BİLGİ GÜVENLİĞİ POLİTİKASI

1.Politikanın Amacı ve Stratejik Önemi
Bu Bilgi Güvenliği Politikası, Sermaye Piyasası Kurulu'nun (SPK) 13 Mart 2025 tarihli Resmi Gazete'de yayımlanan "Bilgi Sistemleri Yönetimine İlişkin Usul ve Esaslar Tebliği (VII-128.10)" ile getirilen yükümlülüklere tam uyum sağlamak üzere oluşturulmuştur. Politika, kuruluşumuzun en değerli varlıklarından olan bilgiyi korumak, siber tehditlere karşı dayanıklılığı artırmak, operasyonel sürekliliği güvence altına almak ve yasal sorumlulukları eksiksiz yerine getirmek için temel stratejik çerçeveyi tanımlar. Bu belge, bilgi güvenliğini teknolojik bir gereklilikten öte, kurumsal yönetişimin ve risk yönetiminin ayrılmaz bir parçası olarak ele alır.
2.Kapsam
Bu politika, HKTM bünyesindeki tüm bilgi varlıklarını, bu varlıkları işleyen, saklayan veya ileten bilgi sistemlerini, ilgili iş süreçlerini, tüm çalışanları, danışmanları ve dış hizmet sağlayıcılarını kapsamaktadır. Politikanın hükümleri, kuruluşun tüm lokasyonlarında ve operasyonel faaliyetlerinde geçerlidir.
3.Bilgi Güvenliği Yönetişimi ve Sorumluluklar
3.1 Yönetişim Yapısının Önemi
Etkin bir bilgi güvenliği yönetişimi, başarılı ve sürdürülebilir bir güvenlik programının temel taşıdır. Üst yönetimin tam desteği, açıkça tanımlanmış roller ve hesap verebilirlik mekanizmaları olmaksızın, güvenlik yatırımları boşa harcanabilir ve yasal uyumsuzluk nedeniyle ciddi idari yaptırımlarla karşılaşılabilir. Bu yapı, bilgi güvenliği kararlarının stratejik hedeflerle uyumlu olmasını, kaynakların doğru yönlendirilmesini ve VII-128.10 Tebliği'ne uyumun güvence altına alınmasını sağlar.
3.2 Rol ve Sorumluluklar
Tebliğ hükümlerine uyumu sağlamak ve etkin bir bilgi güvenliği yönetimi için temel rol ve sorumluluklar aşağıdaki tabloda tanımlanmıştır:
Yönetim Kurulu / Üst Yönetim; Bilgi sistemleri yönetimine ilişkin politika ve prosedürleri yazılı olarak onaylamak. Bilgi sistemleri yönetimine ilişkin rol ve sorumlulukları yazılı olarak onaylamak. Bilgi varlıklarının güvenlik sınıflarına ilişkin kılavuzu ve kullanım prosedürlerini onaylamak. Risk yönetimi çalışmalarına yönelik aksiyon planlarını onaylamak. Bilgi sistemleri kontrollerine ilişkin yıllık değerlendirme ve denetim raporlarını incelemek.
Bilgi Güvenliği Sorumlusu; Doğrudan üst yönetime bağlı çalışmak. Bilgi sistemleri yönetiminde başka bir operasyonel sorumluluk almamak. Bilgi güvenliği politikasının en az yılda bir kez gözden geçirilmesini koordine etmek. Uzaktan erişim süreçlerinde onay mekanizmasında yer almak.
Bilgi Varlığı Sorumlusu; Sorumluluğundaki bilgi varlıkları için yetki gözden geçirme kontrollerini yürütmek ve gerekli aksiyonları uygulamak.
İç Denetçi; Bilgi sistemleri denetimini yıllık olarak gerçekleştirmek. Denetim sonuçlarını, tespit edilen bulguları ve bunlara ilişkin aksiyon planlarını üst yönetime raporlamak. Yetkilendirme süreçlerinin denetim sonuçlarını ve tespit edilen uygunsuzlukları üst yönetime bildirmek.,
Tanımlanan bu rollerin temel görevi, kuruluşun bilgi varlıklarını korumaktır. Bu varlıkların doğru bir şekilde tanımlanması, sınıflandırılması ve bunlara yönelik risklerin yönetilmesi, bir sonraki bölümde ele alınan varlık ve risk yönetimi süreçlerinin ana odağını oluşturur.
4.Varlık Yönetimi ve Risk Analizi
4.1 Varlık ve Risk Yönetiminin Stratejik Değeri
Etkili bir varlık envanteri ve sistematik bir risk yönetimi süreci olmadan, siber güvenlik kaynakları yanlış önceliklendirilebilir ve en kritik varlıklar korumasız kalabilir. Bu durum, hem yasal uyumsuzluk riskleri doğurur hem de olası bir siber saldırı durumunda en değerli verilerin kaybına yol açabilir. Bu süreç, savunma mekanizmalarını doğru noktalarda yoğunlaştırarak kaynakların verimli kullanılmasını ve Tebliğ'in zorunlu kıldığı proaktif güvenlik yaklaşımını karşılamayı sağlar.
4.2 Politika Maddeleri
Varlık Envanteri: Kuruluşun tüm bilgi varlıklarını, bu varlıklar tarafından desteklenen hizmetleri ve iş süreçlerini içeren kapsamlı bir envanter oluşturulmalı ve bu envanter sürekli olarak güncel tutulmalıdır.
Yıllık Risk Değerlendirmesi: Kuruluş genelinde, yılda en az bir kez olmak üzere kapsamlı bir risk yönetimi süreci yürütülmelidir. Bu süreç; risk kriterlerinin belirlenmesini, varlıklara yönelik tehdit ve zafiyet analizlerinin yapılmasını, risk seviyelerinin tespitini, tespit edilen risklere yönelik kontrol ve aksiyonların planlanmasını ve iyileştirici faaliyetlerin etkinliğinin takibini içermelidir.
Risk değerlendirme sürecinde tespit edilen riskleri azaltmaya yönelik en temel kontrollerden biri, bilgiye kimin, ne zaman ve hangi koşullar altında erişebileceğini yönetmektir. Bu nedenle, bir sonraki bölüm erişim kontrolü ve kimlik yönetimi politikalarına odaklanmaktadır.
5.Erişim Kontrolü ve Kimlik Yönetimi
5.1 Erişim Kontrolünün Temel Güvenlik Prensibi
Erişim kontrolü yönetimi, "en az yetki" ilkesini temel alır. Bu ilkeye göre, kullanıcılara ve sistemlere yalnızca görevlerini yerine getirebilmeleri için zorunlu olan minimum erişim hakları tanınır. Bu yaklaşım, yetkisiz erişimleri, içeriden kaynaklanan tehditleri ve bir saldırganın ağ içinde yanal hareket etme kabiliyetini önemli ölçüde sınırlandırarak olası bir veri sızıntısının etkisini en aza indiren en kritik savunma katmanlarından biridir.
5.2 Erişim Kontrol Politikaları
Kimlik Doğrulama: Tüm sistem ve uygulamalara erişim için güçlü ve çok faktörlü kimlik doğrulama (MFA) mekanizmaları uygulanacaktır.
Parola Yönetimi: Parola karmaşıklığı, minimum uzunluk, geçerlilik süresi, geçmiş parola kontrolü ve güvenli saklama gibi kuralları içeren kapsamlı bir parola yönetimi politikası uygulanacak ve tüm personel tarafından uyulması zorunlu kılınacaktır.
Ayrıcalıklı Hesap Yönetimi: Yönetici (admin) ve diğer ayrıcalıklı yetkilere sahip hesapların kullanımı sıkı bir şekilde kontrol edilecek, kullanımları kayıt altına alınacak ve düzenli olarak izlenecektir.
Yetki Gözden Geçirme: Bilgi Varlığı Sorumluları, sorumluluklarındaki sistem ve uygulamalar için kullanıcı yetkilerini periyodik olarak gözden geçirecektir. Görev değişikliği, işten ayrılma veya gereksiz hale gelme durumlarında yetkiler derhal kaldırılacaktır.
Uzaktan Erişim: Kurumsal ağa dışarıdan yapılacak uzaktan erişim talepleri, Bilgi Güvenliği Sorumlusu'nun onayı ile gerçekleştirilecektir. Erişimi sağlayan cihazlarda güncel antivirüs yazılımı ve güvenlik duvarı gibi temel güvenlik kontrollerinin bulunması zorunludur.
Geçici Kullanıcı Erişimi: Dış hizmet sağlayıcıları veya geçici personel gibi kullanıcılar için tanımlı, süresi belirli ve onay mekanizmasına tabi yetkilendirme süreçleri işletilecektir.
Erişim kontrolleri, kullanıcıların sistemlere giriş kapılarını güvence altına alır. Ancak bu sistemlerin ve üzerinde çalışan uygulamaların kendi iç güvenliklerinin de sağlanması gerekmektedir. Bir sonraki bölüm, bu katmanlı güvenliğin sistem ve uygulama boyutunu ele almaktadır.
6.Sistem ve Uygulama Güvenliği
6.1 Sistem ve Uygulama Güvenliğinin Çok Katmanlı Yapısı
Kapsamlı bir bilgi güvenliği stratejisi, yalnızca ağ ve erişim kontrolleri ile sınırlı kalamaz. Güvenlik, sunucuların yapılandırmasından uygulamaların kod kalitesine, mobil cihazların yönetiminden veri doğrulama kontrollerine kadar uzanan çok katmanlı ve derin bir alanı kapsar. Bu alanlardaki zafiyetler, en geniş saldırı yüzeyini oluşturur. VII-128.10 Tebliği, bu alanda proaktif ve detaylı güvenlik önlemlerinin alınmasını zorunlu kılarak bu yüzeyi en aza indirmeyi hedeflemektedir.
6.2 Politika Alanları
Bilgi Sistemlerinin İşletimi (Madde 14)
Kritik sistemler için performans takibi ve gelecekteki ihtiyaçları karşılamak üzere kapasite planlaması yapılmalıdır.
Bilinen güvenlik açıkları proaktif olarak takip edilmeli, risk değerlendirmesine göre yamalar zamanında uygulanmalıdır.
Sistem yapılandırmalarının standartlara uygun ve güvenli olmasını sağlamak için yapılandırma yönetimi prosedürleri uygulanmalıdır.
USB bellek gibi taşınabilir ortamların kullanımı kontrol altına alınmalı ve bu ortamlarda taşınan hassas veriler şifrelenmelidir.
Tüm sunucu ve son kullanıcı cihazlarında güncel zararlı yazılımlara karşı koruma (antivirüs/antimalware) çözümleri kullanılmalı ve elektronik posta güvenliği için gerekli filtreleme mekanizmaları işletilmelidir.
Kullanıcılar tarafından yüklenen dosyalar, zararlı içerik taramasından geçirilmeli ve güvenli bir şekilde yönetilmelidir.
Mobil uygulamalarda gerçekleştirilen kritik işlemler (örn. para transferi) için ek kimlik doğrulama adımları ve güvenli tek kullanımlık parola (OTP) üretimi zorunludur.
SIM kart veya operatör değişikliği durumlarında kullanıcıları koruyacak ek güvenlik kontrolleri uygulanmalıdır.
Kullanıcılar, aktif oturumları ve başarısız kimlik doğrulama denemeleri hakkında bilgilendirilmelidir.
Güvenli sistemler ve uygulamalar, ancak güvenli bir ağ altyapısı üzerinde çalıştıklarında tam anlamıyla korunabilir. Bir sonraki bölüm, kuruluşun dijital sınırlarını koruyan ağ güvenliği ve iletişim politikalarına odaklanmaktadır.
7.Ağ Güvenliği ve İletişim
7.1 Ağ Güvenliği: Kurumsal Savunmanın Temel Katmanı
Ağ güvenliği, siber tehditlere karşı kuruluşun dijital sınırlarını koruyan temel savunma katmanıdır. Dışarıdan gelebilecek yetkisiz erişim girişimlerini, hizmet aksatmaya yönelik DDoS saldırılarını ve veri iletişiminin gizliliğini hedef alan tehditleri etkin bir şekilde yönetememek; müşteri kaybı, itibar zedelenmesi ve ciddi finansal cezalara yol açabilir. Bu nedenle ağ güvenliği, operasyonel süreklilik için hayati önem taşır.
7.2 Ağ Güvenliği Politika Maddeleri
Güvenlik Tedbirleri: Kurum ağında, yalnızca izin verilen uygulama ve servislerin çalışmasını sağlayan Whitelist/Blacklist uygulamaları ve hizmet kesintilerini önlemeye yönelik Dağıtık Hizmet Engelleme (DDoS) saldırılarına karşı koruma mekanizmaları bulunmalıdır.
Şifreleme: Kurum içi ve kurum dışı veri iletişiminde, verinin gizliliğini ve bütünlüğünü sağlamak üzere güncel ve güçlü şifreleme protokolleri ile kimlik doğrulama kontrolleri kullanılmalıdır.
Veri Merkezi Güvenliği: Fiziksel ve mantıksal güvenlik kontrolleri dahil olmak üzere, veri merkezlerine erişimler esnasında yetkisiz erişimi ve veri sızıntısını önleyecek sıkı güvenlik tedbirleri uygulanmalıdır.
Uygulanan tüm proaktif kontrollere rağmen bir güvenlik ihlalinin yaşanma olasılığı her zaman mevcuttur. Bu gibi durumlarda hızlı ve etkili bir müdahale sağlamak, zararı en aza indirmek ve operasyonları en kısa sürede normale döndürmek kritik önem taşır. Bir sonraki bölüm, bu durumlara hazırlıklı olmayı amaçlayan ihlal yönetimi ve süreklilik planlarını ele almaktadır.
8.Bilgi Güvenliği İhlal Yönetimi ve Süreklilik
8.1 İhlal Yönetimi ve Sürekliliğin Dayanıklılık İçin Önemi
Modern siber güvenlik yaklaşımı, "ihlalin olup olmayacağı değil, ne zaman olacağı" prensibini temel alır. Bu nedenle, proaktif ihlal tespiti, etkili müdahale süreçleri ve sağlam iş sürekliliği planları, bir kriz anında kurumsal dayanıklılığı sağlayan, operasyonel kesintileri minimuma indiren ve finansal/itibar kayıplarını önleyen vazgeçilmez unsurlardır.
8.2 Politika Gereksinimleri
Denetim İzleri: Tüm kritik sistemlerde, sunucularda ve uygulamalardaki önemli olaylara (örn. kullanıcı girişi, yetki değişikliği, veri erişimi) ilişkin denetim izleri (loglar) oluşturulmalı, merkezi olarak toplanmalı, yönetilmeli ve şüpheli aktiviteler için düzenli olarak takip edilmelidir.
İhlal Yönetim Süreci: Olası bir bilgi güvenliği ihlalinin tespiti, analizi, etkisinin sınırlandırılması, kök nedeninin bulunması ve çözümlenmesi için adımları net olarak tanımlanmış bir süreç işletilmelidir.
Kurumsal SOME: Siber olaylara müdahale kapasitesini merkezileştirmek ve uzmanlık sağlamak amacıyla bir Kurumsal Siber Olaylara Müdahale Ekibi (SOME) kurulmalıdır. Yada Yetkili birinin atanması gerekmektedir.
İş Sürekliliği ve Felaket Kurtarma:
İş-etki analizleri yapılarak kritik iş süreçleri için kabul edilebilir kesinti sürelerini tanımlayan Kritik Kurtarma Zamanı (RTO) ve kabul edilebilir veri kaybı miktarını belirleyen Kritik Kurtarma Noktası (RPO) değerleri belirlenmelidir.
Felaket kurtarma merkezi (FKM), birincil veri merkezi ile aynı coğrafi risklere (deprem, sel vb.) maruz kalmayacak şekilde farklı bir lokasyonda konumlandırılmalıdır
Bilgi sistemleri sürekliliğini sağlamak amacıyla FKM'ye geçiş ve birincil sisteme geri dönüş testleri periyodik olarak yapılmalı ve test sonuçları üst yönetime raporlanmalıdır
Bu politika, mevcut tehditlere ve yasal düzenlemelere karşı bir çerçeve sunmaktadır. Ancak bu çerçevenin geçerliliğini ve güncelliğini koruması, sürekli bir gözden geçirme ve uyum sürecine bağlıdır. Son bölüm, politikanın yaşam döngüsünü ve uyum mekanizmalarını açıklamaktadır.
9.Politika Uyumu, Gözden Geçirme ve Muafiyetler
9.1 Politika Uyumunun Sürekli Bir Süreç Olması
Bilgi güvenliği politikası, bir kez oluşturulup statik kalan bir belge değildir. Aksine, değişen tehdit ortamına, teknolojik gelişmelere ve yasal düzenlemelere uyum sağlamak üzere sürekli izleme, denetim ve adaptasyon gerektiren yaşayan bir çerçevedir. Bu sürekli döngü, politikanın etkinliğini korumasını ve yasal uyum riskinin proaktif bir şekilde yönetilmesini sağlar.
9.2 Uyum ve Gözden Geçirme Kuralları
Gözden Geçirme: Bu politika, Bilgi Güvenliği Sorumlusu'nun koordinasyonunda, değişen koşullar ve ihtiyaçlar doğrultusunda yılda en az bir defa gözden geçirilir. Gerekli görülen güncellemeler, onay için üst yönetime sunulur.
İç Denetim: Kuruluşun bu politikaya ve VII-128.10 Tebliği'ne uyumu, İç Denetim birimi tarafından yılda en az bir kez denetlenecektir. Tebliğ uyarınca bu denetim faaliyeti için dış kaynak kullanımı mümkün değildir.
Raporlama: Bilgi sistemleri kontrollerine ilişkin yapılan değerlendirmeler, risk analizleri ve iç denetim sonuçları, yılda en az bir kez üst yönetime kapsamlı bir rapor olarak sunulacaktır.
9.3 Muafiyet Kapsamı
VII-128.10 sayılı Tebliğ, faaliyet alanları gereği belirli kurum, kuruluş ve ortaklıkları (örneğin, dar yetkili aracı kurumlar, varlık kiralama şirketleri, ipotek finansmanı kuruluşları, bağımsız denetim ve derecelendirme kuruluşları) Tebliğ'in bazı maddelerinden muaf tutmaktadır. HKTM Tebliğ'de listelenen muafiyet kapsamındaki kurumlar arasında yer almamaktadır ve bu nedenle Tebliğ'in tüm maddelerine uymakla yükümlüdür.
9.4 Ek A: VII-128.10 Tebliği Uyum Takvimi
Aşağıdaki tablo, Tebliğ hükümlerine uyum sağlamak için belirlenen kritik zaman çizelgesini göstermektedir. Bu takvim, politika hedeflerine ulaşma yolunda bir yol haritası niteliğindedir.

Onay Bölümü
Bu politika, HKTM Yönetim Kurulu tarafından incelenmiş olup, Yönetim Kurulu’nun 26.06.2025 tarihli ve 139 sayılı kararı ile yayınlanmıştır.

Genel Müdür