ISO 42001 ve ISO 27001: Farklar ve Entegrasyon
ISO 42001 vs 27001 karşılaştırması, ISO 27001 belgesine sahip kuruluşların en sık sorduğu soruyla başlar: “Yeni bir sistem mi kuracağız, mevcudu mu genişleteceğiz?” Kısa yanıt: genişleteceksiniz. İki standart aynı iskeleti paylaşır; fark, korunan varlıkta ve kontrollerin odağındadır. Bu rehber farkları, ortak noktaları ve entegre yönetim sistemi kurmanın pratik avantajlarını özetler.
Amaç farkı: bilgi güvenliği vs AI yönetişimi
- ISO 27001, bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini korur. Sorusu: “Bilgimiz güvende mi?”
- ISO 42001, yapay zekânın sorumlu geliştirilmesini ve kullanımını yönetir. Sorusu: “AI sistemlerimiz güvenilir, şeffaf ve hesap verebilir mi?”
Kesişim büyüktür — AI sistemleri veriyle çalışır, veri güvenliği gerektirir — ama 42001’in derdi güvenlikle bitmez: önyargı, açıklanabilirlik, insan gözetimi ve toplumsal etki gibi ISO/IEC 42001 maddelerine özgü boyutlar ekler.
Ortak kavramlar: Annex SL, risk, yönetim döngüsü
İki standart da Annex SL (harmonize yapı) üzerine kuruludur; madde numaraları birebir paraleldir:
| Madde | ISO 27001 | ISO 42001 |
|---|---|---|
| 4 | Kuruluş bağlamı | Kuruluş bağlamı (AI odaklı) |
| 5 | Liderlik, BGYS politikası | Liderlik, AI politikası |
| 6 | Risk değerlendirme/işleme | AI risk + AI etki değerlendirmesi (6.1.4) |
| 7 | Destek, yetkinlik, doküman | Destek, yetkinlik, doküman |
| 8 | Operasyon | Operasyon + AI yaşam döngüsü |
| 9 | İzleme, iç denetim, YGG | İzleme, iç denetim, YGG |
| 10 | Uygunsuzluk, iyileştirme | Uygunsuzluk, iyileştirme |
En önemli 42001 eklentisi AI etki değerlendirmesidir (Madde 6.1.4): klasik kurumsal risk bakışına ek olarak bireyler ve toplum üzerindeki etkiler değerlendirilir. 27001’de bunun karşılığı yoktur.
Ortak kontroller: Ek A eşleştirmesi
ISO 27001:2022 Ek A’da 93, ISO 42001 Ek A’da 38 kontrol vardır. Örtüşen alanlar (yaklaşık karşılıklar):
| Alan | ISO 27001 Ek A | ISO 42001 Ek A |
|---|---|---|
| Politikalar | A.5.1 Bilgi güvenliği politikaları | A.2 AI politikaları |
| Roller ve sorumluluklar | A.5.2 | A.3 İç organizasyon |
| Varlık/sistem envanteri | A.5.9 Varlık envanteri | A.4 AI kaynakları (veri, model, altyapı) |
| Tedarikçi yönetimi | A.5.19–5.23 | A.10 Üçüncü taraf ilişkileri |
| Kayıt ve izleme | A.8.15–8.16 | Madde 9.1 + yaşam döngüsü izleme |
| Personel yetkinliği | Madde 7.2 | Madde 7.2 |
42001’e özgü, 27001’de karşılığı olmayan kontrol grupları: A.5 etki değerlendirmesi, A.6 AI yaşam döngüsü, A.7 AI için veri kalitesi, A.8 ilgili taraflara şeffaflık. Entegrasyon planında eforun büyük kısmı bu dört gruba gider.
Entegre yönetim sistemi nasıl kurulur?
- Tek politika çatısı: AI politikası, mevcut bilgi güvenliği politika ailesine eklenir.
- Ortak risk metodolojisi: Aynı olasılık × etki matrisi; AI riskleri için etki boyutuna “birey/toplum” ekseni eklenir.
- Tek doküman kontrol süreci: Mevcut BGYS doküman prosedürü AIMS dokümanlarını da kapsar.
- Birleşik iç denetim programı: Tek plan, iki standardın maddelerini kapsayan soru listeleri.
- Tek yönetim gözden geçirmesi: Ortak gündem; AI konuları ayrı başlık olarak eklenir.
- Entegre SoA: İki Ek A için ayrı bildirgeler, ama ortak kontrollere çapraz referans.
Sürecin denetim aşamaları için belgelendirme süreci rehberimize bakın.
Maliyet ve süre avantajı
- Denetim: Kombine denetimde ortak maddeler tek seferde incelenir; toplam adam-gün düşer.
- Dokümantasyon: Politika, prosedür ve kayıt şablonlarının önemli bölümü ortaktır.
- Ekip: Aynı yönetim temsilcisi ve iç denetçi kadrosu iki sistemi taşır; yalnızca AI yetkinliği eklenir.
- Sürdürme: Tek YGG, tek iç denetim takvimi, tek DÖF havuzu — yıllık işletme maliyeti iki ayrı sisteme göre belirgin düşüktür.
KVKK tarafında da benzer sinerji vardır: KVKK veri envanteriniz, AI sistem envanterinin veri boyutunu besler.
Nereden başlamalı?
ISO 27001’iniz varsa ilk adım, 42001’e özgü eksikleri görmek: ücretsiz gap analizi aracımız 10 dakikada mevcut yönetim sistemi olgunluğunuzun AI tarafındaki karşılığını gösterir. Standardın genel çerçevesi için ISO 42001 nedir rehberini okuyun; entegrasyon planını birlikte kurmak için danışmanlık hizmetimize göz atın veya teklif isteyin.