar doğurur
ISO 27001:2022’de İlgili Kontroller
-
A.5.15 – Erişim kontrol politikası
-
A.5.17 – Erişim izleme
-
A.8.2 – Kullanıcı erişim yönetimi
-
A.8.4 – Ayrıcalıklı erişim haklarının yönetimi
-
A.5.18 – Sistem ve uygulama erişim kontrolü
Etkili Bir Erişim Yetki Yönetimi Nasıl Kurulur?
Her kurum için detayları farklıdır, ancak temel yapı aşağıdaki gibi olmalıdır:
1. Erişim Kontrol Politikası Oluşturulmalı
-
Kim, hangi sistemlere, ne amaçla erişebilir?
-
Onay mekanizmaları nasıl işleyecek?
2. Yetki Matrisi Hazırlanmalı
-
Her çalışan için sistem ve dosya erişim seviyeleri tanımlanmalı
-
Varlık bazlı (sunucu, yazılım, klasör vb.) yetkiler gruplandırılmalı
3. İlk Giriş Onayı ve Yetkilendirme Süreci Tanımlanmalı
-
Yeni kullanıcılar için önceden tanımlı rol bazlı yetkilendirme
4. Görev Değişikliklerinde veya İşten Ayrılmalarda Hızlı Güncelleme
-
IT departmanının İnsan Kaynakları ile koordineli çalışması gerekir
5. Düzenli Erişim Gözden Geçirme ve Onay Süreci
-
En az yılda bir kez tüm erişimler revize edilmeli
-
Erişim fazlalıkları kaldırılmalı
Sık Yapılan Hatalar
-
Erişim yetkileri sadece sözlü olarak veriliyor, yazılı kayıt tutulmuyor
-
Kritik sistemlerde herkes "admin" yetkisiyle işlem yapıyor
-
Erişim gözden geçirme süreci belirsiz
-
Ayrıcalıklı kullanıcılar için izleme ve onay mekanizması yok
Denetimde Karşınıza Çıkabilecek Sorular
| Soru | Beklenen Kanıt |
|---|---|
| Erişim talepleri nasıl onaylanıyor? | Erişim talep formu, onay kayıtları |
| Kullanıcıların yetki seviyeleri belgelendi mi? | Yetki matrisi, kullanıcı listesi |
| Kimler hangi sistemlere erişebiliyor? | Sistem erişim kayıtları |
| Ayrıcalıklı hesaplar nasıl izleniyor? | Log raporları, denetim kayıtları |
YYS Danışmanlık ile Etkin Erişim Kontrolü
YYS olarak ISO 27001 kapsamında:
-
Şirketinize özel erişim kontrol politikası geliştiririz
-
Yetki matrisi, ayrıcalıklı hesap listesi ve erişim talep formu gibi kritik belgeleri hazırlarız
-
Denetim öncesi erişim gözden geçirme toplantıları organize ederiz
-
Kapsamlı iç tetkik çalışmaları ile hataları önceden tespit ederiz
Unutmayın:
Bir sistemin güvenliği, kullanıcıların ne yaptığıyla değil, neye erişebildikleriyle başlar.