TÜRKAK Onaylı ISO 27001 Belgelendirmesi: Telekom Sektörü İçin Bilinmesi Gerekenler

Elektronik haberleşme sektöründe son dönemde bilgi güvenliği yükümlülükleri ciddi şekilde değişiyor. BTK tarafından işletmecilere gönderilen yazılar, kurulan Siber Güvenlik Başkanlığı'nın faaliyetleri ve hazırlanmakta olan yeni düzenlemeler, ISO 27001 belgelendirme sürecinde dikkat edilmesi gereken yeni bir vurgu getiriyor: TÜRKAK onaylı belgelendirme.

Yer sağlayıcılar, internet servis sağlayıcıları (ISS) ve diğer elektronik haberleşme işletmecileri için bu konunun ne anlama geldiğini, alternatif belgelerin geçerlilik durumunu, sektörde sıkça yaşanan ama az konuşulan bir gerçeği ve maliyet hesabının nasıl yapıldığını bu yazıda ele alacağız.

Mevzuatta Durum

13 Temmuz 2014 tarihli Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği, işletmecilerin bilgi güvenliği yönetim sistemi (BGYS) kurmasını ve belgelendirilmesini zorunlu kılıyor. Yönetmeliğin tanımlar bölümünde belgelendirme kuruluşu, "ISO/IEC 27001 standardına göre belgelendirme yapmak üzere akredite edilmiş kurum veya kuruluş" olarak tanımlanıyor.

Yani yönetmelik metninde TÜRKAK akreditasyonu zorunlu olarak yer almıyor. Sadece "akredite edilmiş" deniyor.

Ancak BTK tarafından işletmecilere gönderilen güncel yazıda durum farklı şekilde ifade ediliyor:

"BGYS'nin ulusal ve uluslararası standartlara uygunluğunun teyit edilmesi amacıyla, Türk Akreditasyon Kurumu tarafından akredite edilmiş belgelendirme kuruluşlarınca gerçekleştirilen denetimler neticesinde uygunluk belgesi alınması gerekmektedir."

Yani yönetmelikte esnek bırakılan bu konu, BTK'nın idari yazısı ile TÜRKAK yönüne netleştirilmiş durumda. Kurulan Siber Güvenlik Başkanlığı'nın hazırlayacağı yeni düzenlemelerde de aynı yaklaşımın devam etmesi bekleniyor.

TÜRKAK Onayı Ne Anlama Geliyor?

Konuyu netleştirmek için üç katmanlı bir yapıdan bahsetmek gerekiyor:

• Standart: ISO/IEC 27001, bilgi güvenliği yönetim sisteminin nasıl kurulacağını tarif eden uluslararası kural setidir.
• Belgelendirme Kuruluşu: Sizin BGYS'nizin standarda uyup uymadığını denetler ve sertifikayı verir.
• Akreditasyon Kurumu: Belgelendirme kuruluşunun bu işi yapmaya yetkili olup olmadığını denetler ve onaylar.

TÜRKAK (Türk Akreditasyon Kurumu), Türkiye'nin tek ulusal akreditasyon kurumudur. Belgelendirme kuruluşlarını düzenli olarak denetler ve yetkilendirir. Yani bir belgelendirme kuruluşu TÜRKAK akrediteliyse, onun verdiği ISO 27001 belgesi de TÜRKAK güvencesi altında demektir.

Peki TÜRKAK Onaylı Olmayan Belgeler Geçersiz mi?

Hayır, teknik olarak geçersiz değiller. Türkiye'nin yanı sıra Almanya, İngiltere, Amerika, Fransa, İtalya gibi ülkelerin de kendi akreditasyon kurumları var. Bu kurumların hepsi uluslararası sistemin bir parçası ve karşılıklı olarak birbirlerini tanıyorlar.

Yani uluslararası geçerlilik açısından bir Alman akreditasyon kurumundan onaylı belge ile TÜRKAK onaylı bir belge eşdeğer kabul edilir. Bu, dünya çapında geçerli bir prensiptir.

Ancak Türkiye'deki düzenleyici otoriteler için belgenin hangi akreditasyon kurumu altında alındığı önemli olabiliyor. BTK gibi sektörel düzenleyiciler, kendi denetim ve uygulamalarında ulusal otorite tarafından yakından denetlenen belgelendirme kuruluşlarını tercih ediyor. Bu durumda uluslararası geçerlilik tartışılmaz olsa bile, Türkiye'deki sektörel uygulama açısından TÜRKAK onayı tercih ediliyor.

Sektörde Sıkça Yaşanan Bir Gerçek: Aynı Kurallar, Farklı Uygulamalar

Bu noktada açıkça konuşulması gereken bir konu var. Yabancı akreditasyon kurumlarından (örneğin Almanya'daki ulusal akreditasyon kurumundan) onaylı belgelendirme kuruluşlarıyla çalışan işletmecilerin sıkça paylaştığı bir gözlem bulunuyor:

"Yabancı akreditasyonlu kuruluşlardan belge almak hem daha hızlı, hem daha kolay, hem de daha az maliyetli oluyor. TÜRKAK onaylı kuruluşlarda denetim çok daha uzun ve detaylı geçiyor."

Bu gözlem büyük ölçüde doğru. Peki ortada aynı uluslararası kurallar varken bu fark neden oluşuyor? Birkaç pratik nedeni var:

• Yerinde denetim sıklığı: TÜRKAK, akredite ettiği belgelendirme kuruluşlarını yılda en az bir kez yerinde denetliyor. Bunun yanı sıra zaman zaman önceden haber verilmeden, müşteri denetimleri sırasında "şahit denetim" yapıyor — yani TÜRKAK denetçisi belgelendirme kuruluşunun denetçisinin yanında durup süreci canlı izliyor. Bu durum belgelendirme kuruluşları üzerinde ciddi bir disiplin baskısı yaratıyor.

• Yabancı akreditasyon kurumlarının Türkiye'deki belgelendirme kuruluşlarını denetleme sıklığı ise pratikte daha düşük. Coğrafi uzaklık, dil ve maliyet gibi nedenler bu durumun ortaya çıkmasında etkili. Sonuç olarak yabancı akrediteli kuruluşlar Türkiye'de daha az gözetim altında çalışıyor.

• Adam-gün uygulamasındaki esneklik: Uluslararası kurallar minimum denetim süresini belirliyor. TÜRKAK akrediteli kuruluşlar bu sürelere neredeyse birebir uymak zorunda; çünkü her an denetlenebileceklerini biliyorlar. Yabancı akrediteli kuruluşların bir kısmı ise bu sürelerde "esneklik" gösterebiliyor — daha kısa denetim, daha az kanıt talebi gibi.

• Talep yönlü bir gerçek: Burada önemli bir nokta şu: Aslında bu durumun ortaya çıkmasında işletmecilerin de bilinçsiz bir payı var. Maliyet uygun ve süreç hızlı olduğu için yabancı akreditasyonlu kuruluşlar tercih ediliyor. Ancak işletmecilerin büyük bir kısmı iki belge arasındaki bu uygulama farkının bilincinde değil. "Sertifikam var" diye düşünülüyor; ne kadar derinlemesine denetlendiği, denetim disiplininin nasıl olduğu, belgenin BTK karşısındaki sağlamlığı genelde sorgulanmıyor.

Bu Fark Aslında Ne Anlatıyor?

Önce şunu netleştirelim: Hiçbir belge tek başına işletmecinin gerçek anlamda güvenli olduğunu garanti etmez. Bu konuyu zaten daha önce de paylaşmıştık. ISO 27001 belgesi olan kurumlar da siber saldırıya uğrayabilir, veri sızıntısı yaşayabilir. Belge bir başlangıç noktasıdır, sürekli iyileştirme gerektiren bir yolculuğun ilk adımıdır.

Ancak belge alacaksanız da bunu doğru yapmak gerekiyor. Daha kısa süren bir denetim ile daha uzun süren bir denetim arasındaki fark; BGYS'nizin gerçekten sınanıp sınanmadığı, eksiklerin tespit edilip edilmediği ve sistemin sağlam kurulup kurulmadığı sorularına verilen cevabı değiştiriyor.

Yani konunun özü şu: TÜRKAK akreditasyonu, belgelendirme sürecinin arkasında otorite denetiminin sürekli işlediğinin somut bir göstergesi. Belge sahibi olmak ile belgenin arkasındaki sürecin disiplinli yürütüldüğünden emin olmak farklı şeyler. İşletmeci bu farkı bilerek tercih yapmalı.

TÜRKAK Onayının Sağladığı Avantajlar

• Türkiye merkezli denetim ve sürekli gözetim: TÜRKAK akredite ettiği belgelendirme kuruluşlarını sürekli ve yakından denetler. Bu, belgelendirme sürecinin disiplinli yürütülmesini sağlar.

• Düzenleyici kurumlarda pürüzsüz kabul: BTK, kamu ihaleleri, kritik altyapı düzenlemeleri ve sektörel denetimlerde TÜRKAK onaylı belgeler tartışmasız kabul edilir.

• Türkçe denetim ve yerel mevzuat uyumu: Türk denetçiler KVKK, BTK yönetmelikleri, BİGR (Bilgi ve İletişim Güvenliği Rehberi) gibi yerel düzenlemelere hâkimdir. Denetimlerini Türkçe yürüttükleri için süreç çok daha akıcı ilerler.

TÜRKAK Onaylı Belgelendirme Maliyetini Etkileyen Faktörler

ISO 27001 belgelendirme maliyeti tek kalemli sabit bir rakam değildir. Şu faktörler maliyeti doğrudan etkiler:

Çalışan Sayısı

Belgelendirme süresi öncelikle BGYS kapsamındaki etkin personel sayısına göre belirlenir. Uluslararası kurallar, belirli bir personel aralığı için minimum denetim süresi tanımlar. Personel arttıkça denetim süresi de artar.

Bu sürelere adam-gün denir. Adam-gün şu mantıkla hesaplanır: Bir denetçinin bir günlük çalışması = 1 adam-gün. Eğer 1 denetçi 5 gün çalışıyorsa = 5 adam-gün; 2 denetçi 2,5 gün çalışıyorsa = yine 5 adam-gün eder. Yani maliyet hesaplaması toplam efor üzerinden yapılır.

Sektör Risk Profili

Bilgi güvenliği açısından yüksek riskli sektörler (telekom, bankacılık, sağlık, kritik altyapı) için denetim süresi standart sürenin üzerinde tutulur. Elektronik haberleşme sektörü bu kategoride yer aldığından, telekom işletmecileri için adam-gün hesabı yaklaşık %20-30 oranında artırılır.

Lokasyon Sayısı

Tek lokasyonlu bir şirket ile birden fazla şehirde ofis ve sistemleri olan bir şirketin denetim süresi farklıdır. Her ek lokasyon hem denetim süresine hem de seyahat-konaklama masrafına yansır.

BGYS Kapsamının Genişliği

Sadece belirli bir hizmet alanı mı belgelendiriliyor, yoksa tüm hizmetler ve kritik sistemler mi kapsama alınıyor? Telekom yönetmeliği işletmecilerden tüm hizmetlerini ve kritik sistemlerini kapsayacak BGYS kurmalarını istediği için kapsam genelde geniş olur ve maliyet de buna göre artar.

Denetçi Konaklama ve Seyahat Masrafları

Denetçi şehir dışından geliyorsa konaklama, ulaşım ve yemek masrafları müşteriye yansıtılır. Bu kalem, özellikle Anadolu'daki işletmeciler için ciddi bir maliyet farkı yaratabilir. Türkiye merkezli bir belgelendirme kuruluşu seçmek bu masrafları azaltır.

Yıllık Gözetim ve Yeniden Belgelendirme

ISO 27001 sertifikası 3 yıl geçerlidir. Ancak her yıl gözetim denetimi yapılır:

• ve 2. yıl gözetim denetimleri: İlk belgelendirme süresinin yaklaşık 1/3'ü kadar
• yıl yeniden belgelendirme: İlk belgelendirme süresinin yaklaşık 2/3'ü kadar

Yıllık planlama yaparken bu masrafları da hesaba katmak gerekir.

Aşama 1 ve Aşama 2 Ayrımı

İlk belgelendirme iki aşamada yapılır. Aşama 1 doküman incelemesidir, kısa süreli yerinde gerçekleştirilir. Aşama 2 ise asıl saha denetimidir. Bu iki aşamanın denetim süreleri farklıdır ve teklif değerlendirilirken ikisinin nasıl bölündüğüne bakılmalıdır.

Aşırı Düşük Tekliflere Dikkat

Sektörde gerçek denetim süresinin çok altında "1 günde sertifika veririz" tarzı tekliflerle karşılaşılabiliyor. Bu yaklaşımların ciddi riskleri var:

• Belgelendirme kuruluşunun akreditasyonu askıya alınabilir veya iptal edilebilir
• Bu durumda sizin belgeniz de geriye dönük olarak geçersiz sayılabilir
• BTK denetimlerinde bu tip belgeler kabul edilmeyebilir
• ISO 27001'in asıl amacı olan "düzgün bir bilgi güvenliği yönetim sistemi kurma" hedefi gerçekleşmez

Bu yüzden teklif alırken adam-gün sayısını mutlaka sorun. Birkaç farklı belgelendirme kuruluşundan teklif alıp karşılaştırın. Rakamlar birbirine yakın çıkıyorsa hesaplama doğru yapılmıştır.

Sonuç ve Öneriler

Hem mevcut yönetmelik uygulamasında hem de yeni hazırlanmakta olan düzenlemelerde TÜRKAK akreditasyonlu belgelendirme kuruluşlarına yönelik tercih giderek belirginleşiyor. Siber Güvenlik Başkanlığı'nın çalışmalarıyla birlikte bu eğilimin daha da güçleneceği öngörülüyor.

Yabancı akreditasyonlu belgelendirme kuruluşları uluslararası geçerlilik açısından eşdeğer olsa bile, ulusal otorite denetimi ve düzenleyici kabul açısından TÜRKAK onaylı belgelendirme kuruluşları daha sağlam bir pozisyon sunuyor. İşletmecilerin bu farkı bilerek tercih yapması, kısa vadeli maliyet avantajının ötesinde uzun vadeli güvence sağlıyor.

• Mevcut belgesi olanlar için: Belgelendirme kuruluşunuzun TÜRKAK akrediteli olup olmadığını kontrol edin. Değilse yenileme döneminde TÜRKAK akrediteli bir kuruluşa geçişi planlayın.

• Yeni belge alacaklar için: İlk tercihiniz TÜRKAK akrediteli bir kuruluş olsun. Güncel listeye TÜRKAK'ın resmi web sitesinden (turkak.gov.tr) "Akredite Kuruluşlar" bölümünden ulaşabilirsiniz.

• Maliyet planlaması için: Birden fazla belgelendirme kuruluşundan teklif alın. Adam-gün hesaplamasını, konaklama-seyahat masraflarını ve yıllık gözetim ücretlerini ayrı ayrı sorgulayın. Aşırı düşük rakamlardan uzak durun.

ISO 27001 belgelendirmesi tek başına bir güvenlik garantisi sağlamaz; ancak doğru akreditasyonla, doğru belgelendirme kuruluşuyla ve düzgün bir denetim süreciyle alındığında kurumun bilgi güvenliği yolculuğunda sağlam bir başlangıç noktasıdır. Tercihlerinizi bilinçli yapmak, hem mevzuat uyumunu hem de gerçek anlamda güvenlik kazanımını birlikte getirir.

Bu yazı genel bilgilendirme amaçlıdır. Spesifik durumlar için ilgili mevzuata ve uzman danışmanlara başvurulması önerilir.