ISO 27001:2022 BGYS Programı Çok Lokasyonlu Eğitim & Farkındalık

Kolay Gelsin
Bilgi Güvenliği Dönüşümü

Kolay Gelsin, milyonlara dokunan dağıtım altyapısını güvence altına almak için Nesil Teknoloji danışmanlığında ISO 27001:2022 sistemini kurdu; bilgi güvenliği ve operasyonel sürdürülebilirlikte kurumsal seviyeye geçti.

250+
Bilgi Varlığı
40+
Politika/Prosedür/Form
3.000
Eğitim Katılımcısı
ISO 27001:2022 Sertifikalı
Kurumsal Dönüşüm Görüşmesi

Proje Ekibi

  • Nesil Teknoloji: Murat Kaya (Proje Lideri), Uygar Yasin Aydın (Başdenetçi)
  • Kolay Gelsin: Özkan Yılmaz (Proje Yöneticisi)
Kapsam; merkez ofis, dağıtım merkezleri ve saha operasyonlarını içerecek şekilde kuruldu.

Proje Ekibi

Proje Yöneticileri

Özkan Yılmaz

Özkan Yılmaz

Proje Yöneticisi

Kolay Gelsin
Baş Denetçi

Baş Denetçi

ISO 27001 Lead Auditor

Nesil Teknoloji
Uygar Yasin Aydın

Uygar Yasin Aydın

Güvenlik Danışmanı

Nesil Teknoloji

Not: Fotoğraflar kurumların açık kaynaklı görsellerinden alınmıştır; talep halinde görsel/isim güncellemesi yapılabilir.

Program Ölçeği

Program Ayak İzi ve Ölçek

Çok Lokasyon
Merkez + DC'ler + saha operasyonları
Çok Kanal
Web · Mobil · Entegrasyon
Çok Sistem
ERP · WMS · TMS · MDM
360° GRC
Risk · Uyum · Denetim

Uygulama Süreci

Proje Aşamaları

1) Kapsam Belirleme

Merkez ofis, DC'ler, saha operasyonları ve tedarikçi arayüzleri dahil edildi.

2) Varlık & Risk Analizi

250+ bilgi varlığı envanterlendi; kurumsal risk metodolojisiyle değerlendirildi.

3) Dokümantasyon

40+ politika/prosedür/form ile BGYS kurumsal standartlara göre bütünleştirildi.

4) Eğitim & Farkındalık

3.000 çalışan kapsamlı eğitim programıyla bilgilendirildi; ölçümleme ve raporlama yapıldı.

5) İç Tetkik & YGG

İç denetim ve Yönetim Gözden Geçirme toplantıları başarıyla tamamlandı.

6) Sertifikasyon

Akredite denetimden başarıyla geçildi; ISO 27001:2022 belgesi alındı.

Teknik Detaylar

Program Sütunları

Yönetişim & GRC

  • Kurumsal risk yönetimi, RACI ve komite yapısı
  • Uyum takvimi, iç denetim ve bulgu kapatma yönetimi
  • GRC panoları: trend, KPI ve risk iştahı eşikleri

Erişim & Kimlik

  • SSO/MFA, ayrıcalıklı erişim (PAM) ve görev ayrılığı
  • Yaşam döngüsü: işe alım/ayrılma/rol değişimi
  • Uygulama/entegrasyon bazlı yetki matrisleri

Altyapı & Bulut

  • Ağ segmentasyonu, WAF/CDN ve güvenli internet çıkışı
  • Yedekleme, şifreleme (dinamı/rest), anahtar yönetimi
  • MDM: saha cihaz yönetimi, zorunlu politika setleri

Uygulama Güvenliği

  • Güvenli SDLC, SAST/DAST/SCA ve gizli anahtar taraması
  • CI/CD koruması, imaj güvenliği ve SBOM
  • API güvenliği ve rate limiting

Operasyon & İzlenebilirlik

  • Merkezi loglama, SOAR ile otomasyonlu müdahale
  • Olay yönetimi (IR) ve kök neden analizi
  • Tabletop tatbikatlar, iletişim/escalation planları

KVKK & Gizlilik

  • Veri sınıflandırma, saklama/ayıklama planları
  • KVKK aydınlatma & başvuru süreçleri
  • Çerez/tercih yönetimi ve denetlenebilir kayıtlar

Sonuçlar

Proje Kazanımları

Kurumsal Yükümlülükler

  • Risk Temelli Yönetim & entegre karar alma
  • Bilgi Varlığı Envanteri & ilişki haritaları
  • Süreç Dokümantasyonu & izlenebilir prosedürler
  • İş Sürekliliği & Olay Müdahale bütünleşik yönetimi

Başarı Katkı Oranı

Gizlilik %93
Operasyonel Güvenlik %91
Regülasyon Uyumu %89
İş Sürekliliği %87

Yüzdeler kurum içi değerlendirme bulgularını temsil edecek biçimde görselleştirilmiştir.

Kontroller

ISO 27001:2022 Annex A Odak Alanları

Alan Örnek Kontrol Durum Not
Erişim Yönetimi MFA, en az yetki, periyodik gözden geçirme ✓ Uygulandı SSO/PAM ile bütünleşik
Kriptografi Şifreleme, anahtar yaşam döngüsü ✓ Uygulandı KMS/HSM entegrasyonu
Operasyon Güvenliği Yama, zafiyet ve log yönetimi ✓ Uygulandı Merkezi iz ve SOAR
Tedarikçi Güvenliği Sözleşme & denetim hükümleri ✓ Uygulandı 3. taraf risk değerlendirmesi
İş Sürekliliği BIA, DR, test & tatbikatlar ✓ Uygulandı RTO/RPO hedefleri doğrulandı
Gizlilik/KVKK DPIA, saklama & maskeleme ✓ Uygulandı Çok kanallı aydınlatma

Tedarik Zinciri

Tedarikçi ve Tedarik Zinciri Güvenliği

  • Risk bazlı değerlendirmenin sözleşmesel hükümlere yansıtılması
  • SLA/OLA ve güvenlik gereksinimlerinin sürüm yönetimi
  • Penetrasyon testleri ve bulgu kapatma takibi
  • Entegrasyon güvenliği: API anahtarları, oran sınırlama, kayıt tutma
  • Üçüncü taraf ihlal bildirim akışları ve iletişim protokolleri
  • Uygunluk kanıt setlerinin periyodik güncellenmesi

Detaylı Bilgiler

Program Detayları

  • Güvenli kodlama standartları; SAST/DAST/SCA pipeline entegrasyonu
  • Secrets yönetimi, imaj güvenliği ve SBOM üretimi
  • Ön prod güvenlik kapıları ve otomatik geri alma politikaları
  • Merkezi log toplama, korelasyon ve alarm temizliği hedefleri
  • Olay yanıt playbook'ları; masaüstü tatbikatlar ve raporlama
  • MTTR iyileştirmeleri ve 7/24 izleme süreçleri
  • Veri haritaları ve saklama/ayıklama çizelgeleri
  • Aydınlatma, başvuru ve ihlal bildirim akışları
  • Çerez/tercih yönetimi ve denetlenebilir kayıtlar
  • BIA, kritik süreç ve bağımlılık analizleri
  • DR senaryoları, test planları ve failover/failback provaları
  • Periyodik gözden geçirme ve iyileştirme kararları

Kültür Oluşturma

Eğitim ve Farkındalık

  • 3.000 çalışan: genel ve rol bazlı modüller
  • Ölçümleme: bilgi testleri, phishing simülasyonu
  • Katılım ve başarı oranlarının detaylı raporlanması
  • Sürekli farkındalık programı ve güncel tehdit briefleri
Eğitim Kapsam Oranı %95
Başarı Oranı %90
Phishing Dayanıklılığı %85

Oranlar kurumsal raporlama yaklaşımını temsilen görselleştirilmiştir.

Proje Başarısı

Sonuç ve Etki

Sertifikasyon
ISO 27001:2022 — akredite denetim başarıyla tamamlandı
Sürdürülebilirlik
Yönetişim, risk ve operasyon uçtan uca entegre
Ölçeklenebilirlik
Yeni lokasyon ve sistemlere hazır mimari

Kurumsal BGYS Dönüşümünüz İçin Birlikte Çalışalım

Risk temelli, denetlenebilir ve sürdürülebilir bir bilgi güvenliği yönetim sistemini birlikte kuralım. ISO 27001 sertifikasyonu yolculuğunuzda yanınızdayız.

Danışmanlık Görüşmesi

Not: Proje Gizliliği Kapsamında sınırlı bilgi verilmiştir.