• 0212 541 25 53
  • 0533 050 77 58
  • This email address is being protected from spambots. You need JavaScript enabled to view it.
  • Pzt Cuma 09:00 20:00

Sık Sorulan Sorular

ISO 27001 Zorunlu Dokümanlar Nelerdir?

Bilgilendirme
Gösterim: 419

ISO 27001 Zorunlu Dokümanlar Nelerdir? (2025 Güncel Liste)

 

ISO 27001:2022 standardı, bilgi güvenliği yönetim sistemi kurmak isteyen tüm kuruluşlar için belirli dokümanların hazırlanmasını zorunlu kılar. Bu dokümanlar, denetçilerin ilk baktığı ve firmanın bilgi güvenliğini nasıl yönettiğini gösteren temel kayıtlardır.

2025 yılı itibarıyla zorunlu doküman ve kayıtların listesi netleşmiş durumdadır. Aşağıda, ISO 27001 sertifikasyonu için hazırlanması gereken zorunlu belgeleri güncel haliyle bulabilirsiniz.

ISO 27001 Zorunlu Doküman Listesi (2025)

Aşağıdaki dokümanlar ISO 27001:2022 kapsamında bir kuruluşun mutlaka bulundurması gereken temel dokümanlardır.

1. Bilgi Güvenliği Politikası

Kuruluşun bilgi güvenliği hedefleri, yaklaşımı ve yönetim taahhüdünü içerir.

2. Risk Değerlendirme Yöntemi

Risklerin nasıl belirleneceğini, analiz ve değerlendirme yöntemlerini tanımlar.

3. Risk İşleme Planı

Belirlenen risklerin nasıl yönetileceğini ve sorumlulukların kimde olduğunu gösterir.

4. BGYS Kapsam Dokümanı

Sertifika kapsamının sınırlarını, lokasyonları ve süreçleri açıklar.

5. Uygulanabilirlik Beyanı (SoA – Statement of Applicability)

ISO 27001 Annex A’daki 93 kontrolün uygulanıp uygulanmadığını ve gerekçelerini içerir.

6. Yetkinlik Kayıtları

ISO 27001 ile ilgili eğitimlerin, görev tanımlarının ve bilgi güvenliği yetkinliklerinin kayıtları.

7. BGYS Hedefleri ve Performans İzleme Kayıtları

Bilgi güvenliği hedefleri ve performans göstergeleri için takip edilen ölçümler.

8. İç Denetim Programı ve İç Denetim Raporları

Belgelendirme öncesi en kritik zorunlu kayıtlardan biridir.

9. Yönetimin Gözden Geçirmesi (YGG) Toplantı Tutanağı

Üst yönetimin bilgi güvenliği sistemini resmi olarak değerlendirdiğini gösterir.

10. Varlık Envanteri

Bilgi varlıkları, sahipleri, sınıflandırmaları ve ilişkili risklerle birlikte listelenir.

11. Sözleşmesel Güvenlik Gereksinimleri

Müşteri, tedarikçi ve üçüncü taraflarla yapılan bilgi güvenliği yükümlülükleri.

12. Olay Yönetim Süreci ve Olay Kayıtları

Siber olay, veri ihlali veya güvenlik ihlallerine ilişkin kayıtlar ve raporlama akışı.

13. Erişim Kontrol Kayıtları

Erişim yetkilerinin verilmesi, kaldırılması ve düzenli gözden geçirilmesi.

14. Yedekleme Politikası ve Yedekten Geri Yükleme Kayıtları

Denetçilerin mutlaka görmek istediği zorunlu dokümanlardandır.

Yeni Versiyonla Gelen Önemli Fark

ISO 27001:2022, doküman sayısını azaltmış gibi görünse de denetçiler artık doküman içeriklerine daha fazla önem veriyor. Özellikle varlık envanteri, risk analizi ve SoA belgesi denetimin en kritik parçalarıdır.

Bu nedenle sadece dokümanı hazırlamak değil, içeriğinin standarda uygun yönetilmesi gereklidir.

Uygulamada En Çok Eksik Bulunan Dokümanlar

YYS Danışmanlık olarak yaptığımız GAP analizlerinde firmalarda en sık karşılaşılan eksiklikler şunlardır:

  • Risk değerlendirme metodunda eksiklik

  • Güncel olmayan SoA belgesi

  • Denetim öncesi yapılmamış iç denetim

  • Varlık envanterinin BT envanteri ile eşleşmemesi

  • Yedekleme planının reel BT pratikleriyle uyumsuzluğu

  • Olay yönetim süreçlerinin yazılı olmaması

Doğru dokümantasyon kurulmadığında, denetimde majör uygunsuzluklarla karşılaşmak çok sık görülür.

Belgelendirme İçin Zorunlu Olmayan Ama Önerilen Ek Dokümanlar

Aşağıdaki belgeler zorunlu değildir ancak denetimde avantaj sağlar:

  • Siber olay müdahale planı

  • Tedarikçi bilgi güvenliği değerlendirme formu

  • Değişiklik yönetimi kayıtları

  • Ağ topolojisi ve sistem envanteri

  • İş sürekliliği planı ve BT felaket kurtarma planı

Bu dokümanlar özellikle yazılım firmaları, veri işleyen işletmeler ve üniversiteler için önemlidir.

Sonuç

ISO 27001 sertifikası için belirli dokümanların mutlaka hazırlanmış ve etkin şekilde yönetiliyor olması gerekir. Bu dokümanlar sadece denetimi geçmek için değil, kuruluşun bilgi güvenliği yönetim sisteminin sürdürülebilir olması için gereklidir.

ISO 27001 Süreciniz İçin Hızlı Ön Analiz Alın

ISO 27001’e başlamadan önce mevcut durumunuzu, sertifikaya uygunluğunuzu ve proje süresini netleştirmek isterseniz ücretsiz ön analiz desteği sunuyoruz.

Aşağıdaki bilgilerle bize ulaşmanız yeterlidir:

  • Çalışan sayısı

  • Faaliyet alanınız

  • Lokasyon sayısı

  • IT altyapınızın genel durumu

YYS Danışmanlık olarak yazılım firmaları, özel entegratörler, üniversiteler, kamu kurumları ve üretim tesisleri için 2025 uyumlu ISO 27001 kurulum, eğitim, iç denetim ve belgelendirme süreçlerini uçtan uca yönetiyoruz.

Sosyal Medya

© 2026 YYS Belgelendirme Eğitim Danışmanlık ve Test&Analiz Hizmetleri Tüm Hakları Saklıdır.