ISO 42001 Belgesi Nasıl Alınır? Adım Adım Süreç
ISO 42001 belgesi nasıl alınır sorusunun yanıtı, planlı bir yönetim sistemi kurulumundan geçer. Süreç; kapsam belirleme, gap analizi, dokümantasyon, iç denetim ve akredite kuruluş denetimi adımlarını izler. Bu rehberde ISO 42001 belgelendirme sürecinin her adımını, tahmini süreleri ve maliyet unsurlarını bulacaksınız. Standardı henüz tanımıyorsanız önce ISO 42001 nedir rehberimizi okuyun.
1. Başlangıç: kapsam ve liderlik desteği
Belgelendirme yolculuğu üst yönetim kararıyla başlar. Bu aşamada:
- AIMS kapsamını belirlersiniz: hangi AI sistemleri, hangi birimler, hangi lokasyonlar (Madde 4.3).
- İç/dış tarafların beklentilerini analiz edersiniz: müşteri denetimleri, EU AI Act, KVKK (Madde 4.2).
- AI politikasını ve üst yönetim taahhüdünü yayınlarsınız (Madde 5.1–5.2).
- Rolleri atarsınız: AIMS sorumlusu, risk sahipleri, iç denetçi adayları (Madde 5.3).
Kapsamı dar tutmak ilk belgelendirmede meşru bir stratejidir; kritik AI sistemleriyle başlayıp sonraki yıllarda genişletebilirsiniz.
2. Gap analizi
Mevcut durumunuzu standardın gereksinimleriyle karşılaştırırsınız. Çıktı: madde madde uyum durumu, eksik listesi ve önceliklendirilmiş aksiyon planı. Hızlı bir ilk ölçüm için ücretsiz gap analizi aracımızı kullanabilirsiniz — 25 soru, 10 dakika, anında skor.
3. AIMS dokümantasyonu
Zorunlu dokümantasyon çekirdeği:
| Doküman | İçerik | Dayanak |
|---|---|---|
| Kapsam beyanı | Sistemler, birimler, sınırlar | Madde 4.3 |
| AI politikası | İlkeler, taahhütler, etik çerçeve | Madde 5.2 |
| Risk metodolojisi | Değerlendirme kriterleri, kabul eşiği | Madde 6.1 |
| AI etki değerlendirmesi | Birey/toplum etkileri | Madde 6.1.4 |
| AI sistem envanteri | Sistem, amaç, veri, risk seviyesi | Ek A |
| Uygulanabilirlik Bildirgesi (SoA) | 38 kontrolün uygulanma/dışlanma gerekçesi | Madde 6.1.3 |
| Hedefler ve KPI’lar | Ölçülebilir AI hedefleri | Madde 6.2 |
Şablondan kopyalanan, kuruluşa uyarlanmamış dokümantasyon denetimde en sık düşülen hatadır. Denetçi belgeyi değil, belgenin yaşadığını arar.
4. Uygulama ve iç denetim
Dokümante ettiğiniz kontrolleri fiilen işletir, kanıt toplarsınız: eğitim kayıtları, risk değerlendirme çıktıları, izleme logları, tedarikçi sözleşme maddeleri. Ardından eğitimli iç denetçilerle iç denetim yaparsınız (Madde 9.2). İç denetim bulguları, dış denetimden önce düzeltme şansınızdır.
5. Yönetim gözden geçirmesi
Üst yönetim, AIMS performansını gündemli bir toplantıda değerlendirir (Madde 9.3): denetim sonuçları, KPI’lar, riskler, kaynak ihtiyaçları. Girdi ve çıktılar kayıt altına alınır. Aşama 1 denetiminden önce en az bir tur tamamlanmış olmalıdır.
6. Belgelendirme kuruluşu seçimi
Belgeyi danışman değil, akredite belgelendirme kuruluşu verir. Seçim kriterleri:
- TÜRKAK veya uluslararası (IAF üyesi) akreditasyon — ISO/IEC 42001 kapsamında
- Sektörünüzde denetim deneyimi
- Denetçi kadrosunda AI yetkinliği
- Teklifte adam-gün ve toplam maliyetin şeffaflığı
Tarafsızlık gereği aynı kuruluş hem danışmanlık hem belgelendirme veremez. ISO’nun belgelendirme sayfası kurumsal çerçeveyi açıklar.
7. Aşama 1: doküman denetimi
Denetçi, AIMS dokümantasyonunuzun standardı karşılayıp karşılamadığını inceler; genelde 5–10 iş günü içinde raporlanır. Çıktı: Aşama 2’ye hazırlık durumu + varsa endişe alanları. Küçük eksikler burada yakalanır ve Aşama 2’den önce kapatılır.
8. Aşama 2: saha denetimi
Denetçi sahada (veya uzaktan) uygulamanın kanıtlarını inceler: personelle görüşmeler, kayıt örnekleri, kontrol testleri. Sonuç üç türde bulgu olabilir:
- Majör uygunsuzluk — sertifikayı engeller, kapsamlı düzeltme + doğrulama gerekir
- Minör uygunsuzluk — düzeltici faaliyet planıyla ilerlenir
- Gözlem/iyileştirme fırsatı — bağlayıcı değil, izlenir
9. Bulgu kapatma ve sertifikasyon
Uygunsuzluklar için kök neden analizi + düzeltici faaliyet (DÖF) sunarsınız (Madde 10.1). Kuruluş kanıtları doğruladığında sertifika düzenlenir. Belge 3 yıl geçerlidir.
Süre tahmini ve maliyet unsurları
Tipik zaman çizelgesi (ISO 27001 deneyimi olan orta ölçekli kuruluş):
| Adım | Süre | Çıktı | Sorumlu |
|---|---|---|---|
| Kapsam + liderlik | 2–3 hafta | Kapsam beyanı, politika | Üst yönetim + AIMS sorumlusu |
| Gap analizi | 1–2 hafta | Eksik listesi, yol haritası | Danışman / iç ekip |
| Dokümantasyon | 4–8 hafta | AIMS doküman seti, SoA | AIMS sorumlusu |
| Uygulama + kanıt | 6–10 hafta | Kayıtlar, eğitimler | Süreç sahipleri |
| İç denetim + YGG | 2–3 hafta | Denetim raporu, YGG kaydı | İç denetçi + üst yönetim |
| Aşama 1 | 1–2 hafta | Hazırlık raporu | Belgelendirme kuruluşu |
| Aşama 2 + kapatma | 2–6 hafta | Sertifika | Belgelendirme kuruluşu |
Maliyeti belirleyen unsurlar: çalışan sayısı ve kapsam (denetim adam-günü bunlarla ölçeklenir), AI sistem sayısı ve risk seviyesi, danışmanlık alıp almamanız, entegre denetim fırsatı. ISO 27001’iniz varsa entegrasyon avantajlarını ayrıca inceleyin.
Sertifika sonrası: gözetim denetimleri
Belgelendirme bitiş değil, döngü başlangıcıdır:
- Yıl 1 ve 2: gözetim denetimi (daha dar kapsamlı)
- Yıl 3: yeniden belgelendirme denetimi
- Sürekli: iç denetim programı, yönetim gözden geçirmesi, DÖF takibi (Madde 9–10)
Kapsam değişiklikleri (yeni AI sistemi, yeni kullanım alanı) planlı değerlendirme gerektirir (Madde 6.3).
Nasıl başlarsınız?
- Ücretsiz gap analiziyle mevcut durumunuzu 10 dakikada ölçün.
- Sonuç raporundaki zayıf alanlara göre yol haritanızı çıkarın.
- Süreci uzman eşliğinde yürütmek için ISO 42001 danışmanlık hizmetimizi inceleyin veya doğrudan teklif alın — 24 saat içinde dönüş yapıyoruz.