1. Ana Sayfa
  2. Blog
  3. ISO 27001 Kimler Almak Zorunda? ISO 27001 Ne İşe Yarar?

ISO 27001 Kimler Almak Zorunda? ISO 27001 Ne İşe Yarar?

İÇERİKTE NELER VAR? ISO 27001 Kimler İçin Zorunlu? Yasal ve Sektörel Yükümlülükler RehberiTürkiye'de ISO 27001 Belgesini Zorunlu Kılan Kurumlar ve Sektörler1. Gelir İdaresi Başkanlığı (GİB) - E-Fatura ve Özel Entegratörler2. Enerji Piyasası Düzenleme Kurumu (EPDK)3. Kamu İhale Kurumu (KİK) - Kamu İhaleleri4. Savunma Sanayii Başkanlığı (SSB) ve Tedarikçileri5. Telekomünikasyon Sektörü (BTK)6. Finans ve Ödeme SistemleriZorunluluğun Arkasındaki Mantık: ISO 27001 Ne İşe Yarar?Sıkça Sorulan Sorular (SSS)

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, birçok işletme için rekabet avantajı ve itibar sağlayan stratejik bir tercihtir. Ancak bazı sektörler ve iş kolları için tercih olmaktan çıkıp, yasal veya sözleşmesel bir zorunluluk haline gelmiştir. Bilginin en değerli varlık olduğu günümüzde, özellikle kritik verileri işleyen, depolayan veya ileten firmalar için ISO 27001, faaliyetlerine devam edebilmelerinin ön şartıdır. Peki, sizin işletmeniz bu zorunluluk kapsamına giriyor mu?

iso27001

ISO 27001 Kimler İçin Zorunlu? Yasal ve Sektörel Yükümlülükler Rehberi

Rehberimiz, Türkiye'de hangi kurumların ve sektörlerin ISO 27001 belgesini zorunlu olarak talep ettiğini net bir şekilde ortaya koymak için hazırlanmıştır. İlgili standardın kimler için bir "mecburiyet" olduğunu inceleyelim.

Türkiye'de ISO 27001 Belgesini Zorunlu Kılan Kurumlar ve Sektörler

Aşağıda, ISO 27001 belgesini doğrudan veya dolaylı olarak zorunlu kılan başlıca kurumlar ve sektörler listelenmiştir. İşletmeniz ilgili alanlardan biriyle çalışıyorsa veya çalışmayı hedefliyorsa, belgeye sahip olmanız kritik öneme sahiptir.

1. Gelir İdaresi Başkanlığı (GİB) - E-Fatura ve Özel Entegratörler

En net ve en katı zorunluluk alanıdır. GİB tarafından yetkilendirilen tüm "Özel Entegratör" firmalarının (E-Fatura, E-Arşiv Fatura, E-İrsaliye, E-Defter hizmeti sunanlar), faaliyetlerine devam edebilmek için sadece ISO 27001'i değil, aynı zamanda ISO 22301 (İş Sürekliliği) ve ISO 20000-1 (BT Hizmet Yönetimi) belgelerini de almaları zorunludur. Bu, milyonlarca mükellefin finansal verilerinin güvenliğini sağlamak için alınmış bir önlemdir.

2. Enerji Piyasası Düzenleme Kurumu (EPDK)

EPDK, enerji sektöründe (elektrik, doğalgaz, petrol) faaliyet gösteren lisans sahibi birçok kuruluştan, endüstriyel kontrol sistemlerinin ve bilişim altyapılarının güvenliğini sağlamak amacıyla bir Bilgi Güvenliği Yönetim Sistemi (BGYS) kurmalarını talep etmektedir. Gerekliliği karşılamanın uluslararası standardı ve en kabul görmüş yolu ISO 27001'dir.

3. Kamu İhale Kurumu (KİK) - Kamu İhaleleri

Doğrudan bir kanunla zorunlu kılınmasa da, özellikle bilişim, yazılım, teknoloji, savunma ve telekomünikasyon alanlarındaki birçok kamu ihalesinin idari şartnamesinde, ihaleye katılan firmalardan ISO 27001 belgesine sahip olmaları bir yeterlilik kriteri olarak istenir. Belgeye sahip olmadan bu tür EKAP ihalelerine teklif veremezsiniz.

4. Savunma Sanayii Başkanlığı (SSB) ve Tedarikçileri

Savunma sanayi projelerinde yer alan ve hassas ("Tasnif Dışı" veya "Sınıflandırılmış") verilerle çalışan ana yüklenici ve alt yüklenici firmalardan, projelerde yer alabilmeleri için genellikle ISO 27001 belgesi talep edilir. Ulusal güvenlik verilerinin korunması için kritik bir adımdır.

5. Telekomünikasyon Sektörü (BTK)

Bilgi Teknolojileri ve İletişim Kurumu (BTK), yetkilendirdiği elektronik haberleşme hizmeti sunan veya altyapısı işleten firmalardan, ağ ve bilgi güvenliğini sağlamalarına yönelik yönetmelikler kapsamında ISO 27001 standardına uyumlu bir yapı kurmalarını beklemektedir.

6. Finans ve Ödeme Sistemleri

Bankalar, ödeme hizmeti sağlayıcıları ve finansal teknoloji (fintech) şirketleri gibi kuruluşlar, hem yasal otoritelerin (BDDK, TCMB) beklentileri hem de iş ortaklarının talepleri doğrultusunda, müşteri verilerinin güvenliğini kanıtlamak için ISO 27001'i bir standart olarak benimsemektedir.

Zorunluluğun Arkasındaki Mantık: ISO 27001 Ne İşe Yarar?

Kurumların ISO 27001'i zorunlu kılmasının temel sebebi, standardın sunduğu sistematik güvencedir. ISO 27001, bir işletmeye sadece bir "sertifika" vermez, aynı zamanda o işletmenin bilgi güvenliği konusunda şu kritik yeteneklere sahip olduğunu kanıtlar:

  • Riskleri Sistematik Olarak Yönetir: Veri sızıntısı, siber saldırı, yetkisiz erişim gibi riskleri proaktif olarak tespit eder, analiz eder ve önlem alır.
  • Yasalara Uyum Sağlar: KVKK başta olmak üzere, bilgi güvenliği ile ilgili tüm yasal mevzuatlara uyumu bir çerçeveye oturtur.
  • İş Sürekliliğini Garanti Eder: Bilgi varlıklarını koruyarak, bir kriz anında bile operasyonların devamlılığını sağlar.
  • Güvenilir Bir İş Ortağı Olduğunu Kanıtlar: Müşterilerinin, paydaşlarının ve devletin verilerini koruma konusundaki ciddiyetini ve yetkinliğini gösterir.

İşletmeniz bu listede yer alıyor mu? Yasal yükümlülüklerinizi erteleyerek iş fırsatlarını kaçırma ve cezai yaptırımlarla karşılaşma riskini almayın. Sürecin işletmenize özel gerekliliklerini öğrenmek ve yol haritanızı çizmek için uzmanlarımızla iletişime geçin.

Sıkça Sorulan Sorular (SSS)

1. Zorunluluk sadece büyük firmalar için mi geçerli?

Hayır. Zorunluluk, firmanın büyüklüğüne değil, yürüttüğü faaliyete bağlıdır. Örneğin, 10 kişilik bir E-Fatura Özel Entegratörü de, 1000 kişilik bir firma gibi ISO 27001 almak zorundadır.

2. Zorunluluğa uymamanın cezası nedir?

İlgili kuruma göre değişir. Örneğin GİB için yetkinin iptal edilmesi, EPDK için lisansın askıya alınması veya para cezaları, ihaleler için ise ihaleye katılamama veya teklifin geçersiz sayılması gibi sonuçları olabilir.

3. İhale şartnamesinde "BGYS kurulması" isteniyor, bu ISO 27001 mi demek?

Evet. Bilgi Güvenliği Yönetim Sistemi'nin (BGYS) uluslararası standardı ISO 27001'dir. Bir şartnamede BGYS isteniyorsa, gerekliliği karşılamanın en doğru ve kabul görmüş yolu ISO 27001 belgesi almaktır.

4. Yasal bir zorunluluğum var, ne kadar sürede belge alabilirim?

İşletmenizin büyüklüğü ve mevcut altyapınıza bağlı olarak, yoğun ve disiplinli bir danışmanlık süreci ile ISO 27001 belgesi genellikle 2 ila 4 ay arasında alınabilir.

5. Ben bu zorunlu sektörlere sadece yazılım/hizmet tedarik ediyorum, yine de belge almalı mıyım?

Çok büyük olasılıkla evet. Ana firmalar (örneğin bir banka veya savunma sanayi şirketi), kendi tedarik zincirlerinin güvenliğini sağlamak için, çalıştıkları alt yüklenicilerden ve tedarikçilerden de ISO 27001 belgesi talep etmektedir.

İlginizi Çekebilecek Diğer Yazılarımız

FDA Kayıt Ücretini Belirleyen 3 Temel Faktör ve 2025 Fiyatları
FDA Kayıt Ücretini Belirleyen 3 Temel Faktör Ve 2025 Fiyatları
Rusya İhracatında EAC Belgesi Fiyatı 2025: Sertifika ve Deklarasyon Maliyetleri
Rusya İhracatında EAC Belgesi Fiyatı 2025: Sertifika Ve Deklarasyon Maliyetleri
ISO 27001 Belgesi Maliyetini Artıran (veya Azaltan) Faktörler
ISO 27001 Belgesi Maliyetini Artıran (veya Azaltan) Faktörler
ISO 9001 Fiyatını Belirleyen 4 Temel Değişken ve 2025 Maliyetleri
ISO 9001 Fiyatını Belirleyen 4 Temel Değişken Ve 2025 Maliyetleri