Kamu Kurumlarında Bilgi Güvenliği Denetimi: İç Denetçilerin Kullanımı için LLM Destekli Bir Eğitim Modülü Önerisi

Abstract

Kamu kurumlarında görev yapan iç denetçiler, mesleki yeterliliklerini genel yetenek, muhasebe, mevzuat ve iç kontrol alanlarındaki eğitimlerle sağlamaktadır. ISO 27001 sertifikasyonuna sahip olmalarına karşın, mevcut eğitim içeriğinin bilgi teknolojileri ve siber güvenlik konularında gereken teknik derinlikten yoksun olduğu değerlendirilmiştir. Bilgi ve iletişim güvenliği denetimlerinin yalnızca standart ve prosedür uyumluluğundan ibaret olmaması, aynı zamanda teknik altyapı, yazılım güvenliği ve ağ sistemleri gibi kritik bileşenleri de kapsaması gerekliliği, denetçilerin bu alanlarda daha kapsamlı bilgi ve becerilere sahip olmasını gerekli kılmaktadır. Bu durum, denetçilerin teknik uzmanlarla etkin iletişim kurma, kritik sorular yöneltme ve aldıkları yanıtların geçerliliğini değerlendirme kabiliyetlerini sınırlayabilmektedir. Bu çalışma, kamu iç denetçilerinin bilgi güvenliği denetimlerindeki teknik yeterliliklerini artıracak yenilikçi bir eğitim modülü geliştirmeyi amaçlamaktadır. Bu amaç doğrultusunda, özgün bir metodoloji benimsenmiştir: Bilgi güvenliği denetimi için gerekli teknik konuları ve öğrenim hedeflerini içeren bir eğitim içeriği taslağı, Büyük Dil Modelleri (LLM) kullanılarak oluşturulmuş, devamında ise, LLM’ler tarafından üretilen bu taslak içerik, alanında yetkin ve ISO 27001 sertifikasyonuna sahip kamu iç denetçilerinden oluşan bir uzman grubunun görüşüne sunulmuştur. Çalışmanın sonucunda, yapay zekâ ve insan uzmanlığının sentezine dayalı, kamu iç denetçilerinin ihtiyaçlarına özel olarak tasarlanmış, teknik odaklı bir bilgi güvenliği denetimi eğitim modülü önerisi sunulmuştur. Bu programın, kamu sektöründeki bilgi güvenliği denetimlerinin kalitesini, derinliğini ve katma değerini artırarak kurumların siber dayanıklılığına önemli bir katkı sağlaması hedeflenmektedir.

Keywords

• İç denetim
• Bilgi güvenliği
• Yapay zekâ
• Büyük Dil Modeli

Information Security Auditing in Public Institutions: A Proposed LLM-Supported Training Module for Internal Auditors

Abstract

Internal auditors within public institutions acquire their professional competencies through training in general skills, accounting, legislation, and internal control. Despite holding ISO 27001 certification, the current content of the training often lacks technical depth in information technology and cybersecurity. The requirement for information and communication security audits to address not only compliance with standards and procedures but also critical aspects such as technical infrastructure, software security, and network systems highlight the need for auditors to develop broader expertise in these domains. This deficiency may impair auditors' ability to effectively communicate with technical specialists, formulate pertinent technical inquiries, and accurately assess the validity of responses received. This research aims to develop an innovative training module to enhance the technical competencies of public internal auditors in information security audits. A unique methodology was employed: initially, a draft training module outlining essential technical topics and learning objectives for information security auditing was generated using Large Language Models (LLMs). Subsequently, this LLM-produced content was rigorously reviewed and validated by a panel of experienced and ISO 27001-certified public internal auditors. Finally, a proposal was presented for a technically oriented information security audit training module, designed specifically to meet the needs of public internal auditors and based on the synthesis of artificial intelligence and human expertise. The program is expected to make a significant contribution to the cyber resilience of public institutions by enhancing the quality, depth, and added value of information security audits in the public sector.

Keywords

• Internal audit
• Information security
• Artificial intelligence
• Large Language Model

References

1. Ağdeniz, Ş. (2021). Bilgi ve iletişim güvenliği denetiminde kamu iç denetçilerinin rolü ve yetkinliklerine ilişkin bir araştırma. Alanya Akademik Bakış, 5(2), 525-545. https://doi.org/10.29023/alanyaakademik.869215
2. Akman-Dömbekci, H. & Erişen, M. A. (2022). Nitel araştırmalarda görüşme tekniği. Anadolu Üniversitesi Sosyal Bilimler Dergisi, 22[Özel Sayı 2], 141-160. https://doi.org/10.18037/ausbd.1227330
3. Aksoy, C. (2024). İşletmelerin dijital dönüşümü ve dijital liderlik yaklaşımı. Kalite ve Strateji Yönetimi Dergisi, 4(1), 1-29. https://doi.org/10.56682/ksydergi.1364569
4. Alasadi, E. A. & Baiz, C. R. (2023). Generative AI in education and research: Opportunities, concerns, and solutions. Journal of Chemical Education, 100(8), 2965-2971. https://doi.org/10.1021/acs.jchemed.3c00323
5. Arslan, Y. & Özbilger, H. İ. (2022). Ulusal mevzuat perspektifinde bilgi işlem birimlerinin iç denetiminde bir kontrol listesi önerisi. Denetişim, 26[Ek Sayı], 1-12.
6. Aslan, S. (2025). Eylem araştırması ile matematik öğretmen adaylarının dönüşümü: Klinik danışmanlık modeliyle ders planı hazırlama ve mesleki yeterlilik geliştirme. Türk Eğitim Bilimleri Dergisi, 23(1), 173-224. https://doi.org/10.37217/tebd.1601026
7. Aydoğdu, Y. (2021). Kamu idaresinde kişisel verilerin korunması. Selçuk Üniversitesi Hukuk Fakültesi Dergisi, 29(1), 263-293. https://doi.org/10.15337/suhfd.808608
8. Baykara, S. T. (2016). OECD ülkelerinde iç denetim. Denetişim(14), 42-58.

9. Bilgi ve İletişim Güvenliği Tedbirleri Konulu Cumhurbaşkanlığı Genelgesi. (2019). https://cbddo.gov.tr/mevzuat/2019-12-sayili-bilgi-guvenligi-tedbirleri-cumhurbaskanligi-genelgesi/ sayfasından erişilmiştir.
10. Boduroğlu, E. & Yigiter, M. S. (2024). Öğretmen yapımı testler için yapay zekâ destekli geribildirim. Journal of Applied Measurement and Assessment, 1(2), 50-58.
11. Cain, W. (2024). Prompting change: Exploring prompt engineering in large language model AI and its potential to transform education. TechTrends, 68(1), 47-57. https://doi.org/10.1007/s11528-023-00896-0
12. Chang, Y., Wang, X., Wang, J., Wu, Y., Yang, L., Zhu, K., ..., & Xie, X. (2024). A survey on evaluation of large language models. Acm Transactions on Intelligent Systems and Technology, 15(3), 1-45. https://doi.org/10.1145/3641289
13. Chen, X., Lin, X., Zou, D., Xie, H., & Wang, F. L. (2025). Understanding influential factors for college instructors’ adoption of LLM-based applications using analytic hierarchy process. Journal of Computers in Education. https://doi.org/10.1007/s40692-025-00363-0
14. Cobos, E. V. & Cakir, S. (2024). A Review of the Economic Costs of Cyber Incidents [Advisory Services & Analytics]. World Bank Group. https://policycommons.net/artifacts/16847422/a-review-of-the-economic-costs-of-cyber-incidents-english/17732306/ sayfasından erişilmiştir.
15. Coşkun, F. & Gülleroğlu, H. D. (2021). Geçmişten günümüze yapay zekanın gelişimi ve eğitim alanında kullanılması. Ankara Üniversitesi Eğitim Bilimleri Fakültesi Dergisi, 54(3), 947-966. https://doi.org/10.30964/auebfd.916220
16. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi. (2021). Bilgi ve İletişim Güvenliği Denetim Rehberi. https://cbddo.gov.tr/SharedFolderServer/Projeler/File/BG_Denetim_Rehberi.pdf sayfasından erişilmiştir.
17. Çetin, P. & Onan, A. (2025). Büyük dil modellerinin tıp eğitimde soru yanıtlama sistemlerinde kullanımı: potansiyel, zorluklar ve gelecek yönelimleri. Fen, Matematik ve Bilgisayar Eğitiminde Yenilikler Dergisi, 1(1), Article 1.
18. Çetinkaya, M. (2008). Kurumlarda Bilgi Güvenliği Yönetim Sistemi’nin uygulanması. Akademik Bilişim 2008 Konferansı’nda sunulmuş bildiri, Çanakkale Onsekiz Mart Üniversitesi, Çanakkale. https://ab.org.tr/ab08/kitap/Bildiriler/MCetinkaya_AB08.pdf sayfasından erişilmiştir.
19. Çil, A. & Demirci, M. (2024). Ağ adli bilişimi süreç gereksinimlerinin belirlenmesi ve yazılım tanımlı ağlarda incelenmesi. Politeknik Dergisi, 27(2), 665-679. https://doi.org/10.2339/politeknik.1141107
20. Dam, S. K., Hong, C. S., Qiao, Y., & Zhang, C. (2024). A complete survey on LLM-based AI chatbots (arXiv:2406.16937). arXiv. https://doi.org/10.48550/arXiv.2406.16937 Daricili, A. B. & Çelik, S. (2021). National security 2.0: The cyber security of critical ınfrastructure. National Security, 26(2), 259-276.
21. Dündar, R., Yeşilyurt, S., Demir, R. Z., & Yeşilyurt, A. G. (2025). Üretken yapay zekâ araçları ile sosyal bilgiler öğretimi: Avantajlar ve dezavantajlar. Disiplinlerarası Eğitim Araştırmaları Dergisi, 9(20), 1-16. https://doi.org/10.57135/jier.1594253
22. Ellis, A. R. & Slade, E. (2023). A new era of learning: Considerations for ChatGPT as a tool to enhance statistics and data science education. Journal of Statistics and Data Science Education, 31(2), 128-133. https://doi.org/10.1080/26939169.2023.2223609
23. ESY. (2005). İç Denetçi Adayları Belirleme, Eğitim ve Sertifika Yönetmeliği. https://ms.hmb.gov.tr/uploads/2019/09/icdenegisinseryon.pdf#page=1.00&gsr=0 sayfasından erişilmiştir.
24. Fındıklı, S. & Saygın, E. P. (2023). Nitel araştırmalarda araştırmacının rolü ve araştırmacı günlükleri. Tujom, 8(2), 64-74. https://doi.org/10.30685/tujom.v8i2.184
25. Güdek, B. (2023). Kamu sektöründe etik yönetime ilişkin politikaların uygulanması: KVKK ve veri etiği. Politik Ekonomik Kuram, 7(2), 237-251. https://doi.org/10.30586/pek.1325605
26. Hatipoğlu, C. & Tunacan, T. (2021). Türkiye’de siber saldırı ve tespit yöntemleri: Bir literatür taraması. Bilecik Şeyh Edebali Üniversitesi Fen Bilimleri Dergisi, 8(1), 430-445. https://doi.org/10.35193/bseufbd.838732
27. Hazine ve Maliye Bakanlığı. (2022). 2022 İç Denetçi Aday Belirleme Sınavı İlanı ve Başvuru Kılavuzu—T.C. Hazine ve Maliye Bakanlığı. https://www.hmb.gov.tr/duyuru/2022-ic-denetci-aday-belirleme-sinavi-ilani sayfasından erişilmiştir.
28. Hu, B., Zhu, J., Pei, Y., & Gu, X. (2025). Exploring the potential of LLM to enhance teaching plans through teaching simulation. Npj Science of Learning, 10(1), 1-12. https://doi.org/10.1038/s41539-025-00300-x
29. İç Denetçi Adayları Belirleme, Eğitim ve Sertifika Yönetmeliği. (2005). https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=9510&MevzuatTur=7&MevzuatTertip=5 sayfasından erişilmiştir.
30. İç Denetçilerin Çalışma Usul ve Esasları Hakkında Yönetmelik. (2006). https://mevzuat.gov.tr/MevzuatMetin/21.5.200610654.pdf sayfasından erişilmiştir.
31. Kamalov, F., Santandreu-Calonge, D., & Gurrib, I. (2023). New era of artificial intelligence in education: Towards a sustainable multifaceted revolution. Sustainability, 15(16), 12451. https://doi.org/10.3390/su151612451
32. Kamu Malî Yönetimi ve Kontrol Kanunu. (2003). https://www.mevzuat.gov.tr/mevzuat?MevzuatNo= 5018&MevzuatTur=1&MevzuatTertip=5 sayfasından erişilmiştir.
33. Kestane, A. & Kurt, G. (2024). Bulut güvenlik denetimi: Bulut siber güvenlik uygulamalarında iç denetim. Ömer Halisdemir Üniversitesi İktisadi ve İdari Bilimler Fakültesi Dergisi, 17(3), 667-690. https://doi.org/10.25287/ohuiibf.1482734
34. KIDS. (2017). Kamu İç Denetim Standartları. https://ms.hmb.gov.tr/uploads/2019/09/kamu_ic_denetim_ standartlari.pdf sayfasından erişilmiştir.
35. Kim, J. K., Chua, M., Rickard, M., & Lorenzo, A. (2023). ChatGPT and Large Language Model (LLM) chatbots: The current state of acceptability and a proposal for guidelines on utilization in academic medicine. Journal of Pediatric Urology, 19(5), 598-604. https://doi.org/10.1016/j.jpurol.2023.05.018
36. Köseoğlu, İ. (2024). Türk kamu yönetiminde iç denetimin gelişimi üzerine bir inceleme. Denetişim(30), 65-81. https://doi.org/10.58348/denetisim.1455190
37. Lee, D., Kim, D., Loeser, M., & Seo, K. (2025). How large language models are transforming teachers’ assessment of student competency: A case study on LLM-based report writing. 2025 International Conference on Electronics, Information, and Communication (ICEIC) içinde (s. 1-4). https://doi.org/10.1109/iceic64972.2025.10879736
38. Lundgren, B. & Möller, N. (2019). Defining information security. Science and Engineering Ethics, 25(2), 419-441. https://doi.org/10.1007/s11948-017-9992-1
39. Maric, S., Maric, S., & Maric, L. (2025). Chat-GPT: An AI based educational revolution (arXiv:2503.04758; Versiyon 2). arXiv. https://doi.org/10.48550/arXiv.2503.04758
40. Matalka, M. A., Badir, R., Ahmad, A. Y. A. B., Al-Said, K., Nassar, H. T. I., Alzoubi, S., & Alzoubi, M. (2024). The adoption of ChatGPT marks the beginning of a new era in educational platforms. International Journal of Data and Network Science, 8(3), 1941-1946. https://doi.org/10.5267/j.ijdns.2024.1.019
41. Meissner, R., Pögelt, A., Ihsberner, K., Grüttmüller, M., Tornack, S., Thor, A., Pengel, N., Wollersheim, H.-W., & Hardt, W. (2024). LLM-generated competence-based e-assessment items for higher education mathematics: Methodology and evaluation. Frontiers in Education, 9, 1-13. https://doi.org/10.3389/feduc.2024.1427502
42. Mills, G. E. (2000). Action research: A guide for the teacher researcher. Pearson.
43. Özdemir, A. & Uluyol, Ç. (2021). Kamu kurum ve kuruluşlarında bilgi güvenliği farkındalığı. Türkiye Sosyal Araştırmalar Dergisi, 25(3), 649-666. https://doi.org/10.20296/tsadergisi.815635
44. Özdemir, F. S., Bengü, H., & Turan, E. (2024). Artificial intelligence in accounting education: Identifying learning styles and assessing individual differences. Niğde Ömer Halisdemir Üniversitesi Sosyal Bilimler Enstitüsü Dergisi, 6(2), 417-436. https://doi.org/10.56574/nohusosbil.1604719
45. Pornprasit, C. & Tantithamthavorn, C. (2024). Fine-tuning and prompt engineering for large language models-based code review automation. Information and Software Technology, 175, 107523. https://doi.org/10.1016/j.infsof.2024.107523
46. Qu, Z., Yin, L., Yu, Z., Wang, W., & Zhang, X. (2024). CourseGPT-zh: An educational large language model based on knowledge distillation incorporating prompt optimization (arXiv:2405.04781). arXiv. https://doi.org/10.48550/arXiv.2405.04781
47. Razafinirina, M. A., Dimbisoa, W. G., & Mahatody, T. (2024). Pedagogical alignment of Large Language Models (LLM) for personalized learning: A survey, trends and challenges. Journal of Intelligent Learning Systems and Applications, 16(04), 448-480. https://doi.org/10.4236/jilsa.2024.164023
48. Sagor, R. (2000). Guiding school improvement with action research. ASCD.
49. Sallam, M. (2023). ChatGPT utility in healthcare education, research, and practice: Systematic review on the promising perspectives and valid concerns. Healthcare, 11(6), 1-20. https://doi.org/10.3390/healthcare11060887
50. Salloum, S. A. (2024). AI perils in education: Exploring ethical concerns. A. Al-Marzouqi, S. A. Salloum, M. Al-Saidat, A. Aburayya, & B. Gupta (Ed.), Artificial intelligence in education: The power and dangers of ChatGPT in the classroom (c. 144) içinde (s. 669-675). Springer, Cham. https://doi.org/10.1007/978-3-031-52280-2_43
51. Selimoğlu, S. K. & Saldı, M. H. (2022). Türk bankacılık sektöründe iç denetim yoluyla siber güvenlik yönetişimi. İşletme Akademisi Dergisi, 3(2), 161-187.
52. Shandler, R. & Gomez, M. A. (2023). The hidden threat of cyber-attacks – undermining public confidence in government. Journal of Information Technology & Politics, 20(4), 359-374. https://doi.org/10.1080/19331681.2022.2112796
53. Shypula, A., Li, S., Zhang, B., Padmakumar, V., Yin, K., & Bastani, O. (2025). Evaluating the diversity and quality of LLM generated content (Versiyon 1). arXiv. https://doi.org/10.48550/ARXIV.2504.12522
54. Stamp, M. (2011). Information security: Principles and practice. John Wiley & Sons.
55. Tan, K., Yao, J., Pang, T., Fan, C., & Song, Y. (2025). ELF: Educational LLM framework of improving and evaluating AI generated content for classroom teaching. Journal of Data and Information Quality, 17(3), 1-23. https://doi.org/10.1145/3712065
56. Tekerek, M. (2008). Bilgi güvenliği yönetimi. KSÜ Doğa Bilimleri Dergisi, 11(1), Article 1.
57. Tezcan, Ö., Ada, S., & Baysal, Z. N. (2016). Eğitim alanında eylem araştırmaları. Kocaeli Üniversitesi Sosyal Bilimler Dergisi, 32, Article 32.
58. Tunçbilek, M. (2024). 2022 yılında yaşanan gelişmeler doğrultusunda bilgi güvenliğinde risk yönetiminin artan önemine ilişkin bir değerlendirme. Bilgi ve İletişim Teknolojileri Dergisi, 6(1), 36-56. https://doi.org/10.53694/bited.1282138
59. Uslu, H. (2023). Dijital dönüşüm ve kamu hizmetleri yönetimde yenilikçi yaklaşımlar ve zorluklar. International Journal of Political Studies, 17(1), 453-475. https://doi.org/10.25272/icps.1354693
60. Ünlü, A. M. & Çakmak, T. (2023). Kamu sektöründe kurumlar arasında bilgi paylaşımı: Türkiye’deki politika ve yasal düzenlemelere yönelik bir değerlendirme. Bilgi Yönetimi, 6(1), 1-20. https://doi.org/10.33721/by.1251635
61. Von Solms, R. & Van Niekerk, J. (2013). From information security to cyber security. Computers & Security, 38, 97-102. https://doi.org/10.1016/j.cose.2013.04.004
62. Wen, Q., Liang, J., Sierra, C., Luckin, R., Tong, R., Liu, Z., …, & Tang, J. (2024). AI for Education (AI4EDU): Advancing personalized education with LLM and adaptive learning. Proceedings of the 30th ACM SIGKDD Conference on Knowledge Discovery and Data Mining içinde (s. 6743-6744). Association for Computing Machinery. https://doi.org/10.1145/3637528.3671498
63. Wu, Z., Peng, R., Ito, T., & Xiao, C. (2025). LLM-based social simulations require a boundary (Versiyon 1). arXiv. https://doi.org/10.48550/ARXIV.2506.19806
64. Yan, L., Sha, L., Zhao, L., Li, Y., Martinez‐Maldonado, R., Chen, G., …, & Gašević, D. (2024). Practical and ethical challenges of large language models in education: A systematic scoping review. British Journal of Educational Technology, 55(1), 90-112. https://doi.org/10.1111/bjet.13370
65. Yao, Z., Aminabadi, R. Y., Ruwase, O., Rajbhandari, S., Wu, X., Awan, A. A., …, & He, Y. (2023). DeepSpeed-Chat: Easy, fast and affordable RLHF training of ChatGPT-like models at all scales (Versiyon 1). arXiv. https://doi.org/10.48550/ARXIV.2308.01320
66. Yıldırım, A. & Şimşek, H. (2013). Sosyal bilimlerde nitel araştırma yöntemleri. Seçkin.
67. Zastudil, C., Rogalska, M., Kapp, C., Vaughn, J., & MacNeil, S. (2023). Generative AI in computing education: Perspectives of students and instructors. 2023 IEEE Frontiers in Education Conference (FIE) içinde (s. 1-9). College Station. https://doi.org/10.1109/fie58773.2023.10343467
68. Zhang, H., Chen, J., Jiang, F., Yu, F., Chen, Z., Li, J., …, & Li, H. (2023). HuatuoGPT, towards Taming Language Model to be a doctor (Versiyon 1). arXiv. https://doi.org/10.48550/ARXIV.2305.15075
69. Zhang, W., Xu, Z., & Cai, H. (2024). Defining boundaries: A spectrum of task feasibility for Large Language Models (Versiyon 2). arXiv. https://doi.org/10.48550/ARXIV.2408.05873