• Genel Müdür / Üst Yönetim: Bilgi güvenliği politikalarının onaylanması, kaynak sağlanması, BGYS'nin stratejik yönünün belirlenmesi
• BGYS Temsilcisi (Bilgi Güvenliği Müdürü): BGYS'nin kurulması, uygulanması, sürdürülmesi ve iyileştirilmesi, risk yönetimi, ihlal yönetimi, farkındalık eğitimleri
• Bilgi İşlem Sorumlusu: Teknik güvenlik önlemleri (firewall, antivirüs, yedekleme, erişim kontrolleri), sistem güvenliği, ağ güvenliği
• İnsan Kaynakları Sorumlusu: Personel güvenliği (işe alım süreçleri, gizlilik sözleşmeleri, işten ayrılma süreçleri)
• Kalite Müdürü: BGYS'nin entegre sistemle uyumu, doküman kontrolü, iç tetkikler
• Hukuk / KVKK Sorumlusu: Yasal uygunluk, KVKK/GDPR gereklilikleri, sözleşmeler
• Tüm Çalışanlar: Bilgi güvenliği politikalarına uymak, ihlalleri bildirmek, güvenli çalışma ortamı sağlamak

Terim	Açıklama
Gizlilik (Confidentiality)	Bilginin yetkisiz kişiler, varlıklar veya prosedürlere kullanılabilir yapılmama veya açıklanmama özelliği
Bütünlük (Integrity)	Varlıkların doğruluğunu ve tamlığını koruma özelliği
Erişilebilirlik (Availability)	Yetkili bir varlık tarafından talep edildiğinde erişilebilir ve kullanılabilir olma özelliği
Varlık (Asset)	Kuruluş için değeri olan herhangi bir şey (bilgi, yazılım, donanım, personel)
Tehdit (Threat)	Bir varlığın zarar görmesine neden olabilecek istenmeyen bir olayın potansiyel nedeni
Açıklık (Vulnerability)	Bir varlığın, bir tehdit tarafından istismar edilebilecek zayıflığı
Risk	Bir tehdidin bir açıklığı kullanması sonucu oluşabilecek zararın olasılığı ve etkisi
İhlal (Incident)	Bilgi güvenliğinin ihlal edildiği veya ihlal edilme potansiyeli olan olay
KVKK	6698 sayılı Kişisel Verilerin Korunması Kanunu
GDPR	General Data Protection Regulation (Avrupa Birliği Genel Veri Koruma Tüzüğü)

• 🔐 Bilgi varlıklarının gizliliği, bütünlüğü ve erişilebilirliği sağlanacaktır
• 🔐 Tüm çalışanlar bilgi güvenliği konusunda eğitilecek ve farkındalıkları artırılacaktır
• 🔐 Riskler tanımlanacak, değerlendirilecek ve uygun kontroller uygulanacaktır
• 🔐 Yasal ve düzenleyici gerekliliklere (KVKK, GDPR, 5651 sayılı kanun) tam uyum sağlanacaktır
• 🔐 İş sürekliliği sağlanacak ve felaket kurtarma planları hazırlanacaktır
• 🔐 Bilgi güvenliği ihlalleri raporlanacak ve düzeltici faaliyetler başlatılacaktır
• 🔐 Sürekli iyileştirme prensibi ile BGYS periyodik olarak gözden geçirilecektir

• 📋 Donanım varlıkları (PC, Notebook, Sunucu, Yazıcı, Ağ cihazları, Telefon, Kamera sistemleri, Omurga switch)
• 📋 Yazılım varlıkları (İşletim sistemleri, uygulama yazılımları, lisanslar)
• 📋 Bilgi varlıkları (Veritabanları, dokümanlar, projeler, arşivler)
• 📋 Hizmet varlıkları (E-posta, web sitesi, ağ hizmetleri, bulut hizmetleri)
• 📋 Personel varlıkları (Çalışanlar, yetkiler, roller)
• 📋 Fiziksel varlıklar (Bina, ofis, sistem odası, arşiv odası)

• ALTERNATİF: Firma kodu
• XX: Varlık türü (01: PC, 02: Notebook, 03: Telefon, 04: Yazıcı, 05: Kamera, 06: Yazılım, 07: Proje dokümanı, 08: Kişisel veri, 09: Finansal veri, 10: Gizlilik sözleşmesi, 11: E-posta yazışmaları, vb.)
• XXXX: Sıra numarası (0000-9999)

Sınıf	Tanım	Örnekler	Koruma Prensibi
GENEL	Alternatif Kalite ile ilgili olmayan veya herkesin erişebildiği bilgiler	Web sitesi bilgileri, katalog, broşür, basın bültenleri	Herkesle paylaşılabilir
KURUMA ÖZEL	İşle ilgili ancak yetkisiz kişilerin eline geçmesi durumunda itibar/maddi kayıp öngörülen	Prosedürler, talimatlar, iş planları, iç yazışmalar, telefon listeleri	İlgili bölümler için serbest, üçüncü kişilerle paylaşım veri sahibi onayı ile
GİZLİ	Yetkisiz erişimde kurumun operasyonlarını, imajını, gelirlerini olumsuz etkileyecek veya yasal olarak gizli tutulması gereken	Maaş bordroları, performans değerlendirmeleri, gizlilik sözleşmeleri, müşteri verileri, hasta verileri	Kırmızı etiket, yetkilendirilmiş kişiler, gizlilik anlaşması ile paylaşım

• 🟢 GENEL: Etiket gerektirmez veya yeşil etiket
• 🟡 KURUMA ÖZEL: Sarı etiket
• 🔴 GİZLİ: Kırmızı etiket, fiziksel kilitli dolap

• 📊 1. Kapsam Belirlenmesi: Risk analizine dahil edilecek varlıkların belirlenmesi
• 📊 2. Tehditlerin Belirlenmesi: Varlıklara yönelik tehditlerin listelenmesi
• 📊 3. Açıklıkların Belirlenmesi: Mevcut güvenlik açıklarının tespiti
• 📊 4. Olasılık Değerlendirmesi: Tehdidin gerçekleşme olasılığı (1-5 arası puanlama)
• 📊 5. Etki Analizi: Tehdit gerçekleştiğinde iş etkisi (Gizlilik, Bütünlük, Erişilebilirlik - 1-5 puan)
• 📊 6. Risk Değerinin Hesaplanması: Risk = Olasılık × Etki (Maks G, B, E)
• 📊 7. Mutlak Risk Değeri: Mutlak Risk = Varlık Değeri × Risk Değeri
• 📊 8. Risklerin Önceliklendirilmesi: Mutlak Risk değerine göre sıralama

Derece	Olasılık	Açıklama
1	Çok Düşük	3 yıldan seyrek
2	Düşük	Birkaç yılda bir
3	Orta	Yılda birkaç kez
4	Yüksek	Ayda birkaç kez
5	Çok Yüksek	Haftada birkaç kez

Derece	Etki Seviyesi	Açıklama
1	Çok Düşük	Tehdidin varlık üzerinde etkisi yok
2	Düşük	Sistem durmaz, yavaşlama olur
3	Orta	Sistem durur, 1 saatte toparlanır
4	Yüksek	Sistem durur, 1 günde toparlanır
5	Çok Yüksek	Sistem durur, 2 günden fazla toparlanır

• 🔴 25, 20, 16 (I. Öncelikli Riskler): Hemen müdahale gerektirir, yüksek risk
• 🟠 15, 12, 10 (II. Öncelikli Riskler): Kısa vadede müdahale gerektirir, orta-yüksek risk
• 🟡 9, 8, 6, 5 (III. Öncelikli Riskler): Planlı müdahale gerektirir, orta risk
• 🟢 4, 3, 2, 1 (IV. Öncelikli Riskler): Kabul edilebilir risk, izlemeye devam

• 🛡️ Kontrol (Azaltma): Riskleri azaltmak için uygun kontrollerin seçilmesi ve uygulanması (ISO 27001 Ek-A kontrolleri)
• ✅ Kabul: Riskin kabul edilebilir seviyede olması veya maliyet/fayda analizi sonucunda kabul edilmesi (Artık Risk Onayı)
• 🚫 Kaçınma (Sonlandırma): Risk kaynağının devre dışı bırakılması veya faaliyetin sonlandırılması
• ↪️ Aktarma: Riskin sigorta veya dış kaynak kullanımı ile başka bir kuruma aktarılması

• 👤 Kullanıcı hesapları, Bilgi İşlem Sorumlusu tarafından oluşturulur ve yetkilendirilir
• 👤 Yeni işe başlayan personel için işe başlama gününde hesap oluşturulur
• 👤 Personelin görev değişikliğinde yetkileri güncellenir
• 👤 İşten ayrılan personelin tüm erişim yetkileri en geç işten ayrılma günü sonunda iptal edilir
• 👤 Ayrıcalıklı erişim hakları (admin, root) yalnızca Bilgi İşlem Sorumlusu ve BGYS Temsilcisine verilir
• 👤 Erişim yetkileri yılda en az 1 kez gözden geçirilir (YGG toplantısında)

• 🔑 Parola en az 10 karakter uzunluğunda olmalıdır
• 🔑 En az bir büyük harf (A-Z), bir küçük harf (a-z), bir rakam (0-9) ve bir özel karakter (!@#$%^&* vb.) içermelidir
• 🔑 Kişisel bilgiler (isim, doğum tarihi, telefon) içermemelidir
• 🔑 Sözlükte bulunan kelimeler veya ardışık sayılar (123456, qwerty) kullanılmamalıdır
• 🔑 Parolalar her 3 ayda bir değiştirilmelidir
• 🔑 Son kullanılan 7 paroladan farklı olmalıdır
• 🔑 Parolalar kesinlikle kimseyle paylaşılmamalı, yazılmamalı, post-it'e yapıştırılmamalıdır
• 🔑 Başarısız parola denemelerinde 3 başarısız denemeden sonra hesap kilitlenir
• 🔑 Parola unutulduğunda, sıfırlama talebi Bilgi İşlem Sorumlusuna iletilir

• 🔐 Hassas ve gizli veriler (maaş bordroları, gizlilik sözleşmeleri, müşteri verileri) şifrelenmelidir
• 🔐 Taşınabilir medyalarda (USB bellek, harici disk) gizli veri taşınması gerektiğinde şifreleme kullanılır
• 🔐 E-posta ile gizli veri gönderiminde şifreli zip veya güvenli dosya paylaşım platformu kullanılır
• 🔐 VPN kullanımı zorunlu uzaktan erişimlerde kullanılır

• 📀 Günlük Yedekleme (12:30): Tüm sistemlerin imaj yedekleri (10 gün saklanır)
• 📀 Günlük Yedekleme (16:30): Veri/data yedekleri (Sql Server, Zirve, PDKS) (2 ay saklanır)
• 📀 Günlük Yedekleme (20:00): Tüm sistemlerin imaj yedekleri (1 hafta saklanır)
• 📀 Yedekler Qnap Backup Ünitesi ve Harici HDD'ye alınır
• 📀 Yedekler, Bilgi İşlem personeli dışında erişilemez
• 📀 Geri yükleme işlemleri yönetim onayı ile yapılır

İş Süreci	RTO (Kesintiye Tahammül Süresi)	RPO (Veri Kaybı Tahammülü)	Öncelik
İnternet ve Ağ Erişimi	12 saat	-	1
Elektronik Posta (E-posta)	12 saat	-	2
Elektrik, Klima vb. Altyapı	6 saat	6 saat	1

• 🏢 Doğal afetler (deprem, yangın, sel, fırtına)
• 🔌 Uzun süreli elektrik kesintisi
• 🌐 Uzun süreli internet kesintisi
• 💻 Siber saldırılar (fidye yazılım, DDoS, veri ihlali)
• 🏥 Acil sağlık olayları, salgın hastalık
• 🔐 Hassas bilgilerin dışarı sızması
• 📉 Olumsuz medya haberleri

• 🚨 Fiziksel/Çevresel: Yetkisiz personelin güvenli alanlarda bulunması, izinsiz fotoğraf/video kaydı
• 🚨 Varlık Güvenliği: Gizli evrakların başıboş bırakılması, yetkisiz bilgi paylaşımı
• 🚨 Sistem/Uygulama: Antivirüs uyarıları, sistem erişim problemleri, performans kaybı
• 🚨 Ağ/İletişim: Ağ izleme anormallikleri, internet kesintisi
• 🚨 Teçhizat: Cihaz kaybolması/çalınması, izinsiz donanım çıkarma
• 🚨 Fikri Mülkiyet: Lisanssız yazılım kullanımı
• 🚨 Yasal: T.C. Yasalarına uygunsuz davranışlar

• 📞 Acil durumlarda: Hemen telefonla BGYS Temsilcisine bildirim
• 📧 Planlı durumlarda: İhlal Bildirim Formu (FR.BG.003) doldurulur ve BGYS Temsilcisine iletilir
• 📝 İhlal, BGYS Temsilcisi tarafından kayıt altına alınır ve değerlendirilir
• 🔍 Kök neden analizi yapılır ve gerekli düzeltici faaliyetler başlatılır (PRC-016)
• 📊 İhlal istatistikleri yılda en az 1 kez YGG'de gözden geçirilir

• 🛑 Durdur: İhlalin devamını engelle (sistemi kapat, bağlantıyı kes)
• 🔍 Analiz Et: İhlalin kaynağını, kapsamını ve etkisini belirle
• 📦 İzole Et: Etkilenen sistemleri diğer sistemlerden ayır
• 💾 Kurtar: Yedekten geri yükle
• 📝 Raporla: İhlali dokümante et, gerekirse KVKK/GDPR kapsamında yetkili kuruma bildir (72 saat içinde)
• 🛠️ Düzeltici Faaliyet: Tekrarını önlemek için aksiyon al (PRC-016)

Alan	Güvenlik Durumu	Koruma Koşulları
Sistem Odası	Güvenli Alan	Anahtar BGYS Temsilcisi ve Bilgi İşlem'de; yetkisiz giriş yasak; yangın söndürme, klima, UPS var
Arşiv Odası	Güvenli Alan	Kilitli, nem/sıcaklık kontrollü; ilk kurtarılacak fiziksel varlık
Ofis Alanları	Merkez İçi Alan	Mesai saatlerinde açık; görevli personel olmadan diğer personel bulunamaz
Toplantı Salonu	Genel Alan	Ziyaretçiler refakatçi olmadan bulunamaz

• 📹 24 saat kesintisiz MOBESE sistemi ile izlenir
• 🚪 Tek giriş kapısı - güvenlik seti ve 24 saat kapalı
• 🔑 Oda anahtarları: Birim çalışanlarında, yedekleri İdari İşler'de
• 🔥 Yangın söndürme cihazları (sistem odasında yangın söndürme sistemi)
• ⚡ UPS: 15 dakika kesintisiz güç (veri kaybını önlemek)
• 🌡️ Sistem odası: Isı, nem, toz, kimyasallardan korumalı; kalorifer ve su tesisatı yok

• 🧹 Masa üzerinde gizli/kritik doküman bırakılmaz, kilitli çekmecelerde saklanır
• 🧹 Parolalar post-it vb. ile bilgisayar ekranına, klavyeye yapıştırılmaz
• 🧹 Bilgisayar başından ayrıldığında kilit (Windows + L) yapılır
• 🧹 Hassas belgeler yazıcıda veya fotokopide unutulmaz
• 🧹 Çöp kutularına gizli bilgi atılmaz, kâğıt imha makinesi kullanılır
• 🧹 Toplantı salonlarında toplantı sonrası tahtalar silinir, dokümanlar toplanır
• 🧹 USB bellek, harici disk, CD/DVD çalışma masasında bırakılmaz

• 🌐 İnternet hizmeti, iş amaçlı kullanılır; özel/kişisel kullanım yasaktır
• 🌐 Yasaklı sitelere (bahis, cinsellik, hacking, proxy, sosyal medya, oyun, video) erişim yasaktır
• 🌐 Çalıştırılabilir dosya (.exe, .scr, .bat) veya script dosyaları indirilmez/çalıştırılmaz
• 🌐 Firewall ve antivirüs programları devre dışı bırakılamaz
• 🌐 Erişim logları 5651 sayılı kanun gereği kayıt altına alınır

• 📧 E-posta adresi yalnızca iş takibinde kullanılır
• 📧 Kaynağı bilinmeyen e-postalar (spam, phishing) açılmaz; Bilgi İşlem'e bildirilir
• 📧 Zincir e-postalar iletilmez
• 📧 E-posta boyutu bir defada 13 MB'ı geçemez
• 📧 Dakikada 30, saatte 100 e-postayı geçemez
• 📧 Kesinlikle iş e-postası ile kişisel e-posta işlemleri yapılmaz

• 📱 Mobil cihazlar (Notebook, Tablet, Telefon) sürekli yanınızda taşınmalı, gözetimsiz bırakılmamalıdır
• 📱 Kaybolma/çalınma durumunda hemen BGYS Temsilcisine bildirilir
• 📱 Antivirüs yazılımı aktif olmalıdır
• 📱 Şirket verileri mümkünse mobil cihazda saklanmaz, sunucuya yüklenir
• 📱 Kamuya açık ortamlarda ekran görüntülerine dikkat edilmelidir

• 👥 İşe Alım: Referans kontrolü, özgeçmiş doğrulama, gizlilik sözleşmesi (FR.BG.001) imzalatılır
• 👥 Eğitim: Bilgi güvenliği farkındalık eğitimi yılda en az 1 kez tüm personele verilir
• 👥 Performans: Bilgi güvenliği ihlalleri disiplin sürecinde değerlendirilir
• 👥 İşten Ayrılma: Erişim yetkileri iptal edilir, donanım iadesi, gizlilik veliahtnamesi tekrar hatırlatılır
• 👥 Uzaktan Çalışma: VPN kullanımı zorunludur, şirket cihazları kullanılır

• 🤝 Tedarikçilerle gizlilik sözleşmesi (NDA) imzalanır
• 🤝 Tedarikçi personeli, refakatçi olmadan güvenli alanlarda bulunamaz
• 🤝 Tedarikçi bilgi güvenliği yetkinliği değerlendirilir (ISO 27001 sertifikası tercih sebebi)
• 🤝 Tedarikçi erişim ihtiyaçları (VPN, sistem) tamamlandığında iptal edilir

• 📋 BGYS iç tetkikleri yılda en az 1 kez yapılır (ISO 27001 kapsamında)
• 📋 YGG toplantılarında BGYS performansı, risk durumu, ihlaller, iyileştirme önerileri görüşülür
• 📋 YGG çıktıları doğrultusunda gerekli aksiyonlar alınır (PRC-016)

• 📈 Periyodik risk değerlendirmesi (6 ayda bir veya majör değişikliklerde)
• 📈 Düzeltici faaliyetlerin etkinlik takibi (PRC-016)
• 📈 İç tetkik bulgularının kapatılması
• 📈 Personel farkındalık eğitimlerinin güncellenmesi
• 📈 Yeni tehdit ve zafiyetlerin izlenmesi ve aksiyon alınması
• 📈 Teknolojik yeniliklerin takibi (yapay zeka tehditleri, siber güvenlik güncellemeleri)

• 📄 Gizlilik Sözleşmesi (FR.BG.001)
• 📄 Yönetimin Taahhüdü (FR.BG.002)
• 📄 İhlal Bildirim Formu (FR.BG.003)
• 📄 Erişim Matrisi (FR.BG.004)
• 📄 Donanımı Dışarı Çıkarma Formu (FR.BG.005)
• 📄 Uygulanabilirlik Bildirgesi (FR.BG.006)
• 📄 Artık Risk Onayı (FR.BG.008)
• 📄 KVKK Başvuru Formu (FR.BG.009)
• 📄 Bilgi Güvenliği Risk Analizi (FR.BG.011)
• 📄 Varlık Envanter Listesi (LS.BG.001)
• 📄 Donanım Yazılım Envanter Listesi (LS.BG.002)
• 📄 Kişisel Veri Envanteri (LS.BG.003)
• 📄 Eğitim Kayıtları
• 📄 Yedekleme Logları
• 📄 İç Tetkik Raporları
• 📄 YGG Tutanakları

• 📄 M01-PRC-007 - Düzeltici Faaliyet Prosedürü
• 📄 M01-PRC-004 - Risk ve Fırsat Yönetimi Prosedürü
• 📄 M01-PRC-001 - Dokümante Edilmiş Bilgi Prosedürü
• 📄 ISO/IEC 27001:2026 - Bilgi Güvenliği Yönetim Sistemi Standardı
• 📄 KVKK (6698 sayılı Kişisel Verilerin Korunması Kanunu)
• 📄 GDPR (EU General Data Protection Regulation - Genel Veri Koruma Tüzüğü)
• 📄 5651 sayılı Kanun (İnternet Ortamında Yapılan Yayınların Düzenlenmesi)

Revizyon No	Revizyon Tarihi	Revizyon Nedeni	Değiştiren	Otomatik
01	02.05.2026 00:00:00	İlk yayın - Bilgi güvenliği yönetim sistemi (BGYS), varlık yönetimi, risk yönetimi, erişim kontrolü, parola politikası, iş sürekliliği (yedekleme, RTO/RPO), ihlal yönetimi, fiziksel güvenlik, temiz masa politikası, ağ ve iletişim güvenliği, personel güvenliği, KVKK/GDPR uyumu.	BGYS Temsilcisi	❌ Hayır