“2019/12 sayılı Cumhurbaşkanlığı Genelgesi 06.07.2019 tarih ve 30823 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren “Bilgi ve İletişim Güvenliği Rehberi” kamu kurumlarında ve kritik altyapı hizmeti veren diğer işletmelerde bilgi güvenliği risklerinin azaltılması için, uyulması gereken bilgi ve iletişim güvenliği tedbirlerinin sağlanması konusunda önemli rol oynamaktadır.” (Uzun, 2025).
Rehberin amacı, temel amacı bilgi güvenliği risklerini azaltmak ya da ortadan kaldırmak olmasının yanı sıra; gizliliği, bütünlüğü ve erişilebilirliği zedelendiğinde millî güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik bilgi veya verinin korunmasına yönelik asgarî güvenlik önlemlerini belirlemek ve bu önlemlerin uygulanmasına ilişkin yürütülecek faaliyetleri tanımlamaktır. Rehber; bilgi işlem birimi bulunan ya da bilgi işlem hizmetlerini sözleşmeler yoluyla üçüncü taraflardan temin eden, devlet teşkilatı içindeki kurum ve kuruluşlar ile kritik altyapı hizmeti sunan işletmeleri kapsamaktadır (Bilgi ve İletişim Güvenliği Rehberi, 2020).
Rehberin uygulanması sonucunda elde edilmesi beklenen 12 hedef mevcuttur (Bilgi ve İletişim Güvenliği Rehberi, 2020);
- Yerli ve Milli Ürünleri Teşvik
- Mükerrer Çalışma ve Yatırımları Önleme
- Farklı Güvenlik Seviyeleri
- Uyumluluk
- Çok Amaçlılık
- Sürdürülebilirlik
- Özgünlük
- Modülerlik
- Denetlenebilirlik
- Teknoloji Bağımsızlık
- İzlenebilirlik
- Uygulanabilirlik
Rehberin içeriği 4 ana maddeden oluşmaktadır (Bilgi ve İletişim Güvenliği Rehberi, 2020);
- Uygulama Süreci: Rehberdeki tedbirlerin hayata geçirilmesi için bir süreç tarif etmektedir. Rehberin uygulama süreci, bilgi güvenliği yönetim süreçlerine bir alternatif olarak uygulanması değil mevcut bilgi güvenliği yönetim süreçlerine teknik olarak katkı sağlayacak tedbirleri ve faaliyetleri içermektedir. Kurumlar, söz konusu faaliyetleri mevcut yönetim süreçleri içinde, kurum koşullarına uyarlayarak yürütmelidir.
- Varlık Grupları Tedbirleri: Her varlık grubu için uygulanacak asgarî güvenlik önlemleri tanımlanmış ve detaylandırılmıştır.
- Uygulama/Teknoloji Alanı Tedbirleri: Varlık grubuna ek olarak, ilgili uygulama ve teknoloji alanları için özel önlemler belirlenmiştir; kurumlar ilgili alanları saptayıp bu önlemleri varlık gruplarına da uygulamalıdır.
- Sıkılaştırma: İşletim sistemleri, veri tabanları ve sunucular için sıkılaştırma tedbirleri içerir.
Rehber ve Diğer Gereklilikler: https://cbddo.gov.tr/bgrehber
Bilgi ve İletişim Güvenliği Rehberi Tedbirleri ve Denetimi: https://denetci.org/bilgi-ve-iletisim-guvenligi-rehberi-tedbirleri-ve-denetimi/
Bilgi ve İletişim Güvenliği Rehberi ile ISO 27001 Kontrolleri Eşleştirme Tablosu: https://denetci.org/bilgi-ve-iletisim-rehberi-guvenligi-ile-iso-27001-kontrolleri-eslestirme-tablosu
Kaynaklar
Bilgi ve İletişim Güvenliği Rehberi. (2020). T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi. https://cbddo.gov.tr/SharedFolderServer/Genel/File/bg_rehber.pdf
Uzun, M. A. (2025). Bilgi ve iletişim güvenliği rehberi: Tedbirler ve denetimi. Denetci.org. https://denetci.org/bilgi-ve-iletisim-guvenligi-rehberi-tedbirleri-ve-denetimi/