Change Management Olmadan KVKK ve ISO 27001 Denetiminden Geçebilir misiniz?
I’m a passionate software engineer specializing in SQL change management, database security, and DevOps automation. With over 17 years of experience in the banking sector, I focus on building tools and processes that make database deployments safer, more auditable, and automated.
As the creator of SQL Change Guard, I develop solutions that use risk scoring and AI-powered code analysis to detect dangerous SQL scripts before they reach production. I’m dedicated to helping teams minimize downtime and data loss through smarter change governance.
When I’m not coding, I enjoy sharing insights about secure development practices, WPF desktop applications, and integrating modern CI/CD pipelines.
Feel free to connect or reach out at info@sqlchangeguard.com
Denetim günü geldi. Denetçi masaya oturdu, ilk soruyu sordu:
"Veritabanı değişikliklerinizi nasıl yönetiyorsunuz? Son 6 ayda yapılan değişikliklerin kaydını görebilir miyim?"
Bu soruya ne cevap verirdiniz?
Denetimler Artık Teknik Detay İstiyor
KVKK ve ISO 27001 denetimleri artık sadece politika belgesi ve organizasyon şeması ile geçilmiyor. Denetçiler somut kanıt istiyor.
Değişiklik yönetimi özelinde şunlar sorulabiliyor:
Veritabanı değişiklikleri onay sürecinden geçiyor mu?
Kim onaylıyor, nasıl kayıt altına alınıyor?
Yetkisiz erişim ya da değişiklik durumunda alarm mekanizmanız var mı?
Bir değişikliğin geçmişine geriye dönük bakabilir misiniz?
Bu soruların yanıtları "evet, işte kanıtları" şeklinde olmalı. "Genellikle yapıyoruz" ya da "bir sürecimiz var ama kayıt tutmuyoruz" kabul görmüyor.
KVKK Açısından Bakış
KVKK, kişisel verilerin güvenliğini teknik ve idari tedbirlerle sağlamayı zorunlu kılıyor. Veritabanı bu verilerin en kritik deposu.
Bir veri ihlali yaşandığında KVKK'nın soracağı soru şu: "Bu ihlali önlemek için hangi teknik tedbirleri almıştınız?"
Eğer veritabanınızda kimin ne değişikliği yaptığını kayıt altına almıyorsanız, bu soruya yeterli yanıt vermeniz çok zorlaşır.
Üstelik KVKK'da erişim loglarının tutulması ve düzenli denetimi açıkça bekleniyor. Değişiklik kaydı bu beklentinin doğal bir parçası.
ISO 27001 Açısından Bakış
ISO 27001'in A.12.1.2 maddesi doğrudan değişiklik yönetimini kapsıyor. Kısaca şunu söylüyor: bilgi işleme olanaklarını ve sistemleri etkileyen değişiklikler kontrol altında olmalı.
Bu maddeye uyum için gereken kanıtlar:
Değişiklik talep ve onay kayıtları
Test sonuçları
Deployment geçmişi
Geri alma prosedürleri
Bunları manuel süreçlerle yönetmek mümkün ama denetimde belgelemek zorlaşır. Sistematik bir araç olmadan bu kanıtları toplamak zaman alır ve eksik kalabilir.
"Bizde Süreç Var" Tuzağı
Birçok kurum "değişiklik yönetimi sürecimiz var" der. Ama süreci olan ile süreci belgelenmiş, kayıt altına alınmış ve denetlenebilir olan arasında büyük fark var.
Denetçi şunu sorar: "Bu süreci kanıtlayabilir misiniz?"
E-posta zincirleri, Slack mesajları ya da "ekip biliyor" cevabı burada işe yaramaz.
Hazırlıklı Olmak Ne Anlama Geliyor?
Denetimde rahat olmak için şunlar hazır olmalı:
Her değişiklik için: kim talep etti, kim onayladı, ne zaman uygulandı, hangi ortamda test edildi bilgileri kayıt altında olmalı.
Yetkisiz değişiklikler için: sistem dışından yapılan her müdahale otomatik tespit edilmeli ve kayıt altına alınmalı. "Böyle bir şey olmadı" iddiası kanıtlanabilir olmalı.
Geçmişe dönük erişim için: 6 ay, 1 yıl önceki değişikliklere dakikalar içinde ulaşılabilmeli.
Sonuç
KVKK ve ISO 27001 denetimleri değişiklik yönetimini artık görmezden gelmiyor. Bu alanda hazırlıklı olmak hem yasal uyum hem de kurumsal olgunluk açısından kritik.
İyi haber şu: doğru araçlarla bu hazırlık düşündüğünüzden çok daha az zaman alır.
Detaylı bilgi için: sqlchangeguard.com