Uyumluluk Raporu

ISO 27001 Uyumluluk Raporu

Bilgi Güvenliği Yönetim Sistemi İçin Belge Yönetimi Kontrolleri

v1.0 — Şubat 2026

ISO 27001 Nedir?

ISO/IEC 27001:2022 — ISMS

ISO/IEC 27001:2022, Uluslararası Standardizasyon Örgütü (ISO) ve Uluslararası Elektroteknik Komisyonu (IEC) tarafından yayımlanan, bilgi güvenliği yönetim sistemi (BGYS / ISMS) gereksinimleri standardıdır. Dünya genelinde en yaygın kabul gören bilgi güvenliği sertifikasyon standardıdır.

ISO 27001, kuruluşların bilgi varlıklarını sistematik olarak korumasını sağlayan bir yönetim çerçevesi sunar. Standard, risk değerlendirme, güvenlik kontrolleri, sürekli iyileştirme ve düzenli denetim süreçlerini kapsar.

Türkiye'de TSE (Türk Standardları Enstitüsü) ve TÜRKAK akreditasyonlu belgelendirme kuruluşları tarafından verilen ISO 27001 sertifikaları, IAF (International Accreditation Forum) üyeliği sayesinde 100'den fazla ülkede uluslararası geçerliliğe sahiptir.

Bu rapor, YesPDF'in ISO 27001 Ek A kontrollerini nasıl desteklediğini madde madde açıklar.

ISO 27001:2022 Yapısı

ISO 27001:2022 standardı iki ana bölümden oluşur:

Madde 4-10: BGYS Gereksinimleri

Organizasyonel bağlam, liderlik, planlama, destek, operasyon, performans değerlendirme ve iyileştirme süreçlerini tanımlar.

Ek A: Bilgi Güvenliği Kontrolleri

93 kontrol, 4 kategoride: Organizasyonel (37), Kişisel (8), Fiziksel (14) ve Teknolojik (34). Kuruluşlar risk değerlendirmesine göre uygulanacak kontrolleri seçer.

İlgili Ek A Kontrolleri ve YesPDF Çözümleri

Aşağıda, belge yönetimiyle doğrudan ilgili ISO 27001:2022 Ek A kontrolleri ve YesPDF'in bu kontrolleri nasıl desteklediği açıklanmaktadır.

A.5.15 — Erişim Kontrolü

Bilgi ve bilgi işleme tesislerine erişimi kısıtlamak için fiziksel ve mantıksal erişim kontrol kuralları oluşturulmalı ve uygulanmalıdır.

✅ YesPDF Çözümü

  • Rol Bazlı Erişim Kontrolü (RBAC): Yönetici, editör, görüntüleyici ve departman bazlı roller ile granüler yetkilendirme.
  • En Az Yetki İlkesi: Kullanıcılar yalnızca görevleri için gerekli belgelere erişebilir.
  • LDAP/Active Directory Entegrasyonu: Kurumun mevcut kimlik doğrulama altyapısıyla merkezi erişim yönetimi.
  • IP Kısıtlama: Belgelere yalnızca belirlenen ağ segmentlerinden erişim izni verilebilir.

A.5.33 — Kayıtların Korunması

Kayıtlar, yasal, düzenleyici, sözleşmesel ve iş gereksinimlerine uygun olarak kayıp, imha, tahrifat ve yetkisiz erişime karşı korunmalıdır.

✅ YesPDF Çözümü

  • AES-256 Şifreleme: Tüm belgeler depolama ve aktarım sırasında şifrelenir.
  • Saklama Politikaları: Belge türüne göre otomatik saklama süreleri tanımlanabilir.
  • Saklama Kilidi: Süresi dolmadan belgelerin silinmesi engellenebilir.
  • Güvenli İmha: Saklama süresi dolan belgeler güvenli şekilde silinir ve imha kaydı tutulur.

A.5.34 — Gizlilik ve Kişisel Bilgi Koruması

Kuruluş, ilgili mevzuat ve düzenlemelere uygun olarak kişisel bilgilerin gizliliğini ve korunmasını sağlamalıdır.

✅ YesPDF Çözümü

  • On-Premise Mimari: Kişisel veriler kurum altyapısı dışına çıkmaz — KVKK/GDPR uyumluluğu desteklenir.
  • Kalıcı Karartma (Redaction): Kişisel bilgiler belgelerden geri dönüşümsüz olarak kaldırılabilir.
  • Toplu Karartma: Birden fazla belgede kişisel verilerin aynı anda karartılması.
  • Veri Minimizasyonu: YesPDF yalnızca belge yönetimi için gerekli verileri toplar.

A.8.3 — Bilgiye Erişim Kısıtlama

Bilgiye ve uygulama sistem fonksiyonlarına erişim, erişim kontrol politikasına uygun olarak kısıtlanmalıdır.

✅ YesPDF Çözümü

  • Dosya Düzeyinde İzinler: Her belge için okuma, düzenleme, indirme ve yazdırma izinleri ayrı ayrı tanımlanabilir.
  • Departman Bazlı Erişim: Departmanlar arası belge erişimi politikalarla kontrol edilir.
  • Otomatik Oturum Sonlandırma: Belirlenen süre sonunda aktif olmayan oturumlar kapatılır.
  • Benzersiz Kullanıcı Kimliği: Paylaşılan hesap kullanımı engellenir.

A.8.4 — Kaynak Koduna Erişim

Kaynak koduna, geliştirme araçlarına ve yazılım kütüphanelerine okuma ve yazma erişimi uygun şekilde yönetilmelidir.

✅ YesPDF Çözümü

  • On-Premise Dağıtım: YesPDF kurumun kendi sunucusunda çalışır — kaynak koda üçüncü taraf erişimi yoktur.
  • Yönetim Paneli Kısıtlaması: Sistem yapılandırması ve yönetim paneli yalnızca yetkili yöneticilere açıktır.

A.8.9 — Konfigürasyon Yönetimi

Donanım, yazılım, hizmetler ve ağların güvenlik konfigürasyonları oluşturulmalı, belgelenmeli, uygulanmalı, izlenmeli ve gözden geçirilmelidir.

✅ YesPDF Çözümü

  • Merkezi Yapılandırma: Tüm güvenlik ayarları yönetim panelinden merkezi olarak yönetilir.
  • Yapılandırma Değişiklik Kaydı: Sistem ayarlarındaki değişiklikler denetim günlüğünde kaydedilir.
  • .env Tabanlı Yapılandırma: Hassas yapılandırma değerleri (şifreleme anahtarı, veritabanı bağlantısı) güvenli yapılandırma dosyasında saklanır.

A.8.10 — Bilgi Silme

Bilgi sistemlerinde, cihazlarda ve diğer depolama ortamlarında saklanan bilgiler artık gerekli olmadığında silinmelidir.

✅ YesPDF Çözümü

  • Otomatik Saklama Süreleri: Belge türüne göre saklama politikaları tanımlanabilir.
  • Güvenli Silme: Süresi dolan belgeler güvenli şekilde imha edilir.
  • İmha Kaydı: Silinen belgelerin imha kayıtları tutulur — denetim için kanıt sağlar.
  • Toplu Silme: Saklama süresi dolan belgeler toplu olarak işlenebilir.

A.8.11 — Veri Maskeleme

Veri maskeleme, erişim kontrol politikası ve iş gereksinimlerine uygun olarak uygulanmalıdır.

✅ YesPDF Çözümü

  • Kalıcı Karartma: TCKN, adres, sağlık bilgileri ve diğer hassas veriler belgelerden geri dönüşümsüz olarak kaldırılabilir.
  • Karartma Doğrulama: Karartılan verilerin gerçekten kaldırıldığı doğrulanır — metadata sızıntısı olmaz.
  • Seçici Karartma: Farklı alıcılar için farklı karartma seviyeleri uygulanabilir.
  • Karartma Şablonları: Tekrar eden karartma işlemleri için şablonlar oluşturulabilir.

A.8.12 — Veri Sızıntısı Önleme

Veri sızıntısı önleme tedbirleri, hassas bilgi işleyen, saklayan veya ileten sistemlere, ağlara ve diğer cihazlara uygulanmalıdır.

✅ YesPDF Çözümü

  • İndirme/Yazdırma Kısıtlaması: Belge bazında indirme ve yazdırma işlemleri engellenebilir.
  • Filigran (Watermark): Belgelere kullanıcı bilgisi içeren görünür veya görünmez filigran eklenebilir.
  • PDF İzin Kısıtlamaları: Kopyalama, düzenleme ve yazdırma izinleri PDF düzeyinde kontrol edilebilir.
  • Denetim İzleme: Tüm belge indirme ve paylaşım işlemleri kayıt altındadır.

A.8.15 — Günlük Tutma (Logging)

Aktiviteleri, istisnaları, hataları ve diğer ilgili olayları kaydeden günlükler üretilmeli, saklanmalı, korunmalı ve analiz edilmelidir.

✅ YesPDF Çözümü

  • Kapsamlı Denetim Günlüğü: Her belge erişimi, düzenleme, indirme, yazdırma ve paylaşım işlemi otomatik olarak kaydedilir.
  • Değiştirilemez Kayıtlar: Denetim kayıtları değiştirilemez ve silinemez.
  • Detaylı İzleme: Kullanıcı ID, zaman damgası, belge adı, işlem türü, IP adresi ve cihaz bilgisi kaydedilir.
  • Raporlama ve Analiz: Kullanıcı, belge veya zaman aralığı bazında erişim raporları oluşturulabilir.

A.8.24 — Kriptografi Kullanımı

Kriptografi kullanımına ilişkin kurallar (anahtar yönetimi dahil) tanımlanmalı ve uygulanmalıdır.

✅ YesPDF Çözümü

  • AES-256 Şifreleme: Depolama sırasında tüm belgeler AES-256 ile şifrelenir.
  • Merkezi Anahtar Yönetimi: Şifreleme anahtarı güvenli yapılandırma dosyasında saklanır ve tüm sunucularda tutarlıdır.
  • PDF Şifreleme: Bireysel PDF dosyaları ek parola ile korunabilir.
  • Dijital İmza: Belge bütünlüğü ve kaynak doğrulaması için dijital imza desteği.

A.8.25 — Güvenli Geliştirme Yaşam Döngüsü

Yazılım ve sistemlerin güvenli geliştirilmesi için kurallar oluşturulmalı ve uygulanmalıdır.

✅ YesPDF Çözümü

  • Güvenli Tasarım: YesPDF, OWASP güvenlik ilkelerine uygun olarak geliştirilmiştir.
  • Düzenli Güvenlik Güncellemeleri: Güvenlik yamaları ve güncellemeler düzenli olarak yayınlanır.
  • Güvenlik Testleri: Her sürüm öncesi güvenlik testleri (penetrasyon testi dahil) gerçekleştirilir.

Türkiye'de ISO 27001 ve BGYS

ISO 27001 sertifikasyonu Türkiye'de özellikle aşağıdaki sektörler için kritik öneme sahiptir:

Kamu Kurumları

Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından yayımlanan Bilgi ve İletişim Güvenliği Rehberi, kamu kurumlarına ISO 27001 uyumluluğu önerir.

Finans Sektörü

BDDK (Bankacılık Düzenleme ve Denetleme Kurumu) düzenlemeleri, bankaların ve finansal kuruluşların bilgi güvenliği yönetim sistemi kurmasını zorunlu kılar.

Sağlık Sektörü

Sağlık Bakanlığı düzenlemeleri, hasta verilerinin korunması için bilgi güvenliği standartlarına uyumu gerektirir.

Telekomünikasyon

BTK (Bilgi Teknolojileri ve İletişim Kurumu) düzenlemeleri, operatörlerin bilgi güvenliği kontrollerini uygulamasını zorunlu kılar.

Savunma ve Kritik Altyapı

Savunma sanayii ve kritik altyapı operatörleri için ISO 27001 sertifikasyonu genellikle zorunlu bir ihale kriteridir.

Türkiye'de ISO 27001 sertifikaları TSE ve TÜRKAK akreditasyonlu belgelendirme kuruluşları tarafından verilir. Bu sertifikalar IAF MLA (Multilateral Recognition Arrangement) kapsamında uluslararası geçerliliğe sahiptir.

On-Premise ve Bulut Karşılaştırması

ISO 27001 uyumluluğu açısından on-premise ve bulut çözümlerin karşılaştırması:

Kriter YesPDF (On-Premise) Bulut PDF Araçları
Veri Konumu (A.5.23)Kurumun kendi sunucusu — tam kontrolÜçüncü taraf veri merkezi — sınırlı kontrol
Tedarikçi Riski (A.5.21)Minimum — veri dışarı çıkmazTedarikçi güvenlik denetimi gerekli
Erişim Kontrolü (A.5.15)Kurumun BGYS politikalarına tam entegreSağlayıcı politikalarına bağımlı
Günlük Tutma (A.8.15)Tüm loglar yerel — doğrudan denetimSağlayıcıdan log talep etme gerekli
Kriptografi (A.8.24)Anahtar yönetimi kurum kontrolündeSağlayıcı anahtar yönetimi
Konfigürasyon (A.8.9)Tam özelleştirmeSınırlı yapılandırma seçenekleri
Veri Sızıntısı Önleme (A.8.12)Kurumun DLP politikalarıyla entegreSınırlı DLP seçenekleri

Uygulanabilirlik Bildirgesi (SoA) Desteği

ISO 27001 sertifikasyonu sürecinde kuruluşlar Uygulanabilirlik Bildirgesi (Statement of Applicability — SoA) hazırlamalıdır. YesPDF, SoA'da belge yönetimiyle ilgili kontrollerin uygulandığını kanıtlamak için gerekli teknik altyapıyı sağlar:

  • Erişim kontrol politikalarının uygulandığının kanıtı (RBAC yapılandırma kayıtları)
  • Denetim kayıtlarının tutulduğunun kanıtı (değiştirilemez audit logları)
  • Şifreleme kontrollerinin uygulandığının kanıtı (AES-256 yapılandırma)
  • Veri maskeleme/karartma yeteneklerinin kanıtı
  • Saklama ve imha politikalarının uygulandığının kanıtı
  • Konfigürasyon yönetimi kayıtları

ISO 27001 Uyumluluk Kontrol Listesi

YesPDF ile ISO 27001 Ek A kontrollerini desteklemek için:

  1. 1
    Varlık envanterine ekleyin

    YesPDF'i bilgi varlıkları envanterinize ekleyin ve varlık sahibi atayın (A.5.9).

  2. 2
    Risk değerlendirmesi yapın

    YesPDF üzerinde işlenen belge türlerini ve ilgili riskleri değerlendirin (A.5.12).

  3. 3
    Erişim politikalarını yapılandırın

    RBAC rolleri ve izinleri tanımlayarak en az yetki ilkesini uygulayın (A.5.15, A.8.3).

  4. 4
    Denetim kayıtlarını aktifleştirin

    Tüm belge erişimlerinin loglanmasını sağlayın ve düzenli gözden geçirme planı oluşturun (A.8.15).

  5. 5
    Şifrelemeyi doğrulayın

    AES-256 şifrelemenin aktif olduğunu doğrulayın ve anahtar yönetim prosedürünü belirleyin (A.8.24).

  6. 6
    Saklama politikalarını tanımlayın

    Belge türlerine göre saklama süreleri belirleyin ve otomatik uyarıları aktifleştirin (A.5.33, A.8.10).

  7. 7
    Karartma prosedürlerini oluşturun

    Kişisel veri içeren belgelerin paylaşımı için karartma standart prosedürü belirleyin (A.8.11).

  8. 8
    Yedekleme planını doğrulayın

    Düzenli yedekleme alındığını ve kurtarma prosedürlerinin test edildiğini doğrulayın (A.8.13).

  9. 9
    Personel farkındalık eğitimi verin

    Bilgi güvenliği farkındalığı ve YesPDF güvenli kullanımı hakkında eğitim verin (A.6.3).

  10. 10
    İç denetim gerçekleştirin

    Belge yönetimi kontrollerinin etkinliğini düzenli olarak denetleyin ve SoA'yı güncelleyin.

Özet

YesPDF, on-premise mimarisi, kapsamlı erişim kontrolü, değiştirilemez denetim kayıtları, AES-256 şifreleme, kalıcı karartma, veri sızıntısı önleme kontrolleri ve esnek saklama politikalarıyla kuruluşların ISO 27001:2022 Ek A kontrollerini karşılamasını destekler. On-premise yapı sayesinde veriler kurum kontrolünde kalır, tedarikçi riski minimize edilir ve kuruluşun BGYS'sine doğal olarak entegre olur. Türkiye'de TSE/TÜRKAK sertifikasyonu uluslararası geçerliliğe sahiptir.

Teknik Destek

ISO 27001 uyumluluğu ve YesPDF yapılandırması hakkında:

Bu doküman YesPDF teknik ekibi tarafından hazırlanmıştır. Bu rapor hukuki veya denetim danışmanlığı niteliği taşımaz. ISO 27001 sertifikasyon hazırlığı için kurumunuzun bilgi güvenliği danışmanına ve akreditasyonlu belgelendirme kuruluşuna başvurmanızı öneririz.