KVKK denetiminde “Uygulanabilirlik Bildirgesi” (Statement of Applicability – SoA) genellikle bilgi güvenliği ve veri koruma denetimlerinde kullanılan bir dokümandır. Özellikle ISO 27001 + KVKK uyum denetimlerinde denetçilere sunulan temel kanıtlardan biridir.
Uygulanabilirlik Bildirgesi; kurumun bilgi güvenliği ve kişisel veri koruma kapsamında hangi güvenlik kontrollerini uyguladığını, hangilerini uygulamadığını ve nedenlerini gösteren resmi dokümandır.
Başka bir ifadeyle:
Risk analizi sonucunda seçilen güvenlik kontrollerinin listesi
Bu kontrollerin uygulanıp uygulanmadığı
Uygulanmıyorsa gerekçesi
Uygulanıyorsa nasıl uygulandığı
tek bir tabloda açıklanır.
Denetimde kurumdan şu soruların cevabı beklenir:
Hangi veri güvenliği kontrolleri uygulanıyor?
Risk analizi yapıldı mı?
Güvenlik tedbirleri nasıl seçildi?
Uygulanabilirlik bildirgesi bu soruların kanıt dokümanı olarak kullanılır.
Uygulanabilirlik Bildirgesinde Genelde Bulunan Alanlar
| Kontrol No | Kontrol Tanımı | Uygulanabilir mi | Durum | Gerekçe | İlgili Politika/Prosedür |
|---|---|---|---|---|---|
| A.5.1 | Bilgi güvenliği politikası | Evet | Uygulanıyor | Kurum politikası var | BGYS Politikası |
| A.9.1 | Erişim kontrolü | Evet | Uygulanıyor | AD ve rol bazlı erişim | Erişim Yönetimi |
| A.11.1 | Fiziksel güvenlik | Evet | Uygulanıyor | Kartlı geçiş sistemi | Fiziksel Güvenlik |
| A.18 | KVKK uyum | Evet | Uygulanıyor | KVKK prosedürleri var | KVKK Politikası |
KVKK Denetiminde Bağlı Olduğu Dokümanlar
Genelde aşağıdaki dokümanlarla birlikte sunulur:
Kişisel Veri Envanteri
KVKK Politikası
Veri Saklama ve İmha Politikası
Risk Analizi
Erişim Yönetimi Prosedürü
Log ve Güvenlik Politikası
İç Denetim Raporları
Denetçiler Ne Kontrol Eder?
Denetimde özellikle şu noktalar incelenir:
Risk analizi ile SoA arasında tutarlılık
“Uygulanmıyor” yazılan kontrollerin mantıklı gerekçesi
Kontrollerin gerçekten uygulanıp uygulanmadığı
Politika ve prosedürlerle bağlantısı
ISO 27001’de Uygulanabilirlik Bildirgesi (SoA)
ISO 27001 Ek-A’daki güvenlik kontrollerinden hangilerinin kurum için gerekli olduğunu belirleyen ve uygulanma durumunu gösteren resmi listedir.
Bu doküman:
Risk değerlendirme sonuçlarına dayanır
Seçilen kontrolleri açıklar
Uygulanmayan kontroller için gerekçe verir
SoA’nın amacı şunları göstermektir:
Riskleri azaltmak için hangi kontroller seçildi
Neden seçildi
Uygulanıyor mu
Hangi politika veya prosedür ile uygulanıyor
Yani SoA, risk analizi ile güvenlik kontrolleri arasındaki bağlantıyı kurar.
ISO 27001’de Zorunlu Mudur?
Evet.
ISO 27001 standardında zorunlu dokümantasyon kapsamındadır.
Standardın ilgili maddesi:
ISO 27001 Madde 6.1.3 d) : Kuruluş, uygulanabilir bilgi güvenliği kontrollerini belirlemeli ve bunları Uygulanabilirlik Bildirgesi içinde belgelendirmelidir.
| Kontrol | Kontrol Açıklaması | Uygulanabilir mi | Uygulama Durumu | Gerekçe | Referans Doküman |
|---|---|---|---|---|---|
| A.5.1 | Bilgi güvenliği politikaları | Evet | Uygulanıyor | Kurum politikası mevcut | BGYS Politikası |
| A.6.1 | Organizasyonel güvenlik | Evet | Uygulanıyor | Bilgi güvenliği rolü tanımlı | Görev Tanımları |
| A.9.1 | Erişim kontrolü | Evet | Uygulanıyor | Rol bazlı erişim | Erişim Prosedürü |
| A.11.1 | Fiziksel güvenlik | Evet | Uygulanıyor | Kartlı giriş sistemi | Fiziksel Güvenlik |
| A.14 | Sistem güvenliği | Evet | Uygulanıyor | Yazılım güvenliği prosedürü | Yazılım Güvenliği |
Uygulanabilirlik Bildirgesi Nasıl Oluşturulur?
Genellikle şu adımlarla hazırlanır:
1️⃣ Risk analizi yapılır
2️⃣ Riskleri azaltmak için kontroller seçilir
3️⃣ ISO 27001 Ek-A kontrol listesi incelenir
4️⃣ Her kontrol için:
uygulanır
uygulanmaz
alternatif uygulanır
kararı verilir
Denetimde Denetçiler Neye Bakar?
Denetçiler özellikle şu noktaları inceler:
Risk analizi ile SoA uyumlu mu
Kontroller gerçekten uygulanıyor mu
“Uygulanmıyor” denilen kontroller mantıklı mı
Kontroller ilgili politika ve prosedürlere bağlı mı
SoA’nın Önemi
Uygulanabilirlik Bildirgesi:
ISO 27001 BGYS’nin merkez dokümanıdır
Denetimde ilk incelenen belgelerden biridir
Tüm güvenlik kontrollerinin özet haritasıdır
ISO 27001 Uygulanabilirlik Bildirgesi, kurumun risk analizi sonucunda seçtiği bilgi güvenliği kontrollerini ve uygulanma durumlarını gösteren resmi dokümandır.
| Alan | Açıklama |
|---|---|
| Control ID | ISO 27001 kontrol numarası |
| Control Name | Kontrolün adı |
| Applicable | Uygulanabilir mi (Yes / No) |
| Implementation Status | Implemented / Planned / Not Implemented |
| Justification | Uygulanmıyorsa gerekçe |
| Reference Policy | İlgili politika veya prosedür |
| Responsible | Sorumlu birim |
| Notes | Açıklamalar |
Denetçiler genelde şu alanlara bakar:
Applicable (Yes/No)
Justification
Reference Policy
Implementation Status
Bu tablo risk analizi ile birlikte sunulur.
Tipik bir SoA tablosunda şu alanlar bulunur:
| Kontrol | Açıklama | Uygulanabilir | Uygulama Durumu | Gerekçe | Referans |
|---|---|---|---|---|---|
| 5.1 | Bilgi güvenliği politikası | Evet | Uygulanıyor | Kurum politikası mevcut | BGYS Politikası |
| 6.1 | Personel güvenliği | Evet | Uygulanıyor | İş sözleşmelerinde var | İK Prosedürü |
| 7.2 | Fiziksel giriş kontrolü | Evet | Uygulanıyor | Kartlı giriş sistemi | Fiziksel Güvenlik |
| 8.5 | Kimlik doğrulama | Evet | Uygulanıyor | AD sistemi kullanılıyor | Erişim Politikası |
SO/IEC 27001:2022 Ek-A’da toplam 93 güvenlik kontrolü bulunmaktadır. Bunlar 4 ana gruba ayrılır: Organizational (5), People (6), Physical (7), Technological (8).
Organizasyonel Kontroller (37 kontrol)
5.1 Information security policies
5.2 Information security roles and responsibilities
5.3 Segregation of duties
5.4 Management responsibilities
5.5 Contact with authorities
5.6 Contact with special interest groups
5.7 Threat intelligence
5.8 Information security in project management
5.9 Inventory of information and other associated assets
5.10 Acceptable use of information and other associated assets
5.11 Return of assets
5.12 Classification of information
5.13 Labelling of information
5.14 Information transfer
5.15 Access control
5.16 Identity management
5.17 Authentication information
5.18 Access rights
5.19 Information security in supplier relationships
5.20 Addressing information security within supplier agreements
5.21 Managing information security in the ICT supply chain
5.22 Monitoring, review and change management of supplier services
5.23 Information security for use of cloud services
5.24 Information security incident management planning and preparation
5.25 Assessment and decision on information security events
5.26 Response to information security incidents
5.27 Learning from information security incidents
5.28 Collection of evidence
5.29 Information security during disruption
5.30 ICT readiness for business continuity
5.31 Legal, statutory, regulatory and contractual requirements
5.32 Intellectual property rights
5.33 Protection of records
5.34 Privacy and protection of personally identifiable information (PII)
5.35 Independent review of information security
5.36 Compliance with policies and standards for information security
5.37 Documented operating procedures
İnsan Kaynakları Kontrolleri (8 kontrol)
6.1 Screening
6.2 Terms and conditions of employment
6.3 Information security awareness, education and training
6.4 Disciplinary process
6.5 Responsibilities after termination or change of employment
6.6 Confidentiality or non-disclosure agreements
6.7 Remote working
6.8 Information security event reporting
Fiziksel Kontroller (14 kontrol)
7.1 Physical security perimeters
7.2 Physical entry controls
7.3 Securing offices, rooms and facilities
7.4 Physical security monitoring
7.5 Protecting against physical and environmental threats
7.6 Working in secure areas
7.7 Clear desk and clear screen
7.8 Equipment siting and protection
7.9 Security of assets off-premises
7.10 Storage media
7.11 Supporting utilities
7.12 Cabling security
7.13 Equipment maintenance
7.14 Secure disposal or re-use of equipment
Teknolojik Kontroller (34 kontrol)
8.1 User endpoint devices
8.2 Privileged access rights
8.3 Information access restriction
8.4 Access to source code
8.5 Secure authentication
8.6 Capacity management
8.7 Protection against malware
8.8 Management of technical vulnerabilities
8.9 Configuration management
8.10 Information deletion
8.11 Data masking
8.12 Data leakage prevention
8.13 Information backup
8.14 Redundancy of information processing facilities
8.15 Logging
8.16 Monitoring activities
8.17 Clock synchronization
8.18 Use of privileged utility programs
8.19 Installation of software on operational systems
8.20 Network security
8.21 Security of network services
8.22 Segregation of networks
8.23 Web filtering
8.24 Use of cryptography
8.25 Secure development life cycle
8.26 Application security requirements
8.27 Secure system architecture and engineering principles
8.28 Secure coding
8.29 Security testing in development and acceptance
8.30 Outsourced development
8.31 Separation of development, test and production environments
8.32 Change management
8.33 Test information
8.34 Protection of information systems during audit testing
ISO 27001:2022 kontrolleri ile KVKK (6698 sayılı Kanun) teknik ve idari tedbirleri arasında doğrudan birebir resmi bir eşleşme standardı yoktur. Ancak KVKK rehberleri ve denetim uygulamalarında ISO 27001 kontrolleri KVKK tedbirlerinin karşılığı olarak kullanılır.
Aşağıda ISO 27001 kontrol grupları ile KVKK gereksinimleri arasındaki pratik eşleşme verilmiştir.
ISO 27001 Kontrolleri – KVKK Eşleşme Tablosu
| ISO 27001 Kontrol | Kontrol Açıklaması | KVKK Karşılığı |
|---|---|---|
| 5.1 | Information security policies | KVKK politika ve prosedürleri |
| 5.2 | Information security roles | Veri sorumlusu ve görev tanımları |
| 5.3 | Segregation of duties | Yetki ayrımı |
| 5.8 | Security in project management | KVKK uyum süreçleri |
| 5.9 | Asset inventory | Kişisel veri envanteri |
| 5.10 | Acceptable use | Bilgi sistemleri kullanım politikası |
| 5.12 | Information classification | Veri sınıflandırma |
| 5.13 | Labelling | Veri etiketleme |
| 5.14 | Information transfer | Veri aktarım güvenliği |
| 5.15 | Access control | Erişim kontrolü |
| 5.16 | Identity management | Kimlik yönetimi |
| 5.17 | Authentication information | Parola politikası |
| 5.18 | Access rights | Yetkilendirme |
| 5.19 | Supplier relationships | Veri işleyen sözleşmeleri |
| 5.20 | Supplier agreements | KVKK veri işleyen sözleşmesi |
| 5.23 | Cloud security | Bulut veri güvenliği |
| 5.24 | Incident management planning | Veri ihlali yönetimi |
| 5.26 | Incident response | Veri ihlali bildirimi |
| 5.29 | Security during disruption | İş sürekliliği |
| 5.30 | ICT readiness | Felaket kurtarma |
| 5.31 | Legal requirements | KVKK mevzuat uyumu |
| 5.33 | Protection of records | Kayıt güvenliği |
| 5.34 | Protection of PII | Kişisel veri koruma |
İnsan Kaynakları Kontrolleri – KVKK
| ISO Kontrol | Açıklama | KVKK Karşılığı |
|---|---|---|
| 6.1 | Screening | Personel güvenlik araştırması |
| 6.2 | Employment terms | Gizlilik yükümlülüğü |
| 6.3 | Security awareness | KVKK eğitimleri |
| 6.5 | Responsibilities after termination | İşten ayrılan personel erişimi |
| 6.6 | NDA | Gizlilik sözleşmesi |
| 6.7 | Remote working | Uzaktan çalışma güvenliği |
| 6.8 | Event reporting | Veri ihlali bildirimi |
Fiziksel Kontroller – KVKK
| ISO Kontrol | Açıklama | KVKK Karşılığı |
|---|---|---|
| 7.1 | Physical security perimeters | Fiziksel güvenlik |
| 7.2 | Entry controls | Yetkisiz giriş engelleme |
| 7.3 | Securing facilities | Veri merkezleri güvenliği |
| 7.4 | Security monitoring | Kamera sistemleri |
| 7.7 | Clear desk | Açık masa politikası |
| 7.9 | Off-premise assets | Mobil cihaz güvenliği |
| 7.14 | Secure disposal | Veri imha |
Teknolojik Kontroller – KVKK
| ISO Kontrol | Açıklama | KVKK Karşılığı |
|---|---|---|
| 8.1 | Endpoint security | Uç nokta güvenliği |
| 8.2 | Privileged access | Yönetici hesap kontrolü |
| 8.5 | Secure authentication | Güçlü kimlik doğrulama |
| 8.7 | Malware protection | Antivirüs |
| 8.8 | Vulnerability management | Zafiyet yönetimi |
| 8.10 | Information deletion | Veri silme |
| 8.11 | Data masking | Maskeleme |
| 8.12 | Data leakage prevention | Veri sızıntısı önleme |
| 8.13 | Backup | Yedekleme |
| 8.15 | Logging | Log kayıtları |
| 8.16 | Monitoring | Güvenlik izleme |
| 8.20 | Network security | Ağ güvenliği |
| 8.24 | Cryptography | Şifreleme |
KVKK Teknik ve İdari Tedbirler – ISO 27001 Karşılıkları
KVKK’nın teknik/idari tedbirleri ISO kontrolleri ile şu şekilde örtüşür:
| KVKK Tedbiri | ISO Kontrolleri |
|---|---|
| Yetki matrisi | 5.15 – 5.18 |
| Log kayıtları | 8.15 – 8.16 |
| Veri sınıflandırma | 5.12 |
| Erişim kontrolü | 5.15 |
| Ağ güvenliği | 8.20 |
| Şifreleme | 8.24 |
| Antivirüs | 8.7 |
| Yedekleme | 8.13 |
| Zafiyet yönetimi | 8.8 |
| Eğitim | 6.3 |
| Gizlilik sözleşmesi | 6.6 |











