Dijital dönüşümün hız kazandığı günümüzde veri, bir kurumun sahip olduğu en değerli varlıktır. Donanım arızaları, kullanıcı hataları, fidye yazılımı (ransomware) saldırıları veya doğal afetler gibi nedenlerle yaşanabilecek veri kayıpları, şirketler için telafisi imkansız operasyonel ve finansal zararlar doğurabilir. Bilgi Güvenliği Yönetim Sistemi (BGYS) standardı olan ISO 27001, kurumsal verilerin bütünlüğünü, gizliliğini ve erişilebilirliğini güvence altına almak amacıyla kapsamlı ve uygulanabilir veri yedekleme politikalarının oluşturulmasını zorunlu kılar.
Bu rehberde; ISO 27001 standartlarına tam uyumlu bir yedekleme politikasının nasıl tasarlanacağını, teknik gereksinimleri ve felaket kurtarma süreçlerindeki kritik başarı faktörlerini ele alacağız.
ISO 27001 Kapsamında Yedekleme Neden Zorunludur?
ISO 27001 standardı, bilgi güvenliğini sadece sızma testleri veya firewall kurallarından ibaret görmez. Bilginin her koşulda "erişilebilir" olması, standardın üç temel sacayağından (Gizlilik, Bütünlük, Erişilebilirlik) biridir.
Standardın güncel Ek A (Annex A) kontrolleri arasında yer alan "Yedekleme" maddesi, organizasyonların bilgi varlıklarını ve sistemlerini korumak amacıyla yedekleme kopyalarının alınmasını, bu kopyaların güvenliğinin sağlanmasını ve düzenli olarak test edilmesini açıkça talep eder. Bu zorunluluk, hem planlı bakım kesintilerinde hem de beklenmedik felaket senaryolarında iş sürekliliğini korumanın en temel güvencesidir.
ISO 27001 Uyumlu Yedekleme Politikasının Temel Bileşenleri
Sadece yedekleme yazılımı kurup günlük yedek almak, ISO 27001 denetimlerinden geçmek ve gerçek bir siber direnç oluşturmak için yeterli değildir. Standartlara uyumlu yazılı bir yedekleme politikası şu kritik unsurları içermelidir:
1. Yedekleme Sıklığı ve Kapsamı
Hangi verinin ne sıklıkla yedekleneceği, verinin kritiklik derecesine göre belirlenmelidir.
- Kritik Veritabanları: Saatlik veya anlık (real-time) replikasyon.
- Kullanıcı Dosyaları ve Ortak Alanlar: Günlük artımlı (incremental) yedekleme.
- Sistem İmajları ve Konfigürasyonlar: Haftalık veya aylık tam (full) yedekleme.
2. Saklama Süresi (Retention Policy)
Yedeklenen verilerin ne kadar süreyle saklanacağı yasal mevzuatlar (örneğin KVKK, 5651 sayılı kanun veya sektörel regülasyonlar) ve iş ihtiyaçları doğrultusunda politikada netleştirilmelidir. Örneğin, finansal verilerin 5 veya 10 yıl saklanması gerekirken, geçici log verileri için birkaç aylık saklama süresi yeterli olabilir.
3. Depolama Konumu ve Güvenliği
Yedeklerin nerede saklanacağı, fiziksel ve siber tehditlere karşı dayanıklılığı belirler. ISO 27001, yedekleme kopyalarının birincil verinin bulunduğu ortamdan farklı bir fiziksel konumda saklanmasını şart koşar. Ayrıca yedekleme sunucularına erişim yetkileri strictly sınırlandırılmalı ve yedek verileri mutlaka şifrelenmiş (encrypted) olarak depolanmalıdır.
4. 3-2-1 Yedekleme Kuralı
Uluslararası kabul görmüş ve ISO 27001 denetçilerinin de sıklıkla aradığı yedekleme altın kuralı şu şekildedir:
- 3 farklı kopya: Verinin orijinali hariç en az 3 kopyası bulunmalıdır.
- 2 farklı medya tipi: Yedekler NAS cihazı, harici disk, teyp kartuşu (LTO) veya bulut gibi en az iki farklı depolama biriminde tutulmalıdır.
- 1 uzak lokasyon: Yedeklerin en az bir kopyası, ana ofis veya veri merkezinin dışında (farklı bir şehirde veya bulut ortamında) saklanmalıdır.
RTO ve RPO Değerlerinin Belirlenmesi
Yedekleme politikasının en teknik ve iş odaklı kısmı, iş sürekliliği analizlerine dayanarak belirlenen RTO ve RPO hedefleridir:
- RPO (Recovery Point Objective - Kurtarma Noktası Hedefi): Bir kesinti anında kabul edilebilir maksimum veri kaybı süresidir. Örneğin RPO değeri 4 saat olarak belirlenmiş bir sistemde, en fazla son 4 saatin verisi kaybedilebilir. Bu durum, yedekleme sıklığının en az 4 saatte bir olmasını gerektirir.
- RTO (Recovery Time Objective - Kurtarma Süresi Hedefi): Sistemlerin kesintiden sonra ne kadar sürede tekrar çalışır hale getirilmesi gerektiğidir. Örneğin RTO hedefi 2 saat olan kritik bir ERP sistemi, arıza anından itibaren en geç 2 saat içinde kullanıma açılmalıdır.
| Hedef | Tanım | Kritiklik Derecesi | Örnek Çözüm |
|---|---|---|---|
| Düşük RPO | Minimum veri kaybı hedefi. | Çok Yüksek (Finans/E-ticaret) | Anlık Replikasyon / CDP |
| Düşük RTO | Minimum kesinti süresi hedefi. | Çok Yüksek (Üretim/Hizmet) | High Availability / Failover Cluster |
| Yüksek RPO/RTO | Daha uzun tolere edilebilir süreler. | Düşük (Arşiv/Tarihsel Veri) | Günlük/Haftalık Cold Backup |
Ankara'daki Şirketler İçin Yedekleme ve Felaket Kurtarma
Özellikle Ankara'da faaliyet gösteren kamu kurumları, savunma sanayii tedarikçileri ve finansal kuruluşlar için veri güvenliği ve yedekleme süreçleri çok daha sıkı denetimlere tabidir. Kamu regülasyonları ve ISO 27001 standartları, verinin yurt dışına çıkarılmasını kısıtlayabileceği için yerel veri merkezlerinde veya şirket içi (on-premise) güvenli altyapılarda yedekleme çözümlerinin kurgulanması gerekir.
LeonX olarak, Ankara'daki işletmelerin bu özel ihtiyaçlarını analiz ederek, mevzuatlara tam uyumlu, şifrelenmiş ve siber saldırılara karşı izole edilmiş yedekleme mimarileri tasarlıyoruz.
Profesyonel Yedekleme Yönetiminin Önemi
ISO 27001 standartlarına uyumlu bir yedekleme altyapısının tasarlanması, politikalarının yazılması ve sürekli denetlenmesi ciddi bir uzmanlık gerektirir. Kurumunuzun iş sürekliliği standartlarını yükseltmek ve proaktif bir veri koruma modeli oluşturmak için Yönetilen Hizmetler çözümlerimizi inceleyebilirsiniz.
Yedekleme mimarinizin standartlara uygun şekilde tasarlanması ve belgelendirilmesi aşamasında ise uzman kadromuz tarafından sunulan Yedekleme Stratejisi Tasarımı ve Politika Yönetimi hizmetinden faydalanabilirsiniz.
Ayrıca, yedekleme politikanızı oluşturmadan önce yapılması gereken risk analizleri için ISO 27001 Risk Değerlendirmesi rehberimizi inceleyebilir, belgelendirme sürecinin diğer teknik aşamalarını öğrenmek için ISO 27001 ve Ağ Güvenliği ile ISO 27001 Nedir? makalelerimize göz atabilirsiniz.
Kurumunuza özel, Veeam Backup gibi dünya standartlarında teknolojilerle güçlendirilmiş, denetimlerden tam not alacak bir yedekleme ve felaket kurtarma altyapısı kurmak için bizimle iletişime geçebilirsiniz.
Sıkça Sorulan Sorular
Sadece yedek almak ISO 27001 uyumluluğu için yeterli midir?
Kesinlikle hayır. ISO 27001 standardı, alınan yedeklerin doğruluğunun ve kurtarılabilirliğinin düzenli olarak test edilmesini zorunlu kılar. Yılda en az bir veya iki kez "Yedekten Geri Dönen Veri Doğrulama" (Restore Test) tatbikatları yapılmalı ve bu tatbikatlar raporlanarak kayıt altına alınmalıdır.
Yedekleme sunucularının siber saldırılardan korunması için ne yapılmalıdır?
Siber saldırganlar, özellikle fidye yazılımı (ransomware) saldırılarında ilk olarak yedekleme sunucularını hedef alırlar. Yedeklerin de şifrelenmesini önlemek amacıyla, yedekleme ağının ana ağdan izole edilmesi (Network Segmentation), yedeklerin değiştirilemez (Immutable Backup) teknolojilerle saklanması ve yedekleme sunucularında MFA kullanımının aktif edilmesi zorunludur.
Bulut yedekleme ISO 27001 ve KVKK açısından sorun yaratır mı?
Bulut yedekleme, ISO 27001 açısından mükemmel bir "uzak lokasyon" çözümü sunar. Ancak Türkiye'deki KVKK mevzuatları gereği, kişisel veri barındıran yedeklerin yurt dışı kaynaklı bulut servislerinde (AWS, Azure vb.) saklanması açık rıza veya kurul izni gerektirebilir. Bu nedenle, yerel veri merkezlerinde barındırılan yerli bulut yedekleme çözümlerinin tercih edilmesi yasal uyumluluk açısından çok daha güvenlidir.
Sonuç
Yedekleme politikası, ISO 27001 Bilgi Güvenliği Yönetim Sistemi'nin en hayati can simididir. Doğru kurgulanmış, şifrelenmiş, izole edilmiş ve düzenli olarak test edilen bir yedekleme altyapısı, kurumunuzu sadece denetimlerden başarıyla geçirmekle kalmaz; en yıkıcı siber saldırılarda dahi dakikalar içinde ayağa kalkmanızı sağlayarak işinizin geleceğini garanti altına alır.
