Kurumsal IT Standartları: Güvenli, Ölçeklenebilir ve Denetlenebilir Altyapı İçin Rehber
Yazılı IT standardı olmayan şirkette güvenlik, kişilerin hafızasında yaşar ve kişilerle birlikte kapıdan çıkar. Bu rehber; standartların neden gerektiğini, hangi çerçevenin ne işe yaradığını ve ilk 90 günde nereden başlanacağını özetler — sonunda doğrudan uyarlanabilir 34 Türkçe standart dokümanı yer alır.
Bu makalede
IT standartları neden önemlidir?
Bir sistem yöneticisinin işten ayrıldığı gün firewall kural setinin mantığını kimsenin bilmediği ortaya çıkıyorsa, sorun kişi değil standarttır. IT standartları üç temel işi görür: tekrarlanabilirlik (aynı iş, kim yaparsa yapsın aynı şekilde yapılır), denetlenebilirlik (bir denetçi ya da müşteri “bunu nasıl yönetiyorsunuz?” diye sorduğunda gösterilecek yazılı bir cevap vardır) ve ölçeklenebilirlik (yeni sistem, yeni personel ve yeni lokasyon mevcut kurallara eklenir; her seferinde sıfırdan karar verilmez).
Standartların yokluğu genellikle kriz anında fatura eder: olay müdahalesi sırasında kimin neye yetkili olduğu tartışılır, yedeğin geri dönüp dönmediği ilk kez o gece test edilir, müşterinin güvenlik anketi haftalarca cevapsız bekler. Yazılı standart, bu maliyetin sigortasıdır — ve ISO 27001 gibi bir sertifikasyon hedefi olmasa bile, ticari sözleşmelerdeki güvenlik ekleri ve KVKK gibi düzenlemeler fiilen aynı disiplini talep eder.
Kurumsal standart çerçevesi
Standart yazmaya sıfırdan başlamak gerekmez; olgunlaşmış çerçeveler işin iskeletini verir. Kritik olan, her birinin farklı bir soruya cevap verdiğini bilmek ve tek bir çerçeveyi din edinmemektir:
ISO/IEC 27001
Bilgi güvenliği yönetim sistemi (BGYS) standardı. Riskleri nasıl belirlediğinizi, kontrolleri nasıl seçtiğinizi ve bunların çalıştığını nasıl kanıtladığınızı sertifikalandırır. Sorusu: “Güvenliği bir yönetim döngüsü olarak işletiyor musunuz?”
ITIL 4
BT hizmet yönetimi çerçevesi: talep, değişiklik, olay ve problem yönetimi gibi operasyonel süreçlerin nasıl kurgulanacağını tanımlar. Sorusu: “BT hizmetlerini öngörülebilir biçimde işletiyor musunuz?”
COBIT 2019
BT yönetişim çerçevesi: BT kararlarının iş hedefleriyle hizalanmasını, rollerin ve sorumlulukların dağılımını üst yönetim seviyesinde ele alır. Sorusu: “BT'yi kim, hangi hedefe göre yönetiyor?”
NIST Cybersecurity Framework
Siber güvenlik fonksiyonlarını (Govern, Identify, Protect, Detect, Respond, Recover) tanımlayan, olgunluk değerlendirmesine uygun risk çerçevesi. Sorusu: “Saldırı yaşam döngüsünün her aşamasında ne yapıyorsunuz?”
CIS Critical Security Controls
Önceliklendirilmiş, doğrudan uygulanabilir teknik kontrol listesi (envanter, yapılandırma, erişim, loglama…). Sorusu: “Bu hafta hangi somut kontrolü devreye alacaksınız?”
Pratik reçete: yönetim sistemi için ISO 27001'i hedef alın, teknik önceliklendirme için CIS Controls'ü kullanın, operasyon süreçlerini ITIL terimleriyle yazın; COBIT ve NIST CSF'i ise olgunluk ölçümü ve yönetim kuruluna raporlama dili olarak tutun.
Politikadan sürekli iyileştirmeye
Standartlar tek başına doküman değil, bir döngünün parçasıdır. Politika yönü belirler; süreçler işi tarif eder; teknik kontroller süreci sisteme gömer; izleme kontrolün gerçekten çalıştığını gösterir; ölçüm sonuçları da politikaya geri döner:
Denetçinin aradığı da tam olarak bu zincirdir: yazılı kural → kuralı uygulayan sistem → uygulandığını gösteren kayıt. Zincirin herhangi bir halkası koptuğunda standart “rafta duran doküman”a dönüşür.
Uygulanabilir kontrol listesi
Aşağıdaki dokuz alan, çerçeveden bağımsız olarak her şirkette denetimin ilk baktığı yerlerdir. Her başlıkta, setteki ilgili standart dokümanına bağlantı verilmiştir.
1. Varlık envanteri
- Tüm sunucu, uç nokta, ağ cihazı ve SaaS aboneliklerinin güncel envanteri tutulur; sahibi ve kritikliği kayıtlıdır.
- Envanterde olmayan cihazın ağa erişimi NAC standardına göre engellenir.
2. Erişim yönetimi
- Erişimler rol bazlı ve “en az yetki” ilkesiyle verilir; talep-onay akışı kayıt altındadır (GÜV.06).
- İşten ayrılma gününde tüm hesaplar GÜV.10 standardına göre kapatılır; yetkiler en az yılda bir gözden geçirilir.
3. Kimlik doğrulama ve MFA
4. Yama ve yapılandırma yönetimi
5. Yedekleme ve felaket kurtarma
- Yedekler tanımlı RPO/RTO hedeflerine göre alınır; en az biri farklı lokasyonda/hesapta tutulur.
- Geri dönüş testleri planlı aralıklarla yapılır ve sonuçları kayıt altına alınır — test edilmemiş yedek, yedek değildir.
6. Loglama ve izleme
- Kritik sistemlerin logları LOG.01 standardına göre merkezi olarak toplanır, saat senkronizasyonu (NTP) sağlanır ve loglara müdahale engellenir.
- Uyarılar tanımlı eşiklere bağlanır; kimsenin okumadığı log, log değildir (bkz. SIEM sistemleri).
7. Uç nokta güvenliği
- Tüm uç noktalarda güncel koruma yazılımı ve disk şifreleme zorunludur (UNG.01, UNG.03).
- Mobil cihazlar ve BYOD, mobil cihaz rehberindeki kurallara tabidir.
8. Olay müdahalesi
- Güvenlik ihlali tanımı, bildirim kanalı ve eskalasyon zinciri yazılıdır (GÜV.04); KVKK bildirim süreleri sürece işlenmiştir.
- Yılda en az bir masabaşı tatbikatı yapılır (bkz. olay müdahale playbook'u).
9. Tedarikçi ve üçüncü taraf yönetimi
- Veriye ya da ağa erişen her tedarikçiyle gizlilik ve güvenlik hükümleri sözleşmeye bağlanır; erişimleri güvenlik mimarisi standardındaki üçüncü taraf bağlantı kurallarına uyar.
- Kritik tedarikçilerin güvenlik duruşu periyodik olarak gözden geçirilir.
İlk 90 gün: uygulama planı
Standartlaşma bir proje değil, kademeli bir alışkanlık değişimidir. Gerçekçi bir başlangıç takvimi:
Gün 0–30
Görünürlük- Varlık envanterini çıkar (sistem, ağ, SaaS, veri).
- Mevcut erişimlerin ve yönetici hesaplarının dökümünü al.
- Yedekleme durumunu ve son başarılı geri dönüş testini doğrula.
- Hızlı kazanım: tüm yönetici hesaplarında MFA'yı aç.
Gün 31–60
Yazılı kurallar- Bilgi güvenliği politikasını ve 5–6 çekirdek standardı yayınla (erişim, parola, yedek, olay, uç nokta).
- Talep-onay ve değişiklik yönetimi akışını araca bağla.
- Merkezi log toplamayı kritik sistemlerde devreye al.
Gün 61–90
Kanıt ve döngü- İlk iç denetimi / boşluk analizini yap, bulguları önceliklendir.
- Bir geri dönüş testi ve bir olay tatbikatı gerçekleştir.
- Yönetime ilk metrik raporunu sun; yıllık gözden geçirme takvimini ilan et.
Yönetici özeti: karar tablosu
| Kontrol alanı | Yönetilmediğinde risk | Önerilen aksiyon | Öncelik |
|---|---|---|---|
| MFA & erişim | Hesap ele geçirme, yetki istismarı | Tüm yönetici/uzak erişimde MFA; rol bazlı yetki matrisi | P1 · Hemen |
| Yedekleme & DR | Fidye yazılımı sonrası kalıcı veri kaybı | Farklı ortamda yedek + planlı geri dönüş testi | P1 · Hemen |
| Yama yönetimi | Bilinen açıkların istismarı | Aylık yama takvimi, kritik yamada 72 saat hedefi | P2 · 30 gün |
| Loglama & izleme | İhlalin geç fark edilmesi, kanıt yokluğu | Merkezi log + temel uyarı eşikleri | P2 · 60 gün |
| Varlık envanteri | Görünmeyen sistem, yönetilemeyen risk | Otomatik keşif + sahiplik ataması | P2 · 60 gün |
| Olay müdahalesi | Krizde koordinasyonsuzluk, bildirim gecikmesi | Yazılı süreç + yıllık tatbikat | P3 · 90 gün |
| Tedarikçi yönetimi | Üçüncü taraf kaynaklı ihlal | Sözleşme hükümleri + erişim segmentasyonu | P3 · 90 gün |
Standart dokümanları
Aşağıdaki 34 Türkçe standart dokümanı, bu rehberdeki yaklaşımın uygulanabilir halidir; şirketinize uyarlayarak doğrudan kullanabilirsiniz.
Güvenlik Yönetimi
- GÜV.01Güvenlik Mimarisi
- GÜV.02Bilgi Güvenliği Politikası
- GÜV.02 EK1Bilgi Güvenliği Politikası (Örnek)
- GÜV.02 EK2BGYS Politikası (Örnek)
- GÜV.03Görevler Ayrılığı
- GÜV.04Bilgi Güvenliği İhlalleri Yönetimi
- GÜV.05Fiziksel Güvenlik
- GÜV.06Erişim ve Yetkilendirme
- GÜV.06 EK1Yetki Talep Formu (Örnek)
- GÜV.08Güvenlik Test ve Taramaları
- GÜV.08 EK1Hizmet Kapsamı
- GÜV.09Şifre Standartları
- GÜV.10İşten Ayrılanlar ve Erişim İptali
- LOG.01Loglama ve İzleme
- YPO.04Güvenlik Organizasyonu
- RehberBT Güvenlik Yönetimi Rehberi
Ağ Güvenliği
- AĞ.01Ağ Yönetimi
- AĞ.02Kablosuz Ağ
- AĞ.03Atak Önleme Sistemleri
- AĞ.04Güvenlik Duvarı
- AĞ.05Uzaktan Erişim
- AĞ.06Switch
- AĞ.07VPN ile Erişim
- AĞ.08Ağ Erişim Kontrol (NAC)
- AĞ.09Web Uygulama Güvenlik Duvarı
Uç Nokta ve Veri Güvenliği
- UNG.01Anti-Virüs
- UNG.02URL Filtreleme
- UNG.03Uç Nokta Güvenlik Yönetimi
- UNG.03 EK3Mobil Cihaz Güvenliği Rehberi
- KBM.02Veri Sınıflandırması
- KBM.02 EK1Veri Sınıflandırması Rehberi
Yazılım Güvenliği
- YAZ.02Web Siteleri
- YAZ.02 EK2Güvenlik Açığı Kritiklik Belirleme
- YAZ.03ERP
Bir sonraki adım
Standartları yazmak işin yarısı; mevcut altyapınızın bu standartlara ne kadar uyduğunu görmek diğer yarısıdır. Graf Clouds, altyapınızı bu rehberdeki kontrol alanları üzerinden değerlendirip önceliklendirilmiş bir yol haritası çıkarır.
IT Altyapı Değerlendirmesi Talep Edin