Başarı Hikayesi · ISO/IEC 27001:2022

Kolay Gelsin Bilgi Güvenliği Dönüşümü

Çok lokasyonlu dağıtım operasyonu, dijital kanallar ve kritik lojistik sistemleri risk temelli bir Bilgi Güvenliği Yönetim Sistemi altında birleştirildi. ISO/IEC 27001:2022 gereklilikleri yönetişimden saha operasyonlarına kadar çalışan kontrollere dönüştürüldü.

Kolay Gelsin × Nesil Teknoloji

Lojistik operasyonuna yayılan kurumsal BGYS

Kapsam; merkez ofis, dağıtım merkezleri, saha operasyonları, dijital kanallar, entegrasyonlar ve kritik tedarikçi ilişkilerini içerecek biçimde tasarlandı.

250+
Envantere alınan bilgi varlığı
40+
Politika, prosedür ve kayıt şablonu
3.000
Eğitim programına dahil edilen çalışan
ISO 27001
2022 sürümü sertifikasyon süreci

Hızlı operasyon ile güvenli operasyonu birleştirmek

Lojistikte süreklilik, mobilite ve entegrasyon hızı kritik öneme sahip. Bilgi güvenliği kontrollerinin dağıtım performansını yavaşlatmadan kurumsallaştırılması gerekiyordu.

Operasyonel karmaşıklık

Merkez, dağıtım merkezleri ve saha ekipleri; farklı sistem, cihaz ve ağ katmanları üzerinden aynı teslimat ekosisteminde çalışıyordu.

  • ERP, WMS, TMS ve entegrasyon servislerinin birlikte çalışması
  • Mobil saha cihazları ve dağıtık kullanıcı kimlikleri
  • Yüksek erişilebilirlik ve kesintisiz operasyon gereksinimi
  • Müşteri, gönderi ve çalışan verilerinin korunması
  • Üçüncü taraf ve tedarikçi bağımlılıklarının yönetimi

Dönüşüm yaklaşımı

Program yalnızca sertifikasyon hazırlığı olarak değil; risk, teknoloji, insan ve süreç katmanlarını birlikte yöneten kalıcı bir işletim modeli olarak ele alındı.

  • Kapsam ve bağlamın operasyonla birlikte tanımlanması
  • Varlık, tehdit, zafiyet ve iş etkisi temelli risk analizi
  • Kontrol sahipleri ve sorumlulukların açıkça atanması
  • Teknik kontrollerin politika ve prosedürlerle eşleştirilmesi
  • İç tetkik, yönetim gözden geçirmesi ve sürekli iyileştirme

Sertifikasyondan önce çalışan sistemi kurmak

ISO/IEC 27001 gereklilikleri altı ana aşamada kurumun günlük işleyişine yerleştirildi; her aşama ölçülebilir çıktı ve sorumlularla tamamlandı.

01

Kapsam ve bağlam

Lokasyonlar, süreçler, sistemler, taraflar ve BGYS sınırları tanımlandı.

02

Varlık ve risk analizi

250'den fazla bilgi varlığı, sahipleri ve bağımlılıklarıyla değerlendirildi.

03

Risk işleme planı

Risklere uygulanacak kontroller, sahipler, hedef tarihler ve kabul kriterleri belirlendi.

04

Dokümantasyon ve uygulama

40'tan fazla politika, prosedür ve kayıt yapısı fiilî süreçlerle bütünleştirildi.

05

Eğitim ve doğrulama

3.000 çalışan için farkındalık programı, teknik testler ve iç tetkik yürütüldü.

06

YGG ve sertifikasyon

Yönetim gözden geçirmesi tamamlandı ve akredite denetim süreci desteklendi.

Risk kararlarını kurumsal yönetime bağlamak

BGYS; güvenlik ekibinin teknik çalışma alanı olmaktan çıkarılıp üst yönetim, süreç sahipleri ve kontrol sorumlularının ortak karar sistemine dönüştürüldü.

01

Kurumsal risk metodolojisi

Olasılık, iş etkisi, mevcut kontrol ve artık risk kriterleri standartlaştırılarak risklerin karşılaştırılabilir biçimde önceliklendirilmesi sağlandı.

02

RACI ve komite yapısı

Kontrol sahipleri, onay mercileri, danışılan ve bilgilendirilen taraflar belirlenerek görev ve karar belirsizlikleri azaltıldı.

03

Uygulanabilirlik Bildirgesi

Annex A kontrollerinin seçilme veya dışarıda bırakılma gerekçeleri, uygulama durumu ve kanıtları merkezi bir kontrol yapısında ilişkilendirildi.

04

KPI ve risk iştahı

Güvenlik olayları, açık bulgular, yama süreleri, eğitim ve tedarikçi riskleri yönetimin izleyebileceği göstergelere dönüştürüldü.

05

İç tetkik ve bulgu yönetimi

Uygunsuzluklar kök neden, düzeltici faaliyet, sorumlu ve kapanış kanıtıyla takip edilen sistematik bir iyileştirme döngüsüne bağlandı.

06

Yönetim gözden geçirmesi

Risk durumu, hedefler, olaylar, kaynak ihtiyacı ve iyileştirme kararları üst yönetimin düzenli gündemine taşındı.

Kimlikten uygulamaya katmanlı koruma

Organizasyonel kontroller, insan kontrolleri, fiziksel kontroller ve teknolojik kontroller; lojistik operasyonunun risk profiline göre birlikte ele alındı.

01

SSO, MFA ve yaşam döngüsü

Kullanıcı erişimleri merkezi kimlik altyapısı, çok faktörlü doğrulama ve işe giriş–rol değişikliği–işten ayrılma süreçleriyle yönetildi.

02

Ayrıcalıklı erişim ve görev ayrılığı

Kritik yönetici hesapları, yetki matrisleri ve periyodik erişim gözden geçirmeleriyle en az yetki prensibi güçlendirildi.

03

Ağ segmentasyonu ve sınır güvenliği

Merkez, dağıtım merkezi, saha ve dış servis katmanları güvenlik bölgeleriyle ayrıştırılarak yatay hareket ve saldırı yüzeyi sınırlandırıldı.

04

Mobil cihaz ve uç nokta güvenliği

Saha cihazları merkezi politikalar, konfigürasyon, güncelleme ve uzaktan müdahale yetenekleriyle kurumsal kontrol altına alındı.

05

Merkezi loglama ve olay müdahalesi

Kritik sistem kayıtları korelasyon, alarm ve müdahale akışlarıyla izlendi; olay senaryoları playbook ve tatbikatlarla doğrulandı.

06

Şifreleme ve anahtar yönetimi

Hassas verilerin aktarım ve saklama güvenliği ile kriptografik anahtarların yaşam döngüsü kurumsal standartlara bağlandı.

07

Güvenli yazılım geliştirme

SAST, DAST, bileşen analizi, gizli anahtar taraması ve güvenlik kapıları geliştirme ve CI/CD süreçlerine dahil edildi.

08

Zafiyet ve yama yönetimi

Açıklar risk seviyesine göre önceliklendirildi; hedef kapatma süreleri, istisnalar ve doğrulama adımları düzenli takip edildi.

Kontrolleri operasyonel kanıta dönüştürmek

ISO/IEC 27001:2022 kontrol alanları politika ifadeleriyle sınırlı kalmadan, uygulanabilir süreç, teknik kontrol, kayıt ve doğrulama kanıtlarıyla ilişkilendirildi.

Kontrol alanı Uygulama örnekleri Kanıt ve doğrulama Amaç
Kimlik ve erişim SSO, MFA, PAM, rol matrisi ve erişim gözden geçirmesi Yetki kayıtları, onaylar ve periyodik kontrol çıktıları En az yetki
Operasyon güvenliği Yama, zafiyet, konfigürasyon ve değişiklik yönetimi Tarama raporu, değişiklik kaydı ve kapanış doğrulaması Kontrollü işletim
İzleme ve olay yönetimi Merkezi loglama, korelasyon, alarm ve müdahale playbook'ları Olay kayıtları, müdahale süreleri ve tatbikat raporları Hızlı tespit
Uygulama ve API güvenliği Güvenli SDLC, kod analizi, bileşen ve API kontrolleri Pipeline sonuçları, bulgu kayıtları ve yeniden test Güvenli geliştirme
Tedarikçi güvenliği Risk sınıflandırması, sözleşme hükümleri ve hizmet izleme Değerlendirme, sözleşme, SLA ve uygunluk kanıtı Zincir güvenliği
İş sürekliliği BIA, RTO/RPO, yedekleme, felaket kurtarma ve tatbikat Test sonuçları, kurtarma kayıtları ve iyileştirme planı Operasyonel dayanıklılık
Gizlilik ve KVKK Veri sınıflandırma, saklama, erişim ve ilgili kişi süreçleri Envanter, politika, talep ve imha kayıtları Hesap verebilirlik

Üçüncü taraf riskini hizmet yaşam döngüsünde yönetmek

Lojistik ekosistemindeki entegrasyon ve hizmet sağlayıcıları, seçimden sözleşme sonlandırmaya kadar risk temelli güvenlik kontrollerine bağlandı.

Değerlendirme ve sözleşme

Tedarikçiler eriştikleri veri, sistem ve iş etkisine göre sınıflandırılarak güvenlik gereksinimleri sözleşmesel hale getirildi.

  • Hizmet ve veri erişimine göre risk sınıflandırması
  • Gizlilik, erişim, loglama ve ihlal bildirimi hükümleri
  • SLA/OLA ve güvenlik performans beklentileri
  • Alt yüklenici ve bulut hizmeti kontrolleri

İzleme ve çıkış

Güvence, sözleşme imzasında sona ermedi; hizmet süresince kanıt, bulgu ve değişiklikler düzenli biçimde izlendi.

  • Periyodik uygunluk ve güvenlik kanıtı güncellemesi
  • Zafiyet ve penetrasyon testi bulgu takibi
  • API anahtarı, entegrasyon ve kayıt güvenliği
  • Sözleşme sonunda veri iadesi, imha ve erişim kapatma

İş sürekliliği ve olay müdahalesi

Bilgi güvenliği, yalnızca yetkisiz erişimi önlemek değil; kesinti veya saldırı sonrasında kritik teslimat operasyonunu kabul edilebilir sürelerde sürdürebilmek olarak ele alındı.

01

İş etki analizi

Kritik süreç, sistem, veri, personel ve tedarikçi bağımlılıkları belirlendi.

02

RTO ve RPO hedefleri

Kurtarma süreleri ve kabul edilebilir veri kaybı hedefleri iş ihtiyaçlarıyla ilişkilendirildi.

03

Yedekleme ve felaket kurtarma

Yedeklerin güvenliği, geri dönüşü ve alternatif çalışma senaryoları düzenli test edildi.

04

Olay müdahale planları

Teknik, hukuki, operasyonel ve iletişim rolleri senaryo bazlı playbook'larda tanımlandı.

05

Tabletop ve teknik tatbikat

Karar zinciri ve kurtarma adımları gerçek olaydan önce kontrollü senaryolarla sınandı.

06

Öğrenme ve iyileştirme

Olay ve tatbikat sonuçları kök neden ve düzeltici faaliyet sürecine aktarıldı.

3.000 çalışanla sürdürülebilir farkındalık

Bilgi güvenliğinin yalnızca teknik ekiplerin sorumluluğu olmadığı yaklaşımı; genel, rol bazlı ve yöneticilere özel eğitimlerle kurum geneline yayıldı.

Genel farkındalık

Parola, sosyal mühendislik, veri paylaşımı ve olay bildirimi temel davranışlara dönüştürüldü.

Rol bazlı eğitim

BT, yazılım, operasyon, insan kaynakları ve yönetici rolleri için farklı içerikler uygulandı.

Phishing simülasyonu

Kullanıcı davranışı ölçüldü; riskli gruplar hedefli mikro eğitimlerle desteklendi.

Bilgi testleri

Eğitim katılımının yanında anlama ve davranış değişimi de ölçüm kapsamına alındı.

Sürekli iletişim

Güncel tehditler, olaylardan öğrenilenler ve kısa hatırlatmalar düzenli olarak paylaşıldı.

Yönetici sahipliği

Ekiplerin eğitim ve kontrol performansı yönetim raporlamasına dahil edildi.

Sertifikadan daha fazlası: çalışan güvenlik sistemi

Proje sonunda bilgi varlıkları, riskler, kontroller, sorumlular ve kanıtlar aynı yönetim döngüsünde birleştirildi; sertifikasyon bu sistemin dış denetimle doğrulanan çıktısı oldu.

ISO/IEC 27001:2022

Akredite sertifikasyon denetimi için gerekli BGYS yapısı ve kanıt seti oluşturuldu.

Risk temelli yönetim

Güvenlik yatırımları iş etkisi, tehdit ve artık risk üzerinden önceliklendirildi.

Merkezî görünürlük

Varlık, bulgu, olay, tedarikçi ve kontrol durumu yönetim seviyesinde görünür hale geldi.

Operasyonel dayanıklılık

Kritik lojistik süreçlerinin olay ve kesintilere karşı hazırlığı güçlendirildi.

Denetlenebilir kanıt

Politika, uygulama kaydı, test ve yönetim kararları izlenebilir bir kanıt zincirine bağlandı.

Sürekli iyileştirme

İç tetkik, YGG, KPI ve düzeltici faaliyet döngüsü BGYS işletimine yerleştirildi.

Kurum ve danışmanlık ekiplerinin ortak çalışması

Dönüşüm, Kolay Gelsin süreç sahipleri ile Nesil Teknoloji'nin BGYS ve güvenlik uzmanlığının aynı uygulama planında buluşmasıyla yürütüldü.

Özkan Yılmaz

Kolay Gelsin · Proje Yöneticisi

Murat Kaya

Nesil Teknoloji · Proje Lideri

Uygar Yasin Aydın

Nesil Teknoloji · ISO 27001 Başdenetçisi ve Güvenlik Danışmanı

Proje kapsamı ve sayısal bilgiler sağlanan referans içeriğe dayanmaktadır. Bu içerik bir başarı hikâyesidir; sertifikasyon kuruluşu beyanı veya hukuki danışmanlık niteliği taşımaz. Kuruma özel güvenlik yapılandırmaları ve teknik mimari ayrıntıları gizlilik gereği genel çerçevede aktarılmıştır.