EPDK Siber Güvenlik Yetkinlik Modeli Denetimi için Nasıl Hazırlanılır? Adım Adım Kontrol Listesi (2026)
EPDK Siber Güvenlik Yetkinlik Modeli denetimi tarihiniz yaklaştıysa ve nereden başlayacağınızı bilmiyorsanız bu yazı tam size göre.
Modelin ne olduğunu ve hangi kurumları kapsadığını henüz bilmiyorsanız önce EPDK Siber Güvenlik Yetkinlik Modeli Nedir? yazımıza göz atmanızı öneririz.
Denetim Öncesinde Bilmeniz Gerekenler
Denetçi belgelerinizi incelemek için gelmiyor.
Belgelerin arkasındaki sürecin gerçekten işleyip işlemediğini anlamak için geliyor. Bu farkı baştan kavramak, hazırlığın nereye odaklanması gerektiğini belirler.
İki şey her başlıkta geçerlidir: birincisi, bir sürecin var olması yetmez, işlediğinin kanıtı olması gerekir.
İkincisi, denetçi verdiğiniz cevapları çapraz sorularla test eder. “Risk yönetimi yapıyoruz” dediğinizde son risk değerlendirmesinin tarihi ve güncelleyen kişinin adı sorulabilir. Cevabı olmayan sorular bulgu üretir.
Aşağıdaki liste her başlık için iki bölüme ayrılmıştır: Yapmanız gerekenler ve Hazır bulundurmanız gereken kanıtlar.
Endüstriyel Risk Yönetimi (SGF-EÜ-ERY)
Yapmanız Gerekenler
EPDK Siber Güvenlik Yetkinlik Modeli Denetimi öncesinde risk matrisinizin son güncelleme tarihini kontrol edin. 12 ayı geçmişse denetimden önce gözden geçirin. Yalnızca tarihi değiştirmek değil, içeriği gerçekten güncelleyin. OT ortamına özgü risklerin değerlendirilip değerlendirilmediğini kontrol edin. SCADA sistemleri, uzak terminal birimleri ve saha ekipmanı ayrı başlıklar olarak ele alınmalıdır.
Her risk için atanmış bir sorumlu ve gerçekçi bir hedef tarih olduğundan emin olun. Üst yönetime yapılan en az bir risk raporlamasının yazılı kaydını hazır edin.
Denetçinin İsteyeceği Kanıtlar
- Güncel risk envanteri ve önceki versiyonlarla karşılaştırma
- OT risklerini kapsayan ayrı değerlendirme veya entegre matris
- Risk aksiyonlarının gerçekleşme durumunu gösteren takip kaydı
- Risk değerlendirme toplantı tutanakları
- Üst yönetime yapılan raporlamanın yazılı çıktısı
Varlık ve Konfigürasyon Yönetimi (SGF-EÜ-VKY )
Yapmanız Gerekenler
EPDK Siber Güvenlik Yetkinlik Modeli Denetimi öncesinde varlık envanterinizin tek ve güncel bir kaynak olduğunu doğrulayın — birden fazla versiyon varsa hangisinin geçerli olduğu belirsizleşir ve bu doğrudan bulgu üretir. OT varlıklarının — PLC’ler, RTU’lar, saha ekipmanları — envantere dahil edilip edilmediğini kontrol edin. Kritik sistemler için yazılı bir konfigürasyon baseline tanımı oluşturun ve mevcut sistemlerin bu baseline’a uyumunu belgeleyin.
Denetçinin İsteyeceği Kanıtlar
- IT ve OT varlıklarını kapsayan güncel envanter
- Envanterin son güncelleme tarihi ve güncelleme prosedürü
- Kritik sistemler için konfigürasyon baseline dokümanı
- Baseline uyum kontrolüne ait kayıtlar
Ağ Güvenliği (SGF-EÜ-EAG)
Yapmanız Gerekenler
EPDK Siber Güvenlik Yetkinlik Modeli Denetimi öncesinde ağ diyagramınızın canlı yapıyı yansıtıp yansıtmadığını doğrulayın — diyagram ile gerçek konfigürasyon arasında fark varsa denetçi bunu bulur. IT ve OT ağları arasındaki trafiği hangi kuralların kontrol ettiğini ve bu kuralların hâlâ geçerli bir iş gerekçesine dayandığını gözden geçirin. Amacı belirsiz, sahibi olmayan firewall kurallarını tespit edin ve belgeleyin.
Denetçinin İsteyeceği Kanıtlar
- Güncel ve onaylı ağ mimarisi belgesi
- IT/OT segmentasyonunu gösteren konfigürasyon kanıtı (diyagram değil, cihaz konfigürasyonu)
- Firewall kural seti ve son revizyon tarihi
- Kural değişiklik kayıtları
Sistem Güvenliği (SGF-EÜ-İSG)
Yapmanız Gerekenler
EPDK Siber Güvenlik Yetkinlik Modeli Denetimi öncesinde kritik sistemler için uygulanan sıkılaştırma standardını belgeleyin – CIS Benchmark, üretici güvenlik kılavuzu veya kuruma özgü bir baseline olabilir. Hangi sistemlere ne zaman uygulandığını gösteren kayıtları hazır edin. Domain yöneticisi hesaplarını gözden geçirin; her birinin varlık gerekçesini netleştirin ve gereksiz yetkileri kaldırın. Servis hesaplarının interaktif oturum açma yetkisini kontrol edin.
Denetçinin İsteyeceği Kanıtlar
- Sıkılaştırma standardı dokümanı ve uygulama kaydı
- Domain yöneticisi hesap listesi ve gerekçeleri
- Servis hesapları envanteri ve yetki kısıtlamaları
- Ayrılan personele ait hesapların kapatıldığını gösteren kayıt
Tehdit ve Zafiyet Yönetimi (SGF-EÜ-TZY)
Yapmanız Gerekenler
Yılda bir kez sızma testi yaptırmak zafiyet yönetiminin yerini tutmaz — denetçi sürekli işleyen bir mekanizma arar. Kurumun kendi altyapısını hangi araçlarla ve hangi sıklıkta taradığını belgeleyin. Sızma testi bulgularının aksiyon planına dönüştürülüp dönüştürülmediğini ve her bulgunun durumunun takip edilip edilmediğini kontrol edin. OT altyapısı için en azından bir risk değerlendirme yaklaşımı ve varsa telafi edici kontroller tanımlayın.
Denetçinin İsteyeceği Kanıtlar
- En güncel sızma testi raporu
- Sızma testi bulgularına ait aksiyon planı ve kapatma kayıtları
- Zafiyet tarama aracı ve periyodu hakkında belge
- OT tarafı için zafiyet değerlendirme yaklaşımı veya risk kabulü kararı
Kimlik ve Erişim Yönetimi (SGF-EÜ-KEY)
Yapmanız Gerekenler
EPDK Siber Güvenlik Yetkinlik Modeli Denetimi öncesinde aktif hesapları gözden geçirin — ayrılan personele ait hesapların kapatılıp kapatılmadığını kontrol edin. Ortak hesap kullanımını tespit edin; bu kullanım hesap verebilirliği ortadan kaldırır ve doğrudan bulgu oluşturur. Domain yöneticisi listesini daraltın, her hesabın gerekçesini yazılı hale getirin. Çok faktörlü kimlik doğrulamanın hangi sistemlerde uygulandığını, hangilerinde uygulanmadığını ve nedenini belgeleyin.
Denetçinin İsteyeceği Kanıtlar
- Aktif kullanıcı ve yönetici hesapları listesi
- Ortak hesapların kapatıldığına veya kısıtlandığına dair kayıt
- Çok faktörlü doğrulama uygulamasını gösteren konfigürasyon kanıtı
- Erişim yetkilendirme ve iptal kayıtları
Olay Yönetimi ve Süreklilik (SGF-EÜ-OYS)
Yapmanız Gerekenler
Son 12 ayda kaç olay kaydedildiğini ve bu kayıtların nerede tutulduğunu netleştirin. SOME prosedürünüzün gerçekten test edilip edilmediğini kontrol edin — yazılmış prosedür ile tatbikat edilmiş prosedür arasındaki farkı denetçi iyi bilir. Tatbikat yapılmamışsa, denetimden önce masa başı bir senaryo çalışması bile kayıt altına alındığında anlamlı bir kanıt oluşturur. İş sürekliliği planınızın yangın dışındaki senaryoları — deprem, sel, uzun süreli enerji kesintisi — kapsayıp kapsamadığını gözden geçirin.
Denetçinin İsteyeceği Kanıtlar
- Olay kayıt sistemi ve son 12 aya ait kayıtlar
- SOME prosedürü ve organizasyon şeması
- Tatbikat belgesi — tarih, senaryo, katılımcılar, sonuçlar
- İş sürekliliği planı ve felaket kurtarma prosedürleri
Operasyon Güvenliği (SGF-EÜ-EOG)
Yapmanız Gerekenler
Son altı aya ait değişiklik kayıtlarını gözden geçirin — kayıt dışı kalan değişiklikler varsa bunları tespit edin. Değişiklik yönetimi prosedürünüzün fiilen uygulanıp uygulanmadığını dürüstçe değerlendirin; onay mekanizması, geri alma planı ve değişiklik sonrası doğrulama adımları kayıtlarda görünmeli. Yamalanmamış kritik sistemlerinizi listeleyin ve her birinin neden beklemede olduğunu belgeleyin.
Denetçinin İsteyeceği Kanıtlar
- Değişiklik yönetimi prosedürü
- Son altı aya ait değişiklik kayıtları
- Yama yönetimi takvimi ve kapatma kayıtları
- Yamalanmayan sistemler için risk kabulü belgesi
Akıllı Cihaz Güvenliği (SGF-EÜ-ACG)
Yapmanız Gerekenler
Sahada hangi IoT ve OT cihazlarının bulunduğunu, bunların ağa nasıl bağlı olduğunu ve hangi ürün yazılımı sürümünde çalıştığını tespit edin. Varsayılan parolası değiştirilemeyen sistemler için — bazı SCADA platformları ve saha ekipmanları bu kategoriye girer — telafi edici kontrolleri tanımlayın ve belgeleyin: ağ izolasyonu, erişim kısıtlaması, ek izleme katmanı. Güncellenemeyen cihazlar için bilinçli bir risk kabulü kararı alın ve bunu yazılı hale getirin.
Denetçinin İsteyeceği Kanıtlar
- IoT ve OT cihaz envanteri ve ağ bağlantı bilgileri
- Ürün yazılımı sürümleri ve güncelleme kayıtları
- Varsayılan parolası değiştirilemeyen sistemler için telafi edici kontrol belgesi
- Güncelleme yapılamayan cihazlar için risk kabulü kararı
Fiziksel Güvenlik (SGF-EÜ-FZG)
Yapmanız Gerekenler
EPDK Siber Güvenlik Yetkinlik Modeli Denetimi öncesinde sunucu odası erişim kayıtlarını gözden geçirin — kimin ne zaman girdiği izlenebilir olmalı. Kapı kontrol sistemi ve alarm mekanizmalarını değerlendirin; kapının otomatik kapanmaması veya açık kalırsa alarm vermemesi denetimde bulgu oluşturur. Sunucu odası kamerası eksikliğini KVKK gerekçesiyle savunmaya çalışmayın — bu gerekçe denetimde kabul görmez, bunun yerine veri koruma gereksinimlerini karşılayan bir kamera çözümü tanımlayın. İş sürekliliği planının tesise özgü fiziksel riskleri kapsadığından emin olun.
Denetçinin İsteyeceği Kanıtlar
- Sunucu odası erişim kayıtları
- Kapı kontrol sistemi ve alarm konfigürasyonu
- Kamera sistemi veya yoksa alternatif fiziksel kontrol belgesi
- Ziyaretçi giriş-çıkış kayıtları
Denetim Öncesi Son Kontrol
Tüm başlıkları gözden geçirdikten sonra şu üç soruyu kendinize sorun:
Her başlık için bir süreç tanımlı mı? Tanımlıysa işlediğini kanıtlayan bir iz var mı? O izi denetçiye sunabilir misiniz?
Bu üç sorunun tamamına “evet” diyebildiğiniz başlıklar güçlü alandır. “Hayır” dediğiniz her nokta denetimden önce ele alınması gereken bir boşluktur.
Hazırlık sürecinizde yardıma ihtiyaç duyarsanız EPDK Siber Güvenlik Yetkinlik Modeli Danışmanlığı sayfamızı inceleyebilir ya da EPDK Sızma Testi hizmetimiz hakkında bilgi alabilirsiniz.
Resmi Kaynaklar:
https://www.epdk.gov.tr/Detay/Icerik/4-13050/enerji-sektorunde-siber-guvenlik-yetkinlik-modeli
https://resmigazete.gov.tr/eskiler/2023/06/20230606-2.htm
Sparta Siber Güvenlik — EPDK Siber Güvenlik Yetkinlik Modeli Denetimi için siber güvenlik danışmanlığı hizmetleri.