ETİK İLKELERE BAĞLI VE KURUMSAL
Bilgi Teknolojileri (IT/BT) Denetimi
Bilgi Teknolojileri (IT/BT) Denetimi nedir?
Bilgi sistemlerinin yönetilmesi ve kontrol edilmesi amacıyla ilgili Tebliğ’de belirtilen maddeler kapsamında denetim çalışmaları gerçekleştirilir.
Denetim çalışmaları 1 Ocak – 31 Aralık dönemini kapsayacak şekilde ve gerçekleştirilen denetim çalışması sonucunda denetim raporu hazırlanır.
SPK Bilgi Sistemleri Mevzuatı kapsamında şirketlerin kendi içerisinde yapmaları gereken;
- PBilgi güvenliği politikaları belirlemek ve bu politikaları uygulamak
- PBilgi sistemleri güvenliği açısından risk analizleri yapmak ve bu risklere karşı tedbirler almak
- PBilgi sistemleri güvenliği açısından düzenli olarak denetim yapmak
- PBilgi sistemleri güvenliği açısından çalışanlarına eğitimler vermek
- PElektronik imza kullanımı ile ilgili düzenlemelere uymaktır
Bu düzenlemelerin amacı, sermaye piyasalarında faaliyet gösteren kurumların bilgi sistemleri güvenliği konusunda standart bir yaklaşım benimsemelerini sağlamak ve yatırımcıların güvenliği açısından önemli bir konu olan bilgi sistemleri güvenliği konusunda riskleri minimize etmektir.
Verdiğimiz Hizmetler Nelerdir?
Yasal Denetim Hizmeti
BT sistemini denetime hazırlık hizmetleri
BT eğitimleri
Bu düzenlemelerin amacı, sermaye piyasalarında faaliyet gösteren kurumların bilgi sistemleri güvenliği konusunda standart bir yaklaşım benimsemelerini sağlamak ve yatırımcıların güvenliği açısından önemli bir konu olan bilgi sistemleri güvenliği konusunda riskleri minimize etmektir.
SPK Bilgi Sistemleri Mevzuatı kapsamı nedir?
Kurum, Kuruluş ve Ortaklıkların bilgi sistemlerinin yönetimi ve bağımsız denetimine ilişkin usul ve esasların belirlenmesi amacıyla “Bilgi Sistemleri Yönetimi Tebliği”, “Bilgi Sistemleri Bağımsız Denetim Tebliği” ve “ Bilgi Sistemleri ve İş Süreçleri Bağımsız Denetimine ilişkin Tebliğ” 05.01.2018 ve 25.03.2022 tarihli Sermaye Piyasası Kurulu tarafından Resmi Gazete’de yayımlandı.
Yayımlanan mevzuat ile birlikte; tabi olan Kurum, Kuruluş ve Ortaklıklar, yönetim ve denetim tebliğleri içerisinde belitilen bilgi sistemleri yönetim ve denetim ilkelerine karşı yükümlü hale gelmiştir.
Yayımlanan mevzuat kapsamında yükümlü olan kuruluşların denetçileriyle düzenleyecekleri sözleşmeler, bilgi sistemleri denetiminin kapsamı, sızma testi ve yönetim beyanı çalışmalarına ilişkin detay bilgilere yer verilmiştir. Bu detaylar;
- PBilgi Sistemleri Bağımsız Denetim Sözleşmesi
- PDenetim döneminin ilk 4 ayı içerisinde imzalanır,
- PSözleşmenin imzalanmaması halinde, konu en geç durumun ortaya çıktığı tarihi izleyen ilk iş gününde Kurula bildirilir
- Pİmzalanan sözleşmeler en geç 6 iş günü içinde Kurul’a gönderilmelidir
Bilgi Sistemleri Bağımsız Denetimi kapsamında denetime tabi olan Kurum, Kuruluş ve Ortaklıklar Nelerdir?
Her Yıl
Tabi Olanlar- Borsa İstanbul A.Ş.
- İstanbul Takas ve Saklama Bankası A.Ş.
- Merkezi Kayıt Kuruluşu A.Ş.
- Borsalar ve Piyasa İşleticileri
- Merkezi takas kuruluşları,
- Merkezi saklama kuruluşları
- Veri depolama kuruluşları.
- Teşkilatlanmış diğer pazar yerleridir.
İki Yılda Bir
Tabi Olanlar- Kısmî ve Geniş Yetkili Aracı Kurumlar,
- Asgari özsermaye yükümlülüğü 5 Milyon TL’den fazla olan portföy yönetim şirketleridir.
Üç Yılda Bir
Tabi Olanlar- Asgari özsermaye yükümlülüğü 5 Milyon TL ve az olan portföy yönetim şirketleri,
- Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş.
İsteğe Bağlı
Diğer Kurum, Kuruluş ve ortaklıklar:- Dar yetkili aracı kurumlar
- Varlık kiralama şirketleri
- İpotek finansmanı kuruluşları
- Türkiye Sermaye Piyasaları Birliği
- Türkiye Değerleme Uzmanları Birliği
- Bağımsız denetim, derecelendirme ve değerleme kuruluşları
- Halka açık ortaklıklar
- Varlık finansmanı fonları
- Kolektif yatırım kuruluşları
- Emeklilik yatırım fonları
- Konut finansmanı fonlarıdır.
Banka, Ödeme ve Elektronik Para Kuruluşları BDDK BT denetimleri kapsamı nedir?
BDDK (Bankacılık Düzenleme ve Denetleme Kurumu), Türkiye’deki banka, ödeme ve elektronik para kuruluşlarının faaliyetlerini düzenleyen ve denetleyen kurumdur. BDDK, bu kuruluşların bilgi teknolojileri (BT) altyapılarına ilişkin denetlemeler de yapmaktadır.
BDDK BT denetimleri, banka, ödeme ve elektronik para kuruluşlarının BT sistemlerinin güvenliğini ve bütünlüğünü korumaya yöneliktir. Bu denetimler, kuruluşların bilgi sistemleri ve veri işleme sistemleriyle ilgili riskleri tespit etmeyi, bu risklerin yönetilmesini ve önlenmesini sağlamayı hedeflemektedir.
BDDK BT denetimleri, banka, ödeme ve elektronik para kuruluşlarının faaliyetlerini düzenlemek ve denetlemek için önemli bir araçtır. Bu denetimler, kuruluşların güvenli bir BT altyapısına sahip olmalarını ve müşterilerinin bilgi güvenliğini korumalarını sağlamayı amaçlamaktadır.
BDDK BT denetimleri kapsamında, banka, ödeme ve elektronik para kuruluşlarının aşağıda belirtilen konularda incelenmesi söz konusu olabilir;
- PBT altyapısının güvenliği ve bütünlüğü
- PBilgi güvenliği politikaları ve prosedürleri
- PVeri güvenliği yönetimi
- PBT personelinin yeterliliği ve eğitimi
- PBT iş sürekliliği planı ve felaket yönetimi
- Pİş süreçlerinde kullanılan yazılım ve donanımların güvenliği
- PDış kaynak kullanımı ve yönetimi
- PSiber güvenlik önlemleri ve siber saldırıların engellenmesi
Bilgi Sistemleri Risk Yönetimi ile ilgili Türkiye’de uygulanmakta olan diğer mevzuatlar nelerdir?
Türkiye’de bilgi sistemleri risk yönetimi ile ilgili olarak çeşitli mevzuatlar bulunmaktadır. Bu mevzuatlar arasında şunlar yer almaktadır:
- PKişisel Verilerin Korunması Kanunu: Bu kanun, kişisel verilerin işlenmesi ve korunmasına ilişkin hükümler içermektedir. Bilgi sistemleri risk yönetimi açısından önemli olan, kişisel verilerin güvenliği ile ilgili olan maddelerdir.
- PBilgi Teknolojileri ve İletişim Kurumu Tebliği: Bu tebliğ, kamu kurumları ve özel sektör şirketlerinin bilgi sistemlerinin güvenliği ve bütünlüğüne ilişkin teknik ve organizasyonel tedbirler almasını zorunlu kılmaktadır.
- PBankacılık Düzenleme ve Denetleme Kurumu Tebliği: Bu tebliğ, bankaların bilgi sistemleri risk yönetimi ile ilgili olarak alması gereken tedbirleri belirlemektedir.
- PElektronik İmza Kanunu: Bu kanun, elektronik imza kullanımına ilişkin hükümler içermektedir. Bilgi sistemleri risk yönetimi açısından önemli olan, elektronik imzaların güvenliği ile ilgili olan maddelerdir.
- PSiber Suçlarla Mücadele Kanunu: Bu kanun, bilgisayar korsanlığı gibi siber suçlarla mücadeleye ilişkin hükümler içermektedir. Bilgi sistemleri risk yönetimi açısından önemli olan, siber saldırılara karşı alınacak tedbirlerle ilgili olan maddelerdir.
Bu mevzuatların yanı sıra, Türkiye’de pek çok sektörde faaliyet gösteren şirketlerin bilgi sistemleri risk yönetimi konusunda uyacakları standartlar ve yönetmelikler de bulunmaktadır. Örneğin, finans sektöründe faaliyet gösteren bankaların uluslararası finansal kuruluşlar tarafından yayınlanan standartlara uyum sağlaması gerekmektedir.
Bilgi Sistemleri Denetiminde Şirketlerin Sızma Testi Kapsamında Yapılması Gerekenler Nelerdir?
Sızma testi konusunda ulusal veya uluslararası belgeye sahip gerçek veya tüzel kişiler tarafından en az yılda bir kez sızma testi yaptırılır.
Sızma testi çalışmaları «Bilgi Sistemleri Sızma Testleri Usul ve Esasları» kapsamında gerçekleştirilir.
Sızma testi raporları bilgi sistemleri raporundan ayrı olarak hazırlanır ve tamamlanmasını müteakip bir ay içinde kurula gönderilir.
Bilgi Sistemleri Risk Yönetimi Hizmetlerinin temelleri ve kapsamı nelerdir?
Bilgi sistemleri risk yönetimi, bir organizasyonun bilgi sistemlerinin güvenliğini ve bütünlüğünü korumak için tasarlanmış bir dizi önlem ve süreçlerdir. Organizasyonun bilgi sistemlerindeki riskleri belirlemek, analiz etmek, değerlendirmek ve yönetmek için kullanılır.
- Bilgi sistemleri risk yönetimi hizmetlerinin temelleri şunlardır;
- PRisk değerlendirmesi: Bilgi sistemlerindeki riskleri belirlemek için düzenli olarak yapılan risk değerlendirmeleri,
- PGüvenlik politikaları ve prosedürleri: Bilgi sistemlerinin güvenliğini sağlamak için oluşturulan ve uygulanan politikalar ve prosedürleri,
- PVeri yedekleme ve kurtarma planları: Bilgi kaybı veya sistem arızaları durumunda verilerin kurtarılmasını ve iş sürekliliğinin sağlanmasını sağlayan planları,
- PGüvenlik duvarı ve izleme sistemleri: Bilgisayar ağlarına güvenli bir şekilde erişimi sağlamak için kullanılan güvenlik duvarı ve izleme sistemleri,
- PEğitim ve farkındalık: Bilgi sistemlerinin güvenliği ile ilgili olarak çalışanların eğitilmesi ve farkındalığın artırılmasıdır.
- Bilgi sistemleri risk yönetimi hizmetlerinin kapsamı şunlardır;
- PBilgi sistemlerindeki güvenlik açıklarının belirlenmesi ve risk değerlendirmesi yapılması,
- PBilgi sistemleri güvenliğini sağlamak için gereken politikaların ve prosedürlerin oluşturulması ve uygulanması,
- PVeri yedekleme ve kurtarma planlarının hazırlanması ve uygulanması,
- PGüvenlik duvarı ve izleme sistemlerinin kurulması ve yönetilmesi,
- PBilgi sistemleri güvenliği ile ilgili eğitimlerin düzenlenmesi ve çalışanların farkındalığının artırılması,
- PRisk yönetimi sürecinin sürekli olarak izlenmesi ve güncellenmesi şeklinde olabilir.
BT Yönetişim danışmanlığı hizmetlerinin kapsamı nedir?
BT yönetişimi danışmanlığı, bir organizasyonun BT altyapısının etkin bir şekilde yönetilmesine yönelik danışmanlık hizmetleri sağlar. Bu hizmetler, organizasyonların BT altyapılarını daha verimli, güvenli ve sürdürülebilir hale getirmelerine yardımcı olur.
BT yönetişim danışmanlığı hizmetlerinin kapsamı şunları içerebilir:
- PBT stratejisi ve yönetişimi: Organizasyonların BT stratejilerini belirleyerek, bu stratejilerin işletme hedefleriyle uyumlu hale getirilmesi ve etkin bir şekilde uygulanması için danışmanlık sağlanması.
- PBT altyapısı ve uygulama yönetimi: BT altyapılarının ve uygulamalarının yönetimi konusunda danışmanlık hizmetleri sağlanması, sistemlerin daha güvenli, etkin ve verimli hale getirilmesine yönelik öneriler sunulması.
- PBT güvenliği: Organizasyonların BT güvenliği konusunda risk analizi yaparak, güvenliği sağlamak için gereken önlemleri alarak, BT güvenliği politikaları ve prosedürlerinin oluşturulması ve uygulanması için danışmanlık hizmetleri sağlanması.
- PBT hizmet yönetimi: BT hizmetlerinin yönetimi konusunda danışmanlık hizmetleri sağlanması, hizmet seviyelerinin belirlenmesi, performansın ölçülmesi ve raporlanması için gereken mekanizmaların oluşturulması.
- PBT organizasyon ve insan kaynakları yönetimi: BT organizasyon yapısı ve BT personelinin yönetimi konusunda danışmanlık hizmetleri sağlanması, eğitim ve gelişim planlarının oluşturulması, BT personelinin performansının ölçülmesi ve raporlanması gibi konularda destek verilmesi.
BT Yönetişim danışmanlığı hizmetleri alan şirketlerin, bu kapsamdaki sorumlulukları nelerdir?
BT yönetişim danışmanlığı hizmetleri alan şirketlerin, bu hizmetlerden yararlanarak alacakları tavsiyeleri uygulamak ve gereken aksiyonları almak gibi bir takım sorumlulukları vardır. Bu sorumluluklar şu şekilde özetlenebilir:
- PDanışmanlık hizmetleri sırasında ortaya çıkan sorunları ve önerilen çözümleri dikkate almak ve gereken aksiyonları almak,
- PBT altyapısı ve uygulamalarının etkin bir şekilde yönetimi için gerekli olan kaynakları sağlamak.
- PBT altyapısı ve uygulamalarının etkin bir şekilde yönetimi için gerekli olan kaynakları sağlamak.
- PBT hizmet yönetimi konusunda belirlenen hizmet seviyelerine uyum sağlamak ve performansın ölçülmesi için gerekli olan verileri sağlamak.
- PBT organizasyon yapısı ve personel yönetimi konusunda belirlenen hedeflere ulaşmak için gereken yatırımları yapmak ve BT personelinin eğitim ve gelişimine yönelik planlar oluşturmak.
- PBT projeleri konusunda danışmanlık hizmetleri almak ve projelerin planlanan süre içinde ve bütçe dahilinde tamamlanmasını sağlamak.
- PBT sistemleri ve süreçlerinin sürekli olarak geliştirilmesi için gereken yatırımları yapmak ve yenilikleri takip etmek.
- PBT yönetişimi konusunda belirlenen politikaların ve prosedürlerin uygulanmasını sağlamak ve uyum konusunda gereken adımları atmak.
Bu sorumluluklar, BT yönetişim danışmanlığı hizmetleri alınırken belirlenen hedeflerin başarılması ve organizasyonun BT altyapısının daha verimli, güvenli ve sürdürülebilir hale getirilmesi için gereklidir.