ISO 27001 Sızma Testi: Sertifikasyon Sürecinizin Teknik Temeli
ISO 27001 sertifikasyon ve denetim süreçleriniz için bağımsız, kapsamlı ve belgelendirilebilir sızma testi hizmeti.
Denetçilerin beklediği formatta raporlama ve teknik doğrulama.
5 Adım
EPDK gerekliliklerini 5 ana başlık altında ele alırız.
TSE A Sınıfı
EPDK ve TSE metodolojisiyle uyumlu test gerçekleştiririz.
7-15 Gün
Erişim ve kapsam netleştiğinde testleri 7–15 günde tamamlarız.
Ücretsiz Danışma
Test tamamlandığında 1 günlük ücretsiz danışmanlık veririz.
ISO 27001 Sızma Testi: Nedir?
ISO 27001 sertifikası almak veya mevcut sertifikayı korumak isteyen kurumlar için sızma testi artık yalnızca teknik bir gereklilik değil; denetçilerin güvenlik doğrulaması için talep ettiği somut bir kanıttır. Standart, "sistemlerin gerçekten güvenli olduğunu nasıl doğruluyorsunuz?" sorusunu yanıtlamanızı bekler.
Sparta Siber Güvenlik, TSE A Sınıfı yetkinliği ve OSCP, GPEN, CEH sertifikalı uzman kadrosuyla ISO 27001 sızma testi hizmetini denetim süreçlerine tam uyumlu şekilde gerçekleştirmektedir. Web uygulamaları, iç ağ altyapıları, dış ağ sistemleri, mobil uygulamalar ve bulut ortamları dahil çok sayıda başarılı sızma testi deneyimine sahibiz.
30 Dakikada Ön Değerlendirme
Sisteminizin kapsamını ve ISO 27001 denetim takvimini paylaşın, size özel bir değerlendirme yapalım.
Formu DoldurunISO 27001 Denetiminde Sızma Testi Neden Gereklidir?
ISO/IEC 27001 standardı, bilgi güvenliği yönetim sisteminin etkinliğini ölçmek için teknik kontrollerin doğrulanmasını zorunlu kılar. ISO/IEC 27002 içerisindeki teknik zafiyet yönetimi, güvenlik doğrulama süreçleri ve sürekli iyileştirme maddeleri; özellikle internete açık sistemleri olan, müşteri verisi işleyen veya SaaS hizmet sunan kurumlarda sızma testini fiilen kaçınılmaz hale getirir.
Denetçiler yalnızca politika dokümanlarına değil, şu sorulara somut yanıt bekler:
- Sistemlerinizin güvenli olduğunu hangi teknik kanıtla doğruluyorsunuz?
- Tespit edilen bulgular kapatılmış mı? Bunu nasıl doğruladınız?
- Son test ne zaman yapıldı, kapsamı neydi, kim yaptı?
- Aksiyon planı ve retest raporu mevcut mu?
ISO 27001 sızma testi bu soruların tamamına belgelendirilebilir, denetim sürecinde savunulabilir yanıtlar üretir.
Önemli Not
Bugün birçok kurumsal müşteri ve tedarikçi denetiminde şu soru standart hale geldi: "Son sızma testi raporunuz ne zaman hazırlandı?" ISO 27001 sertifikası artık yalnızca sertifika için değil, ticari güveni kanıtlamak için de talep edilmektedir.
Hangi Kurumlar ISO 27001 Sızma Testi Yaptırmalı?
ISO 27001 sertifikasyonu hedefleyen veya mevcut sertifikasını yenileyen tüm kurumlar için sızma testi kritik bir süreçtir. Özellikle aşağıdaki profildeki kurumlar için teknik güvenlik doğrulaması artık zorunlu kabul edilmektedir:
SaaS ve Yazılım Şirketleri
Müşteri verisi işleyen, API servisleri sunan veya bulut tabanlı platformlar yöneten yazılım firmaları.
Finans ve Ödeme Kuruluşları
BDDK ve TCMB düzenlemelerine tabi; yüksek güvenlik olgunluğu gerektiren fintech ve ödeme firmaları.
Kamuya İş Yapan Firmalar
Kamu kurumlarıyla çalışan ve tedarikçi denetimlerine tabi olan, ISO 27001 sertifikası zorunlu tutulan firmalar.
E-Ticaret ve Veri İşleyen Şirketler
Kişisel veri işleyen, KVKK kapsamındaki teknik tedbirleri de karşılaması gereken e-ticaret ve platform firmaları.
Sağlık ve Hastane Sistemleri
Hassas sağlık verisi işleyen, uzaktan erişim altyapısı kullanan ve mevzuat uyumu gerektiren sağlık kuruluşları.
Kurumsal Müşteri Hedefleyen Firmalar
Büyük kurumsal müşterilerin tedarikçi güvenlik gerekliliklerini karşılamak zorunda olan her ölçekteki şirket.
Sparta Siber Güvenlik ile ISO 27001 Sızma Testi Yaklaşımı
Sparta Siber Güvenlik olarak ISO 27001 sızma testlerini; yalnızca "bulgu bulmak" için değil, denetimde savunulabilir ve sahada uygulanabilir bir aksiyon planı çıkarmak için yürütüyoruz. Testin amacı; zayıf noktaları görünür kılmak, saldırı yüzeyini anlaşılır hale getirmek ve aksiyonları uygulanabilir bir sıraya oturtmaktır.
Testleri ISO 27001 denetim gerekliliklerine uygun şekilde planlıyor; bulguları hem teknik ekipler hem de yönetim tarafı için okunabilir, karar aldırabilir formatta raporluyoruz.
ISO 27001 Sızma Testi Kapsamında Neleri Test Ediyoruz?
ISO 27001 kapsamında risk analizinize bağlı olarak aşağıdaki alanları test ediyoruz:
- Web Uygulama Testi: OWASP Top 10 riskleri, SQL Injection, Authentication bypass, IDOR, SSRF, iş mantığı hataları ve yetkilendirme zafiyetleri
- Dış Ağ Testi (External): İnternete açık firewall, VPN, mail sistemleri, web servisleri ve uzaktan erişim altyapıları
- İç Ağ Testi (Internal): Domain escalation, lateral movement, privilege escalation, SMB relay, Kerberoasting, NTLM Relay ve Active Directory zafiyetleri
- Mobil Uygulama Testi: Android ve iOS uygulamaları, API güvenliği, token yönetimi ve local storage kontrolleri
- Bulut Güvenliği Testi: AWS, Azure ve GCP ortamlarında IAM hataları, public bucket problemleri ve aşırı yetkili roller
- Kablosuz Ağ Testi: WPA/WPA2 yapılandırmaları, rogue access point ve ağ segmentasyon kontrolleri
- Zafiyet Taraması: Bilinen CVE'ler, eski yazılım sürümleri, açık portlar ve yanlış yapılandırmalar
- Retest ve Doğrulama: Bulunan zafiyetlerin kapatılıp kapatılmadığının teknik doğrulaması
ISO 27001 Sızma Testi Süreci Nasıl İlerler?
Süreci kurumunuzun operasyon temposunu bozmadan, yönetilebilir adımlara bölerek ilerletiyoruz:
Kapsam ve Planlama
Hangi sistemlerin test edileceği, test yöntemleri, erişim bilgileri ve kritik kısıtlar netleştirilir. ISO 27001 denetim takvimize göre test planı oluşturulur.
Teknik Test Aşaması
Belirlenen kapsam dahilinde sistemlere yönelik otomatik taramalar ve manuel sızma testleri gerçekleştirilir. Gerçek saldırgan perspektifiyle zafiyetler tespit ve istismar edilir.
Raporlama
Bulgular teknik detaylarıyla birlikte yazılır. ISO 27001 denetçilerinin beklediği formatta; yönetici özeti, metodoloji, teknik bulgular, CVSS skoru, iş etkisi ve önceliklendirilmiş aksiyon planı içeren rapor teslim edilir.
Düzeltme ve Doğrulama (Retest)
Kurumun yaptığı iyileştirmeler sonrası kritik bulgular için retest yapılır ve kapatma doğrulanır. Bu adım ISO 27001 denetçilerinin özellikle aradığı belgelerden biridir.
1 Günlük Ücretsiz Danışma Görüşmesi
Test tamamlandığında raporu birlikte değerlendirir, "hangi bulgular önce kapanmalı, hangi adımlar denetim açısından kritik?" sorularını netleştiririz.
Yetkinlik ve Ekip
ISO 27001 sızma testlerinde en önemli fark; sadece araç çalıştırmak değil, bağımsız ve sertifikalı bir ekiple denetimde savunulabilir teknik kanıt üretmektir. Sparta Siber Güvenlik ekibi, kurumların hem teknik ihtiyaçlarını hem de denetim süreçlerindeki gerekliliklerini karşılayan bir test yaklaşımına sahiptir.
Ekip Sertifikaları
Ekibimizde OSCP (Offensive Security Certified Professional), GPEN (GIAC Penetration Tester), CEH (Certified Ethical Hacker), CompTIA Security+ ve eCPPT gibi uluslararası alanda kabul gören sertifikaların yanı sıra TSE Ağ ve Sistem Altyapısı Kıdemli ve Sertifikalı Uzman sertifikalarına sahip uzmanlar bulunmaktadır.
Kuruluşlar Neden Sparta'yı Tercih Ediyor?
- TSE A Sınıfı ve ISO 27001 denetim gerekliliklerini karşılayan bağımsız firma
- Tecrübeli ve uluslararası sertifikalı teknik ekip
- 15+ yıl sızma testi deneyimi
- Denetçilerin beklediği formatta raporlama (yönetici özeti + teknik detay)
- Teknik bulguyu "aksiyon planına" çeviren net raporlama dili
- Retest ve kapatma doğrulaması dahil tam süreç yönetimi
- Test sonrası 1 günlük ücretsiz danışma görüşmesi ile yol haritası netleştirme
ISO 27001 Sızma Testi İçin Bizimle İletişime Geçin
Kapsam ve denetim takviminizi paylaşın, size özel bir plan çıkaralım.
TEKLİF ALINSıkça Sorulan Sorular
ISO 27001 sızma testi zorunlu mu?
Standart her kuruma açıkça pentest zorunluluğu getirmez. Ancak ISO/IEC 27002 teknik kontrolleri ve denetçilerin "güvenliği nasıl doğruluyorsunuz?" sorusu, özellikle internete açık sistemleri olan kurumlar için sızma testini fiilen kaçınılmaz hale getirir. Denetimde teknik kanıt sunulamaması ciddi eksiklik olarak değerlendirilir.
ISO 27001 sızma testi ne sıklıkla yapılmalıdır?
Yaygın yaklaşım yılda en az bir kez kapsamlı test yapılmasıdır. Buna ek olarak yeni uygulama yayına alımları, büyük altyapı değişiklikleri, bulut geçişleri ve güvenlik olayları sonrasında ek test yapılması önerilir. Bankacılık ve finans gibi düzenleyici sektörlerde bu süre çok daha kısa tutulmaktadır.
ISO 27001 denetiminde hangi belgeler talep edilir?
Sızma testi raporu, zafiyet tarama raporu, bulgu aksiyon planı, bulgu kapatma kayıtları ve retest doğrulama raporları denetçiler tarafından en sık talep edilen belgelerdir. Raporda metodoloji, kapsam, tarih ve uygulayan ekibin yetkinlikleri de yer almalıdır.
Zafiyet taraması yeterli midir, sızma testi şart mı?
Hayır, zafiyet taraması tek başına yeterli değildir. Otomatik araçlar bilinen açıkları tespit eder; ancak iş mantığı hataları, yetki yükseltme zincirleri ve gerçek saldırı senaryolarını göstermez. Birçok ISO 27001 denetçisi yalnızca otomatik tarama raporunu kabul etmemektedir.
ISO 27001 sızma testini her firma yapabilir mi?
Hayır. Denetçiler testin bağımsız bir perspektiften yapılıp yapılmadığını, kullanılan metodolojinin yeterliliğini ve ekip sertifikasyon durumunu sorgular. Sistemi geliştiren ya da yöneten ekibin kendi kendine test yapması çıkar çatışması yaratır. Bu nedenle dış bağımsız firmalarla çalışmak tercih edilmeli, hatta çoğu denetçi tarafından beklenmektedir.
Sürece başlamak için hangi bilgiler gerekiyor?
Başlangıç için ISO 27001 denetim takviminiz, test edilmesini istediğiniz sistemlerin genel listesi ve varsa daha önce yapılmış güvenlik testleri yeterlidir. İlk görüşme sonrası kapsam, sorumluluklar ve takvim birlikte netleştirilir.
Düzeltmelerden sonra doğrulama (retest) yapıyor musunuz?
Evet. Kritik bulgular kapatıldıktan sonra doğrulama testleri (retest) planlanır ve sonuçlar rapor eki olarak teslim edilir. Bu adım ISO 27001 denetçilerinin özellikle aradığı belgelerden biridir; sadece bulgu tespit etmek değil, kapatıldığını kanıtlamak da sürecin parçasıdır.