+90 533 370 01 43 info@iso27001danismanlik.com

Kapsamlı ISO 27001 & 27701 Risk İşleme Rehberi: Uygulanabilirlik Bildirgesi (SoA) ve Kontroller

Kapsamlı ISO 27001 & 27701 Risk Değerlendirme Rehberi: Varlıklar, Tehditler ve 2026 Kriterleri

ISO 27001 ve 27701’de Bilgi Güvenliği Risk İşleme Süreci

Risk değerlendirme aşamasında tespit edilen tehditlerin nasıl bertaraf edileceği, risk işleme sürecinin temelini oluşturur. Öncelikle belirtmek gerekir ki; riskleri sadece belirlemek yetmez. Aksine, bu riskleri yönetmek için uygun seçeneklerin tanımlanması ve bir süreç oluşturulması şarttır. ISO 27001 (Madde 6.1.3) ve ISO 27701 (Madde 5.4.1.3), kuruluşların sistematik bir risk işleme süreci kurmasını bekler. Çünkü doğru yönetilmeyen her risk, her an bir siber felakete veya yasal cezaya dönüşebilir.

Risk İşleme Seçenekleri ve Kontrollerin Seçimi

Analiz edilen her risk için farklı işleme yolları mevcuttur. Özellikle bu seçenekler arasından kurumun yapısına ve bütçesine en uygun olanı belirlenmelidir. Buna ek olarak, seçilen riskleri kontrol altına almak için şu adımlar izlenmelidir:

  • Kontrol Seçimi: Tespit edilen riskleri düşürmek için ISO 27001 Ek-A kontrolleri arasından seçim yapılmalıdır.
  • Risk İşleme Planı: Uygun yönetim eylemlerini, kaynakları ve öncelikleri tanımlayan yazılı bir plan hazırlanmalıdır.
  • Sorumluluk ve Finansman: Her eylem için bir sorumlu atanmalı ve gerekli bütçe güvence altına alınmalıdır.

Ayrıca, seçilen kontrollerin ne kadar etkili olduğu mutlaka ölçülmelidir. Kontrol etkinliğini değerlendirmek için karşılaştırılabilir sonuçlar üreten ölçüm yöntemleri belirlenmelidir. Teknik detaylar ve kontrol listeleri için ISO resmi web sitesini inceleyebilirsiniz.

Uygulanabilirlik Bildirgesi (SoA) Nedir?

Aslında, ISO 27001 denetimlerinin kalbi Uygulanabilirlik Bildirgesi (Statement of Applicability – SoA) dökümanıdır. Çünkü bu belge, kurumun hangi kontrolleri neden seçtiğini resmi olarak beyan ettiği yerdir.

Bir SoA dökümanı şu temel unsurları içermelidir:

  1. Seçilen Kontroller: Kurumun riskleri yönetmek için aktif olarak uyguladığı tüm kontroller.
  2. Seçilme Nedenleri: Her bir kontrolün sisteme dahil edilme gerekçesi.
  3. Dışarıda Bırakma Gerekçesi: Ek-A’da yer alan ancak kuruma uygun olmadığı için elenen maddelerin teknik açıklaması.

Sonuç olarak, SoA dökümanı yazılı bilgi olarak muhafaza edilmeli ve her risk analizinden sonra güncellenmelidir. Bu dökümanı profesyonelce hazırlamak için hizmetlerimiz sayfamızdan destek alabilirsiniz.

ISO 27701 ve Kişisel Veri Kontrolleri

ISO 27701 süreci, risk işlemeye çok daha hassas bir boyut kazandırır. Özellikle kuruluşlar, risk işleme planına ISO 27701 Ek A ve Ek B’de verilen kişisel verilere dair kontrolleri dahil etmelidir. Bu bağlamda, veri gizliliğini korumaya yönelik idari ve teknik tedbirlerin SoA dökümanına işlenmesi yasal bir zorunluluktur. Kısacası, sadece bilgi güvenliğini değil, kişisel veri güvenliğini de aynı plana entegre etmelisiniz. ISO 27001 danışmanlık ekibimiz bu entegrasyonu sizin için en doğru şekilde kurgulayabilir.

Yönetim Onayı ve Artık Risklerin Kabulü

Buna ek olarak, risk işleme süreci sonunda ortaya çıkan “Artık Risklere” ilişkin mutlaka üst yönetim onayı alınmalıdır. Mesela, tüm önlemleri aldınız ama hala çok düşük bir risk payı kaldıysa, yönetimin bu durumu bildiğini ve onayladığını belgelemeniz gerekir. Bu nedenle, risk düzeyleri net olarak belirlenmeli ve yönetimin onay dökümanı dosyalanmalıdır. Böylece, tekrarlanan risk değerlendirmelerinin tutarlı ve geçerli sonuçlar üretmesi sağlanmış olur.

Sonuç: Dinamik Bir Güvenlik Kalkanı

Özetle; risk işleme süreci yaşayan bir döngüdür. Aksine, bu süreci bir kez yapıp bırakmak sizi yeni nesil tehditlere karşı korumaz. Bu yüzden, 2026 siber güvenlik vizyonuna uygun, finansal değerlendirmeleri de kapsayan sağlam bir plan oluşturmalısınız.

Sonuç olarak, doğru seçilmiş kontroller ve onaylanmış bir risk planı, kurumsal saygınlığınızı artıracaktır. Eğer siz de SoA dökümanınızı ve risk işleme süreçlerinizi hatasız bir şekilde dökümante etmek isterseniz, yanınızdayız.imiz her adımda yanınızdadır. Bu yüzden, siber savunmanızı kurarken hiçbir detayı şansa bırakmayın.

👉 Bilgi Güvenliği Risk Analizi ve Risk ve Fırsat Analizi Nasıl Yapılır? hakkında detaylı bilgi için ilgili sayfamıza göz atabilirsiniz.

🔗 +90 533 370 01 43 | info@iso27001danismanlik.com

Kapsamlı ISO 27001 & 27701 Risk İşleme Rehberi
Kapsamlı ISO 27001 & 27701 Risk İşleme Rehberi

https://iso27001danismanlik.com

You may also like

İletişim Bilgileri

ISO 27001 Bilgi Güvenliği süreçlerinizde kurumsal çözüm ortağınız olarak her zaman yanınızdayız.

Yenikent Mah. Dicle Cd. G Blok No:16 Gebze / Kocaeli
+90 (533) 370 01 43
info@iso27001danismanlik.com

Bilgi Güvenliğinde Çözüm Ortağınız

ISO 27001 süreçleriniz ve siber güvenlik ihtiyaçlarınız için profesyonel destek almaya hazır mısınız? Uzman kadrosuyla verilerinizi koruma altına alıyoruz.

0533 370 01 43

ISO 27001 Bilgi Güvenliği Yönetim Sistemi ve KVKK süreçlerinde uzman kadromuzla yanınızdayız. Firmanızın dijital varlıklarını en yüksek standartlarda koruma altına alıyoruz.

HIZLI ERİŞİM

Hizmetlerimiz

BLOG

Bize Ulaşın

+90 533 370 01 43
info@iso27001danismanlik.com

Yenikent Mah. Dicle Cd. G blok Daire 16 Gebze / Kocaeli

© 2026 ISO 27001 BGYS Danışmanlık · Tüm Hakları Saklıdır. | SEO & Tasarım BGYS