ISO 42001 Nedir? Yapay Zekâ Yönetim Sistemi Standardı

ISO 42001 nedir sorusu, yapay zekâyı ürünlerinde veya iş süreçlerinde kullanan her kuruluşun gündeminde. ISO/IEC 42001:2023, yapay zekâ yönetim sistemi (AIMS) kurmak, işletmek ve sürekli iyileştirmek için gereksinimleri tanımlayan ilk uluslararası yönetim sistemi standardıdır. Bu rehberde standardın kapsamını, Ek A kontrollerini, kimlere uygulandığını ve belgelendirmenin kuruluşunuza sağlayacağı avantajları bulacaksınız.

ISO 42001’in tanımı ve kapsamı

ISO/IEC 42001, kuruluşların yapay zekâ sistemlerini sorumlu, şeffaf ve yönetilebilir biçimde geliştirmesi, sunması veya kullanması için bir yönetim sistemi çerçevesi tanımlar. Standart, ISO ve IEC tarafından ortak yayımlanmıştır.

Kapsam üç tür kuruluşu içerir:

  • Yapay zekâ geliştiren kuruluşlar (model, ürün, platform)
  • Yapay zekâ sağlayan kuruluşlar (API, SaaS, entegrasyon)
  • Yapay zekâ kullanan kuruluşlar (hazır araçlar dâhil)

Standart teknolojiye değil, yönetim sistemine odaklanır. Hangi modeli kullandığınız değil; riskleri nasıl değerlendirdiğiniz, kararları nasıl belgelediğiniz ve insan gözetimini nasıl kurduğunuz denetlenir.

ISO/IEC 42001 tarihçesi: neden yayınlandı?

Standart Aralık 2023’te yayımlandı. Arka planda iki gelişme var:

  1. Regülasyon dalgası: EU AI Act ile Avrupa Birliği, yapay zekâya risk temelli yasal yükümlülükler getirdi. Tedarik zincirindeki Türk firmaları da bu yükümlülüklerin kanıtını sunmak zorunda kalıyor.
  2. Güven açığı: Kurumsal müşteriler ve denetçiler, tedarikçilerinin AI kullanımını sorgulamaya başladı. “AI’ı nasıl yönetiyorsunuz?” sorusuna belgeli yanıt gerekiyordu.

ISO 42001 bu iki ihtiyaca tek çerçevede yanıt verir: yönetişim kanıtı + uluslararası geçerli belge.

AIMS nedir? (AI Management System)

AIMS — yapay zekâ yönetim sistemi — kuruluşunuzun AI ile ilgili politika, süreç, rol ve kayıtlarının bütünüdür. ISO 9001’deki kalite yönetim sistemi ya da ISO 27001’deki BGYS’nin yapay zekâ karşılığıdır.

Tipik bir AIMS şunları içerir:

Bileşenİçerikİlgili madde
Kapsam beyanıHangi AI sistemleri, hangi birimlerMadde 4.3
AI politikasıEtik ilkeler, taahhütlerMadde 5.2
Risk metodolojisiOlasılık × etki, kabul kriterleriMadde 6.1
AI etki değerlendirmesiBirey ve toplum üzerindeki etkilerMadde 6.1.4
AI sistem envanteriSistem, amaç, veri, risk seviyesiEk A
Uygulanabilirlik Bildirgesi (SoA)Hangi kontroller, hangi gerekçeyleMadde 6.1.3
İzleme ve iç denetim kayıtlarıKPI, denetim bulguları, DÖFMadde 9–10

Plan-Do-Check-Act döngüsü

ISO 42001, diğer yönetim sistemi standartları gibi PDCA döngüsüne oturur:

  • Plan (Madde 4–6): Bağlamı ve paydaş beklentilerini belirleyin, kapsamı çizin, riskleri değerlendirin, hedefleri koyun.
  • Do (Madde 7–8): Kaynak ve yetkinlikleri sağlayın, kontrolleri uygulayın, AI yaşam döngüsünü yönetin.
  • Check (Madde 9): Performansı izleyin, iç denetim yapın, yönetim gözden geçirmesi yürütün.
  • Act (Madde 10): Uygunsuzlukları düzeltin, sistemi sürekli iyileştirin.

Bu yapı Annex SL ortak çerçevesidir; ISO 27001 veya 9001 uygulayan kuruluşlar aynı iskeleti tanıyacaktır.

Ek A: 38 kontrol

Standardın Ek A’sı, AIMS’in uygulama katmanını oluşturan 38 kontrolü 9 başlık altında toplar:

  1. A.2 — AI politikaları: Politikanın tanımı, gözden geçirilmesi
  2. A.3 — İç organizasyon: Roller, sorumluluklar, endişe bildirimi
  3. A.4 — AI kaynakları: Veri, araç, insan ve hesaplama kaynaklarının belgelenmesi
  4. A.5 — Etki değerlendirmesi: Birey, grup ve toplum üzerindeki etkiler
  5. A.6 — AI yaşam döngüsü: Tasarımdan devreden çıkarmaya planlı yönetim
  6. A.7 — AI için veri: Veri kalitesi, kaynağı, hazırlığı
  7. A.8 — İlgili taraflara bilgi: Şeffaflık, raporlama, kullanıcı bilgilendirme
  8. A.9 — AI kullanımı: Sorumlu kullanım, hedeflenen amaçla uyum
  9. A.10 — Üçüncü taraf ilişkileri: Tedarikçi ve müşteri sorumlulukları

Her kontrol için “uyguluyoruz / dışladık, çünkü…” kararınızı Uygulanabilirlik Bildirgesi’nde (SoA) gerekçelendirirsiniz. Denetimde en çok bakılan belge budur.

ISO 42001 kime uygulanır?

Standart sektör ve büyüklükten bağımsızdır. Türkiye’de öne çıkan profiller:

  • AB’ye ihracat yapan üretici ve yazılım firmaları — müşteri denetimlerinde AI yönetişimi kanıtı isteniyor.
  • Bankacılık, sigorta, fintech — regülasyon baskısı ve yoğun AI kullanımı bir arada.
  • Savunma, sağlık, telekom — yüksek riskli AI uygulamaları ve ihale şartnameleri.
  • SaaS ve yazılım evleri — kurumsal müşteriye güven sinyali.
  • ISO 27001/9001 sahibi kuruluşlar — entegre yönetim sistemiyle en hızlı dönüşen grup.

Yalnızca hazır AI araçları kullanıyor olmanız kapsam dışında kalmanızı sağlamaz; kullanım da AIMS konusudur.

ISO 42001’in avantajları

  • Tedarik zinciri uyumu: EU AI Act kapsamındaki müşterilerinize denetlenebilir kanıt sunarsınız.
  • Kamu ihaleleri: Şartnamelerde yönetim sistemi belgeleri puan ve ön koşul avantajı sağlar.
  • Kurumsal güven: Satış süreçlerindeki güvenlik/uyum anketlerinde somut referans olur.
  • Risk kontrolü: Önyargı, mahremiyet, açıklanabilirlik ve güvenlik riskleri sistematik yönetilir.
  • KVKK uyumu ile sinerji: AI envanteri ve etki değerlendirmesi, KVKK veri envanteri ve VERBİS süreçlerinizle örtüşür.

ISO 42001 vs ISO 27001 vs EU AI Act

ISO 42001ISO 27001EU AI Act
TürGönüllü standartGönüllü standartYasal düzenleme (AB)
OdakAI yönetişimiBilgi güvenliğiAI risk sınıfları ve yükümlülükler
BelgeSertifika (akredite kuruluş)Sertifika (akredite kuruluş)CE işareti / uygunluk beyanı
KimeAI geliştiren/sağlayan/kullananBilgi varlığı olan herkesAB pazarına AI sunanlar
İlişkiAI Act uyumuna güçlü altyapı42001 ile entegre kurulabilir42001 kanıt çerçevesi sağlar

Ayrıntılı karşılaştırma için ISO 42001 ve ISO 27001 farkları yazımıza bakın.

Uyum yolculuğuna nasıl başlarsınız?

Önerdiğimiz sıra:

  1. Gap analizi: Mevcut durumu 25 soruda ölçün. Ücretsiz gap analizi aracımız 10 dakikada uyum skorunuzu ve zayıf alanlarınızı gösterir.
  2. Kapsam ve yol haritası: AI envanterinizi çıkarın, AIMS kapsamını netleştirin.
  3. Dokümantasyon ve uygulama: Politika, risk metodolojisi, SoA ve kontrolleri kurun. Adımların tamamı için belgelendirme süreci rehberimizi inceleyin.
  4. İç denetim ve sertifikasyon: Denetime hazır olduğunuzda akredite kuruluşla ilerleyin.

Süreci uzman desteğiyle yürütmek isterseniz ISO 42001 danışmanlık hizmetimize göz atın veya teklif isteyin.

SSS

Sık sorulan sorular

ISO 42001 belgesi zorunlu mu? +

Hayır, ISO 42001 gönüllü bir standarttır. Ancak EU AI Act kapsamındaki müşterileriniz, kamu ihaleleri veya kurumsal tedarik denetimleri belgeyi fiilen şart koşabilir. Yasal zorunluluk yerine pazar beklentisi olarak düşünün.

ISO 42001 sertifikası ne kadar sürede alınır? +

Kuruluşun büyüklüğüne ve mevcut yönetim sistemi olgunluğuna göre değişir. ISO 27001 deneyimi olan bir kuruluş 4–6 ayda hazır olabilir; sıfırdan başlayan bir KOBİ için 6–12 ay gerçekçidir.

ISO 42001 belgesini kim verir? +

Belgeyi akredite belgelendirme kuruluşları verir. Türkiye'de TÜRKAK akreditasyonlu ya da uluslararası akreditasyona sahip kuruluşları tercih edin. Danışmanlık firması belge veremez; denetime hazırlar.

ISO 27001 belgemiz var, ISO 42001 daha kolay olur mu? +

Evet. İki standart da Annex SL ortak çerçevesini kullanır. Politika, risk metodolojisi, iç denetim ve yönetim gözden geçirmesi süreçleriniz büyük ölçüde yeniden kullanılabilir. Entegre yönetim sistemi kurarak süreyi ve maliyeti düşürürsünüz.

AI kullanmıyoruz, sadece hazır AI araçları tüketiyoruz. Standart bizi kapsar mı? +

Evet. ISO 42001 yalnızca AI geliştirenleri değil, AI sistemlerini kullanan veya tedarik eden kuruluşları da kapsar. Hazır bir sohbet botu ya da API üzerinden model tüketimi de AIMS kapsamına girer.