[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"blog-post-ai-etigi-ve-veri-guvenligi-kurumsal-politika-hazirlama-rehberi":3},{"dataItem":4,"heading":36,"metaData":38,"schema":81},["Reactive",5],{"id":6,"title":7,"summary":8,"content":9,"seo_title":10,"seo_description":11,"seo_keywords":12,"slug":13,"createdAt":14,"updatedAt":14,"blog_categories":15,"authors":19,"image":24,"thumb":25,"image_webp":26,"thumb_webp":27,"rating":28,"heading_title":7,"heading_sub_title":17,"readingTime":29,"url":34,"comments":35,"meta_cover":24},21170,"AI Etiği ve Veri Güvenliği: Kurumsal Politika Hazırlama Rehberi","Bu rehber, ABD pazarında faaliyet gösteren kuruluşlar için yapay zeka etiği ve veri güvenliği politikasını NIST AI RMF, NIST AI 600-1 ve ISO/IEC 42001 gibi çerçevelere dayanarak pratik adımlarla oluşturmanıza yardımcı olur.","\u003Cp>\u003Cstrong>Hedef kitle:\u003C/strong> Ürün liderleri, ML/AI ekipleri, bilgi güvenliği, gizlilik/uyum, hukuk ve iç denetim paydaşları.\u003C/p>\n\u003Cp>\u003Cstrong>Son güncelleme:\u003C/strong> 6 Mart 2026\u003C/p>\n\u003Cp>\u003Cstrong>Önemli not:\u003C/strong> Bu içerik bir politika taslağı için uygulamaya dönük bir çerçeve sunar; \u003Cstrong>hukuki danışmanlık değildir\u003C/strong>. Sektörünüz (sağlık/finans vb.), eyalet bazlı yükümlülükler ve sözleşmeler için hukuk ve uyum ekiplerinizle değerlendirme yapın.\u003C/p>\n\u003Chr>\n\u003Ch2>Neden “AI etiği ve veri güvenliği” politikası ayrı bir doküman olmalı?\u003C/h2>\n\u003Cp>Yapay zeka sistemleri; veri toplama, model geliştirme, tedarikçi kullanımı ve üretimde izleme gibi birden çok ekibi ve yaşam döngüsü adımını bir araya getirir. Bu nedenle AI riskleri, klasik bilgi güvenliği veya gizlilik politikalarının içine “ek madde” olarak sıkıştığında sorumluluklar ve kanıt beklentileri belirsizleşebilir. İyi bir kurumsal politika; etik ilkeleri (ör. adillik, şeffaflık), veri korumayı (erişim, saklama, denetim izi) ve operasyonel güvenliği (test, izleme, olay yönetimi) tek bir yönetişim şemasında birleştirir.\u003C/p>\n\u003Cp>Pratikte birçok kuruluş, farklı düzenleyici beklentiler ve hızlı değişen kullanım senaryoları karşısında, iç yönetişimini \u003Cstrong>risk yönetimi çerçeveleri\u003C/strong> üzerinden standardize etmeyi tercih eder. Bu noktada \u003Cstrong>NIST Artificial Intelligence Risk Management Framework (AI RMF 1.0)\u003C/strong> risk odaklı, yaşam döngüsü temelli bir temel sunar (\u003Ca href=\"https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf\">S1\u003C/a>). Generatif AI kullanımı varsa, NIST’in generatif AI profili ek risk kategorileri ve kanıt/test beklentilerini özetler (\u003Ca href=\"https://doi.org/10.6028/NIST.AI.600-1\">S2\u003C/a>).\u003C/p>\n\u003Chr>\n\u003Ch2>Temel çerçeveler: NIST AI RMF, ISO/IEC 42001 ve operasyonel yönetişim\u003C/h2>\n\u003Ch3>NIST AI RMF: risk yönetimini dört işleve bölen omurga\u003C/h3>\n\u003Cp>NIST AI RMF, AI risklerini kurumsal risk yönetimiyle bütünleştirmek için \u003Cem>Govern, Map, Measure, Manage\u003C/em> fonksiyonlarını kullanır (\u003Ca href=\"https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf\">S1\u003C/a>). Politikanızın bölümleri bu fonksiyonlara “oturursa”, ekipler arası sorumluluklar netleşir ve denetim izi üretmek kolaylaşır.\u003C/p>\n\u003Ch3>ISO/IEC 42001: “AI Yönetim Sistemi (AIMS)” yaklaşımı\u003C/h3>\n\u003Cp>ISO/IEC 42001, kuruluş seviyesinde bir \u003Cstrong>AI yönetim sistemi\u003C/strong> (roller, süreçler, sürekli iyileştirme, iç denetim mantığı) kurmak isteyenler için yönetim sistemi formatında gereksinimler tanımlar (\u003Ca href=\"https://www.iso.org/standard/42001\">S3\u003C/a>). ISO standardı yayımlar; kuruluşlar isterse bu standarda uygunluklarını \u003Cstrong>akredite belgelendirme kuruluşları\u003C/strong> üzerinden (pazar/pratik gerekliliklerine bağlı olarak) belgelendirmeyi hedefleyebilir. NIST AI RMF ile çelişmek yerine çoğu noktada tamamlayıcı olarak kullanılabilir: NIST “hangi risklere bakacağız?” sorusunu, ISO ise “bunu organizasyona nasıl yerleştiririz?” sorusunu yönetim sistemi diliyle ele alır.\u003C/p>\n\u003Ch3>Kamu rehberlerinden alınacak ders: envanter, yönetişim ve izlenebilirlik\u003C/h3>\n\u003Cp>ABD federal kurumlarına yönelik OMB M-24-10, AI kullanımında yönetişim, envanterleme ve risk yönetimi beklentilerini tanımlar (\u003Ca href=\"https://www.whitehouse.gov/wp-content/uploads/2024/03/M-24-10-Advancing-Governance-Innovation-and-Risk-Management-for-Agency-Use-of-Artificial-Intelligence.pdf\">S4\u003C/a>). Özel sektör için bağlayıcı bir metin olmasa da, kurum içinde standartlaştırma açısından somut örnekler sunar: kullanım envanteri, kayıt/raporlama ve hesap verebilirlik.\u003C/p>\n\u003Chr>\n\u003Ch2>Politikanın kapsamını doğru tanımlayın (en sık hata burada)\u003C/h2>\n\u003Cp>Politika “her şeyi” söylemeye çalıştığında uygulanamaz hale gelir. Kapsamı netleştirmek için aşağıdaki kararları yazılı hale getirin:\u003C/p>\n\u003Cul>\n\u003Cli>\u003Cstrong>Sistem kapsamı:\u003C/strong> Kendi geliştirdiğiniz modeller, üçüncü taraf API’ler, açık kaynak modeller, araç içi yardımcılar (ör. kod asistanı) ve RPA/kurallar+ML hibrit sistemleri dahil mi?\u003C/li>\n\u003Cli>\u003Cstrong>Veri kapsamı:\u003C/strong> Müşteri verisi, çalışan verisi, tedarikçi verisi, kamuya açık veri, sentetik veri, günlük kayıtları (log) ve prompt/çıktı kayıtları kapsama nasıl giriyor?\u003C/li>\n\u003Cli>\u003Cstrong>Kullanım kapsamı:\u003C/strong> İç kullanım (verimlilik) ile dışa dönük kullanım (müşteriye öneri/karar desteği) farklı risk seviyelerine sahip olabilir (riskin haritalanması için NIST AI RMF yaklaşımını kullanın) (\u003Ca href=\"https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf\">S1\u003C/a>).\u003C/li>\n\u003Cli>\u003Cstrong>Coğrafi kapsam:\u003C/strong> AB’de hizmet veriyorsanız veya AB’li kullanıcıları etkiliyorsanız, AB Yapay Zeka Yasası (AI Act) kapsamında ek yükümlülükler doğabilir (\u003Ca href=\"https://commission.europa.eu/news/ai-act-enters-force-2024-08-01_en\">S5\u003C/a>).\u003C/li>\n\u003C/ul>\n\u003Chr>\n\u003Ch2>Kurumsal politika şablonu: “zorunlu” bölümler\u003C/h2>\n\u003Cp>Aşağıdaki şablon, NIST/ISO yaklaşımıyla uyumlu olacak şekilde çoğu organizasyonda uygulanabilir bir omurga sunar. Her madde için “sahip” (owner), kanıt (evidence) ve periyot (cadence) belirlemek, politikanın hayata geçmesini sağlar (yaşam döngüsü boyunca yönetişim ve izlenebilirlik yaklaşımı için \u003Ca href=\"https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf\">S1\u003C/a>; envanter ve yönetişim pratiği örnekleri için \u003Ca href=\"https://www.whitehouse.gov/wp-content/uploads/2024/03/M-24-10-Advancing-Governance-Innovation-and-Risk-Management-for-Agency-Use-of-Artificial-Intelligence.pdf\">S4\u003C/a>).\u003C/p>\n\u003Ctable>\n\u003Cthead>\n\u003Ctr>\n\u003Cth>Bölüm\u003C/th>\n\u003Cth>İçerik\u003C/th>\n\u003Cth>Minimum kanıt\u003C/th>\n\u003C/tr>\n\u003C/thead>\n\u003Ctbody>\n\u003Ctr>\n\u003Ctd>\u003Cstrong>Amaç ve ilkeler\u003C/strong>\u003C/td>\n\u003Ctd>Etik ilkeler (adillik, hesap verebilirlik, şeffaflık), veri güvenliği hedefleri, insan denetimi yaklaşımı\u003C/td>\n\u003Ctd>Onaylı politika metni, üst yönetim sponsorluğu\u003C/td>\n\u003C/tr>\n\u003Ctr>\n\u003Ctd>\u003Cstrong>Roller ve sorumluluklar\u003C/strong>\u003C/td>\n\u003Ctd>AI sahipliği, ürün sahibi, ML mühendisliği, güvenlik, gizlilik/uyum, hukuk, iç denetim, tedarik yönetimi\u003C/td>\n\u003Ctd>RACI matrisi, risk komitesi charter’ı\u003C/td>\n\u003C/tr>\n\u003Ctr>\n\u003Ctd>\u003Cstrong>Use-case envanteri\u003C/strong>\u003C/td>\n\u003Ctd>Tüm AI kullanım alanlarının kaydı, iş amacı, veri türleri, etkilenen kullanıcı grupları\u003C/td>\n\u003Ctd>AI envanter listesi ve güncelleme süreci (envanter ve yönetişim pratikleri için bkz. \u003Ca href=\"https://www.whitehouse.gov/wp-content/uploads/2024/03/M-24-10-Advancing-Governance-Innovation-and-Risk-Management-for-Agency-Use-of-Artificial-Intelligence.pdf\">S4\u003C/a>)\u003C/td>\n\u003C/tr>\n\u003Ctr>\n\u003Ctd>\u003Cstrong>Risk sınıflandırması\u003C/strong>\u003C/td>\n\u003Ctd>Etki temelli sınıflar (düşük/orta/yüksek gibi) ve hangi sınıfta hangi kontrollerin zorunlu olduğu (haritalama/ölçme/yönetme yaklaşımı için bkz. \u003Ca href=\"https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf\">S1\u003C/a>)\u003C/td>\n\u003Ctd>Risk değerlendirme formu, onay kayıtları\u003C/td>\n\u003C/tr>\n\u003Ctr>\n\u003Ctd>\u003Cstrong>Veri yönetişimi\u003C/strong>\u003C/td>\n\u003Ctd>Veri provenansı, kalite, erişim kontrolü, saklama/silme, üçüncü taraf veri kullanımı\u003C/td>\n\u003Ctd>Datasheet, veri sözleşmesi, erişim logları (\u003Ca href=\"https://arxiv.org/abs/1803.09010\">S8\u003C/a>)\u003C/td>\n\u003C/tr>\n\u003Ctr>\n\u003Ctd>\u003Cstrong>Model yönetişimi\u003C/strong>\u003C/td>\n\u003Ctd>Model geliştirme standartları, versiyonlama, değerlendirme, üretime alma kriterleri\u003C/td>\n\u003Ctd>Model Card, test raporları, değişiklik kayıtları (\u003Ca href=\"https://arxiv.org/abs/1810.03993\">S7\u003C/a>)\u003C/td>\n\u003C/tr>\n\u003Ctr>\n\u003Ctd>\u003Cstrong>Güvenlik ve tehdit modeli\u003C/strong>\u003C/td>\n\u003Ctd>Tehdit sınıfları, kontrol seti, red-teaming yaklaşımı\u003C/td>\n\u003Ctd>Tehdit modeli dokümanı, red-team raporu (tehdit taksonomisi için bkz. \u003Ca href=\"https://atlas.mitre.org/pdf-files/MITRE_ATLAS_Fact_Sheet.pdf\">S6\u003C/a>)\u003C/td>\n\u003C/tr>\n\u003Ctr>\n\u003Ctd>\u003Cstrong>İzleme ve olay yönetimi\u003C/strong>\u003C/td>\n\u003Ctd>Performans/riske yönelik izleme, uyarılar, olay bildirim ve düzeltici eylem (yaşam döngüsü yönetimi için bkz. \u003Ca href=\"https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf\">S1\u003C/a>)\u003C/td>\n\u003Ctd>İzleme panosu, incident postmortem\u003C/td>\n\u003C/tr>\n\u003C/tbody>\n\u003C/table>\n\u003Cp>Bu omurga; NIST’in yaşam döngüsü risk yönetimi yaklaşımı (\u003Ca href=\"https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf\">S1\u003C/a>), generatif AI’ye özgü ek riskler ve kanıt beklentileri (\u003Ca href=\"https://doi.org/10.6028/NIST.AI.600-1\">S2\u003C/a>) ve yönetim sistemi mantığı (\u003Ca href=\"https://www.iso.org/standard/42001\">S3\u003C/a>) ile uyumlu bir “asgari uygulanabilir politika” üretmek için kullanılabilir.\u003C/p>\n\u003Chr>\n\u003Ch2>Etik ilkeleri operasyonalize edin: “niyet” değil “kontrol” yazın\u003C/h2>\n\u003Cp>“Adil olacağız” gibi niyet cümleleri tek başına denetlenebilir değildir. Bunun yerine her ilkeyi bir veya iki uygulanabilir kuralla destekleyin:\u003C/p>\n\u003Cul>\n\u003Cli>\u003Cstrong>Adillik:\u003C/strong> Yüksek etkili use-case’lerde, seçilen metrik/analizlerle farklı kullanıcı grupları üzerindeki etkiler gözden geçirilir; bulgular ve kararlar kayıt altına alınır. (Metrik seçimi use-case’e bağlıdır; tek bir evrensel set yerine, NIST AI RMF’nin ölçme/yönetme yaklaşımıyla pilotlar üzerinden olgunlaştırın) (\u003Ca href=\"https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf\">S1\u003C/a>).\u003C/li>\n\u003Cli>\u003Cstrong>Şeffaflık:\u003C/strong> Uygun yerlerde kullanıcıya AI kullanıldığı açıklanır; sistemin sınırları ve kullanım kısıtları dokümante edilir. Model raporlama için “Model Cards” gibi yapılandırılmış formatlar kullanılabilir (\u003Ca href=\"https://arxiv.org/abs/1810.03993\">S7\u003C/a>).\u003C/li>\n\u003Cli>\u003Cstrong>Hesap verebilirlik:\u003C/strong> Her üretim modelinin bir iş sahibi ve teknik sahibi olur; onay akışı (gizlilik, güvenlik, ürün) tanımlanır; istisnalar yazılı gerekçeyle yönetilir (yönetişim fonksiyonu için bkz. \u003Ca href=\"https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf\">S1\u003C/a>).\u003C/li>\n\u003Cli>\u003Cstrong>Veri koruma:\u003C/strong> Veri provenansı, kullanım kısıtları ve toplama yöntemi “Datasheets for Datasets” yaklaşımıyla belgelenir (\u003Ca href=\"https://arxiv.org/abs/1803.09010\">S8\u003C/a>).\u003C/li>\n\u003C/ul>\n\u003Chr>\n\u003Ch2>Veri güvenliği: veri provenansı, erişim ve denetim izi\u003C/h2>\n\u003Ch3>1) Veri provenansı ve kullanım kısıtları\u003C/h3>\n\u003Cp>Politikada şu soruların yanıtı açık olmalı: Eğitim/ince ayar (fine-tuning) veya değerlendirme verisi nereden geliyor? Hangi lisans/sözleşme koşulları var? Hangi veri türleri kesinlikle yasak (ör. hassas kişisel veri) veya koşullu (ek onay gerektirir)? “Datasheets” yaklaşımı; veri setinin amacı, bileşimi, toplama ve önerilen kullanım/uyarılar gibi başlıklarla pratik bir şablon sunar (\u003Ca href=\"https://arxiv.org/abs/1803.09010\">S8\u003C/a>).\u003C/p>\n\u003Ch3>2) Erişim kontrolü ve kayıt tutma (denetim izi)\u003C/h3>\n\u003Cp>AI sistemleri için denetim izi yalnızca “kim sisteme girdi” değil, aynı zamanda “hangi veriyi, hangi model sürümüyle, hangi amaçla işledi” sorularına da yanıt üretmelidir. Bu yaklaşım, NIST AI RMF’nin yönetişim ve risk yönetiminin yaşam döngüsü boyunca izlenebilir olmasına dönük çerçevesiyle uyumludur (\u003Ca href=\"https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf\">S1\u003C/a>). Kamu tarafında envanter/kayıt ve yönetişim beklentilerine ilişkin pratik örnekler için OMB M-24-10 incelenebilir (\u003Ca href=\"https://www.whitehouse.gov/wp-content/uploads/2024/03/M-24-10-Advancing-Governance-Innovation-and-Risk-Management-for-Agency-Use-of-Artificial-Intelligence.pdf\">S4\u003C/a>).\u003C/p>\n\u003Ch3>3) Generatif AI’de veri sızıntısı riskini azaltma\u003C/h3>\n\u003Cp>NIST’in generatif AI profili, generatif AI’ye özgü risk kategorilerini ve dağıtımdan önce kanıt/test beklentilerini ele alır (\u003Ca href=\"https://doi.org/10.6028/NIST.AI.600-1\">S2\u003C/a>). Kurum içi politika için pratik karşılıklar şunlar olabilir:\u003C/p>\n\u003Cul>\n\u003Cli>Kurumsal sırlar ve kişisel veriler için “prompt’a yazılamaz” veri sınıfları\u003C/li>\n\u003Cli>Onaylı araçlar listesi (kurumsal sözleşmeli çözümler dahil)\u003C/li>\n\u003Cli>Gizli veri içerebilecek çıktıların paylaşımı için gözden geçirme adımı\u003C/li>\n\u003C/ul>\n\u003Chr>\n\u003Ch2>AI güvenliği: tehdit modeli, red-teaming ve üretim öncesi test\u003C/h2>\n\u003Cp>AI güvenliği yalnızca altyapı güvenliği değildir; modele özel saldırı türleri ve suistimal senaryoları vardır. MITRE ATLAS, AI sistemlerine yönelik saldırı teknikleri ve tehdit manzarası için bir taksonomi sunar; kurumsal tehdit modellemesi ve test planlamasında referans olarak kullanılabilir (\u003Ca href=\"https://atlas.mitre.org/pdf-files/MITRE_ATLAS_Fact_Sheet.pdf\">S6\u003C/a>).\u003C/p>\n\u003Ch3>Politikaya yazılabilecek minimum güvenlik maddeleri\u003C/h3>\n\u003Cul>\n\u003Cli>\u003Cstrong>Tehdit modellemesi zorunluluğu:\u003C/strong> Orta ve üzeri risk sınıfındaki her use-case için tehdit modeli dokümanı (tehdit sınıfları için bkz. \u003Ca href=\"https://atlas.mitre.org/pdf-files/MITRE_ATLAS_Fact_Sheet.pdf\">S6\u003C/a>).\u003C/li>\n\u003Cli>\u003Cstrong>Red-teaming / test:\u003C/strong> Üretime alma öncesi hedefli kötüye kullanım testleri. Generatif AI’de ek risk ve test kanıtları için NIST AI 600-1’i kontrol listesine bağlayın (\u003Ca href=\"https://doi.org/10.6028/NIST.AI.600-1\">S2\u003C/a>).\u003C/li>\n\u003Cli>\u003Cstrong>Tedarikçi güvenliği:\u003C/strong> Üçüncü taraf model/API kullanılıyorsa, sözleşmesel güvenlik ve veri işleme şartları; değişiklik bildirimleri; raporlama beklentileri.\u003C/li>\n\u003Cli>\u003Cstrong>Güncelleme/versiyon yönetimi:\u003C/strong> Model sürüm değişikliklerinde yeniden değerlendirme eşiği (yönetişim ve yaşam döngüsü yaklaşımıyla uyumlu olacak şekilde) (\u003Ca href=\"https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf\">S1\u003C/a>).\u003C/li>\n\u003C/ul>\n\u003Chr>\n\u003Ch2>Örnek politika maddeleri (şablon) — hukuki danışmanlık değildir\u003C/h2>\n\u003Cblockquote>\n\u003Cp>\u003Cstrong>Örnek madde 1 — Prompt’a yasak veri sınıfları (Generatif AI):\u003C/strong> “Çalışanlar, kurumsal onaylı generatif AI araçları dâhil olmak üzere hiçbir prompt’a (i) kimlik doğrulama bilgileri, (ii) müşteri/çalışan kişisel verileri, (iii) sözleşme ile kısıtlı tedarikçi verileri, (iv) henüz kamuya açıklanmamış finansal sonuçlar ve (v) müşteri hesap ayrıntıları yazamaz. İstisnalar yalnızca risk değerlendirmesi ve yazılı onay ile mümkündür.” (Risk ve kontrol beklentilerini NIST AI 600-1 ile eşleyin: \u003Ca href=\"https://doi.org/10.6028/NIST.AI.600-1\">S2\u003C/a>)\u003C/p>\n\u003Cp>\u003Cstrong>Örnek madde 2 — Üretime alma için minimum kapılar:\u003C/strong>\u003C/p>\n\u003Col>\n\u003Cli>Use-case envanter kaydı ve risk sınıfı ataması (NIST AI RMF yaşam döngüsü yaklaşımı: \u003Ca href=\"https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf\">S1\u003C/a>; envanter pratiği örneği: \u003Ca href=\"https://www.whitehouse.gov/wp-content/uploads/2024/03/M-24-10-Advancing-Governance-Innovation-and-Risk-Management-for-Agency-Use-of-Artificial-Intelligence.pdf\">S4\u003C/a>)\u003C/li>\n\u003Cli>Datasheet + Model Card tamamlanması (\u003Ca href=\"https://arxiv.org/abs/1803.09010\">S8\u003C/a>, \u003Ca href=\"https://arxiv.org/abs/1810.03993\">S7\u003C/a>)\u003C/li>\n\u003Cli>Tehdit modeli + kötüye kullanım test raporu (MITRE ATLAS referanslı) (\u003Ca href=\"https://atlas.mitre.org/pdf-files/MITRE_ATLAS_Fact_Sheet.pdf\">S6\u003C/a>)\u003C/li>\n\u003Cli>Üretim izleme planı ve olay yönetimi prosedürü (yaşam döngüsü yönetimi: \u003Ca href=\"https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf\">S1\u003C/a>)\u003C/li>\n\u003C/ol>\n\u003C/blockquote>\n\u003Chr>\n\u003Ch2>Şeffaflık ve denetlenebilirlik: Model Cards + Datasheets + denetim izi\u003C/h2>\n\u003Cp>Kurumsal politikada dokümantasyon çoğu zaman en hızlı kazanımdır: hem iç denetim hem de tedarikçi yönetimi için standart bir kanıt paketi üretir.\u003C/p>\n\u003Cul>\n\u003Cli>\u003Cstrong>Model Cards:\u003C/strong> Modelin amaçlanan kullanımı, performans ölçümleri, sınırlamalar, etik ve güvenlik hususları gibi bilgileri tutarlı biçimde raporlamayı hedefler (\u003Ca href=\"https://arxiv.org/abs/1810.03993\">S7\u003C/a>).\u003C/li>\n\u003Cli>\u003Cstrong>Datasheets:\u003C/strong> Veri setinin toplanması, bileşimi, önerilen kullanım alanları ve uyarılar gibi provenans bilgilerini standartlaştırır (\u003Ca href=\"https://arxiv.org/abs/1803.09010\">S8\u003C/a>).\u003C/li>\n\u003Cli>\u003Cstrong>Denetim izi:\u003C/strong> “Hangi veri + hangi model sürümü + hangi karar/çıktı + hangi onay” zincirini kurar (yaşam döngüsü boyunca yönetişim ve izlenebilirlik için bkz. \u003Ca href=\"https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf\">S1\u003C/a>). Kurumsal envanterleme/kayıt yaklaşımına dair kamu örnekleri için OMB M-24-10 incelenebilir (\u003Ca href=\"https://www.whitehouse.gov/wp-content/uploads/2024/03/M-24-10-Advancing-Governance-Innovation-and-Risk-Management-for-Agency-Use-of-Artificial-Intelligence.pdf\">S4\u003C/a>).\u003C/li>\n\u003C/ul>\n\u003Chr>\n\u003Ch2>Uluslararası uyum: AB AI Act’i neden ABD’deki kuruluşları ilgilendirebilir?\u003C/h2>\n\u003Cp>AB AI Act, AB pazarında sunulan veya AB’deki kişileri etkileyen belirli AI sistemleri için yükümlülükler doğurabilir. Bu nedenle ABD merkezli bir kuruluşun AB müşterileri, AB’de iştirakleri veya AB’ye yönelik ürünleri varsa, risk sınıflandırması ve şeffaflık yükümlülükleri açısından etkilenmesi olasıdır (\u003Ca href=\"https://commission.europa.eu/news/ai-act-enters-force-2024-08-01_en\">S5\u003C/a>). Politikanızda “coğrafi kapsam” ve “pazar bazlı ek gereksinimler” için bir ek (appendix) bulundurmak, düzenleyici farklılıkları yönetmeyi kolaylaştırır.\u003C/p>\n\u003Chr>\n\u003Ch2>Uygulamaya geçiş: 30-60-90 gün planı (pilot odaklı)\u003C/h2>\n\u003Cp>Ölçütler ve kontrol derinliği, use-case riskine göre kademeli olgunlaştırılmalıdır. Aşağıdaki planı ölçeğinize göre uyarlayın.\u003C/p>\n\u003Ch3>İlk 30 gün: Envanter + asgari yönetişim\u003C/h3>\n\u003Cul>\n\u003Cli>AI use-case envanterini çıkarın (sahip, veri türleri, kullanıcı etkisi, tedarikçiler) (envanter yaklaşımı örnekleri için bkz. \u003Ca href=\"https://www.whitehouse.gov/wp-content/uploads/2024/03/M-24-10-Advancing-Governance-Innovation-and-Risk-Management-for-Agency-Use-of-Artificial-Intelligence.pdf\">S4\u003C/a>).\u003C/li>\n\u003Cli>AI risk komitesi veya çalışma grubunu kurun (ürün, ML, güvenlik, gizlilik/uyum, hukuk) (yönetişim yaklaşımı: \u003Ca href=\"https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf\">S1\u003C/a>).\u003C/li>\n\u003Cli>Risk sınıflandırma taslağını ve onay akışını yayınlayın (NIST AI RMF mantığıyla) (\u003Ca href=\"https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf\">S1\u003C/a>).\u003C/li>\n\u003C/ul>\n\u003Ch3>60 gün: Dokümantasyon standartları + temel test kapıları\u003C/h3>\n\u003Cul>\n\u003Cli>Model Card ve Datasheet şablonlarını zorunlu hale getirin (\u003Ca href=\"https://arxiv.org/abs/1810.03993\">S7\u003C/a>, \u003Ca href=\"https://arxiv.org/abs/1803.09010\">S8\u003C/a>).\u003C/li>\n\u003Cli>Üretime alma öncesi minimum test kapıları belirleyin (güvenlik, gizlilik, kötüye kullanım senaryoları) (tehdit perspektifi için: \u003Ca href=\"https://atlas.mitre.org/pdf-files/MITRE_ATLAS_Fact_Sheet.pdf\">S6\u003C/a>).\u003C/li>\n\u003Cli>Generatif AI kullanılıyorsa, NIST AI 600-1’le uyumlu ek risk kontrol listesi ekleyin (\u003Ca href=\"https://doi.org/10.6028/NIST.AI.600-1\">S2\u003C/a>).\u003C/li>\n\u003C/ul>\n\u003Ch3>90 gün: İzleme + olay yönetimi + iyileştirme döngüsü\u003C/h3>\n\u003Cul>\n\u003Cli>Üretimde izleme planını devreye alın (kalite, güvenlik sinyalleri, geri bildirim/şikayet kanalları) (yaşam döngüsü yönetimi: \u003Ca href=\"https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf\">S1\u003C/a>).\u003C/li>\n\u003Cli>AI’ye özel olay yönetimi prosedürü tanımlayın (triage, kök neden analizi, geri alma/roll-back, iletişim) (NIST AI RMF’nin yönetme yaklaşımıyla uyumlu) (\u003Ca href=\"https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf\">S1\u003C/a>).\u003C/li>\n\u003Cli>ISO/IEC 42001 yönetim sistemi yaklaşımıyla iç denetim ve sürekli iyileştirme döngüsünü planlayın (\u003Ca href=\"https://www.iso.org/standard/42001\">S3\u003C/a>).\u003C/li>\n\u003C/ul>\n\u003Chr>\n\u003Ch2>Politika için kısa kontrol listesi (yayınlamadan önce)\u003C/h2>\n\u003Cul>\n\u003Cli>Politika kapsamı net mi (hangi sistemler, hangi veriler, hangi coğrafyalar)?\u003C/li>\n\u003Cli>Use-case envanteri ve güncelleme ritmi tanımlı mı (\u003Ca href=\"https://www.whitehouse.gov/wp-content/uploads/2024/03/M-24-10-Advancing-Governance-Innovation-and-Risk-Management-for-Agency-Use-of-Artificial-Intelligence.pdf\">S4\u003C/a>)?\u003C/li>\n\u003Cli>Risk sınıflandırması ve üretime alma kapıları yazılı mı (\u003Ca href=\"https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf\">S1\u003C/a>)?\u003C/li>\n\u003Cli>Roller/RACI ve karar yetkileri net mi?\u003C/li>\n\u003Cli>Datasheet + Model Card + denetim izi gereksinimleri tanımlı mı (\u003Ca href=\"https://arxiv.org/abs/1803.09010\">S8\u003C/a>, \u003Ca href=\"https://arxiv.org/abs/1810.03993\">S7\u003C/a>)?\u003C/li>\n\u003Cli>Generatif AI için ek güvenlik ve veri sızıntısı kontrolleri var mı (\u003Ca href=\"https://doi.org/10.6028/NIST.AI.600-1\">S2\u003C/a>)?\u003C/li>\n\u003Cli>MITRE ATLAS benzeri bir taksonomiye dayalı tehdit modeli ve test yaklaşımı var mı (\u003Ca href=\"https://atlas.mitre.org/pdf-files/MITRE_ATLAS_Fact_Sheet.pdf\">S6\u003C/a>)?\u003C/li>\n\u003Cli>Periyodik gözden geçirme (ör. 6 ayda bir) ve değişiklik yönetimi süreci var mı (yönetim sistemi yaklaşımı için bkz. \u003Ca href=\"https://www.iso.org/standard/42001\">S3\u003C/a>)?\u003C/li>\n\u003C/ul>\n\u003Chr>\n\u003Ch2>Sonuç\u003C/h2>\n\u003Cp>Kurumsal “AI etiği ve veri güvenliği” politikası; yalnızca bir doküman değil, ürün geliştirme ve güvenlik pratiklerini bir araya getiren bir işletim sistemidir. NIST AI RMF’yi risk-odaklı omurga olarak alıp (\u003Ca href=\"https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf\">S1\u003C/a>), generatif AI risklerini NIST AI 600-1 ile tamamlayarak (\u003Ca href=\"https://doi.org/10.6028/NIST.AI.600-1\">S2\u003C/a>) ve ISO/IEC 42001’in yönetim sistemi yaklaşımıyla sürdürülebilir hale getirerek (\u003Ca href=\"https://www.iso.org/standard/42001\">S3\u003C/a>) uygulanabilir, denetlenebilir ve geliştirilebilir bir çerçeve kurabilirsiniz.\u003C/p>","AI Etiği ve Veri Güvenliği Politikası: Kurumsal Rehber","AI etiği ve veri güvenliği politikası nasıl hazırlanır? NIST AI RMF, NIST AI 600-1 ve ISO/IEC 42001 ile uyumlu, uygulanabilir şablon ve kontrol listesi.","AI etiği ve veri güvenliği politikası, AI governance, NIST AI RMF, NIST AI 600-1, ISO/IEC 42001, veri yönetişimi, model yönetişimi, denetim izi, generatif AI riskleri, red teaming, MITRE ATLAS","ai-etigi-ve-veri-guvenligi-kurumsal-politika-hazirlama-rehberi","2026-03-09T10:56:02.000Z",{"id":16,"title":17,"slug":18},627,"Yapay Zeka Etiği ve Güvenlik","yapay-zeka-etigi-ve-guvenlik",{"id":20,"name":21,"nickname":22,"slug":23},158,"Burak Arslan","Burakarslan","burak-arslan","/media/blog/8593f383abc52e2f3631fc051d363abc.jpg","/media/blog/8593f383abc52e2f3631fc051d363abc_thumb.jpg","/media/blog/8593f383abc52e2f3631fc051d363abc.webp","/media/blog/8593f383abc52e2f3631fc051d363abc_thumb.webp",null,{"minutes":30,"wordCount":31,"imageCount":32,"formatted":33},10,1881,0,"10 dk okuma süresi","/blog/yapay-zeka-etigi-ve-guvenlik/ai-etigi-ve-veri-guvenligi-kurumsal-politika-hazirlama-rehberi",[],["Reactive",37],{"title":7,"subTitle":17,"image":24},["Reactive",39],{"title":10,"meta":40,"link":75},[41,43,45,48,51,54,57,60,63,66,69,71,73],{"hid":42,"name":42,"content":11},"description",{"hid":44,"name":44,"content":12},"keywords",{"hid":46,"name":46,"content":47},"author","Ai Rehberi",{"hid":49,"name":49,"content":50},"robots","index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1",{"hid":52,"property":52,"content":53},"og:type","website",{"hid":55,"property":55,"content":56},"og:title","Ai Rehberi - Yapay Zeka ile İçerik Üretimi ve Güncel Trendler",{"hid":58,"property":58,"content":59},"og:description","Ai Rehberi, blog yazarları ve sosyal medya içerik üreticileri için yapay zeka araçları, trendleri ve pratik kullanım rehberleri sunar.",{"hid":61,"property":61,"content":62},"og:image","https://aimerkezi.net/media/blog/8593f383abc52e2f3631fc051d363abc.jpg",{"hid":64,"property":64,"content":65},"og:url","https://aimerkezi.net/blog/yapay-zeka-etigi-ve-guvenlik/ai-etigi-ve-veri-guvenligi-kurumsal-politika-hazirlama-rehberi",{"hid":67,"name":67,"content":68},"twitter:card","summary_large_image",{"hid":70,"name":70,"content":56},"twitter:title",{"hid":72,"name":72,"content":59},"twitter:description",{"hid":74,"name":74,"content":62},"twitter:image",[76,78],{"rel":77,"href":65},"canonical",{"rel":79,"href":80},"amphtml","https://amp.aimerkezi.net/blog/yapay-zeka-etigi-ve-guvenlik/ai-etigi-ve-veri-guvenligi-kurumsal-politika-hazirlama-rehberi",["Reactive",82],{"@context":83,"@graph":84},"https://schema.org",[85,98],{"@type":86,"headline":10,"image":62,"author":87,"publisher":90,"datePublished":14,"dateModified":14,"mainEntityOfPage":96,"description":11},"BlogPosting",{"@type":88,"name":21,"url":89},"Person","https://aimerkezi.net/yazarlar/burak-arslan",{"@type":91,"name":47,"logo":92},"Organization",{"@type":93,"url":94,"width":95,"height":95},"ImageObject","https://aimerkezi.net/img/icons/favicon.png",32,{"@type":97,"@id":65},"WebPage",{"@type":99,"itemListElement":100},"BreadcrumbList",[101,106,110,113],{"@type":102,"position":103,"name":104,"item":105},"ListItem",1,"Ana Sayfa","https://aimerkezi.net",{"@type":102,"position":107,"name":108,"item":109},2,"Blog","https://aimerkezi.net/blog",{"@type":102,"position":111,"name":17,"item":112},3,"https://aimerkezi.net/blog/yapay-zeka-etigi-ve-guvenlik",{"@type":102,"position":114,"name":7,"item":65},4]