Kurumsal Bilgi Güvenliği Politikası Mimarisi ve Uygulama Rehberi

Siber Güvenlik Yönetişimi · ISO 27001 · KVKK

Kurumsal Bilgi Güvenliği Politikası Rehberi

Günümüzde şirketler sadece güvenlik duvarları veya antivirüs programları gibi teknik önlemlerle siber tehditlere karşı koyamaz. Gerçek koruma, bir organizasyonun dijital “anayasası” sayılabilecek Bilgi Güvenliği Politikaları ile başlar. Bu politikalar, şirketin risk alma sınırlarını, yasal sorumluluklarını ve çalışanların uyması gereken kuralları belirler. Bir şirketin siber dayanıklılığı, sadece satın aldığı teknolojiyle değil; yazılı hale getirilmiş, herkes tarafından anlaşılmış ve canlı tutulan bir güvenlik kültürüyle mümkündür.

Bu rehber, uluslararası standartları (ISO/IEC 27001:2022) ve Türkiye’deki yasal düzenlemeleri (KVKK, 5651 Sayılı Kanun) temel alarak hazırlanmıştır. Amacımız, sadece teorik bilgi vermek değil; uygulanabilir, anlaşılır ve hukuki açıdan geçerli bir güvenlik politika mimarisini nasıl kuracağınızı adım adım göstermektir. Politika yazmayı, bir angarya olarak değil, şirket kültürünün temel taşı ve hukuki bir kalkan olarak göreceğiz.

Kurumsal Danışmanlık Alın Örnek Politika Maddeleri

İçindekiler 1. Yönetişim ve Dokümantasyon Hiyerarşisi 2. Politika Yazım Teknikleri ve Hukuk Dili 3. Kritik Politikalar (AUP, Erişim, Temiz Masa) 4. Türkiye Mevzuatına Uyum (KVKK & 5651) 5. Politika Yaşam Döngüsü ve Eğitim 6. Örnek Uygulama Senaryoları 7. IT Yöneticileri İçin Kontrol Listesi

Özet Bakış

Bu rehber, kurumların güvenlik kurallarını tek bir devasa el kitabına sıkıştırmak yerine, yönetilebilir ve sürdürülebilir bir piramit yapısı içinde nasıl kurgulayacağını anlatır.

Amacımız, sadece denetimden geçmek değil; çalışanların içselleştirdiği, yaşayan bir “Dijital Anayasa” oluşturmaktır.

ISO 27001:2022 KVKK Uyumu BİGR Rehberi Siber Yönetişim

1. Bilgi Güvenliği Yönetişimi ve Dokümantasyon Hiyerarşisi

Bilgi güvenliği belgeleri, tüm kuralların tek bir dosyaya sıkıştırıldığı karmaşık bir el kitabı olmamalıdır. Böyle bir belgeyi güncellemek ve okumak çok zordur. Bunun yerine, herkesin ihtiyacı olan bilgiyi kolayca bulabileceği katmanlı bir piramit modeli kullanmalıyız. Bu modelde, en üstte soyut ve uzun vadeli stratejiler, en altta ise somut ve adım adım uygulama talimatları yer alır.

Dokümantasyon Piramidi ve Bileşenleri

Aşağıdaki tablo, güvenlik belgelerinin nasıl sınıflandırıldığını, kimler için olduğunu ve ihlal edildiğinde ne gibi yaptırımları olduğunu göstermektedir. Bu yapı sayesinde, örneğin bilgisayar markası değiştiğinde sadece teknik talimatları güncellemek yeterli olur; şirketin temel güvenlik duruşu (politikalar) aynı kalır.

Seviye	Tanım ve Amaç	Hedef Kitle	Yaptırım Gücü	Örnek Dokümanlar
1. Politika (Policy)	Şirketin güvenlikle ilgili hedeflerini ve duruşunu belirler. “Ne yapılmalı?” ve “Neden yapılmalı?” sorularına cevap verir. Teknoloji bağımsızdır; yani bilgisayar markası veya yazılım değişse bile politika aynı kalır.	Üst Yönetim, Tüm Çalışanlar	Çok Yüksek (Disiplin Cezası)	Bilgi Güvenliği Ana Politikası, AUP
2. Standart (Standard)	Politikaları uygulamak için kullanılması zorunlu olan araçları, yöntemleri ve teknik ayarları tanımlar. (Örneğin: “Parola en az 12 karakter olmalı ve özel işaret içermelidir.”)	BT Personeli, Sistem Yöneticileri	Yüksek (Zorunlu)	Parola Karmaşıklık Standardı, Şifreleme Algoritması
3. Prosedür (Procedure)	Belirli bir işin nasıl yapılacağını adım adım anlatan, resimli ve detaylı kılavuzlardır. (Örneğin: “Yeni bir çalışanın bilgisayar hesabı açılırken sırasıyla şu ekranlara tıklayın.”)	Operasyonel Ekipler	Orta	Yeni Personel Hesabı Açma, Olay Müdahale Akışı
4. Kılavuz (Guideline)	Zorunlu olmayan, ancak işleri kolaylaştıran tavsiye niteliğindeki “iyi uygulama” örnekleridir.	Son Kullanıcılar	Düşük (Tavsiye)	Güvenli E-posta Kullanım İpuçları

Uzman Notu: Bu katmanlı ayrım, şirketinizde teknoloji değiştiğinde büyük kolaylık sağlar. Örneğin, Windows’dan Mac’e geçiş yaptığınızda, sadece “Standart” ve “Prosedür” belgeleri güncellenir. “Politika” seviyesindeki “Erişim Kontrol Politikası” (örneğin: “Yetkisiz hiç kimse sisteme giremez”) aynen geçerliliğini korur.

Yönetim Desteği ve BİGR Uyumu

Türkiye’deki kamu kurumları ve kritik altyapılar için zorunlu olan Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi (BİGR) ve uluslararası ISO 27001 standardı, güvenlik belgelerinin “yaşayan bir süreç” olmasını şart koşar. Şirketin en üst düzey yöneticisinin onayı olmayan bir politika, çalışanlar tarafından ciddiye alınmaz. Ayrıca, politika yazmaya başlamadan önce “neyi koruyacağınızı” (varlık envanteri) ve “neye karşı koruyacağınızı” (risk analizi) bilmeniz gerekir. Aksi halde yazdığınız politikalar hedefsiz olur.

2. Politika Yazım Teknikleri, Üslup ve Dil Psikolojisi

Bir politikanın başarısı, okuyan herkes tarafından aynı şekilde anlaşılmasına bağlıdır. Çok teknik terimler kullanmak veya anlamı muğlak ifadeler yazmak, politikanın uygulanmasını imkansız hale getirir. Ayrıca, olası bir hukuki anlaşmazlıkta net olmayan ifadeler aleyhinize kullanılabilir.

“Meli/Malı” (Must/Shall) Kipi ve Hukuki Bağlayıcılık

Türkçe’de kullandığımız ekler ve kelimeler, bir kuralın ne kadar zorunlu olduğunu gösterir. Politika yazarken bu ayrıma çok dikkat etmeliyiz.

Zorunluluk (Must/Shall -…meli/malı/zorunludur): Bu ifade, kuralın tartışmasız olduğunu ve herkesin uyması gerektiğini belirtir. Denetimlerde bu tür maddeler kontrol edilir.
Örnek: “Tüm kurumsal dizüstü bilgisayarların diskleri, AES-256 standardında şifrelenmiş olmalıdır.”
Hukuki Boyut: “Meli/malı” kipi, bir emir içerir. Bir çalışan bu kurala uymazsa, İş Kanunu’na göre disiplin cezası almasının hukuki dayanağı budur.
Gereklilik ve Tavsiye (Should -…mesi önerilir/beklenir): Güçlü bir tavsiyedir, ancak geçerli bir mazeret varsa kuralın dışına çıkılabilir.
Örnek: “Kullanıcılar, parolalarını mümkün olduğunca ezberlemeli ve not almaktan kaçınmalıdır.” (Ancak unutma ihtimaline karşı güvenli bir yere not almak da tamamen yasak değildir).
İzin (May -…bilir): Opsiyonel, yani isteğe bağlı durumları belirtir.
Örnek: “Çalışanlar, mesai saatleri dışında kurumsal cihazları eğitim amacıyla kullanabilirler.”

Politika Anatomisi ve Şablon Yapısı

Profesyonel bir politika belgesi, okuyucunun aradığı bilgiyi hızlıca bulmasını sağlayan standart bir düzene sahip olmalıdır:

Başlık ve Künye: Belgenin adı, versiyon numarası, hangi tarihte güncellendiği ve bu belgeden kimin sorumlu olduğu yazar.
Amaç (Purpose): Bu politika neden yazıldı? Çalışana “bu kurala neden uymalıyım?” sorusunun cevabını verir.
Kapsam (Scope): Bu kurallar kimler için geçerli (stajyerler, yöneticiler, taşeron firmalar)? Hangi sistemleri kapsıyor (şirket bilgisayarları, kişisel telefonlar, bulut hizmetleri)?
Politika Maddeleri: Asıl kuralların sıralandığı bölüm.
Yaptırımlar (Enforcement): Kurallara uymayanlara ne olacak? Uyarı, ihtar, işten çıkarma gibi disiplin süreçleri net olarak belirtilmelidir.
İlgili Dokümanlar ve Yasalar: Bu politikanın dayandığı kanunlar (KVKK, 5651) ve bağlantılı olduğu diğer şirket içi belgeler listelenir.

3. Temel Güvenlik Politikaları ve Derinlemesine Analiz

Her şirketin mutlaka sahip olması gereken bazı temel politikalar vardır. Bunlar, güvenliğin yapı taşlarıdır. İşte en önemlilerinden bazıları ve içermeleri gereken örnek maddeler:

3.1. Kabul Edilebilir Kullanım Politikası (AUP)

Bu politika, şirket ile çalışan arasındaki “dijital sözleşme”dir. Çalışanın şirket bilgisayarını, internetini ve e-postasını nasıl kullanacağını belirler. En sık ihlal edilen politika türüdür.

Örnek Madde: Gölge BT (Shadow IT) Yasağı “Çalışanlar, Bilgi İşlem departmanının yazılı izni olmadan şirket ağına kendi kişisel modem, switch veya kablosuz erişim noktası gibi cihazları bağlayamaz. Ayrıca lisansız yazılım kurmak kesinlikle yasaktır.”

Analiz: Bir çalışan iyi niyetle bile olsa odasına kişisel bir modem takarsa, bu cihaz güvenlik duvarını aşarak şirket ağını dışarıdan gelecek saldırılara açık hale getirebilir. Bu madde, ağın bütünlüğünü korumak için gereklidir.

Örnek Madde: İzleme ve Mahremiyet “Şirket, sistemlerin güvenliğini ve performansını sağlamak amacıyla, çalışanların e-posta ve internet kullanımını izleme hakkını saklı tutar. Çalışanların, şirkete ait cihaz ve sistemler üzerinde özel hayatın gizliliği beklentisi olmamalıdır.”

Hukuki Bağlam: Bu madde, KVKK ve Anayasa Mahkemesi kararları açısından çok önemlidir. Çalışan, izleneceğini önceden bilmeli ve bunu kabul etmelidir. İş sözleşmesinde veya politika onayında bu açıkça belirtilmelidir.

3.2. Veri Sınıflandırma ve Yönetim Politikası

Tüm verileri “çok gizli” olarak korumaya çalışmak hem maliyetlidir hem de iş süreçlerini yavaşlatır. Hiç sınıflandırmamak ise veri sızıntılarına yol açar. Bu nedenle veriler önem derecesine göre sınıflandırılmalıdır.

Çok Gizli (Top Secret): Sızdırılması şirketin varlığını tehdit eden verilerdir. (Örn: Şirketin birleşme veya satın alma planları, kriptografik anahtarlar). Sadece çok sınırlı kişinin erişimine açık olmalı ve güçlü şifrelerle korunmalıdır.
Gizli (Confidential): Sızdırılması şirkete itibar kaybı yaşatacak veya maddi zarar verecek verilerdir. (Örn: Personel özlük dosyaları, müşteri listeleri, KVKK kapsamındaki kişisel veriler).
Hizmete Özel (Internal Use): Şirket içinde herkesin görebileceği, ancak dışarıyla paylaşılmaması gereken operasyonel verilerdir. (Örn: Dahili telefon rehberi, yemekhane menüsü, organizasyon şeması).
Genel (Public): Herkese açık, paylaşılmasında sakınca olmayan verilerdir. (Örn: Basın bültenleri, web sitesindeki genel tanıtım yazıları).

3.3. Temiz Masa ve Temiz Ekran Politikası

Fiziksel güvenliğin en basit ama en etkili kurallarındandır. Hem maliyeti yoktur hem de uygulanması disiplin gerektirir.

Örnek Madde: Ekran Kilidi “Çalışanlar, masalarından kısa süreliğine ayrılsalar bile (su almaya giderken, lavaboya giderken) bilgisayar ekranını kilitlemek zorundadır. Kısayol tuşu (Windows+L) kullanılmalıdır. Bilgisayarların otomatik ekran kilidi süresi en fazla 5 dakika olarak ayarlanmalıdır.”

4. Türkiye Mevzuatına Uyum KVKK, 5651 ve 5070

Türkiye’de faaliyet gösteren şirketler için bilgi güvenliği politikaları, sadece teknik standartlara değil, aynı zamanda Türk kanunlarına da tam uyum sağlamak zorundadır.

5651 Sayılı Kanun ve Log Yönetimi Çelişkisi

5651 Sayılı Kanun, internet erişimi sağlayan şirketlerin (oteller, kafeler, kurumlar) ağ trafiği kayıtlarını (log) 2 yıl boyunca saklamasını zorunlu kılar. Ancak KVKK, işe yarayan verinin saklanmasını, amacı biten verinin ise silinmesini emreder. Bu iki kanun birbiriyle çelişiyor gibi görünebilir.

Çözüm Maddesi: Politikada bu durum şöyle açıklığa kavuşturulmalıdır: “Kişisel veriler, işlenme amaçları sona erdiğinde silinir veya anonim hale getirilir. Ancak, 5651 Sayılı Kanun gereği, internet trafiğine ilişkin log kayıtları 2 yıl süreyle saklanır ve bu sürenin sonunda (kimliği belirsiz hale getirilerek) imha edilir.”

KVKK (Kişisel Verilerin Korunması Kanunu) Entegrasyonu

Bilgi güvenliği politikası, KVKK’nın şirketlere yüklediği “veri güvenliğini sağlama” yükümlülüğünün operasyonel karşılığıdır.

Veri Minimizasyonu: Politikalarda, “Bir iş için gerekli olandan fazla kişisel veri toplanamaz” ilkesi yer almalıdır.
Güvenli İmha: Eski bilgisayarları bağışlarken veya atarken sadece “format atmak” yeterli değildir. Veriler kurtarılabileceği için, disklerin üzerine defalarca veri yazılması (wiping) veya fiziksel olarak yok edilmesi (kırma, öğütme) gibi yöntemler zorunlu tutulmalıdır.

5070 Sayılı Kanun ve Politikanın Tebliği

Bir çalışana politika ihlalinden dolayı ceza verebilmek için, o çalışanın politikayı okuduğunu ve kabul ettiğini kanıtlamanız gerekir.

Islak İmza: En geleneksel ve en güçlü kanıt yöntemi.
Güvenli Elektronik İmza (E-İmza): Islak imza ile aynı hukuki geçerliliğe sahiptir.
Loglu Onay: Şirket içi sistemde “Okudum, kabul ediyorum” butonuna tıklanması. Bu tıklamanın kim tarafından, hangi IP adresinden ve ne zaman yapıldığı kayıt altına alınırsa, hukuken delil olarak kullanılabilir.

5. Politika Yaşam Döngüsü: Oluşturma, İşletme ve Emeklilik

Politika yazmak tek seferlik bir iş değildir. Tıpkı bir yazılım gibi, politikalar da sürekli güncellenmeli ve iyileştirilmelidir (Planla-Uygula-Kontrol Et-Önlem Al döngüsü).

Sahiplik (Ownership) ve Gözden Geçirme

Her politikanın bir “sahibi” olmalıdır. Örneğin, “İnsan Kaynakları Güvenlik Politikası”nın sahibi İK Müdürü, “Parola Politikası”nın sahibi ise Bilgi Güvenliği Sorumlusu (CISO) olmalıdır. Sahibi olmayan bir politika güncellenmez ve zamanla geçerliliğini yitirir. Politikalar, yılda en az bir kez veya çok önemli bir değişiklik olduğunda (yeni bir yasa çıktığında, şirket buluta geçtiğinde, büyük bir siber saldırı yaşandığında) gözden geçirilmelidir.

Eğitim, Farkındalık ve Kültür

Dünyanın en mükemmel politikası yazılsa bile, çalışanlar onu okumaz veya anlamazsa hiçbir işe yaramaz. İşe yeni başlayan herkese ve mevcut çalışanlara yılda en az bir kez bilgi güvenliği farkındalık eğitimi verilmesi zorunlu tutulmalıdır. Ayrıca, çalışanların duyarlılığını ölçmek için sahte kimlik avı (phishing) e-postaları gönderilerek testler yapılmalıdır.

6. Örnek Uygulama Senaryoları

Teorik politikaların gerçek hayatta nasıl işlediğini görmek için birkaç senaryoyu inceleyelim.

Senaryo A: Donanım İmha ve Devir Prosedürü

Durum: Şirketiniz, kullanım ömrü dolan 100 adet bilgisayarı bir okula bağışlamak istiyor. En büyük risk, bilgisayar disklerinde kalan verilerdir.

Uygulama Adımı “Şirket dışına çıkarılacak, bağışlanacak veya hurdaya ayrılacak tüm sabit diskler (HDD ve SSD), üzerindeki veriler kesinlikle kurtarılamayacak şekilde silinmelidir. Sadece hızlı format atmak yeterli değildir. Manyetik diskler için özel silme cihazları (degaussing) veya en az 7 kez üzerine rastgele veri yazan yazılımlar (wiping) kullanılmalıdır.”

Senaryo B: Uzaktan Çalışma ve VPN Politikası

Durum: Pandemi sonrası hibrit çalışma modeline geçen bir şirket.

Uygulama Adımı “Çalışanlar, halka açık Wi-Fi ağlarından (kafeler, havaalanları, oteller) şirket ağına bağlanırken mutlaka VPN kullanmak zorundadır. VPN bağlantısında sadece kullanıcı adı ve parola yeterli değildir; cep telefonuna gelen tek kullanımlık şifre (MFA/2FA) gibi ikinci bir doğrulama yöntemi de zorunludur.”

7. IT Yöneticileri İçin Kontrol Listesi

Politika mimarisini hayata geçirirken takip etmeniz gereken kritik adımlar:

Mevcut Durum Analizi: Elimizde hangi politikalar var? Hangileri güncel? Hangi konularda hiç politikamız yok? (Gap Analysis).
Varlık Envanteri: Neyi koruyacağımızı tam olarak biliyor muyuz? (Hangi sunucular, hangi veritabanları, hangi kişisel veriler var?)
Yönetim Onayı: Taslak politikalar üst yönetim tarafından okundu ve onaylandı mı?
Tebliğ Süreci: Tüm mevcut çalışanlar ve işe yeni başlayanlar bu politikaları okuyup imzaladı mı?
Teknik Kontrol: Politikada yazılı olan kurallar (örneğin, USB bellek kullanımı yasak) teknik olarak da engelleniyor mu? (GPO ayarları, DLP yazılımları ile).

Bilgi Güvenliği Politikası ISO 27001 Standartları KVKK Teknik Tedbirler 5651 Log Yönetimi Siber Güvenlik Yönetişimi

Kurumsal Güvenlik Mimarisi Desteği

Nesil Teknoloji olarak, kurumunuzun bilgi güvenliği politikalarını uluslararası standartlara ve yerel mevzuata uygun şekilde tasarlıyoruz. Ücretsiz ön analiz için iletişime geçin.

Hemen Teklif Alın