ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) belgelendirme yolculuğuna çıkarken atılması gereken en ilk ve en kritik adım, kapsamın belirlenmesidir. "Kapsam", BGYS standartlarının ve kontrollerinin şirketin hangi alanlarında uygulanacağını, hangi sınırların içinde geçerli olacağını tanımlar. Birçok şirket yöneticisi bu aşamada şu temel soruyla karşı karşıya kalır: "Tüm şirketi mi belgelendirmeliyiz, yoksa sadece kritik bir birimi veya hizmeti mi?"
Bu kararın doğru verilmesi, hem sertifikasyon sürecinin bütçe ve zaman maliyetini doğrudan etkiler hem de belgenin müşterileriniz nezdinde yaratacağı güvenin derecesini belirler. Bu rehberde, ISO 27001 kapsam belirleme sürecinin nasıl yönetileceğini ve sınırların nasıl çizileceğini detaylı olarak inceleyeceğiz.
ISO 27001 Kapsamı Nedir ve Neden Önemlidir?
ISO 27001 kapsamı, Bilgi Güvenliği Yönetim Sistemi'nin sınırlarını çizen resmi bir dokümandır. Denetçiler kurumunuza geldiğinde, sadece bu kapsam dahilinde tanımladığınız alanları, süreçleri, fiziksel konumları ve sistemleri denetlerler. Kapsam dışında kalan alanlar denetim konusu yapılmaz.
Kapsam belirlemenin doğru yapılması şu nedenlerle hayati önem taşır:
- Kaynak Yönetimi: Gereğinden geniş bir kapsam, yönetilmesi zor, çok yüksek maliyetli ve uzun süren bir hazırlık süreci doğurabilir.
- İtibar ve Güven: Gereğinden dar veya anlamsız çizilmiş bir kapsam (örneğin sadece insan kaynakları departmanını kapsayan ama yazılım geliştirme sürecini dışarıda bırakan bir kapsam), müşterileriniz ve iş ortaklarınız nezdinde sertifikanın inandırıcılığını zedeler.
- Denetim Başarısı: Kapsam içindeki tüm alanlarda ISO 27001 standartlarının eksiksiz uygulanması şarttır. Sınırları doğru çizilmeyen bir sistemde denetimden başarıyla geçmek zorlaşır.
Kapsam Belirlerken Dikkat Edilmesi Gereken 4 Temel Unsur
ISO 27001 standardı (Madde 4.3), kapsam belirlenirken organizasyonun şu unsurları göz önünde bulundurmasını şart koşar:
1. İç ve Dış Hususlar (Organizasyonel Sınırlar)
Şirketin iş modeli, vizyonu, pazar konumu ve organizasyon yapısı incelenmelidir. Şirket hangi sektörde faaliyet gösteriyor? Ana gelir kaynağı hangi süreçlerdir?
2. Paydaşların Gereksinimleri (Yasal ve Sözleşmesel Sınırlar)
Müşterilerinizin, tedarikçilerinizin ve yasal otoritelerin beklentileri nelerdir? Örneğin, bir e-ticaret veya SaaS şirketiyseniz, müşterileriniz doğrudan bulut altyapınızın ve yazılım geliştirme süreçlerinizin güvenliğini sorgulayacaktır. Bu durumda kapsamın mutlaka bu süreçleri içermesi gerekir.
3. Fiziksel ve Coğrafi Sınırlar
BGYS'nin hangi fiziksel konumlarda uygulanacağı belirlenmelidir. Ana ofis, şubeler, veri merkezleri (data center) veya üretim tesisleri kapsama dahil edilecek mi? Uzaktan çalışan personellerin ev ofisleri kapsama nasıl dahil edilecek?
4. Bilgi Varlıkları ve Teknolojik Sınırlar
Kapsam dahilindeki süreçlerin kullandığı tüm bilgi varlıkları (sunucular, veritabanları, ağ cihazları, yazılımlar) tanımlanmalıdır.
Tüm Şirket mi, Belirli Bir Birim mi? Stratejik Yaklaşımlar
Kapsam belirlerken tercih edebileceğiniz iki temel strateji vardır:
Yaklaşım A: Tüm Şirketi Kapsayan Geniş Kapsam (Full Scope)
Şirketin tüm departmanlarının, tüm fiziksel lokasyonlarının ve tüm hizmetlerinin BGYS kapsamına alınmasıdır.
- Avantajları: Müşterilere ve iş ortaklarına en yüksek düzeyde güven verir. "Şirketimizin tamamı güvenlidir" diyebilme prestiji sağlar.
- Dezavantajları: Hazırlık süreci uzundur, maliyetlidir ve tüm departmanların sürece aktif katılımını gerektirir. Büyük organizasyonlar için ilk aşamada yönetilmesi oldukça zordur.
Yaklaşım B: Hizmet veya Departman Odaklı Sınırlı Kapsam (Scoped Approach)
Sadece belirli bir kritik hizmetin, ürünün veya departmanın (örneğin; "X Yazılım Ürününün Geliştirilmesi ve Barındırılması Süreci" veya "Veri Merkezi Operasyonları") kapsama alınmasıdır.
- Avantajları: Hazırlık süreci çok daha hızlı tamamlanır, maliyetler düşüktür ve odaklanmış bir güvenlik kalkanı kurulmasını sağlar.
- Dezavantajları: Sertifika üzerinde kapsamın sınırları açıkça yazılır. Müşterileriniz sertifikayı incelediğinde, sadece o sınırlı alanın güvenli olduğunu görecektir.
| Parametre | Tüm Şirket (Full Scope) | Sınırlı Kapsam (Scoped Approach) |
|---|---|---|
| Hazırlık Süresi | Uzun (6 - 12 Ay) | Kısa (3 - 5 Ay) |
| Maliyet | Yüksek | Düşük / Orta |
| Yönetim Kolaylığı | Zor (Tüm departmanlar dahil) | Kolay (Odaklanmış ekip) |
| Müşteri Güveni | Maksimum | Sınırlı (Sadece ilgili süreç için) |
| KOBİ'ler İçin Uygunluk | Orta / Zor | Çok Uygun (Başlangıç için) |
Ankara'daki KOBİ'ler İçin Kademeli Kapsam Genişletme Modeli
Özellikle Ankara'da faaliyet gösteren teknokent şirketleri, yazılım evleri ve KOBİ'ler için en rasyonel yaklaşım kademeli kapsam genişletme modelidir.
Bu modelde, ilk yıl sadece en kritik iş süreçleri ve IT altyapısı (örneğin; kamuya sunulan yazılım hizmetinin geliştirme ve barındırma süreçleri) kapsama alınarak sertifika alınır. Sistem oturduktan ve kurumsal farkındalık oluştuktan sonra, her yıl yapılan gözetim denetimlerinde kapsam genişletilerek diğer departmanlar ve şubeler sisteme dahil edilir. Bu yaklaşım, kaynakların en verimli şekilde kullanılmasını sağlar.
Profesyonel Kapsam Yönetimi ve Danışmanlık
ISO 27001 kapsamını yanlış belirlemek, denetimlerde başarısızlığa uğramaya veya gereksiz yere milyonlarca liralık altyapı yatırımı yapmanıza neden olabilir. Şirketinizin iş modeline en uygun kapsam sınırlarını çizmek, yasal uyumluluk süreçlerini yönetmek ve yönetimsel olgunluğunuzu artırmak için İş ve Yönetim Danışmanlığı hizmetlerimizden yararlanabilirsiniz.
Kapsam belirleme aşamasından başlayarak, uygulanabilirlik bildirisinin (SoA) hazırlanması ve belgelendirme denetimlerine kadar tüm süreçlerde profesyonel Bilgi Güvenliği Politikası Danışmanlığı çözümlerimizle yanınızdayız.
Ayrıca, kapsam belirleme sürecinin ardından atılması gereken diğer teknik ve yönetimsel adımları öğrenmek için aşağıdaki rehberlerimizi inceleyebilirsiniz:
- Kapsam içindeki risklerin analizi için: ISO 27001 Risk Değerlendirmesi
- Sertifikasyon sürecinin genel adımları için: ISO 27001 Sertifikasyon Adımları
- Kapsam dahilindeki ağ altyapısının güvenliği için: ISO 27001 ve Ağ Güvenliği
- Veri yedekleme kontrollerinin kapsamı için: ISO 27001 ve Yedekleme Politikaları
- Denetçilerin kapsamla ilgili sorabileceği sorular için: ISO 27001 Denetim Soruları
- Sertifikasyonun kuruma sağladığı tüm avantajlar için: ISO 27001 Sertifikasyon Faydaları
- Standardın genel yapısı hakkında bilgi edinmek için: ISO 27001 Nedir?
Kurumunuza en uygun, maliyet etkin ve denetimlerden başarıyla geçecek bir ISO 27001 kapsamı belirlemek ve sertifikasyon sürecini başlatmak için uzman kadromuzla iletişime geçebilirsiniz.
Sıkça Sorulan Sorular
Kapsamı sonradan değiştirebilir miyiz?
Evet. ISO 27001 yaşayan bir sistemdir. İlk yıl aldığınız sınırlı kapsamı, her yıl yapılan düzenli "Gözetim Denetimleri" sırasında veya 3. yılın sonundaki "Yeniden Belgelendirme Denetimi" sırasında genişletebilir veya daraltabilirsiniz. Kapsam değişiklikleri denetçiye önceden bildirilmeli ve denetimde doğrulanmalıdır.
Sadece tek bir fiziksel ofisi kapsama dahil edebilir miyiz?
Evet. Şirketinizin birden fazla şubesi veya ofisi varsa, sadece genel merkezi veya sadece kritik operasyonların yürütüldüğü tek bir ofisi kapsama dahil edebilirsiniz. Bu durumda sertifika üzerinde sadece o ofisin adresi yer alacaktır.
Kapsam dışında kalan departmanlar bilgi güvenliği kurallarına uymak zorunda mıdır?
Yasal olarak hayır, ancak kurumsal güvenlik kültürü açısından önerilir. Kapsam dışındaki departmanlar resmi denetime tabi tutulmazlar ancak ana ağ altyapısını veya ortak sunucuları kullanıyorlarsa, kapsam içindeki sistemlerin güvenliğini riske atmamak adına temel güvenlik kurallarına (şifre politikaları, temiz masa ilkesi vb.) uymaları teknik olarak zorunlu hale getirilebilir.
Sonuç
ISO 27001 kapsam belirleme süreci, siber güvenliğinizin ve belgelendirme başarınızın temel sınırlarını çizer. Şirketinizin gerçek ihtiyaçlarını, müşteri beklentilerini ve bütçe olanaklarını analiz ederek en doğru kapsamı belirlemek, proaktif bir koruma kalkanı oluşturmanın ilk adımıdır. Doğru çizilmiş sınırlar, sizi gereksiz maliyetlerden korurken kurumsal güvenliğinizi en üst seviyeye taşır.
