ISO 42001 ve ISO 27001: Farklar ve Entegrasyon

ISO 42001 vs 27001 karşılaştırması, ISO 27001 belgesine sahip kuruluşların en sık sorduğu soruyla başlar: “Yeni bir sistem mi kuracağız, mevcudu mu genişleteceğiz?” Kısa yanıt: genişleteceksiniz. İki standart aynı iskeleti paylaşır; fark, korunan varlıkta ve kontrollerin odağındadır. Bu rehber farkları, ortak noktaları ve entegre yönetim sistemi kurmanın pratik avantajlarını özetler.

Amaç farkı: bilgi güvenliği vs AI yönetişimi

  • ISO 27001, bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini korur. Sorusu: “Bilgimiz güvende mi?”
  • ISO 42001, yapay zekânın sorumlu geliştirilmesini ve kullanımını yönetir. Sorusu: “AI sistemlerimiz güvenilir, şeffaf ve hesap verebilir mi?”

Kesişim büyüktür — AI sistemleri veriyle çalışır, veri güvenliği gerektirir — ama 42001’in derdi güvenlikle bitmez: önyargı, açıklanabilirlik, insan gözetimi ve toplumsal etki gibi ISO/IEC 42001 maddelerine özgü boyutlar ekler.

Ortak kavramlar: Annex SL, risk, yönetim döngüsü

İki standart da Annex SL (harmonize yapı) üzerine kuruludur; madde numaraları birebir paraleldir:

MaddeISO 27001ISO 42001
4Kuruluş bağlamıKuruluş bağlamı (AI odaklı)
5Liderlik, BGYS politikasıLiderlik, AI politikası
6Risk değerlendirme/işlemeAI risk + AI etki değerlendirmesi (6.1.4)
7Destek, yetkinlik, dokümanDestek, yetkinlik, doküman
8OperasyonOperasyon + AI yaşam döngüsü
9İzleme, iç denetim, YGGİzleme, iç denetim, YGG
10Uygunsuzluk, iyileştirmeUygunsuzluk, iyileştirme

En önemli 42001 eklentisi AI etki değerlendirmesidir (Madde 6.1.4): klasik kurumsal risk bakışına ek olarak bireyler ve toplum üzerindeki etkiler değerlendirilir. 27001’de bunun karşılığı yoktur.

Ortak kontroller: Ek A eşleştirmesi

ISO 27001:2022 Ek A’da 93, ISO 42001 Ek A’da 38 kontrol vardır. Örtüşen alanlar (yaklaşık karşılıklar):

AlanISO 27001 Ek AISO 42001 Ek A
PolitikalarA.5.1 Bilgi güvenliği politikalarıA.2 AI politikaları
Roller ve sorumluluklarA.5.2A.3 İç organizasyon
Varlık/sistem envanteriA.5.9 Varlık envanteriA.4 AI kaynakları (veri, model, altyapı)
Tedarikçi yönetimiA.5.19–5.23A.10 Üçüncü taraf ilişkileri
Kayıt ve izlemeA.8.15–8.16Madde 9.1 + yaşam döngüsü izleme
Personel yetkinliğiMadde 7.2Madde 7.2

42001’e özgü, 27001’de karşılığı olmayan kontrol grupları: A.5 etki değerlendirmesi, A.6 AI yaşam döngüsü, A.7 AI için veri kalitesi, A.8 ilgili taraflara şeffaflık. Entegrasyon planında eforun büyük kısmı bu dört gruba gider.

Entegre yönetim sistemi nasıl kurulur?

  1. Tek politika çatısı: AI politikası, mevcut bilgi güvenliği politika ailesine eklenir.
  2. Ortak risk metodolojisi: Aynı olasılık × etki matrisi; AI riskleri için etki boyutuna “birey/toplum” ekseni eklenir.
  3. Tek doküman kontrol süreci: Mevcut BGYS doküman prosedürü AIMS dokümanlarını da kapsar.
  4. Birleşik iç denetim programı: Tek plan, iki standardın maddelerini kapsayan soru listeleri.
  5. Tek yönetim gözden geçirmesi: Ortak gündem; AI konuları ayrı başlık olarak eklenir.
  6. Entegre SoA: İki Ek A için ayrı bildirgeler, ama ortak kontrollere çapraz referans.

Sürecin denetim aşamaları için belgelendirme süreci rehberimize bakın.

Maliyet ve süre avantajı

  • Denetim: Kombine denetimde ortak maddeler tek seferde incelenir; toplam adam-gün düşer.
  • Dokümantasyon: Politika, prosedür ve kayıt şablonlarının önemli bölümü ortaktır.
  • Ekip: Aynı yönetim temsilcisi ve iç denetçi kadrosu iki sistemi taşır; yalnızca AI yetkinliği eklenir.
  • Sürdürme: Tek YGG, tek iç denetim takvimi, tek DÖF havuzu — yıllık işletme maliyeti iki ayrı sisteme göre belirgin düşüktür.

KVKK tarafında da benzer sinerji vardır: KVKK veri envanteriniz, AI sistem envanterinin veri boyutunu besler.

Nereden başlamalı?

ISO 27001’iniz varsa ilk adım, 42001’e özgü eksikleri görmek: ücretsiz gap analizi aracımız 10 dakikada mevcut yönetim sistemi olgunluğunuzun AI tarafındaki karşılığını gösterir. Standardın genel çerçevesi için ISO 42001 nedir rehberini okuyun; entegrasyon planını birlikte kurmak için danışmanlık hizmetimize göz atın veya teklif isteyin.

SSS

Sık sorulan sorular

ISO 27001 varsa ISO 42001 ne kadar kısalır? +

Belirgin ölçüde. Politika altyapısı, risk yaklaşımı, doküman kontrolü, iç denetim ve yönetim gözden geçirmesi mekanizmaları yeniden kullanılır. Tipik olarak sıfırdan kuruluma göre sürenin üçte biri ila yarısı kazanılır; kalan efor AI'a özgü unsurlara (envanter, etki değerlendirmesi, Ek A kontrolleri) gider.

Önce hangisini almalıyız? +

Bilgi güvenliği tabanı yoksa genelde önce ISO 27001 önerilir; 42001 onun üzerine doğal oturur. AI ürünü satan ve müşterisi özellikle AI yönetişimi kanıtı isteyen bir firmaysanız 42001 öne çekilebilir. Karar, müşteri ve regülasyon baskınızın hangi yönden geldiğine bağlıdır.

İki standart tek denetimde belgelendirilebilir mi? +

Evet. Aynı akredite kuruluşla entegre (kombine) denetim planlanır; ortak süreçler tek seferde denetlenir. Toplam adam-gün, iki ayrı denetimin toplamından düşük çıkar.

İki standart birbiriyle çelişir mi? +

Hayır. İkisi de Annex SL ortak yapısını kullanır; madde başlıkları paraleldir. Aynı politika çatısı, aynı risk metodolojisi ve aynı doküman kontrol süreci iki sistemi birden taşıyabilir.

ISO 42001 için ayrı ekip gerekir mi? +

Küçük ve orta ölçekte hayır. Mevcut BGYS ekibi, AI yetkinliği kazandırılarak AIMS'i de yürütebilir. Eklenmesi gereken tipik roller: AI sistem sahipleri ve AI etki değerlendirmesini yürütecek sorumlu.