Red Bilişim
Güvenlik KVKK

Bilgi Güvenliği Politikası Nasıl Hazırlanır?

Bilgi güvenliği politikası, kurumun verisini koruyan yazılı çerçevedir. İhtiyaç analizinden yazıma ve uygulamaya — adım adım nasıl hazırlanır ve nelere dikkat edilir.

· Red Bilişim

Bilgi güvenliği politikası, bir kurumun bilgi işlem sistemlerini ve verisini koruma altına alan yazılı çerçevedir. Teknik ürünler (güvenlik duvarı, antivirüs, MFA) bu çerçeve olmadan dağınık kalır. Üstelik KVKK ve ISO 27001 gibi düzenlemeler, yazılı ve uygulanan bir politikayı fiilen zorunlu kılar.

Neden ihtiyaç duyulur?

Araştırmalar, en büyük tehlikenin çoğu zaman dışarıdan değil kurum içinden geldiğini gösterir. Bu nedenle güvenlik, yalnızca dış tehditlere karşı bir kalkan olarak görülmemeli. İyi bir politikanın faydaları:

  • Olası açıklarda yasal yükümlülüğü azaltır; yapılan çalışmaların belgelenmesi kurumu korur,
  • Maliyet–fayda ve yatırım geri dönüşü (ROI) analizini mümkün kılar,
  • Bütçeyle riskler arasında optimum dengeyi bulmayı sağlar,
  • KVKK uyumu ve denetimler için somut bir dayanak oluşturur.

1. İhtiyaçların belirlenmesi

  • Varlıkların belirlenmesi: Bilgi değeri olan varlıklar (sunucular, veritabanları, uygulamalar, veriler) sınıflandırılır.
  • Erişim ihtiyaçları: Kimin, hangi bilgiye, ne zaman ve nasıl erişeceği tanımlanır. Örneğin muhasebe, üretim verilerine yalnızca sınırlı erişebilir.
  • Tehditlerin belirlenmesi: Sosyal mühendislik, parola kırma, ağ dinleme ve hizmet reddi (DoS) gibi tehditler değerlendirilir.
  • İş risklerinin belirlenmesi: Tehditlerin doğurabileceği finansal zarar, senaryo analiziyle hesaplanır.

2. Politikanın yazılması

İyi bir politika genellikle şu bölümleri içerir:

  • Yönetim desteği: Üst yönetimce imzalanan giriş, politikaya verilen desteği gösterir.
  • Amaç ve kapsam: Politikanın neden hazırlandığı, kimleri kapsadığı ve nasıl izleneceği.
  • Yetki ve sorumluluklar: Kullanıcı ve yöneticilerin rolleri.
  • Erişim kontrolü: Kimlik doğrulama, parola kuralları, hesap yönetimi, harici personel erişimi.
  • E-posta ve internet kullanımı: İzleme, şifreleme, arşivleme ve kabul edilebilir kullanım.
  • Mobil cihazlar: Dizüstü ve telefonlarda zorunlu koruma yöntemleri.
  • Ağ ve fiziksel güvenlik: Yönlendirici/güvenlik duvarı kuralları, sunucu odası erişimi.

3. Politikanın uygulanması

Yazılı politika kadar uygulanması da kritiktir. Kullanıcı eğitimi olmazsa olmazdır: güvenliğin neden gerektiği ve günlük alışkanlıkların doğurduğu riskler anlatılmalıdır. Politika düzenli gözden geçirilmeli, yeni tehdit ve gelişmelere göre güncellenmelidir — böylece kâğıt üstünde kalmaz, kurumun canlı bir parçası olur.

Etkili bir politikanın özellikleri

  • Uzun vadeli bakış açısı, gerçekçi hedefler,
  • Kısa, net ve role dayalı tanımlar,
  • İyi tanımlanmış prosedürler,
  • Düzenli yenilenen içerik.

Politikanızı hayata geçirecek teknik katmanları kurumsal ağ güvenliği yazımızda; kişisel veri boyutunu ise KVKK ve e-ticaret güvenliği yazımızda bulabilirsiniz. Kurumunuza özel bir kurguya ihtiyacınız varsa bize ulaşın.

Bu konuda yardım mı lazım? Konuşalım

İlgili yazılar

3 Haziran 2026

Kurumsal Ağ Güvenliği Nasıl Sağlanır?

Güvenlik duvarından VPN'e, antivirüsten saldırı tespitine ve çok faktörlü kimlik doğrulamaya — kurumsal ağ güvenliğinin temel katmanları ve doğru kurgu.

3 Haziran 2026

E-posta Gönderilemiyor mu? SMTP 25. Port Engeli ve Çözümü

Mail alabiliyor ama gönderemiyorsanız sorun çoğu zaman kapalı SMTP 25. portudur. Neden kapatılır, hangi portu (587/465) kullanmalısınız ve nasıl çözersiniz?