AI Destekli Otomatik ISO 27001 Kontrol Haritalaması Güvenlik Anketleri İçin

Güvenlik anketleri, tedarikçi risk değerlendirmelerinde bir darboğazdır. Denetçiler sık sık bir SaaS sağlayıcısının ISO 27001’e uygun olduğunu gösteren kanıt ister, ancak doğru kontrolü bulmak, ilgili politikayı çıkarmak ve kısa bir yanıt biçimlendirmek için harcanan manuel çaba günler sürebilir. AI‑güdümlü yeni nesil platformlar, bu paradigmayı reaktif, insan‑ağır süreçlerden öngörücü, otomatik iş akışlarına kaydırıyor.

Bu makalede, aşağıdakileri yapan ilk‑oluş bir motoru tanıtıyoruz:

Tüm ISO 27001 kontrol setini içe aktarır ve her kontrolü organizasyonun iç politika deposuna eşler.
Kontrolleri, politikaları, kanıt varlıklarını ve ilgili paydaşları bağlayan bir Bilgi Grafiği oluşturur.
Bir Retrieval‑Augmented Generation (RAG) boru hattı kullanarak uyumlu, bağlamsal ve güncel anket yanıtları üretir.
Gerçek zamanlı politika sürüklenmesini algılar, bir kontrolün kaynak politikası değiştiğinde otomatik yeniden üretim tetikler.
Denetçiler için düşük kodlu bir UI sunar; burada otomatik yanıtlar ince ayar yapılabilir veya gönderilmeden önce onaylanabilir.

Aşağıda mimari bileşenleri, veri akışını, altında yatan AI tekniklerini ve erken pilotlarda gözlemlenen ölçülebilir faydaları öğreneceksiniz.

1. ISO 27001 Kontrol Haritalamasının Önemi Neden

ISO 27001 bilgi güvenliği yönetimi için evrensel kabul görmüş bir çerçevedir. Ek A 114 kontrol listeler; her bir kontrolün alt‑kontrolleri ve uygulama kılavuzları bulunur. Üçüncü taraf bir güvenlik anketi örneğin şunu sorarsa:

“Kriptografik anahtar yaşam döngüsünü nasıl yönetiyorsunuz? (Kontrol A.10.1).”

güvenlik ekibi ilgili politikayı bulmalı, süreç açıklamasını çıkarmalı ve anketin ifadelerine uyarlamalıdır. Bu işlemin birden fazla kontrol ve anket için tekrarlanması şunları doğurur:

Yineleyen iş – aynı yanıtlar her talep için yeniden yazılır.
Tutarsız dil – ufak ifadeler farklı yorumlanabilir ve eksikluk olarak algılanabilir.
Eskimiş kanıt – politikalar evrimleşir, fakat anket taslakları genellikle aynı kalır.

ISO 27001 kontrollerini yeniden kullanılabilir yanıt parçacıklarına otomatik olarak eşlemek, bu sorunları ölçekli olarak ortadan kaldırır.

2. Temel Mimari Taslak

Motor üç temel üzerine inşa edilmiştir:

Sütun	Amaç	Başlıca Teknolojiler
Kontrol‑Politika Bilgi Grafiği	ISO 27001 kontrolleri, iç politikalar, kanıtlar ve sahipleri sorgulanabilir bir grafiğe normalleştirir.	Neo4j, RDF, Grafik Sinir Ağları (GNN)
RAG Yanıt Üretimi	En ilgili politika alıntısını alır, bağlamla zenginleştirir ve cilalı bir yanıt üretir.	Retrieval (BM25 + Vektör Arama), LLM (Claude‑3, Gemini‑Pro), Prompt Şablonları
Politika Sürüklenmesi Algılama & Otomatik Yenileme	Kaynak politikadaki değişiklikleri izler, üretimi yeniden tetikler ve paydaşları bilgilendirir.	Değişim Veri Yakalama (CDC), Diff‑Denetimi, Olay‑Tabanlı Pub/Sub (Kafka)

Aşağıdaki Mermaid diyagramı, veri akışını (alımadan yanıt teslimine) görselleştirir.

  graph LR
    A[ISO 27001 Control Catalog] -->|Import| KG[Control‑Policy Knowledge Graph]
    B[Internal Policy Store] -->|Sync| KG
    C[Evidence Repository] -->|Link| KG
    KG -->|Query| RAG[Retrieval‑Augmented Generation Engine]
    RAG -->|Generate| Answer[Questionnaire Answer Draft]
    D[Policy Change Feed] -->|Event| Drift[Policy Drift Detector]
    Drift -->|Trigger| RAG
    Answer -->|Review UI| UI[Security Analyst Dashboard]
    UI -->|Approve/Reject| Answer

Merkay sözdizimi gereği tüm düğüm etiketleri çift tırnak içinde tutulmuştur.

3. Kontrol‑Politika Bilgi Grafiğinin Oluşturulması

3.1 Veri Modelleme

Kontrol Düğümleri – Her ISO 27001 kontrolü (ör. “A.10.1”) title, description, reference, family gibi özniteliklere sahip bir düğüm olur.
Politika Düğümleri – Markdown, Confluence ya da Git‑tabanlı depolardan iç güvenlik politikaları alınır. Öznitelikler: version, owner, last_modified.
Kanıt Düğümleri – Denetim logları, yapılandırma anlık görüntüleri veya üçüncü‑taraf sertifikasyonlarına bağlantılar.
Sahiplik Kenarları – MANAGES, EVIDENCE_FOR, DERIVES_FROM.

Graf şeması, aşağıdaki gibi bir SPARQL‑benzeri sorguya izin verir:

MATCH (c:Control {id:"A.10.1"})-[:DERIVES_FROM]->(p:Policy)
RETURN p.title, p.content LIMIT 1

3.2 GNN ile Zenginleştirme

Geçmiş anket yanıt çiftleri üzerine bir Grafik Sinir Ağı eğitilir; bu sayede bir kontrol ile politika parçası arasındaki anlamsal benzerlik skoru öğrenilir. Skor, relevance_score kenar özelliği olarak saklanır ve basit kelime eşleşmesinin çok ötesinde getirme hassasiyeti sağlar.

4. Retrieval‑Augmented Generation Boru Hattı

4.1 Getirme Aşaması

Anahtar Kelime Araması – Politika metni üzerinde BM25.
Vektör Arama – Cümle‑Dönüştürücüler (Sentence‑Transformers) ile anlamsal eşleşme.
Hibrit Sıralama – BM25 ve GNN relevance_score’u lineer bir karışım (α = 0.6 anlamsal, 0.4 leksikal) ile birleştirir.

En iyi k (tipik olarak 3) politika alıntısı, LLM’e anket istemiyle birlikte iletilir.

4.2 Prompt Mühendisliği

Dinamik bir prompt şablonu, kontrol ailesine göre uyarlanır:

You are a compliance assistant. Using the following policy excerpts, craft a concise answer (max 200 words) for ISO 27001 control "{{control_id}} – {{control_title}}". Maintain the tone of the source policy but tailor it to a third‑party security questionnaire. Cite each excerpt with a markdown footnote.

LLM, yer tutucuları alınan alıntılarla doldurur ve atıf‑zengin bir taslak üretir.

4.3 Son İşleme

Gerçeklik Kontrol Katmanı – İkinci bir LLM geçişiyle tüm ifadelerin alınan metinlerde temellendiği doğrulanır.
Kırpma Filtresi – Açıklanması istenmeyen gizli verileri tespit eder ve maskeleyebilir.
Biçimlendirme Modülü – Çıktıyı anketin tercih ettiği işaretleme biçimine (HTML, PDF veya düz metin) dönüştürür.

5. Gerçek Zamanlı Politika Sürüklenmesi Algılama

Politikalar nadiren sabittir. Bir Değişim Veri Yakalama (CDC) bağlayıcısı, kaynak depodaki commit, merge ya da silme gibi işlemleri izler. Bir değişiklik, bir ISO kontrolüne bağlı bir düğümü etkilediğinde sürüklenme algılayıcı:

Eski ve yeni politika parçaları arasındaki diff hashi hesaplar.
policy.drift Kafka konusuna bir sürüklenme olayı gönderir.
RAG boru hattını tetikleyerek ilgili yanıtları yeniden üretir.
Politika sahibine ve analiz panosuna bir bilgilendirme gönderir.

Bu kapalı döngü, yayımlanan her anket yanıtının en yeni iç kontrol ile uyumlu kalmasını sağlar.

6. Kullanıcı Deneyimi: Analist Panosu

UI, renk‑kodlu durum ile bekleyen anket maddelerinin bir ızgarasını gösterir:

Yeşil – Yanıt üretildi, sürüklenme yok, dışa aktarım için hazır.
Sarı – Son politika değişikliği, yeniden üretim bekleniyor.
Kırmızı – İnsan incelemesi gerekli (ör. belirsiz politika veya kırpma uyarısı).

Özellikler:

Tek tıkla dışa aktarım PDF veya CSV olarak.
Satır içi düzenleme uç durum özelleştirmeleri için.
Sürüm geçmişi – Her yanıtın kullanılan politika sürümünü gösterir.

Platform içinde gömülü kısa bir video demo, tipik bir akışı gösterir: bir kontrol seçmek, otomatik yanıtı incelemek, onaylamak ve dışa aktarmak.

7. Ölçülmüş İş Etkisi

Ölçüt	Otomasyon Öncesi	Otomasyon Sonrası (Pilot)
Ortalama yanıt oluşturma süresi	Kontrol başına 45 dk	Kontrol başına 3 dk
Anket tamamlama süresi	12 gün	1,5 gün
Yanıt tutarlılık skoru (iç denetim)	%78	%96
Politika sürüklenme gecikmesi	7 gün (manuel)	< 2 saat (otomatik)

Orta ölçekli bir SaaS firmasında (≈ 250 çalışan) yürütülen pilot, güvenlik ekibinin haftalık iş yükünü ≈ 30 saat azalttı ve eski yanıtlar nedeniyle oluşan 4 büyük uyumluluk olayını ortadan kaldırdı.

8. Güvenlik ve Yönetim Hususları

Veri Yerleşimi – Tüm bilgi‑grafi verileri kuruluşun özel VPC’sinde kalır; LLM çıkarımı kurum içi donanımda ya da özel bulut uç noktasında gerçekleştirilir.
Erişim Kontrolleri – Rol‑tabanlı izinler, kimlerin politikaları düzenleyebileceğini, yeniden üretim tetikleyebileceğini veya oluşturulan yanıtları görüp onaylayabileceğini kısıtlar.
Denetim İzleri – Her yanıt taslağı, kullanılan kesin politika sürümüne bağlanan kriptografik bir hash saklar; bu sayede denetimler sırasında değişmez doğrulama mümkün olur.
Açıklanabilirlik – Pano, izlenebilirlik görünümü ile getirilen politika alıntılarını ve son yanıta katkı sağlayan ilgililik skorlarını listeler; böylece düzenleyiciler AI’nın sorumlu bir biçimde kullanıldığını kanıtlayabilir.

9. Motoru ISO 27001 Dışına Uzatmak

Prototip ISO 27001 üzerine odaklansa da mimari regülatör‑bağımsızdır:

SOC 2 Güven Servisi Kriterleri – Aynı grafiğe farklı kontrol aileleri eklenir.
HIPAA Güvenlik Kuralı – 18 standart içe aktarılır ve sağlık‑özel politikalarla bağlanır.
PCI‑DSS – Kart verisi işleme prosedürlerine bağlanır.

Yeni bir çerçeve eklemek, yalnızca kontrol kataloğunu yüklemek ve mevcut politika düğümleriyle başlangıç kenarları kurmak gerekir. GNN, daha fazla eğitim çifti toplandıkça otomatik olarak uyum sağlar.

10. Başlamak İçin Adım‑Adım Kontrol Listesi

ISO 27001 kontrollerini topla (resmi Annex A CSV’sini indir).
İç politikaları yapılandırılmış bir biçime (Markdown + front‑matter sürüm bilgisi) dışa aktar.
Bilgi Grafiğini dağıt (ön‑yapılandırılmış şema içeren Neo4j Docker görüntüsü).
RAG servisini kur (Python FastAPI konteyneri ve LLM uç noktası).
CDC’yı yapılandır (Git hook ya da dosya‑sistemi izleyici) sürüklenme algılayıcıya besle.
Analist Panosunu başlat (React front‑end, OAuth2 kimlik doğrulama).
Pilot bir anketi çalıştır ve prompt şablonlarını yinelemeli olarak iyileştir.

Bu yol haritasını izleyerek, çoğu kuruluş 4‑6 hafta içinde tam otomatik bir ISO 27001 haritalama boru hattına kavuşabilir.

11. Gelecek Yönelimler

Federated Learning – Ortak firmalar arasında anonimleştirilmiş kontrol‑politika gömme vektörleri paylaşarak ilgililik puanını artırırken öz‑politikaları gizli tutmak.
Çok‑modal Kanıt – Diyagramlar, yapılandırma dosyaları ve log parçacıklarını zenginleştirmek için Vision‑LLM’ler eklemek.
Üretken Uyumluluk Oyun Kitapları – Tek soruya yanıt vermekten, kanıt tabloları ve risk değerlendirmeleriyle tamamlanan uç‑uç uyumluluk anlatılarına genişlemek.

Bilgi grafikleri, RAG ve gerçek‑zamanlı sürüklenme izleme birleşimi, tüm güvenlik anket otomasyonu için yeni bir temel oluşturmaya hazırlanıyor. Erken benimseyenler sadece hız kazanmakla kalmayıp, her yanıtın izlenebilir, güncel ve denetlenebilir olma güvenini de elde edecek.