ISO 27001'de Bulut Hizmet Sağlayıcıları ile Güvenli Sözleşme Nasıl Yapılır? (2025 Siber Güvenlik Rehberi)
2025 yılı itibarıyla şirketlerin bilgi sistemlerinin büyük bir kısmı artık bulut (cloud) altyapılarında barındırılıyor.
Bu durum, bilgi güvenliği açısından hem büyük fırsatlar hem de ciddi riskler yaratıyor.
ISO/IEC 27001:2022, kuruluşların bilgi güvenliğini yalnızca kendi içinde değil, dış kaynaklı hizmet sağlayıcılarla olan ilişkilerinde de koruma altına almasını şart koşar.
Özellikle bulut hizmet sağlayıcıları (Cloud Service Providers – CSP) ile yapılan sözleşmelerin güvenlik gereksinimlerine uygun şekilde düzenlenmesi, denetimlerde odak noktasıdır.
ISO 27001’de Bulut Hizmetleri Neden Kritik?
-
Veri kontrolü sizde değildir, bulut sağlayıcısındadır.
-
Veri ihlali durumunda hem KVKK/GDPR hem ISO yükümlülükleri doğar.
-
Hizmet kesintisi, yedekleme eksikliği gibi durumlar iş sürekliliğini doğrudan etkiler.
ISO 27001’e Göre Güvenli Sözleşme Hazırlama Adımları
1. Hizmet Tanımı ve Kapsamı Belirleyin
-
Hangi servisler alınacak? (örneğin: IaaS, PaaS, SaaS)
-
Hangi veri türleri işlenecek ve nerede saklanacak?
-
Sorumluluk sınırları kimde başlayıp kimde bitiyor?
2. Bilgi Güvenliği Gereksinimlerini Açıkça Belirtin
Sözleşmede mutlaka yer alması gereken güvenlik maddeleri:
- Veri şifreleme yöntemleri (AES-256, TLS vb.)
- Kimlik doğrulama mekanizmaları
- Erişim logları ve izleme kayıtları
- Güvenlik duvarı, antivirüs, DDoS koruma sistemleri
- Güncelleme ve yama yönetimi taahhüdü
3. Lokasyon ve Veri Aktarım Politikalarını Netleştirin
-
Veriler Türkiye içinde mi yoksa yurtdışında mı tutulacak?
-
KVKK'ya göre yurtdışı veri aktarımı izni gerekiyor mu?
-
ISO 27018 ve 27701 uyumluluğu sağlanıyor mu?
4. Denetim ve Görsel Denetim Hakkı
-
Kurum içi veya üçüncü taraf denetçilerin CSP ortamını denetleme hakkı olacak mı?
-
ISO 27001/27701 gibi sertifikalar geçerli ve güncel mi?
5. Olay Müdahale ve Bildirim Süreleri
-
Güvenlik ihlali durumunda kaç saat içinde bilgi verilecek?
-
Kiminle iletişime geçilecek?
-
Olay sonrası süreç nasıl yönetilecek?
6. Yedekleme, Kurtarma ve İş Sürekliliği
-
Ne sıklıkla yedek alınıyor?
-
Yedekler nerede tutuluyor?
-
Acil durum kurtarma planı var mı?
7. Sözleşmenin Sona Ermesi Durumunda Veri Akıbeti
-
Sözleşme bitince veriler silinecek mi yoksa devredilecek mi?
-
Silme işlemi kriptografik olarak mı yapılacak?
-
Silme işlemi belgelenecek mi?
ISO 27001’e Uygun Örnek Sözleşme Maddeleri
Madde 8.3 – Bilgi Güvenliği
Bulut hizmet sağlayıcısı, ISO/IEC 27001:2022 ve ISO/IEC 27018 standardı gereklerine uygun bilgi güvenliği tedbirlerini almayı kabul eder.
Madde 10.1 – Olay Bildirimi
Olası veri ihlallerinde en geç 24 saat içinde yazılı olarak bilgi verilecektir.
Madde 12.4 – Denetim Hakkı
Müşteri, yılda en az bir kez hizmet altyapısında denetim veya belge inceleme yapma hakkına sahiptir.
Madde 15.2 – Sözleşme Sonrası Veri İmhası
Tüm müşteri verileri, sözleşme bitiminden itibaren 30 gün içinde kalıcı şekilde silinecek, silme işlemi yazılı olarak raporlanacaktır.
Denetimlerde Sık Sorulan Sorular
| Soru | Beklenen Kanıt |
|---|---|
| Bulut hizmet sağlayıcınız kim? | Sözleşme ve hizmet listesi |
| Veri nerede saklanıyor? | Lokasyon haritası |
| Olay bildirimi süresi kaç saat? | Sözleşme maddesi |
| Şifreleme türü ne? | Teknik dokümantasyon |
| Denetim hakkı verildi mi? | Sözleşme ekleri |
YYS Danışmanlık Olarak Ne Sağlıyoruz?
YYS olarak, ISO 27001 kapsamında:
-
Bulut hizmet sözleşmelerinin gözden geçirilmesi
-
Güvenlik maddelerinin eklenmesi ve revizyonu
-
Tedarikçi risk değerlendirmesi
-
Sözleşme yaşam döngüsü yönetimi
-
KVKK ve GDPR uyum denetimi
hizmetlerini sunuyoruz.
Unutmayın:
Bilgi güvenliği zinciri, en zayıf halka kadar güçlüdür. Bulut hizmet sözleşmeniz bu zincirin temelidir.