Sürüm yönetimi, test kapsamı, kod review, SLA — yazılım geliştirmenin kalite disiplini ISO 9001:2015 ile çerçevelenir.
Yazılım hizmeti ve ürünü kaliteyi hem fonksiyonel (çalışıyor mu) hem fonksiyonel olmayan (hızlı mı, güvenli mi, erişilebilir mi) boyutlarda içerir. Müşteriler (B2B, SaaS, kurumsal yazılım) hata oranı, SLA uyumu, destek yanıt süresi, güvenlik ihlal yönetimi gibi metriklerle firmayı değerlendirir. ISO 9001:2015 bu çok boyutlu kalite gereksinimini süreç yaklaşımı ile yönetir; kod gözden geçirmeden test kapsamı ölçümüne, müşteri destek yanıtından sürüm yönetimine kadar ortak bir çerçeve sağlar.
Kamu ihaleleri ve kurumsal müşteri pazarında ISO 9001 pre-qualification koşuludur. Türkiye'de Dijital Dönüşüm Ofisi programlarında, KKTC ve Kamu Bilişim projelerinde, bankacılık BTK düzenlemeleri kapsamında yazılım tedarikçileri için kalite belgesi temel şart. Kurumsal alıcılar (Akbank, Garanti BBVA, Türk Telekom, ASELSAN) tedarikçi değerlendirmelerinde 9001'i liste üstünde tutar.
İhracat tarafında AB, ABD ve Körfez bölgesi müşterileri yazılım tedariki için kalite belgesi talep eder. Özellikle finans, sağlık, kamu sektörü (govtech) müşterilerinde belge beklenir. Enterprise SaaS'lerde prospect'ten müşteriye dönüşüm sırasında güvenlik ve kalite belgeleri (9001 + 27001 + SOC 2) pre-sales süreçlerinin kritik doküman setidir.
Yazılım sektöründe tipik yanılgı "Agile uyguluyoruz, dokümantasyon az, 9001 bize uymaz" yaklaşımıdır. Gerçekte 9001 dokümantasyon ağırlıklı değil, süreç ve kanıt odaklıdır — Agile ekiplerde sprint planning, sprint review, retrospective, Definition of Done gibi uygulamalar doğrudan 9001 süreç kanıtıdır. Fazla dokümantasyon değil, ritmik kayıt ve izlenebilirlik anahtar.
Test kapsamı hedefi %85 olarak tanımlanmış (kritik modüllerde %90). Son 3 release'te kapsama %60-70 aralığında kalmış, hedefin altında. Release notlarında not düşülmüş ancak düzeltici eylem açılmamış. Düşük kapsama ile canlıya çıkan sürümlerde post-release bug oranı %40 daha yüksek — veri trendi belli, aksiyonsuz. Düzeltme: kapsama hedef altı release'te CI/CD bloklama, tech debt sprint tahsisi, kapsama trend raporu yönetim gözden geçirme girdisi.
Sürüm değişiklik kontrol formu (CAB onayı) major release'ler için sistematik uygulanıyor. Ancak hotfix'ler için CAB atlaması yaygınlaşmış — son 6 ay içinde 12 hotfix doğrudan bir developer kararıyla canlıya geçmiş, kaydı yok. İki hotfix production incident yaratmış, geri alma yapılmış. Bypass kültürü oluşmuş. Düzeltme: hotfix için hızlı ama dokümante CAB süreci (on-call lead + güvenlik sorumlusu), retrospektif hotfix kayıt derlemesi, incident-hotfix korelasyon analizi.
Müşteri SLA raporları otomatik üretiliyor. Ancak yeni ticket kategorileri (API, mobile) geçen 6 ayda eklenmiş, SLA tablosuna alınmamış. Yeni kategorilerin yanıt süresi ve çözüm süresi raporda yok, toplam SLA'ya dahil değil. Rapor eksik görüntü veriyor. Düzeltme: yeni kategorilerin SLA tanımı, raporlama şablonu güncelleme, çeyreklik rapor kapsam gözden geçirmesi.
Aynı sektörde diğer iki standart için hazırlık rehberleri:
ISO 14001 — Çevre yönetim sistemi →
ISO 45001 — İSG yönetim sistemi →
Kalite El Kitabı, SDLC prosedürü, test yönetim prosedürü, kod review kontrol listesi, sürüm yönetim prosedürü, SLA matrisi belgelerinizi ISODraft platformuna yükleyin. Yapay zeka 2-3 dakikada ISO 9001:2015 standardına göre analiz eder; eksik madde ve kanıt boşlukları madde numarasıyla raporlanır. 15.000 karakterlik demo ücretsiz.
Farklı odaklar. ISO 9001 genel kalite yönetim sistemidir — süreç yaklaşımı, müşteri memnuniyeti, sürekli iyileştirme. ISO 27001 bilgi güvenliği yönetimidir — varlık envanteri, risk analizi, kontrol setleri. Yazılım firmaları için 27001 daha kritik olabilir (özellikle SaaS, fintech, sağlık alanında), ancak 9001 kalite altyapısı olarak faydalıdır. İkisi birbirini tamamlar.
Evet. 9001 belirli bir geliştirme metodolojisi dayatmaz — Agile, Scrum, Kanban, Waterfall hepsi uyumlu olabilir. 9001 süreç dokümantasyonu ister; Agile ekipte sprint planning, sprint review, retrospective, Definition of Done gibi pratikler 9001 süreç kanıtı olarak kullanılabilir. Kafayı dokümantasyonla değil, kayıt ve izlenebilirlikle yormalı.
Sürüm yönetimi (semantic versioning — major.minor.patch) her release için uygulanmalı. Release notes hazırlığı, müşteri bilgilendirme, geri alma (rollback) planı, CAB (Change Advisory Board) onayı belirli risk seviyeli değişikliklerde. 9001 Madde 8.5.6 değişiklik kontrolü kapsamında CAB süreci ve rollback hazırlığı dokümante edilmeli.