ISO 27001 ve Dış Otomasyon Ortakları: Orta Ölçekli İşletmelerin Seçimde Dikkat Etmesi Gerekenler

ISO 27001 Seçim Kriteri Olarak Otomasyon Ortakları İçin: Sertifikanın Gerçekten Ne Kanıtladığı ve Orta Ölçekli İşletmelerin Bunun Yerine Ne Kontrol Etmesi Gerektiği.

Elle çizilmiş taslak: bir el, yuvarlak bir sertifika mührü bulunan bir belgenin üzerinde büyüteç tutuyor

Dış bir ortakla fatura girişi, CRM veya başvuru yönetiminin otomasyonunu gerçekleştirirse, o ortağa zorunlu olarak hassas verilere erişim sağlanır: müşteri kayıtları, finansal rakamlar, kısmen de personel dosyaları. "Sağlayıcı ISO 27001 sertifikası taşıyor mu?" sorusu bu nedenle çağrı için tekliflerde ve ilk görüşmelerde giderek daha sık ortaya çıkıyor. Ancak birçok orta ölçekli işletme, sertifikanın tam olarak ne kanıtladığını ve neleri kapsamadığını bilmiyor. Bu makale, bir otomasyon ortağı seçerken aslında neyin önemli olduğunu açıklıyor.

ISO 27001 Sertifikası Olarak Gerçekten Ne Anlatıyor

ISO/IEC 27001:2022, bir Bilgi Güvenliği Yönetim Sistemi (ISMS) için gereksinimler belirler ve bu nedenle tek bir araç için bir mühür değil, kuruluş genelinde sistematik, tekrar tekrar doğrulanan süreçlerin kanıtıdır. Standardın Ek A, dört kategoride 93 Kontrol içerir: 37 örgütsel, 8 kişisel, 14 fiziksel ve 34 teknolojik önlem; secjur mevcut sürüm hakkında gösteriyor. 2013'ün önceki sürümü hala 114 Kontrole sahipti; 93'e indirilmesi daha net bir yapı ve on bir yeni önlemle geldi, örneğin Bulut Güvenliği ve Faaliyet İzleme.

Sertifikaya giden iki yol vardır: ISO/IEC 27001:2022'ye göre doğal olarak serbest metodoloji seçimi ile veya BSI (Almanya Federal Bilgi Güvenliği Ofisi, Standartlar 200-1 ile 200-4) metodolojisine dayanarak. Her iki yol da BSI tarafından uluslararası olarak tanınan ISO-27001 Sertifikasına göre; Grundschutz yolu BSI sertifika şemasında halka açık olarak belgelenmiştir ve verilen sertifikalar orada görülebilir. Ortağın seçimi için bu ilgilidir çünkü her iki yol eşdeğer olarak sayılmakta ancak farklı derecede detaylı olarak doğrulanabilmektedir.

Neden Otomasyon Ortağının Güvenliği Doğrudan Kendi Riskinizin Genişlemesidir

Almanya ekonomisinde veri hırsızlığı, casusluk ve sabotajın toplam zararı 2025'te 289,2 milyar Euro olmuştur; bunun Bitkom-Studie Wirtschaftsschutz 2025 göre 202,4 milyar Euro (%70) siber saldırılarına aitti. Sorguya katılan şirketlerin %34'ü Fidye Yazılımı (Ransomware) saldırısından etkilenmişti, 2022'den neredeyse üç kat daha fazla. Bir RPA Botu, n8n iş akışı veya Copilot aracısı hiç otomasyonu yapabilmek için ERP, CRM veya DATEV'e erişim kimlik bilgileri ve API erişimlerine ihtiyaç duyar. Otomasyon ortağının kendisi tehlikeye atılırsa, bu müşteri sistemlerine doğrudan bir giriş yoludur. Bu nedenle ortağın bilgi güvenliği resmi bir yan mesele değil, kendi saldırı yüzeyinin gerçek bir uzantısıdır.

Bir Sağlayıcı ISO 27001 ile Reklam Yaptığında Somut Olarak Ne Kontrol Etmen Gerektiği

Sunulan bir sertifika tek başına geçerlilik ve kapsam (Scope) kontrolü olmadan çok az şey söyler. Dört nokta somut olarak faydalıdır:

  • Kapsam: Sertifika, otomasyon projenize hizmet veren departmanı veya lokasyonu gerçekten mi kapsar, yoksa sadece bir yan kuruluşu mu?
  • Sertifika Yolu: doğal veya BSI-IT-Grundschutz üzerinden, her ikisi de geçerlidir; Grundschutz yolu için sertifika, halka açık BSI Sertifika Veritabanında doğrulanabilir.
  • Yeniden Sertifikasyon Döngüsü: Bir BSI-Grundschutz Sertifikası üç yıl geçerlidir; arasında yıllık izleme denetimleri vardır; bu nedenle son denetim tarihini sorma konusu faydalıdır.
  • Verenler: Sertifika, akredite edilmiş, bağımsız bir sertifika kuruluşu tarafından mı verilmiş, dahili bir denetim tarafından mı değil?

Beklenti için Önemli: 2022 sonunda, Almanya'da Statista göre sadece yaklaşık 1.582 şirket ISO 27001 sertifikalandırılmıştı; toplam yaklaşık 3,1 milyon şirket arasında. Eksik bir sertifika bu nedenle yetkin bir otomasyon ortağı için otomatik bir eleme kriteri değildir; ancak kanıtlanması sorumluluğunu diğer, eşit derecede kontrol edilebilir kanıtlara kaydırır.

Eğer Ortak Sertifikalı Değilse: Bunun Yerine Hangi Kanıtlar Sayılır

ISO-27001 Sertifikası olmaksızın, Madde 28 GDPR uyarınca temiz bir veri işleme sözleşmesi (AVV) ve belgelenmiş teknik ve örgütsel önlemler (TOMs), her ciddi otomasyon ortağının sunması gereken asgari düzeydir. AVV, kişisel verilerin işlendiği anda zorunludur; herhangi bir sertifikasyondan bağımsız olarak. Ek olarak, sunucu konumu hakkında soru sormak faydalıdır (Almanya veya AB), bireysel otomasyonlar için erişim kavramları ve geçmişte olayların belgelenip raporlanıp raporlanmadığı.

NordFlux de müşterilere karşı kendi ISO-27001 Sertifikası ile değil, müşteri başına AVV, belgelenmiş TOMs ve Alman veya Avrupa veri merkezlerinde veri depolaması ile çıkar. Tam olarak bu şeffaflık, yalnızca bir mühür değil, orta ölçekli işletmelere her otomasyon ortağını seçerken tavsiye ettiğimiz standarttır. Bu nedenle bu sorular her Yapay Zeka (YZ) Danışmanlığı projesinden önce yer almalıdır, çünkü sonunda tam olarak Arayüz Entegrasyonu ile ilgilidir; bunlar üzerinden hassas veriler akar.

Simon Glowik tarafından yazılmıştır; 9 Temmuz 2026'da yayınlanmıştır.

Sık Sorulan Sorular

ISO 27001, bir Otomasyon Ortağı için Yasal Olarak Zorunlu mu?

Çoğu endüstri için hayır. Sadece kritik altyapı (KRITIS) işletmeleri veya finansal sektörün bazı kısımları gibi düzenlenen alanlarda, bir sertifikasyon fiilen gerekli kılınabilir. Orta ölçekli işletmeler için ISO 27001 bugün yasal bir yükümlülükten ziyade giderek artan bir müşteri gereksiniminden daha çok.

"ISO 27001 IT-Grundschutz Tabanında" Ne Anlama Geliyor?

Bu, serbest metodoloji seçimi yerine BSI metodolojisi üzerinden alternatif sertifika yoludur. BSI tarafından onaylanmış bir denetçi referans belgeleri gözden geçirir ve yerinde bir denetim yapar; BSI daha sonra ISO-27001 Sertifikasının verilmesi konusunda karar verir.

Bir ISO-27001 Sertifikası Ne Kadar Süre Geçerlidir?

IT-Grundschutz Tabanında bir Sertifikasyon üç yıl geçerlidir; bundan sonra yeniden sertifikasyon gereklidir. Arasında yıllık izleme denetimleri gerçekleşir. Bu nedenle, sadece sertifika kendisinin değil, son denetimin tarihini sorma faydalıdır.

Sertifikat Olmaksızın Öz-Beyan Kanıt Olarak Yeterli mi?

İçeriği olmayan saf bir öz-beyan yeterli değildir. Madde 28 GDPR uyarınca güvenilir bir veri işleme sözleşmesi ve belgelenmiş teknik ve örgütsel önlemler, her otomasyon ortağının ISO sertifikasyondan bağımsız olarak sunabilmesi gereken asgari düzeydir.

Sunulan bir ISO-27001 Sertifikasının Gerçek Olduğunu Nasıl Kontrol Ederim?

IT-Grundschutz Tabanında Sertifikalar için, verme işlemi halka açık BSI Sertifika Listesinde aranabilir. Doğal ISO-27001 Sertifikaları için, verici sertifika kuruluşunun akreditasyonuna bir göz atmak yardımcı olur; örneğin Alman Akreditasyon Kurulu (DAkkS) adresinde veya doğrudan kuruluşa sorarak.

NordFlux hakkında

NordFlux UG (haftungsbeschränkt)

NordFlux, kuruluşlar için dijital çalışanlar kurar: tekrar eden işleri üstlenen otomasyonlar ve KI ajanları. Kontrol sizde kalır.

Hakkımızda daha fazlası
Ücretsiz ön analiz

Otomasyon veya KI hakkında somut sorularınız mı var?

Ücretsiz bir ön analizde durumunuzu doğrudan görüşürüz. Bağlayıcı değildir.