Sistem kâğıtta var, sahada yok
Politikalar bir klasörde, kayıtlar dağınık Excel’lerde. Denetim yaklaşınca herkes klasör doldurmaya koşuyor; denetçi gidince sistem yeniden uykuya dalıyor.
ISO/IEC 27001:2022 bilgi güvenliği yönetim sisteminin tüm yapı taşları tek web platformunda: El Kitabı, 93 Ek A kontrolü ve SoA, risk kaydı, belge yönetimi ve elektronik onay, DÖF, iç tetkik, YGG, olay bildirimi, farkındalık sınavı ve tamamen offline çalışan AI asistan. Denetime her gün hazır; veriler kendi sunucunuzda.
Aşağıdaki altı maddeden en az ikisini yaşıyorsanız, sorun standartta değil — BGYS'yi kâğıt üzerinde yönetme biçiminizdedir.
Politikalar bir klasörde, kayıtlar dağınık Excel’lerde. Denetim yaklaşınca herkes klasör doldurmaya koşuyor; denetçi gidince sistem yeniden uykuya dalıyor.
Hangi kontrol uygulanıyor, kanıtı nerede, SoA güncel mi — kimse emin değil. Son hafta gece mesaisiyle toparlanan bir sistem, gerçek bir yönetim sistemi değildir.
Word dosyaları e-postayla dolaşıyor; "politika_v3_SON_yeni.docx" hangi onayla yürürlükte, kimse bilmiyor. Revizyon geçmişi ve onay izi yok.
Düzeltici faaliyet bir e-postada söz olarak kalıyor. Kök neden, faaliyet ve etkinlik doğrulaması (10.2) izlenmediği için aynı bulgu her denetimde yeniden çıkıyor.
İsim vermek zorunda kalan çalışan, gördüğü güvenlik zafiyetini bildirmemeyi seçiyor. Olaylar yönetime hiç ulaşmadan büyüyor.
Ekran görüntüleri masaüstlerinde, tutanaklar çekmecelerde. Denetçi "gösterin" dediğinde kanıt aramak, kanıt üretmekten uzun sürüyor.
Hazır içerikle kur, riskini değerlendir, belgeni onayla, sistemini izle — denetim provasıyla her an hazır ol. PUKÖ döngüsü platformda fiilen döner.
Madde 4–10 El Kitabı, 93 Ek A kontrolü, örnek politika/prosedür/standart/kılavuz ve form kütüphanesiyle sistem ilk günden dolu başlar. Sıfırdan belge yazmazsınız; kurumunuza uyarlarsınız.
Riskleri olasılık × etki ile puanlayın, ısı haritasında görün. Her kontrol için SoA kararını verin; "uygulanmıyor" derseniz sistem gerekçe ister — denetçinin soracağını platform önce sorar.
Belgeler antetli editörde yazılır, atanan onaycı elektronik imzayla (sha256 damga) onaylar. Görevler, DÖF’ler ve kanıtlar ilgili kontrole bağlanır; her yazma işlemi değişmez denetim izine düşer.
İç tetkik ve bulgu yönetimi, YGG (9.3) girdileriyle yönetim gözden geçirme, güvenlik KPI panosu ve farkındalık sınavı — sistemin yaşadığını gösteren kayıtlar kendiliğinden birikir.
Denetim Provası, denetçi sorularını cevap ve belgeleriyle eşleştirir; offline AI asistan "bu kontrol için ne gerekli?" sorusuna kitaptan cevap verir. SoA, GAP, El Kitabı ve risk raporları tek tıkla PDF olur.
Her modül standardın bir şartına karşılık gelir. Süslemek için değil; kanıtlamak, izlemek ve denetimden geçmek için var.
Madde 4–10 El Kitabı ve tüm Ek A kontrolleri; her kontrolde yeni başlayana anlatım, denetçi ipucu ve içi dolu örnek kanıt şablonu.
Uygulanabilirlik Bildirgesi tek ekranda: uygulanıyor/uygulanmıyor kararı, zorunlu gerekçe, kanıt ve belge bağları. SoA raporu tek tıkla PDF.
Olasılık × etki skorlu risk kaydı, ısı haritası, kontrol ve belge/DÖF bağlantıları. Tamamlananlar yıla göre arşivlenir; rapor PDF alınır.
Antetli WYSIWYG editör; her kayıt yeni revizyondur, sürüm otomatik artar. Onay = sha256 damgalı elektronik imza; onaylı içerik değişirse onay düşer.
Kök neden, faaliyet ve ayrı etkinlik doğrulama adımıyla (10.2d) uygunsuzluk kapatma. Doğrulamayı yalnız yönetici verir; iz kayıt altındadır.
Tetkik planı, bulgular ve bulgudan DÖF açma; YGG toplantısı 9.3.2 girdilerinin tamamı ele alınmadan kapatılamaz — standart platformda zorlanır.
Çalışan olayı isterse tamamen anonim bildirir — kimlik denetim izine ve IP’ye bile yazılmaz. Bildirme cesareti korunur, olaylar görünür olur.
Yapay zekâ asistanı tamamen kurum içinde çalışır, veri dışarı çıkmaz. Denetim Provası denetçi sorularını cevap ve belgelerle eşleştirir; sınav modülü farkındalığı ölçer.
Bilgi güvenliğini sistemle yönetmek; denetim, operasyon ve ekip olgunluğunun üçünde birden kazandırır.
Kanıt, kayıt ve belgeler günlük işin içinde birikir. Denetim öncesi panik ve gece mesaisi biter; hazırlık bir rapor butonudur.
Politika, risk, kanıt ve bulgular tek platformda birbirine bağlı. "Hangi sürüm geçerli?" sorusu ortadan kalkar.
Kim, neyi, ne zaman değiştirdi — değişmez denetim izinde. Elektronik onaylar sha256 ile mühürlenir, sonradan oynanamaz.
Platform kendi sunucunuzda çalışır; AI asistan dahil hiçbir veri dışarı çıkmaz. KVKK ve veri ikametgâhı tarafı baştan temizdir.
Her kontrolde anlatım, örnek kanıt ve kılavuzlar; farkındalık sınavı ve öğretici içerikle BGYS bir danışman tekelinden ekip becerisine dönüşür.
DÖF doğrulama, YGG ve KPI döngüsü standardın istediği sürekli iyileştirmeyi (PUKÖ) fiilen çalıştırır — kâğıt üzerinde değil.
Her senaryo denetim masasında sorulmuş gerçek bir sorudur — cevap, aranan bir klasör değil, platformdaki bir ekrandır.
"Parola yönetimi kontrolünün uygulandığını nasıl kanıtlarsınız?"
Sonuç: Kontrol sayfası açılır: SoA kararı, bağlı politika/standart belgeleri, yüklenmiş kanıtlar ve denetim izi tek ekranda. Denetim Provası bu soruyu zaten cevabıyla eşleştirmiştir.
"Erişim politikasını revize ettik; kim onayladı, hangi sürüm yürürlükte?"
Sonuç: Editörde kayıt yeni revizyon açar, belge onaya düşer. Atanan onaycı elektronik imzayla onaylar; sha256 damga içeriği mühürler. İçerik sonradan değişirse onay otomatik düşer.
"Bulgu için DÖF açtık ama gerçekten kapandığını nasıl göstereceğiz?"
Sonuç: Bulgudan DÖF açılır: kök neden + faaliyet + ayrı etkinlik doğrulama adımı. "Doğrulandı" durumunu yalnız yönetici, iş bittikten sonra verebilir — 10.2’nin istediği kanıt zinciri hazırdır.
"Personel, yöneticisini zor durumda bırakmaktan çekindiği için olayı bildirmiyor."
Sonuç: Anonim bildirim kanalı kimliği hiçbir yerde saklamaz — denetim izine ve IP’ye bile yazılmaz. Olay yönetime ulaşır, müdahale ve ders çıkarma kaydı platformda ilerler.
Mevcut durumunuzu (sertifika hedefi, kapsam, ekip) birlikte çıkaralım. Kurulum, içerik uyarlaması ve denetim hazırlığı — 30 dakikalık bir keşif görüşmesiyle başlar.