Savunma Sanayi için Microsoft 365 | MSY 317-2 & ITAR Uyumlu Yapılandırma

Türkiye savunma sanayi son yıllarda dünyada dikkat çeken bir büyüme yaşıyor. ASELSAN, ROKETSAN, TUSAŞ, HAVELSAN, STM, BAYKAR gibi ana yüklenicilerin etrafında binlerce alt yüklenici (Tier-2 ve Tier-3) KOBİ — CNC işleme, kompozit malzeme, kablaj, gömülü yazılım, test ve kalibrasyon, montaj — yerlilik ekosisteminin temel direkleri haline geldi. SSB (Savunma Sanayii Başkanlığı) yerlilik oranı politikalarıyla bu ekosistem her yıl genişliyor.

Ama bu büyümenin paralelinde ciddi siber güvenlik ve mevzuat yükü geliyor. MSY 317-2 (Milli Savunma Sanayii Güvenlik Yönetmeliği), Tesis Güvenlik Belgesi, Kişi Güvenlik Belgesi, NATO ve milli gizlilik dereceleri (Tasnif Dışı / Hizmete Özel / Özel / Gizli / Çok Gizli), ITAR ve EAR (ABD ihracat kontrolü), AS9100 / AS9145 (havacılık kalite standartları), ISO 27001 + savunma sanayi uyumlu ek kontrolleri — bunların hiçbiri tek başına yönetilmiyor. Tek bir veri sızıntısı projeden çıkarılmak, milyonluk cezalar, hatta ihracat lisansı kaybı anlamına geliyor.

Microsoft 365, savunma sanayi için tasarlanmış güvenlik kontrolleriyle bu ihtiyacı karşılayan az sayıdaki dünya çapında platformdan biri. Information Protection ile gizlilik dereceleri otomatik etiketleme, Defender for Endpoint ile gelişmiş tehdit tespiti, Insider Risk Management ile içeriden tehdit izleme, Customer Key ile şifreleme anahtarlarının kontrolü, Information Barriers ile yabancı uyruklu personel izolasyonu, Compartmentalization ile proje bazlı izole alanlar kurumsal savunma sanayinde standart olarak kullanılıyor.

Micro Bilgi olarak Microsoft Yetkili Çözüm Ortağı (CSP) sıfatıyla savunma sanayi ana yüklenicileri, Tier-2 alt yükleniciler, Tier-3 KOBİ'ler, havacılık ve uzay firmaları, mühendislik ve test firmaları, gömülü yazılım geliştiricileri ve savunma sanayi danışmanlık şirketlerine özel kurulum, MSY 317-2 uyum yapılandırması ve eğitim hizmeti sunuyoruz.

Önemli Netlik — Standart Microsoft 365 ve Gizlilik Sınırları

Standart Microsoft 365 (Commercial) Tasnif Dışı ve Hizmete Özel veri için yeterli güvenlik kontrolleri sunar. Gizli ve üzeri veriler için firma ek kontroller (air-gapped sistemler, özel ağ izolasyonu, donanımsal güvenlik modülleri) ile birlikte değerlendirme yapmalıdır. ITAR kapsamında çalışan firmalar için GCC High geçiş yol haritası bağımsız olarak konuşulmalıdır. Bu sayfa Tier-3 ve çoğu Tier-2 KOBİ için pragmatik standart M365 yapılandırmasını anlatır; üst seviyeler için NDA'lı özel görüşme gereklidir.

Savunma Sanayi Firmaları Microsoft 365 ile Hangi Sorunları Çözüyor?

Türkiye'deki Tier-1 ana yükleniciler ve Tier-2/Tier-3 alt yüklenicilerle yaptığımız görüşmelerde 10 kritik problem öne çıkıyor:

1MSY 317-2 Uyum Yükümlülüğü

Savunma sanayinde herhangi bir projede yer alabilmek için MSY 317-2 (Milli Savunma Sanayii Güvenlik Yönetmeliği) uyum şartları sağlanmalıdır. Bilgi sistemleri güvenliği, personel güvenliği, fiziki güvenlik, doküman güvenliği, kriptografi yönetimi maddelerinin tamamı denetlenir. Microsoft 365 E5 + Compliance Manager ile MSY kontrol noktaları tek panelden yönetilir.

2Gizlilik Derecesi Yönetimi

Bir savunma projesinde aynı anda Tasnif Dışı tedarikçi belgeleri, Hizmete Özel teknik şartnameler, Özel mühendislik çıktıları ve Gizli askeri kullanım gereksinimleri dolaşır. Information Protection ile her belge otomatik etiketlenir, gizlilik derecesine uygun erişim, paylaşım ve şifreleme kontrolleri uygulanır.

3Ana Yüklenici-Alt Yüklenici Güvenli Veri Paylaşımı

ASELSAN, ROKETSAN gibi ana yüklenici alt yükleniciye CAD modeli, teknik spesifikasyon, montaj talimatı gönderir. Bu veri yanlış kişiye gitse, kopyalansa, sızdırılsa proje bitti demektir. Information Protection + DLP + şifreli paylaşım ile veri sahibinin kontrolü hiçbir noktada kaybolmaz.

4Tesis Güvenlik Belgesi (TGB) Şartları

TGB sahibi tesislerin bilgi sistemleri için özel güvenlik şartları var: erişim logları (en az 2 yıl), fiziki ayrım, ağ izolasyonu, denetim kayıtları. Microsoft 365 + Intune + Conditional Access ile bu şartların büyük kısmı dijital olarak karşılanır.

5ITAR ve EAR Uyumu

F-16, helikopter motoru, aviyonik parça yapan firmalar ABD ihracat kontrolüne (ITAR/EAR) tabidir. ITAR teknik veri ABD vatandaşı olmayanlarla paylaşılamaz. Information Barriers + Identity Governance ile yabancı uyruklu personelin ITAR verisine erişimi otomatik engellenir.

6İçeriden Tehdit (Insider Threat)

Savunma sanayinde dış saldırılardan daha tehlikeli olan, içeriden veri sızdıran personeldir. Defender for Cloud Apps + Insider Risk Management + UEBA (Kullanıcı ve Varlık Davranış Analizi) ile anormal aktiviteler (toplu dosya indirme, USB kopyalama, gece saatlerinde erişim) otomatik tespit edilir.

7AS9100 ve AS9145 Doküman Yönetimi

Havacılık kalite standartları gereği her doküman sürümlü, izlenebilir, onaylı olmalıdır. Üretim talimatı, kalibrasyon kaydı, FAI (First Article Inspection) raporu, NCR (Non-Conformance Report) süreçleri SharePoint'te yapılandırılmış olarak yönetilir.

8Test ve Kalibrasyon Kayıtları Arşivi

Savunma sanayinde her test ve kalibrasyon kaydı 10-30 yıl saklanmalıdır. Ürün ömür döngüsü boyunca izlenebilirlik (traceability) zorunludur. SharePoint Retention Policy + Records Management ile yasal saklama otomatik yönetilir.

9Proje Bazlı İzole Çalışma Alanları (Compartmentalization)

Bir firma aynı anda 5-10 farklı projede çalışıyor olabilir. Project A'da çalışan mühendis Project B'nin verisini görmemeli (need-to-know prensibi). SharePoint compartmentalization ile her proje izole bir bilgi havuzu, erişim sıkı kontrollü, Information Barriers ile çapraz iletişim engelli.

10Tedarikçi Denetimi (Cyber Audit) Hazırlığı

Ana yükleniciler ve SSB her 1-2 yılda alt yüklenicilerin siber güvenlik denetimini yapar. Eksik bulunan kontroller projeden çıkarılma sebebidir. Compliance Manager ile sürekli hazırlık, anlık skor takibi, eksik kontroller proaktif kapatılır.

Tier Yapısına Göre Microsoft 365 Plan Önerisi

Dört farklı savunma sanayi profili için somut tavsiyelerimiz:

Tier-3 KOBİ · 5-30 Kişi

Tier-3 KOBİ (Yan Parça Üreticisi)

Microsoft 365 E3 + Defender for Office P2

≈ $36.00+$5 Defender ek (~$42-45 toplam)

Tier-3 KOBİ tipik olarak ana yüklenicinin alt-alt yüklenicisi — küçük CNC atölyesi, kalıp imalatçısı, basit montaj üreticisi. Ana yüklenici ile veri alışverişi sınırlı, çoğunlukla Tasnif Dışı + Hizmete Özel seviye.

Information Protection P1 (etiketleme)
Defender for Office 365 P2 (phishing AI)
Conditional Access
Audit Log (denetim)
SharePoint kalite doküman

Pratik: E3 ile başla, Tier-2'ye terfi durumunda E5'e ölçeklen.

Tier-2 · 30-150 Kişi · Standart

Tier-2 Alt Yüklenici

Microsoft 365 E5 + Defender for Endpoint P2

≈ $57.00+kullanıcı/ay (Defender for Endpoint dahil)

Tier-2 firmalar elektronik kart, motor parçası, kablaj, kompozit yapı gibi kritik sistem bileşenleri üretir. Hizmete Özel + Özel seviyede yoğun veri alışverişi.

Information Protection P2 (otomatik etiketleme + ML)
Defender for Endpoint P2
Insider Risk Management
Customer Lockbox (Microsoft mühendisi onaysız erişim yok)
Privileged Identity Management
Compliance Manager (MSY uyum dashboard)

ASELSAN/TUSAŞ tedarikçi denetimi geçmek için E5 standart kabul edilir.

Tier-1 Ana Yüklenici · 150+ Kişi

Tier-1 Ana Yüklenici

Microsoft 365 E5 + Defender for Cloud Apps + Customer Key + Sentinel

Özel kurumsal anlaşmaEU Data Boundary + Sovereign Cloud değerlendirmesi

Ana yükleniciler için E5 + Microsoft Sentinel (SIEM) + Defender for Identity + Azure Information Protection Premium kombinasyonu standart. Customer Key ile şifreleme anahtarlarının firmada tutulması, EU Data Boundary ile veri ikametgahı sınırlandırması.

Customer Key (BYOK — anahtar firmada)
Microsoft Sentinel (SIEM)
Defender for Cloud Apps (shadow IT)
Defender for Identity
EU Data Boundary aktif
10-yıl audit log saklama

ITAR Kapsamlı · Özel Süreç

ITAR Kapsamında Çalışan Firma

M365 GCC High Yol Haritası + Hibrit Standart E5

Özel proje değerlendirmesi6-12 ay GCC High geçiş süresi

ITAR teknik veri sıkı ABD ihracat kontrolüne tabidir. Standart Microsoft 365 (commercial) ITAR uyumluluğu için yetersizdir — Microsoft 365 GCC High gerekir. GCC High Türkiye'de doğrudan satılmaz, ABD merkezli özel süreç gerektirir.

GCC High için ABD merkezli iş ortağı/şube
Microsoft direkt onay gerekli
ITAR uyumlu mühendisler ile yapılandırma
Standart M365 maliyetinin 2-3 katı
Hibrit yaklaşım önerilir

Pragmatik: ITAR olmayan iş için E5, ITAR için ayrı izole sistem.

AI Dönüşümü: Microsoft 365 E7 (Frontier Suite)

Copilot Dahili — 2026

E5'in üzerine Microsoft 365 Copilot dahili (standalone $30/ay) + Security Copilot (AI-yönetilen SOC) + Purview AI Hub + Governance + Copilot data residency ekler. Kurum çapında AI yaygınlaştırmak isteyen 1000+ kullanıcılı kurumlar için.

Yıllık eşdeğer: $99/ay

E5'ten fark: +$42/ay

E5+Copilot ayrı: $87/ay (E7 bundle: $99)

E7 + KOBİ→Enterprise Yolculuğu

Tier ve Proje Yapınıza Göre Özel Fiyat (NDA ile)

MSY 317-2 Uyum Matrisi — Microsoft 365 Karşılığı

Mevzuat Çerçevesi

MSY 317-2 (Milli Savunma Sanayii Güvenlik Yönetmeliği) savunma sanayinin omurgasıdır. Bilgi varlık envanteri, personel güvenlik kontrolleri, erişim yetkilendirme (need-to-know), çok faktörlü kimlik doğrulama, veri sınıflandırma, DLP, şifreleme, anahtar yönetimi, erişim logları, anormal aktivite tespiti, olay müdahale, BCP, tedarikçi denetimi, dijital iş istasyonu güvenliği — tüm maddeler denetlenir. Eksik bulunan kontroller projeden çıkarılma sebebidir.

MSY 317-2 Gereği	Microsoft 365 Çözümü
Bilgi varlık envanteri	Microsoft Purview Compliance Manager
Personel güvenlik kontrolleri	Azure AD + Identity Governance
Erişim yetkilendirme (need-to-know)	Conditional Access + RBAC
Çok faktörlü kimlik doğrulama (MFA)	Microsoft Authenticator (zorunlu)
Veri sınıflandırma (4 derece)	Information Protection (Tasnif Dışı/Hizmete Özel/Özel/Gizli)
Veri kaybı önleme (DLP)	DLP (otomatik tespit + bloke)
Şifreleme (depolama + iletim)	BitLocker + TLS 1.2+ + Customer Key
Anahtar yönetimi (BYOK)	Azure Key Vault + Customer Key
Erişim logları (en az 2 yıl)	Audit Log + Long-term Retention (10 yıl add-on)
Anormal aktivite tespiti	Defender for Cloud Apps + UEBA
Olay müdahale (Incident Response)	Defender Incident Response + Sentinel
İş sürekliliği ve felaket kurtarma	%99.9 SLA + coğrafi yedekleme
Tedarikçi denetimi	Microsoft Trust Center + 3rd party audit
Dijital iş istasyonu güvenliği	Defender for Endpoint + Intune
Mobil cihaz yönetimi	Intune + App Protection
E-posta güvenliği	Defender for Office 365 P2
Web güvenliği	Defender for Cloud Apps
Yetkisiz uygulama tespiti	Cloud App Discovery
Düzenli güvenlik eğitimi	Attack Simulation Training

Önemli — Bütünleşik Yaklaşım: MSY 317-2 sadece teknolojiyi değil, prosedürleri ve insan kontrollerini de kapsar. Microsoft 365 teknolojik kontrolleri sağlar; yönetmelik fiziksel güvenlik, personel kontrolleri ve organizasyonel prosedürler için ayrıca çalışma gerektirir. Detaylı: MSY 317-2 Microsoft 365 Uyum Rehberi.

Gizlilik Dereceleri ile Information Protection Eşleştirmesi

Türkiye milli gizlilik dereceleri ve NATO eşdeğerlerinin Microsoft 365 etiketleme sistemine eşlenmesi:

Türk Derecesi	NATO Eşdeğeri	Microsoft 365 Etiketi	Erişim Kontrolü
Tasnif Dışı	Unclassified	"Public" veya "Internal"	Genel proje üyesi
Hizmete Özel	Restricted (NR)	"Confidential — Limited Access"	Onaylı proje üyesi
Özel	Confidential (NC)	"Confidential — Strictly Confidential"	Need-to-know + KGB onayı
Gizli	Secret (NS)	Standart M365 yetersiz — özel altyapı + GCC High değerlendirmesi	Sınırlı, özel onay
Çok Gizli	Top Secret (NTS)	Standart M365 kullanılamaz — air-gapped sistem zorunlu	Çok sınırlı

Önemli Sınır

Gizli ve üzeri seviye veriler standart Microsoft 365'te (commercial) işlenmemelidir. Bu seviye için ayrı izole sistem, fiziksel güvenlik kontrolleri ve GCC High / Sovereign Cloud değerlendirmesi gerekir. Bu sayfa Tasnif Dışı + Hizmete Özel + Özel seviye için pragmatik standart M365 yapılandırmasını anlatır. Üst seviye veri için NDA'lı özel görüşme zorunludur.

Otomatik Etiketleme + Kontroller

Otomatik Etiketleme (P2)

Information Protection P2 makine öğrenmesi ile içeriği analiz eder; "ASELSAN proje numarası", "STM teknik dokümanı", askeri terimler, GTB GTİP kodları gibi kalıplar tespit edilince otomatik gizlilik etiketi uygulanır.

Etikete Bağlı Kontroller

"Hizmete Özel" etiketli belge dış e-postaya eklenmek istendiğinde otomatik bloke. "Özel" etiketli belge USB'ye kopyalanmak istendiğinde uyarı + onay. "Hizmete Özel"+ belgelerin yazıcıya gönderilmesi loglanır.

Etiket Geçişi Kontrolü

Bir belge "Tasnif Dışı"dan "Hizmete Özel"e yükseltilebilir, ancak tersi yetkili onayı gerektirir (downgrade kontrolü). Yanlışlıkla seviye düşürme engellenir.

Erişim Logu

Etiketli belgeyi açan kullanıcının kim olduğu sürekli kayıt altında. Hangi belgeyi, ne zaman, hangi cihazdan açtı, ne yaptı (yazdırma, kopya, ekran görüntüsü denemesi) — tam izlenebilir.

Detaylı kurulum: Savunma Sanayi için Information Protection Rehberi — Etiket yapısı, otomatik etiketleme kuralları, watermark, DRM, erişim logları.

Tesis Güvenlik Belgesi ve Microsoft 365 Yapılandırması

Tesis Güvenlik Belgesi (TGB) sahibi olmak veya almak için bilgi sistemleri tarafında belirli kontroller şarttır:

TGB Maddesi	Microsoft 365 Karşılığı
Erişim kontrol sistemi	Azure AD + Conditional Access
Çok faktörlü kimlik	Microsoft Authenticator zorunlu
Erişim logları (en az 2 yıl)	Audit Log + Retention
Şifrelenmiş depolama	BitLocker + Encryption
Şifrelenmiş iletim	TLS 1.2+
Personel rol bazlı yetki (RBAC)	Azure AD + Privileged Identity Management
Acil yetki devri kontrolü	Just-in-Time Access
Yedekleme ve felaket kurtarma	M365 native + Geo-Redundancy
Olay müdahale	Defender Incident Response
Düzenli güvenlik testi	Attack Simulation Training
Denetim ve raporlama	Compliance Manager + Sentinel

KGB'li Personel Yönetimi: Kişi Güvenlik Belgesi (KGB) olan personel Azure AD'de özel grupta tutulur, gizlilik dereceli verilere erişim sadece bu gruba. KGB iptal olduğunda otomatik yetkiler kaldırılır. Personel çıkışında: anında tüm Microsoft 365 erişimi kaldırılır, mobil cihazlardaki kurumsal veriler uzaktan silinir, e-posta arşivlenir, OneDrive yöneticinin denetimine geçer — Power Automate ile otomatik akış.

Ana Yüklenici-Alt Yüklenici Güvenli Veri Paylaşımı

ASELSAN'ın bir alt yükleniciye CAD modeli paylaştığını düşünün. O modelin yanlış kişiye gitmesi, kopyalanması, sızdırılması projeden çıkarılma anlamına gelir. Microsoft 365 ile 5 katmanlı koruma:

Information Protection ile Korumalı Paylaşım

Ana yüklenici dosyayı "Hizmete Özel — Sadece [Alt Yüklenici A] Erişimi" etiketiyle gönderir. Sadece Alt Yüklenici A'nın belirlenmiş kullanıcıları açabilir. Yazdırma engellenir, ekran görüntüsü engellenir (DRM benzeri). Belirli süreden sonra erişim otomatik kapanır.

Encrypted Email

Hassas teknik dokümanlar için "Encrypt — Do Not Forward" — alıcı dışında kimse içeriğe erişemez. İletme/yönlendirme engellenir. E-posta şifrelemesi uçtan uca, Microsoft mühendisleri bile içeriğe erişemez (Customer Key ile).

Secure External Sharing

SharePoint'te alt yükleniciye site erişimi verirken: belirli kullanıcılar, belirli süre, sadece görüntüleme veya sınırlı düzenleme. Alt yüklenicinin rastgele kişilere paylaşması engellenir. Misafir hesap yetkileri sınırlı.

Watermark

Hassas belgelerde otomatik kullanıcı adı + zaman damgalı görünmez/görünür watermark. Sızıntı olursa kaynak tespit edilir. Forensic analiz ile sızıntı yapan kişi / firma izi bırakır.

Erişim Logu (Audit)

Hangi alt yüklenici, hangi belgeyi, ne zaman, ne kadar süreyle açtı tam izlenebilir. Anormal aktivite (toplu indirme, gece erişimi) otomatik tespit + uyarı. Defender for Cloud Apps ile davranış analizi.

Time-Limited Access

Proje süresi belirli — paylaşım o süre kadar aktif. Proje bitince erişim otomatik kapanır. Compartmentalization ile alt yüklenicinin başka projelere geçişi engellenir.

ITAR ve EAR Uyumu — Yabancı Uyruklu Personel İzolasyonu

ITAR/EAR Çerçevesi

ABD ihracat kontrolü olan ITAR (International Traffic in Arms Regulations) ve EAR (Export Administration Regulations) F-16, helikopter motoru, aviyonik, radar gibi sistemlerin parçalarını üreten Türk firmaları yakından ilgilendirir. ITAR teknik veri (tasarım çizimleri, test sonuçları, üretim süreçleri, performans verileri) "ABD vatandaşı olmayanlarla paylaşılamaz" sınıfına girer.

Information Barriers ile İzolasyon

Türk vatandaşı olmayan personel Azure AD'de "Foreign National" grubuna atanır. ITAR etiketli belgelere otomatik erişim engeli uygulanır. Teams ve SharePoint'te ITAR projeli alanlarla iletişim engellenir. Yanlışlıkla mesaj/belge gönderimi otomatik bloke.

ITAR Etiketli Belge İşaretleme

Information Protection ile "ITAR — US Persons Only" etiketi otomatik uygulanır. Etiketli belge yabancı uyruklu personelin makinesinde açılmaya çalışılınca bloke + uyarı. Belge harici aktarım engelli.

Vatandaşlık Doğrulama

HR sisteminden gelen vatandaşlık bilgisi Azure AD'ye otomatik aktarılır. Vatandaşlık değişimi durumunda gruplar otomatik güncellenir. Vize/ikamet izni ile çalışan yabancı personel ayrı kategoride izlenebilir.

ITAR Audit Log

ITAR etiketli belgelere yapılan tüm erişim, değişiklik, paylaşım girişimi ayrı audit log'da. ABD denetiminde (DDTC) tek panelden erişim. 10+ yıl saklama (ITAR gereği).

Önemli Sınır — GCC High Gerekliliği

ITAR uyumu için standart commercial Microsoft 365 yeterli değildir. Tam uyum için Microsoft 365 GCC High gerekir. GCC High Türkiye'de doğrudan satılmıyor, özel süreç ve ABD merkezli yapılandırma gerektirir. ITAR kapsamında çalışan firmalar için Micro Bilgi GCC High geçiş yol haritası danışmanlığı verir.

Pratik Hibrit Yaklaşım: Çoğu Türk savunma firması için: ITAR olmayan veriler için standart Microsoft 365 E5 + Information Barriers, ITAR verileri için ayrı izole sistem + GCC High. Hibrit yaklaşım gerçekçidir. Detaylı: ITAR Uyumlu Bulut Çözümleri Rehberi.

AS9100 ve AS9145 Havacılık Kalite Standartları

Havacılık alt yüklenicisi olarak çalışan firmalar AS9100 (kalite yönetim sistemi) ve AS9145 (yeni ürün kalifikasyon süreci) standartlarına uyumlu olmalıdır:

AS9100 Doküman Yönetimi

SharePoint'te yapılandırılmış kalite dokümanı mimarisi: Kalite El Kitabı (sürümlü), Süreç Dokümanları (üretim/kontrol/test), İş Talimatları, Form ve Kayıtlar, NCR (Non-Conformance Report), CAPA (Corrective and Preventive Action), Tedarikçi Denetim Kayıtları, İç Denetim Sonuçları.

AS9145 — APQP/PPAP Süreci

Yeni ürün kalifikasyon süreci 5 fazda yönetilir, her faz için onay gereklidir. Power Automate ile faz geçiş akışı, dokümantasyon kontrolü, müşteri (Boeing, Airbus, ASELSAN) onayları dijital imzalı.

FAI (First Article Inspection)

Her yeni ürünün ilk üretim kontrolü AS9102 standartına göre yapılır. SharePoint'te FAI raporu şablonu, ölçü kayıtları, kalibrasyon sertifikaları, test sonuçları yapılandırılmış. Müşteriye 24 saat içinde FAI raporu sunulabilir.

Test ve Kalibrasyon Kayıtları

Her test sonucu, kalibrasyon raporu uzun süre (10-30 yıl) saklanmalıdır. SharePoint Records Management ile yasal saklama otomatik, izlenebilirlik (traceability) tam. Ürün ömür döngüsü boyunca her parça için tüm geçmiş.

NCR ve CAPA Süreci

Uygunsuzluk tespit edildiğinde Power Apps ile NCR formu, kök neden analizi, düzeltici/önleyici eylem planı, sorumlu atama, takvim. Power BI dashboard ile NCR trend, CAPA performans, müşteri memnuniyet metrikleri.

Müşteri Denetim Hazırlığı

Boeing, Airbus, ASELSAN gibi müşteriler periyodik kalite denetimi yapar. Tüm kalite dokümanlarına anlık erişim, denetim hazırlığı haftadan saate iner. AS9100 sertifika yenilemesi için sürekli hazır.

İçeriden Tehdit (Insider Threat) ve Defender Korumaları

Savunma sanayinde dış saldırılardan daha tehlikeli olan, içeriden veri sızdıran personeldir. İşten çıkarılan mühendis, rakibe geçen kişi, mali sıkıntıdaki çalışan en büyük risk. Microsoft 365 E5 ile 4 katmanlı koruma:

Defender for Cloud Apps + UEBA

Kullanıcı davranışı sürekli analiz edilir. Anormal aktivite skorlanır: toplu dosya indirme (1 günde 1000+), gece saatlerinde anormal erişim, USB'ye toplu kopyalama, yurt dışı IP'den giriş, hassas projeye yetki dışı erişim denemesi, e-posta ekiyle büyük veri çıkışı.

Insider Risk Management

Yüksek risk skorlu kullanıcı için otomatik: tüm aktiviteler detaylı loglanır, HR ile entegre uyarı (işten çıkış sürecinde otomatik daha sıkı kontrol), hassas verilere erişim sınırlandırılır, yöneticiye rapor.

Communication Compliance

Personelin Teams ve Outlook iletişimi (politika ile, KVKK uyumlu) AI ile taranır: hassas proje bilgisi dış e-postaya sızdırma, rakip firmalarla iletişim, şüpheli anahtar kelimeler. İK ve Hukuk ile koordineli kullanılmalı.

Personel Çıkış Süreci

İşten ayrılan personel için: anında erişim kaldırma, OneDrive verileri yöneticiye, e-posta arşivleme, mobil cihaz uzaktan silme, son 30 günlük aktivite raporu. Tümü Power Automate ile otomatik. Sızıntı şüphesi varsa retrospektif analiz.

Kritik: Türkiye savunma sanayinde son yıllarda tespit edilen sızıntıların önemli kısmı Insider Risk Management + UEBA tipi kontrollerle önceden yakalanabilirdi. Tier-2 ve üstü firmalar için E5 + Insider Risk standart kabul edilir.

Proje Bazlı İzole Çalışma Alanları (Compartmentalization)

Tipik bir Tier-2 firma 5-15 farklı projede paralel çalışıyor olabilir — biri ASELSAN, diğeri ROKETSAN, başka biri yabancı ortak. Project A'nın verisi Project B'nin ekibinin erişimine açık olmamalıdır (need-to-know prensibi):

SharePoint Compartmentalization

Her proje için izole site: Proje A sadece Proje A ekibi erişir, Proje B sadece Proje B ekibi erişir. Müşterek alan yok (özellikle gizlilikli projelerde). Granular permission, audit log her erişim/değişiklik.

Information Barriers

Proje A ekibinin Proje B ekibiyle Teams üzerinden bile iletişim engellenir. Yanlışlıkla mesaj/belge paylaşımı otomatik bloke. Çoklu Information Barrier politikaları zincirleme uygulanır.

Project Closeout

Proje sonunda compartment kapatılır. Tüm verileri arşive (sürüm korunarak), erişim sıfırlanır, ekip dağıtılır. Audit raporu çıkarılır. ITAR projeleri için ek raporlama (ABD denetim).

Çapraz Proje Personeli

Bir mühendis aynı anda 2 projede çalışıyorsa, her proje için ayrı yetki ve loglama. Hangi projeye hangi zamanda erişti tam izlenebilir. Proje bazlı performans + güvenlik metrikleri.

Konu	Geleneksel Yöntem	Microsoft 365 E5
Doküman güvenliği	Manuel + parola (zayıf)	Information Protection otomatik
Gizlilik etiketleme	Kağıtta damga	Otomatik dijital etiket + kontroller
Ana yüklenici paylaşımı	E-posta + parolu zip	Encrypted sharing + DRM
Personel çıkış	Manuel kontrol	Otomatik akış (Power Automate)
İçeriden tehdit	Kontrolsüz	Insider Risk Management + UEBA
Anormal aktivite	Tespit edilemez	UEBA + AI
MSY uyum	Manuel takip (haftalar)	Compliance Manager dashboard
Tedarikçi denetim hazırlık	Aylar süren hazırlık	Anlık skor takibi
Test/kalibrasyon arşiv	Kağıt + dolap	SharePoint sürümlü 30 yıl
Yabancı personel izolasyonu	Manuel	Information Barriers otomatik
Proje compartmentalization	Klasör izinleri (zayıf)	SharePoint izolasyon + audit
Şifreleme anahtar kontrolü	Yok / Microsoft'ta	Customer Key (BYOK)

30 Günlük Geçiş Süreci — Savunma Sanayi için

1. Hafta

Güvenlik Değerlendirmesi (NDA ile)

Mevcut MSY 317-2 durumu, gizlilik dereceleri envanteri, ITAR/EAR kapsam analizi, Tier seviyesi + müşteri portföyü, personel uyruk + KGB durumu, mevcut bilgi sistemleri envanteri.

2. Hafta

Pilot + Temel Yapılandırma

Mühendislik veya Ar-Ge pilot ekip. E5 lisansları + temel yapılandırma. Information Protection etiketleri kurulumu (4 dereceli). Conditional Access politikaları, MFA zorunlu.

3. Hafta

Tüm Firma + Gelişmiş Güvenlik

Tüm personele lisans, Defender for Endpoint kurulumu, DLP politikaları aktif, Insider Risk Management başlangıç, Information Barriers (yabancı personel izolasyonu), SharePoint proje compartment yapılandırması.

4. Hafta

Compliance + Eğitim

Compliance Manager MSY uyum dashboard, Customer Key + EU Data Boundary yapılandırması, 6 saatlik güvenlik eğitimi (KGB'li personele ek), Attack Simulation Training, denetim hazırlık dokümantasyonu.

Geçiş süresince: Operasyon etkilenmez · Eski sistem 60 gün paralel · Yabancı uyruklu personele kademeli erişim kısıtlama · 7/24 telefon ve WhatsApp destek (NDA ile).

Savunma Sanayi Vaka Çalışmaları (Anonim)

Ankara · 65 Kişilik Tier-2 Aviyonik Alt Yüklenicisi

E5 + Information Protection + Insider Risk Management + Compliance Manager MSY 317-2

Ankara'da 65 kişilik bir Tier-2 aviyonik alt yüklenicisi (ASELSAN ve TUSAŞ'a aviyonik kart üretimi), MSY 317-2 denetiminde "bilgi sistemleri" eksiği bulundu. Gizlilik dereceli belgelerin yönetimi manuel, sızıntı riski yüksekti. E5 + Defender for Endpoint + Information Protection (4 dereceli etiketleme) + Insider Risk Management + Compliance Manager kuruldu.

"MSY 317-2 ilk denetimde 'bilgi sistemleri' notumuz düşüktü. Microsoft 365 E5 ve Compliance Manager ile MSY uyum skoru 6 ayda %95+'a çıktı. ASELSAN'dan ek proje davetı geldi — siber güvenlik kontrolleri seviyemiz fark yarattı. Insider Risk Management ile ayrılan mühendis sızıntı denemesi anında tespit edildi."

%95+MSY uyum skoru

1 yılEk proje davetı süresi

SaatDenetim hazırlık (önce hafta)

İstanbul · 18 Kişilik Tier-3 CNC İşleme Atölyesi

E3 + Defender for Office P2 + Ana Yüklenici Güvenli Paylaşım

İstanbul'da 18 kişilik bir Tier-3 CNC işleme atölyesi (TUSAŞ alt yüklenicisi, helikopter parça üretimi), ana yüklenici ile e-posta + parolu zip karmaşasından Information Protection korumalı paylaşıma geçti. KOBİ ölçeğinde E3 + Defender for Office P2 yeterli oldu.

"TUSAŞ'tan gelen CAD modelleri parolu zip ile geliyordu, parolayı SMS ile alıyorduk — KVKK ve güvenlik açısından zayıf. Information Protection etiketli paylaşıma geçtikten sonra TUSAŞ doğrudan etiketli belge gönderiyor, sadece bizim yetkili 5 kişimiz açabiliyor, yazdırma engelli. Süreç güvenli ve hızlı."

5 kişiYetkili erişim (need-to-know)

%100Paylaşım güvenliği

SıfırParola gönderim ihtiyacı

Eskişehir · 200 Kişilik ITAR Kapsamlı Tier-1 Alt Yüklenici

Hibrit Yaklaşım — Standart E5 + ITAR için Ayrı İzole Sistem + GCC High Yol Haritası

Eskişehir'de 200 kişilik bir Tier-1 alt yüklenici (F-16 parça üretimi, ITAR kapsamı), standart Microsoft 365'in ITAR uyumsuzluğu nedeniyle hibrit yaklaşım benimsedi. ITAR olmayan operasyon (üretim, kalite, idari) standart E5 + Information Barriers, ITAR teknik veri ayrı izole sistem + GCC High geçiş süreci 12 aylık plan.

"ITAR'lı projemiz var, ABD ihracat lisansı (DSP-5) gerekli. Standart M365'te ITAR veri tutamadık. Information Barriers ile yabancı uyruklu 15 mühendisimiz ITAR projelerinden tamamen izole. ITAR teknik veri ayrı sistemde, GCC High geçiş 12 aylık projemiz. Hibrit yaklaşım pragmatik."

15 kişiYabancı personel ITAR izolasyon

12 ayGCC High geçiş projesi

HibritStandart M365 + ITAR ayrı

Savunma Sanayi Firmalarına Sunduğumuz Hizmetler

MSY 317-2 Uyum Yapılandırma

Compliance Manager MSY kontrol noktaları (19+ madde), risk değerlendirmesi, uyum skoru takibi, denetim hazırlığı. Bütünleşik dokümantasyon (teknolojik + organizasyonel).

Information Protection (4 Derece)

Tasnif Dışı/Hizmete Özel/Özel/Gizli etiket yapısı, otomatik etiketleme (P2 ile ML), watermark, DRM, downgrade kontrolü, audit log.

ITAR/EAR Information Barriers

Yabancı uyruklu personel izolasyon, Azure AD Foreign National grupları, ITAR etiketli belge erişim engeli, hibrit yaklaşım danışmanlığı, GCC High geçiş yol haritası.

Insider Risk + Defender Suite

Defender for Endpoint P2, Defender for Cloud Apps + UEBA, Insider Risk Management, Communication Compliance (KVKK uyumlu), Attack Simulation Training.

AS9100 + AS9145 Doküman Yönetimi

SharePoint kalite mimarisi (NCR/CAPA/FAI/PPAP), sürüm kontrolü, onay akışı, müşteri denetim hazırlığı, 30-yıl Records Management.

Compartmentalization + Customer Key

Proje bazlı SharePoint izolasyon, Information Barriers çapraz proje engeli, Customer Key BYOK (Azure Key Vault), EU Data Boundary, Sovereign Cloud değerlendirmesi.

Plan	Fiyat	Kim için?
Microsoft 365 E3	≈ $36.00 / kullanıcı / ay	Tier-3 KOBİ (temel uyum)
E3 + Defender for Office P2	≈ $42-45 / kullanıcı / ay	Tier-3 + gelişmiş phishing koruma
Microsoft 365 E5	≈ $57.00 / kullanıcı / ay	Tier-2 alt yüklenici (standart)
E5 + Defender for Endpoint P2	≈ $57+ ek	Gelişmiş uç nokta koruması
E5 + Microsoft Sentinel (SIEM)	Özel fiyat	Tier-1 ana yüklenici
Customer Key + Sovereign Cloud	Özel fiyat	Şifreleme anahtarı kontrolü
Microsoft 365 GCC High	Özel proje (2-3x maliyet)	ITAR kapsamlı firmalar
Power BI Premium	Özel fiyat	Compliance dashboard, denetim raporları

Sıkça Sorulan Sorular

MSY 317-2 uyumu için Microsoft 365 yeterli mi?

Microsoft 365 E5 + Compliance Manager MSY 317-2'nin bilgi sistemleri tarafındaki kontrollerinin önemli kısmını sağlar (erişim kontrolü, şifreleme, log yönetimi, anomaly detection, DLP). Ancak MSY 317-2 fiziksel güvenlik, personel kontrolleri, prosedürel uyum gibi insan ve süreç boyutlarını da kapsar. Microsoft 365 teknolojik kontrolleri için yeterli; tam uyum için organizasyonel ve fiziki kontroller paralel çalışmalıdır. Detaylı: MSY 317-2 Uyum Rehberi.

Standart Microsoft 365 ile ITAR uyumu sağlanır mı?

Hayır. Standart Microsoft 365 (Commercial) ITAR uyumlu değildir. ITAR teknik veri için Microsoft 365 GCC High gerekir. GCC High Türkiye'de doğrudan satılmaz, ABD merkezli özel süreç gerektirir (6-12 ay). Pragmatik yaklaşım: ITAR olmayan iş için standart M365, ITAR verileri için ayrı izole sistem veya GCC High geçiş. Detaylı: ITAR Uyumlu Bulut Çözümleri.

"Gizli" derecesi belgeyi Microsoft 365'te işleyebilir miyim?

Hayır, önerilmez. Standart Microsoft 365 (Commercial) Tasnif Dışı ve Hizmete Özel veri için yeterli güvenlik kontrolleri sunar. Özel ve üzeri (Gizli, Çok Gizli) veriler için air-gapped sistem, fiziksel güvenlik kontrolleri ve özel kripto donanım gerekir. Microsoft 365 bu seviye veri için tek başına yeterli değildir. "Özel" seviyede sınır durumdur ve özel mimari gerektirir.

Tier-3 KOBİ için E3 yeterli mi yoksa direkt E5 mi gerekli?

Tier-3 KOBİ'de tipik veri seviyesi Tasnif Dışı + sınırlı Hizmete Özel. Bu durumda E3 + Defender for Office P2 başlangıç için yeterli. Ana yüklenici özel kontrol talep ederse veya MSY denetimine girilirse E5'e geçiş düşünülebilir. Pratik tavsiye: E3 ile başla, ihtiyaç olduğunda E5'e ölçeklen.

Yabancı uyruklu personelin ITAR verisine erişimi nasıl engellenir?

Microsoft 365 Information Barriers ile yabancı uyruklu personel Azure AD'de "Foreign National" grubuna atanır, ITAR etiketli belgelere erişimi otomatik engellenir, ITAR projeli Teams/SharePoint alanlarıyla iletişim engellenir. Yanlışlıkla mesaj/belge gönderimi otomatik bloke edilir. Detaylı: Information Protection Rehberi.

Ana yüklenicimle (ASELSAN, ROKETSAN) güvenli veri paylaşımı nasıl?

Information Protection etiketleri ile ana yüklenici belgeyi 'Hizmete Özel — Sadece [Sizin Firmanız] Erişimi' olarak işaretler. Sadece sizin belirlenmiş kullanıcılarınız açabilir, yazdırma engellenir, ekran görüntüsü engellenir, belirli süre sonra erişim otomatik kapanır. Watermark ile sızıntı durumunda kaynak tespit edilir.

Ana yüklenicilerin tedarikçi denetimine (cyber audit) nasıl hazırlanırım?

Microsoft 365 Compliance Manager ile sürekli uyum skoru takibi, MSY 317-2 + ISO 27001 + AS9100 kontrol noktaları tek panelden. Denetim öncesi haftalık hazırlık yerine anlık skor görme, eksik kontrolleri proaktif kapatma. Geçmiş denetim raporları, eylem maddeleri, yapılan iyileştirmeler izlenebilir tutulur.

İçeriden tehdit (insider threat) tespiti gerçekten çalışır mı?

Evet. Microsoft 365 E5'in Insider Risk Management + Defender for Cloud Apps + UEBA kombinasyonu kullanıcı davranışını sürekli analiz eder. Anormal aktivite (toplu indirme, gece erişimi, USB kopyalama, yurt dışı IP, hassas projeye yetki dışı erişim denemesi) anlık skorlanır, yüksek risk durumunda yöneticiye uyarı + otomatik daha sıkı izleme.

AS9100 ve AS9145 doküman yönetimi için yeterli mi?

Evet. SharePoint'te yapılandırılmış kalite dokümanı mimarisi, sürüm kontrolü, onay akışı, değişiklik yönetimi, NCR/CAPA süreçleri, FAI raporları, kalibrasyon kayıtları. Müşteri denetiminde tüm dokümanlara anlık erişim, AS9100 sertifika yenilemesi için hazırlık dakikalara iner.

Customer Key ile şifreleme anahtarımı kendim yönetebilir miyim?

Evet. Microsoft 365 E5 + Customer Key (BYOK — Bring Your Own Key) ile şifreleme anahtarınızı Azure Key Vault'ta veya kendi donanımsal güvenlik modülünüzde (HSM) tutabilirsiniz. Microsoft veriyi şifreler ama şifre çözme anahtarı sizdedir. Microsoft mühendisleri bile veriye erişemez. MSY 317-2 + ISO 27001 ileri seviye uyum için kritik.

Savunma Sanayi için Microsoft 365: MSY 317-2 Uyumlu Altyapı, Ana Yüklenici-Alt Yüklenici Güvenli Veri Paylaşımı