• 0212 541 25 53
  • 0533 050 77 58
  • This email address is being protected from spambots. You need JavaScript enabled to view it.
  • Pzt Cuma 09:00 20:00

Sık Sorulan Sorular

ISO 27001 Sadece IT Departmanını mı Kapsar?

Bilgilendirme
Gösterim: 156

ISO 27001 Sadece IT Departmanını mı Kapsar?

 

ISO 27001 hakkında en yaygın yanlış algılardan biri, standardın yalnızca IT departmanını kapsadığı düşüncesidir. 2025 yılında firmaların Google’da en sık aradığı sorulardan biri de budur: “ISO 27001 sadece IT için mi geçerli?”

Kısa cevap: Hayır.
ISO 27001, bilgi güvenliğini yalnızca teknik bir konu olarak değil, kurumsal bir yönetim sistemi olarak ele alır. Bu nedenle kapsam, IT departmanıyla sınırlı değildir.

ISO 27001 Kapsamına Giren Temel Departmanlar

Uygulamada ISO 27001 kapsamında en sık yer alan birimler şunlardır:

  • Bilgi Teknolojileri (IT)

  • İnsan Kaynakları

    Satın Alma ve Tedarik Yönetimi

  • Satış ve Müşteri İlişkileri

  • Muhasebe ve Finans

  • Üst Yönetim

  • Operasyon ve Proje Yönetimi

Bu departmanların tamamı, doğrudan ya da dolaylı olarak bilgi varlıklarına erişim sağladığı için ISO 27001 kapsamına dahil edilir.

IT Departmanı Neden Merkezde Görülür?

IT departmanı, bilgi sistemlerinin işletilmesinden sorumlu olduğu için ISO 27001’de kritik bir role sahiptir. Ancak bu durum, standardın yalnızca IT’ye ait olduğu anlamına gelmez.

2025 denetimlerinde denetçilerin özellikle dikkat ettiği nokta şudur:
Bilgi güvenliği sadece sistemlerle mi sınırlı, yoksa organizasyon genelinde mi yönetiliyor?

Bu nedenle süreçlerin departmanlar arası yayılımı önemlidir.

IT Dışındaki Departmanlar Neden Dahildir?

ISO 27001, bilgi güvenliğini şu başlıklar üzerinden ele alır:

  • Yetkilendirme ve erişim

  • Gizlilik ve farkındalık

  • İnsan kaynakları süreçleri

  • Tedarikçi ilişkileri

  • Sözleşmeler ve müşteri bilgileri

Bu başlıkların tamamı IT dışındaki departmanların günlük faaliyetleriyle doğrudan ilişkilidir. Örneğin insan kaynakları personel özlük bilgilerini, muhasebe finansal verileri, satış birimi müşteri bilgilerini yönetir.

Tüm Departmanları Kapsamak Zorunlu mu?

Hayır.
ISO 27001’de kapsam, firmanın faaliyet alanına ve bilgi işleme modeline göre belirlenir. Ancak 2025 itibarıyla denetçiler, sadece IT’yi kapsayan dar kapsamları daha dikkatli incelemektedir.

Kapsam dışı bırakılan departmanlar mutlaka gerekçelendirilmelidir.

2025’te En Sık Yapılan Kapsam Hatası

Firmalarda en sık karşılaşılan hata şudur:
“ISO 27001 bizim IT belgemiz.”

Bu yaklaşım, denetimlerde uygunsuzluk riskini artırır ve belgenin kurumsal değerini düşürür. ISO 27001, kurum genelinde bilgi güvenliği kültürü oluşturmayı hedefler.

ISO 27001 Süreciniz İçin Hızlı Ön Analiz Alın

ISO 27001 kapsamına hangi departmanların dahil edilmesi gerektiğini ve firmanız için en doğru kapsam yapısını öğrenmek isterseniz ücretsiz ön analiz desteği sunuyoruz.

Gerekli bilgiler:

  • Faaliyet alanı

  • Departman yapısı

  • Bilgi işleme modeli

  • Çalışan sayısı

YYS Danışmanlık olarak yazılım firmaları, üniversiteler, özel entegratörler, fintech kuruluşları ve üretim tesisleri için 2025 uyumlu ISO 27001 kurulum ve belgelendirme süreçlerini yönetiyoruz.

Sosyal Medya

© 2026 YYS Belgelendirme Eğitim Danışmanlık ve Test&Analiz Hizmetleri Tüm Hakları Saklıdır.