← Tüm terimler
Erişim Gözden Geçirme (Erişim Sertifikasyonu)

Erişim gözden geçirme nedir?

Erişim gözden geçirme; yöneticilerin veya sistem sahiplerinin her kullanıcının sahip olduğu erişime hâlâ ihtiyaç duyup duymadığını doğruladığı ve gereksiz erişimi kaldırdığı periyodik bir kontroldür.

Son güncelleme: 13 Temmuz 2026

Erişim gözden geçirmeleri nasıl işler

Erişim sertifikasyonu veya beyanı olarak da adlandırılan erişim gözden geçirme, yapılandırılmış bir kampanyadır. Kuruluş, kimin hangi sistemlere, gruplara ve yetkilendirmelere erişebildiğinin anlık görüntüsünü toplar ve her kaydı bir gözden geçirene — genellikle kişinin yöneticisine veya uygulamanın sahibine — yönlendirir. Gözden geçiren, hâlâ ihtiyaç duyulan erişimi onaylar, gerekmeyen erişimi işaretler.

İşaretlenen kayıtlar düzeltme adımını besler: Grup üyeliklerinin kaldırılması, hesapların devre dışı bırakılması veya rollerin geri alınması. Eksiksiz bir kampanya; kimin neyi ne zaman gözden geçirdiğini, hangi kararı verdiğini ve erişim kaldırmanın gerçekten yapılıp yapılmadığını kaydederek savunulabilir bir denetim izi üretir.

Kampanyalar hassas sistemler için genellikle üç veya altı ayda bir yürütülür; rol değişikliği veya güvenlik olayı gibi durumlarla da tetiklenebilir.

Erişim gözden geçirmeleri neden önemlidir

Erişim hakları zamanla amacından sapar. Kişiler ekipler arasında geçiş yapar, geçici izinler kalıcılaşır ve bir denetçi ya da saldırgan fark edene kadar kimse bunu görmez. Gözden geçirmeler bu sapmanın sistematik dengeleyicisidir ve en az ayrıcalık ilkesini ilk yetki verildikten çok sonra bile uygular.

Ayrıca denetimlerde en sık test edilen kontrollerden biridir. SOC 2, ISO 27001 ve iç kontrol çerçeveleri, kullanıcı erişiminin belgelenmiş ve periyodik olarak gözden geçirilmesini, düzeltme kanıtlarıyla birlikte bekler. Eksik veya başarısız bir gözden geçirme döngüsü yaygın bir denetim bulgusudur.

Uyumluluğun ötesinde, gözden geçirmede kaldırılan her yetkilendirme, bir hesabın ele geçirilmesi durumunda yatay hareket için bir yol eksiltir.

Etkili gözden geçirme kampanyaları yürütmek

En büyük başarısızlık biçimi göstermelik onaydır: Gözden geçirenlerin anlamadıkları yüzlerce satırı toplu olarak onaylaması. Etkili kampanyalar; teknik yetkilendirmeleri iş diline çevirerek, riskli veya olağan dışı erişimi öne çıkararak ve her gözden geçirenin kuyruğunu küçük ve ilgili tutarak bununla mücadele eder.

Otomasyon her iki uçta da önemlidir. Yetkilendirmeleri her uygulamadan elle toplamak ölçeklenmez; onaylanan ancak hiç uygulanmayan erişim kaldırmaları ise tüm çalışmayı boşa çıkarır. Veri toplamadan karara ve uygulanan kaldırmaya kadar döngüyü kapatmak, gerçek bir kontrolü kâğıt üzerindeki bir işlemden ayıran şeydir.

Monosync gibi araçlar; bağlı sistemlerden yetkilendirmeleri senkronize ederek, sertifikasyon kampanyalarını yöneterek ve SOC 2, ISO 27001, KVKK ve GDPR için denetim kanıtı niteliğinde raporlar üreterek bu döngüyü otomatikleştirir.

Sık sorulan sorular

Erişim gözden geçirmeleri ne sıklıkla yapılmalı?
Ayrıcalıklı ve hassas erişim için üç aylık gözden geçirmeler yaygındır; daha geniş kullanıcı erişimi ise genellikle altı ayda bir veya yılda bir gözden geçirilir. Doğru sıklık riske bağlıdır: Finansal veya kişisel veri barındıran sistemler, düşük riskli iç araçlara göre daha sık döngü gerektirir.
Bir kullanıcının erişimini kim gözden geçirmeli?
Erişimin kişinin mevcut görevine uygun olup olmadığını en iyi bağlı olduğu yönetici değerlendirir; belirli bir yetkilendirmenin gerçekte neye izin verdiğini ise uygulama sahipleri daha iyi bilir. Olgun programlar ikisini birleştirir: Yöneticiler kişiyi, sahipler yüksek riskli yetkilendirmeleri onaylar.