ISO/IEC 27001, kurumsal bilgilerin gizliliği, bütünlüğü ve erişilebilirliğini korumaya yönelik bir yönetim sistemidir. Bu denetim kapsamında bilgi güvenliği politikaları, risk değerlendirme süreci, varlık envanteri, erişim kontrol sistemleri ve iş sürekliliği planlarının varlığı ve uygulanabilirliği değerlendirilir. Ayrıca fiziksel güvenlik önlemleri, üçüncü taraflarla yapılan bilgi güvenliği sözleşmeleri, kullanıcı eğitimleri ve düzenli iç denetimlerin uygulanma düzeyi analiz edilir. Belgelendirme süreci öncesinde yapılan bu denetim, eksik veya uygunsuz alanların tespit edilmesini sağlar. ISO 27001’e tam uyum, kurumsal itibarı artırmakla kalmaz, veri ihlallerine karşı hukuki koruma da sunar.
Kurumsal ağ altyapısının dış tehditlere ve iç risklere karşı ne ölçüde güvenli olduğu bu denetimin temelini oluşturur. Güvenlik duvarı (firewall), IDS/IPS sistemleri, VPN bağlantıları ve ağ segmentasyonu gibi kontroller detaylıca incelenir. Kullanıcıların ağ kaynaklarına erişim düzeyleri, kimlik doğrulama yöntemleri (MFA gibi) ve yetkilendirme politikaları analiz edilir. Aynı zamanda eski cihazlar, varsayılan şifreler ve açık portlar gibi siber güvenlik zafiyetleri tespit edilir. Denetim sonucunda ağın saldırılara karşı dayanıklılığı ölçülür ve iyileştirme önerileri sunulur.
Kurumsal verilerin olası bir siber saldırı, doğal afet veya sistemsel arıza durumunda kaybolmadan korunabilmesi için oluşturulan yedekleme ve kurtarma planları denetlenir. Yedekleme sıklığı, kullanılan yazılımlar, test sıklığı, veri merkezi yedekliliği ve kurtarma süre hedefleri (RTO, RPO) bu denetimin temel inceleme alanlarıdır. Ayrıca felaket kurtarma senaryoları karşısında kurumun operasyonel olarak ne kadar süre içinde normale dönebileceği analiz edilir. Test edilmiş ve belgelenmiş DRP planları, kurumsal dayanıklılığı artırır ve regülasyonlara uyum sağlar.
Kurumsal bilgi sistemlerinde kullanılan tüm yazılımların envanteri oluşturularak, lisanslı ve lisanssız kullanım durumları tespit edilir. Bu denetim, hem maliyet optimizasyonunu sağlamak hem de yasal riskleri azaltmak adına kritik öneme sahiptir. Lisans sözleşmelerinin süreleri, kullanıcı sınırları, güncelleme hakları ve kullanım şartları incelenir. Ayrıca açık kaynak yazılımlar için lisans uyumluluğu kontrol edilir. Yazılım varlık yönetimi (SAM) süreci kurumsallaştırılarak, BT kaynaklarının etkin ve şeffaf biçimde yönetilmesi sağlanır.
Kullanıcıların sistemlere erişimini düzenleyen dijital kimlik yönetim süreçleri, siber güvenliğin temel katmanlarından biridir. Bu denetim kapsamında Active Directory yapısı, kullanıcı grupları, parola politikaları, oturum süresi sınırları ve merkezi kimlik doğrulama sistemleri değerlendirilir. Ayrıca eski kullanıcı hesaplarının silinip silinmediği, departman değişikliklerinde erişim haklarının güncellenip güncellenmediği gibi konular incelenir. Sızma testleriyle birlikte, yönetici hesaplarına dair özel riskler de analiz edilir. Sonuç olarak şirketin veri kaynaklarına sadece yetkili kişilerin eriştiği güvenli bir ortam sağlanır.
