Sızma testi ile zafiyet taraması arasındaki fark nedir?

Zafiyet taraması otomatik araçlarla yapılan ve bilinen açıkları listeleyen yüzeysel bir işlemdir. Sızma testi ise uzman bir etik hacker tarafından yapılan, bulunan açığın gerçekten istismar edilebilir olup olmadığını manuel olarak kanıtlayan derinlikli bir analizdir. Zafiyet taraması saatler sürer, sızma testi günler veya haftalar sürer.

Sızma testi ne kadar sürer?

Standart bir kurumsal sızma testi, kapsama bağlı olarak ortalama 5 ile 20 iş günü arasında sürer. Küçük ölçekli web uygulama testi 3-5 gün, orta ölçekli iç ve dış ağ testi 10-15 gün, kapsamlı kurumsal Red Team operasyonu ise 30-90 gün sürebilir. Raporlama dahil toplam süre genelde 3-4 haftadır.

Sızma testi ne kadar sıklıkla yapılmalı?

Hem KVKK Kurulu hem de uluslararası standartlar (ISO 27001, PCI DSS) sızma testinin yılda en az bir kez tekrarlanmasını önerir. Bunun yanında altyapıda büyük değişiklik, yeni uygulama devreye alımı, sunucu taşıma, ciddi güvenlik olayı veya kritik güncelleme sonrası ek test yapılmalıdır.

Sızma testi fiyatları ne kadardır?

Sızma testi fiyatları kapsama, sistem büyüklüğüne, test türüne ve yetki belgelerine göre değişir. Türkiye'de küçük ölçekli web uygulama testleri 25.000 TL'den, orta ölçekli kurumsal testler 75.000 - 250.000 TL aralığında, geniş kapsamlı Red Team operasyonları 500.000 TL üzerinde fiyatlandırılır. TSE A Sınıfı yetki belgeli firmalar yasal geçerliliği olan rapor sunar.

Sızma testi sistemleri çökertir mi?

Hayır. Profesyonel ve TSE A Sınıfı yetki belgeli firmalar, üretim sistemlerine zarar vermeden test yapar. Yıkıcı potansiyeli yüksek olan adımlar test ortamında veya önceden mutabık kalınan bakım pencerelerinde yürütülür. Test öncesi imzalanan kapsam belgesi (RoE - Rules of Engagement), hangi sistemlerin ve hangi tekniklerin kullanılabileceğini net şekilde belirler.

Black box, gray box ve white box sızma testi arasındaki fark nedir?

Black box testte saldırgan sisteme dair hiçbir bilgi olmadan başlar; dış saldırganı simüle eder. Gray box testte sınırlı bilgi (örneğin standart bir kullanıcı hesabı) verilir; iç tehditleri simüle eder. White box testte ise saldırgana mimari, kaynak kodu ve tüm bilgi verilir; en derin analizi sağlar. Kurumlar genelde gray box yaklaşımını tercih eder çünkü maliyet/derinlik dengesi en iyi seviyededir.

Sızma testi yaptıran firmaya hangi belge verilir?

Sızma testi sonunda iki belge teslim edilir: 1) Yönetici Özeti Raporu (Executive Summary) - üst yönetim için iş etkisi odaklı kısa rapor, 2) Teknik Detay Raporu - BT ekipleri için her bulgunun CVSS puanı, kanıt ekran görüntüleri, istismar adımları ve çözüm önerileriyle birlikte sunulduğu kapsamlı dokümandır. Düzeltme sonrası yapılan re-test sonucu da ayrı bir doğrulama raporuyla belgelenir.

Sızma testi firması seçerken neye dikkat etmeliyim?

Firma seçerken şu kriterleri kontrol edin: TSE TS 13638 A Sınıfı sızma testi yetki belgesi, ISO 27001 sertifikası, uzmanların OSCP/CEH/OSEP gibi uluslararası sertifikaları, sektörel referanslar, OWASP/PTES/OSSTMM metodolojilerine uyum, gizlilik (NDA) ve sorumluluk sigortası, örnek rapor şeffaflığı ve test sonrası ücretsiz re-test imkanı.

KVKK ve ISO 27001 entegrasyonu ne kadar sürer?

Entegrasyon süresi kuruluşun büyüklüğüne ve mevcut olgunluk seviyesine bağlıdır. Orta ölçekli bir kuruluş için genellikle 6-12 ay arasında bir süre öngörülür. Sıfırdan başlayan kuruluşlarda bu süre 12-18 aya kadar uzayabilir.

Entegrasyon sürecinde hangi departmanlar dahil edilmelidir?

Bilgi teknolojileri, hukuk, insan kaynakları, pazarlama, satış, finans ve operasyon departmanları dahil edilmelidir. Üst yönetimin sponsorluğu ve her departmandan bir temsilcinin bulunduğu bir çalışma grubu oluşturulması önerilir.

KVKK ihlallerinde uygulanan cezalar nelerdir?

KVKK kapsamında idari para cezaları 2026 yılı itibarıyla aydınlatma yükümlülüğüne aykırılık halinde yaklaşık 50.000 TL ile 1.000.000 TL, veri güvenliğine ilişkin yükümlülüklere aykırılık halinde ise 150.000 TL ile 3.000.000 TL arasında değişen tutarlarda uygulanabilmektedir.

DLP şirketlere ne kazandırır?

DLP çözümleri şirketlere KVKK ve GDPR uyumluluğu sağlar, fikri mülkiyet ve ticari sırları korur, hangi personelin ne zaman hangi hassas dosyayı nereye kopyalamaya çalıştığını raporlar ve hukuki süreçlerde yasal kanıt olarak kullanılabilir.

DLP KVKK uyumuna nasıl yardımcı olur?

KVKK'nın zorunlu kıldığı teknik tedbirlerin başında yetkisiz erişimlerin ve veri sızıntılarının engellenmesi gelir. DLP sistemi, TC Kimlik Numarası, kredi kartı verisi veya sağlık verisi içeren dosyaların kurum dışına çıkarılma girişimlerini otomatik olarak engeller ve kurum bu yükümlülüklerini yerine getirmiş olur.

Sızma Testi (Penetrasyon Testi) Nedir? Kapsamlı Kurumsal Güvenlik Rehberi 2026

Blog / Siber Güvenlik

Sızma Testi (Penetrasyon Testi) Nedir? Kapsamlı Kurumsal Güvenlik Rehberi 2026

📅 12 Mart 2026 ✏️ Güncelleme: 18 Mayıs 2026 👤 İnvekor Siber Güvenlik Ekibi ⏱️ Okuma süresi: 14 dk

Sızma Testi ve Kurumsal Siber Güvenlik - İnvekor Bilgi Teknolojileri

⚡ HIZLI ÖZET

Sızma testi (penetration testing veya pentest), yetkili siber güvenlik uzmanlarının bir kurumun bilgi sistemlerine kontrollü ve yasal bir şekilde gerçekleştirdiği saldırı simülasyonudur. Amaç, gerçek bir saldırganın sömürebileceği güvenlik açıklarını onlardan önce bulmak ve kapatmaktır.

Türkiye’de KVKK 12. madde, 7545 sayılı Siber Güvenlik Kanunu, BDDK, BTK ve ISO 27001 standardı kapsamında belirli kurumlar için yılda en az bir kez yapılması yasal zorunluluktur. Yapmamanın cezası 10 milyon TL’ye kadar idari yaptırımdır. Ortalama maliyet kapsama göre 25.000 TL ile 500.000+ TL arasında değişir; süre 5-20 iş günüdür.

📑 Bu Rehberde Neler Var?

Sızma Testi Nedir? (Detaylı Tanım)
Zafiyet Taraması ile Sızma Testi Farkı
Türkiye’de Yasal Zorunluluklar (KVKK, 7545, BDDK)
Sızma Testi Neden Hayati? (Veriler ve İstatistikler)
Sızma Testi Aşamaları (5 Adımlı Süreç)
Sızma Testi Türleri ve Kapsamları
Black Box, Gray Box, White Box Karşılaştırması
Sızma Testi Fiyatları ve Süreleri
Ne Sıklıkla Yaptırılmalı?
Doğru Sızma Testi Firması Nasıl Seçilir?
Yapay Zeka Çağında Sızma Testi
Sıkça Sorulan Sorular

Milyonlarca liralık güvenlik duvarları (Firewall) veya en gelişmiş antivirüs yazılımlarını satın almış olmanız, sisteminizin “hacklenemez” olduğu anlamına gelmez. Siber saldırganlar her zaman sisteminizdeki en ufak bir konfigürasyon hatasını veya en zayıf halkayı arar. Kurduğunuz dijital savunma hatlarının gerçekten işe yarayıp yaramadığını öğrenmenin tek ve kesin bir yolu vardır: Sistemlerinize tıpkı bir hacker gibi saldırmak.

Sızma Testi Nedir?

Sızma testi (Penetration Testing veya kısaca Pentest), siber güvenlik dünyasında “Beyaz Şapkalı Hackerlar” (Etik Hackerlar) olarak adlandırılan yetkilendirilmiş uzmanlar tarafından bir kurumun bilgi sistemlerine kontrollü ve yasal olarak gerçekleştirilen saldırı simülasyonudur. Amaç, kötü niyetli siber korsanların (Siyah Şapkalı Hackerlar) şirket ağına, web sitesine, mobil uygulamalara, sunuculara veya bulut altyapısına sızmak için kullanabileceği güvenlik açıklarını onlardan önce bulmak, istismar etmek ve kanıtlarıyla raporlamaktır.

Sızma testi yalnızca bir “açık listesi” çıkarmaz. Gerçek bir saldırganın bu açıkları kullanarak hangi verilere erişebileceğini, hangi sistemlere ulaşabileceğini ve potansiyel zararın boyutunu somut olarak ortaya koyar. Bu yönüyle, modern bir siber güvenlik programının vazgeçilmez doğrulama mekanizmasıdır.

Tek Cümleyle Sızma testi, kurumun “hackerlar bizi gerçekten yenebilir mi?” sorusuna teorik tahminlerle değil, kontrollü saldırı kanıtlarıyla cevap veren bilimsel bir güvenlik denetimidir.

Zafiyet Taraması ile Sızma Testi Arasındaki Kritik Fark

Kurumların düştüğü en yaygın yanılgılardan biri, otomatik araçlarla yapılan “Zafiyet Taraması” (Vulnerability Scanning) işlemini Sızma Testi (Pentest) ile karıştırmaktır. İkisi farklı amaçlara hizmet eder ve birbirinin yerine geçmez. Aşağıdaki tablo bu farkı net şekilde özetler:

Kriter	Zafiyet Taraması	Sızma Testi (Pentest)
Yöntem	Otomatik araçlar (Nessus, OpenVAS, Qualys)	Otomatik araçlar + uzman manuel analiz
Süre	Birkaç saat – 1 gün	5 – 20 iş günü
Derinlik	Yüzeysel; bilinen açıkları listeler	Derin; açıkları istismar ederek kanıtlar
Yanlış Alarm (False Positive)	Yüksek (%30-50)	Çok düşük (her bulgu doğrulanır)
Maliyet	Düşük (5.000 – 25.000 TL)	Yüksek (25.000 TL – 500.000+ TL)
İş Mantığı Hataları	Tespit edemez	Tespit eder
KVKK / ISO 27001 Geçerliliği	Tek başına yeterli değil	Yasal denetimlerde geçerli
Rapor İçeriği	Açık listesi	Açık + istismar kanıtı + iş etkisi + çözüm
Kullanım Sıklığı	Aylık / haftalık	Yılda 1-2 kez

💡 Pratik Yaklaşım

Profesyonel bir siber güvenlik programı her iki yöntemi de birlikte kullanır: düzenli zafiyet taraması günlük hijyen, yıllık sızma testi ise derinlemesine güvenlik denetimi sağlar. Sadece zafiyet taraması yaptırmak, KVKK Kurulu’nun “uygun güvenlik düzeyi” beklentisini karşılamaz.

Türkiye’de Sızma Testi Yasal Zorunluluk mudur?

Kısa cevap: Evet. Birçok kurum ve sektör için sızma testi artık seçenek değil, yasal yükümlülüktür. 12 Mart 2025’te yürürlüğe giren 7545 sayılı Siber Güvenlik Kanunu ile birlikte Türkiye’de siber güvenlik mevzuatı tek çatı altında toplanmış ve sert yaptırımlar getirilmiştir. Aşağıdaki tablo, kurumunuzu doğrudan etkileyebilecek temel regülasyonları özetlemektedir:

Regülasyon	Kapsam	Zorunluluk	Yaptırım
KVKK Madde 12	Kişisel veri işleyen tüm kurum ve kuruluşlar	“Uygun güvenlik düzeyi” için teknik tedbir – sızma testi Kurul rehberinde açıkça önerilir	1,7 milyon – 13,5 milyon TL idari para cezası (2026 güncel)
7545 Sayılı Siber Güvenlik Kanunu	Kritik altyapılar, kamu kurumları, finans, enerji, sağlık, telekomünikasyon	Düzenli sızma testi zorunlu	10 milyon TL’ye kadar idari ceza, yöneticilere hapis riski
BDDK Yönetmeliği (2021)	Bankalar, ödeme/elektronik para kuruluşları	Yılda en az 1 kez sızma testi	Faaliyet kısıtlaması, lisans riski
BTK Elektronik Haberleşme Güvenliği Yönetmeliği (Md. 9)	Telekom operatörleri, ISS’ler	Periyodik sızma testi	İdari ceza, faaliyet yaptırımı
ISO/IEC 27001 Standardı	Sertifika almak isteyen tüm kurumlar	Kontrol etkinliği için sızma testi	Sertifika reddi/iptali
PCI DSS	Kart verisi işleyen e-ticaret ve POS işleten firmalar	Yılda 1 kez ve büyük değişiklik sonrası	Kart programlarından çıkarılma
SPK Bilgi Sistemleri Yönetmeliği	Aracı kurumlar, portföy yönetim şirketleri	Periyodik sızma testi ve iç denetim	İdari yaptırım, faaliyet kısıtlaması

⚠️ Kritik Uyarı: KVKK Kurulu İçtihatları

KVKK Kurulu, son dönemde sonuçlandırdığı veri ihlali soruşturmalarında “sızma testi yaptırmamış olmayı” tek başına ağırlaştırıcı sebep olarak değerlendirmektedir. Kurul’un yerleşik yaklaşımına göre, sızma testi yapılmamışsa “veri sorumlusunun gerekli teknik tedbirleri almadığı” varsayılır ve ceza üst sınırdan kesilir. Sızma testi yaptırmak idari risk yönetiminin de bir parçasıdır.

Önemli bir not: Türkiye’de hazırlanan sızma testi raporlarının BDDK, BTK, KVKK ve kamu denetimlerinde geçerli sayılması için, testi yapan firmanın TSE TS 13638 A Sınıfı Sızma Testi Yetki Belgesi‘ne sahip olması büyük avantaj sağlar. Belgesiz firmaların raporları bazı denetim süreçlerinde kabul edilmemektedir.

Sızma Testi Neden Hayati Önemde? Verilerle Anlatım

Siber tehditlerin boyutunu somut rakamlarla görmek, sızma testinin neden bir “maliyet kalemi” değil “sigorta poliçesi” olduğunu netleştirir:

10,5T $ 2025’te küresel siber suç maliyeti Cybersecurity Ventures, 2025

4,46M $ Ortalama bir veri ihlalinin maliyeti IBM Cost of a Data Breach

39 sn Dünyada bir siber saldırı arası süre Maryland Üniversitesi

+%8 Türkiye’de fidye yazılımı saldırı artışı Kaspersky Security Network

8,07M $ Orta Doğu ortalama ihlal maliyeti IBM 2024 Raporu

5. Türkiye, en çok siber saldırıya maruz kalan ülkeler sıralaması Accenture Cyber Risk Report

IBM’in Veri İhlallerinin Maliyeti Raporu’na göre, ortalama bir siber saldırı kuruma 4,46 milyon dolar kayba neden olmaktadır. Aynı raporda Orta Doğu bölgesi 8,07 milyon dolar ortalama ile dünya ikinciliğindedir. Türkiye, Para Dergisi’nde yayımlanan analize göre kendi bölgesinde en fazla siber saldırıya uğrayan ülke konumundadır. Cybersecurity Ventures’ın projeksiyonu, 2025 yılında siber suçların küresel maliyetinin 10,5 trilyon doları aşacağını göstermektedir.

Sızma Testinin Kuruma Sağladığı Somut Faydalar

Sızma testinin pratik getirileri yalnızca “açıkları bulmak” ile sınırlı değildir. İşletmenize şu somut faydaları sağlar:

Proaktif Savunma: Siber saldırı başınıza geldikten sonra yara sarmak, müşteri verilerini kurtarmak ve fidye ödemek devasa maliyetler doğurur. Sızma testi olası felaketi yaşanmadan önce engeller.
Yasal Regülasyonlara Uyum: KVKK, 7545 sayılı Kanun, BDDK, ISO 27001 ve GDPR gibi standartlar bağımsız sızma testlerini zorunlu kılar.
İtibar ve Finansal Koruma: Müşteri verilerinin çalınması veya fidye yazılımı kilitlenmesi telafisi zor itibar kayıplarına yol açar. Müşteriler verilerini koruyamayan bir şirketle çalışmak istemez.
Sigorta Primi İndirimi: Siber sigorta sağlayıcıları, sızma testi yaptıran kurumlara genelde %15-30 daha düşük prim teklif eder.
Yatırımcı ve Müşteri Güveni: Özellikle B2B sözleşmelerinde, alıcı tarafın “güncel sızma testi raporu” istemesi yaygınlaşmıştır.
Çalışan Farkındalığı: Sosyal mühendislik testleri, sadece teknolojinin değil insan faktörünün de güvenlikteki rolünü ortaya koyar.

Sızma Testi Aşamaları: 5 Adımda Profesyonel Süreç

İnvekor Bilgi Teknolojileri olarak gerçekleştirdiğimiz sızma testleri, uluslararası kabul görmüş metodolojilere OWASP, PTES (Penetration Testing Execution Standard), OSSTMM (Open Source Security Testing Methodology Manual) ve NIST SP 800-115 dayanır. Süreç 5 ana aşamadan oluşur:

Bilgi Toplama (Reconnaissance) Hedef kurum hakkında açık kaynaklardan (OSINT), DNS kayıtlarından, Shodan ve Censys gibi servislerden, Dark Web sızıntı veritabanlarından ve sosyal medyadan bilgi toplanır. IP blokları, alt alan adları, çalışan e-postaları, kullanılan teknoloji yığını, sızdırılmış kimlik bilgileri ve potansiyel saldırı yüzeyleri haritalanır.
Tarama ve Sınıflandırma (Scanning & Enumeration) Tespit edilen sistemlerde açık portlar, çalışan servisler, yazılım sürümleri ve potansiyel zafiyetler Nmap, Nessus, Burp Suite, Nuclei gibi araçlarla taranır. Web uygulamalar için OWASP Top 10 kontrolü, ağ için CVE eşleştirmesi yapılır. Bulgular CVSS skoruna göre kritiklik seviyesinde sınıflandırılır.
Sisteme Sızma (Exploitation) Bulunan zafiyetler — SQL Injection, XSS, RCE (Remote Code Execution), zayıf parolalar, hatalı yetkilendirme, yanlış yapılandırma — manuel olarak istismar edilir. Otomatik araçların kaçırdığı iş mantığı hataları (business logic flaws) bu aşamada ortaya çıkar. Her başarılı istismar ekran görüntüleri ve loglarla belgelenir.
Yetki Yükseltme ve Yanal Hareket (Post-Exploitation) Sisteme düşük yetkilerle girildiyse Admin/Root hakları elde edilmeye çalışılır. Active Directory üzerinde Domain Admin yetkisine ulaşma, BloodHound ile saldırı yollarının haritalanması, kritik veritabanlarına erişim ve diğer sunuculara yanal hareket (lateral movement) testleri yürütülür. Bu aşama “bir saldırgan içeri girerse ne kadar ilerleyebilir?” sorusunu yanıtlar.
Raporlama ve Re-Test Tüm bulgular iki rapor halinde sunulur: yöneticiler için Executive Summary (iş etkisi odaklı), teknik ekipler için Detaylı Teknik Rapor (CVSS skoru, kanıtlar, istismar adımları, çözüm önerileriyle birlikte). Düzeltmeler yapıldıktan sonra ücretsiz re-test ile bulguların kapatıldığı doğrulanır ve nihai uygunluk raporu hazırlanır.

Sızma Testi Türleri ve Kapsamları

İhtiyaçlarınıza ve sistem mimarinize uygun olarak İnvekor bünyesinde farklı türde sızma testleri yürütüyoruz. Her testin amacı, kapsamı ve tipik süresi farklıdır:

1. Dış Ağ (External Network) Sızma Testi

Şirketinizin internete açık tüm yüzeylerinin — web sunucuları, e-posta sunucuları, VPN portları, güvenlik duvarı arayüzleri, RDP portları, uzak yönetim panelleri — dünyanın herhangi bir yerinden gelebilecek saldırılara karşı dayanıklılığını ölçer. Tipik süre: 5-10 iş günü.

2. İç Ağ (Internal Network) Sızma Testi

Saldırganın şirket ağına bir şekilde sızdığı (ofis kablosuna bağlandığı, bir çalışanın bilgisayarını zararlı yazılımla ele geçirdiği veya kötü niyetli bir çalışan olduğu) senaryolarda iç ağ üzerinde ne kadar ilerleyebileceği test edilir. Active Directory güvenliği, veritabanları, ERP/CRM sistemleri ve dosya paylaşımları detaylıca incelenir. Tipik süre: 7-15 iş günü.

3. Web ve Mobil Uygulama Güvenlik Testleri

Kurumunuza ait web siteleri, e-ticaret altyapıları, CRM sistemleri, API’ler, iOS ve Android tabanlı mobil uygulamalar üzerinde gerçekleştirilen kapsamlı OWASP Top 10 ve OWASP Mobile Top 10 testleridir. Kullanıcı verilerinin çalınıp çalınamayacağı, iş mantığı (business logic) hataları, yetkilendirme atlatma (privilege escalation) ve API güvenliği kontrol edilir. Tipik süre: 5-12 iş günü.

4. Sosyal Mühendislik ve Oltalama (Phishing) Testleri

Siber güvenliğin en zayıf halkası donanım değil, her zaman insandır. Kurum çalışanlarına yönelik senaryolu oltalama e-postaları (phishing), telefon aramaları (vishing), SMS dolandırıcılığı (smishing) ve fiziksel sızma denemeleri yapılarak farkındalık ölçülür. Test sonunda kimlerin tuzaklara düştüğü, parolaları paylaşıp paylaşmadıkları raporlanır ve hedefli eğitim planı hazırlanır. Tipik süre: 2-4 hafta.

5. Kablosuz Ağ (Wireless) Sızma Testleri

Şirket Wi-Fi ağlarının güvenliği test edilir. Misafir ağından kurum içi sunuculara geçiş yapılıp yapılamadığı, WPA2/WPA3 şifreleme algoritmalarının dayanıklılığı, Evil Twin saldırı senaryoları ve sahte erişim noktası testleri yürütülür. Tipik süre: 3-5 iş günü.

6. Bulut Altyapı (Cloud) Sızma Testleri

AWS, Azure veya Google Cloud üzerinde çalışan altyapılarda yanlış IAM yapılandırmaları, açık S3 bucket’ları, gereksiz yetkiler, container ve Kubernetes güvenliği test edilir. Hibrit ve çoklu bulut mimariler için kritik önem taşır. Tipik süre: 5-15 iş günü.

7. Red Team Operasyonları

Standart sızma testinin çok ötesine geçen, kurumun savunmasını (Blue Team) gerçek bir APT (Advanced Persistent Threat) saldırı senaryosuyla test eden uzun soluklu operasyondur. Fiziksel sızma, sosyal mühendislik, malware geliştirme ve uzun süreli kalıcılık (persistence) içerir. Tipik süre: 1-3 ay.

Black Box, Gray Box ve White Box Sızma Testi Karşılaştırması

Sızma testi başlatılırken kurumun teste sunduğu bilgi miktarına göre üç temel yaklaşım vardır. Hangisini seçeceğiniz, simüle etmek istediğiniz tehdit modeline göre değişir:

Kriter	Black Box	Gray Box	White Box
Verilen Bilgi	Hiçbir bilgi yok – sadece şirket adı	Sınırlı bilgi – standart kullanıcı hesabı	Tam bilgi – mimari, kaynak kod, kimlik bilgisi
Simüle Edilen Tehdit	Dışarıdan hedefli saldırgan	Kötü niyetli çalışan veya phishing kurbanı	Tam denetim ihtiyacı
Süre	Uzun (15-30 gün)	Orta (7-15 gün)	Kısa (5-10 gün)
Maliyet	Yüksek	Orta	Düşük (zaman/gün başına)
Açık Tespit Oranı	Düşük – sadece dışarıdan bulunabilenler	Yüksek – iç + dış birlikte	Çok yüksek – kod seviyesinde
Gerçekçilik	Çok yüksek	Yüksek	Düşük (saldırgan bu kadar bilgiye genelde sahip olmaz)
Önerildiği Senaryo	Olgun güvenlik programı, kırmızı takım tatbikatı	Çoğu kurumsal sızma testi (en yaygın seçim)	Yeni geliştirilen yazılım, kritik finansal sistem

💡 Hangisini Seçmeliyim?

Çoğu kurum için Gray Box yaklaşımı maliyet ve derinlik arasında en iyi dengeyi sunar. İlk kez sızma testi yaptıracak firmalar için Gray Box önerilir; olgun güvenlik programı olan kurumlar Black Box ile gerçek dünya senaryosunu test edebilir. Kritik yeni geliştirilen bir bankacılık uygulaması veya sağlık sistemi için White Box ideal seçimdir.

Sızma Testi Fiyatları ve Süreleri (2026 Türkiye)

“Sızma testi ne kadar?” sorusu kurumların en sık sorduğu sorudur ve cevap “duruma göre değişir” olmak zorundadır. Fiyatı belirleyen ana faktörler şunlardır:

Kapsam genişliği: Test edilecek IP adedi, web uygulama sayısı, kullanıcı rolleri
Test türü: Web, ağ, mobil, sosyal mühendislik, Red Team
Yaklaşım: Black Box, Gray Box veya White Box
Firma yetki belgeleri: TSE A Sınıfı, CREST, OSCP’li uzman sayısı
Re-test ihtiyacı: Düzeltme sonrası doğrulama testi
Aciliyet: Standart takvim mi, ekspres mi?

Test Kapsamı	Tipik Süre	Fiyat Aralığı (TL, 2026)	Uygun Olduğu Kurum
Tek Web Uygulama (küçük)	3-5 iş günü	25.000 – 60.000	KOBİ, e-ticaret, SaaS startuplar
Web + API Detaylı	7-12 iş günü	60.000 – 150.000	Orta ölçekli SaaS, fintech
Dış Ağ Sızma Testi	5-10 iş günü	50.000 – 180.000	Kurumsal şirketler, KVKK uyum
İç Ağ + Active Directory	10-15 iş günü	120.000 – 350.000	Holding, fabrika, üniversite
Mobil Uygulama (iOS + Android)	5-10 iş günü	50.000 – 140.000	Bankacılık ve fintech uygulamaları
Phishing Kampanyası	2-4 hafta	35.000 – 120.000	500+ çalışanlı kurumlar
Komple Kurumsal (Web + Ağ + Sosyal)	20-30 iş günü	250.000 – 500.000	Banka, sigorta, kamu, hastane
Red Team Operasyonu	1-3 ay	500.000 – 1.500.000+	Olgun güvenlik programı olan kurumlar

⚠️ Çok Ucuz Tekliflere Dikkat

Piyasada “15.000 TL’ye komple sızma testi yaparız” diyen firmalar vardır. Bu tür testler genelde sadece otomatik zafiyet taramasıdır, gerçek bir sızma testi değildir. KVKK veya BDDK denetiminde bu raporlar geçerli sayılmamakta, hatta “yetkisiz uzman tarafından yapıldığı” gerekçesiyle ek ceza riski doğurabilmektedir. Yetki belgeli firma seçmek, hem güvenlik hem hukuki açıdan kritik.

Sızma Testi Ne Sıklıkla Yaptırılmalıdır?

Siber güvenlik statik değil, dinamik bir süreçtir. Dün güvenli olan bir sistem, bugün çıkan yeni bir zafiyet (Zero-Day) sebebiyle savunmasız kalabilir. Genel kural ve uluslararası standartlar şunu söyler:

Asgari Sıklık Sızma testleri yılda en az bir kez periyodik olarak yaptırılmalıdır. Bu, hem ISO 27001 hem PCI DSS hem de KVKK Kurulu rehberinin önerdiği asgari sıklıktır.

Yıllık testin yanında aşağıdaki durumlarda mutlaka ek sızma testi yapılmalıdır:

Yeni bir web/mobil uygulama yayınlandığında
Bilgi işlem altyapısında büyük değişiklik (veri merkezi taşıma, bulut geçişi) yapıldığında
Yeni bir kritik servis veya API devreye alındığında
Active Directory mimarisinde major değişiklik olduğunda
Ciddi bir güvenlik olayı (siber saldırı, veri sızıntısı) yaşandıktan sonra
M&A süreçlerinde (satın alma/birleşme öncesi due diligence)
Kritik bir güvenlik yaması veya konfigürasyon değişikliği sonrası

Sektörel olarak finans, sağlık ve kritik altyapı kurumlarının yılda 2-4 kez test yaptırması; bankacılık uygulamalarında ise her major sürüm öncesi test yaptırılması iyi uygulama olarak kabul edilmektedir.

Doğru Sızma Testi Firması Nasıl Seçilir?

Sızma testi, sisteminizin en mahrem bilgilerine ve mimarisine erişen bir hizmettir. “En ucuzunu seçmek” hem güvenlik hem yasal açıdan ciddi risk doğurur. Firma seçerken aşağıdaki kriterleri sırayla kontrol edin:

Kritik Kontrol Listesi

TSE TS 13638 A Sınıfı Sızma Testi Yetki Belgesi: Türkiye’de hukuki geçerlilik için tek resmi belge.
ISO/IEC 27001 Sertifikası: Firmanın kendi bilgi güvenliği yönetimi olgun mu?
Uzmanların uluslararası sertifikaları: OSCP, OSEP, OSCE, CEH, CISSP, GPEN, CRTP — kaç tane var, hangi seviyede?
Sektörel referanslar: Benzer sektörde (finans, sağlık, e-ticaret) referansları var mı?
Metodoloji şeffaflığı: OWASP, PTES, OSSTMM, NIST 800-115 hangi metodolojileri kullanıyor?
Örnek rapor: Anonim örnek rapor görmek isteyin — derinliği ve kalitesi buradan anlaşılır.
Gizlilik (NDA) ve sigorta: Mesleki sorumluluk sigortası ve karşılıklı NDA standart olmalı.
Re-test imkanı: Düzeltme sonrası ücretsiz re-test sunuluyor mu?
Yerli uzman ekip: Outsource veya alt yüklenici değil, kendi bordrolu uzman kadrosu olmalı.
İletişim ve raporlama dili: Türkçe + İngilizce rapor sunuluyor mu? Üst yönetim sunumu yapılıyor mu?

Yapay Zeka Çağında Sızma Testi: 2026 ve Sonrası

🤖 Yapay Zeka, Hem Saldıranı Hem Savunanı Değiştiriyor

2026 itibarıyla siber saldırganların büyük çoğunluğu yapay zeka destekli araçlar kullanıyor. Otomatik phishing kampanyaları, deepfake sesli aramalar, AI ile yazılmış polimorfik zararlı yazılımlar ve hedefli sosyal mühendislik artık standart haline geldi. Bu, sızma testlerinin de evrim geçirmesini zorunlu kıldı.

Modern bir sızma testi artık yalnızca klasik OWASP Top 10’a bakmıyor. Yapay zeka çağında ortaya çıkan yeni saldırı yüzeyleri de test kapsamına alınıyor:

AI Çağı Spesifik Test Senaryoları

LLM Güvenliği (OWASP Top 10 for LLM): Kurumun kullandığı ChatGPT, Claude veya kendi geliştirdiği AI asistanlarına yönelik prompt injection, jailbreak, training data leakage testleri.
Deepfake Sosyal Mühendislik: CEO sesinin klonlanmasıyla finans departmanına yapılan sahte “acil transfer” çağrıları simüle ediliyor.
AI Destekli Phishing Tespiti: Saldırganların ChatGPT/Claude ile ürettiği kusursuz Türkçe phishing e-postaları test ediliyor; klasik filtreler bunları kaçırıyor.
RAG Sistemleri ve Vektör Veritabanları: Embedded vektör veritabanlarındaki yetkilendirme açıkları (cross-tenant data leakage).
AI Ajan (Agent) Güvenliği: Otonom AI ajanlarının yetkisiz aksiyon almasına karşı tool-call güvenliği.
Shadow AI Tespiti: Çalışanların habersiz kullandığı ücretsiz AI servislerine giden kurumsal veri sızıntıları.

Önemli Tespit KVKK Kurulu, 2025 sonrasında veri ihlali soruşturmalarında “şirketinin ChatGPT veya benzeri AI servislerine hangi verileri gönderdiğini denetliyor musunuz?” sorusunu sormaya başladı. Modern sızma testi bu boyutu da kapsar.

Sıkça Sorulan Sorular (SSS)

Sızma testi şirket sistemlerini çökertir mi?

Hayır. Profesyonel ve TSE A Sınıfı yetki belgeli firmalar üretim sistemlerine zarar vermeden test yapar. Yıkıcı potansiyeli yüksek olan adımlar (DoS testleri, veri silme denemeleri) ya test ortamında ya da önceden mutabık kalınan bakım pencerelerinde yürütülür. Test öncesi imzalanan Kapsam Belgesi (Rules of Engagement), hangi sistemlerin ve hangi tekniklerin kullanılabileceğini net şekilde belirler.

Sızma testi yaptırmadan KVKK uyumlu olabilir miyim?

Teknik olarak sızma testi KVKK’da kelime kelime “zorunludur” denmemiştir; ancak KVKK 12. madde “uygun güvenlik düzeyi” şart koşar ve Kurul’un Teknik Tedbirler Rehberi sızma testini açıkça önerir. Bir veri ihlali yaşandığında, sızma testi yaptırmamış olmanız “gerekli tedbirleri almama” olarak değerlendirilir ve ceza üst sınırdan kesilir. Pratikte sızma testi yaptırmak hukuki risk yönetiminin temel parçasıdır.

Sızma testi sırasında çalınan veriler ne oluyor?

Hiçbir veri “çalınmaz”. Etik hackerlar bulgularını kanıtlamak için yeterli minimum veri (ekran görüntüsü, log) toplar ve test bittikten sonra şifrelenmiş kanalla teslim eder. Sözleşme ve NDA gereği veriler firma içinde tutulmaz, raporlama tamamlandıktan sonra güvenli şekilde silinir. Saygın firmalar bu süreci ISO 27001 prosedürleri ve mesleki sorumluluk sigortasıyla güvence altına alır.

“Bug Bounty” programı sızma testinin yerine geçer mi?

Hayır, ikisi tamamlayıcıdır. Bug Bounty programları geniş bir araştırmacı kitlesine açık olduğu için yüzeysel ve dış kaynaklı tespitlerde başarılı; ancak iç ağ, Active Directory ve sosyal mühendislik gibi alanları kapsamaz. Ayrıca KVKK ve BDDK denetimlerinde Bug Bounty raporu, sızma testi raporunun yerine kabul edilmez. Olgun bir güvenlik programı her ikisini birlikte kullanır.

Yapay zeka ile sızma testi otomatik yapılamıyor mu?

AI destekli zafiyet tespit araçları (Pentera, AttackIQ) hızlanma sağlar ama insan uzmanın yerini almaz. Yapay zeka iş mantığı hatalarını, kombinasyonlu saldırı zincirlerini ve kuruma özel senaryoları kavrayamaz. 2026 itibarıyla “AI-augmented pentest” yaygınlaşıyor — yani uzman + AI birlikte çalışıyor, ama tamamen otomatik sızma testi piyasada bulunmuyor ve KVKK/ISO denetimlerinde geçerli sayılmıyor.

Sızma testi sonunda ne tür bir rapor alıyorum?

İki ana rapor teslim edilir: (1) Executive Summary — üst yönetim için 5-10 sayfa, iş etkisi ve risk skorlama odaklı; (2) Detaylı Teknik Rapor — BT ekibi için 50-200 sayfa, her bulgunun CVSS puanı, ekran görüntüsü kanıtı, istismar adımları ve çözüm önerisi ile birlikte. Bunlara ek olarak düzeltme sonrası Re-Test Doğrulama Raporu ve yasal denetimlerde sunulabilen Uygunluk Sertifikası verilir.

Sızma testi sırasında kurumun iş akışı durur mu?

Hayır, normal iş akışı devam eder. Sızma testleri arka planda çalışır ve kullanıcı deneyimini etkilemez. Yalnızca DoS testleri veya yüksek riskli istismar denemeleri için kısa süreli bakım pencereleri kararlaştırılabilir. İnvekor olarak kritik finansal işlem saatlerinde (örneğin maaş günü) yoğun test yapmamayı standart prosedür haline getirdik.

Sızma testi raporu kaç yıl geçerlidir?

Resmi olarak 12 ay geçerlidir. KVKK, ISO 27001, BDDK ve PCI DSS denetimlerinde 1 yıldan eski raporlar genelde kabul edilmez. Ancak sisteminizde major bir değişiklik (yeni uygulama, yeni veri merkezi, AD geçişi) yaptıysanız rapor erken geçersiz hale gelir ve yeniden test gerekir.

Küçük bir şirketim, sızma testi gerçekten gerekli mi?

Evet. Verizon DBIR raporuna göre fidye yazılımı saldırılarının %43’ü küçük ve orta ölçekli işletmeleri hedef alıyor; çünkü savunmaları zayıf ve fidye ödeme olasılıkları daha yüksek. Eğer KVKK kapsamında kişisel veri işliyorsanız (müşteri listesi tutmak bile bu kapsamdadır) yasal yükümlülüğünüz büyük şirketle aynıdır. Küçük ölçekli paketler 25.000 TL’den başlayarak temel güvenliği sağlar.

Hiç sızma testi yaptırmamışsam, nereden başlamalıyım?

Önerilen yol haritası: (1) Ücretsiz bir e-posta altyapı taraması veya yüzey tarama ile başlayın — kurumunuzun dışarıdan nasıl göründüğünü görün. (2) Kapsam belirleme toplantısı yapın; hangi sistemler kritik? (3) İlk testi Gray Box yaklaşımıyla dış ağ + ana web uygulaması üzerinde yapın. (4) Bulguları kapatın ve re-test yapın. (5) Yıllık sızma testi takvimine bağlayın ve aradaki sürede aylık zafiyet taraması ile süreci sürekli hale getirin.

Sonuç: Zafiyetleri Hackerlardan Önce Siz Bulun

Siber tehditlerin yapay zeka destekli araçlarla katlanarak karmaşıklaştığı 2026 yılında, şirketinizin güvenliğini şansa veya temenniye bırakmak ciddi finansal, hukuki ve itibarsal risk doğurur. Yasal regülasyonlar her geçen ay sıkılaşıyor, KVKK Kurulu cezalarının üst sınırı her yıl artıyor ve müşteriler artık partner seçimlerinde sızma testi raporu istiyor.

İnvekor Bilgi Teknolojileri olarak kurumunuzun BT altyapısını, ağ güvenliğini, web ve mobil uygulamalarınızı uluslararası metodolojiler (OWASP, PTES, OSSTMM, NIST) ile test ediyor; KVKK, ISO 27001 ve 7545 sayılı Kanun denetimlerinde geçerli, dünya standartlarında detaylı raporlar sunuyoruz. Tüm hizmetlerimiz ücretsiz re-test, NDA ve mesleki sorumluluk sigortası ile güvence altındadır.

Sisteminizin Sınırlarını Keşfetmeye Hazır Mısınız?

Hemen şimdi kurumsal e-posta altyapınızı ücretsiz test edebilir veya detaylı bir analiz için Sızma Testi Kapsam Formumuzu doldurarak uzmanlarımızdan 24 saat içinde özel teklif alabilirsiniz.

📋 Kapsam Formunu Doldurun 🛡️ Ücretsiz Güvenlik Taraması Yap

Bu Rehber Hakkında: Bu içerik İnvekor Bilgi Teknolojileri’nin sızma testi uzmanları tarafından hazırlanmıştır. Ekibimiz OSCP, CEH ve OSEP sertifikalı uzmanlardan oluşmakta; OWASP, PTES, OSSTMM ve NIST SP 800-115 metodolojilerine uygun test hizmeti sunmaktadır. İçerik en son 18 Mayıs 2026 tarihinde KVKK Kurulu güncel kararları ve 7545 sayılı Siber Güvenlik Kanunu uyarlamalarına göre güncellenmiştir.

Mayıs 18, 2026

KVKK ve ISO 27001 entegrasyonu

KVKK ve ISO 27001 Entegrasyonu: Uyum Süreçlerinde Bütünsel Yaklaşım | İnvekor

KVKK ve ISO 27001 Entegrasyonu: Uyum Süreçlerinde Bütünsel Yaklaşım

Kişisel veri koruma yükümlülüklerinizi bilgi güvenliği yönetim sistemiyle nasıl birleştirir, operasyonel verimlilik kazanır ve regülasyon risklerini minimize edersiniz?

📅 2 Nisan 2026 👤 İnvekor Bilgi Güvenliği Ekibi ⏱️ 18 dk okuma 🏷️ KVKK, ISO 27001, Uyum

KVKK ve ISO 27001 Entegrasyonu - Kurumsal Uyum Süreci

Türkiye’de faaliyet gösteren her kuruluş, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (KVKK) uymakla yükümlüdür. Öte yandan ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS), bilgi varlıklarının korunması için uluslararası altın standarttır. Bu iki yapıyı ayrı siloler olarak yönetmek, hem kaynak israfına hem de kritik boşluklara yol açar. Doğru entegrasyon ise tam tersine operasyonel verimlilik, güçlendirilmiş güvenlik duruşu ve sürdürülebilir uyum sağlar.

📋 İçindekiler

KVKK ve ISO 27001 Nedir? Temel Kavramlar
Neden Entegre Etmelisiniz? İş Değeri Analizi
KVKK ve ISO 27001 Karşılaştırma Tablosu
Ortak Kesişim Noktaları ve Sinerji Alanları
Entegrasyon Adımları: 8 Aşamalı Yol Haritası
Risk Değerlendirme Metodolojisi
Entegre Dokümantasyon Mimarisi
Teknik Kontroller ve Uygulama Katmanı
Denetim Hazırlığı ve Sürekli İyileştirme
Sıkça Sorulan Sorular (SSS)
Sonuç ve Aksiyon Planı

1. KVKK ve ISO 27001 Nedir? Temel Kavramlar

KVKK (6698 Sayılı Kanun)

Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Kanunun temel amacı, kişisel verilerin işlenmesinde bireylerin temel hak ve özgürlüklerini korumak ve veri işleyen gerçek ile tüzel kişilerin yükümlülüklerini belirlemektir. KVKK, Avrupa Birliği’nin Genel Veri Koruma Tüzüğü (GDPR) ile paralel ilkeler taşımakla birlikte, Türkiye’ye özgü düzenlemeler ve kurumsal yapılanma (Kişisel Verileri Koruma Kurumu – KVKK Kurumu) içermektedir.

KVKK kapsamında veri sorumluları ve veri işleyenler için temel yükümlülükler şunlardır: Veri İşleme Envanteri (VERBİS) kaydı, aydınlatma yükümlülüğü, açık rıza yönetimi, veri güvenliğine ilişkin teknik ve idari tedbirler, veri ihlali bildirim süreci ve ilgili kişi başvurularının yönetimi. Bu yükümlülüklere uyulmaması durumunda kuruluşlar, yüz binlerce liradan milyonlarca liraya kadar idari para cezasıyla karşı karşıya kalabilmektedir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi

ISO/IEC 27001, Uluslararası Standardizasyon Örgütü (ISO) tarafından yayımlanan ve bilgi güvenliği yönetim sistemi (BGYS) kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için gereksinimleri belirleyen uluslararası bir standarttır. 2022 yılında güncellenen versiyonu (ISO 27001:2022) ile birlikte siber güvenlik ve gizlilik koruma konularında daha güncel kontroller içermektedir.

ISO 27001’in temeli, bilgi varlıklarının gizlilik (confidentiality), bütünlük (integrity) ve erişilebilirlik (availability) — kısaca CIA üçlüsü — prensipleri çerçevesinde korunmasıdır. Standart, Annex A’da yer alan 93 kontrol maddesiyle (ISO 27001:2022) kuruluşlara kapsamlı bir güvenlik çerçevesi sunar. Bu kontroller; organizasyonel, insan odaklı, fiziksel ve teknolojik olmak üzere dört ana kategoride gruplandırılmıştır.

93

ISO 27001:2022
Kontrol Maddesi

6698

KVKK
Kanun Numarası

%72

Kontrollerde
Örtüşme Oranı

6-12 Ay

Ortalama
Entegrasyon Süresi

2. Neden Entegre Etmelisiniz? İş Değeri Analizi

Birçok kuruluş, KVKK uyum çalışmalarını hukuk departmanına, ISO 27001 projelerini ise bilgi teknolojileri birimine ayrı ayrı devreder. Bu yaklaşım, kısa vadede pratik görünse de uzun vadede ciddi sorunlara neden olur. Tekrarlayan risk değerlendirme süreçleri, çelişen politika dokümanları, çift başlı denetim hazırlıkları ve en önemlisi bütünsel bir güvenlik vizyonunun oluşamaması, bu sorunların başında gelir.

Entegre bir yaklaşım benimsemenin kuruluşunuza sağlayacağı somut faydaları şu şekilde özetleyebiliriz:

💡 Entegrasyonun Somut Faydaları

Kaynak Optimizasyonu: Tek bir risk değerlendirme süreci, ortak politika seti ve birleştirilmiş denetim takvimi ile insan kaynağı, zaman ve bütçeden önemli tasarruf sağlanır. Araştırmalar, entegre sistemlerin ayrı yönetilen sistemlere kıyasla operasyonel maliyetleri ortalama yüzde otuz ila kırk arasında düşürdüğünü göstermektedir.

Boşlukların Kapatılması: KVKK salt hukuki bir perspektifle ele alındığında teknik güvenlik önlemleri yetersiz kalabilir. ISO 27001 salt teknik bir perspektifle ele alındığında ise kişisel veri işleme süreçlerinin hukuki boyutu gözden kaçabilir. Entegrasyon, bu iki perspektifi harmanlayarak kapsamlı bir koruma sağlar.

Yönetim Taahhüdü: Üst yönetim için tek bir raporlama mekanizması, daha net bir risk görünümü ve stratejik karar alma sürecinde daha güçlü bir bilgi tabanı oluşturur.

Sürdürülebilirlik: Entegre sistem, kuruluşun büyümesi ve değişen regülasyonlarla birlikte daha kolay adapte olur. Yeni bir düzenleme geldiğinde mevcut çerçeveye eklemek, sıfırdan yeni bir yapı kurmaktan çok daha verimlidir.

3. KVKK ve ISO 27001 Karşılaştırma Tablosu

Her iki yapının farklarını ve benzerliklerini anlamak, entegrasyon stratejinizi doğru temeller üzerine kurmanız için kritik öneme sahiptir. Aşağıdaki tablo, temel kıyaslama noktalarını özetlemektedir:

Kriter	KVKK (6698)	ISO 27001:2022
Nitelik	Yasal düzenleme (zorunlu)	Uluslararası standart (gönüllü sertifikasyon)
Kapsam	Yalnızca kişisel veriler	Tüm bilgi varlıkları (kişisel veriler dahil)
Odak Noktası	Bireyin temel hakları ve özgürlükleri	Bilgi güvenliğinin gizlilik, bütünlük ve erişilebilirliği
Denetim Mekanizması	KVKK Kurumu denetimleri ve şikâyetler	Bağımsız akredite kuruluş denetimleri
Yaptırım	İdari para cezaları (50.000 TL – 3.000.000 TL+)	Sertifika askıya alma / iptal
Risk Yaklaşımı	Kişisel veri işleme kaynaklı riskler	Tüm bilgi güvenliği riskleri
Dokümantasyon	VERBİS, aydınlatma metinleri, açık rıza formları, veri işleme envanteri	BGYS politikaları, SoA, risk işleme planı, iç denetim raporları
Süreklilik	Süresiz yasal yükümlülük	3 yıllık sertifikasyon döngüsü (yıllık gözetim)
Uluslararası Tanınırlık	Türkiye’ye özgü	Küresel geçerlilik

4. Ortak Kesişim Noktaları ve Sinerji Alanları

KVKK ve ISO 27001 arasında yüzde yetmişin üzerinde bir kontrol örtüşmesi bulunmaktadır. Bu örtüşme, entegrasyon projesinin temelini oluşturur ve doğru haritalandığında çok ciddi verimlilik kazanımları sağlar. Kesişim noktalarını altı ana başlık altında inceleyebiliriz:

4.1 Risk Yönetimi Çerçevesi

Hem KVKK hem de ISO 27001, risk temelli bir yaklaşımı zorunlu kılar. KVKK, kişisel veri işleme faaliyetlerine yönelik risklerin değerlendirilmesini isterken, ISO 27001 tüm bilgi varlıklarına yönelik risklerin sistematik olarak yönetilmesini gerektirir. Entegre bir risk değerlendirme metodolojisi, kişisel veri risklerini bilgi güvenliği risk evreninin bir alt kümesi olarak ele alarak tek bir süreçle her iki gereksinimi de karşılar.

4.2 Erişim Kontrolü ve Yetkilendirme

KVKK’nın “veri güvenliğine ilişkin teknik tedbirler” kapsamında öngördüğü erişim kısıtlamaları, ISO 27001’in A.5.15 (Erişim Kontrolü), A.8.2 (Ayrıcalıklı Erişim Hakları) ve A.8.3 (Bilgiye Erişim Kısıtlama) kontrolleriyle doğrudan örtüşür. Tek bir erişim kontrol politikası ve rol tabanlı yetkilendirme (RBAC) yapısı, her iki gereksinimi birden karşılayabilir.

4.3 Olay Yönetimi ve İhlal Bildirimi

KVKK, veri ihlallerinin en kısa sürede (ve en geç 72 saat içinde) Kurum’a bildirilmesini zorunlu kılar. ISO 27001’in A.5.24 (Bilgi Güvenliği Olay Yönetimi Planlama ve Hazırlık), A.5.25 (Bilgi Güvenliği Olaylarının Değerlendirilmesi ve Kararlaştırılması) ve A.5.26 (Bilgi Güvenliği Olaylarına Müdahale) kontrolleri, bu süreci destekleyen operasyonel çerçeveyi sunar. Entegre bir olay müdahale planı, hem teknik müdahaleyi hem de hukuki bildirim sürecini aynı anda tetikleyerek zamandan kazandırır ve uyum riskini minimize eder.

4.4 Varlık Yönetimi ve Sınıflandırma

KVKK kapsamında hazırlanması gereken Veri İşleme Envanteri, işlenen kişisel verilerin kategorilerini, işleme amaçlarını, alıcı gruplarını ve saklama sürelerini içerir. ISO 27001’in A.5.9 (Bilgi ve Diğer İlişkili Varlıkların Envanteri) kontrolü ise tüm bilgi varlıklarının envanterinin tutulmasını gerektirir. Bu iki envanter çalışması birleştirildiğinde, kişisel veriler bilgi varlıkları envanterinin bir alt kategorisi olarak etiketlenir ve sınıflandırılır. Böylece tek bir envanter hem KVKK VERBİS kaydının hem de ISO 27001 varlık yönetiminin temelini oluşturur.

4.5 Eğitim ve Farkındalık

Her iki yapı da çalışan farkındalığını ve eğitimini zorunlu kılar. KVKK, kişisel veri işleyen çalışanların bilinçlendirilmesini beklerken, ISO 27001’in A.6.3 (Bilgi Güvenliği Farkındalığı, Eğitimi ve Öğretimi) kontrolü kapsamlı bir eğitim programı gerektirir. Entegre bir eğitim müfredatı, bilgi güvenliği temellerini KVKK’ya özgü konularla (aydınlatma, açık rıza, veri sahibi hakları) birleştirerek tek bir program üzerinden yönetilir.

4.6 Tedarikçi ve Üçüncü Taraf Yönetimi

KVKK kapsamında veri işleyen ile yapılan sözleşmelerde güvenlik gereksinimlerinin yer alması zorunludur. ISO 27001’in A.5.19 – A.5.23 kontrolleri ise tedarikçi ilişkilerinde bilgi güvenliğinin yönetilmesi için detaylı bir çerçeve sunar. Entegre bir tedarikçi yönetim süreci, hem veri işleyen sözleşme maddelerini hem de bilgi güvenliği gereksinimlerini tek bir değerlendirme ve izleme mekanizmasıyla yönetir.

5. Entegrasyon Adımları: 8 Aşamalı Yol Haritası

Başarılı bir entegrasyon projesi, sistematik bir yaklaşım ve net bir yol haritası gerektirir. Aşağıda, İnvekor’un saha deneyimlerinden derlenen ve farklı sektörlerdeki kuruluşlarda başarıyla uygulanan 8 aşamalı entegrasyon metodolojisini bulacaksınız:

1

Mevcut Durum Analizi (Gap Analysis)

İlk adım, kuruluşun hem KVKK hem de ISO 27001 açısından mevcut olgunluk seviyesini belirlemektir. Bu aşamada mevcut politikalar, prosedürler, teknik kontroller ve organizasyonel yapı incelenir. Eksik alanlar (gap’ler) tespit edilerek bir olgunluk haritası çıkarılır. Analiz sonucunda hangi kontrollerin mevcut olduğu, hangilerinin kısmen uygulandığı ve hangilerinin hiç bulunmadığı net bir şekilde ortaya konur.

2

Kapsam Belirleme ve Sınır Tanımlama

BGYS kapsamı ve KVKK kapsamı birlikte tanımlanır. Hangi iş süreçlerinin, bilgi sistemlerinin, fiziksel lokasyonların ve organizasyonel birimlerin kapsama dahil olduğu netleştirilir. KVKK kapsamında tüm kişisel veri işleme faaliyetleri zaten kapsam dahilindedir, ancak ISO 27001 kapsamı kurumun stratejik kararlarına bağlı olarak daraltılabilir veya genişletilebilir. Entegrasyon için önerilen yaklaşım, ISO 27001 kapsamının en azından tüm kişisel veri işleme süreçlerini içermesidir.

3

Entegre Risk Değerlendirmesi

Bilgi güvenliği risklerini ve kişisel veri işleme risklerini tek bir metodoloji ile değerlendirin. Risk değerlendirme matrisinizde “kişisel veri etkisi” parametresini ek bir boyut olarak ekleyin. Böylece bir risk senaryosu hem bilgi güvenliği etkisi hem de KVKK ihlal potansiyeli açısından değerlendirilir. Risk iştahı ve kabul kriterleri her iki perspektifi de yansıtacak şekilde tanımlanmalıdır.

4

Entegre Politika ve Prosedür Seti

Ayrı ayrı KVKK politikası ve BGYS politikası yazmak yerine, entegre bir politika mimarisi oluşturun. Üst düzey Bilgi Güvenliği ve Veri Koruma Politikası, alt politikalar (erişim kontrolü, şifreleme, olay yönetimi, tedarikçi yönetimi vb.) ve bunlara bağlı prosedürler ile talimatnameler şeklinde hiyerarşik bir yapı kurulur. Her dokümanda KVKK ve ISO 27001 referansları çapraz olarak belirtilir.

5

Teknik ve İdari Kontrollerin Uygulanması

Risk değerlendirmesi sonucu belirlenen kontrolleri hayata geçirin. Şifreleme, erişim kontrolü, log yönetimi, ağ segmentasyonu gibi teknik kontroller ile gizlilik etki değerlendirmesi (DPIA), veri saklama/imha süreçleri, olay müdahale planı gibi idari kontroller bu aşamada uygulanır. Her kontrolün hem ISO 27001 Annex A referansı hem de KVKK teknik/idari tedbir karşılığı belgelenir.

6

Eğitim ve Farkındalık Programı

Tüm çalışanlara yönelik entegre bir eğitim müfredatı oluşturun. Temel seviye eğitimler (tüm çalışanlar), ileri seviye eğitimler (veri işleyen birimler, IT ekipleri) ve yönetici briefingleri şeklinde katmanlı bir yapı kurulur. Eğitim içeriği; bilgi güvenliği temelleri, KVKK yükümlülükleri, sosyal mühendislik farkındalığı, olay bildirimi prosedürleri ve güncel tehdit ortamı gibi konuları kapsar. Eğitim etkinliği, sınav, simülasyon (phishing testleri) ve geri bildirim mekanizmalarıyla ölçülür.

7

İç Denetim ve Performans Ölçümü

Entegre bir iç denetim programı oluşturarak hem ISO 27001 hem de KVKK gereksinimlerini tek bir denetim döngüsünde değerlendirin. Denetim planı, yüksek riskli alanları önceliklendirmeli ve her denetim bulgusunu ilgili KVKK maddesi ve ISO 27001 kontrolüyle eşleştirmelidir. Anahtar performans göstergeleri (KPI’lar) belirlenerek sistemin etkinliği sürekli izlenir. Örnek KPI’lar: olay müdahale süresi, eğitim tamamlama oranı, açık bulgu sayısı, risk işleme planı ilerleme yüzdesi.

8

Yönetim Gözden Geçirmesi ve Sürekli İyileştirme

Üst yönetim, entegre sistemin performansını belirli aralıklarla gözden geçirir. Gözden geçirme girdileri arasında iç denetim sonuçları, olay istatistikleri, risk değerlendirme güncellemeleri, KVKK Kurumu kararları ve güncel tehdit istihbaratı yer alır. Çıktılar ise kaynak tahsisi kararları, politika güncellemeleri ve iyileştirme aksiyonlarıdır. Bu döngüsel yapı, PUKÖ (Planla-Uygula-Kontrol Et-Önlem Al) çerçevesinde sürekli iyileştirmeyi garanti eder.

6. Risk Değerlendirme Metodolojisi

Entegre bir risk değerlendirmesi, bilgi güvenliği ve kişisel veri koruma risklerini tek bir çerçevede ele almayı gerektirir. Aşağıda önerdiğimiz metodoloji, ISO 27005 ve KVKK Kurum rehberlerinden esinlenerek oluşturulmuştur:

6.1 Varlık Tanımlama ve Sınıflandırma

İlk adım, kuruluşun bilgi varlıklarını tanımlamak ve sınıflandırmaktır. Bu envanterde her varlık için kişisel veri içerip içermediği, içeriyorsa hangi kategoride kişisel veri barındırdığı (özel nitelikli kişisel veri dahil) ve varlığın gizlilik, bütünlük ve erişilebilirlik açısından kritiklik seviyesi belirlenir. Bu sınıflandırma, risk değerlendirmesinin temelini oluşturur.

6.2 Tehdit ve Zafiyet Analizi

Her bilgi varlığı için olası tehditleri (siber saldırılar, iç tehditler, doğal afetler, insan hataları) ve bu tehditlerin istismar edebileceği zafiyetleri belirleyin. Kişisel veri içeren varlıklar için ek olarak yetkisiz erişim, amaç dışı kullanım ve yasal olmayan aktarım gibi KVKK’ya özgü tehdit senaryolarını da değerlendirin.

6.3 Etki ve Olasılık Değerlendirmesi

Her risk senaryosu için etki ve olasılık değerlendirmesi yapılır. Entegre yaklaşımda etki boyutu, hem bilgi güvenliği etkisini (operasyonel kesinti, finansal kayıp, itibar zararı) hem de KVKK etkisini (idari para cezası, veri sahibine zarar, Kurum soruşturması) kapsar. Risk skoru, bu iki boyutun bileşimiyle hesaplanır ve riskin önceliklendirmesinde kullanılır.

⚠️ Kritik Uyarı: Özel Nitelikli Kişisel Veriler

Sağlık verileri, biyometrik veriler, ırk ve etnik köken, siyasi görüş, dini veya felsefi inanç, dernek/vakıf/sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleri ile kılık kıyafete ilişkin veriler, KVKK kapsamında “özel nitelikli kişisel veri” olarak tanımlanır. Bu verilerin işlenmesi özel şartlara bağlıdır ve risk değerlendirmesinde en yüksek etki kategorisinde değerlendirilmelidir. Risk işleme planında bu verilere yönelik ek koruma katmanları (ayrı şifreleme, ayrı erişim kontrolü, ayrı log takibi) mutlaka planlanmalıdır.

7. Entegre Dokümantasyon Mimarisi

Dokümantasyon, hem KVKK hem de ISO 27001 uyumunun somut kanıtıdır. Entegre bir dokümantasyon mimarisi, tutarlılığı artırır ve bakım maliyetini düşürür. Önerilen hiyerarşik yapı şu şekildedir:

Seviye 1 — Üst Düzey Politikalar

Bilgi Güvenliği ve Kişisel Veri Koruma Politikası, kuruluşun bu alandaki taahhütlerini, ilkelerini ve genel çerçevesini belirler. Bu politika, üst yönetim tarafından onaylanır ve tüm çalışanlara duyurulur. ISO 27001 Madde 5.2 (Politika) ve KVKK’nın veri güvenliğine ilişkin yükümlülükleri bu dokümanda karşılığını bulur.

Seviye 2 — Konu Bazlı Politikalar

Erişim Kontrolü Politikası, Şifreleme Politikası, Kabul Edilebilir Kullanım Politikası, Veri Saklama ve İmha Politikası, Veri İhlali Müdahale Politikası, Tedarikçi Güvenlik Politikası gibi konu bazlı politikalar oluşturulur. Her politikada hem ISO 27001 referansı hem de ilgili KVKK maddesi çapraz referanslanır.

Seviye 3 — Prosedürler ve Talimatnameler

Politikaların operasyonel seviyede nasıl uygulanacağını detaylandıran prosedürler ve talimatnameler yazılır. Örneğin, Veri İhlali Müdahale Prosedürü, hem teknik müdahale adımlarını hem de KVKK bildirim sürecini, ilgili kişilere bilgilendirme şablonlarını ve Kurum’a ihlal bildirim formunu içerir.

Seviye 4 — Kayıtlar ve Kanıtlar

Risk değerlendirme raporları, iç denetim raporları, eğitim kayıtları, olay kayıtları, VERBİS kayıtları, açık rıza formları, aydınlatma metni sunum kayıtları ve yönetim gözden geçirme tutanakları bu seviyede yer alır. Bu kayıtlar hem ISO 27001 sertifikasyon denetiminde hem de olası bir KVKK Kurum denetiminde sunulacak temel kanıtlardır.

📂 Entegre Doküman Numaralandırma Önerisi

Her dokümana bir kodlama sistemi uygulayın. Örneğin: POL-BGVK-001 (Politika – Bilgi Güvenliği ve Veri Koruma – Numara). Doküman kodunda KVKK ve ISO 27001 referanslarını meta veri olarak tutun. Bu yaklaşım, denetim sırasında herhangi bir gereksinimine ait kanıtların hızla bulunmasını sağlar. Doküman yönetim sisteminizde (DMS) her dokümanı ilgili KVKK maddesi ve ISO 27001 kontrolüyle etiketleyin.

8. Teknik Kontroller ve Uygulama Katmanı

Entegre sistemin teknik altyapısı, hem bilgi güvenliği hem de kişisel veri koruma gereksinimlerini karşılayacak şekilde tasarlanmalıdır. Aşağıda öncelikli teknik kontrol alanlarını inceliyoruz:

8.1 Veri Şifreleme (Encryption)

Kişisel verilerin hem durağan halde (at-rest) hem de aktarım sırasında (in-transit) şifrelenmesi, KVKK’nın teknik tedbir gereksinimlerinin ve ISO 27001 A.8.24 (Kriptografi Kullanımı) kontrolünün temelini oluşturur. AES-256 gibi güçlü şifreleme algoritmaları kullanılmalı, anahtar yönetimi prosedürleri belgelenmeli ve anahtarların yaşam döngüsü (oluşturma, dağıtım, depolama, yedekleme, imha) yönetilmelidir.

8.2 Erişim Kontrolü ve Kimlik Yönetimi

Rol tabanlı erişim kontrolü (RBAC), en az ayrıcalık ilkesi (least privilege) ve görevler ayrılığı (segregation of duties) prensipleri uygulanmalıdır. Çok faktörlü kimlik doğrulama (MFA), özellikle kişisel veri içeren sistemlere erişimde zorunlu kılınmalıdır. Erişim hakları düzenli olarak gözden geçirilmeli (minimum yılda iki kez) ve ayrılan personelin erişimleri derhal kaldırılmalıdır.

8.3 Log Yönetimi ve İzleme

Tüm bilgi sistemlerinde, özellikle kişisel veri işlenen sistemlerde, kullanıcı aktivitelerinin loglanması kritik öneme sahiptir. Kim, ne zaman, hangi veriye, hangi işlemi gerçekleştirdi sorularına yanıt verebilecek bir log altyapısı kurulmalıdır. Loglar merkezi bir SIEM (Security Information and Event Management) sistemiyle toplanmalı, korelasyon kurallarıyla analiz edilmeli ve anomaliler gerçek zamanlı olarak tespit edilmelidir. Log bütünlüğünü korumak için loglar değiştirilemez (immutable) biçimde saklanmalıdır.

8.4 Veri Maskeleme ve Anonimleştirme

Test ortamları, analitik çalışmalar ve üçüncü taraf paylaşımlarında kişisel verilerin maskelenmesi veya anonimleştirilmesi, hem KVKK’nın veri minimizasyonu ilkesine hem de ISO 27001’in veri koruma kontrollerine uyum sağlar. Anonimleştirme işlemi geri dönüşümsüz olmalı; pseudonimleştirme (takma adlandırma) uygulandığında ise eşleştirme anahtarının güvenliği ayrıca sağlanmalıdır.

8.5 Yedekleme ve İş Sürekliliği

Kişisel verilerin yedeklenmesi, hem veri bütünlüğünü koruma hem de iş sürekliliğini sağlama açısından kritiktir. Yedekleme politikasında yedekleme sıklığı, saklama süresi, şifreleme gereksinimleri ve geri yükleme test takvimi belirlenmelidir. KVKK kapsamında yedekleme ortamlarında yer alan kişisel verilerin de saklama süresi dolduğunda imha edilmesi gerektiği unutulmamalıdır. ISO 27001 A.8.13 (Bilgi Yedekleme) kontrolü bu alanın çerçevesini çizer.

8.6 Ağ Güvenliği ve Segmentasyon

Kişisel veri içeren sistemlerin ağ segmentasyonu ile izole edilmesi, olası bir saldırının yayılma alanını sınırlar. Güvenlik duvarı kuralları, IDS/IPS sistemleri ve ağ erişim kontrolü (NAC) mekanizmaları birlikte çalışmalıdır. Özellikle uzaktan çalışma senaryolarında VPN kullanımı ve uç nokta güvenliği (endpoint security) entegre edilmelidir.

9. Denetim Hazırlığı ve Sürekli İyileştirme

Entegre bir sistem kurulduktan sonra, bu sistemin etkinliğinin sürdürülmesi ve sürekli iyileştirilmesi en az kurulum kadar önemlidir. Denetim hazırlığı ve sürekli iyileştirme sürecini üç ana döngüde ele alıyoruz:

Döngü 1: İç Denetim Programı

Yıllık Denetim Planlaması

Her yılın başında, risk değerlendirmesi sonuçlarına dayanan bir iç denetim planı oluşturulur. Yüksek riskli alanlar daha sık denetlenir. Plan, hem ISO 27001 kontrollerini hem de KVKK gereksinimlerini kapsayacak şekilde entegre edilir.

Denetim Yürütme

Entegre denetim kontrol listeleri kullanılarak denetimler gerçekleştirilir. Her bulgu, ilgili ISO 27001 kontrolü ve KVKK maddesiyle eşleştirilir. Bulgular; uygunsuzluk (major/minor), gözlem ve iyileştirme fırsatı olarak sınıflandırılır.

Düzeltici Faaliyet Yönetimi

Denetim bulguları için kök neden analizi yapılır ve düzeltici faaliyetler planlanır. Her faaliyet için sorumlu kişi, hedef tarih ve başarı kriteri belirlenir. Faaliyetlerin tamamlanması ve etkinliği takip edilir.

Döngü 2: KVKK Kurum Denetimi Hazırlığı

KVKK Kurumu, re’sen veya şikâyet üzerine denetim yapabilir. Denetim hazırlığı sürecinde şu unsurların eksiksiz olması gerekir: güncel VERBİS kayıtları, tüm veri işleme faaliyetlerini kapsayan aydınlatma metinleri ve bunların tebliğ kanıtları, açık rıza mekanizmalarının işlerliği, veri ihlali bildirim kayıtları, teknik ve idari tedbirlerin belgelenmesi ve ilgili kişi başvuru sürecinin etkin çalışması. ISO 27001 altyapısı sayesinde bu kanıtların büyük çoğunluğu zaten mevcut olacaktır.

Döngü 3: ISO 27001 Sertifikasyon ve Gözetim Denetimleri

ISO 27001 sertifikasyon döngüsü üç yıllıktır. İlk yıl sertifikasyon denetimi, ikinci ve üçüncü yıllar gözetim denetimleri yapılır. Üçüncü yılın sonunda yeniden sertifikasyon süreci başlar. Gözetim denetimlerinde, KVKK uyumu da BGYS’nin bir parçası olarak değerlendirilir. Denetçilere entegre dokümantasyonunuzu ve KVKK ile ilgili kontrollerin uygulanma kanıtlarını sunmanız, sistemin bütünlüğünü ve olgunluğunu gösteren güçlü bir sinyal olacaktır.

🔄 PUKÖ Döngüsü ile Sürekli İyileştirme

Planla: Risk değerlendirmesi, hedef belirleme, kaynak planlaması. Uygula: Kontrollerin hayata geçirilmesi, eğitimlerin verilmesi, prosedürlerin uygulanması. Kontrol Et: İç denetimler, KPI izleme, olay analizi, uyum değerlendirmesi. Önlem Al: Düzeltici faaliyetler, süreç iyileştirmeleri, politika güncellemeleri. Bu döngü kesintisiz çalıştığında, entegre sisteminiz hem güncel tehditlere hem de değişen regülasyonlara proaktif şekilde adapte olur.

10. Sıkça Sorulan Sorular (SSS)

KVKK ve ISO 27001 arasındaki temel fark nedir?

KVKK, Türkiye’deki kişisel verilerin korunmasına yönelik yasal bir düzenlemedir ve ihlal durumunda idari para cezaları uygulanır. ISO 27001 ise bilgi güvenliği yönetim sistemi için uluslararası bir standarttır ve gönüllü sertifikasyon sürecine dayanır. KVKK yalnızca kişisel verilere odaklanırken, ISO 27001 tüm bilgi varlıklarını kapsar. Entegrasyon, bu iki farklı ama birbirini tamamlayan yapıyı tek bir çerçevede birleştirir.

ISO 27001 sertifikası olan bir kuruluş KVKK’ya otomatik olarak uyumlu mudur?

Hayır, ISO 27001 sertifikası KVKK uyumunu otomatik olarak sağlamaz. Ancak ISO 27001 altyapısı, KVKK uyum sürecini büyük ölçüde hızlandırır. VERBİS kaydı, aydınlatma metinleri, açık rıza yönetimi ve ilgili kişi başvuru süreçleri gibi KVKK’ya özgü gereksinimler ayrıca karşılanmalıdır. Bununla birlikte, ISO 27001 kapsamında zaten uygulanan risk yönetimi, erişim kontrolü, olay yönetimi ve dokümantasyon gibi kontroller, KVKK teknik ve idari tedbirlerinin önemli bir kısmını karşılar.

Entegrasyon süreci ne kadar sürer?

Entegrasyon süresi kuruluşun büyüklüğüne, sektörüne ve mevcut olgunluk seviyesine bağlıdır. Orta ölçekli bir kuruluş için genellikle altı ila on iki ay arasında bir süre öngörülür. Daha önce hiçbir çalışma yapılmamış kuruluşlarda bu süre on iki ila on sekiz aya kadar uzayabilir. Halihazırda ISO 27001 sertifikasına sahip kuruluşlar için KVKK entegrasyonu genellikle üç ila altı ayda tamamlanabilir.

Hangi departmanlar sürece dahil edilmelidir?

Başarılı bir entegrasyon için çapraz fonksiyonel bir ekip oluşturulmalıdır. Bilgi teknolojileri, hukuk, insan kaynakları, pazarlama, satış, finans ve operasyon departmanlarının temsil edildiği bir çalışma grubu kurulmalıdır. Üst yönetimin sponsorluğu ve aktif katılımı projenin başarısı için kritik bir ön koşuldur. Veri Koruma Görevlisi (DPO) ve Bilgi Güvenliği Yöneticisi (CISO) rolleri, entegrasyonun koordinasyonunda merkezi role sahiptir.

Entegrasyon maliyetini nasıl azaltabiliriz?

Entegrasyon maliyetini optimize etmenin en etkili yolu, mevcut varlıkları (dokümantasyon, teknik altyapı, eğitim materyalleri) maksimum düzeyde yeniden kullanmaktır. Danışmanlık desteğini stratejik alanlarda (gap analizi, risk metodolojisi tasarımı) odaklayarak iç kaynakları operasyonel uygulamada kullanmak da maliyet verimliliğini artırır. Bulut tabanlı BGYS araçları, lisans ve bakım maliyetlerini düşürebilir. Son olarak, entegre yaklaşımın kendisi zaten ayrı yönetilen sistemlere kıyasla yüzde otuz ila kırk arasında maliyet tasarrufu sağlar.

11. Sonuç ve Aksiyon Planı

KVKK ve ISO 27001 entegrasyonu, sadece bir uyum projesi değil, aynı zamanda kurumsal dayanıklılığı artıran stratejik bir yatırımdır. Doğru planlanmış ve uygulanan bir entegrasyon; regülasyon risklerini minimize eder, operasyonel verimliliği artırır, müşteri güvenini pekiştirir ve kuruluşun dijital dönüşüm yolculuğunda güvenli bir temel oluşturur.

Başarılı bir entegrasyon için hatırlanması gereken temel ilkeler şunlardır:

Üst yönetim taahhüdünü alın: Proje sponsorluğu ve kaynak tahsisi en tepeden desteklenmelidir.
Gap analizi ile başlayın: Mevcut durumunuzu objektif olarak değerlendirmeden yol haritası çizemezsiniz.
Risk temelli düşünün: Tüm kararları risk değerlendirmesi sonuçlarına dayandırın.
Entegre dokümanlar oluşturun: Ayrı politika ve prosedürler yerine birleşik, çapraz referanslı dokümanlar hazırlayın.
İnsan faktörünü unutmayın: Teknoloji ve süreçler kadar eğitim ve farkındalık da kritiktir.
Sürekli iyileştirmeyi benimseyin: Entegrasyon bir hedef değil, süregelen bir yolculuktur.
Teknolojiyi akıllıca kullanın: Otomasyon araçları, SIEM, DLP ve BGYS yazılımları süreçlerinizi güçlendirir.
Ölçün ve raporlayın: KPI’lar belirleyin, düzenli raporlama yapın ve veriye dayalı kararlar alın.

Unutmayın: Siber güvenlik ve veri koruma alanında mükemmellik, bir varış noktası değil, sürekli gelişen bir yolculuktur. Bu yolculukta doğru bir rehberle ilerlemek, hem zaman hem de kaynak açısından büyük fark yaratır.

İ

İnvekor Bilgi Güvenliği Ekibi

İnvekor, siber güvenlik, KVKK uyum danışmanlığı ve ISO 27001 sertifikasyon süreçlerinde kuruluşlara uçtan uca hizmet sunan bir bilgi güvenliği firmasıdır.

KVKK ve ISO 27001 Entegrasyonunda Profesyonel Destek

Kuruluşunuzun uyum sürecini hızlandırmak, risk seviyenizi düşürmek ve entegre bir güvenlik yönetim sistemi kurmak için uzman ekibimizle iletişime geçin.

🛡️ Ücretsiz Ön Değerlendirme Talep Et 🔍 Sızıntı Kontrolü Yap

Nisan 2, 2026

E-Posta Adresiniz Güvende mi? Siber Sızıntılara Karşı 3 Kritik Önlem

Blog / Siber Farkındalık

Verileriniz Karanlık Web’de Satılıyor Olabilir mi?

📅 24 Mart 2026👤 İnvekor Bilgi Güvenliği Ekibi

Günün büyük bir bölümünü internette geçiriyoruz; alışveriş yapıyor, sosyal medyada dolaşıyor ve işlerimizi hallediyoruz. Ancak geride bıraktığımız her e-posta adresi ve şifre, siber korsanlar için devasa bir pazarın parçası haline gelebilir. Veri ihlalleri artık “eğer” değil, “ne zaman” sorusudur.

Sessiz Tehlike: Veri İhlalleri

Her yıl dünya genelinde milyarlarca kullanıcı kaydı veri sızıntıları nedeniyle ele geçiriliyor. Bu sızıntılar genellikle sistem zafiyetlerinden veya büyük platformların uğradığı siber saldırılardan kaynaklanıyor. Ele geçirilen bu veriler; e-posta adresleri, şifreler, telefon numaraları ve hatta kredi kartı bilgilerini içerebiliyor.

Bu Veriler Nereye Gidiyor?

Dark Web Pazarları: Sızdırılan veriler toplu listeler (combo lists) halinde karanlık web üzerinde satışa sunulur.
Kimlik Hırsızlığı: Kötü niyetli kişiler, bu bilgileri kullanarak adınıza hesaplar açabilir veya mevcut hesaplarınıza erişebilir.
Oltalama (Phishing): Kişisel bilgilerinizi bilen saldırganlar, size çok daha inandırıcı sahte e-postalar göndererek daha büyük saldırılar düzenleyebilir.

Peki, Kendinizi Nasıl Korursunuz?

Siber güvenlikte en zayıf halka genellikle insan ve ihmaldir. Ancak doğru araçlar ve bilinçli bir yaklaşımla bu riski minimize etmek mümkündür.

1. E-postanızı Düzenli Kontrol Edin

Verilerinizin hangi platformda ne zaman sızdırıldığını bilmek, savunma hattınızın ilk adımıdır. Invekor olarak geliştirdiğimiz sorgulama aracı, global veritabanlarını tarayarak e-posta adresinizin geçmişteki ihlallere karışıp karışmadığını size anında söyler.

2. Benzersiz Şifreler Kullanın

Her platform için aynı şifreyi kullanmak, bir evin anahtarıyla tüm şehirdeki kapıları açmaya benzer. Bir site hacklendiğinde, saldırganlar aynı şifreyle Gmail, Instagram veya banka hesaplarınızı denemeye başlar (Credential Stuffing).

3. Çok Faktörlü Doğrulama (MFA/2FA)

Şifreniz sızsa bile saldırganın hesabınıza girmesini engelleyen en güçlü kalkan, telefonunuza gelen onay kodudur. Erişebildiğiniz her mecrada bu özelliği aktif edin.

Neden Hemen Kontrol Etmelisiniz?

Bir sızıntı yaşandıktan sonra verilerinizin internette yayılması saniyeler sürer. Ancak durumdan haberdar olup önlem almanız (şifre değiştirmek gibi) bu veriyi saldırganlar için değersiz kılar. Invekor Siber Güvenlik Kontrol Aracı, bu farkındalığı oluşturmak için hizmetinizdedir.

Verileriniz Sızdırılmış mı? Hemen Öğrenin!

E-posta adresinizin güvenliğini sorgulamak ve dijital varlıklarınızı koruma altına almak için ücretsiz aracımızı kullanabilirsiniz.

🔍 Sızıntı Kontrolü Yap 🛡️ Kurumsal Güvenlik Çözümleri

Mart 24, 2026

En Büyük Tehdit İçeride Olabilir: Veri Sızıntısı Önleme (DLP) Nedir?

Veri Sızıntısı Önleme (DLP) Nedir? İçeriden Gelen Tehditlere Karşı Koruma | İnvekor

Veri Sızıntısı Önleme (DLP) - Kurumsal bilgi güvenliği için iç tehditlere karşı koruma çözümleri

Şirketler genellikle siber güvenliği dışarıdan gelen korsanlara karşı kalın duvarlar (Firewall) örmek olarak düşünür. Ancak istatistiklere göre, kurumsal veri ihlallerinin %60’ından fazlası dışarıdan gelen sofistike saldırılardan değil; içerideki çalışanların dikkatsizliğinden, hatalarından veya kötü niyetli eylemlerinden kaynaklanmaktadır.

Veri Sızıntısı Nasıl Gerçekleşir?

Müşteri veritabanınız, finansal tablolarınız, Ar-Ge çalışmalarınız veya hasta kayıtlarınız şirketinizin en değerli varlıklarıdır. Peki bu veriler dışarıya nasıl sızar?

Masum Hatalar: Bir çalışanın içinde yüzlerce müşterinin kişisel verisi (KVKK) olan bir Excel dosyasını yanlışlıkla başka bir firmaya e-posta olarak göndermesi.
Kötü Niyetli Eylemler: İşten ayrılmak üzere olan bir satış personelinin, müşteri listesini kendi kişisel USB belleğine kopyalaması veya şahsi Gmail hesabına göndermesi.
Gölge BT (Shadow IT): Çalışanların şirket dosyalarını daha kolay çalışmak için WhatsApp Web, Telegram veya kişisel Google Drive, Dropbox gibi güvensiz bulut platformlarına yüklemesi.

DLP (Data Loss Prevention) Nedir?

DLP (Veri Sızıntısı Önleme), şirketinizin hassas verilerinin yetkisiz kişiler tarafından kopyalanmasını, paylaşılmasını veya kurum ağı dışına çıkarılmasını engelleyen güvenlik yazılımları ve politikaları bütünüdür.

DLP sistemleri, veriyi üç farklı durumda korur:

Hareket Halindeki Veri (Data in Motion): Kurum ağından dışarıya e-posta, anlık mesajlaşma veya web üzerinden giden verileri analiz eder ve engeller.
Kullanım Halindeki Veri (Data in Use): Çalışanın ekranındaki bir veriyi kopyalayıp (Copy-Paste) başka bir yere yapıştırmasını veya ekran görüntüsü (Print Screen) almasını engeller.
Durağan Veri (Data at Rest): Sunucularda veya bilgisayarlarda bekleyen hassas dosyaları tarar, yetkisiz erişimleri tespit eder.

📌 İlgili Hizmetlerimiz

Siber Güvenlik Çözümlerimiz — Sızma testi, DDoS koruması, ağ güvenliği analizi
KVKK Uyum Danışmanlığı — Yasal yükümlülüklerinizi eksiksiz karşılayın
ISO 27001 Bilgi Güvenliği Yönetim Sistemi

DLP Şirketinize Neler Kazandırır?

İnvekor olarak şirketinizin altyapısına entegre ettiğimiz DLP çözümleri, yalnızca verilerinizi korumakla kalmaz, yasal yükümlülüklerinizi de güvence altına alır:

KVKK‘nın zorunlu kıldığı “Teknik Tedbirler”in başında yetkisiz erişimlerin ve veri sızıntılarının engellenmesi gelir. DLP sistemi sayesinde, TC Kimlik Numarası, Kredi Kartı (PAN) verisi veya sağlık verisi içeren bir dosya kurum dışına çıkarılmaya çalışıldığında sistem bunu otomatik olarak engeller ve KVKK kuruluna karşı sizi güvenceye alır.

2. Fikri Mülkiyet ve Ticari Sırların Korunması

Size rekabet avantajı sağlayan fiyat listelerinizin, kaynak kodlarınızın veya ihale dosyalarınızın rakip firmaların eline geçmesi saniyeler sürer. DLP ile şirket bilgisayarlarına USB bellek takılmasını, Bluetooth ile dosya aktarımını veya dosyaların harici disklere yazdırılmasını kontrol altına alabilirsiniz.

3. Yönetim Raporlaması ve Kanıt Sunma

DLP, sadece engellemekle kalmaz; yönetime detaylı raporlar sunar. “Hangi personel, saat kaçta, hangi hassas dosyayı, nereye kopyalamaya çalıştı?” sorularının cevabını anlık olarak görebilir, olası bir hukuki süreçte yasal kanıt olarak kullanabilirsiniz.

Güvenliği Şansa Bırakmayın

Unutmayın; en pahalı güvenlik duvarını da alsanız, veriniz içerideki bir personelin “Gönder” butonuna basması veya USB belleğini bilgisayara takması kadar güvendedir. DLP çözümleri olmadan tam bir bilgi güvenliğinden söz edilemez.

Mart 12, 2026

Sızma Testi (Pentest) Nedir? Kapsamlı Güvenlik Rehberi

Blog / Siber Güvenlik

Sızma Testi (Penetrasyon Testi) Nedir? Kapsamlı Kurumsal Güvenlik Rehberi

📅 12 Mart 2026👤 İnvekor Siber Güvenlik Ekibi

Milyonlarca liralık güvenlik duvarları (Firewall) veya en gelişmiş antivirüs yazılımlarını satın almış olmanız, sisteminizin “hacklenemez” olduğu anlamına gelmez. Siber saldırganlar her zaman sisteminizdeki en ufak bir konfigürasyon hatasını veya en zayıf halkayı arar. Kurduğunuz dijital savunma hatlarının gerçekten işe yarayıp yaramadığını öğrenmenin tek ve kesin bir yolu vardır: Sistemlerinize bir hacker gibi saldırmak.

Sızma Testi (Pentest) Nedir?

Sızma testi veya global adıyla Penetration Testing (Pentest), siber güvenlik dünyasında “Beyaz Şapkalı Hackerlar” (Etik Hackerlar) tarafından sistemlerinize yapılan kontrollü ve yasal bir saldırı simülasyonudur. Amaç, kötü niyetli siber korsanların (Siyah Şapkalı Hackerlar) şirket ağınıza, web sitenize veya sunucularınıza sızmak için kullanabileceği açıkları onlardan önce bulmak ve kapatmaktır.

Zafiyet Taraması ile Sızma Testi Arasındaki Kritik Fark

Kurumların en sık düştüğü yanılgılardan biri, otomatik araçlarla yapılan “Zafiyet Taraması” (Vulnerability Scanning) işlemini Sızma Testi ile karıştırmaktır.

Zafiyet Taraması: Özel yazılımlar aracılığıyla sistemin otomatik olarak taranmasıdır. Bilinen güncellemelerin eksik olup olmadığını kontrol eder. Hızlıdır ancak yüzeyseldir. Sistemde yüzlerce “yanlış alarm” (false-positive) üretebilir.
Sızma Testi (Pentest): Zafiyet taramasını da kapsayan ancak bunun çok ötesine geçen manuel bir işlemdir. Uzman bir siber güvenlik mühendisi, bulduğu açığı tıpkı gerçek bir hacker gibi kullanmaya (istismar etmeye) çalışır. “Bu açık gerçekten şirket verilerine ulaşmamı sağlıyor mu?” sorusunun cevabını kanıtlarıyla birlikte sunar.

Kurumlar İçin Sızma Testi Neden Hayati Bir İhtiyaçtır?

Dijitalleşen iş dünyasında siber saldırganlar yapay zekayı da kullanarak 7 gün 24 saat boyunca şirket ağlarındaki zayıf noktaları aramaktadır. Sızma testinin işletmenize sağladığı temel faydalar şunlardır:

Proaktif Savunma: Siber saldırı başınıza geldikten sonra yara sarmak, müşteri verilerini kurtarmak ve fidye ödemek devasa maliyetler doğurur. Sızma testi, olası bir felaketi yaşanmadan önce engeller.
Yasal Regülasyonlara Uyum: KVKK, GDPR, BDDK regülasyonları, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi yönergeleri veya ISO 27001 gibi bilgi güvenliği standartları, müşteri verilerini işleyen kurumların düzenli olarak bağımsız sızma testleri yaptırmasını yasal olarak zorunlu kılar.
İtibar ve Finansal Koruma: Müşteri verilerinin çalınması veya sistemlerin fidye yazılımları (Ransomware) ile kilitlenmesi, firmalar için telafisi zor itibar kayıplarına ve devasa idari para cezalarına yol açar. Müşterileriniz, verilerini koruyamayan bir şirketle çalışmak istemeyecektir.

Başarılı Bir Sızma Testi Hangi Aşamalardan Oluşur?

İnvekor Bilgi Teknolojileri olarak gerçekleştirdiğimiz profesyonel sızma testleri, uluslararası kabul görmüş metodolojilere (OSSTMM, OWASP, PTES vb.) dayanır ve şu 5 temel adımdan oluşur:

Bilgi Toplama (Reconnaissance): Hedef kurum hakkında internetten, açık kaynaklardan (OSINT) ve Dark Web üzerinden IP adresleri, çalışan e-postaları, kullanılan altyapılar gibi kritik bilgilerin toplanmasıdır.
Tarama ve Sınıflandırma (Scanning): Tespit edilen IP’ler ve sistemler üzerindeki açık portlar, çalışan servisler ve zafiyetler özel araçlarla taranır.
Sisteme Sızma (Exploitation): Bulunan zafiyetler (SQL Injection, XSS, zayıf parolalar vb.) kullanılarak sisteme yetkisiz erişim sağlanmaya çalışılır. Bu aşamada gerçekçi saldırı senaryoları devreye girer.
Yetki Yükseltme ve İçeride İlerleme (Post-Exploitation): Sisteme düşük yetkilerle girildiyse, yönetici (Admin/Root) hakları elde edilmeye çalışılır. İç ağda başka hangi sunuculara veya veritabanlarına ulaşılabileceği test edilir.
Raporlama ve Çözüm Önerileri: Tüm bulgular yöneticilerin anlayabileceği bir dilde ve teknik ekiplerin uygulayabileceği detaylı çözüm adımlarıyla birlikte raporlanır.

İnvekor Kapsamında Sızma Testi Türleri

İhtiyaçlarınıza ve sistem mimarinize uygun olarak farklı alanlarda sızma testleri gerçekleştiriyoruz:

1. Dış Ağ (External Network) Sızma Testi

Şirketinizin internete açık olan tüm yüzeylerinin (Web sunucuları, e-posta sunucuları, VPN portları, güvenlik duvarı arayüzleri) dünyanın herhangi bir yerinden gelebilecek siber saldırılara karşı ne kadar dayanıklı olduğunun test edilmesidir. Amaç, kurum dışından bir saldırganın ağınıza girip giremeyeceğini görmektir.

2. İç Ağ (Internal Network) Sızma Testi

Saldırganın şirketin iç ağına bir şekilde sızdığı (örneğin ofisteki bir ağ kablosuna bağlandığı veya bir çalışanın bilgisayarını zararlı bir yazılımla ele geçirdiği) senaryodur. Şirket içindeki veritabanlarına, muhasebe kayıtlarına, ERP sistemlerine veya aktif dizine (Active Directory) yetkisiz şekilde ne kadar ilerleyebileceği detaylıca ölçülür.

3. Web ve Mobil Uygulama Güvenlik Testleri

Kurumunuza ait web siteleri, e-ticaret altyapıları, CRM sistemleri, iOS ve Android tabanlı mobil uygulamalar üzerinde gerçekleştirilen detaylı açık arama (OWASP Top 10) testleridir. Kullanıcı verilerinin çalınıp çalınamayacağı ve iş mantığı (business logic) hataları kontrol edilir.

4. Sosyal Mühendislik ve Oltalama (Phishing) Testleri

Siber güvenliğin en zayıf halkası donanımlar değil, her zaman insandır. Kurum çalışanlarına yönelik senaryolu oltalama e-postaları gönderilir veya sahte telefon aramaları (Vishing) yapılarak personelin güvenlik farkındalığı ölçülür. Parolalarını veya şirket sırlarını dışarıya ne kadar kolay verebildikleri test edilerek eğitim planlaması yapılır.

5. Kablosuz Ağ (Wireless) Sızma Testleri

Şirket içindeki Wi-Fi ağlarının güvenliği test edilir. Misafir ağından kurum içi sunuculara geçiş yapılıp yapılamadığı, şifreleme algoritmalarının (WPA2/WPA3) dayanıklılığı kontrol edilir.

Sızma Testi Ne Sıklıkla Yaptırılmalıdır?

Siber güvenlik statik değil, dinamik bir süreçtir. Dün güvenli olan bir sistem, bugün çıkan yeni bir zafiyet (Zero-Day) sebebiyle savunmasız kalabilir. Bu nedenle Sızma Testleri yılda en az bir kez periyodik olarak yaptırılmalıdır. Ayrıca; bilgi işlem altyapısında büyük bir değişiklik yapıldığında, yeni bir web uygulaması veya sunucu devreye alındığında testler mutlaka tekrarlanmalıdır.

Zafiyetleri Hackerlardan Önce Siz Bulun

Siber tehditlerin her geçen gün daha da karmaşıklaştığı bu dönemde, şirketinizin güvenliğini şansa bırakmayın. BT altyapınızı, ağ güvenliğini ve web uygulamalarınızı uzman İnvekor ekibiyle test edelim; size dünya standartlarında detaylı bir çözüm ve iyileştirme raporu sunalım.

Sisteminizin Sınırlarını Keşfetmeye Hazır Mısınız?

Hemen şimdi kurumsal e-posta altyapınızı ücretsiz test edebilir veya detaylı bir analiz için Sızma Testi Kapsam Formumuzu doldurarak uzmanlarımızdan destek alabilirsiniz.

📋 Kapsam Formunu Doldurun 🛡️ Ücretsiz Güvenlik Taraması Yap

Mart 12, 2026

KVKK ve SAS Akreditasyonu

Blog / KVKK ve Hukuksal Uyum

KVKK ve SAS Akreditasyonu: Sağlık Verilerini Korurken Çifte Standart Nasıl Sağlanır?

📅 24 Şubat 2026👤 İnvekor Hukuk ve Uyum Ekibi

Bir hastane yöneticisi için en kötü senaryo nedir? SAS denetiminden kalıp teşvikleri kaybetmek mi, yoksa bir siber saldırı sonucu KVKK’dan milyonlarca lira ceza yemek mi? Ne yazık ki bu iki risk birbirinden bağımsız değildir. SAS standartlarının istediği “Bilgi Güvenliği”, aslında KVKK’nın istediği “Teknik Tedbirler”in ta kendisidir. Bu yazıda, bir taşla iki kuş vurmanın yol haritasını çiziyoruz.

Sağlık Verisi: “Özel Nitelikli” ve Çok Riskli

Kanunlarımıza göre sağlık verileri (tahlil sonuçları, reçeteler, genetik veriler) “Özel Nitelikli Kişisel Veri” statüsündedir. Bu verilerin sızdırılması veya kaybolması durumunda uygulanan cezalar, standart veri ihlallerine göre çok daha ağırdır. Üstelik SAS (Sağlıkta Akreditasyon Standartları) da “Hasta Mahremiyeti” konusunda en az KVKK kadar hassastır.

Eğer hastanenizin bilgi işlem altyapısı zayıfsa, aynı anda iki cephede birden savaşı kaybedersiniz:

Yasal Cephe: KVKK Kurulundan idari para cezası ve itibar kaybı.
Akreditasyon Cephesi: “Bilgi Güvenliği” standartlarından “0” puan alarak belgenin askıya alınması.

SAS Standartları ve KVKK Nerede Kesişiyor?

SAS kitapçığını incelediğinizde, “Bilgi Yönetimi” bölümündeki maddelerin ISO 27001 ve KVKK Teknik Tedbirler rehberiyle %95 oranında örtüştüğünü görürsünüz. İşte ortak zorunluluklar:

1. Erişim Logları ve 5651 Sayılı Kanun

Hem SAS denetçisi hem de bir KVKK soruşturmasında savcı size şunu soracaktır: “Bu hastanın dosyasına kim, ne zaman, hangi bilgisayardan girdi?”

Bu sorunun cevabı Log Yönetimidir. Hastane ağındaki tüm hareketlerin zaman damgalı ve değiştirilemez şekilde saklanması yasal bir zorunluluktur. Log tutmamak, bir ihlal durumunda kendinizi savunamayacağınız anlamına gelir.

2. Veri Sızıntısı (İç Tehditler)

İstatistiklere göre veri ihlallerinin büyük bir kısmı dışarıdan gelen hackerlardan değil, içerideki personelin ihmalinden kaynaklanır. Bir personelin yanlışlıkla hasta listesini mail atması, KVKK kapsamında ciddi bir ihlaldir. SAS ise bunu “Hasta Mahremiyeti İhlali” olarak görür.

Çözüm ortaktır: DLP (Veri Sızıntısı Önleme) sistemleri. DLP, hassas verilerin hastane ağı dışına çıkmasını teknolojik olarak engeller ve bu engellemeyi raporlar. Bu raporlar, denetimlerde sunabileceğiniz en güçlü kanıttır.

3. Siber Saldırılar ve Fidye Yazılımları

Hastaneler, fidye yazılımlarının (Ransomware) bir numaralı hedefidir. Sistemleriniz şifrelenirse hizmet veremezsiniz. SAS’ın “Hizmet Sürekliliği” standardı çöker, KVKK’nın “Veri Güvenliği” ilkesi ihlal edilir. Geleneksel antivirüsler yerine yapay zeka destekli Uç Nokta Güvenliği (EDR/XDR) kullanmak, bu kabusu önlemenin tek yoludur.

İnvekor Yaklaşımı: Bütünleşik Uyum

Birçok hastane SAS için ayrı, KVKK için ayrı danışmanlarla çalışarak zaman ve para kaybeder. Oysa teknik altyapı tektir. İnvekor olarak biz, kurduğumuz güvenlik duvarı, DLP ve yedekleme sistemlerini hem SAS denetçisine hem de KVKK kuruluna sunulacak şekilde yapılandırıyoruz.

Unutmayın; güvenlik bir ürün değil, bir süreçtir. Doğru teknolojik yatırımla hem yasal risklerinizi sıfırlayabilir hem de akreditasyon puanınızı zirveye taşıyabilirsiniz.

Risklerinizi Yönetin, Cezalardan Korunun

KVKK uyumluluğu ve SAS Bilgi Güvenliği standartları için altyapınızı test edelim. Hukuksal ve teknik analiz için bize ulaşın.

⚖️ Güvenlik ve Uyum Analizi Alın

Şubat 16, 2026

SAS Akreditasyon Süreci

Blog / Kalite Yönetimi ve Süreç

Adım Adım SAS Akreditasyon Süreci: Hastaneniz Denetime Hazır Mı?

📅 21 Şubat 2026👤 İnvekor Kalite Ekibi

SAS Belgesi almak, sadece bir “başvuru” değil, aylar süren bir kurumsal dönüşüm yolculuğudur. Serimizin ilk yazısında teşviklerden, ikinci yazısında ise IT güvenliğinin kritik rolünden bahsettik. Şimdi sıra operasyonda: Başvuru nasıl yapılır? Denetçiler sahada neye bakar? Ve en önemlisi; hastaneniz gerçekten hazır mı?

SAS Akreditasyon Yolculuğu: 4 Temel Durak

TÜSKA (Türkiye Sağlık Hizmetleri Kalite ve Akreditasyon Enstitüsü) tarafından yürütülen süreç, disiplinli bir hazırlık gerektirir. Kurumunuzun bu maratona başlamadan önce yol haritasını netleştirmesi gerekir.

1. Öz Değerlendirme (Aynaya Bakmak)

İlk adım, resmi başvurudan önce kendi kendinizi değerlendirmektir. SAS setindeki yüzlerce standardı (Hasta Bakımı, İlaç Yönetimi, Enfeksiyon Kontrolü vb.) önünüze alıp, dürüstçe “Biz bunu yapıyor muyuz?” diye sormalısınız. Bu aşamada Profesyonel Danışmanlık almak, kör noktalarınızı görmenizi sağlar.

2. Dokümantasyon vs. Uygulama

Hastanelerin en sık yaptığı hata, “prosedür yazmayı” yeterli sanmaktır. Harika bir “Mavi Kod Prosedürü”nüz olabilir, ama denetçi o an kattaki temizlik personeline “Mavi kod anında ne yaparsın?” diye sorduğunda cevap alamazsa, o prosedürün puan değeri sıfırdır. SAS, kağıt üstündeki kaliteye değil, yaşayan kaliteye bakar.

Denetimin “Kör Noktası”: Teknoloji ve Veri Güvenliği

Birçok Kalite Direktörü, tıbbi süreçlere o kadar odaklanır ki, teknolojik altyapıyı gözden kaçırır. Ancak SAS puanlamasında “Bilgi Yönetimi” standartları belirleyici bir ağırlığa sahiptir. Denetçi şunları soracaktır:

“Hasta verileri yedekleniyor mu, yedekler şifreli mi?”
“Antivirüs sisteminiz güncel mi ve merkezi olarak yönetiliyor mu?” (Uç Nokta Güvenliği Çözümleri)
“Personelin verileri USB ile dışarı çıkarmasını engelleyen bir sisteminiz var mı?” (DLP Çözümleri)

Bu sorulara teknik ekibiniz (Bilgi İşlem) net ve kanıtlı cevaplar veremezse, akreditasyon riske girer.

Mock Audit (Ön Denetim): Sürprizlere Yer Yok

Gerçek denetim günü stresli geçer. Eksik bir evrak, çalışmayan bir yangın tüpü veya güncellenmemiş bir yazılım o an fark edilirse geri dönüşü yoktur. İşte bu yüzden “Mock Audit” (Prova Denetimi) hayati önem taşır.

Invekor olarak sunduğumuz bu hizmette, tıpkı TÜSKA denetçileri gibi hastanenize geliyoruz:

Saha Turu: Acil servisten bilgi işlem odasına kadar her yeri geziyoruz.
Personel Mülakatı: Çalışanlarınıza denetim sorularını sorarak hazırlık seviyelerini ölçüyoruz.
Teknik Sızma Testi: IT altyapınızın güvenliğini test ediyoruz.
Raporlama: “Şunları düzeltirseniz geçersiniz” diyen net bir reçete sunuyoruz.

Sonuç: Başarı Tesadüf Değildir

SAS Akreditasyonu, kurumunuzun prestijini ve gelirlerini artıracak en büyük yatırımdır. Bu süreci şansa bırakmayın. Tıbbi süreçlerinizdeki titizliği, teknolojik altyapınızda ve denetim hazırlığınızda da gösterin.

Denetçiden Önce Biz Gelelim!

Gerçek denetimden %100 başarıyla geçmek için Invekor “Mock Audit” (Ön Denetim) hizmetiyle tanışın.

📋 Ön Denetim Randevusu Alın

Şubat 16, 2026

SAS Denetimlerinde IT Departmanının Rolü

Blog / Bilgi Güvenliği ve IT

Sağlık Turizminde Veri Güvenliği: SAS Denetimlerinde IT Departmanının Rolü

📅 19 Şubat 2026👤 İnvekor Teknik Ekibi

Bir önceki yazımızda SAS Akreditasyonunun hastane yönetimi ve teşvikler için öneminden bahsetmiştik. Ancak denetim günü geldiğinde, asıl sınavı veren genellikle “Bilgi İşlem (IT)” departmanlarıdır. SAS denetçileri artık sadece ameliyathaneye bakmıyor; sunucu odasına giriyor, firewall loglarını istiyor ve “Veri sızarsa planın ne?” diye soruyor. İşte IT yöneticileri için SAS teknik rehberi.

SAS’ın Gizli Kahramanı: Bilgi Yönetimi Standartları

Sağlıkta Akreditasyon Standartları (SAS) kitapçığını açtığınızda, “Bilgi Yönetimi” başlığı altında onlarca madde görürsünüz. Bu maddeler, hastane yönetim sistemlerinin (HBYS) sadece çalışmasını değil, aynı zamanda güvenli, izlenebilir ve felaketlere karşı dayanıklı olmasını zorunlu kılar.

TÜSKA denetçilerinin IT departmanından beklediği temel yetkinlik, ISO 27001 Bilgi Güvenliği prensipleriyle birebir örtüşmektedir. Denetimden tam puan almak için aşağıdaki üç teknik sütunu sağlamlaştırmanız gerekir.

1. Veri Sızıntısını Önleme (DLP) Zorunluluğu

Sağlık turizmi yapan bir hastane olduğunuzu düşünün. Elinizde binlerce yabancı hastanın pasaport fotokopileri, kredi kartı bilgileri ve hassas sağlık raporları var. Bu veriler KVKK ve Avrupa Birliği vatandaşları için GDPR (General Data Protection Regulation) kapsamında korunmak zorundadır.

Denetçinin soracağı en kritik sorulardan biri şudur: “Bir personeliniz, VIP hasta listesini Excel’e aktarıp USB bellekle evine götürebilir mi?”

Eğer cevabınız “Bilmiyorum” veya “Götürebilir” ise, o denetimden geçmeniz zordur. Bu riski yönetmenin tek profesyonel yolu DLP (Data Loss Prevention) yazılımlarıdır. Invekor olarak sunduğumuz DLP Çözümleri ile:

USB portlarını yetkisiz kullanıma kapatabilir,
TCKN, Pasaport No veya “Hasta” kelimesi içeren dosyaların mail ile dışarı atılmasını engelleyebilir,
Hangi personelin hangi veriyi kopyaladığını saniyesi saniyesine raporlayabilirsiniz.

2. Uç Nokta Güvenliği: Standart Antivirüs Yetmez

Hastaneler 7/24 yaşayan organizasyonlardır. Bir fidye yazılımının (Ransomware) sisteme bulaşması ve tüm hasta verilerini şifrelemesi, sadece maddi kayıp değil, hasta hayatını riske atan bir felakettir. SAS standartları, sistemin “kesintisizliğini” şart koşar.

Geleneksel antivirüsler, günümüzün yapay zeka destekli siber saldırılarını durdurmakta yetersiz kalmaktadır. SAS uyumluluğu için davranışsal analiz yapabilen, tehdidi kaynağında tespit edip izole eden yeni nesil EDR (Endpoint Detection and Response) teknolojilerine ihtiyacınız vardır. Uç Nokta Güvenliği hizmetimizle, hastane ağınızı görünmez bir kalkanla koruma altına alıyoruz.

3. Loglama ve İzlenebilirlik

“Dün gece saat 03:00’te bu hastanın dosyasına kim erişti ve hangi değişikliği yaptı?”

Bu soruya yanıt veremiyorsanız, “Veri Bütünlüğü” standardını ihlal ediyorsunuz demektir. IT departmanının, hem 5651 sayılı kanun gereği internet erişim loglarını hem de HBYS üzerindeki uygulama loglarını (Audit Logs) değiştirilemez şekilde saklaması gerekir. Bu loglar, olası bir veri ihlalinde yasal güvencenizdir.

Felaket Senaryonuz Hazır mı?

SAS denetçisi size “Şu an sunucu odasında yangın çıksa, hastaneyi ne kadar sürede tekrar ayağa kaldırırsınız?” diye soracaktır. “Bilgi Güvenliği” sadece virüs koruması değil, aynı zamanda iş sürekliliğidir. Düzenli, şifreli ve hatta “çevrimdışı” (offline) yedekleme stratejileriniz, akreditasyonun olmazsa olmazıdır.

Invekor ile “Teknik Denetime” Hazırlanın

IT yöneticilerinin üzerindeki yükü biliyoruz. Hem hastaneyi ayakta tutmak hem de yüzlerce maddelik denetim listesiyle uğraşmak zordur. Invekor olarak, SAS denetimi öncesinde hastanenize gelerek “Mock Audit” (Ön Denetim) yapıyoruz. Antivirüsünüzden firewall kurallarınıza, DLP politikalarınızdan yedekleme planınıza kadar tüm IT süreçlerinizi denetçiden önce biz test ediyoruz.

IT Altyapınız Denetimden Geçebilir Mi?

Veri güvenliği açıklarınızı kapatmak ve SAS denetimine %100 hazır girmek için teknik ekibimizle tanışın.

🛡️ Bilgi Güvenliği Analizi Alın

Şubat 16, 2026

SAS Akreditasyonu

Blog / Sağlıkta Kalite ve Akreditasyon

SAS Akreditasyonu ve Sağlık Turizmi: Teşviklerden Yararlanmak İçin Neden Zorunlu?

📅 17 Şubat 2026👤 İnvekor Danışmanlık Ekibi

Türkiye’nin sağlık turizminde dünya liderliğine oynadığı bu dönemde, hastaneler ve klinikler için SAS Akreditasyonu artık bir tercih değil, hayatta kalma meselesi. Milyonlarca liralık Turquality ve devlet teşviklerine giden yol, bu prestijli belgeden geçiyor. Peki, SAS belgesi kurumunuza ne kazandırır ve yokluğu size nelere mal olur?

Sağlıkta Akreditasyon Standartları (SAS) Nedir?

Kısaca SAS olarak bilinen Sağlıkta Akreditasyon Standartları, Türkiye Sağlık Hizmetleri Kalite ve Akreditasyon Enstitüsü (TÜSKA) tarafından geliştirilen ulusal bir kalite tescil sistemidir. Ancak “ulusal” olması sizi yanıltmasın; SAS setleri, dünyanın en prestijli çatı kuruluşu olan ISQua (The International Society for Quality in Health Care) tarafından akredite edilmiştir.

Yani bir hastanenin SAS belgesi alması demek, hizmet kalitesinin ve hasta güvenliğinin uluslararası standartlarda olduğunu tüm dünyaya kanıtlaması demektir. Bu belge; hastane yönetiminden enfeksiyon kontrolüne, tesis güvenliğinden bilgi güvenliği ve veri koruma süreçlerine kadar kurumun her hücresinin denetlendiğini gösterir.

Sağlık Turizmi Teşviklerinin Anahtarı: Neden Zorunlu?

Sağlık turizmi yapan kurumlar için SAS belgesi, devletin sunduğu cömert teşvik paketlerinin kilidini açan anahtardır. Ticaret Bakanlığı, sağlık turizmi yapan kurumların reklam, kira, istihdam ve yurtdışı ofis giderlerinin önemli bir kısmını hibe olarak karşılamaktadır. Ancak bu desteklerden yararlanabilmek için “Uluslararası Sağlık Turizmi Yetki Belgesi”ne sahip olmanız gerekir.

İşte kritik nokta burasıdır: Yetki belgesi alabilmenin ön şartlarından biri, kurumun belirli kalite standartlarını karşılamasıdır. JCI (Joint Commission International) gibi yüksek maliyetli yabancı akreditasyonlara en güçlü, yerli ve geçerli alternatif SAS Akreditasyon Belgesidir. SAS belgesi olmayan bir kurum, milyonlarca lirayı bulan bu teşviklerden mahrum kalma riskiyle karşı karşıyadır.

Yabancı Hasta İçin “Güven” Etiketi

Almanya’dan, İngiltere’den veya Orta Doğu’dan gelen bir hasta için en büyük endişe “güven”dir. Hastalar, gidecekleri hastanenin kalitesinden emin olmak isterler. Web sitenizde veya kapınızda yer alacak SAS logosu, o hastaya şu mesajı verir: “Bu hastane uluslararası standartlarda denetleniyor, burada güvendesiniz.” Bu prestij, rekabette sizi öne geçiren en büyük pazarlama gücüdür.

SAS Denetimlerinde Teknoloji ve Bilgi Güvenliği

SAS denetimleri sadece tıbbi süreçleri değil, hastanenin teknolojik altyapısını da mercek altına alır. Denetçiler, hasta verilerinin nasıl korunduğunu, siber saldırılara karşı ne kadar hazırlıklı olduğunuzu sorgular.

Özellikle Bilgi Yönetimi ve Teknolojileri standartları kapsamında şunlar hayati önem taşır:

Veri Sızıntısını Önleme: Hasta listelerinin veya özel verilerin yetkisiz kişilerce dışarı çıkarılmasını engellemek için DLP (Data Loss Prevention) çözümleri kullanıyor musunuz?
Uç Nokta Güvenliği: Hastane bilgisayarlarını fidye yazılımlarına (Ransomware) karşı koruyan güncel ve profesyonel bir Antivirüs / EDR sisteminiz var mı?
Yedekleme ve Felaket Kurtarma: Olası bir sistem çökmesinde verileri geri getirebilecek misiniz?

Bu teknik altyapı eksikse, tıbbi süreçleriniz ne kadar iyi olursa olsun denetimden geçmeniz zora girer. Bu noktada Invekor Danışmanlık Hizmetleri devreye girerek, IT altyapınızı denetim standartlarına tam uyumlu hale getirir.

Sonuç: Geleceğe Yatırım Yapın

SAS Akreditasyonu, sadece duvara asılacak bir belge değil; hastanenizin kurumsal hafızasını, gelirlerini ve geleceğini garanti altına alan bir yatırımdır. Sağlık turizminde büyümek ve devlet teşviklerinden maksimum düzeyde yararlanmak istiyorsanız, akreditasyon sürecini ertelemeyin.

Sürecin karmaşıklığı gözünüzü korkutmasın. Doğru teknoloji ortağıyla çalışmak, denetim stresini ortadan kaldırır ve sizi başarıya ulaştırır.

Hastaneniz SAS Denetimine Hazır Mı?

Eksiklerinizi denetçiden önce biz bulalım. Bilgi güvenliği ve IT altyapı analizi için uzmanlarımızla görüşün.

🚀 Ücretsiz Ön Analiz Talep Edin

Şubat 16, 2026

ISO 27001 ve ISO 27701: Kurumsal Veri Güvenliği ve Gizlilik Yönetimi İçin Kapsamlı Rehber

Blog / Bilgi Güvenliği ve Uyum

ISO 27001 ve ISO 27701: Kurumsal Veri Güvenliği ve Gizlilik Yönetimi İçin Kapsamlı Rehber

📅 5 Şubat 2026👤 İnvekor Siber Güvenlik Ekibi

ISO 27001 ve ISO 27701 standartları, veri ihlallerinin ve siber saldırıların arttığı günümüzde işletmeniz için en kritik yatırımdır. Bu detaylı rehberde, KVKK ve GDPR uyumu sağlayan bu iki önemli standardın ne olduğunu, işletmenize faydalarını ve Invekor ile süreci nasıl yönetebileceğinizi anlatıyoruz.

Dijital Çağda “Güvenlik” Kavramının Dönüşümü

Geçmişte bir şirketin güvenliği denildiğinde akla çelik kapılar, yüksek duvarlar ve güvenlik görevlileri gelirdi. Ancak dijital dönüşümle birlikte varlık kavramı kökten değişti. Bugün bir lojistik firmasının kamyonlarından daha değerli olan varlığı, müşteri rota verileridir. Bir e-ticaret sitesinin deposundaki ürünlerden daha kritiği, kullanıcılarının kredi kartı ve adres bilgileridir.

Bu “dijital hazineyi” korumak, fiziksel korumadan çok daha karmaşık bir strateji gerektirir. Çünkü siber tehditler görünmezdir, 7/24 aktiftir ve dünyanın herhangi bir yerinden gelebilir. Fidye yazılımları (ransomware), oltalama saldırıları (phishing) ve içeriden gelen tehditler, şirketleri her an tehdit etmektedir. İşte bu noktada, güvenliği bir “ürün” olmaktan çıkarıp, yönetilebilir, ölçülebilir ve sürdürülebilir bir “sistem” haline getiren iki dev standart devreye girer: ISO 27001 ve ISO 27701.

ISO 27001 ve ISO 27701 Nedir ve Farkları Nelerdir?

ISO 27001 ve ISO 27701 kavramları genellikle birlikte anılsa da odak noktaları farklıdır. Kısaca BGYS olarak bilinen ISO/IEC 27001, bilgi güvenliği yönetiminin küresel altın standardıdır. Bu standart, kurumunuzun sadece dijital verilerini değil, her türlü bilgi varlığını korumayı hedefler.

Öte yandan ISO/IEC 27701, ISO 27001’in gizlilik (privacy) odaklı bir uzantısıdır. Özellikle Türkiye’de KVKK (Kişisel Verilerin Korunması Kanunu) ve Avrupa’da GDPR uyumu arayan firmalar için ISO 27701, yasal uyumluluğun teknik kanıtı niteliğindedir. Yani ISO 27001 şirketin kasasını korurken, ISO 27701 o kasanın içindeki müşteriye ait emanetleri (kişisel verileri) korur.

ISO 27001 Temel Prensipleri

ISO 27001, bilgi güvenliğini meşhur “CIA Üçlüsü” üzerine inşa eder:

Gizlilik (Confidentiality): Bilgiye sadece yetkilendirilmiş kişiler erişebilir.
Bütünlük (Integrity): Bilgi yetkisiz kişilerce değiştirilemez.
Erişilebilirlik (Availability): Bilgi ihtiyaç duyulduğunda erişilebilir olmalıdır.

Neden ISO 27001 ve ISO 27701 Yatırımı Yapmalısınız?

ISO 27001 ve ISO 27701 standartlarına yatırım yapmak, modern işletmeler için lüks değil zorunluluktur. İşte temel nedenler:

1. Yasal Yaptırımlar ve Cezalardan Korunma

KVKK ihlallerinde kesilen idari para cezaları milyonlarca lirayı bulabilmektedir. ISO 27701, veri işleme süreçlerinizi şeffaflaştırır ve olası bir ihlal durumunda “gerekli tüm teknik ve idari tedbirlerin alındığını” kanıtlamanızı sağlar. Bu, yasal savunmanızın bel kemiğidir.

2. Rekabet Avantajı ve Marka İtibarı

Tüketiciler artık verilerine saygı duyan markaları tercih ediyor. ISO 27701 logosu, müşterilerinize “Gizliliğiniz bizim için değerlidir” mesajını verir. Ayrıca, büyük kurumsal firmalar ve devlet ihaleleri, tedarikçilerinden ISO 27001 belgesini ön koşul olarak istemektedir.

İnvekor ile ISO 27001 ve ISO 27701 Uyum Süreci

ISO sertifikasyon süreci, doğru bir rehberle yönetilmezse bürokratik bir kabusa dönüşebilir. Invekor Bilgi Teknolojileri olarak, 15 yılı aşkın tecrübemizle ISO 27001 ve ISO 27701 sürecini sizin adınıza yönetiyoruz.

Aşama 1: GAP Analizi (Röntgen Çekimi)

İlk adımda kurumunuzu ziyaret ediyoruz. Mevcut süreçlerinizi, IT altyapınızı ve fiziksel güvenliğinizi inceliyoruz. Standartların gereklilikleri ile mevcut durumunuz arasındaki farkı raporluyoruz.

Aşama 2: Varlık Envanteri ve Risk Analizi

Kurumdaki tüm varlıkları envanter haline getiriyoruz. Ardından her bir varlık için tehditleri (siber saldırı, veri sızıntısı vb.) analiz ediyor ve risk puanlaması yapıyoruz.

Aşama 3: Teknik Güçlendirme (Siber Güvenlik)

Invekor’u diğerlerinden ayıran en büyük özellik teknik gücüdür. Sadece doküman yazmıyoruz, firewall yapılandırması ve sızma testleri ile sistem açıklarını kapatıyoruz.

Aşama 4: Belgelendirme

Sistemi kurduktan sonra iç denetim (Pre-Audit) yapıyoruz. Böylece belgelendirme denetimine %100 hazır ve garantili bir şekilde girmenizi sağlıyoruz.

Güvenliği Sisteme Bağlayın

Veri güvenliği, “bir gün yaparız” denilecek bir iş değildir. ISO 27001 ve ISO 27701, işletmenizin kurumsal hafızasını koruyan en güçlü sigortadır. İnvekor olarak, hem teknik siber güvenlik yetkinliklerimiz hem de yönetim sistemleri tecrübemizle bu yolculukta yanınızdayız.

İşletmenizin Güvenlik Açıklarını Biliyor Musunuz?

ISO 27001 ve ISO 27701 uyum süreci, GAP analizi ve danışmanlık için uzmanlarımızla görüşün.

🚀 Ücretsiz Analiz ve Teklif Alın

Şubat 5, 2026

Yazar: admin

Sızma Testi (Penetrasyon Testi) Nedir? Kapsamlı Kurumsal Güvenlik Rehberi 2026

📑 Bu Rehberde Neler Var?

Sızma Testi Nedir?

Zafiyet Taraması ile Sızma Testi Arasındaki Kritik Fark

💡 Pratik Yaklaşım

Türkiye’de Sızma Testi Yasal Zorunluluk mudur?

⚠️ Kritik Uyarı: KVKK Kurulu İçtihatları

Sızma Testi Neden Hayati Önemde? Verilerle Anlatım

Sızma Testinin Kuruma Sağladığı Somut Faydalar

Sızma Testi Aşamaları: 5 Adımda Profesyonel Süreç

Sızma Testi Türleri ve Kapsamları

1. Dış Ağ (External Network) Sızma Testi

2. İç Ağ (Internal Network) Sızma Testi

3. Web ve Mobil Uygulama Güvenlik Testleri

4. Sosyal Mühendislik ve Oltalama (Phishing) Testleri

5. Kablosuz Ağ (Wireless) Sızma Testleri

6. Bulut Altyapı (Cloud) Sızma Testleri

7. Red Team Operasyonları

Black Box, Gray Box ve White Box Sızma Testi Karşılaştırması

💡 Hangisini Seçmeliyim?

Sızma Testi Fiyatları ve Süreleri (2026 Türkiye)

⚠️ Çok Ucuz Tekliflere Dikkat

Sızma Testi Ne Sıklıkla Yaptırılmalıdır?

Doğru Sızma Testi Firması Nasıl Seçilir?

Kritik Kontrol Listesi

Yapay Zeka Çağında Sızma Testi: 2026 ve Sonrası

🤖 Yapay Zeka, Hem Saldıranı Hem Savunanı Değiştiriyor

AI Çağı Spesifik Test Senaryoları

Sıkça Sorulan Sorular (SSS)

Sonuç: Zafiyetleri Hackerlardan Önce Siz Bulun

Sisteminizin Sınırlarını Keşfetmeye Hazır Mısınız?

📋 İçindekiler

1. KVKK ve ISO 27001 Nedir? Temel Kavramlar

KVKK (6698 Sayılı Kanun)

ISO 27001 Bilgi Güvenliği Yönetim Sistemi

2. Neden Entegre Etmelisiniz? İş Değeri Analizi

💡 Entegrasyonun Somut Faydaları

3. KVKK ve ISO 27001 Karşılaştırma Tablosu

4. Ortak Kesişim Noktaları ve Sinerji Alanları

4.1 Risk Yönetimi Çerçevesi

4.2 Erişim Kontrolü ve Yetkilendirme

4.3 Olay Yönetimi ve İhlal Bildirimi

4.4 Varlık Yönetimi ve Sınıflandırma

4.5 Eğitim ve Farkındalık

4.6 Tedarikçi ve Üçüncü Taraf Yönetimi

5. Entegrasyon Adımları: 8 Aşamalı Yol Haritası

Mevcut Durum Analizi (Gap Analysis)

Kapsam Belirleme ve Sınır Tanımlama

Entegre Risk Değerlendirmesi

Entegre Politika ve Prosedür Seti

Teknik ve İdari Kontrollerin Uygulanması

Eğitim ve Farkındalık Programı

İç Denetim ve Performans Ölçümü

Yönetim Gözden Geçirmesi ve Sürekli İyileştirme

6. Risk Değerlendirme Metodolojisi

6.1 Varlık Tanımlama ve Sınıflandırma

6.2 Tehdit ve Zafiyet Analizi

6.3 Etki ve Olasılık Değerlendirmesi

⚠️ Kritik Uyarı: Özel Nitelikli Kişisel Veriler

7. Entegre Dokümantasyon Mimarisi

Seviye 1 — Üst Düzey Politikalar

Seviye 2 — Konu Bazlı Politikalar

Seviye 3 — Prosedürler ve Talimatnameler

Seviye 4 — Kayıtlar ve Kanıtlar

📂 Entegre Doküman Numaralandırma Önerisi

8. Teknik Kontroller ve Uygulama Katmanı

8.1 Veri Şifreleme (Encryption)

8.2 Erişim Kontrolü ve Kimlik Yönetimi

8.3 Log Yönetimi ve İzleme

8.4 Veri Maskeleme ve Anonimleştirme

8.5 Yedekleme ve İş Sürekliliği

8.6 Ağ Güvenliği ve Segmentasyon

9. Denetim Hazırlığı ve Sürekli İyileştirme

Döngü 1: İç Denetim Programı

Yıllık Denetim Planlaması

Denetim Yürütme

Düzeltici Faaliyet Yönetimi

Döngü 2: KVKK Kurum Denetimi Hazırlığı

Döngü 3: ISO 27001 Sertifikasyon ve Gözetim Denetimleri