siber hijyen sertifikası nedir
Siber Hijyen Nedir? Sertifikası Nasıl Alınır? | Kapsamlı Rehber 2026
Siber Güvenlik Rehber Mayıs 2026 · 12 dk okuma

Siber Hijyen Nedir? Sertifikası Nasıl Alınır?

Siber hijyen; kurumların bilgi sistemlerini siber tehditlere karşı korumak için sürdürmesi gereken temel güvenlik pratiklerinin bütünüdür. Türkiye'de giderek yaygınlaşan siber hijyen sertifikasyon sürecini, 13 kontrol alanını ve dört olgunluk seviyesini IT ve CISO perspektifinden ele alıyoruz.

İçindekiler

  1. Siber hijyen nedir?
  2. Neden önemli?
  3. Dört olgunluk seviyesi
  4. 13 temel kontrol alanı
  5. Siber hijyen sertifikası nasıl alınır?
  6. Siber hijyen nasıl ölçülür?
  7. Sızma testi siber hijyenin neresinde durur?
  8. Danışmanlık ne zaman gerekli?
  9. Sıkça sorulan sorular

Siber Hijyen Nedir?

Tıpta hijyen nasıl hastalığı önlemek için alınan temel önlemler bütünüyse, siber hijyen de kurumların bilgi sistemlerini siber saldırılardan, veri sızıntılarından ve sistem arızalarından korumak için sürdürmesi gereken temel pratikler bütünüdür.

Kavram basit görünebilir; ancak uygulamaya bakıldığında kurumların büyük çoğunluğunun temel kontrolleri bile eksik yürüttüğü görülür. Türkiye'deki siber güvenlik denetimlerinde en sık rastlanan bulgular şunlardır: güncel tutulmayan sistemler, varsayılan parolalar, yedeklenmeyen kritik veriler ve sızma testinden geçirilmemiş uygulamalar.

⚠ Önemli Ayrım

Siber hijyen bir ürün veya yazılım değildir. Kurumun tüm birimleriyle birlikte benimsemesi gereken bir güvenlik kültürü ve operasyonel disiplindir. Tek seferlik bir denetim almakla elde edilmez; sürekli izleme, güncelleme ve iyileştirme gerektirir.

Neden Önemli?

IT ve CISO perspektifinden siber hijyen üç ayrı baskı noktasını karşılar:

  • Operasyonel süreklilik: Fidye yazılımı saldırıları ve veri kayıplarının büyük bölümü temel hijyen kontrollerinin eksikliğinden kaynaklanır.
  • Regülasyon uyumu: KVKK, BDDK, EPDK ve Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi temel siber hijyen kontrollerini zorunlu kılmaktadır.
  • Denetim hazırlığı: TRTEST siber hijyen denetimlerinde kontroller Farkındalık'tan Gelişmiş seviyeye kadar değerlendirilir; yetersiz hijyen seviyesi A sınıfı bulgulara ve uyumsuzluk kararlarına yol açar.

Dört Olgunluk Seviyesi

Siber hijyen denetimlerinde kurumlar dört olgunluk seviyesine göre değerlendirilir. Bu seviyeler hem uygulanan kontrollerin derinliğini hem de denetim süresini belirler.

Seviye 1

Farkındalık Seviyesi

Temel kontrollerin farkında olunması ve politika düzeyinde tanımlanmış olması beklenir. Teknik uygulamada tutarsızlıklar kabul edilebilir.

Denetim: ~3 gün
Seviye 2

Temel Seviye

Kontrollerin belgelenmiş ve kısmen uygulamaya alınmış olması beklenir. Yılda en az 1–2 sızma testi şartı bu seviyede devreye girer.

Denetim: ~4 gün
Seviye 3

Orta Seviye

SIEM, MFA ve VPN gibi teknik önlemlerin aktif olduğu olgun bir güvenlik ortamı beklenir. Yılda en az 4 zafiyet taraması.

Denetim: ~5 gün
Seviye 4

Gelişmiş Seviye

DLP, şifreleme ve merkezi kimlik yönetimi hayata geçirilmiş, aylık zafiyet taraması ve proaktif tehdit avcılığı yapılmaktadır.

Denetim: ~6 gün
Sparta size nasıl yardımcı olur?
Hangi seviyedesiniz bilmiyorsanız — Gap Analysis
Hedef olgunluk seviyesini belirlemeden hazırlık planı yapılamaz. Gap analysis ile mevcut durumunuzu TRTEST denetim kriterlerine göre değerlendiriyor, hangi kontrollerin eksik olduğunu ve denetimi geçmek için ne yapılması gerektiğini öncelikli aksiyon planıyla raporluyoruz.
Detaylı Bilgi Teklif Al →

13 Temel Kontrol Alanı

Siber hijyen denetimleri 13 ana süreç etrafında yapılandırılmıştır. Her sürecin alt kontrolleri ve minimum olgunluk şartı belirlenmiştir.

SüreçKontrol AlanıMin. Seviye
S1 Varlık EnvanteriDonanım, yazılım ve lisans kayıtlarının güncel tutulması; kritiklik sınıflandırmasıFarkındalık
S2 Sistem Güncellemesiİşletim sistemi, uygulama ve antivirüs güncellemeleri; yama yönetimi politikasıFarkındalık
S3 Yetki ve Erişim KontrolüParola politikası, MFA, en az yetki prensibi, VPN, yetki matrisi, fiziksel erişimFarkındalık
S4 Antivirüs KullanımıUç nokta güvenlik bileşenleri, periyodik tarama, taşınabilir medya kısıtlamasıFarkındalık
S5 YedeklemeAnlık/günlük/haftalık yedek planı, offline yedek, farklı lokasyon, geri yükleme testiFarkındalık
S6 Zafiyet Yönetimi ve Güvenlik TestleriPeriyodik zafiyet taraması (yılda 1–12 kez seviyeye göre), sızma testi, DDoS, sosyal mühendislikFarkındalık
S7 Risk YönetimiRisk metodolojisi, tehdit istihbaratı, risk iştahı tanımı, iç kontrol faaliyetleriTemel
S8 Farkındalık EğitimleriYıllık güvenlik eğitimi, phishing simülasyonu, BYOD politikası, gizlilik sözleşmeleriFarkındalık
S9 Sistem ve Ağ Güvenli YapılandırmaAğ topolojisi, firewall, DNS filtreleme, sıkılaştırma kılavuzu, port yönetimiFarkındalık
S10 Uygulama Güvenli YapılandırmaÜretici destekli uygulama kullanımı, devreye alma öncesi güvenlik testi, periyodik pentestFarkındalık
S11 Güvenlik İzleme ve Kayıt YönetimiFirewall/IDS/IPS log yönetimi, kayıt saklama politikası, SIEM (Orta seviyeden itibaren)Temel
S12 Veri GüvenliğiVeri sınıflandırma, DLP sistemi, hassas veri işleme politikalarıFarkındalık
S13 Olay YönetimiOlay müdahale prosedürü, escalation kuralları, olay bildirimi ve kayıt yönetimiTemel

S8 kontrolü çalışanların yılda en az bir kez güvenlik eğitiminden geçirilmesini, phishing simülasyonu yapılmasını ve gizlilik yükümlülüklerinin yazılı olarak tanımlanmasını şart koşar.

Sparta size nasıl yardımcı olur?
S8 Kontrolünü Karşılayın — Bilgi Güvenliği Farkındalık Eğitimi
S8 kontrolü yıllık güvenlik eğitimi ve phishing simülasyonunu zorunlu kılmaktadır. Bilgi Güvenliği Farkındalık Eğitimi hizmetimiz bu gerekliliği denetimde kanıt olarak sunulabilecek formatta karşılar. Kurumunuzun profiline göre özelleştirilen içeriklerle uzaktan veya yerinde yürütülür.
Detaylı Bilgi Teklif Al →
Sparta size nasıl yardımcı olur?
13 Kontrolü Denetim Standartına Taşıyın — Siber Hijyen Danışmanlığı
Hangi kontrollerin eksik olduğunu bilmek yetmez; kapatma önceliği, kanıt türü ve aksiyon planını da belirlemeniz gerekir. Siber hijyen danışmanlığı hizmetimizde gap analysis, politika belgesi hazırlığı, teknik yapılandırma rehberliği ve denetim kanıtı yönetimini uçtan uca yürütüyoruz.
Detaylı Bilgi Teklif Al →

Siber Hijyen Sertifikası Nasıl Alınır?

Türkiye'de siber hijyen sertifikası, özellikle savunma sanayii ekosisteminde zorunlu hale gelen kurumsal bir belgelendirme sürecidir. Savunma Sanayii Başkanlığı (SSB) koordinasyonunda yürütülen çalışmalar kapsamında, SSB ile iş yapan firmaların siber güvenlik seviyelerini belgelemeleri beklenmektedir.

📋 Siber Hijyen Sertifikası Nedir?

TRTEST tarafından yürütülen belgelendirme süreci sonucunda verilen, kurumun 13 kontrol alanındaki siber güvenlik olgunluğunu gösteren resmi belgedir. Sertifika, kurumun hangi olgunluk seviyesinde (Farkındalık / Temel / Orta / Gelişmiş) değerlendirildiğini ortaya koyar.

Başvuru ve denetim süreci

AdımAçıklamaSüre
1. BaşvuruTRTEST'e başvuru yapılır; kapsam, hedef seviye ve denetim takvimi belirlenir.1–2 hafta
2. Açılış ToplantısıDenetim ekibi ve kurum yönetimi bir araya gelir; denetim kapsamı netleştirilir.½ gün
3. Denetim13 kontrol alanında belgeler, teknik kanıtlar ve yerinde gözlemler değerlendirilir.3–6 gün
4. İç ToplantıDenetim ekibi bulgularını değerlendirir; A/B/C sınıflandırması yapılır.½ gün
5. Kapanış ToplantısıBulgular kurumla paylaşılır; aksiyon planı ve tamamlama süreleri belirlenir.½ gün
6. BelgelendirmeA sınıfı bulguların kapatılmasının ardından sertifika düzenlenir.Bulgulara göre

Kimler almalı?

  • Savunma sanayii tedarikçileri: SSB ile doğrudan veya dolaylı iş yapan, SSYK belgeli firmalar.
  • Kamu ile çalışan özel sektör: Kamu ihale şartnamelerinde siber hijyen sertifikası talep eden kurumlarla iş yapan firmalar.
  • Kritik altyapı operatörleri: Enerji, ulaşım, sağlık ve finans sektörlerinde faaliyet gösteren kurumlar.
⚠ Denetim Öncesi Hazırlık Şart

Sertifika sürecine hazırlıksız girmek A sınıfı (majör) bulgularla karşılaşma riskini artırır. A sınıfı bulgular belgelendirmenin ertelenmesine yol açar. Denetim tarihinden en az 3 ay önce hazırlığa başlanmasını öneririz.

Sparta size nasıl yardımcı olur?
Denetimi A Sınıfı Bulgu Almadan Geçin
Denetim tarihine göre hazırlık takvimi oluşturuyoruz. Gap analysis, kritik kontrollerin kapatılması, politika belgesi hazırlığı ve denetim kanıtı yönetimini uçtan uca yürütüyoruz. Denetimi yapan kuruluş TRTEST'tir; biz denetim öncesi sizi hazırlıyoruz.
Detaylı Bilgi Teklif Al →

Siber Hijyen Nasıl Ölçülür?

IT ve CISO ekiplerinin en sık karıştırdığı üç kavram — zafiyet taraması, sızma testi ve siber hijyen denetimi — birbirinin yerine geçemez.

YöntemNe Ölçer?ÇıktıDenetimde Kanıt?
Zafiyet TaramasıBilinen CVE'ler, açık portlar, eski yazılım sürümleriOtomatik araç raporu⚠ Kısmen
Sızma TestiGerçek saldırgan perspektifiyle zafiyetlerin istismar edilebilirliğiManuel analiz + zincir saldırı + CVSS skoru✓ Evet
Siber Hijyen Denetimi13 kontrol alanında politika, uygulama ve teknik uyum bütünüA/B/C bulgu sınıflandırması + aksiyon planı✓ Evet (TRTEST)
🚫 Yaygın Hata

Zafiyet taramasını sızma testi yerine sunmak denetimde ciddi eksiklik olarak değerlendirilir. Otomatik araç çıktısı iş mantığı hatalarını ve zincir saldırı senaryolarını gösteremez. Birçok denetçi yalnızca tarama raporunu kabul etmemektedir.

Sızma Testi Siber Hijyenin Neresinde Durur?

S6 — Zafiyet Yönetimi ve Güvenlik Testleri kontrolü sızma testini tüm olgunluk seviyelerinde zorunlu kılmaktadır. Olgunluk seviyesine göre beklentiler:

  • Farkındalık Seviyesi: Yılda en az 1 sızma testi
  • Temel Seviye: Yılda en az 2 sızma testi
  • Orta / Gelişmiş Seviye: Sızma testine ek olarak zafiyet taraması sıklığı artar (yılda 4–12 kez)

S6.AS8 kontrolü testlerin şu alanları kapsamasını şart koşar: iç ve dış ağ testleri, web ve mobil uygulama testleri, sosyal mühendislik testleri, DDoS testleri.

Sızma testi sonuçları yalnızca teknik bulgular üretmekle kalmaz; hangi kontrollerin fiilen çalıştığını, hangi politikaların yalnızca kağıt üzerinde kaldığını kanıtlar.

Sparta size nasıl yardımcı olur?
S6 Kapsamını Karşılayan Sızma Testi
S6.AS8'de tanımlanan tüm test kategorilerini — iç/dış ağ, web ve mobil uygulama, sosyal mühendislik ve DDoS — tek çatı altında sunuyoruz. Raporumuz denetimde kanıt olarak sunulabilecek formatta, A/B/C bulgu sınıflandırmasıyla hazırlanır. Bulgu kapatma sonrası retest ile doğrulama yapıyoruz.
Teklif Al →

Danışmanlık Ne Zaman Gerekli?

Siber hijyen denetimi yalnızca TRTEST gibi yetkili kuruluşlar tarafından yapılabilir. Ancak denetim öncesinde ve sonrasında kurumların farklı destek ihtiyaçları vardır:

  • Denetim öncesi: Gap analysis, politika belgesi hazırlığı, teknik yapılandırma, kanıt yönetimi.
  • Denetim sonrası: A/B sınıfı bulguların kapatılması, retest, bir sonraki döngü için yıllık bakım.
  • Sürekli hazırlık: Periyodik zafiyet taramaları, güncelleme takibi, politika revizyonları.
Danışmanlık ile Denetim Arasındaki Fark

Denetimi yapan kuruluş (TRTEST) uyumluluk değerlendirmesi yapar. Danışmanlık firması kurumun denetim öncesi hazırlanmasına, eksiklerini kapatmasına ve süreci en az bulgulu şekilde tamamlamasına yardımcı olur. İki rol birbirini tamamlar, ancak aynı firma tarafından yürütülemez.

Sparta size nasıl yardımcı olur?
Denetim Sonrası: Retest ve Yıllık Bakım Paketi
Denetimde A ya da B sınıfı bulgu aldınız ve kapatmanız gerekiyor; ya da bir sonraki denetim döngüsüne hazırlıklı kalmak istiyorsunuz. Retest hizmetimizle bulgu kapatmayı belgelendiriyor, yıllık bakım paketimizle periyodik zafiyet taramaları, politika güncellemeleri ve sızma testini tek çatı altında yönetiyoruz.
Detaylı Bilgi Teklif Al →

Sıkça Sorulan Sorular

Siber hijyen nedir, kısaca açıklar mısınız? +
Siber hijyen; kurumların bilgi sistemlerini, ağlarını, cihazlarını ve verilerini siber tehditlere karşı korumak amacıyla düzenli olarak uygulaması gereken temel güvenlik önlemleri ve pratiklerinin bütünüdür. Varlık envanteri tutmaktan parola politikasına, güncellemelerden sızma testine kadar uzanan geniş bir pratikler bütünüdür.
Siber hijyen sertifikası nasıl alınır? +
Siber Hijyen Sertifikası TRTEST aracılığıyla alınır. Süreç; başvuru, açılış toplantısı, 13 kontrol alanında denetim (3–6 gün), kapanış toplantısı ve A sınıfı bulguların kapatılmasının ardından belgelendirmeden oluşur. Denetim öncesinde gap analysis ve danışmanlık desteği almanız hazırlık sürecini önemli ölçüde kolaylaştırır.
Siber hijyen sertifikası zorunlu mu? +
Savunma sanayii ekosisteminde SSB ile iş yapan firmalar için fiilen zorunlu hale gelmektedir. Kamu ihalelerinde ve kritik altyapı sektörlerinde de sertifika şartı yaygınlaşmaktadır.
Siber hijyen sertifikası kaç günde alınır? +
Denetimin kendisi olgunluk seviyesine göre 3 ile 6 gün arasında sürer. Ancak denetim öncesi hazırlık — gap analysis, aksiyon planı, kritik kontrollerin hayata geçirilmesi ve sızma testi — toplam 3–6 ay alabilir. Denetim tarihinden en az 3 ay önce başlanması önerilir.
Siber hijyen denetimini kim yapabilir? +
Yalnızca TRTEST tarafından yetkilendirilmiş kuruluşlar tarafından yapılabilir. Bağımsız siber güvenlik firmaları denetim yapamazlar; ancak gap analysis, danışmanlık ve sızma testi gibi hazırlık hizmetleri sunabilirler.
Hangi olgunluk seviyesini hedeflemeliyiz? +
Savunma sanayii için Temel seviye başlangıç şartı, daha kapsamlı iş ilişkileri için Orta ve Gelişmiş seviye beklentidedir. Kamu kurumları için Orta ve üzeri yaygın beklentidir. Mevcut durumunuzu anlamak için gap analysis yaptırmanızı öneririz.
Sızma testi siber hijyen sertifikası için gerekli mi? +
Evet. S6 kontrol alanı kapsamında tüm olgunluk seviyelerinde sızma testi zorunludur. Farkındalık seviyesinde yılda en az 1, Temel seviyede yılda en az 2 sızma testi beklenir. Testin kapsamı iç/dış ağ, web, mobil, sosyal mühendislik ve DDoS testlerini kapsamalıdır.
Denetimde A sınıfı bulgu aldık, ne yapabiliriz? +
A sınıfı bulgu, denetim sürecinde belirlenen sürede kapatılması gereken kritik bir uyumsuzluktur. Gap analysis ile bulgunun kökenini tespit edip kapatma planı hazırlıyor, teknik uygulamada destek veriyoruz. Retest ile kapatmanın belgelenmesini sağlıyoruz.
Sparta Siber Güvenlik
Nereden başlayacağınızdan emin değil misiniz?
Denetim takvimi, hedef seviye, bütçe ve mevcut altyapınızı değerlendirip size özel bir yol haritası çıkaralım. Danışmanlarımız sizi arasın, 30 dakikada netleşelim.
Danışmanlarımız Sizi Arasın →
İlgili Sayfalar
Hizmet

Siber Hijyen Sertifikası Danışmanlığı

 Hizmet

Bilgi Güvenliği Farkındalık Eğitimi

 Blog

Sızma Testi Fiyatı Nelere Göre Değişir?

 Blog

ISO 27001 Sızma Testi

© 2026 Sparta Siber Güvenlik · Tüm hakları saklıdır.

Biz Ne Yapıyoruz ?

Sparta Siber Güvenlik, kurumların bilgi teknolojileri ve siber güvenlik ekiplerine destek olarak, onların bir parçası gibi çalışır. Uluslararası sertifikalı ve sürekli eğitim alan uzman kadromuzla sızma testleri ve ileri düzey siber güvenlik hizmetleri sunarız.

Bize Ulaşın:

+90 (312) 909 33 02