BİM.PR.18 — E-Posta Güvenliği ve Mahremiyet Prosedürü
| Belge No | BİM.PR.18 | Sürüm | 1.0 | İlk Yayım | 26.04.2026 |
|---|---|---|---|---|---|
| Sahip Grup | Sistem ve Sunucu Yönetimi + Ağ ve Güvenlik Grubu | ||||
| Onaylayan | Mehmet ARARAT — Bilgi İşlem Müdürü | ||||
| Hukuki Onay | Hukuk Müşavirliği (mahremiyet maddeleri için) | ||||
| Yasal Dayanak | KVK m.5, m.12 · 5651 · TCK m.132-138 · İş Kanunu (mahremiyet) · ISO/IEC 27001:2022 A.8.20 / A.8.21 · BİGDES | ||||
| İlgili Belgeler | KYS.POL.01 P04 (E-Posta), P33 (Olay İhlal), KYS.POL.03, KYS.POL.05, BİM.PR.10, BİM.PR.16, BİM.PR.17, BİM.PR.24 |
1. Amaç ve Kapsam
İki amaç:
(A) Teknik güvenlik: Kurumsal e-posta altyapısının (Google Workspace) anti-spam, anti-phishing, kimlik doğrulama (SPF/DKIM/DMARC) ve olay müdahale standartlarını belirler.
(B) Mahremiyet ve erişim disiplini: Kullanıcı e-posta içeriklerinin, kurumun KYS.POL.04 m.13 ve P04 m.462 ile saklı tuttuğu izleme/erişim hakkını ölçülü, denetlenebilir ve yazılı çerçevede kullanmasını sağlar. Kurumun ve kişilerin haklarını birlikte korur.
2. Domain Koruma (Teknik)
| Mekanizma | Yapılandırma | Amaç |
|---|---|---|
| SPF | Yetkili SMTP IP listesi DNS TXT’de, ~all (soft fail) |
Sahte gönderici tespiti |
| DKIM | 2048-bit RSA imzalama, anahtar 6 ayda bir döndürülür | Mesaj bütünlüğü |
| DMARC | İlk faz p=quarantine + raporlama açık → 6 ay sonra p=reject |
Phishing engelleme |
| MTA-STS | Mode enforce, max-age 86400 |
TLS zorlama |
| TLS-RPT | Raporlama aktif | TLS başarısızlık takibi |
3. Anti-Phishing ve Anti-Malware
- Dış kaynaklı e-postalarda otomatik “Bu e-posta dışarıdan gönderilmiştir” uyarı banneri
- Google Workspace güvenlik sandbox + anti-malware otomatik (kullanıcı tarafından kapatılamaz, P05 m.485)
- Eklenti tipi kısıtlamaları:
.exe, .bat, .vbs, .scr, .js, .iso, .lnkengellenir - Şifrelenmiş arşivler (.zip parolası) admin onayına düşer
- Kullanıcı şüpheli mail’i Gmail “Phishing olarak bildir” tuşu ile bildirir → BİM otomatik tetik
4. Mahremiyet İlkesi — “BİM Demek Mahremiyet Demek”
Hasan Kalyoncu Üniversitesi BİM, kurumsal mail içeriklerinin kişiye özel niteliğine saygı göstermeyi temel ilke olarak kabul eder. Otomatik teknik tarama dışında insan tarafından mail içeriğine erişim yapılmaz, kurumun saklı haklarına rağmen yalnızca aşağıdaki ölçülü prosedüre uygun olarak gerçekleştirilir.
5. Otomatik Tarama (İnsan Müdahalesi Yok)
- Anti-malware, anti-spam, anti-phishing otomatik sistemler ile yapılır.
- Tarama tehdit imzası eşleşmesinde sistem uyarısı üretir; uyarı bile insan tarafından açılıp okunmaz, otomatik karantinaya alınır.
- Otomatik tarama kişisel veri olarak saklanmaz; sadece istatistik üretir.
6. Manuel İnceleme (İnsan Erişimi)
Manuel mail içerik incelemesi yalnızca aşağıdaki dört şartın tamamı sağlandığında yapılır:
- Yazılı talep: Resmi yazılı talep (Rektörlük, Genel Sekreterlik, Hukuk Müşavirliği veya yargı mercii). Sözlü/telefon talep kabul edilmez.
- Hukuki gerekçe: Talep sahibi somut gerekçeyi (devam eden idari/disiplin/hukuki soruşturma; KVK m.5/2-ç hukuki yükümlülük; meşru menfaat) yazılı olarak belirtir.
- Üst merci onayı: BİM Müdürü (Mehmet ARARAT) + Hukuk Müşavirliği çift imzalı yazılı onay verir. Onay olay kaydı
kvkk@hku.edu.trile paylaşılır. - Asgari kapsam: İnceleme yalnızca talebin gerektirdiği kapsamla sınırlıdır (örn. yalnızca belirli tarih aralığı/anahtar kelime). Bütün mail kutusunun kopyalanması yasak.
7. Bilgilendirme
İlgili kişiye, hukuki sebep imkân verdiği ölçüde inceleme yapıldığı bildirilir. Soruşturma gizliliği gerektiriyorsa bildirim soruşturma sonuna kadar ertelenir; ertelenirse bunun gerekçesi yazılı kayda geçer.
8. Kayıt ve Saklama
Her manuel erişim talep–onay–uygulama–sonuç olarak loglanır; log 5 yıl saklanır (KYS.POL.05 + BİM.PR.24). Loglar yetkisiz erişime karşı WORM (write-once-read-many) ortamında tutulur.
9. Politika ve Hak Çerçevesi
KYS.POL.04 m.13 ve P04 m.462 uyarınca Üniversite kurumsal sistemleri izleme ve mail içeriğine erişim hakkını saklı tutar. Bu prosedür, hakkın ölçülülük (KVK m.5/orantılılık, AYM içtihatları, AİHM Barbulescu kriteri) ilkesiyle kullanılmasını güvence altına alır; politikadaki hakla çelişmez, kullanım çerçevesini belirler.
10. Olay Müdahale
Phishing kampanyası tespitinde:
1. Etkilenen kullanıcılar mail filter loglarından tespit edilir
2. Etkilenen hesaplar zorunlu şifre sıfırlama listesine alınır
3. Şüpheli URL’ler global black-list’e eklenir
4. Olay raporu Sistem Durumu sayfasında özetlenir
5. KVK m.12 kişisel veri ihlali şüphesi varsa 72 saat içinde Kurul’a bildirim
11. İhlal
KYS.POL.04 m.55 ve P33 (Olay İhlal). Bu prosedür dışında mail içeriğine erişen BİM personeli için disiplin işlemi başlatılır.
12. Yürürlük
26.04.2026; Ocak/Temmuz revizyonu (KVK Komisyonu + Hukuk Müşavirliği ile koordineli).
Hasan Kalyoncu Üniversitesi · Bilgi İşlem Müdürlüğü
Osmanlı Mah. Havaalanı Yolu Üzeri 8. Km 27010 Şahinbey/Gaziantep
444 6 458 · destek@hku.edu.tr · destek.hku.edu.tr · portal.hku.edu.tr
KEP: hasankalyoncu.unv@hs01.kep.tr