BİM.PR.25 — Yama (Patch) Yönetimi

Belge NoBİM.PR.25
Sürüm1.0
İlk Yayım26.04.2026
Sahip GrupSistem ve Sunucu Yönetimi + Ağ ve Güvenlik Grubu
OnaylayanMehmet ARARAT — Bilişim Teknolojileri Müdürü
Yasal DayanakKVK m.12 · ISO/IEC 27001:2022 A.8.8 · BİGDES
İlgili BelgelerKYS.POL.01 P15 (Değişim), P16 (Güvenlik Açıkları), KYS.POL.02, BİM.PR.04 (Bakım), BİM.PR.09, BİM.PR.10

1. Amaç ve Kapsam

KYS.POL.01 P15 (Değişim Yönetimi) ve P16 (Güvenlik Açıkları Tespit Etme) çerçevesinde, sistemlerde tespit edilen güvenlik açıklarının zamanında giderilmesi, yama yönetiminin sınıflandırma ve uygulama çerçevesini belirler.

İşletim sistemleri, sunucu yazılımları, ağ cihazları (firewall/switch/router), kullanıcı bilgisayarları (laptop/masaüstü), uygulama platformları, sertifikalar.

2. Sınıflandırma

Sınıf CVSS / Şiddet Hedef Süre
Kritik / Acil CVSS ≥ 9.0 veya aktif istismar 7 gün içinde
Yüksek CVSS 7.0–8.9 30 gün
Orta CVSS 4.0–6.9 60 gün
Düşük CVSS < 4.0 Standart bakım penceresi

3. Süreç

  1. Kaynaklar: USOM/UDB bültenleri, vendor güvenlik bildirileri, NIST NVD CVE feed, BT iç sızma testleri (BİM.PR.03)
  2. Etki değerlendirmesi: etkilenen sistem listesi → bekleyen yama listesi
  3. Test: önce DEV/staging ortamında
  4. Onay: kritikse hemen, diğerleri haftalık değişim kurulu (BİM.PR.09)
  5. Uygulama: standart bakım pencerelerinde
  6. Doğrulama: yama sonrası servis testi + scan

4. Bakım Pencereleri

Mesai dışı pencere: hafta içi 22:00–06:00, Cumartesi 14:00–18:00, Pazar 08:00–14:00. Yamaları mümkün olduğunca bu pencerelerde uygulanır. Sistem Durumu sayfasında planlı bakım önceden duyurulur.

5. Acil Yama (Zero-day)

  • Kullanıcı duyurusu yapılmadan bile servis kesintisi olabilir
  • Sistem Durumu sayfasında sonradan bildirim
  • Geri alma planı (snapshot) hazır olmadan acil yama uygulanmaz

6. Hariç Tutma

Yama uygulanamayan sistem (eski uygulama bağımlılığı): risk değerlendirmesi belgelenir (BİM.PR.06), kompansasyon kontrol (network izolasyonu, ek monitoring) uygulanır. Yıllık gözden geçirme.

7. Kullanıcı Cihazları

  • OS güncellemeleri MDM/WSUS üzerinden otomatik
  • Restart “iş günü dışı pencere”de zorla
  • Kritik yamalar 7 gün içinde uygulanır

8. KVK

Yama sırasında kişisel veri akışı engellenmez; KVK m.12 teknik tedbir kapsamında değerlendirilir.

9. Yürürlük

26.04.2026; Ocak/Temmuz revizyonu.


Hasan Kalyoncu Üniversitesi · Bilişim Teknolojileri
Osmanlı Mah. Havaalanı Yolu Üzeri 8. Km 27010 Şahinbey/Gaziantep
444 6 458 · destek@hku.edu.tr · destek.hku.edu.tr · portal.hku.edu.tr
KEP: hasankalyoncu.unv@hs01.kep.tr

Paylaş