ISO/IEC 27005 ve Bilgi Güvenliği Risk Yönetimi: Türkiye'de Kurumsal Direncin Anahtarı

Türkiye’de dijitalleşme hız kazandıkça, siber tehditlerin karmaşıklığı, sıklığı ve etki alanı da artmaktadır. Finans, e-ticaret, enerji, üretim ve kritik altyapılar gibi sektörler, özellikle fidye yazılımları, hizmet kesintileri ve veri ihlalleri gibi saldırılar karşısında artan bir risk altındadır. Bu bağlamda, bilgi güvenliği risk yönetimi yalnızca teknik bir gereklilik değil, aynı zamanda kurumsal sürekliliğin, yasal uyumluluğun ve müşteri güveninin temel unsuru haline gelmiştir. ISO/IEC 27005 standardı, bilgi güvenliği risklerinin sistematik olarak tanımlanması, analiz edilmesi, değerlendirilmesi ve yönetilmesi için uluslararası düzeyde kabul görmüş bir kılavuz sunmaktadır.

Bu makale, ISO/IEC 27005’in Türkiye’deki uygulama bağlamını ele almakta, özellikle KVKK (Kişisel Verilerin Korunması Kanunu), kritik altyapı düzenlemeleri ve sektörel uyumluluk gereklilikleri ile entegrasyonunu irdelemektedir.

Ayrıca, Türk şirketleri için ISO/IEC 27005’in sağladığı yapılandırılmış yaklaşımın kurumsal direnç, operasyonel süreklilik ve rekabet gücüne katkıları analiz edilmektedir. Çalışma, örnek senaryolar ve sektör uygulamaları üzerinden Türkiye’de bilgi güvenliği risk yönetiminde iyi uygulamalara ışık tutmayı hedeflemektedir.

Türkiye’de Dijitalleşme Sürecinde Bilgi Güvenliği Risk Yönetimi: ISO/IEC 27005’in Stratejik Rolü

21. yüzyılın dijitalleşme dalgası, Türkiye’de kamu kurumları, özel sektör kuruluşları ve kritik altyapılar için dönüşümün temel dinamiği haline gelmiştir. E-devlet uygulamalarından bulut tabanlı hizmetlere, mobil bankacılıktan e-ticaret platformlarına kadar pek çok alanda dijital çözümler, hız ve verimlilik sağlarken aynı zamanda yeni güvenlik açıklarını da beraberinde getirmektedir. Özellikle finansal sistemler, sağlık hizmetleri, enerji şebekeleri ve üretim tesisleri gibi kritik sektörlerde görülen dijitalleşme, bu alanları giderek daha karmaşık ve sofistike siber tehditlerin hedefi haline getirmiştir.

Türkiye’de Siber Tehditlerin Yükselişi

Türkiye Bilimsel ve Teknolojik Araştırma Kurumu (TÜBİTAK) BİLGEM, Ulusal Siber Olaylara Müdahale Merkezi (USOM) ve Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından yayımlanan son raporlar, Türkiye’de fidye yazılımlarının, hizmet engelleme (DDoS) saldırılarının, kimlik avı kampanyalarının ve veri sızıntılarının sürekli artış gösterdiğini ortaya koymaktadır. Bu saldırılar yalnızca bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini tehdit etmekle kalmamakta; aynı zamanda kurumların yasal sorumluluklarını, operasyonel sürekliliklerini, itibarlarını ve müşteri güvenini doğrudan etkilemektedir.

Teknik Önlemlerden Kurumsal Risk Yönetimine Geçiş

Bu gelişmeler, bilgi güvenliğinin artık yalnızca teknik önlemlerle (örneğin güvenlik duvarları, antivirüs yazılımları veya erişim kontrol sistemleri) sağlanamayacağını göstermektedir. Modern tehdit ortamında, güvenliğin kurumsal düzeyde ele alınması, risklerin sistematik biçimde tanımlanması, ölçülmesi, önceliklendirilmesi ve sürekli olarak yönetilmesi kritik önem taşımaktadır. İşte bu noktada, uluslararası kabul görmüş çerçeveler arasında öne çıkan ISO/IEC 27005, bilgi güvenliği risk yönetimi için kapsamlı bir metodolojik yol haritası sunmaktadır.

ISO/IEC 27005’in Temel Katkısı ve Türkiye Bağlamında Önemi

ISO/IEC 27005, bir yönetim sistemi standardı değil, ISO/IEC 27001’in risk yönetimi gerekliliklerini (özellikle 6.1.2 ve 6.1.3 maddeleri) destekleyen bir kılavuz niteliğindedir. Bu standardın sağladığı yapılandırılmış yaklaşım, kurumların bilgi varlıklarını sistematik olarak değerlendirmesine, riskleri olasılık ve etki temelinde analiz etmesine, uygun risk işleme seçeneklerini belirlemesine ve süreci döngüsel olarak izlemesine imkân tanımaktadır.

Türkiye bağlamında, ISO/IEC 27005’in önemi özellikle üç temel faktör üzerinden değerlendirilebilir:

1. Yasal ve düzenleyici zorunluluklar: Kişisel Verilerin Korunması Kanunu (KVKK), Elektronik Ticaret Kanunu ve kritik altyapı düzenlemeleri, kuruluşların bilgi güvenliği risklerini etkin biçimde yönetmelerini zorunlu kılmaktadır. ISO/IEC 27005, bu yükümlülüklerin yerine getirilmesinde sistematik bir araç işlevi görmektedir.
2. Müşteri güveni ve kurumsal itibar: Veri ihlalleri veya hizmet kesintileri, yalnızca maddi kayıplara değil, müşteri güveninin kaybına ve geri döndürülmesi zor olan itibar zedelenmesine yol açabilmektedir.
3. Kurumsal direnç ve sürdürülebilirlik: Dijitalleşme sürecinde ortaya çıkan beklenmedik tehditlere karşı hazırlıklı olmak, yalnızca güvenlik ekiplerinin değil, tüm organizasyonun sorumluluğu haline gelmiştir. ISO/IEC 27005, risk temelli yaklaşımıyla kurumların direnç seviyelerini artırmakta ve operasyonel sürekliliği güvence altına almaktadır.

Örneğin, bir e-ticaret şirketi ISO/IEC 27005 çerçevesinde gerçekleştirdiği risk değerlendirmesi ile müşteri veritabanındaki kritik bir zafiyeti önceden tespit ederek gerekli önlemleri aldığı takdirde, hem olası bir KVKK ihlalinden hem de müşteri güveninin kaybından korunabilmektedir. Benzer şekilde, enerji sektöründe faaliyet gösteren bir kuruluş, bu metodolojiyle OT/IoT cihazlarına yönelik tehditleri analiz ederek üretim sürekliliğini güvence altına alabilmektedir.

Dolayısıyla, Türkiye’nin hızla gelişen dijital ekosisteminde, bilgi güvenliği risk yönetimi artık bir “opsiyon” değil, kurumsal varlığın, sürdürülebilir büyümenin ve uluslararası rekabet gücünün temel dayanaklarından biridir. ISO/IEC 27005 standardı, bu kritik ihtiyaca yanıt veren, uyumlu, esnek ve pratik bir yol haritası sunarak, Türkiye’deki kurumların dijital dönüşüm yolculuğunda stratejik bir rehber niteliği kazanmaktadır.

1. ISO/IEC 27005 Nedir? Temel Tanım ve İlişkili Standartlar

1.1 Tanım ve Kapsam

ISO/IEC 27005, bilgi güvenliği risk yönetimi süreçlerinin sistematik ve sürdürülebilir bir biçimde yürütülmesi için uluslararası düzeyde kabul görmüş bir kılavuz standarttır. 2008 yılında ilk kez yayımlanan ve zaman içerisinde güncellenen bu standart, özellikle ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) standardının risk temelli yaklaşımını desteklemek üzere tasarlanmıştır. ISO/IEC 27005 bir “yönetim sistemi standardı” değil, kuruluşlara risk yönetiminde yol gösterici metodolojiler sunan bir “rehber” niteliğindedir.

Standardın temel amacı, kuruluşların bilgi varlıklarına yönelik riskleri sistematik biçimde tanımlamasını, bu risklerin gerçekleşme olasılığı ve yaratacağı etkiyi analiz etmesini, elde edilen sonuçlar doğrultusunda riskleri değerlendirmesini ve uygun risk işleme stratejilerini belirlemesini sağlamaktır. Ayrıca risk yönetimi sürecinin izlenmesi, gözden geçirilmesi ve sürekli iyileştirilmesi de ISO/IEC 27005’in merkezinde yer alır. Böylece bilgi güvenliği, “bir defalık” bir proje değil, kurumsal yapının ayrılmaz ve dinamik bir unsuru haline gelir.

1.2 İlişkili Standartlar ve Entegrasyon

ISO/IEC 27005, bilgi güvenliği yönetim sistemlerinin küresel çerçevesi olan ISO/IEC 27000 serisi standartlarının bir parçasıdır. Bu bağlamda, aşağıdaki standartlarla yakın ilişki içerisindedir:

• ISO/IEC 27001 (BGYS Gereklilikleri): ISO/IEC 27005’in en önemli ilişkili standardıdır. ISO 27001, bilgi güvenliği yönetim sistemi kurulumu için gereklilikleri belirlerken, risk temelli yaklaşımı zorunlu kılar. ISO/IEC 27005, özellikle ISO 27001’in Madde 6.1.2 (Bilgi Güvenliği Risk Değerlendirmesi) ve Madde 6.1.3 (Bilgi Güvenliği Risk İşleme) gerekliliklerini yerine getirmek için kullanılabilecek metodolojileri sunar. Dolayısıyla, ISO 27001’in etkin şekilde uygulanabilmesi için ISO/IEC 27005 kritik bir tamamlayıcıdır.
• ISO/IEC 27002 (Kontrol Seti): ISO 27005, risklerin tanımlanması ve değerlendirilmesinde kullanılan metodolojiyi sağlarken, bu risklere karşı uygulanabilecek teknik ve idari kontroller ISO/IEC 27002’de tanımlanır. Örneğin, yüksek etki ve olasılığa sahip bir riskin yönetiminde ISO 27002’de önerilen erişim kontrolü veya şifreleme önlemleri kullanılabilir.
• ISO/IEC 31000 (Kurumsal Risk Yönetimi): ISO 27005, bilgi güvenliği alanına özgü bir kılavuz iken, ISO 31000 kurumsal risk yönetiminin genel ilkelerini ortaya koyar. Türkiye’de giderek daha fazla kurum, bilgi güvenliği risk yönetimini kurumsal risk yönetimi (ERM) süreçleriyle bütünleştirme ihtiyacı duymaktadır. ISO 27005 bu bütünleşmeye doğrudan katkı sağlar.
• Diğer İlgili Standartlar: ISO/IEC 22301 (iş sürekliliği yönetimi), IEC 62443 (endüstriyel otomasyon ve kontrol sistemlerinde güvenlik), NIST CSF (ABD Ulusal Standartlar ve Teknoloji Enstitüsü Siber Güvenlik Çerçevesi) gibi standartlarla da entegre biçimde uygulanabilir. Özellikle Türkiye’de kritik altyapılar (enerji, ulaşım, finans) için bu tür çapraz standart entegrasyonları giderek daha önemli hale gelmektedir.

1.3 ISO/IEC 27005’in Türkiye Bağlamındaki Önemi

Türkiye’de bilgi güvenliği risk yönetimi, yalnızca teknik bir konu değil, aynı zamanda yasal uyumluluk, itibar yönetimi ve müşteri güveni ile doğrudan bağlantılıdır. Özellikle şu faktörler, ISO/IEC 27005’in önemini artırmaktadır:

• KVKK (Kişisel Verilerin Korunması Kanunu): Türkiye’de kişisel verilerin işlenmesi ve korunması, ciddi idari para cezaları ve itibar kaybı riskleri doğurabilecek yasal bir zorunluluktur. ISO/IEC 27005’in risk değerlendirme metodolojisi, KVKK uyum projelerinde veri güvenliği risklerinin sistematik biçimde ele alınmasını sağlar.
• BTK ve USOM Düzenlemeleri: Bilgi Teknolojileri ve İletişim Kurumu (BTK) ve Ulusal Siber Olaylara Müdahale Merkezi (USOM), özellikle kritik altyapı işletmecilerinin siber güvenlik risklerini izlemelerini ve raporlamalarını şart koşmaktadır. ISO/IEC 27005, bu düzenlemelere uyum için pratik bir araçtır.
• Sektörel Dinamikler: Finans, enerji, sağlık ve e-ticaret gibi sektörlerde müşteri güveni, yasal uyum ve operasyonel süreklilik kritik unsurlar olduğundan, risk yönetiminin yapılandırılmış bir çerçeveye dayanması zorunlu hale gelmiştir.
• Kurumsal Direnç: Türkiye’nin siber tehdit ortamı, hem ulusal hem de uluslararası aktörlerin hedefli saldırılarını içermektedir. ISO/IEC 27005, bu risklerin öngörülmesi, azaltılması ve yönetilmesiyle kurumların siber direnç kapasitesini artırır.

1.4 ISO/IEC 27005’in Amacı ve Katkıları

Özetle, ISO/IEC 27005’in temel amaçları şunlardır:

• Bilgi güvenliği risklerinin sistematik biçimde tanımlanmasını sağlamak.
• Risklerin olasılık ve etki temelinde analiz edilmesi ve önceliklendirilmesine rehberlik etmek.
• Uygun risk işleme seçeneklerinin (azaltma, kabul, transfer, kaçınma) belirlenmesine ve uygulanmasına destek olmak.
• Risk yönetimi sürecinin izlenmesi, gözden geçirilmesi ve sürekli iyileştirilmesi için metodolojik bir çerçeve sunmak.

Böylece ISO/IEC 27005, kurumların yalnızca yasal zorunlulukları yerine getirmelerini değil, aynı zamanda müşteri güvenini pekiştirmelerini, operasyonel sürekliliği güvence altına almalarını ve dijital dönüşüm süreçlerinde stratejik direnç kazanmalarını mümkün kılar.

 Bir bakışta ISO 27005

• Tanım: ISO/IEC 27005, bir kuruluşun bilgi güvenliği risk yönetimi süreçlerini planlama, uygulama, izleme, gözden geçirme ve iyileştirme için kılavuz ilkeler ve metodolojiler sağlayan uluslararası bir standarttır. Bir "yönetim sistemi standardı" değil, bir kılavuz standardıdır.
• İlişki: ISO/IEC 27005, bilgi güvenliği yönetim sistemi (BGYS) standardı olan ISO/IEC 27001'in kalbinde yer alır. ISO 27001'in "Risk Değerlendirme ve Risk İşleme" (Maddde 6.1.2 ve 6.1.3) gerekliliklerini karşılamak için kullanılabilecek ana metodolojilerden biridir.
• Amaç: Kuruluşların:
• Bilgi güvenliği risklerini sistematik olarak tanımlamasını,
• Bu risklerin olasılık ve etkisini analiz etmesini ve değerlendirmesini,
• Kabul edilebilir risk düzeyine ulaşmak için uygun risk işleme seçeneklerini (azaltma, kabul, transfer, kaçınma) belirlemesini,
• Risk yönetimi sürecini sürekli izlemesini ve iyileştirmesini sağlamak.
• KVKK (Kişisel Verileri Koruma Kanunu) uyumluluğu, kritik altyapı koruma düzenlemeleri ve artan müşteri güven beklentileri, ISO 27005'in sağladığı yapısal risk yaklaşımını Türk şirketleri için vazgeçilmez kılıyor. Örnek: Bir e-ticaret şirketi, ISO 27005 metodolojisiyle yaptığı risk değerlendirmesi sonucu, müşteri veritabanına yönelik bir zafiyeti önceden tespit edip güçlendirerek potansiyel bir veri ihlali ve KVKK cezasından kurtulabiliyor.

2. Bilgi Güvenliği Risk Yönetimine Yönelik ISO 27005 Yaklaşımı

ISO/IEC 27005 standardı, bilgi güvenliği risk yönetimini sürekli, döngüsel ve kurumsal strateji ile bütünleşik bir süreç olarak ele almaktadır. Standart, belirli bir metodoloji dayatmaz; bunun yerine, farklı sektör, kurum büyüklüğü ve olgunluk seviyelerine uyarlanabilecek esnek bir çerçeve sunar. Bu esneklik, özellikle Türkiye’deki kurumların farklı ölçeklerdeki yapıları ve yasal uyumluluk gereklilikleri dikkate alındığında önemli bir avantaj sağlamaktadır.

2.1. Risk Yönetimi Çerçevesinin Kurulması (Bağlam Belirleme)

ISO/IEC 27005’in ilk adımı, kurumun bağlamını doğru biçimde tanımlamaktır. Bu aşamada;

• Kapsamın Belirlenmesi: Hangi bilgi varlıkları, süreçler ve sistemlerin risk yönetimi kapsamında değerlendirileceği netleştirilir. Örneğin, bir Türk bankasında müşteri CRM platformu, mobil bankacılık uygulamaları ve SWIFT altyapısı kapsam dâhilinde olabilir.
• Risk Kriterlerinin Tanımlanması: Kabul edilebilir risk düzeyleri belirlenir. Bu kriterler finansal kayıplar, yasal yaptırımlar (KVKK, BDDK düzenlemeleri), müşteri güveni veya operasyonel süreklilik parametreleri üzerinden oluşturulabilir.
• Metodoloji Seçimi: Kuruluş, kalitatif (nitel), kantitatif (nicel) veya hibrit bir yaklaşım belirler. Türkiye’de KOBİ’ler genellikle kalitatif yöntemleri tercih ederken, büyük bankalar ve telekom şirketleri kantitatif modellerle daha sofistike risk analizleri yapabilmektedir.
• İç ve Dış Bağlamın İncelenmesi: İç politikalar, iş süreçleri, organizasyonel kültür ile dış bağlamdaki yasal düzenlemeler (KVKK, Elektronik Ticaret Kanunu, kritik altyapı mevzuatları) ve uluslararası tehdit ortamı dikkate alınır.

2.2. Risk Değerlendirmesi

Bu aşama, risk yönetiminin kalbini oluşturur ve üç alt basamaktan meydana gelir:

1. Risk Tanımlama: Kuruluşun bilgi varlıklarını tehdit edebilecek unsurlar (siber saldırılar, doğal afetler, insan hataları, tedarikçi riskleri) belirlenir. Türkiye’de özellikle fidye yazılımları, DDoS saldırıları ve sosyal mühendislik girişimleri öne çıkmaktadır.
2. Risk Analizi: Tehditlerin belirlenen zafiyetler üzerindeki olasılığı ve muhtemel etkisi değerlendirilir. Örneğin, bir enerji şirketi için SCADA sistemlerine yapılacak saldırının etkisi “çok yüksek” kabul edilir.
3. Risk Değerlendirme (Önceliklendirme): Elde edilen bulgular, genellikle olasılık × etki formülüyle risk matrisine işlenir. Böylece hangi risklerin acil müdahale gerektirdiği belirlenir.

2.3. Risk İşleme

ISO/IEC 27005, risk işleme sürecini seçenekler üzerinden tanımlar:

• Azaltma: Güvenlik kontrolleri ve politikaları uygulayarak riski kabul edilebilir seviyeye çekmek (örn. çok faktörlü kimlik doğrulama).
• Kaçınma: Yüksek riskli faaliyetlerden vazgeçmek veya süreci değiştirmek (örn. yüksek güvenlik gerektiren verilerin bulut yerine yerel sunucularda tutulması).
• Transfer: Riski sigorta yoluyla veya üçüncü taraf hizmet sağlayıcıya devretmek.
• Kabul: Kalan riskin, belirlenmiş kriterler çerçevesinde üst yönetim tarafından onaylanması.

Türkiye bağlamında, “kalan riskin” üst yönetim tarafından yazılı ve açık biçimde onaylanması çoğunlukla ihmal edilen kritik bir adımdır. Bu nedenle, risk kabul prosedürünün kurumsal yönetişimle bütünleştirilmesi önerilmektedir.

2.4. Riskin İzlenmesi ve Gözden Geçirilmesi

ISO/IEC 27005’e göre risk yönetimi “tek seferlik bir proje” değil, dinamik bir süreçtir. Tehdit ortamındaki değişiklikler, yeni regülasyonlar, teknolojik dönüşümler ve kurumsal büyüme, risk profilini sürekli değiştirmektedir. Bu nedenle:

• Riskler periyodik olarak yeniden gözden geçirilmeli,
• Risk işleme planlarının etkinliği ölçülmeli,
• Yeni zafiyetler veya tehditler (örneğin yapay zekâ tabanlı saldırılar) sürekli olarak sisteme entegre edilmelidir.

2.5. Risk İletişimi ve Paydaş Katılımı

Risk yönetimi, yalnızca bilgi güvenliği ekiplerinin sorumluluğu değildir. ISO/IEC 27005, risklerin yönetim, çalışanlar, iş ortakları ve hatta müşteriler gibi ilgili tüm paydaşlarla etkin iletişimini vurgular. Türkiye’de özellikle üst yönetimin “sponsorluğu” ve risk bilincinin kurumsal kültüre yerleşmesi kritik bir başarı faktörüdür.

3. ISO/IEC 27005’in Temel İlkeleri — Türkiye Pratiğinde

1) Kuruluşa Özgülük (Contextualization / Organization-specificity)

• Ne demek? Her kuruluşun varlıkları, tehditleri, iş süreçleri, yasal yükümlülükleri ve risk iştahı farklıdır. ISO 27005 “evrensel reçete” sunmaz; rehberlik eder.
• Uygulama: Ayrıntılı bağlam belirleme (scope) — kritik varlıkların, iş süreçlerinin, paydaşların, yasal gerekliliklerin ve operasyonel sınırların belgelenmesi. KVKK kapsamında hangi veri kategorilerinin işlendiğinin (özel nitelikli/kişisel veri) netleştirilmesi.
• Türkiye’ye dair dikkat: Regülasyonların (KVKK, sektörel düzenleyici kurallar) kuruma etkisinin açık biçimde haritalanması zorunlu — ör. bankacılık, sağlık, enerji sektörlerinde farklı öncelikler vardır.
• Ölçüt / KPI: Risk envanteri kapsam oranı (%), kritik varlıkların tespit oranı.
• Yaygın hata: “Standart gereği yapıldı” yaklaşımıyla hazır şablonların doğrudan uygulanması; sonuç: yanlış kapsam ve eksik varlık tanımları.

2) Değere Odaklılık ve Varlık Bazlı Yaklaşım (Value-based / Asset-centric)

• Ne demek? Riskleri varlıkların değeri ve iş süreçlerine etkisi üzerinden değerlendir. Her kontrol yatırımı korunan varlığın değeriyle orantılı olmalı.
• Uygulama: Varlık sınıflandırması (confidentiality, integrity, availability ağırlıkları), finansal/operasyonel/itibar/uygulama etkisi kategorileri, veri sınıflama politikasının oluşturulması.
• Türkiye’ye dair dikkat: KVKK’ya bağlı cezai/itibari etkiler finansal etkiden bağımsız olarak yüksek olabilir — kişisel veri ihlallerinin yaratacağı itibar/ceza etkileri hesaba katılmalı.
• KPI: Envanterde sınıflandırılmış varlık oranı, yüksek değerli varlıklara atanan kontrol sayısı.
• Yaygın hata: Her varlık için aynı seviyede tedbir uygulamak (kaynak israfı).

3) Süreklilik ve Döngüsellik (Continual Process / PDCA)

• Ne demek? Risk yönetimi tek seferlik bir proje değil; planla-uygula-kontrol-et (PDCA) döngüsü içinde sürekli güncellenmelidir.
• Uygulama: Periyodik risk değerlendirmeleri (ör. yılda en az bir kapsamlı, değişikliklerde tetiklenen ara değerlendirmeler), değişiklik yönetimi entegrasyonu, otomatik uyarılar (GRC/SIEM) ile tetikleyici olaylar sonrası yeniden değerlendirme.
• Türkiye’ye dair dikkat: Düzenleyici denetimler, denetim dönemleri ve tedarikçi sözleşmeleri nedeniyle periyodik raporlamalara hazır olun.
• KPI: Risk değerlendirme periyotlarına uyum, değişiklik sonrası risk güncelleme süresi (MTTR benzeri).
• Yaygın hata: ISO 27001 sertifikasyonu için yapılır yapılmaz bırakma.

4) Risk Kriterleri ve Risk İştahı (Defined Risk Criteria & Appetite)

• Ne demek? Olasılık/etki eşiklerinin, kabul edilebilir risk seviyelerinin ve yönetim onayı süreçlerinin net olarak tanımlanması.
• Uygulama: Kurum düzeyinde risk iştahı dokümanı; hangi tür risklerin hangi seviyede kabul edilebileceğinin tanımı (finansal eşik değerler, operasyonel kesinti süreleri, itibar metrikleri). Üst yönetim onayı ve düzenli revizyon.
• Türkiye’ye dair dikkat: Yönetim kurulu/üst yönetim onay süreçleri formalize edilmeli; KVKK ve regülasyon riski için düşük tolerans gerekebilir.
• KPI: Yönetim tarafından onaylanmış riskler oranı; kabul edilen kalan risklerin sayısı.
• Yaygın hata: Risk kabul kararlarının imzasız, kayıt dışı olması.

5) Paydaş Katılımı ve Kurumsal Yönetişim (Stakeholder Engagement & Governance)

• Ne demek? Etkili risk yönetimi için BT, hukuk, insan kaynakları, iş birimleri ve üst yönetimin aktif katılımı zorunludur.
• Uygulama: Risk sahipliği atanması, RACI matrisleri, düzenli yönetim raporları, risk komitesi veya yönetim kurulu risk paneli.
• Türkiye’ye dair dikkat: Kurumsal karar mekanizmalarında hukuk/uygulama biriminin KVKK ve sektörel mevzuat perspektifiyle sürece dahil edilmesi önemlidir.
• KPI: Risk sahibi atama oranı, düzenli yönetim gözden geçirme sayısı.
• Yaygın hata: Risk yönetimini yalnızca BT’ye bırakmak.

6) Tehdit İstihbaratı ve Zafiyet Yönetimi (Threat-informed & Vulnerability-driven)

• Ne demek? Risk değerlendirmesinin güncel tehditler ve zafiyetler tarafından beslenmesi; istihbarat tabanlı önceliklendirme.
• Uygulama: USOM/TÜBİTAK ve global kaynakların takibi, vulnerability scanning programı, patch management SLAs, threat feeds entegrasyonu (kritik varlıklara yönelik istihbarat öncelikle değerlendirilir).
• Türkiye’ye dair dikkat: Yerel CERT/USOM uyarıları ve sektörel tehdit raporlarının entegre edilmesi; yerel tedarikçi zafiyetlerinin değerlendirilmesi.
• KPI: Açık kalma süreleri (mean time to remediate vulnerabilities), exploitable zafiyet sayısı.
• Yaygın hata: Zafiyet taramalarının yapılması ama sonuçların risk değerlendirmesine entegre edilmemesi.

7) Metodoloji Uygunluğu: Kalitatif, Kantitatif veya Hibrit (Methodology Fit)

• Ne demek? ISO 27005 metodolojiyi dayatmaz; kuruluş ihtiyaçlarına göre kalitatif, kantitatif veya hybrid yöntem seçilmelidir.
• Uygulama:
• KOBİ/başlangıç: Kalitatif (örn. 1–5 ölçeği) kısa ve uygulaması kolay.
• Büyük kurum/finans: Kantitatif (beklenen finansal zarar, frekans modelleri) veya hibrit.
• Hibrit: Kritik varlıklar için kantitatif, geri kalan için kalitatif.
• Türkiye’ye dair dikkat: Finansal kurumlar ve regüle sektörlerde kantitatif yaklaşımlar daha yaygın; KOBİ’ler için pratik ve hafif çözümler tercih edilir.
• Örnek Ölçek: Olasılık 1–5, Etki 1–5; R = P x I, 1–25 arasındaki sonuçların renk kodlaması.
• KPI: Kritik riskler için kantitatif metriklerin oranı.
• Yaygın hata: Yöntem seçiminde aşırı karmaşıklık veya tam tersi — hiçbir metodolojik temeli olmayan rastgele skorlar.

8) Risk İşleme (Treatment) — Maliyet Etkinliği ve Önceliklendirme

• Ne demek? Risk işleme seçenekleri (azaltma, kabul, transfer, kaçınma) işin gereksinimine ve kaynaklara göre seçilmeli; maliyet-etkinlik analizi yapılmalı.
• Uygulama: Her öneri için maliyet-fayda analizi, iş birimi onayı, uygulama planı, KPI’lar. Sigorta (siber poliçe) değerlendirmesi, tedarikçi sözleşmeleriyle risk transferi.
• Türkiye’ye dair dikkat: Siber sigorta piyasası giderek yaygınlaşıyor; ancak sözleşme temelli transfer (SLA, SSO) ve tedarikçi denetimleri kritik. KVKK açısından idari/ceza riskleri sigorta ile tam kapsanmıyor — yönetim onayı önem arz eder.
• KPI: Risk azaltma planlarının tamamlanma oranı, risk başına yatırım geri dönüşü (kümülatif).
• Yaygın hata: Tüm riskleri “azaltma” yönünde karar alma — kaynak verimsizliği.

9) Kalan Risklerin Belgelendirilmesi ve Yönetim Onayı (Residual Risk & Acceptance)

• Ne demek? Risk işleme sonrası geriye kalan risklerin yönetimce kabul edilmesi ve bunun kayıt altına alınması gerekir.
• Uygulama: Residual risk register, onay imzaları, periyodik gözden geçirme periyodları. Yönetim panellerinde kalan risklerin görünürlüğü.
• Türkiye’ye dair dikkat: Yönetim onayı olmadan risklerin “kabul edilmiş” sayılmaması; düzenleyicilere karşı gösterilecek kanıtların tutulması.
• KPI: Onaylanmamış kalan risk oranı.
• Yaygın hata: Kalan risklerin “sessiz kabul” ile belge dışı tutulması.

10) İzleme, Ölçme, Raporlama ve Güvence (Monitoring, Metrics & Assurance)

• Ne demek? Kontrollerin etkinliği ölçülmeli; göstergeler (KPI/KRI) belirlenmeli; iç denetimler/tarafsız kontroller yapılmalı.
• Uygulama: SIEM, log yönetimi, kontrol etkinlik testleri, periyodik penetrasyon testleri, yönetim raporları. İç/dış denetim programı ile süreçlerin güvence altına alınması.
• Türkiye’ye dair dikkat: Denetimler ve düzenleyici raporlama süreçleri için ölçülebilir kanıtların tutulması gerekir.
• Örnek KPI/KRI: yılda tespit edilen kritik güvenlik olayı sayısı, ortalama tespit süresi (MTTD), ortalama müdahale süresi (MTTR), kontrol etkinlik oranı.
• Yaygın hata: KPI’ların operasyona dönük değil de sadece “kullanışsız” göstergeler olması.

11) Tedarikçi ve Üçüncü Taraf Risk Yönetimi (Third-party & Supply Chain)

• Ne demek? Sağlanan hizmetlerin güvenliği için tedarikçi riskleri değerlendirilmelidir.
• Uygulama: Tedarikçi sınıflandırması, due diligence süreci, sözleşmesel güvenlik gereklilikleri, periyodik denetimler, üçüncü taraf SLAs. Kritik tedarikçiler için erişim kontrolleri ve şeffaflık talepleri.
• Türkiye’ye dair dikkat: Yerel tedarikçi ekosisteminde uyumluluk seviyeleri değişken; sözleşme müzakerelerinde güvenlik gerekliliklerinin açıkça yazılması gerekir.
• KPI: Kritik tedarikçi değerlendirme oranı, tedarikçi kaynaklı güvenlik olay sayısı.
• Yaygın hata: Tedarikçi riskini yalnızca sözleşme imzalandıktan sonra düşünmek.

12) İletişim, Farkındalık ve Kültür (Communication & Awareness)

• Ne demek? Risk bilinci kurum kültürünün bir parçası olmalı; hem rutin bilgilendirme hem de olay iletişimi net kurallar içermeli.
• Uygulama: Rol tabanlı farkındalık programları, düzenli tabletop tatbikatları, olay iletişim planları (iç/dış paydaş, regülatör bildirim zamanları—KVKK ihlal bildirim gereklilikleri göz önünde bulundurularak).
• KPI: Eğitim katılım oranı, sosyal mühendislik/spearphishing test başarı oranı.
• Yaygın hata: Farkındalık aktivitelerinin “sadece bir sunum” olarak bırakılması.

13) Yasal Uyumluluk ve Düzenleyici Haritalama (Legal & Regulatory Mapping)

• Ne demek? Risk yönetimi yasal zorunluluklarla paralel olmalı; KVKK, sektörel düzenlemeler, sözleşmesel yükümlülükler risk değerlendirmesine entegre edilir.
• Uygulama: Mevzuat-maliyet-etki haritaları, veri işleme envanteri ve DPIA (Data Protection Impact Assessment) süreçleri, ihlal bildirim prosedürleri.
• Türkiye’ye dair dikkat: KVKK; ihlal durumunda bildirim süreleri ve yaptırım riskleri mutlaka değerlendirilmelidir.
• KPI: Mevzuata uyum kontrol sayısı, tespit edilen uyumsuzlukların kapatma süresi.
• Yaygın hata: Yasal uyumluluk gerekliliklerini yalnızca hukuk bölümü sorunu olarak görmek.

14) İş Sürekliliği ve Dayanıklılık (Resilience & Business Continuity)

• Ne demek? Bilgi güvenliği risk yönetimi, iş sürekliliği planları (BCP/DR) ile entegre edilmelidir. Güçlü güvenlik sadece saldırıyı engellemez; sistemlerin hızlı toparlanmasını sağlar.
• Uygulama: Kritik hizmetlerin RTO/RPO değerleri ile risk değerlendirme sonuçlarının ilişkilendirilmesi; BCP senaryolarının risklerden beslenmesi.
• KPI: BCP test frekansı ve başarı oranı, kritik hizmetlerin RTO uyum oranı.
• Yaygın hata: BCP planlarının teknik güvenlik kontrollerinden kopuk hazırlanması.

15) Ölçülebilirlik, Kanıtlanabilirlik ve Denetlenebilirlik (Evidence & Auditability)

• Ne demek? Alınan karar ve uygulamaların denetlenebilir ve kanıtlanabilir olması gerekir—kara kutu olmamalıdır.
• Uygulama: Risk değerlendirme kayıtları, yönetim onayları, uygulama kanıtları, test kayıtları ve raporlar saklanmalı. ISO 27001 tetkiklerine hazırlık için şeffaf dokümantasyon.
• KPI: Denetim bulgularının kapatma oranı, belge eksikliği sayısı.
• Yaygın hata: Sözlü beyanlara dayanmak; yazılı kanıt eksikliği.

16) Ölçeklenebilirlik ve Pragmatizm (Scalability & Pragmatism)

• Ne demek? Yöntemler kurum büyüklüğüne ve kaynaklarına göre ölçeklenebilir olmalı; aşırı karmaşık metodolojiler küçük kuruluşlarda uygulanamaz.
• Uygulama: Modüler risk yönetimi programları; çekirdek (must-have) ve gelişmiş (nice-to-have) süreç ayrımı. KOBİ’lere yönelik “lite” risk kılavuzları.
• Türkiye’ye dair dikkat: KOBİ’lerin paylaştığı dijital tedarik zinciri riskleri göz ardı edilmemeli; ölçeklenebilir pratik çözümler (managed services) değerlendirilmeli.
• KPI: Programın uygulama hızı ve maliyet/etki oranı.
• Yaygın hata: Standartları olduğu gibi küçük kuruluşa entegre etmeye çalışma.

17) Teknoloji ve Otomasyon Desteği (Tools & Automation)

• Ne demek? GRC çözümleri, SIEM, vulnerability scanners, asset management ve workflow otomasyonu risk sürecini hızlandırır ve izlenebilirlik sağlar.
• Uygulama: Risk register otomasyonu, değişiklik tetiklemeli yeniden değerlendirmeler, kontrol performans dashboard’ları, entegrasyon (CMDB ↔ GRC ↔ SIEM).
• Türkiye’ye dair dikkat: Yerel regülasyon/veri lokasyonu konuları teknoloji seçiminde göz önünde tutulmalı. Bulut hizmet sağlayıcısı seçiminde KVKK uyumu ve veri işleme şartları sorgulanmalı.
• KPI: Otomatik olarak güncellenen risk kayıtları oranı, manuel işlem sayısında azalma.
• Yaygın hata: Araç alma odaklı olmak; süreçleri otomasyon için önce doğru kurmamak.

18) Ölçme Araçları: Örnek Risk Matrisi, Risk Kaydı Sütunları ve KPI’lar

• Risk matrisi ölçek önerisi: Olasılık (1-5), Etki (1-5) → Risk = P x I (1–25)
• 1–5: Düşük / Yeşil
• 6–10: Orta / Sarı
• 11–15: Yüksek / Turuncu
• 16–25: Kritik / Kırmızı
• Risk Kaydı (Risk Register) – Örnek sütunlar: Risk ID | Tarih | Varlık | Tehdit | Zafiyet | Mevcut Kontroller | Olasılık (P) | Etki (I) | Risk Skoru (R) | Tavsiye Edilen İşlem | Sorumlu | Tamamlanma Tarihi | Kalan Risk Skoru | Yönetim Onayı (isim/tarih) | Notlar.
• Önemli KPI’lar örnek: MTTD, MTTR, kritik zafiyetlerin kapatılma süresi, yüksek/kritik risklerde düşüş oranı, eğitim katılım oranı, tedarikçi güvenlik uyum oranı.

19) Sık Karşılaşılan Hatalar ve Önerilen Düzeltici Adımlar (Pitfalls & Remedies)

• Hata: Risk yönetimini sadece “belgeleme” aktivitesi görmek. Çözüm: Süreçleri operasyonel KPI’larla ilişkilendir.
• Hata: Yönetim taahhüdü eksikliği. Çözüm: Üst yönetim için kısa, etki-odaklı raporlar hazırla; kritik kalan riskleri doğrudan sun.
• Hata: Tedarikçi risklerini görmezden gelme. Çözüm: Kritik tedarikçi sınıflandırması ve kontrol zorunlulukları ekle.
• Hata: Sadece teknik kontrollerle yetinme. Çözüm: İnsan, süreç ve teknoloji üçgeninde dengeli yatırımlar yap.

20) Deneysel Öneriler ve İyi Uygulama Örnekleri (Practical Tips)

• İlk 90 gün: kritik varlık envanteri, üst yönetim onayıyla risk kriterleri, 10–15 kritik risk belirleme ve kısa vadeli tedbir planı.
• 6 aylık hedef: risk register otomasyonu, aylık yönetim özeti, tedarikçi denetimleri başlatma.
• Yıllık: kapsamlı tatbikatlar (tabletop), penetrasyon testleri, yönetim gözden geçirilmeleri.
• Sektöre özel entegrasyon:
  • Finans → daha sık kantitatif modeller;
  • Üretim/OT → fiziksel/operasyonel etkiler ağırlıklı analiz;
  • Sağlık → KVKK + hasta güvenliği entegrasyonu.

3.1. Stratejik Bir Araç Olarak ISO/IEC 27005

ISO/IEC 27005, bilgi güvenliği risk yönetimi çerçevesini yalnızca teknik bir zorunluluk olarak değil, aynı zamanda kurumsal direnci ve sürdürülebilir iş sürekliliğini artıran stratejik bir araç olarak ele alır. Standart, risk yönetim sürecinin başarılı olabilmesi için belirli temel ilkelere dayanır ve bu ilkeler Türkiye’deki işletmelerin özgün ihtiyaçları, yasal düzenlemeler ve sektörel dinamikler göz önünde bulundurularak uygulanmalıdır.

Kuruluşa Özgülük İlkesi

Öncelikle, kuruluşa özgülük ilkesi, ISO 27005’in en kritik noktalarından biridir. Her kuruluşun bilgi varlıkları, iş süreçleri, risk iştahı ve iç-dış bağlamı birbirinden farklıdır; dolayısıyla standart risk yönetimi şablonlarının doğrudan uygulanması çoğu zaman yetersiz kalır. Türkiye’de faaliyet gösteren firmalar açısından bu, KVKK kapsamında kişisel veri işleme, finans sektöründe SPK ve BDDK düzenlemeleri, sağlık sektöründe T.C. Sağlık Bakanlığı mevzuatı gibi yasal yükümlülüklerin risk yönetimine entegre edilmesini gerektirir. Örneğin bir banka, müşteri KYC verilerini içeren sistemler için çok düşük bir risk iştahına sahip olabilirken, bir tekstil üreticisi için tedarik zincirine yönelik siber saldırılar daha öncelikli riskler olarak ortaya çıkabilir. Bu bağlamda ISO 27005, risklerin yalnızca teknik güvenlik perspektifiyle değil, iş değeri ve yasal yükümlülükler ekseninde değerlendirilmesini sağlar.

Süreklilik ve Döngüsellik İlkesi

Risk yönetiminde süreklilik ve döngüsellik de temel bir ilkedir. ISO 27005, risk değerlendirmesini tek seferlik bir etkinlik olarak görmez; aksine, değişen tehdit ortamı, yeni teknoloji yatırımları, iş süreçlerindeki değişiklikler ve yasal düzenlemelerle birlikte sürekli güncellenmesi gereken bir süreç olarak tanımlar. Türkiye’de şirketlerin en sık yaptığı hatalardan biri, ISO 27001 veya ISO 27005 sertifikasyonu için risk değerlendirmesi yapıp süreci daha sonra pasif hâle getirmeleridir. Oysa, finans kuruluşlarında düzenleyici denetimler ve siber tehditlerin hızla evrimleşmesi, risk yönetiminin sürekli izlenmesini ve gözden geçirilmesini zorunlu kılar. Bu bağlamda standart, periyodik risk değerlendirmeleri, değişiklik yönetimi entegrasyonu ve otomatik tetikleyici olaylar sonrası yeniden değerlendirmeyi teşvik eder.

Paydaş Katılımı İlkesi

ISO 27005’in bir diğer temel ilkesi, paydaş katılımıdır. Risk yönetimi sürecinin etkin olabilmesi için yalnızca BT departmanının değil, hukuk, insan kaynakları, iş birimleri ve üst yönetimin aktif katılımı şarttır. Türkiye’de KVKK ve sektörel regülasyonlar, risk yönetiminde hukuki bir perspektifin kritik önem taşıdığını göstermektedir. Bu nedenle üst yönetim onayı, risk sahipliği ve düzenli yönetim gözden geçirme toplantıları sürecin ayrılmaz bir parçasıdır. Risklerin yalnızca teknik bir kontrol olarak ele alınması, hem kurumsal uyumluluk hem de iş sürekliliği açısından ciddi boşluklar yaratabilir.

Tehdit İstihbaratı ve Zafiyet Yönetimi

Tehdit istihbaratı ve zafiyet yönetimi ilkesi ise, güncel tehditlerin ve zafiyetlerin risk değerlendirmesi sürecine sürekli beslenmesini vurgular. Türkiye’de siber saldırıların yoğunlaştığı sektörler finans, e-ticaret ve kritik altyapılardır ve bu alanlarda tehditlerin sürekli takip edilmesi gerekir. TÜBİTAK BİLGEM ve USOM kaynaklarından sağlanan veriler, fidye yazılım ve DDoS saldırılarının artışına işaret ederken, bu istihbaratın risk matrisi ve önceliklendirme süreçlerine entegrasyonu, ISO 27005’in öngördüğü proaktif yaklaşımın temelini oluşturur. Aynı zamanda, mevcut kontrollerin etkinliği düzenli olarak değerlendirilir ve ortaya çıkan zafiyetler hızlıca giderilerek riskler minimize edilir.

Değere Odaklı Yaklaşım

ISO 27005’in Türkiye pratiğinde öne çıkan bir diğer yönü ise değere odaklı yaklaşımdır. Yatırımların, kontrol mekanizmalarının ve risk işleme planlarının, korunan varlıkların değeri ve riskin büyüklüğü ile orantılı olması gerekir. Bu, özellikle sınırlı kaynaklarla faaliyet gösteren KOBİ’ler ve orta ölçekli işletmeler için kritik bir ilke olarak öne çıkar. CPATürk gibi danışmanlık hizmetleri, kaynakların en kritik risklere odaklanmasını sağlayacak önceliklendirme ve risk işleme planlarının oluşturulmasına destek sağlar.

Sonuç olarak ISO/IEC 27005’in temel ilkeleri, kuruluşa özgülük, süreklilik, paydaş katılımı, güncel tehdit bilgisine dayalı risk değerlendirmesi ve değere odaklı risk işleme olarak özetlenebilir. Türkiye’de bu ilkeler, KVKK ve sektörel düzenlemelerle bütünleştiğinde, bilgi güvenliği risklerini sadece teknik bir sorun olarak değil, stratejik bir kurumsal direnç ve sürdürülebilirlik aracı olarak yönetmeyi mümkün kılar. Kuruluşlar, bu ilkeleri etkin bir şekilde uyguladıklarında, sadece siber tehditlere karşı korunmakla kalmaz, aynı zamanda operasyonel süreklilik, itibar yönetimi ve müşteri güveni açısından da önemli avantajlar elde eder.

4.     ISO 27005’e Göre Risk Değerlendirmesi Nasıl Yapılır?

ISO/IEC 27005 standardı, bilgi güvenliği risklerinin yönetiminde tek tip bir metodoloji dayatmaz; bunun yerine, kuruluşların kendi bağlamlarına ve risk profillerine uygun, yapılandırılmış bir yaklaşım geliştirmesine rehberlik eder. Türkiye’de uygulamada, özellikle KVKK, sektörel düzenlemeler ve kritik altyapı gereklilikleri dikkate alındığında, risk değerlendirmesi süreci hem teknik hem yönetsel boyutları kapsamalıdır. Aşağıda, ISO 27005’in önerdiği risk değerlendirme adımlarının detaylı bir anlatımı verilmiştir:

1. Varlık Envanteri Oluşturma (Asset Inventory)

Her risk değerlendirmesinin temeli, korunacak bilgi varlıklarının eksiksiz bir şekilde belirlenmesidir. Varlık envanteri sadece donanım veya yazılım bileşenlerini değil, aynı zamanda süreçler, veriler, insan kaynağı ve kurumsal itibar gibi soyut değerleri de kapsamalıdır.

Türkiye Uygulaması Örneği:

·        KVKK uyumluluğu kapsamında kişisel veri işleyen tüm sistemlerin, veri tabanlarının ve dosya depolama mekanizmalarının envanteri oluşturulur.

·        Finans sektöründe, müşteri kredi ve KYC verileri, ödeme sistemleri ve finansal raporlama süreçleri kritik varlıklar olarak tanımlanır.

·        Üretim sektöründe, Ar-Ge verileri, üretim proses verileri ve IoT/OT cihaz verileri kritik varlık olarak kabul edilir.

Bu adımda CPATürk yaklaşımı, kurumun sektörel risk profiline uygun önceliklendirme yaparak kaynakları en kritik varlıklara yönlendirir.

2. Tehdit Tanımlama (Threat Identification)

Riskler, varlıkları etkileyebilecek potansiyel olayların ve zarar kaynaklarının sistematik olarak tanımlanması ile başlar. Tehditler hem dış kaynaklı (siber saldırganlar, doğal afetler) hem iç kaynaklı (hata, ihmalkârlık, kötü niyetli çalışan) olabilir.

Türkiye Örnekleri ve Veri Kaynakları:

·        TÜBİTAK BİLGEM ve BTK raporları, fidye yazılımları ve DDoS saldırılarının artışını göstermektedir.

·        Finans sektöründe hedefli siber saldırılar ve kimlik avı girişimleri yüksek olasılıkla tehdit oluşturur.

·        E-ticaret firmalarında POS sistemleri, ödeme ağ geçitleri ve müşteri verileri en çok hedef alınan alanlardır.

Bu aşamada, tehditlerin bağlam ve önceliklendirilmiş bir liste olarak belgelenmesi, sonraki analiz adımlarının doğruluğu için kritik öneme sahiptir.

3. Zafiyet Tanımlama (Vulnerability Assessment)

Tehditlerin varlıklara zarar verebilme olasılığı, mevcut güvenlik açıklarına bağlıdır. Bu nedenle, kurumun teknolojik altyapısındaki ve süreçlerindeki zafiyetlerin tespiti gereklidir.

Örnek Zafiyetler:

·        Güncellenmemiş yazılımlar, zayıf parolalar, eksik güvenlik yamaları.

·        Fiziksel güvenlik eksiklikleri (sunucu odasına yetkisiz erişim).

·        İnsan faktörü kaynaklı riskler: eğitimsiz personel, sosyal mühendislik saldırılarına açık çalışanlar.

·        Bulut altyapısında yanlış yapılandırılmış erişim kontrolleri veya veri paylaşım izinleri.

Türkiye’de KVKK ve kritik altyapı düzenlemeleri dikkate alındığında, zafiyetlerin hem teknik hem de mevzuat odaklı analiz edilmesi gerekir.

4. Mevcut Kontrollerin Değerlendirilmesi (Existing Controls Assessment)

Kurumda halihazırda uygulanmakta olan kontrollerin etkinliği, risk düzeyinin belirlenmesinde temel girdidir. Bu kontroller, teknik (firewall, IDS/IPS, şifreleme), idari (politikalar, prosedürler) ve fiziksel (erişim kartları, kamera) boyutlarda olabilir.

Türkiye Uygulaması:

·        KVKK ve ISO 27001 Annex A kontrolleri doğrultusunda veri koruma ve erişim yönetimi kontrolleri incelenir.

·        Üretim ve OT/IoT ortamlarında IEC 62443 standartları ve network segmentasyonu kontrolleri gözden geçirilir.

·        Risklerin kontrol altında olup olmadığı, kontrollerin etkinlik derecesi (Yetersiz / Kısmen Yeterli / Yeterli) ölçeğiyle belirlenir.

5. Olasılık Değerlendirmesi (Likelihood Assessment, P)

Her tehdit-zafiyet kombinasyonu için olayın gerçekleşme olasılığı değerlendirilir. ISO 27005, hem kalitatif (düşük/orta/yüksek) hem de kantitatif (1–5 veya % olasılık) yöntemlerin kullanılmasına izin verir.

Türkiye Örneği:

·        Finans sektöründe hedefli saldırılar ve kimlik avı girişimlerinin olasılığı yüksek olarak değerlendirilebilir.

·        Küçük ölçekli KOBİ’lerde fidye yazılım riskleri orta olasılıkla değerlendirilir, çünkü teknik önlemler genellikle sınırlıdır.

6. Etki Değerlendirmesi (Impact Assessment, I)

Olasılık kadar önem taşıyan bir diğer boyut, güvenlik olayının gerçekleşmesi durumunda yaratacağı etkidir. Etki, finansal kayıptan itibari, operasyonel kesintiye ve yasal yaptırımlara kadar geniş bir yelpazede değerlendirilebilir.

Türkiye Örnekleri:

·        Müşteri KYC verilerinin sızması: Çok yüksek etki → KVKK cezaları + müşteri güven kaybı.

·        Üretim hattında OT cihazlarının saldırıya uğraması: Yüksek etki → üretim durması, tedarik zinciri aksaması, endüstriyel casusluk.

·        Bulut ortamında yetkisiz veri paylaşımı: Orta–yüksek etki → ticari sırların açığa çıkması, sözleşme ihlali.

Etki değerlendirmesinde çok boyutlu kriterler kullanılabilir: finansal, operasyonel, itibar, mevzuat/uyumluluk ve stratejik etkiler.

7. Risk Düzeyinin Hesaplanması (Risk Level, R)

Olasılık ve etki değerleri belirlendikten sonra, risk düzeyi genellikle R = P × I formülü ile hesaplanır. Sonuçlar bir risk matrisi üzerinde görselleştirilerek düşük, orta, yüksek ve çok yüksek riskler renk kodlarıyla (yeşil, sarı, turuncu, kırmızı) temsil edilir.

Türkiye Uygulaması:

·        Finans sektöründe müşteri verisi sızıntısı → Çok yüksek risk (P: 4, I: 5 → R: 20 / Çok Yüksek).

·        KOBİ’de web sitesi kesintisi → Orta risk (P: 3, I: 3 → R: 9 / Orta).

Bu matriks, yönetimin önceliklendirilmiş karar alma sürecini destekler.

8. Risk Önceliklendirme (Risk Prioritization)

Hesaplanan risk düzeylerine göre hangi risklerin öncelikli olarak işleme alınacağı belirlenir. Çok yüksek ve yüksek riskler acilen ele alınırken, orta ve düşük riskler izleme veya mevcut kontrollerle yönetim altında tutulabilir.

Türkiye Uygulaması ve Pratik Öneriler:

·        KVKK ve kritik altyapı kapsamında, kişisel veri sızıntısı ve hizmet kesintisi riskleri her zaman önceliklidir.

·        Önceliklendirme sürecinde, maliyet-etkinlik, uygulanabilirlik ve kalan riskin kabul edilebilirliği değerlendirilir.

·        Risklerin yönetim kuruluna raporlanması ve onaylanması, Türkiye’de sıkça ihmal edilen ama kritik bir adımdır.

5. ISO/IEC 27005’in Uygulama Örnekleri Nelerdir?

• Örnek 1: Perakende Sektöründe Ödeme Sistemleri Güvenliği

• Risk: POS sistemlerine yönelik skimming/siber saldırı riski, müşteri kredi kartı verisi sızıntısı.
• ISO 27005 Uygulaması: PCI DSS gereklilikleri ile entegre risk değerlendirmesi. POS terminalleri, ağ güvenliği, veri şifreleme, üçüncü taraf servis sağlayıcı riskleri analiz edildi.
• İşleme: P2PE (Point-to-Point Encryption) uygulaması, sık güvenlik denetimleri, personel PCI DSS eğitimi.
• Sonuç: PCI DSS uyumluluğunun sağlanması, veri ihlali riskinin önemli ölçüde azaltılması, müşteri güveninin artması.
• CPATürk Katkısı: PCI DSS ve ISO 27001/27005 entegrasyonu için danışmanlık, bağımsız güvenlik testleri.

• Örnek 2: Bulut Migrasyonu Sonrası Veri Kaybı Önleme (DLP)

• Risk: Hassas müşteri ve tedarikçi sözleşmelerinin bulut ortamına geçiş sırasında veya sonrasında yetkisiz paylaşımı/sızıntısı.
• ISO 27005 Uygulaması: Bulut hizmet modeli (IaaS, PaaS, SaaS), veri sınıflandırması, kullanıcı erişim hakları, veri akışları temelinde risk analizi. KVKK ve sözleşmesel gizlilik yükümlülükleri dikkate alındı.
• İşleme: Hassas veri etiketleme ve sınıflandırma politikası, Bulut Erişim Güvenlik Aracı (CASB) ile DLP kurallarının uygulanması, kullanıcı farkındalık eğitimleri.
• Sonuç: Hassas verilerin izinsiz paylaşımının engellenmesi, KVKK ihlali ve ticari sır kaybı riskinin minimize edilmesi.
• CPATürk Katkısı: Bulut güvenlik mimarisi risk değerlendirmesi, DLP politikalarının oluşturulması ve uygulanması desteği.

• Örnek 3: Üretimde OT/IoT Güvenliği ve Endüstriyel Casusluk Riski

• Risk: Üretim hatlarındaki OT (Operational Technology) cihazlarına ve IoT sensörlerine yönelik siber saldırılar (sabotaj, veri çalma - özellikle Ar-Ge verileri).
• ISO 27005 Uygulaması: OT/IoT cihaz envanteri, fiziksel ve mantıksal erişim noktaları, cihaz güvenlik zafiyetleri, veri akışları analiz edildi. Endüstriyel casusluk senaryoları değerlendirildi.
• İşleme: OT ağının IT ağından ayrılması (Network Segmentation), özel OT güvenlik çözümleri, cihaz güvenlik konfigürasyonlarının sıkılaştırılması, fiziksel güvenlik önlemlerinin artırılması.
• Sonuç: Üretim sürekliliğinin korunması, rekabet avantı sağlayan kritik endüstriyel verilerin (ürün tasarımları, proses bilgisi) korunması.
• CPATürk Katkısı: IEC 62443 standardı ile entegre OT/IoT güvenlik risk değerlendirmesi ve danışmanlığı.

ISO/IEC 27005:2022 standardı, bilgi güvenliği risk yönetimi için kapsamlı bir rehber sunar. Türkiye'deki çeşitli sektörlerde bu standardın nasıl uygulandığını daha detaylı ve somut senaryolarla inceleyelim:

Sağlık Sektöründe Uygulama: Hastane Bilgi Sistemleri

Senaryo:

Bir devlet hastanesi, hasta verilerinin dijital ortamda saklandığı bir bilgi yönetim sistemi (HIS) kullanmaktadır. Bu sistemdeki herhangi bir güvenlik açığı, hasta mahremiyetini tehlikeye atabilir ve yasal yaptırımlara yol açabilir.

ISO/IEC 27005 Uygulaması:

1. Risk Tanımlama: Hasta verilerinin yetkisiz erişime açılması, veri kaybı veya sistemin siber saldırıya uğraması gibi tehditler belirlenir.
2. Risk Analizi: Bu tehditlerin olasılıkları ve potansiyel etkileri değerlendirilir. Örneğin, bir fidye yazılımı saldırısının hasta verilerinin erişilemez hale gelmesine yol açabileceği analiz edilir.
3. Risk Değerlendirmesi: Riskler, olasılık ve etki düzeylerine göre önceliklendirilir.
4. Risk Tedavisi: Güvenlik duvarları, şifreleme teknikleri ve düzenli yedekleme stratejileri gibi önlemler uygulanır.
5. İzleme ve Gözden Geçirme: Sistem düzenli olarak izlenir ve güvenlik açıkları tespit edildiğinde hızlıca müdahale edilir.

Bu süreç, hastanenin bilgi güvenliği yönetim sisteminin (ISMS) etkinliğini artırır ve hasta verilerinin korunmasını sağlar.

Finans Sektöründe Uygulama: Banka Bilgi Sistemleri

Senaryo:

Bir banka, müşterilerinin finansal verilerini dijital ortamda saklamakta ve işlemektedir. Bu verilerin güvenliği, hem müşteri güvenini hem de yasal uyumu sağlamak açısından kritik öneme sahiptir.

ISO/IEC 27005 Uygulaması:

1. Risk Tanımlama: Sistemlere yönelik siber saldırılar, iç tehditler ve veri sızıntıları gibi potansiyel tehditler belirlenir.
2. Risk Analizi: Bu tehditlerin olasılıkları ve olası etkileri değerlendirilir. Örneğin, bir DDoS saldırısının bankacılık hizmetlerini kesintiye uğratma olasılığı analiz edilir.
3. Risk Değerlendirmesi: Riskler, olasılık ve etki düzeylerine göre önceliklendirilir.
4. Risk Tedavisi: Güvenlik duvarları, çok faktörlü kimlik doğrulama ve anomali tespiti gibi önlemler uygulanır.
5. İzleme ve Gözden Geçirme: Sistem düzenli olarak izlenir ve güvenlik açıkları tespit edildiğinde hızlıca müdahale edilir.

Bu süreç, bankanın bilgi güvenliği yönetim sisteminin etkinliğini artırır ve müşteri verilerinin korunmasını sağlar.

Kamu Sektöründe Uygulama: Belediyenin Dijital Hizmetleri

Senaryo:

Bir belediye, vatandaşlara dijital ortamda çeşitli hizmetler sunmaktadır. Bu hizmetlerin güvenliği, hem vatandaşların güvenini hem de yasal uyumu sağlamak açısından önemlidir.

ISO/IEC 27005 Uygulaması:

1. Risk Tanımlama: Hizmetlere yönelik siber saldırılar, veri sızıntıları ve sistem arızaları gibi potansiyel tehditler belirlenir.
2. Risk Analizi: Bu tehditlerin olasılıkları ve olası etkileri değerlendirilir. Örneğin, bir veri sızıntısının vatandaşların kişisel bilgilerinin ifşasına yol açma olasılığı analiz edilir.
3. Risk Değerlendirmesi: Riskler, olasılık ve etki düzeylerine göre önceliklendirilir.
4. Risk Tedavisi: Veri şifreleme, erişim kontrolü ve düzenli sistem güncellemeleri gibi önlemler uygulanır.
5. İzleme ve Gözden Geçirme: Sistem düzenli olarak izlenir ve güvenlik açıkları tespit edildiğinde hızlıca müdahale edilir.

Bu süreç, belediyenin bilgi güvenliği yönetim sisteminin etkinliğini artırır ve vatandaşların dijital hizmetlere güvenle erişmesini sağlar.

Sanayi Sektöründe Uygulama: Üretim Tesisi Otomasyon Sistemleri

Senaryo:

Bir üretim tesisi, üretim süreçlerini dijital ortamda izlemekte ve kontrol etmektedir. Bu sistemlerin güvenliği, üretim sürekliliği ve iş güvenliği açısından kritik öneme sahiptir.

ISO/IEC 27005 Uygulaması:

1. Risk Tanımlama: Sistemlere yönelik siber saldırılar, iç tehditler ve teknik arızalar gibi potansiyel tehditler belirlenir.
2. Risk Analizi: Bu tehditlerin olasılıkları ve olası etkileri değerlendirilir. Örneğin, bir siber saldırının üretim hattını durdurma olasılığı analiz edilir.
3. Risk Değerlendirmesi: Riskler, olasılık ve etki düzeylerine göre önceliklendirilir.
4. Risk Tedavisi: Ağ segmentasyonu, güvenlik duvarları ve izinsiz giriş tespiti gibi önlemler uygulanır.
5. İzleme ve Gözden Geçirme: Sistem düzenli olarak izlenir ve güvenlik açıkları tespit edildiğinde hızlıca müdahale edilir.

Bu süreç, tesisin bilgi güvenliği yönetim sisteminin etkinliğini artırır ve üretim süreçlerinin güvenliğini sağlar.

Eğitim ve Farkındalık Programları

ISO/IEC 27005'in etkin bir şekilde uygulanabilmesi için çalışanların bilgi güvenliği konusunda bilinçlendirilmesi önemlidir. Bu amaçla düzenlenen eğitim ve farkındalık programları, çalışanların potansiyel tehditleri tanımalarını ve uygun güvenlik önlemlerini almalarını sağlar.

Sürekli İyileştirme ve İzleme

ISO/IEC 27005, bilgi güvenliği risk yönetiminin sürekli bir süreç olduğunu vurgular. Bu nedenle, riskler düzenli olarak izlenmeli ve yeni tehditler ortaya çıktıkça risk değerlendirme süreçleri güncellenmelidir. Bu yaklaşım, organizasyonların bilgi güvenliği yönetim sistemlerini sürekli olarak iyileştirmelerine olanak tanır.

Sonuç: ISO/IEC 27005 - Kurumsal Direncin Anahtarı

ISO/IEC 27005, bilgi güvenliği risklerinizi şansa bırakmak yerine, bilimsel ve yapılandırılmış bir şekilde yönetmenizi sağlayan güçlü bir çerçeve sunar. Bu sadece siber tehditlere karşı korunmak değil, aynı zamanda müşteri güvenini kazanmak, yasal uyumluluğu sağlamak, itibarı korumak ve operasyonel sürekliliği garanti altına almak için kritik bir stratejik yatırımdır. Türkiye'nin dinamik ve bazen zorlu dijital ortamında, ISO 27005'i etkin bir şekilde uygulamak, kuruluşunuzun dijital dönüşüm yolculuğunda sürdürülebilir başarı ve direnç için vazgeçilmezdir.

Günümüzün dijitalleşen Türkiye’sinde, kurumlar ister kamu sektörü ister özel sektör olsun, bilgi varlıklarının güvenliği kritik bir rekabet ve operasyonel sürdürülebilirlik unsuru haline gelmiştir. Siber tehditlerin sürekli değişen doğası, iç tehditlerin artan görünürlüğü ve mevzuat yükümlülükleri (KVKK, kritik altyapı düzenlemeleri, sektör spesifik standartlar) organizasyonları proaktif ve sistematik bir risk yönetimi yaklaşımını benimsemeye zorlamaktadır. ISO/IEC 27005 standardı, bu ihtiyaca yanıt veren uluslararası kabul görmüş bir çerçeve sunar.

Makale boyunca sunulan Türkiye örnekleri, ISO/IEC 27005’in farklı sektörlerde uygulanabilirliğini ve esnekliğini açıkça ortaya koymaktadır. Sağlık sektöründe hasta verilerinin korunmasından, finans sektöründe müşteri ve işlem verilerinin güvenliğine; üretim ve OT/IoT sistemlerinden kamu ve eğitim kurumlarındaki kişisel verilerin korunmasına kadar, bu standardın yöntemleri kuruluşların karşılaştığı tehditleri sistematik olarak tanımlamalarına, analiz etmelerine ve etkin önlemler almalarına olanak sağlar. Özellikle, risk değerlendirme, risk işleme, izleme ve sürekli iyileştirme aşamaları, kurumların riskleri yalnızca tespit etmekle kalmayıp, aynı zamanda risk toleranslarını optimize etmelerini ve kaynaklarını stratejik olarak yönetmelerini mümkün kılar.

Türkiye özelinde, KVKK ve sektör bazlı regülasyonlar ile uluslararası standartların entegrasyonu, ISO/IEC 27005’in önemini daha da artırmaktadır. Kurumlar, sadece yasal uyumluluk sağlamakla kalmayıp, aynı zamanda itibar yönetimi, müşteri güveni ve operasyonel süreklilik açısından da somut faydalar elde etmektedir. Özellikle, risk iletişimi ve paydaş katılımı, üst yönetim desteği ve çalışan farkındalığı ile birleştiğinde, bilgi güvenliği kültürünün organizasyon çapında yerleşmesini sağlar.

Sonuç olarak, ISO/IEC 27005’in uygulanması, bilgi güvenliği risklerinin şansa bırakılmaması için bilimsel ve yapılandırılmış bir yaklaşım sunar. Bu süreç, kurumların yalnızca siber tehditlere karşı direnç kazanmalarını değil, aynı zamanda dijital dönüşüm yolculuklarında sürdürülebilir bir rekabet avantajı elde etmelerini sağlar. Türkiye’deki dinamik iş ortamında, ISO/IEC 27005 ile kurumsal risk yönetimini etkin bir şekilde entegre eden kuruluşlar, hem yasal ve operasyonel uyumluluklarını garanti altına alır hem de stratejik karar alma süreçlerinde bilgi güvenliği perspektifini merkezine yerleştirir.

Kısaca, ISO/IEC 27005 yalnızca bir standart veya rehber değil; Türkiye’deki kuruluşların kurumsal direncini güçlendiren, müşteri güvenini artıran ve sürdürülebilir başarıyı destekleyen kritik bir stratejik araçtır. Bu bağlamda, etkin bir risk yönetimi yaklaşımı, modern organizasyonların bilgi güvenliği yolculuğunda vazgeçilmez bir ön koşuldur.

CPATürk olarak, bu yolculukta yanınızdayız. ISO/IEC 27005 ve bilgi güvenliği risk yönetimi ihtiyaçlarınızı karşılamak üzere danışmanlık, eğitim veya denetim hizmetlerimiz hakkında daha fazla bilgi almak için web sitemizi ziyaret edin veya uzman ekibimizle iletişime geçin. Kurumsal dijital direncinizi birlikte inşa edelim.

Kaynakça:

ISO/IEC 27005:2022. (2022). Information security, cybersecurity and privacy protection — Guidance on managing information security risks. International Organization for Standardization. ISO

EN Kalite Danışmanlık. (2024, 15 Kasım). ISO/IEC 27005:2022 – Bilgi Güvenliği Risk Yönetimi İçin Kapsamlı Rehber. En Kalite Danışmanlık

Florya Sert. (2023, 20 Eylül). ISO/IEC 27005: Bilgi Güvenliğinde Risk Yönetimi Yaklaşımları. Florya Cert

DATIVE GPI. (2025, 10 Mayıs). ISO/IEC 27005:2022 – A Practical Guide to Cybersecurity Risk Management. Dative GPI

C-Risk. (2023, 11 Eylül). Everything you need to know about ISO 27005. C-Risk

Ekol Belgelendirme. (2024, 5 Ocak). ISO/IEC 27005 Bilgi Güvenliğinin Risk Yönetimi. Ekol Belgelendirme

CFE Certification. (2023, 22 Mart). ISO 27005 IS Risk Yönetimi. CFE Certification

Slideshare. (2023, 18 Mayıs). ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi. www.slideshare.net

Dataguard. (2022, 3 Ekim). ISO 27005 risk management: How it aligns with ISO 27001. DataGuard

Feroot Security. (2025, 25 Haziran). What is ISO/IEC 27005:2022? Feroot Security

Egerie. (2025, 10 Eylül). ISO 27005: a strategic approach to cybersecurity risk management. Egerie

Wikipedia. (2023, 18 Eylül). ISO/IEC 27005. Vikipedi

Ege Üniversitesi. (2020). BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ ISO/IEC 27001 VE BİLGİ GÜVENLİĞİ RİSK YÖNETİMİ ISO/IEC 27005 Standartların Uygulanması. Açık Erişim