Kapsamlı ISO 27001 & 27701 Rehberi: BGYS Kapsamı Nasıl Belirlenir? (2026 Güncel)
ISO 27001 ve 27701’de BGYS Kapsamını Belirleme Rehberi
Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulumunda en hayati adım kapsamın doğru çizilmesidir. Öncelikle belirtmek gerekir ki; kapsamı yanlış belirlenmiş bir sistem, en güçlü siber saldırılar karşısında bile savunmasız kalabilir. ISO 27001 (Madde 4.3) ve ISO 27701 (Madde 5.3), kuruluşların güvenlik sınırlarını net bir şekilde dökümante etmesini şart koşar. Çünkü neyi koruduğunuzu bilmeden, nasıl koruyacağınızı belirleyemezsiniz.
BGYS Kapsamı Belirlenirken Hangi Kriterler Baz Alınır?
Kuruluşlar, kapsamı tayin ederken üç ana unsuru göz önünde bulundurmalıdır. Bunlar sırasıyla şunlardır:
- İç ve Dış Hususlar: Madde 4.1’de belirlediğiniz stratejik hedefler ve riskler kapsamın temelini oluşturur.
- İlgili Taraf Şartları: Madde 4.2’de analiz ettiğiniz paydaş beklentileri kapsamı doğrudan etkiler.
- Ürün ve Hizmetler: Kuruluşun sunduğu tüm hizmetlerin sınırları net olarak çizilmelidir.
Buna ek olarak, belirlenen bu kapsam mutlaka “dokümante edilmiş bilgi” olarak muhafaza edilmelidir. Yani, kapsamın sınırları sadece sözde kalmamalı, yazılı bir belge ile kanıtlanmalıdır. Kapsam analizi hakkında daha fazla teknik detay için ISO resmi standartlar sayfasını inceleyebilirsiniz.
Uygulanabilirlik Bildirgesi ve Ek-A İstisnaları
Özellikle vurgulamak gerekir ki; her kontrol her işletme için uygun olmayabilir. Eğer bir madde (EK-A) kuruluşun hizmet kabiliyetini etkilemiyorsa, bu madde kapsam dışı bırakılabilir. Ancak, bu dışarıda bırakmanın gerekçesi teknik olarak açıklanmalı ve dökümante edilmelidir. Mesela, yazılım geliştirmeyen bir firmanın “Güvenli Kod Geliştirme” maddesini hariç tutması makul bir gerekçedir. Bu süreçte hata yapmamak için ISO 27001 danışmanlık hizmetlerimizden destek alabilirsiniz.
ISO 27701 ve Kişisel Veri İşleme Süreçleri
ISO 27701 standardı, BGYS kapsamına “Kişisel Veri İşleme” süreçlerinin dahil edilmesini zorunlu kılar. Bu bağlamda, verinin nerede toplandığı, nerede saklandığı ve kimlere aktarıldığı kapsamın içinde yer almalıdır. Sonuç olarak, veri sorumlusu veya veri işleyen rolleriniz kapsamın sınırlarını belirleyen en önemli faktördür. Kısacası, veri gizliliği olmayan bir BGYS artık eksik kabul edilmektedir.
İklim Değişikliğinin Kapsama Etkisi
2026 yılı güncel standartlarına göre, iklim değişikliği konuları artık kapsamı etkilemektedir. Aslında, aşırı hava olayları veya enerji krizleri gibi durumlar belirli güvenlik gerekliliklerinin uygulanabilirliğini değiştirebilir. Örneğin, sel riski taşıyan bir bölgedeki veri merkezinin fiziksel güvenliği, kapsam dahilinde yeniden değerlendirilmelidir. Bu nedenle, iklim değişikliği riskleri kapsamın değiştirilmesine veya genişletilmesine ihtiyaç duyulmasına yol açabilir.
Sonuç ve Uygulama Önerileri
Özetle; yerleşim yerinizden teknolojinizin özelliklerine kadar her detay kapsamın bir parçasıdır. Aksine, kapsamı dar tutmak sizi denetimlerde kurtarsa da gerçek siber tehditler karşısında açıkta bırakır. Bu yüzden, profesyonel bir bakış açısıyla hizmetlerimiz sayfasındaki rehberlerden faydalanarak kapsamınızı netleştirmelisiniz.
Sonuç olarak, dinamik ve her şeyi kapsayan bir sınır belirlemek, dijital geleceğinizi garanti altına alır. Eğer siz de 2026 standartlarına tam uyumlu bir BGYS kapsamı oluşturmak isterseniz, ekibimiz her zaman yanınızdadır.
👉 BGYS Politika Dökümanları ve profesyonel BGYS danışmanlık hizmeti hakkında detaylı bilgi için ilgili sayfamıza göz atabilirsiniz.
🔗 +90 533 370 01 43 | info@iso27001danismanlik.com
