Teknik ve İdari Tedbirler (KVKK m.12)
Son Güncelleme: 24.04.2026
6698 sayılı KVKK’nın 12. maddesi, veri sorumlusuna kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğü getirmiştir.
Bilişim Teknolojileri olarak, Üniversite genelinde aşağıdaki tedbirleri uygulamaktayız:
Teknik Tedbirler
1. Ağ ve Sistem Güvenliği
- Kurumsal firewall (next-generation firewall)
- Saldırı tespit ve önleme sistemleri (IDS/IPS)
- Ağ segmentasyonu (DMZ, iç ağ, konuk ağ)
- VPN ile uzaktan erişim (MFA ile)
- DDoS koruma
- Kablosuz ağ güvenliği (WPA3-Enterprise)
2. Uygulama Güvenliği
- Web uygulama güvenlik duvarı (WAF)
- SQL injection, XSS gibi OWASP Top 10 korumaları
- Güvenli oturum yönetimi
- Girdi doğrulama ve output kodlama
3. Kimlik ve Erişim Yönetimi
- Merkezi kimlik yönetimi
- Çok faktörlü doğrulama (MFA)
- Rol tabanlı erişim kontrolü (RBAC)
- En az yetki ilkesi
- Periyodik erişim yetki gözden geçirmeleri
- Ayrıcalıklı hesap yönetimi
4. Şifreleme
- Aktarımda TLS 1.3
- Saklamada AES-256
- Veri tabanı sütun bazlı şifreleme (hassas veriler için)
- Mobil cihaz şifreleme (BitLocker, FileVault)
5. Loglama ve İzleme
- SIEM ile merkezi log yönetimi
- 5651 sayılı Kanun uyumlu trafik logları
- Kullanıcı işlem logları
- 7/24 anormallik tespiti
- Log bütünlüğü (WORM, hash zinciri)
6. Yedekleme ve Veri Koruma
- 3-2-1 yedekleme kuralı
- Offline/off-site yedek kopyaları
- Düzenli yedek restore testleri
- Ransomware dayanıklı yedekleme
7. Zafiyet Yönetimi
- Düzenli zafiyet taramaları
- Penetrasyon testleri (yıllık)
- Yama yönetim süreci
- Donanım/yazılım envanter takibi
8. Kötü Amaçlı Yazılım Koruma
- Endpoint koruma (EDR)
- E-posta güvenliği (anti-spam, anti-phishing)
- Web gateway filtering
İdari Tedbirler
1. Politika ve Prosedürler
- KYS.POL.02 – Bilgi Güvenliği Politikası
- KYS.POL.05 – Saklama ve İmha Politikası
- Erişim kontrolü politikası
- Tedarikçi ilişkileri politikası
- Olay müdahale prosedürleri
2. İnsan Kaynakları
- İşe girişte gizlilik taahhütleri
- Düzenli farkındalık eğitimleri
- Phishing simülasyonları
- İş değişikliğinde erişim iptali
3. Tedarikçi Yönetimi
- Tedarikçi güvenlik değerlendirmesi
- Veri işleyici sözleşmeleri (DPA)
- Düzenli denetimler
4. Veri Sınıflandırma
- Kamuya açık, kurum içi, gizli, çok gizli sınıflar
- Sınıflandırmaya göre kontrol uygulanması
5. Olay Müdahale
- 7/24 izleme
- Tanımlı eskale süreçleri
- KVKK ihlal bildirimi (72 saat içinde)
- USOM ile koordinasyon
Sürekli Gelişim
Tedbirlerimiz, ISO 27001:2022 BGYS çerçevesinde PUKÖ döngüsüne (Plan-Do-Check-Act) tabidir. Yıllık iç/dış tetkikler, yönetim gözden geçirmeleri ve risk değerlendirmeleri ile sürekli iyileştirilir.
İletişim
Teknik tedbirler hakkında sorularınız için: destek@hku.edu.tr