ISO 27001
Önemli: MevzuatRadar bu sayfada ISO/IEC 27001:2022 sertifikasyonuna sahip olduğunu iddia etmez. Bu sayfa Annex A kontrol ailelerinin kod/operasyon karşılığını gösteren readiness dokümandır. Bağımsız belgelendirme kuruluşu, denetim takvimi ve sertifika sonucu external/operator owned süreçtir; imzalı external proof olmadan sertifikasyon iddiası kurulmaz.
Kapsam
ISO/IEC 27001:2022 Information Security Management System (ISMS) gereksinimleri, MevzuatRadar Türkiye Cumhuriyeti devlet kurumları ve büyük holding müşteri ortamı için zorunlu uyum hattıdır. Aşağıdaki kontrol aileleri için her bir kontrolün repo/operasyon karşılığı listelenmiştir.
Annex A Kontrol Aileleri
A.5 Bilgi Güvenliği Politikaları
| Kontrol | Uygulama | Kanıt |
|---|---|---|
| A.5.1 Bilgi güvenliği politikaları | Yıllık review, CTO + CSO onayı | docs/security/policies/* (NDA altında) |
| A.5.2 Roller ve sorumluluklar | RBAC matrix + RACI | Internal access matrix |
| A.5.7 Tehdit istihbaratı | Bağımlılık güvenlik taraması (Snyk + npm audit + CodeQL) | CI workflow security-gates |
A.6 İnsan Kaynakları Güvenliği
| Kontrol | Uygulama | Kanıt |
|---|---|---|
| A.6.1 Tarama | Personel öncesi referans + arka plan kontrolü | İK SOP |
| A.6.4 Disiplin süreci | KVKK ihlali için tanımlı disiplin akışı | İK + Compliance ortak SOP |
| A.6.6 NDA | Tüm personel + subprocessor için imzalı | HR/Legal arşiv |
A.8 Varlık Yönetimi
| Kontrol | Uygulama | Kanıt |
|---|---|---|
| A.8.1 Varlık envanteri | Repo + infra IaC (Coolify config + Cloudflare DNS) | infra/ + docs/cloud-server.md |
| A.8.2 Varlık sınıflandırması | ”Public”, “Internal”, “Confidential”, “Restricted” 4-tier | docs/security/data-classification.md |
| A.8.3 Bilgi sınıflandırması | KVKK kategori bazlı (kimlik, finansal, sağlık) | KVKK envanteri |
| A.8.10 Bilgi imhası | Retention sonrası AES purge cron | scripts/kvkk-status-retention.cron.ts |
A.9 Erişim Kontrolü
| Kontrol | Uygulama | Kanıt |
|---|---|---|
| A.9.1 Erişim politikası | RBAC + magic-login OTP (şifresiz) | apps/api/src/modules/auth/* |
| A.9.2 Kullanıcı erişimi | OTP + audit log her giriş | PublicStatusAuditLog hash chain |
| A.9.4 Sistem erişim kontrolü | 4-eye principle (kritik delete) | apps/api/src/common/auth/four-eyes.guard.ts |
| A.9.5 Erişim haklarının review’ı | Çeyreklik review, ops + compliance | Quarterly access audit log |
A.10 Kriptografi
| Kontrol | Uygulama | Kanıt |
|---|---|---|
| A.10.1 Kriptografik kontroller | AES-256-GCM at-rest, TLS 1.3 transit | apps/api/src/modules/public-status-subscribe/public-status-subscribe.crypto.ts |
| A.10.1 Anahtar yönetimi | kid versioning, 90 gün rotation cron | STATUS_SUBSCRIBER_AES_KID env + rotation cron |
A.12 Operasyonlar Güvenliği
| Kontrol | Uygulama | Kanıt |
|---|---|---|
| A.12.1 Operasyonel prosedür | Runbook’lar (incident, deploy, backup) | docs/operations/* (NDA altında) |
| A.12.2 Zararlı yazılım korunması | Container image scanning + SBOM | scripts/verify-supply-chain-security.mjs |
| A.12.3 Yedekleme | Hetzner S3 günlük backup, restore drill çeyreklik | scripts/postgres-backup-self-managed.sh |
| A.12.4 Logging ve monitoring | Audit log + Sentry + Prometheus | observability stack |
| A.12.6 Güvenlik açığı yönetimi | Snyk + Dependabot + CodeQL | .github/workflows/security-gates.yml |
A.16 Bilgi Güvenliği Olay Yönetimi
| Kontrol | Uygulama | Kanıt |
|---|---|---|
| A.16.1 Olay yönetimi | Tier 1-4 alarm + on-call rotasyon | docs/operations/incident-runbook.md |
| A.16.1.5 Veri ihlali bildirimi | KVKK 72 saat + GDPR Art. 33 | DPA Madde 8 |
| A.16.1.7 Kanıt toplama | Audit log hash zincir + log retention 7 yıl | PublicStatusAuditLog + Postgres trigger |
A.17 İş Sürekliliği
| Kontrol | Uygulama | Kanıt |
|---|---|---|
| A.17.1 BCM planlaması | RPO 4 saat, RTO 1 saat hedef | docs/HA-DR.md |
| A.17.1.3 BCM testleri | Çeyreklik restore drill + chaos game day | docs/CHAOS_GAME_DAY_LEDGER.json |
| A.17.2 Yedek altyapı | Hetzner S3 + cold storage (off-region) | docs/backup-pdf-integrity-ha-dr-raporu.md |
Audit Hazırlığı
ISO 27001 dış denetim programı aşağıdaki planlama çıktılarıyla hazırlanır. Tarihler müşteri/vendor programı için planlama bilgisidir; sertifika iddiası veya tamamlanmış dış denetim kanıtı değildir.
| Aşama | Hedef Tarih | Çıktı |
|---|---|---|
| Gap analizi | 2026 Q2 | Internal audit raporu |
| Kontrol uygulama tamamlanması | 2026 Q2 sonu | Tüm Annex A kontrolleri operational |
| 2-aşamalı dış denetim | 2026 Q3 başı | Stage 1 + Stage 2 audit |
| Sertifikasyon kararı | 2026 Q3 sonu hedef | Belgelendirme kuruluşu kararı ve imzalı external proof |
Audit takip için müşteri yetkilileri NDA altında bilgilendirilir.
Müşteri Talebi
ISO 27001 readiness raporu (kontrol-bazlı uygulama detayı, statement of
applicability, gap analizi) [email protected] üzerinden NDA ile
talep edilir. SLA: 5 iş günü.
Sertifikasyon belgesi alınırsa müşteri portalında belge metadata’sı ve paylaşım kanalı ayrıca duyurulur.
Kaynak
- ISO/IEC 27001:2022 standardı
- ISO/IEC 27002:2022 kontrol kılavuzu
- TÜRKAK akreditasyon prosedürü
- KVKK 6698 ortak referans tablosu (kontrol-eşleme)