Kamu Kurumlarında Bilgi Güvenliği Denetimi: İç Denetçilerin Kullanımı için LLM Destekli Bir Eğitim Modülü Önerisi

Yıl 2025, Cilt: 23 Sayı: 3, 2211 - 2250

Onur Ceran

https://doi.org/10.37217/tebd.1762043

Öz

Kamu kurumlarında görev yapan iç denetçiler, mesleki yeterliliklerini genel yetenek, muhasebe, mevzuat ve iç kontrol alanlarındaki eğitimlerle sağlamaktadır. ISO 27001 sertifikasyonuna sahip olmalarına karşın, mevcut eğitim içeriğinin bilgi teknolojileri ve siber güvenlik konularında gereken teknik derinlikten yoksun olduğu değerlendirilmiştir. Bilgi ve iletişim güvenliği denetimlerinin yalnızca standart ve prosedür uyumluluğundan ibaret olmaması, aynı zamanda teknik altyapı, yazılım güvenliği ve ağ sistemleri gibi kritik bileşenleri de kapsaması gerekliliği, denetçilerin bu alanlarda daha kapsamlı bilgi ve becerilere sahip olmasını gerekli kılmaktadır. Bu durum, denetçilerin teknik uzmanlarla etkin iletişim kurma, kritik sorular yöneltme ve aldıkları yanıtların geçerliliğini değerlendirme kabiliyetlerini sınırlayabilmektedir. Bu çalışma, kamu iç denetçilerinin bilgi güvenliği denetimlerindeki teknik yeterliliklerini artıracak yenilikçi bir eğitim modülü geliştirmeyi amaçlamaktadır. Bu amaç doğrultusunda, özgün bir metodoloji benimsenmiştir: Bilgi güvenliği denetimi için gerekli teknik konuları ve öğrenim hedeflerini içeren bir eğitim içeriği taslağı, Büyük Dil Modelleri (LLM) kullanılarak oluşturulmuş, devamında ise, LLM’ler tarafından üretilen bu taslak içerik, alanında yetkin ve ISO 27001 sertifikasyonuna sahip kamu iç denetçilerinden oluşan bir uzman grubunun görüşüne sunulmuştur. Çalışmanın sonucunda, yapay zekâ ve insan uzmanlığının sentezine dayalı, kamu iç denetçilerinin ihtiyaçlarına özel olarak tasarlanmış, teknik odaklı bir bilgi güvenliği denetimi eğitim modülü önerisi sunulmuştur. Bu programın, kamu sektöründeki bilgi güvenliği denetimlerinin kalitesini, derinliğini ve katma değerini artırarak kurumların siber dayanıklılığına önemli bir katkı sağlaması hedeflenmektedir.

Anahtar Kelimeler

İç denetim , Bilgi güvenliği , Yapay zekâ , Büyük Dil Modeli

Information Security Auditing in Public Institutions: A Proposed LLM-Supported Training Module for Internal Auditors

Öz

Internal auditors within public institutions acquire their professional competencies through training in general skills, accounting, legislation, and internal control. Despite holding ISO 27001 certification, the current content of the training often lacks technical depth in information technology and cybersecurity. The requirement for information and communication security audits to address not only compliance with standards and procedures but also critical aspects such as technical infrastructure, software security, and network systems highlight the need for auditors to develop broader expertise in these domains. This deficiency may impair auditors' ability to effectively communicate with technical specialists, formulate pertinent technical inquiries, and accurately assess the validity of responses received. This research aims to develop an innovative training module to enhance the technical competencies of public internal auditors in information security audits. A unique methodology was employed: initially, a draft training module outlining essential technical topics and learning objectives for information security auditing was generated using Large Language Models (LLMs). Subsequently, this LLM-produced content was rigorously reviewed and validated by a panel of experienced and ISO 27001-certified public internal auditors. Finally, a proposal was presented for a technically oriented information security audit training module, designed specifically to meet the needs of public internal auditors and based on the synthesis of artificial intelligence and human expertise. The program is expected to make a significant contribution to the cyber resilience of public institutions by enhancing the quality, depth, and added value of information security audits in the public sector.

Anahtar Kelimeler

Internal audit , Information security , Artificial intelligence , Large Language Model

Kaynakça

• Ağdeniz, Ş. (2021). Bilgi ve iletişim güvenliği denetiminde kamu iç denetçilerinin rolü ve yetkinliklerine ilişkin bir araştırma. Alanya Akademik Bakış, 5(2), 525-545. https://doi.org/10.29023/alanyaakademik.869215
• Akman-Dömbekci, H. & Erişen, M. A. (2022). Nitel araştırmalarda görüşme tekniği. Anadolu Üniversitesi Sosyal Bilimler Dergisi, 22[Özel Sayı 2], 141-160. https://doi.org/10.18037/ausbd.1227330
• Aksoy, C. (2024). İşletmelerin dijital dönüşümü ve dijital liderlik yaklaşımı. Kalite ve Strateji Yönetimi Dergisi, 4(1), 1-29. https://doi.org/10.56682/ksydergi.1364569
• Alasadi, E. A. & Baiz, C. R. (2023). Generative AI in education and research: Opportunities, concerns, and solutions. Journal of Chemical Education, 100(8), 2965-2971. https://doi.org/10.1021/acs.jchemed.3c00323
• Arslan, Y. & Özbilger, H. İ. (2022). Ulusal mevzuat perspektifinde bilgi işlem birimlerinin iç denetiminde bir kontrol listesi önerisi. Denetişim, 26[Ek Sayı], 1-12.
• Aslan, S. (2025). Eylem araştırması ile matematik öğretmen adaylarının dönüşümü: Klinik danışmanlık modeliyle ders planı hazırlama ve mesleki yeterlilik geliştirme. Türk Eğitim Bilimleri Dergisi, 23(1), 173-224. https://doi.org/10.37217/tebd.1601026
• Aydoğdu, Y. (2021). Kamu idaresinde kişisel verilerin korunması. Selçuk Üniversitesi Hukuk Fakültesi Dergisi, 29(1), 263-293. https://doi.org/10.15337/suhfd.808608
• Baykara, S. T. (2016). OECD ülkelerinde iç denetim. Denetişim(14), 42-58.
• Bilgi ve İletişim Güvenliği Tedbirleri Konulu Cumhurbaşkanlığı Genelgesi. (2019). https://cbddo.gov.tr/mevzuat/2019-12-sayili-bilgi-guvenligi-tedbirleri-cumhurbaskanligi-genelgesi/ sayfasından erişilmiştir.
• Boduroğlu, E. & Yigiter, M. S. (2024). Öğretmen yapımı testler için yapay zekâ destekli geribildirim. Journal of Applied Measurement and Assessment, 1(2), 50-58.
• Cain, W. (2024). Prompting change: Exploring prompt engineering in large language model AI and its potential to transform education. TechTrends, 68(1), 47-57. https://doi.org/10.1007/s11528-023-00896-0
• Chang, Y., Wang, X., Wang, J., Wu, Y., Yang, L., Zhu, K., ..., & Xie, X. (2024). A survey on evaluation of large language models. Acm Transactions on Intelligent Systems and Technology, 15(3), 1-45. https://doi.org/10.1145/3641289
• Chen, X., Lin, X., Zou, D., Xie, H., & Wang, F. L. (2025). Understanding influential factors for college instructors’ adoption of LLM-based applications using analytic hierarchy process. Journal of Computers in Education. https://doi.org/10.1007/s40692-025-00363-0
• Cobos, E. V. & Cakir, S. (2024). A Review of the Economic Costs of Cyber Incidents [Advisory Services & Analytics]. World Bank Group. https://policycommons.net/artifacts/16847422/a-review-of-the-economic-costs-of-cyber-incidents-english/17732306/ sayfasından erişilmiştir.
• Coşkun, F. & Gülleroğlu, H. D. (2021). Geçmişten günümüze yapay zekanın gelişimi ve eğitim alanında kullanılması. Ankara Üniversitesi Eğitim Bilimleri Fakültesi Dergisi, 54(3), 947-966. https://doi.org/10.30964/auebfd.916220
• Cumhurbaşkanlığı Dijital Dönüşüm Ofisi. (2021). Bilgi ve İletişim Güvenliği Denetim Rehberi. https://cbddo.gov.tr/SharedFolderServer/Projeler/File/BG_Denetim_Rehberi.pdf sayfasından erişilmiştir.
• Çetin, P. & Onan, A. (2025). Büyük dil modellerinin tıp eğitimde soru yanıtlama sistemlerinde kullanımı: potansiyel, zorluklar ve gelecek yönelimleri. Fen, Matematik ve Bilgisayar Eğitiminde Yenilikler Dergisi, 1(1), Article 1.
• Çetinkaya, M. (2008). Kurumlarda Bilgi Güvenliği Yönetim Sistemi’nin uygulanması. Akademik Bilişim 2008 Konferansı’nda sunulmuş bildiri, Çanakkale Onsekiz Mart Üniversitesi, Çanakkale. https://ab.org.tr/ab08/kitap/Bildiriler/MCetinkaya_AB08.pdf sayfasından erişilmiştir.
• Çil, A. & Demirci, M. (2024). Ağ adli bilişimi süreç gereksinimlerinin belirlenmesi ve yazılım tanımlı ağlarda incelenmesi. Politeknik Dergisi, 27(2), 665-679. https://doi.org/10.2339/politeknik.1141107
• Dam, S. K., Hong, C. S., Qiao, Y., & Zhang, C. (2024). A complete survey on LLM-based AI chatbots (arXiv:2406.16937). arXiv. https://doi.org/10.48550/arXiv.2406.16937 Daricili, A. B. & Çelik, S. (2021). National security 2.0: The cyber security of critical ınfrastructure. National Security, 26(2), 259-276.
• Dündar, R., Yeşilyurt, S., Demir, R. Z., & Yeşilyurt, A. G. (2025). Üretken yapay zekâ araçları ile sosyal bilgiler öğretimi: Avantajlar ve dezavantajlar. Disiplinlerarası Eğitim Araştırmaları Dergisi, 9(20), 1-16. https://doi.org/10.57135/jier.1594253
• Ellis, A. R. & Slade, E. (2023). A new era of learning: Considerations for ChatGPT as a tool to enhance statistics and data science education. Journal of Statistics and Data Science Education, 31(2), 128-133. https://doi.org/10.1080/26939169.2023.2223609
• ESY. (2005). İç Denetçi Adayları Belirleme, Eğitim ve Sertifika Yönetmeliği. https://ms.hmb.gov.tr/uploads/2019/09/icdenegisinseryon.pdf#page=1.00&gsr=0 sayfasından erişilmiştir.
• Fındıklı, S. & Saygın, E. P. (2023). Nitel araştırmalarda araştırmacının rolü ve araştırmacı günlükleri. Tujom, 8(2), 64-74. https://doi.org/10.30685/tujom.v8i2.184
• Güdek, B. (2023). Kamu sektöründe etik yönetime ilişkin politikaların uygulanması: KVKK ve veri etiği. Politik Ekonomik Kuram, 7(2), 237-251. https://doi.org/10.30586/pek.1325605
• Hatipoğlu, C. & Tunacan, T. (2021). Türkiye’de siber saldırı ve tespit yöntemleri: Bir literatür taraması. Bilecik Şeyh Edebali Üniversitesi Fen Bilimleri Dergisi, 8(1), 430-445. https://doi.org/10.35193/bseufbd.838732
• Hazine ve Maliye Bakanlığı. (2022). 2022 İç Denetçi Aday Belirleme Sınavı İlanı ve Başvuru Kılavuzu—T.C. Hazine ve Maliye Bakanlığı. https://www.hmb.gov.tr/duyuru/2022-ic-denetci-aday-belirleme-sinavi-ilani sayfasından erişilmiştir.
• Hu, B., Zhu, J., Pei, Y., & Gu, X. (2025). Exploring the potential of LLM to enhance teaching plans through teaching simulation. Npj Science of Learning, 10(1), 1-12. https://doi.org/10.1038/s41539-025-00300-x
• İç Denetçi Adayları Belirleme, Eğitim ve Sertifika Yönetmeliği. (2005). https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=9510&MevzuatTur=7&MevzuatTertip=5 sayfasından erişilmiştir.
• İç Denetçilerin Çalışma Usul ve Esasları Hakkında Yönetmelik. (2006). https://mevzuat.gov.tr/MevzuatMetin/21.5.200610654.pdf sayfasından erişilmiştir.
• Kamalov, F., Santandreu-Calonge, D., & Gurrib, I. (2023). New era of artificial intelligence in education: Towards a sustainable multifaceted revolution. Sustainability, 15(16), 12451. https://doi.org/10.3390/su151612451
• Kamu Malî Yönetimi ve Kontrol Kanunu. (2003). https://www.mevzuat.gov.tr/mevzuat?MevzuatNo= 5018&MevzuatTur=1&MevzuatTertip=5 sayfasından erişilmiştir.
• Kestane, A. & Kurt, G. (2024). Bulut güvenlik denetimi: Bulut siber güvenlik uygulamalarında iç denetim. Ömer Halisdemir Üniversitesi İktisadi ve İdari Bilimler Fakültesi Dergisi, 17(3), 667-690. https://doi.org/10.25287/ohuiibf.1482734
• KIDS. (2017). Kamu İç Denetim Standartları. https://ms.hmb.gov.tr/uploads/2019/09/kamu_ic_denetim_ standartlari.pdf sayfasından erişilmiştir.
• Kim, J. K., Chua, M., Rickard, M., & Lorenzo, A. (2023). ChatGPT and Large Language Model (LLM) chatbots: The current state of acceptability and a proposal for guidelines on utilization in academic medicine. Journal of Pediatric Urology, 19(5), 598-604. https://doi.org/10.1016/j.jpurol.2023.05.018
• Köseoğlu, İ. (2024). Türk kamu yönetiminde iç denetimin gelişimi üzerine bir inceleme. Denetişim(30), 65-81. https://doi.org/10.58348/denetisim.1455190
• Lee, D., Kim, D., Loeser, M., & Seo, K. (2025). How large language models are transforming teachers’ assessment of student competency: A case study on LLM-based report writing. 2025 International Conference on Electronics, Information, and Communication (ICEIC) içinde (s. 1-4). https://doi.org/10.1109/iceic64972.2025.10879736
• Lundgren, B. & Möller, N. (2019). Defining information security. Science and Engineering Ethics, 25(2), 419-441. https://doi.org/10.1007/s11948-017-9992-1
• Maric, S., Maric, S., & Maric, L. (2025). Chat-GPT: An AI based educational revolution (arXiv:2503.04758; Versiyon 2). arXiv. https://doi.org/10.48550/arXiv.2503.04758
• Matalka, M. A., Badir, R., Ahmad, A. Y. A. B., Al-Said, K., Nassar, H. T. I., Alzoubi, S., & Alzoubi, M. (2024). The adoption of ChatGPT marks the beginning of a new era in educational platforms. International Journal of Data and Network Science, 8(3), 1941-1946. https://doi.org/10.5267/j.ijdns.2024.1.019
• Meissner, R., Pögelt, A., Ihsberner, K., Grüttmüller, M., Tornack, S., Thor, A., Pengel, N., Wollersheim, H.-W., & Hardt, W. (2024). LLM-generated competence-based e-assessment items for higher education mathematics: Methodology and evaluation. Frontiers in Education, 9, 1-13. https://doi.org/10.3389/feduc.2024.1427502
• Mills, G. E. (2000). Action research: A guide for the teacher researcher. Pearson.
• Özdemir, A. & Uluyol, Ç. (2021). Kamu kurum ve kuruluşlarında bilgi güvenliği farkındalığı. Türkiye Sosyal Araştırmalar Dergisi, 25(3), 649-666. https://doi.org/10.20296/tsadergisi.815635
• Özdemir, F. S., Bengü, H., & Turan, E. (2024). Artificial intelligence in accounting education: Identifying learning styles and assessing individual differences. Niğde Ömer Halisdemir Üniversitesi Sosyal Bilimler Enstitüsü Dergisi, 6(2), 417-436. https://doi.org/10.56574/nohusosbil.1604719
• Pornprasit, C. & Tantithamthavorn, C. (2024). Fine-tuning and prompt engineering for large language models-based code review automation. Information and Software Technology, 175, 107523. https://doi.org/10.1016/j.infsof.2024.107523
• Qu, Z., Yin, L., Yu, Z., Wang, W., & Zhang, X. (2024). CourseGPT-zh: An educational large language model based on knowledge distillation incorporating prompt optimization (arXiv:2405.04781). arXiv. https://doi.org/10.48550/arXiv.2405.04781
• Razafinirina, M. A., Dimbisoa, W. G., & Mahatody, T. (2024). Pedagogical alignment of Large Language Models (LLM) for personalized learning: A survey, trends and challenges. Journal of Intelligent Learning Systems and Applications, 16(04), 448-480. https://doi.org/10.4236/jilsa.2024.164023
• Sagor, R. (2000). Guiding school improvement with action research. ASCD.
• Sallam, M. (2023). ChatGPT utility in healthcare education, research, and practice: Systematic review on the promising perspectives and valid concerns. Healthcare, 11(6), 1-20. https://doi.org/10.3390/healthcare11060887
• Salloum, S. A. (2024). AI perils in education: Exploring ethical concerns. A. Al-Marzouqi, S. A. Salloum, M. Al-Saidat, A. Aburayya, & B. Gupta (Ed.), Artificial intelligence in education: The power and dangers of ChatGPT in the classroom (c. 144) içinde (s. 669-675). Springer, Cham. https://doi.org/10.1007/978-3-031-52280-2_43
• Selimoğlu, S. K. & Saldı, M. H. (2022). Türk bankacılık sektöründe iç denetim yoluyla siber güvenlik yönetişimi. İşletme Akademisi Dergisi, 3(2), 161-187.
• Shandler, R. & Gomez, M. A. (2023). The hidden threat of cyber-attacks – undermining public confidence in government. Journal of Information Technology & Politics, 20(4), 359-374. https://doi.org/10.1080/19331681.2022.2112796
• Shypula, A., Li, S., Zhang, B., Padmakumar, V., Yin, K., & Bastani, O. (2025). Evaluating the diversity and quality of LLM generated content (Versiyon 1). arXiv. https://doi.org/10.48550/ARXIV.2504.12522
• Stamp, M. (2011). Information security: Principles and practice. John Wiley & Sons.
• Tan, K., Yao, J., Pang, T., Fan, C., & Song, Y. (2025). ELF: Educational LLM framework of improving and evaluating AI generated content for classroom teaching. Journal of Data and Information Quality, 17(3), 1-23. https://doi.org/10.1145/3712065
• Tekerek, M. (2008). Bilgi güvenliği yönetimi. KSÜ Doğa Bilimleri Dergisi, 11(1), Article 1.
• Tezcan, Ö., Ada, S., & Baysal, Z. N. (2016). Eğitim alanında eylem araştırmaları. Kocaeli Üniversitesi Sosyal Bilimler Dergisi, 32, Article 32.
• Tunçbilek, M. (2024). 2022 yılında yaşanan gelişmeler doğrultusunda bilgi güvenliğinde risk yönetiminin artan önemine ilişkin bir değerlendirme. Bilgi ve İletişim Teknolojileri Dergisi, 6(1), 36-56. https://doi.org/10.53694/bited.1282138
• Uslu, H. (2023). Dijital dönüşüm ve kamu hizmetleri yönetimde yenilikçi yaklaşımlar ve zorluklar. International Journal of Political Studies, 17(1), 453-475. https://doi.org/10.25272/icps.1354693
• Ünlü, A. M. & Çakmak, T. (2023). Kamu sektöründe kurumlar arasında bilgi paylaşımı: Türkiye’deki politika ve yasal düzenlemelere yönelik bir değerlendirme. Bilgi Yönetimi, 6(1), 1-20. https://doi.org/10.33721/by.1251635
• Von Solms, R. & Van Niekerk, J. (2013). From information security to cyber security. Computers & Security, 38, 97-102. https://doi.org/10.1016/j.cose.2013.04.004
• Wen, Q., Liang, J., Sierra, C., Luckin, R., Tong, R., Liu, Z., …, & Tang, J. (2024). AI for Education (AI4EDU): Advancing personalized education with LLM and adaptive learning. Proceedings of the 30th ACM SIGKDD Conference on Knowledge Discovery and Data Mining içinde (s. 6743-6744). Association for Computing Machinery. https://doi.org/10.1145/3637528.3671498
• Wu, Z., Peng, R., Ito, T., & Xiao, C. (2025). LLM-based social simulations require a boundary (Versiyon 1). arXiv. https://doi.org/10.48550/ARXIV.2506.19806
• Yan, L., Sha, L., Zhao, L., Li, Y., Martinez‐Maldonado, R., Chen, G., …, & Gašević, D. (2024). Practical and ethical challenges of large language models in education: A systematic scoping review. British Journal of Educational Technology, 55(1), 90-112. https://doi.org/10.1111/bjet.13370
• Yao, Z., Aminabadi, R. Y., Ruwase, O., Rajbhandari, S., Wu, X., Awan, A. A., …, & He, Y. (2023). DeepSpeed-Chat: Easy, fast and affordable RLHF training of ChatGPT-like models at all scales (Versiyon 1). arXiv. https://doi.org/10.48550/ARXIV.2308.01320
• Yıldırım, A. & Şimşek, H. (2013). Sosyal bilimlerde nitel araştırma yöntemleri. Seçkin.
• Zastudil, C., Rogalska, M., Kapp, C., Vaughn, J., & MacNeil, S. (2023). Generative AI in computing education: Perspectives of students and instructors. 2023 IEEE Frontiers in Education Conference (FIE) içinde (s. 1-9). College Station. https://doi.org/10.1109/fie58773.2023.10343467
• Zhang, H., Chen, J., Jiang, F., Yu, F., Chen, Z., Li, J., …, & Li, H. (2023). HuatuoGPT, towards Taming Language Model to be a doctor (Versiyon 1). arXiv. https://doi.org/10.48550/ARXIV.2305.15075
• Zhang, W., Xu, Z., & Cai, H. (2024). Defining boundaries: A spectrum of task feasibility for Large Language Models (Versiyon 2). arXiv. https://doi.org/10.48550/ARXIV.2408.05873