GLOBAL TEKNOLOJİ DENETİM REHBERİ UMUÇ – UYGULAMA …amaçlı kullanılamaz veya bu yayındaki istatistiksel veriler ve diğer veriler IIA’nın izni olmaksızın başka bir

GTAG®

GLOBAL TEKNOLOJİ DENETİM REHBERİ

UMUÇ – UYGULAMA REHBERİ

BİLGİ GÜVENLİĞİ YÖNETİŞİMİ

UMUÇ Hakkında

Uluslararası Mesleki Uygulama Çerçevesi (UMUÇ – International Professional Practices Framework), otoriter ve yetkili bir rehberliği düzenleyen, İç Denetim Enstitüsü’nün yayımladığı kavramsal bir çerçevedir. UMUÇ rehberliği:

Bu GTAG UMUÇ kapsamındaki bir Uygulama Rehberidir.

Diğer otoriter ve yetkeli rehberlik materyalleri için, lütfen www.theiia.org/guidance/. adresini ziyaret ediniz.

Zorunlu Rehber

Zorunlu rehberlikte ortaya konan ilkelere uyum, iç denetim mesleki uygulaması bakımından gerekli ve vazgeçilmezdir. Zorunlu rehberlik, paydaş girdilerinin kamuya açıklanması sürecini içeren yerleşik bir durum tespiti sürecinin ardından geliştirilir. UMUÇ’un üç olmazsa olmaz bileşeni: İç Denetimin Tanımı, Mesleki Etik Kuralları ve İç Denetim Uluslararası Mesleki Uygulama Standartları (Standartlar).

Bileşen Tanım

Tanım İç Denetimin Tanımı iç denetimin temel amacını, yapısını ve kapsamını açıklar.

Mesleki Etik Kuralları Mesleki Etik Kuralları, iç denetim uygulamasında birey ve kurumların davranışlarını yönlendiren ilke ve beklentileri ortaya koyar. Spesifik faaliyetlerden ziyade, asgari uygulama gerekliliklerinive davranışlara yönelik beklentileri tanımlar.

Uluslararası Standartlar Standartlar, ilke odaklıdır ve iç denetimi uygulamaya ve teşvik etmeye yönelik bir çerçeve sunar. Standartlar,aşağıda verilen ilkelerden oluşan zorunlu gerekliliklerdir:

İç denetim mesleki uygulamaları ve uygulama performansı etkinliğini değerlendirmek için temel gerekliliklere yönelik beyanlar. Gereklilikler, kurumsal ve bireysel düzeylerdeuluslararası bir geçerliliğe sahiptir.

Beyanlarda geçen terim ve kavramları açıklığa kavuşturan yorumlar.

Standartları doğru bir şekilde anlayıp uygulayabilmek için hem beyanları hem de bu beyanlara ilişkin yorumları dikkate almak gerekir. Standartlarda, Sözlükte yer verilen özel anlamlar taşıyan terimler kullanılmıştır.

Şiddetle Tavsiye Edilen Rehber

Şiddetle tavsiye edilen rehber, IIA tarafından resmi bir onay süreciyle onaylanır. IIA’nın İç Denetim Tanımının, Mesleki Etik Kurallarının ve Standartların etkin ve etkili bir biçimde uygulanmasına yönelik uygulamalarını tanımlar. UMUÇ’un şiddetle tavsiye edilen üç bileşeni Görüş Açıklamaları, Uygulama Tavsiyeleri ve Uygulama Rehberleridir.

Bileşen Tanım

Görüş Açıklamaları Mütalaa belgeleri, iç denetim işinde olmayanlar dâhil çok sayıda ilgili tarafın iç denetime yönelik önemli yönetişim, risk veya kontrol sorunlarını anlamasına ve iç denetimin ilgili görev ve sorumluluklarını açıklamasına yardımcı olur.

Uygulama Önerileri Uygulama Önerileri İç Denetimin Tanımı, Mesleki Etik Kurallarını ve Standartları uygulama ve iyiuygulamaları teşvik etme konusunda iç denetçilere yardımcı olur. Uygulama Önerileri detaylı süreç ve işlemlerden ziyade iç denetim yaklaşımını, metodolojilerini ve iç denetim fikrini ele alır. Uluslararası, ülkelerle ilgili veya endüstriye özel konular; özel görev türleri ve kanun veya düzenlemelere ilişkin konulara yönelik uygulamalar içerir.

Uygulama Rehberleri Uygulama rehberleri iç denetim faaliyetlerini yürütmeye yönelik ayrıntılı bir rehberlik sunar. Araçlar, teknikler, programlar, adım adım yaklaşımlar ve süreç çıktılarına yönelik örnekler gibi ayrıntılı süreç ve prosedürleri içerir.

GTAG –Yönetici Özeti

Global Teknoloji Denetim Rehberi (GTAG®) 15

Bilgi Güvenliği Yönetişimi

Yazarlar:

Paul Love, CISSP, CISA, CISM

James Reinhard, CIA, CISA

A.J. Schwab, CISA

George Spafford, CISA

Temmuz 2010

Telif Hakkı © 2006 247MaitlandAvenue, Altamonte Springs, FL 32701, ABD merkezli İç Denetçiler Enstitüsü’ne aittir. Tüm

hakları mahfuzdur. Amerika Birleşik Devletleri’nde yayımlanmıştır.

İşbu yayın, yayının amaçları dışında hiçbir maksatla çoğaltılamaz, bir yedekleme sisteminde saklanamaz, yeniden dağıtılamaz, hiçbir şekilde ve surette – elektronik, mekanik, fotokopi çekme, kaydetme veya başka

yollarla – bir başkasına iletilemez, gösterilemez, kiralanamaz, ödünç verilemez, yeniden satılamaz, ticari çıkar amaçlı kullanılamaz veya bu yayındaki istatistiksel veriler ve diğer veriler IIA’nın izni olmaksızın başka bir

yerde kullanılmak üzere uyarlanamaz.

Bu dokümanda yer alan bilgiler yapı itibariyle genel bilgilerdir ve belirli bir bireyi, iç denetim birimini veya kurumu ele almayı amaçlamamaktadır. Bu dokümanın amacı; güncel araçları, kaynakları, malumatı ve/veya

doğru, tarafsız ve güncel başka bilgileri paylaşmaktır. Fakat yayımlanma tarihi ve değişen koşullar göz önüne alındığında, hiçbir birey, iç denetim birimi veya kurum uygun danışmanlık ya da inceleme olmadan bu

dokümanda sağlanan bilgilere dayanarak harekete geçmemelidir.

GTAG – İçindekiler

Yönetici Özeti ………………………………………………………………………….. 1

Giriş …………………………………………………………………………………… 2

2.1. Bilgi Güvenliği Yönetişimi Nedir? ……………………………………………………… 2

2.2. Etkin Bilgi Güvenliği Yönetişimi Nedir? ……………………………………………….. 3

2.3. Verimli Bilgi Güvenliği Yönetişimi Nedir? …………………………………………….. 5

2.4. İDY* Neden Bilgi Güvenliği Yönetişimi Konusunda Endişelenmelidir? ………………. 6

Bilgi Güvenliği Yönetişiminde Denetim Biriminin Rolü ………................................. 7

3.1. İç Denetim Biriminin Bilgi Güvenliğiyle İlgili Sorumluluklar ………………………… 7

3.2. Denetim Arkaplanı ve Deneyim Düzeyi ……………………………………………….... 7

3.3. ilgi Güvenliği Yönetişimi Denetçileri …………………………………………………… 7

Bilgi Güvenliği Yönetişimi Denetimi …………………………………………………. 9

4.1. Bilgi Güvenliği Yönetişimi Denetimi – Planlama ………………………………………. 9

4.2. Bilgi Güvenliği Yönetişimi Denetimi – Test etme ………………………………………. 11

4.3. Bilgi Güvenliği Yönetişimi Denetimi – Analiz etme ……………………………………. 14

Sonuç/Özet ………………………………………………………………………………17

Ek – Örnek Denetim Soruları/Konuları …………………………………………….. 18

Referanslar ……………………………………………………………………………… 19

Yazarlar ve Gözden Geçirenler …….………………………………………………….. 20

* ÇN: İç Denetim Yöneticisi – Chief Audit Executive (CAE)

GTAG – Yönetici Özeti

1. Yönetici Özeti

Kurumlar ve standart belirleme kuruluşları arasında çok sayıda Bilgi güvenliği yönetişimi

(ISG – Information Security Governance) tanımı mevcuttur. Yaygın ISG konuları şunlardır:

Açık yönlendirme ve her düzeyde kavrayışla birlikte iyi bilgi güvenliği (IS – Information

Security) uygulamalarını teşvik etmek.

İşle ilişkilendirilen IS risklerini kontrol etmek.

Kurumun ihtiyaçlarını ve risk alma iştahı seviyesini yansıtan genel bir IS faaliyeti

yaratmak.

ISG’yi göstermenin bir yolu şekil 1’de ortaya konmuştur (sayfa 2). IS kurumun genel

yönetişiminin önemli bir parçasıdır ve BT yönetişiminin, BT operasyonlarının (örn. BT’nin

güncel durumu) ve BT projelerinin (örn. BT’nin gelecekteki durumu) merkezinde yer alır.

Şekil 1, çoğu kurumdaki geleneksel IS modelini yansıtmaktadır. IS alanının genel eğilimi,

ISG’nin hem BT’de hem de kurum içerisinde rol oynamasıdır. Kâğıt evrak temelli iş

süreçlerine kıyasla, bilgi sistemlerinde bulunan veri miktarının yanı sıra bu bilgileri

kaybetmenin etkisi nedeniyle, IS ve BT arasında daima özel bir ilişki olacaktır. IS

uygulayıcıları için her iki süreçte de kullanılan bilgiler de önemli olmasına rağmen, etkinin

büyüklüğü bakımından ele alındığında, BT kaybı çok daha büyük ve önemli olacaktır. Tek bir

doğru veya yanlış yönetişim modeli yoktur; çünkü her kurum farklıdır ve dolayısıyla

kurumların gereksinimleri ve risk toleransları da birbirinden farklıdır.

Yönetim kurulu ve icraî yönetim ISG yapısını desteklemelidir. Yönetim kurulu, kendisinden

gelen emirleri günlük yönetim ve stratejik inisiyatif sıralamasına göre yerine getirmesi

gereken yönetime genel stratejik rehberlik sunar. Etkin ve verimli IS, hem yönetişimin hem de

yönetimin harekete geçmesini gerektirir.

Kurumsal yönetişimi geliştirmek için kurul, kurula bağlı risk komitesinin veya kurulun yetkisi

ve sorumluluğu altındaki başka bir komitenin tüzüğünün bir parçası olarak IS dâhil, işle

ilgili/kurumsal risklerin gözetiminin yapılmasını sağlamalıdır. İç denetim birimi (IAA –

Internal Audit Activity), bilgi yönetişimiyle ilgili önemli politikaların, prosedürlerin ve

uygulamaların yürürlükte olduklarını ve etkin bir şekilde uygulandıklarını güvence altına

alarak bu iş için özel atanmış uzman kurul komitesine destek olmalıdır.

İç denetim yöneticisi (İDY), kurum içerisinde bilgi yönetişimi dâhil büyük risklerin yönetimi

konusunda güvence sunmaktan sorumludur. İster işletmeyle ilgili bilgilerin doğrudan

alınması, yönetimi ve yorumlanması ister bilgilerin günlük işleme için saklanması amacıyla

gereksin, bilgi, çoğu kurumun rekabet stratejilerinin önemli bir bileşenidir. Bilgi

yönetişiminin en belirgin sonuçlarından bazıları; kurum itibarının zarar görmesi, kurumun

rekabet konusunda dezavantajlı bir konuma düşürülmesi ve sözleşmelere uyum konusunda

temerrüde düşmesidir. Bu etkiler azımsanmamalıdır. Eğer bir kurum müşterilerinin sadakatine

ve kuruma olan güvenlerine dayanıyorsa, en küçük bir ihlâl bile müşterinin güvenini sarsarak

kurumun işi kaybetme noktasına gelmesine neden olabilir. Bilgi yönetişimi, genellikle

müşterilerin bir kurumla yeni bir iş ilişkisine girmelerinin veya mevcut iş ilişkilerini

yenilemelerinin nedenleri arasında yer almaz; ancak müşterilerin IS kontrolleri konusundaki

beklentilerini karşılayamamak, bir müşterinin kurumla olan iş ilişkisini yenilememesine ya da

GTAG – Yönetici Özeti

potansiyel bir müşterinin kurumla yeni bir iş ilişkisi kurmayı ertelemesine neden olabilir. IIA,

tüzüğünün ve IIA Uluslararası Meslekî Uygulamalar Çerçevesi’nin (UMUÇ) el verdiği ölçüde

ISG sürecine destek vermelidir. Bu katılım muhtemelen aşağıda sayılan faaliyetleri

kapsayacaktır:

Yönetişim faaliyetlerinin ve standartlarının, IIA’nın kurumun risk alma iştahı anlayışıyla

ne derece uyumlu olduğunu değerlendirme,

Denetim tüzüğünün izin verdiği ve kurulun onay verdiği şekilde danışmanlık görevleri,

Önemli ve büyük kurumsal değişikliklerin ve risk değişikliklerinin zamanında ele

alınmasını sağlamak için ISG birimiyle devam eden görüşme,

IAA’nın yayımladığı Uluslararası İç Denetim Meslekî Uygulama Standartları

(Standartlar) Standart 2110. A2: “İç denetim birimi, kurumun bilgi teknolojisi

yönetişiminin devam edip etmediğini ve kurumun stratejilerini ve hedeflerini destekleyip

desteklemediğini değerlendirmelidir.1” standardına uygun olarak ISG’nin resmi

denetimlerini yapma.

ISG denetimi; öncelikli olarak açıkça tanımlanmış politikaları, görev ve sorumlulukları, risk

alma iştahı sıralamasını, etkin iletişimi, üst yönetim düzeyinde gereken atmosferin

oluşturulmasını ve açık hesapverebilirliği içeren ISG uygulamalarının uygulanmasına

odaklanmalıdır.

Bu Global Teknoloji Rehberi (GTAG), kurum için neyin önemli olduğunu belirlemek üzere

bir düşünme süreci sağlayacaktır. Bu GTAG, aynı zamanda, İDY’nin, ISG biriminin doğru

davranışlar ve uygulamalar gerçekleştirip gerçekleştirmediğine ve ISG’nin doğru icra edilip

edilmediğine odaklanan bir ISG denetimini denetim planına dâhil etmesine yardımcı

olacaktır.

Bu GTAG’ın temel hedefleri şunlardır:

1. ISG’yi tanımlamak,

2. İç denetçilerin sormaları gereken doğru soruları anlamaları ve gereken dokümanların neler

olduğunu öğrenmeleri konusunda yardımcı olmak,

3. IAA’nın ISG’deki rolünü açıklamak.

1 “Denetçilerin, IAM (Identity and Access Management - Kimlik ve Erişim Yönetimi) denetiminden önce, işletme mimarisi ve IAM politikaları gibi şirketin mevcut IAM yapısının yanı sıra kanunlar, yönetmelikler ve uyulması gereken talimatları anlamaları gerekir.“ tavsiyesinde bulunan GTAG-9: Kimlik ve Erişim Yönetimi,okurları bu ön tartışmalara aşina olabilirler. IAM ile ISG arasındaki kilit fark, yönetişimin yapı itibariyle, erişim ve kimlik yönetiminin büyük ölçüde operasyonel ve taktiksel nitelikte olduğu stratejik bir birim olmasıdır.

GTAG –Giriş

2. Giriş

2.1 Bilgi Güvenliği Yönetişimi Nedir?

IIA’nın yayımladığı UMUÇ’ta Bilgi Teknolojilerinin (BT) tanımı şu şekildedir:

Bilgi Teknolojileri Yönetişimi; liderlik, kurumsal yapılar ve kurum bilgi teknolojilerinin

sürdürülmesini ve kurumun stratejilerini ve hedeflerini desteklemesini güvenceye alan

süreçlerden oluşur.

UMUÇ, bilgi güvenliği yönetişimi için özel bir tanım yapmaz. Ancak ISG’yi göstermenin bir

yolu Şekil 1’de (altta) verilmiştir. IS, işletmenin genel yönetişiminin, BT operasyonlarının

(örn. BT’nin güncel durumu) ve BT projelerinin (BT’nin gelecekteki durumu) önemli bir

parçasıdır. (Not: Bu rehberin yazarları ISG’nin uygulanması gereken tek alanın BT olduğunu

kastetmemektedirler; bundan ziyade, BT’nin olası bir kontrol aksaklığının etkisi bakımından,

ilk odak alanlarından birisi olması gerektiğini ifade etmektedirler.)

Şekil 1.Bilgi Güvenliği Yönetişimi

Bilgi güvenliği yönetişimi (ISG) çok çeşitli şekillerde yorumlanabilir. Çeşitli kurumların ve

standart belirleme kuruluşlarının bilgi güvenliği yönetişimine (ISG)2 ilişkin kendi tanımları ve

kılavuzları vardır. Söz konusu güvenlik kurumları ve standart belirleme kuruluşları arasında

yaygın olan ISG konuları; yukarıdan-aşağıya açık ve net talimatlandırma ve iyi anlama

yoluyla iyi IS pratiklerinin teşvik edilmesi ve işletmeyle ilişkilendirilen güvenlik risklerinin

kontrol edilmesi ve kurumun gereksinimlerini ve risk alma iştahı seviyesini yansıtan genel bir

bilgi güvenliği faaliyetinin sürdürülmesini içerir. Bir kurum, bilgi güvenliğini ele almak için

bir çerçeve ve raporlama yapısı geliştirir ve kurumun resmi belgelendirilmiş politikaları

2 Bilgi Güvenliği Forumu’nun Bilgi Güvenliği İyi Uygulama Standardı; 11770.1-2003 sayılı Avustralya Standardı (AS), Bilgi Teknolojisi – Güvenlik Teknikleri – Kilit Yönetim; Yazılım Mühendisliği Enstitüsü’nün Kurumsal Güvenlik Uygulaması Düzenleme Rehberi; Ulusal Standartlar ve Teknoloji Enstitüsü’nün BilgiGüvenliği Yönetimi Yardımı (PRİSMA) için Program Değerlendirmesi; Uluslararası Standartlar Örgütü ve Uluslararası Elektroteknik Komisyonu tarafından ortaklaşa yayımlanan Bilgi Güvenliği Yönetimi Serileri (ISO 27000) örnekler arasındadır.

GTAG –Giriş

bulunsa bile, tanımlı yönetişim organlarına bağlı hiyerarşik kademeler resmi veya gayri resmi

olabilirler. Gayri resmi hiyerarşik kademelerin önemi azımsanmamalıdır; çünkü bir

kurumdaki faaliyetlerin çoğu resmi yapıların dışında gerçekleşir.

Görev ve sorumluluklar artık yeterince açık olmadığı için, BT yönetim literatürü, yönetişim

ve yönetim kavramlarını, zararı pahasına birbirine karıştırmaktadır. Yönetişimde, genellikle

kurumun stratejisini ve amaçlarını belirlemekten sorumlu bir kurul vardır. Söz konusu kurul,

bu sorumluluğunun gereği olarak, strateji, risk yönetimi ve liderliğe odaklanır. Yönetimin

gözetimi ve kurumun talimatları yönetişim için hayati önemdedir.

Öte yandan, önceden belirlenmiş bir zaman çerçevesinde belirli hedefleri gerçekleştirmek ve

muhafaza etmek amacıyla yönetime finansal kaynaklar ve işgücü kaynağı da dahil olmak

üzere kaynakları kullanma görevi verilmiştir. Yönetim kurulu, yönetimin günlük faaliyetlerini

yönetmez; bunun yerine, yatırımcıların ve kilit paydaşların isteklerinin karşılanmasını

güvence altına almaya çalışır. Örneğin, yatırımcıların üç aylık dönemdeki kârlarının artması

yönündeki baskıları, yönetim kurulu ile yönetimin arasını açabilir. Yönetim kurulu ve

yönetim arasındaki görevler ayrılığı, kurumun öz sermaye kazancını azami düzeye çıkarma ve

bunu riskleri tanımlama ve yönetmekle dengeleme amacını muhafaza etmek için kilit bir

kontrol sunar.

BT Uyum Enstitüsü’nün Başarılı Denetimlere Nasıl Hazırlanılacağı Hakkında Pratik Bilgi

Güvenliği Rehberi, yönetim kurulunun ve yönetimin ISG’deki rollerine biraz açıklık

kazandırmaktadır. Dokümana göre, “kurul, diğer işletme yöneticilerinden üzerinde bir

düzeyde gözetim sunmalıdır. Kurul üyelerinin bilgi güvenliğindeki rolü, yöneticilere doğru

sorular sormak ve doğru sonuçların alınması yönünde teşvikte bulunmaktadır.” Doküman,

yönetim kurulunun IS için üst yönetim düzeyinde gereken uygun atmosferi oluşturması

gerektiğine dikkat çekmektedir. Buna karşılık, dokümanda “icraî yönetimin bilgi güvenliği

çabalarının desteklenmesini ve kurum çapında anlaşılmasını sağlamak amacıyla liderlik

yapması ve bu yolla güvenlik politikalarının bu şartını örnekle göstermesi gerektiğini ifade

eder.” Şekil 2 (Sayfa 3’te) BT Uyum Enstitüsü’nün rehberinden tekrar basılmıştır ve ayrıca

yönetim kurulunun ve icraî yönetimin rollerini özetlemenin yanı sıra bölüm yöneticilerinin ve

iç denetçilerin rollerini de özetler. (Not: Ayrıca, bu GTAG’ın yazarları yönetim kurulunun

Şekil 2’de tanımlanan görevlerinin arasına “risk alma iştahı oluşturmayı” da ekleyeceklerdir.).

GTAG-1: Bilgi Teknolojisi Kontrolleri’nden alınan Şekil 3 (Sayfa 4’te) halka açık bir şirketin

yönetim kurulunun tipik yapısını, daimi komitelerini ve herhangi bir kurumun ISG

programında olabilecek spesifik icraî yönetim görevlerini (örn., CEO, CFO, CIO) özetler.

GTAG –Giriş

Bilgi Güvenliği Sorumlulukları

Yönetim Kurulu Gözetim yapar.

İşle ilgili talimatları bildirir.

Güvenlik politikasını oluşturur ve denetler.

Kurumsal güvenlik kültürünü tanımlar.

İcraî Yönetim Liderlik yapar.

IS’nin kurum çapında desteklenmesini ve anlaşılmasını sağlar.

Etkin olmak için yeteri kadar kaynak ayırır.

Güvenlik gözetimi hedefini geliştirir ve sürekli gelişim ve başarıyı

teşvik eder.

Personel ve İş kolu yöneticileri IS faaliyetlerinin planlanmasına ve uygulanmasına katkıda bulunur.

Güvenlik kontrollerini gözden geçirir ve izler.

Güvenlik gerekliliklerini tanımlar.

İç Denetçiler Anlama, benimseme ve etkinlik dâhil olmak üzere bilgi kontrol

ortamlarını değerlendirirler.

IS çabalarını onaylarlar ve güncel uygulamaları sektör

standartlarıyla karşılaştırırlar.

Gelişmeye yönelik önerilerde bulunurlar.

Şekil 2. Bilgi Güvenliği Sorumlulukları3

IS’ye gelince, kilit bir risk yönetimi birimi olarak kabul edilmelidir. “ Güvenlik, tehlike

şüphesinden ve tehlikeden arî olma durumudur. Bilgi güvenliği, bilgi varlıklarının (dijital,

fiziksel veya insan formunda olsun) korunmasını ve bilgi sistemlerinin zarar görmeye, kötüye

kullanıma ve saldırılara (saklama, işleme veya aktarım sırasında) karşı korunmasını içerir ve

bu yolla da bilgilerin sağlam, güvenilir ve hatasız kalmasını sağlar.”4

Etkin IS, hem yönetişim hem de yönetim faaliyetlerini gerektirir. Yönetim kurulunun,

kurumun hedeflerine karşı gizlilik, bütünlük ve kullanılabilirlik risklerini hafifletmek ve söz

raporlamak için IS’ye ihtiyacı vardır. Kurumsal yönetişimi geliştirmek amacıyla, yönetim

kurulu, genellikle, risk komitesinin veya kurul bünyesindeki başka bir komitenin tüzüğü

doğrultusunda IS gözetimini oluşturur. Verileri oluşturan ve depolayan işletme birimleri ve

BT hizmetleri; paydaşların, müşterilerin ya da düzenleyici kuruluşların bekledikleri gizlilik,

bütünlük ve kullanılabilirlik seviyesini sağlayamazlarsa, muhtemelen kabul edilemez riskler

ortaya çıkacaktır. Çoğu durumda, en düşük ortak eşik mevzuata uyumdur ve bu da IS

uygulayıcılarının asla ihlâl edilmemesi gereken çizgiyi anlamalarına yardım edecektir. İç

denetçi, IS’yle ilgili politika, prosedür ve uygulamaların yürürlükte olduğunu doğrulamalıdır.

3 BT Uyum Enstitüsü’nün Başarılı Denetimlere Nasıl Hazırlanması Gerektiğine ilişkin Pratik Bilgi Güvenliği Rehberi’nden (Information Security Practical Guidance on How to Prepare for Successful Audits) alıntı. www.t2pa.com/analysis-a-advice/library/179-it-audit-check-list-information-security4 Bihari, Endre. Information Security Definitions (Bilgi Güvenliği Tanımları), 2003. www.perfres.net

GTAG –Giriş

Yönetim, daha sonra risk komitesinin veya başka bir forum/organın ve yönetim kurulunun

belirlediği doğrultuda bir bilgi güvenliği (IS) kurumsal yapısı5 ve bütçesi oluşturacaktır.

Spesifik, özel bir yönlendirme olmadığında, yönetim uyum durumlarını anlamalı ve üst

yönetimin kılavuzluğunda olabilecek boşlukları doldurmak için minimum eşik olarak

kullanmalıdır. Denetimler, yönetimin etkin ve etkili bir bilgi güvenliği (IS) faaliyeti

uyguladığına ve bilgi güvenliği politikalarıyla genel uyumu sürdürdüğüne ilişkin güvence

sağlar.

2.2. Etkin Bilgi Güvenliği Yönetişimi Nedir?

Etkin bir ISG programı:

Uygun kurumsal personelin olmasını gerektirir.

Bir yönetişim çerçevesi veya metodolojisi sağlar.

5 Bu, ayrı bir bilgi güvenliği (IS) faaliyetinin yanı sıra mesuliyet açık olduğu sürece bilgi güvenliği sorumluluklarını mevcut rollere yerleştirmeyi de kapsayabilir. Yapı kurumsal-bağımlı bir yapıdır.

GTAG –Giriş

Çeşitli Yönetim Kurulu Daimi Komitelerinin ve İcraî Yönetimin Tanımları

Denetim Komitesi Denetim komitesinin görevi, malî konuların, iç kontrolü değerlendirmenin, risk yönetiminin ve etik kuralların gözetimini kapsar.

Yönetişim Komitesi Yönetişim komitesi, yönetim kurulunun üyelerinin seçilmesinden, değerlendirilmeden ve yönetim kurulunun faaliyetlerine liderlik yapmaktan sorumludur.

Risk Yönetimi Komitesi Risk yönetimi komitesi, tüm risk analizi ve değerlendirmesi, risk tepkisi ve risk izleme faaliyetlerinin gözetiminden sorumludur.

Finans Komitesi Finans Komitesinin başlıca görevi; malî tabloları, nakit akışı projeksiyonlarını ve yatırım yönetimini gözden geçirmektir. Bu komite üyeleri, kilit finansman sağlama kararlarını almada ve finansal raporları oluşturmada kullanılan bilgilerin doğruluğunu güvenceye alan BT kontrol bileşenlerini anlamalıdır.

Genel Müdür (CEO) CEO, kurumun genel stratejik ve operasyonel kontrolünü elindebulundurur ve görevinin pek çok noktasında BT’yi dikkate almalıdır.

Finanstan Sorumlu Genel Müdür

Yardımcısı (CFO)Finanstan Sorumlu Genel Müdür Yardımcısı, kurumdaki tüm finansal konuların genel sorumluluğunu taşır ve finansal yönetimi mümkün kılmak ve kurumsal hedefleri desteklemek için BT’yi iyi anlamalıdır.

Bilgi Teknolojileri Müdürü (CIO) CIO’nun kurumda BT’nin kullanımı konusunda genel bir sorumluluğu

vardır.

Güvenlik Yöneticisi (CSO) CSO, aynı zamanda bilgi güvenliği yöneticisinin (CISO) de sorumluluğunda olabilen IS de dâhil tüm kurumdaki bilgi güvenliğinden sorumludur. Ayrıca, GTA-6: BT Zafiyetlerinin Yönetim ve Denetimi’ndeele alındığı üzere, CISO, etkin zafiyet yönetimi ve teknik risklerin işletme riskleriyle uyumlu hâle getirilmesi gibi faaliyetleri destekler.

Baş Hukuk Müşaviri (CLC) CLC, kurumun bir çalışanı, bir üst düzey yöneticisi veya kurum dışından gelen bir hukuk müşaviri olabilir. wwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwRisk Yöneticisi (CRO) CRO, kurumun tüm katmanlarında riskleri yönetmekle ilgilenir. BT riskleri bu birimin bir parçasını oluşturdukları için, CRO bunları CISO’nun yardımıyla dikkate alacaktır.

Şekil 3. Yönetişim Organlarının ve Birimlerinin6 Görevleri

Kurum çapında tekdüzen risk yönetimini mümkün kılar.

Ölçülebilir ve anlamlı çıktılar üretir.

İşletme önceliklerini, kurumsal risk alma iştahlarını ve değişen risk düzeylerini yansıtır.

ISG Birimi, Uygun Kurumsal Personel Almalıdır

Bu personel yönetim kurulunu (bölüm 2.1’de ele alındığı gibi) ve iç denetçilerin taahhüt ve

politik destek almaları gereken icraî yönetimi içerir. IS departmanı, IS faaliyetinin

uygulanmasını sağlamak için standartlar/temel araçları ve süreçleri temin edecektir. Bilgi

varlıklarının layıkıyla tanımlanmasını ve ilgili dış beklentilere (mevcut ve gelecekteki

müşteriler, düzenleyici otoriteler, paydaşlar ve kurumun uzun vadeli, stratejik hedefleriyle

6 GTAG-1: Bilgi Teknolojisi Kontrolleri

GTAG –Giriş

ilgili olan kişi ve kurumlar) göre yönetilmelerini sağlamak için mahremiyet, mevzuata uyum,

hukuki fonksiyonlar ve BT fonksiyonu bu programa katılmalıdır.

Son kertede, insan kaynakları birimi, tüm çalışanlara üniform standartların bildirilmesine ve

IS talimatlarının ihlâliyle ilgili disiplin faaliyeti konusunda üniform rehberlik sunulmasına

yardımcı olmalıdır. Bu sayılan gruplardan uygun destek alınmadığı takdirde ISG faaliyeti,

gerileyerek ISG yönetimine dönüşebilir ve stratejik bir faaliyetten ziyade,

operasyonel/taktiksel bir faaliyete dönüşebilir.

ISG birimi, faaliyetlerine kılavuzluk etmesi için uygun bir çerçeve veya metodoloji

tanımlar.

Yönetişim çerçevesiyle ilgili örnekler, GTAG-11:BT Denetim Planını veya BT Yönetişim

Enstitüsü’nün Bilgi Güvenliği Yönetişimi: Yönetim Kurulu ve İcraî Yönetim için Kılavuzluk, 2.

Basım gibi yayınlarda bulunabilir. Bu çerçeveler; kurumun, paydaşlara, düzenleyici

otoritelere, hizmet sağlayıcılarına ve diğer kurum dışı şahıslara kolayca açıklanabilen

yapılandırılmış, tutarlı, tarafsız bir tarzda çalışmasını sağlamaya yardımcı olur. İyi planlanmış

çerçeveler, ayrıca, önerilen faaliyetlerin mevcut faaliyetlere uygulanan kriterlere göre

değerlendirilmelerini sağlayarak gelecek iş değişikliklerine ve faaliyetlere rehberlik yapabilir.

Bir çerçeve kullanmak, bir kuruma zaman içinde geliştirilen öncü uygulamalardan

yararlanmasını sağlar.

Üniform IS risk değerlendirmeleri, aynı zamanda etkin bir ISG’nin için de gerekli

unsurlardan birisidir.

Diğer tüm iş faaliyetleri gibi, IS faaliyetleri de önceliklendirilmelidir. Tüm kurumda üniform

risk ölçüm araçlarını uygulamak, risk seviyesi en yüksek olan alanların açıkça tespit

edilebilmelerini güvenceye almaya yardımcı olur. Risk değerlendirme araçları, ortamdaki

yapısal risklerin ayırt etmek için eşikler belirlemelidir. Örneğin, bir kurum, kabul edilebilir

risk eşikleri aşılmadıysa, sistemleri oldukları gibi (yani, riski kabul etmeyi) bırakmayı tercih

edebilir. Bu, yüksek riskleri özetleyen basit bir doküman gibi tehlike düzeyi yüksek bir riskin

basit bir değerlendirmesi olarak başlayabilir. (Not: bu araçların gelişmesi bekleniyor; fakat bu

rehberi kaleme alanlara göre, herhangi bir kurumun günlük faaliyetleri sırasında alması

gereken aşırı risk sayısından dolayı, hiçbir değer taşımayan bir risk değerlendirme sürecini

uygulamak için çok karmaşık ve ölçülebilir yöntemler kullanılmıştır.). Faaliyetin tüm

kurumda kendiliğinden gelişmesini sağlamak için yönetimin gerektiği kadar zaman ve kaynak

sağlaması hayati öneme sahiptir.

ISG birimi, nicel ve ölçülebilir çıktılar vermelidir.7

Nitel ve nicel veriler, yönetim faaliyetlerinde faydalı olabilir; fakat nicel veriler, nitel

ölçümlerle elde edilemeyen daha gelişmiş izleme ve trend oluşturma kapasiteleri sağlar. Nicel

ölçümler, sunulan politika ve standartların sayısını, meydana gelen kayda değer ve önemli

güvenlik olaylarının sayısını ve kurumsal güvenlik eğitimi programlarının sonuçlarını

7Çıktı ve ölçütlerle ilgili örneklere, Ulusal Standartlar ve Teknoloji Enstitüsü’nün Bilgi Güvenliği içinPerformans Ölçüm Rehberi (Özet Basım 800-55 Revizyon 1) yayınından ulaşılabilir.

GTAG –Giriş

içerebilir. Bu durum, nitel sonuçların hiçbir değerinin olmadığı anlamına gelmez; yeterli nicel

verilerle desteklenmeyen nitel veriler sağlanan bilginin algılanan değerini azaltır. Birlikte

alınan nicel ve nitel önlemlerin, yönetimin uygun kararlar alması gereken IS faaliyetine ilişkin

bir kavrayış sağlar. Ancak başarılı bir ISG faaliyeti, kurumu tanıyan ve anlayan IS

uzmanlarının gerçekleştirdiği uygun risk analiziyle birlikte gerçeklere dayanan, nesnel

ölçütlere göre yürütülmelidir.

ISG birimi, önceliklerini, hukuki, mevzuatla ilgili değişikliklere ve iş değişikliklerine

göre uyarlamalı ve kurumun risk alma iştahını yansıtan, pratik, makul ve uygulanabilir

politikaları ve standartları uygulamalıdır.

Başarılı işletmeler nadiren durağandır. Rekabet, mevzuat, değişerek gelişen iş modelleri ve

arz zincirindeki değişiklikler gibi değişen ve gelişen dış koşullarla karşı karşıyadırlar. Bir ISG

ekibi, söz konusu değişiklikleri anlamalı ve desteklemelidir. Örneğin, kurum iş alanlarına yeni

bir iş ekleyerek genişleyecekse, bunun etkisini her yönüyle değerlendirmelidir. Bu yeni iş

alanı uyulması gereken yeni yönetmelikler getiriyor mu? Yeni yapısal değişiklikler getiriyor

mu? Mevcut iş birimlerinin durumunu değiştiriyor mu? ISG faaliyeti, aynı zamanda, yerleşik

kurumlarda devam eden değişiklikleri de yansıtmalıdır. Eskiden beri süregelen işletme

faaliyetleri de yeni ortaya çıkan mevzuata ve tehditlere tâbi olurlar. Kurum, yönetişim ve

yönetim faaliyetlerini bu değişiklikleri yansıtacak şekilde güncelleyemezse, hayatta kalamaz.

GTAG-11: BT Denetim Planını Geliştirmek rehberinde de belirtildiği gibi, iç denetçilerin

yüzde 36’sı risk değerlendirmelerini artık yılda bir kereden fazla olmak üzere

tekrarlamaktadır. Bu, risk değişikliklerinin ne kadar hızlı meydana geldiğini göstermektedir. 8

2.3 Etkin Bir Bilgi Güvenliği Yönetişimi Nedir?

Etkin bir ISG faaliyeti, aşağıdaki eylemler yoluyla orantılılık kavramını yansıtır:

Katmanlı bir iç kontrol yapısını teşvik ederek,

Hiyerarşik ilişkileri gereken yönetim düzeyine göre düzenleyerek,

Politika ve standartlarda usulünce onaylanmış sapmalara (değişikliklere) izin vererek.

Etkin bir ISG faaliyeti orantılı kontrolü teşvik eder.

Bu, etkisi daha yüksek faaliyetler ve daha değerli varlıklara için daha fazla kontrol sağlamak

anlamına gelmektedir. Ayrıca düşük riskli faaliyetler ve daha az değerli varlıklar için daha az

kontrolün olmasını teşvik eder. Mevzuat veya dış sertifikalandırma otoritelerinin yaptırımları

olmasa, hiçbir kurum genellikle düşük-riskli faaliyetler için daha fazla para harcamaz.

Hiyerarşik ilişkilerin planlanması sırasında orantılı kontrol gözetilmelidir.

IS’nin durumu hakkında raporlama, raporlamada yer alan kurumsal kademelere göre

değişmelidir. Muhtemelen büyük kurumların hemen hemen hepsinde IS ihlâlleri rutin olarak

meydana gelir. İhlâl türleri tehdit düzeyi az olandan (örn. tek bir evrakın uygun olmayan

8 UMUÇ Standardı 2010: Planlama – “İç denetim yöneticisi, kurumun amaçları doğrultusunda iç denetim faaliyetinin önceliklerini belirlemek amacıyla risk-esaslı planlar yapmalıdır.” UMUÇ Standardı 2010.A1 – “İç denetim biriminin görev planı, en az yılda bir kere yapılan belgelendirilmiş bir risk değerlendirmesine dayanmalıdır.”

GTAG –Giriş

şekilde kullanılması) tehdit düzeyi çok yüksek olana (örn. elektronik sistemde yapılan bir ihlâl

sonucu korunmuş müşteri verilerinin kaybı) kadar değişebilmektedir. İcraî yönetim büyük

güvenlik olaylarına büyük ölçüde yer almalıdır; fakat toplu istatistiklerin değerlendirilmesiyle

muhtemelen sadece daha rutin görülen güvenlik ihlâllerinden haberdar olacaklardır. Orta-

kademe yönetim veya bölüm yönetimi ise, trendleri belirlemek için bu daha rutin olaylarda

daha önemli bir rol oynayacaktır.

Bir ISG faaliyeti, politikalara ve standartlara maliyet-verimli veya teknik olarak uygun

olmayan sistemleri ele almaya yetecek düzeyde uyarlanabilir niteliktedir.

Kontroller, maliyet-verimli olarak uygulanamazlarsa ve alternatif çözümler de yoksa, etkin bir

yönetişim yapısı, yerleşik politikalardan ve standartlardan sapma konusunda yapılandırılmış

bir mekanizma sağlar. Bu mekanizma, genellikle, resmi risk kabulüyle birlikte yönetimin

bilgilendirilmiş olarak hareket ettiğini göstermek için yapılan analizi kaydeden

dokümantasyonu içerir ve bu da edinilecek iş değerine göre ihtiyatlı ve uygundur. Bu, ayrıca,

politika yerleşik politikadan sapmanın (politika değişikliğinin), hâlâ uygun ve haklı olup

olduğu ya da politika değişikliğinden vazgeçilmesi gerektiğini söyleyen birimlerin sayısının

artıp artmadığını göstermek amacıyla politika değişikliğinin rutin olarak yeniden

değerlendirilmesini içerir (örn., toplam risk arttı; kontrol maliyeti azaldı; yeni kontrol

seçenekleri var.).

2.4 İDY Bilgi Güvenliği Yönetişimi Konusunda Nedene Endişelenmelidir?

İster işletmenin stratejik planları olsun ister müşterilerin kişisel bilgileri (PII) olsun, bilgi çoğu

kurumun rekabet stratejisinin önemli bir parçasıdır. Bu tür bilgilerin kaybı, kurum üzerinde

anlamlı bir kötü etkiye neden olabilir. Daha önce de söz edildiği gibi, IS genellikle bir kurumu

diğerine tercih etme nedenlerinden değildir; ancak bilgi kaybının mevcut ve gelecek iş

olanakları üzerinde önemli bir etkisi olabilir. Doğrudan kaybın yanı sıra, özellikle finansal

raporlama, para çalma veya hizmet aksamaları söz konusu olduğunda bilgi

bütünlüğü/güvenilirliğiyle ilgili sorunlar da vardır. Yönetimin, bilgi güvenliğiyle ilgili

sorumluluklarını kurumun ihtiyaçları doğrultusunda yerine getirmesini sağlayamamanın daha

belirgin sonuçlarından bazıları şunlardır:

Düzenleyici Organların Kararları ve Eylemleri. Kurumların çoğu, bazı kişisel kimlik

bilgilerini (PII), korunan sağlık bilgilerini (PHI) veya müşterileri veya çalışanları için

düzenlemelere tâbi bilgileri (örn. yayımlanmamış bilgiler) ellerinde bulundururlar. Pek çok

ülkede, bu tür bilgiler konusunda aşırı-regülasyon sorunu vardır. İyi bilinen PII

sorunlarının yanı sıra, veri kaybı veya veri bütünlüğünü riske atma da malî tabloların

güvenilirlikleri veya başka konularda ciddi sorunlara neden olabilir. Mevzuata uymamanın,

kuruma büyük ölçüde zarar verebilecek çok sayıda ağır para cezası vardır.

İtibarın Zedelenmesi. Bilgi güvenliğini ihlâl eden kurumlar, genellikle, müşterilerinin

olumsuz tepkisiyle karşılaşır.

Rekabet Avantajı. Rekabet stratejileri, fiyatlandırma, müşteri ve ortakların bilgilerini ve

diğer kilit kurumsal bilgileri riske atma, bir kurumun bu tür bir risk altında olmayan

sektördeki diğer kurumlarla rekabet etme yeteneğini tehlikeye atabilir.

GTAG –Giriş

Sözleşmelere Uymamak. Sözleşmeler, çoğunlukla bilgilerin korunmasıyla ilgili hükümler

ve şartlar içerirler. Bu konudaki bir ihlâl, kilit sözleşmelerin, müşterilerin ve bunlara

ilaveten söz konusu konularda açılabilecek hukuk davalarının da kaybedilmesiyle

sonuçlanabilir.

Yanlış veya Eksik Bilgi. Kurumlar, doğru ve tam ve eksiksiz bilgiler sağlamalı, saklamalı

ve ellerinde doğru veya eksiksiz bilgiler bulundurmalıdırlar. Yanlış veya eksik bilgiler,

basit hatalardan veya doğrudan suiistimalden kaynaklanıyor olabilirler. Sebebi ne olursa

olsun, yönetişim çalışmaları, bilgi doğruluğunu ve bütünlüğünü de kapsar.

Suiistimal. IS’yi yeterli düzeyde uygulanamaması, kuruma karşı yapılan suiistimallerin

başarıya ulaşma olasılığını arttırır.

Sayılan maddelerin dışında, İDY’nin, ISG hedeflerinin etkin ve verimli bir şekilde yerine

getirilmesini güvence altına alma ve BT biriminin paydaşlara yönelik güvene dayalı

görevlerini yapmasında kurula yardımcı olma konusunda yönetim kuruluna karşı sorumluluğu

vardır. Bu nedenlerden mütevellit, IS faaliyeti IAA talimatlarının uygulanması sırasında

dikkate alınmalıdır.

GTAG – Bilgi Güvenliği Yönetişiminde İç Denetimin Rolü

3. Bilgi Güvenliği Yönetişiminde İç Denetimin Rolü

UMUÇ Standardı 2130.A1’de de belirtildiği gibi:

İç Denetim birimi, Kurumun aşağıda verilen konularda kurumsal yönetişim, operasyonlar ve

bilgi sistemlerindeki risklere cevap verme konusunda uygulanan kontrollerin yeterliliklerini

ve etkinliklerini değerlendirmelidir:

Finansal ve operasyonel bilgilerin güvenilirliği ve doğruluğu.

Operasyonların etkinliği ve verimliliği.

Varlıkların korunması.

Kanun, yönetmelik ve sözleşmelere uyum.

Ayrıca, UMUÇ Standardı 2110.A2’ne göre:

İç denetim birimi, bilgi kurumun teknolojisi yönetişiminin, kurumun stratejilerini ve

hedeflerini sürdürüp sürdürmediğini ve destekleyip desteklemediğini değerlendirmelidir.

İDY, bu beklentileri ISG denetimi planlamasına dâhil etmelidir. Güvenilirlik ve bütünlük,

koruma ve mevzuata uyum konuları genellikle IS yönetimiyle ilişkilendirilir; ancak etkinlik

ve verimlilik, yönetim kurulunun risk alma iştahına dâhil edilmelidir ve bunun yanı sıra,

IAA’nın, yönetişim faaliyetlerinin gerektiği gibi kontrol edilen, yetersiz kontrol edilen veya

gereğinden fazla kontrol edilen sistemlere veya iş akışlarına yol açıp açmadığını belirlemesini

sağlamalıdır. Gerektiği gibi kontrol edilen sistemler; güvenilirlik, koruma ve mevzuata uyum

bakımlarından hem etkili hem de verimlidirler. Yetersiz kontrol edilmeyen sistemler verimli

olmakla birlikte – özellikle belirsizliğin arttığı değişim ve risk dönemlerinde – daha az

etkindirler. Gereğinden fazla kontrol edilen sistemler veya söz konusu kaybın gerektirdiği

kontrollerden daha fazla kontrol edilen sistemler daha etkin olabilirler; fakat aynı derecede

verimli değildirler. IAA’nın, ISG biriminin gizliliği, bütünlüğü ve kullanılabilirliği ve

mevzuata uyumu ele alma konusunda hem etkin hem de verimli olduğunu güvence altına

alması gerekir. Fakat bir kontrolün etkinliği gözden kaçırılmaması gereken en önemli

noktadır.

3.1 İç Denetim Biriminin Bilgi Güvenliği Yönetişimiyle İlgili Sorumlulukları

IAA, kurumsal yapılar oluşturup, metodolojileri onaylayıp, kurum adına politikalar yazamasa

bile, onları sınayabilir ve iç denetim tüzüğünün ve UMUÇ’un cevaz verdiği ölçüde kurumdaki

bilgi güvenliği yönetişimi birimini desteklemelidir. Bu katılım, muhtemelen şu gibi

faaliyetleri içerir:

Yönetişim faaliyetlerinin ve standartlarının, IAA’nın kurumun risk alma iştahı

anlayışıyla ne derece örtüştüğünü değerlendirme.

İç denetim tüzüğünün izin verdiği ve yönetim kurulunun onayladığı ölçüde

danışmanlık yapma.

Önemli kurumsal değişikliklerin ve risk değişikliklerinin zamanında ele alınmasını

sağlamak için ISG ile devam eden görüşmeler.

ISG faaliyetinin, IIA Standardı 2110.A2’na uygun olarak yapılan resmi denetimleri.


3.2 Denetçi Arkaplanı ve Deneyim Seviyesi

Etkin bir ISG faaliyeti gerçekleştirebilmek için, ISG kavramlarını iyi anlayan deneyimli

bir denetçi olmak gerekir. Bir ISG denetimi, kontrol listesi yaklaşımından ziyade,

denetçinin kurumun ISG faaliyetlerini anlayıp yorumlamasını gerektirir. İDY, IAA’nın

IS’yi ve hem iç hem de dış risk maruziyetleri ve kurumun dış kuruluşlarla olan

ilişkileriyle ilgili riskler de dâhil, ilgili riskleri değerlendirebilmek için gereken

kaynaklarının ve yeterliliğinin olduğunun güvencesini vermelidir. İDY, güvenlik ve icraî

yönetimle çalışırken deneyimli personele güvenme ihtiyacı duyabilir. Küçük denetim

birimlerinde, İDY sürece etkin bir şekilde katılabilir. Personel, mevcut yönetişim yapısını

anlamış olmalıdır ve güvenlik yönetimi liderliği ve yönetişim yapısıyla daha etkin ilişkiler

oluşturabilmek için gereken iletişim yönetimi becerilerine sahip olmalıdır.

3.3. Bilgi Güvenliği Yönetişimi Denetimleri

Bilgi güvenliği yönetişimi (ISG) faaliyeti, birkaç farklı biçimde karşımıza çıkabilir:

En temel ISG görevi, ISG faaliyetini bağımsız standartlarla karşılaştırmaktır.9 Bu

gözden geçirme seviyesi, yönetimin ISG çerçevesini ne kadar kapsamlı tanımladığı

konusunda biraz güvence verir; fakat aslında sıkı uygulanan süreçlerin tanımlanan

çerçeveye ne kadar uygun olduğunu değerlendirmez. Bir karşılaştırma görevi, çok

yıllı bir denetim planında etkin bir başlangıç noktası sunabilir; çünkü ek denetim

testleri yapılmadan önce, yönetişim yapısındaki planlama hatalarını ele alması için

yönetime zaman tanır. Bu yaklaşım, İDY’nin IAA kaynaklarının etkin bir şekilde

yönetildiğiyle ilgili güvence vermesine yardım edebilir; çünkü uygunluk testi, IAA

programın temel gereklilikleri karşıladığına ilişkin makul bir güvence alana kadar

başlamaz.

İDY, ISG faaliyetinin planlanmasından yeterince memnun kaldıktan sonra, denetim

testi programın ne derece uygulandığına odaklanmalıdır. Bu tür bir denetim,

istisnalarla ilgili yönetim raporlarını, onaylarını ve dokümantasyonunu, risk

değerlendirmelerinin tutarlılığını, ölçütlerin etkin kullanımını ve yeni beliren işletme

gereksinimlerine ve kurum dışı değişikliklere bağlı olarak zamanında yapılan

güncellemeler, yönetim kurulu ve komite toplantı tutanaklarının gözden geçirilmesi,

iş stratejileri ve planları, iş değişiklikleri ve yönetim üyeleriyle mülakatları içerebilir.

Sonuçta, IAA, son kertede diğer denetlenebilir kuruluşların ISG faaliyetine ne kadar

yeterli sürekli destek sağladıklarını incelemelidir. Bu, muhtemelen, olası güvenlik

olaylarının uygun şekilde belgelenip belgelenmediklerini, bir üst birime havale edilip

edilmediklerini, uygun cevap verilip verilmediğini ve destek ekipleri tarafından

yönetilip yönetilmediklerini ve stratejik iş süreçlerinin her birinin IS risk

değerlendirmeleri gibi diğer denetimlerdeki spesifik test basamaklarını içine alacaktır.

Bu denetim, yönetişim yerine IS faaliyetlerinin denetimi olarak oluşturulabilirken,

kurumların, kurum departmanlarının veya birimlerinin yönetişim sürecinin

9 İç denetçi, ayrıca, yönetimin karşılaştırma yapıp yapmadığını doğrulamak isteyebilir; böyle bir durumda karşılaştırma faaliyetlerini dikkate alınız.


oluşturduğu beklentileri ne ölçüde anladıkları ve bunlara ne derece uyduklarını

gözlemlemek, ISG’nin gerçek etkinliğinin anlaşılması için elzemdir. Örneğin, yardım

masası, kötüye kullanımların yüzde ellisinden eksik beyan ederse, bir bütün olarak

kurum gerçek risk profilini dramatik ölçüde eksik değerlendirecektir ve bu yüzden

kilit işletme hedeflerine ulaşamayabilir.

GTAG – Bilgi Güvenliği Yönetişiminin Denetimi

4. Bilgi Güvenliği Yönetişimi Denetimi

4.1. Bilgi Güvenliği Yönetişimi - Planlama

Bir bilgi güvenliği yönetişimi faaliyetini etkin ve verimli bir şekilde denetlemek için, IAA’nın

denetim komitesinden ve yönetimden aldığı girdi verileriyle en önemli olarak belirlediği

yönleri test edecek bir denetim planı yaratılmalı ve sürdürülmelidir. Bunu yapabilmek için,

IAA bir kurumun yapısını, amaç ve hedeflerini, iletişim yollarını, risk alma iştahını, diğer

işletme birimleriyle etkileşim düzeyini ve dış baskıları dikkate almalıdır.

4.1.1. Bilgi Güvenliği Yönetişimi Kurumsal Yapısını Anlamak

İlk adım, ISG faaliyetine destek olmak amacıyla kurumsal yapıyı değerlendirmektir. ISG

biriminin, etkili olabilmek ve çıkar çatışmalarından kaçınmak için, kurumsal hiyerarşik yapı

içerisinde genellikle yeterince yüksek bir kademede olması gerektiğinden, resmi hiyerarşik

yapının anlaşılmasına özen gösterilmelidir. Örneğin, bilgi güvenliği yönetişimi başkanı,

CIO’ya, CFO’ya veya kurumsal düzeydeki CSO’ya rapor verebilir ve bu yolla da kurumun

daha alt birimlerinde çalışırken olası çıkar çatışmalarını azaltabilir.

IS biriminin, muhtemelen, her kurumsal politika için kilit paydaşlara resmi raporlama yolları

olacaktır. Bunun içerisinde, yönetim kurulu ve/veya komiteleri, kurumsal danışmanlık,

mevzuata uyum vb. yer alır. Bu yapılar ideal olarak resmi yollarla belgelenmelidir. İç denetçi,

politika nüanslarını ve kurumun bu birime verdiği kurumsal önceliği anlayabilmek için hem

resmi hem de gayri resmi raporlama yapıları hakkında bilgi toplamalıdır.

Değerlendirmeye bir ek boyut da, yönetişim yapısının derinliğini ve kapsam genişliğini ve

yönetişim yapısında yer alan kilit kişilerin yokluğunda kurumun toparlanma ve esneklik

düzeyini değerlendirmektir. Örneğin, CIO veya CSO işten çıkarılırsa, IS’ye ne olurdu?

Yönetişim yapısı buna nasıl bir tepki gösterirdi veya bunun ne gibi bir etkisi olurdu?

Bu kanıtlar, kurumsal yapı şemaları, iş tanımları ve kurumsal IS politikalarının yanı sıra C-

seviyesi yöneticiler, denetim ve risk komitelerinin başkanlarıyla yapılan mülakatların talep

edilmesi yoluyla toplanabilir.

Sorulması gereken sorular:

1. IS’den resmi olarak sorumlu kişi kimdir?

2. Bu kişi, kurumsal yapı şemasının neresinde yer alır?

3. Bu kişi resmi olarak kime bağlıdır?

4. Bu kişinin kime karşı dolaylı (dotted line) sorumluluğu vardır?

5. IS personelinin bilgi amaçlı veya daha resmi bir yürütme görevi gereği düzenli olarak

rapor verdiği komite birimleri, kurullar veya başka gruplar var mı?

6. IS’den sorumlu bir kişinin kariyer düzeyi nedir? Bu üst düzey yöneticilik düzeyinde bir iş

mi yoksa bir müdüriyet düzeyinde mi? Bu kişinin başka görevleri var mı?

7. Tüm IS konumları için görev ve sorumluluklar, hesapverebilirlik ve performans resmi

olarak tanımlanmış mıdır?

8. Çıkar çatışmalarından nasıl kaçınılır?


9. CSO, IS faaliyetini yürütüyor mu yoksa daha çok uyum konusunda rapor mu veriyor?

10. Bir IS forumu var mı? Varsa, rolü nedir?

4.1.2. Her Ortam Bileşeninin Amacını ve Hedeflerini Anlamak

Yönetişim yapısı bir kere anlaşıldıktan sonra, yönetimin beyanlarını doğrulayan dokümanlar

toplanmalı ve değerlendirilmelidir. Buradaki amaç, yürütülen tartışmaların yönetim kurulunun

ve icraî yönetimin istediği doğrultuda gerçekleştiğini doğrulamaktır.

Toplanacak dokümantasyon örnekleri; IS politikalarını, tüzüklerini, hedeflerini, önemli iş

tanımlarını, güvenlik yönetişiminin tartışıldığı yönetişim veya yönetim kurulu toplantılarının

tutanaklarını, olaya müdahalelerini ele alan dokümanları, saklama politikalarını, süreç

anlatımlarını ve eğitim materyallerini vb. içerir.

Sorulması gereken Sorular:

1. IS biriminin görev ve sorumlulukları resmi olarak tanımlanmış mıdır?

2. İşletme birimi ve/veya bireysel performans hedefleri IS hedeflerine nasıl bağlıdır? Bunlar

IS faaliyetini destekliyorlar mı?

3. ISG yapısının her bileşeninin yeterli sermayesi ve IS çalışmalarını destekleyecek faaliyet

giderleri bütçesi var mı?

4. Kamu ve yatırımcı ilişkileri ve kanun uygulamayla eşgüdüm gibi IS olaylarının gözetimi

için gereken prosedürler uygulanıyor mu?

5. IS politikaları yazılı standartlarla destekleniyor mu? Standartlar, yazılı prosedürlerle

destekleniyor mu?10

4.1.3. Hiyerarşik Kademeler Arasında Gelişen Belgelenmiş İletişimi Anlamak

Politikalar, standartlar ve prosedürler, IS departmanıyla denetim komitesi gibi diğer gruplar

gelişen bilgi alışverişlerini özetlemelidir. Bir iç denetçi, söz konusu bilgi alışverişlerinin

istendiği gibi gerçekleşip gerçekleşmediğini ve istenmeyen engellerin - politikayla ilgili,

teknik vb. - olup olmadığını değerlendirmek için veri toplamalıdır. Örneğin, kurum son derece

yapılandırılmış ve disiplinli bir kurum ise, CSO’nun karar vericilere uygun erişimi bulunuyor

mu? Politika ve prosedürler, personelin yokluğu ve anormal iş koşulları gibi belirli

durumlarda olayın bir üst birime havale edilme kriterlerini tanımlamalıdır.

Geribildirim döngüsü, her mümkün olduğunda resmi olarak tanımlanmalı ve belgelenmelidir.

IS biriminin herhangi bir dönüt almaksızın tek taraflı raporlar vermesi yerine, ideal olan

iletişim şekli, alıcının iletiyi kabul ettiği ve varsa soruları yanıtladığı bir diyalog çerçevesinde

gelişen iletişimdir. Böyle bir iletişim, IS faaliyetleri için hesapverebilirliğin güçlendirilmesine

yardımcı olur.


1. Hangi bilgi alışverişleri resmi olarak tanımlanmıştır?

2. Bunlar yeterli midir?

10 Denetçi, kurum politikalarının standartlara yön verdiği kurumlarda, IS politikaları, standartları ve prosedürler arasında açıkça bir bağlantı olduğunu görmelidir.


3. Söz konusu bilgi alışverişleri programlandığı gibi mi gerçekleşmektedir?

4. IS birimi, birlikte çalıştığı gruplardan etkili/anlamlı geribildirimler alıyor mu?

5. IS haberlerinin/uyarılarının izlemesi gereken bir üst makama havale yolu nedir?

4.1.4. Kurumun Risk Alma İştahını Anlamak

İç denetçi, kurumun risk alma iştahını anlayabilmek için, mümkünse, yönetim kuruluyla

görüşmelidir. Bu, yönetim kurulunun kurum için kabul edilebilir olarak gördüğü risk

seviyesiyle ilgilidir ve kurum kültürüne ve yönetimin risk alma iştahı seviyesine

yansıtılmalıdır. Ayrıca iç denetçi; riskleri, yönetim kuruluna havale etme koşullarını ve üst

yönetime raporlanması gereken acil durumları içeren yazılı politikaları inceleyip gözden

geçirerek kurumun risk alma iştahını yansıtan teyit edici kanıtlara ulaşabilir.

Bazı yönetim kurulları risklerden kaçınırlar ve değer yaratma ve koruma konusunda tutucu

olma eğilimindedirler. Diğer yönetim kurulları, daha büyük kazanç elde etme uğruna daha

yüksek riskler almayı kabul edebilirler. Kurulun riske bakış açısını anlamak, IS için geniş bir

bağlam oluşturacaktır.

İç denetçi, kurulu angaje etmeyi garantiye alan önemlilik eşiğini anlamalıdır. Ayrıca, kurulu

angaje etmek için acil durumlar türleriyle ilgili geniş kapsamlı kılavuz ilkeler oluşturmalıdır.

Kurumsal politikalar, bu acil durumların yanı sıra üst makamlara doğru havale etme yollarını,

iletişim planlarını ve benzerini tanımlamalıdır.


1. Yönetim kurulu hangi koşullar altında angaje olmalıdır?

2. Kurumun önemlilik eşiği nedir?

3. Kurulun kabul edilemez olarak göreceği IS riskleri nelerdir?

4. Bu kriter ne kadar sıklıkla gözden geçirilmektedir?

4.1.5. Bilgi Güvenliği Yönetişiminin Kuruma Entegrasyonunu Anlamak

IS faaliyeti, bir kurumun diğer birimleriyle entegrasyon yoluyla en iyi şekilde uygulanabilir.

Başka bir deyişle, IS birimi diğer faaliyetlerden yalıtılmış olarak tek başına bir kurumu

güvenceye alamaz. Birlikte çalıştığı birimlerin hedeflerine ulaşmalarına yardımcı olmak için

yönetimle, proje yönetimiyle, sunucu mühendisliğiyle, ağ ve masaüstü mühendisliğiyle,

sürüm yönetimiyle, iş sürekliliğiyle, iş süreci sahipleri ve diğer gruplarla işbirliği yapması

gerekir. Bu hedefler, kurum politikalarında da belirtildiği gibi yönetimin amaçlarına uygun bir

bilgi güvenliğini kapsamalıdır.

Bir iç denetçi, IS biriminin hem birim hem de IS için karşılıklı entegrasyon gerekliliklerini

oluşturmak üzere her bir işletme birimiyle görüşüp görüşmediğini belirlemek amacıyla

kurumsal örgütlenme şemasını gözden geçirip kullanabilir ve işletme birimleriyle görüşebilir.

Politikalar, gözden geçirme döngüsü oluşturmalı ve ilerleme planlarını hazırlamak için

toplantı tutanakları veya diğer özet raporlar bulunmalıdır.



1. IS diğer işletme birimlerinin stratejilerinde, süreçlerinde ve prosedürlerinde dikkate

alınıyor mu? IS birimi kuruma değer katmış mıdır?

2. IS, kurumun BT stratejisinde dikkate alınıyor mu?

3. Resmi bir toplantı programı var mı?

4. Toplantı gündem maddeleri nelerdir? Atılan adımlar ya da konular herhangi bir

ilerlemeden yoksun mu?

4.1.6. Bilgi Güvenliği Yönetişimini Etkileyebilecek Dış Etkenleri Anlamak

Risk ortamı değiştikçe, kontrol, süreç ve prosedürlerin de aynı şekilde değişmesi gerekir. Söz

konusu dış etkenler arasında,

Mevzuata İlişkin Değişiklikler. Kurumun kısa vadeli hedefleriyle uyumlu olan veya

olmayan belirli direktiflere uyulmasını gerektiren kanunlar ve veri gizliliğine ilişkin

yönetmelikler vardır. Bu mevzuata uymama, para cezalarına, hukuk davalarına ve

markanın zarar görmesine neden olabilir.

Gelişen Sektör Standartları. Ödeme Kartları Sektörü Veri Güvenliği Standartları (PCI-

DSS) veya BITS Ürün Sertifikalandırma (önceden Bankacılık Sektörü Teknolojisi

Sekretaryası) gibi, kritik ortaklarla iş yapabilmek için uyulması gereken çok sayıda sektör

kuvveti vardır. Kurumun zarar verici etkilerden korunması için bu gereksinimlerin ve

bunlara uymamanın risklerini anlama dikkate alınmalıdır.

Hukukî Gelişmeler. Hem sözleşmelerden hem de hukukî ortamdan doğan riskler vardır.

Örneğin, ödeme kartı sektörünün, kredi kartı kullanan kurumların uymaları gereken

sözleşmeden doğan gereklilikler vardır. Ayrıca, ihmaller ve diğer potansiyel sorunlarla

ilgili hukukî davalardan kaçınmak için kurumların hukukî ortamı anlamaları gerekir.

Dinamik Piyasa Güçleri. Piyasaların yönünden kaynaklanan riskler vardır. Örneğin,

elektronik ticarete yönelim, kurumların hafifletmeleri gereken güvenlik riskleri ortaya

doğurur.


1. Kurumun tâbi olduğu yönetmelikler, kanunlar ve sözleşme gereklilikleri nelerdir?

2. IS gerekliliklerini anlamak amacıyla yönetmelikler hangi sıklıkla ve en son ne zaman

gözden geçirilmiştir? Gözden geçirme sürecinde hukukî işlerden sorumlu departman yer

almış mıdır yoksa verilerin yorumlanması hukuk departmanı dışında çalışan personele mi

bırakılmıştır?

3. Kurum içi veya kurum dışı bir mevzuata uyumu sağlama ekibi var mı? IS birimi onlarla en

son ne zaman görüşmüştür?

4. Hangi yönetmelikler maliyetli ve çalışma bakımından verimsizdir?

5. Hangi sözleşmeler IS bileşenlerini içerir?

6. IS birimi, herhangi bir sözleşmeden doğan gereklilikleri en son ne zaman bir hukukî

danışmanla gözden geçirmiştir?

7. Hukukî danışman, sözleşme sürecinde sözleşmeden doğan gereklilikleri değerlendirmek

üzere IS birimine danışmanlık yapıyor mu?

8. Hangi hukukî sözleşmeler daha ağır yükümlülükler getirir ve neden?


9. IS birimi, hukukî ortamı bir hukukî danışmanla en son ne zaman gözden geçirmiştir?

10. ISG’yi etkileyen hukukî ortam sorunları ve bunun nedenleri nelerdir?

11. IS birimi, piyasada neler olup bittiğini anlamak için pazarlama ve strateji gruplarıyla en

son ne zaman görüşmüştür?

12. Hangi piyasa güçleri ISG’yi etkilemektedir ve neden?

4.2. Bilgi Güvenliği Yönetişimi Denetimi – Test

İç denetçiler, kurumun dokümanlarını gözden geçirerek edindikleri bilgilere dayalı olarak ISG

yapısından kilit kişilerle görüşerek bu kavrayışlarını teyit ettirmeli ve onaylatmalıdırlar. Bu

onaylama, kurumun dokümanlarının gerçekleri yansıtıp yansıtmadığını ve paydaşların

algılarının doğru olup olmadığını belirlemeleri konusunda iç denetçilere yardımcı olacaktır.

4.2.1 Paydaşların Endişelerini Doğrulama

İç denetçi, neyin korunmaya değer önemde olduğunu - ISG yapısı içerisindeki tanımlanmış

tüm kişiler, birimler ya da komitelerle – teyit etmelidir. Teyidin ardından, iç denetçi,

yönetişim yapısının tüm unsurlarının uyumlu olup olmadıklarını belirleyebilir.

Daha önceden de bahsedildiği gibi, iç denetçi, ilk olarak yüksek-öncelikli kaygıları kurumun

yönetim kuruluyla görüşerek doğrulamalıdır. Daha sonra, ISG yapısından aşağıya doğru

ilerlemelidir. Sorular, her insanın, birimin veya komitenin özellikle işletmeyle veya ISG’yle

ilgili ne gibi kaygıları olduğunu ele almalıdır. Şekil 4’te (sağda) söz konusu kaygıları

doğrulamak için önerilen sorular yer almaktadır:

Kaygıları Doğrulamak için Sorulacak Sorular

Kurumun bulunduğu sektörün tâbi olduğu mevzuata ilişkin gerekliliklerle ilgili aklınıza takılan sorular var mı? Kurumun mevzuata uyumuyla ilgili aldığınız bildirimlerden memnun musunuz?

Bizim risk alma iştahımızın seviyesi nedir? Önceliklerimiz nelerdir: gizlilik, doğruluk ya da kullanılabilirlik mi? Eğer bunların üçü de önemliyse, her üçünün de dikkate alınması gerektiğinde, öncelik hangisinde olmalıdır? Ne kadar gizlilik istiyorsunuz? (örneğin, hiçbir kaydın kaybolmamasını konusunda yüksek güvence – ki bu maliyetlidir.)?

İhmallerden kaçınmak için bilmemiz gereken bir şey var mı (örneğin, tüketici bilgilerinin yetersiz korunmasından kaynaklanan ilgili mevzuata uymama durumu)?

Çalıştığımız sektörde bilmemiz gereken trendler var mı? Rakiplerimizin istediği güvence düzeyi nedir? Sektörümüzde bir tepki verilmesini gerektiren ne olmuştur? Gözetmemiz gereken sektör içi en iyi uygulamalar, önerilen kılavuz ilkeler veya mevzuat gereklilikleri var mı (örn., BITS, PCI-DSS)?

Yönetim kurulu, yönetimin riskleri değerlendirme ve raporlama şeklinden memnun mu? Değilse, IS birimin gidişatını başarılı bir şekilde değerlendirebilmek için neye ihtiyacı vardır? Kurul üyelerinin veya yönetimin başka kurumlarda gördükleri ve bu kuruma getirilmeye değer olabilecek uygulamalar var mı?

Endişelenmemizi gerektirecek başka herhangi bir durum (örneğin, stratejik yönetim) var mı?


Şekil 4. Kaygıları Doğrulamak için Sorulması Gereken Sorular

Söz konusu kaygılara verilecek tepkiler, kuruma göre değişebilir ve hem kurum içi hem

kurum dışı iş kaygılarını içerir. Kaygılardan bazıları; kâr, markayı koruma, sorumluluklar,

fikrî mülkiyet veya mevzuata uyum olabilir. Verilen cevaplar ise, kuruma veya sektöre özgü

olabilir. Örneğin, bir hayır kurumu kârdan ziyade yatırım riskleriyle daha fazla ilgi duyabilir.

Cevaplar, kurumun dışarıdaki itibarının zarar görmesi riski de dâhil dış ilişkilerin ve mevzuata

uyumun tartışılmasını da içerebilir.

Bu sorgulama sürecine dayalı olarak, iç denetçi ISG’yle ilgili bir durumsal farkındalık

geliştirecektir. Ardından, iç denetçinin, cevapların kurumun tüzükleri, hedefleri, politikaları

ve diğer destekleyici dokümantasyon da dâhil yönetişim yapısıyla uygun olup olmadığını

belirlemesi gerekecektir. İç denetçi, daha sonra hiyerarşik yapılara alınan cevapları ilgili

destekleyici dokümanlarla karşılaştırmanın yanında uyumun nerede olup nerede olmadığını

tespit etmelidir.

Sonuçta ortaya çıkan tablo, iç denetçinin ISG yapısını özetlemesini ve bu yapıyla ilgili

önerilerde bulunmasını sağlayacaktır. Belgelenen şeyle gerçekte var olan arasında farklılıklar

olabilir. Bu farklılıklar, ağır işleyen veya kurumda yapılan değişiklikler doğrultusunda

değiştirilmeyen resmi uygulamaların sonucu olabilirler. Kurumun kendisi, genellikle,

belgelenmeyebilen; fakat güncel belgelerde de ifade edilen hedeflere ulaşma konusunda daha

verimli ve etkin olabilecek yeni uygulamaları bünyesine uyarlayacak veya yaratacaktır. İç

denetçinin, güncel uygulamanın kurumsal hedefleri gerçekleştirdiğini ve aslında daha verimli

ve etkin olduğunu kanıtlamak için bu farklılıklardan her birini değerlendirmesi gerekir.

Güncel süreçler belgelenen beklentilerden farklıysa, iç denetçi bu farklılıkların o yönetişim

yapısını atlatmayı mı amaçladığını yoksa bunun sırf belge tarihinin geçmiş olmasından mı

kaynaklandığını belirlemelidir.

4.2.2. Raporlama ve İletişim Yollarını Doğrulamak

Bilgi ve iletişim, Treadway Komisyonunu Destekleyen Kurumlar (COSO) modelinin

bileşenlerinden biridir. Kurum içerisindeki hiyerarşik ilişkiler resmi olarak tanımlanmalı ve

komuta zincirinden yukarı ve kurum içerisinde aşağıya doğru etkin bir iletişime olanak veren

süreçler varlığını korumalıdır. Bu süreçler; ISG birimindeki kullanıcıların cevap vermelerine

ve sorumlulukları yerine getirmelerine olanak veren belirli bir zaman dilimi içerisinde IS’yle

ilgili bilgileri tanımlama, yakalama ve raporlama prosedürlerini içerir.

İç denetçi, bu resmi raporlama ve iletişim ilişkilerinin kurumun belgelerinde tanımlandığı gibi

gerçekleşip gerçekleşmediğini ve etkin olup olmadığını doğrulamalıdır. Doğrulama, sorgu ve

belgelerin gözden geçirilmesi yoluyla yapılabilir. İç denetçi, kurumun resmi iletişim ve

raporlama ilişkilerini gözden geçirip değerlendirirken, COSO modelinin bilgi ve iletişim

bileşenini kullanabilir.

İç denetçi, resmi raporlama ilişkilerini gözden geçirirken, resmi ISG yapısının bir parçası

olarak belgelenmeyen diğer iletişim yollarından haberdar olmalıdır; zira gayri resmi iletişim

yolları etkisiz raporlama ve iletişimin bir göstergesi olabilir. Bu iletişim yolları, zamanla,


algılanan etkisiz resmi raporlama yollarından veya iletişim yöntemlerinden, ISG yapısı

içerisindeki çeşitli bireyler arasında ya da politikayla ilgili algılardan farklı bir yöne doğru

gelişebilir.

Kurumlar; toplanan her komitenin toplantı tutanaklarını veya tüm bildirimlerin belirli bir yolla

istenmesi gibi resmi olarak tanımlanan raporlama ve iletişim gerekliliklerinin aşırı yükü

altında kalmış olabilirler. Kullanıcılar, birini aramak daha etkin ve verimli olabilecekken

küçük bir iş için bile bütün bir komuta (hiyerarşik) zincirinden geçerek iletişim kurmak

zorunda kalmaları nedeniyle bir çıkmaza girebilirler veya umutsuzluğa kapılabilirler. Bu

örnekler, bir yönetişim yapısı içerisindeki kullanıcılara, kendi algılarına göre, resmi

süreçlerinden daha verimli ve etkin olmayı sağlayan gayri resmi iletişim kanalları oluşturma

imkânı sağlar. Resmi raporlama ve iletişim süreçleri izlenmediğinde kontrol aksaklıkları

meydana gelebilir. Bu yüzden iç denetçi bunların bilincinde olmalı ve bazı gayri resmi

süreçleri resmi yapıya dâhil ederek veya resmi süreçler izlenmediğinde neyin kaybedileceğine

ilişkin durumsal farkındalığın yeniden oluşturulmasını sağlayarak işletmenin gelişmesine

yönelik potansiyel fırsatları dikkate almalıdır.

Bazen bir kurumun resmi raporlama sürecinde ilişkiler kurulurken, günlük sohbetler resmi

süreçlerin yerini aldıkları için bu gereklilikler ortadan kalkar. Ayrıca, komuta zincirindeki

(hiyerarşik zincirdeki) kişiler gittikçe birbirlerini fazla tanırlar ve bu yüzden de iletişim

çabalarını daha fazla hızlandırmak için resmi raporlama yollarını atlayabilirler. Prosedürleri

izlememek iç kontrollerde aksaklıklar yaratabileceğinden, iç denetçi için, bu durumların

farkına vardıkça kişilere resmi iletişim süreçlerinin neden var olduğunu hatırlatmak bir

gereklilik hâlini alabilir.

İç denetçi, aynı zamanda kurumun politikalarından da yakından haberdar olmalıdır. Resmi

süreçler, tanımlanmış bir komuta zinciri içerisinde özel raporlama ve iletişim yollarının

gerçekleşmesini şart koşarak, politik algıların kullanımından caydırmaya çalışır. Herhangi bir

kurumda bireylerin ve birimlerin birbirlerine karşı politik davranmaları kaçınılmazdır; fakat

resmi süreçler politik baskının veya algıların en aza indirilmesini güvence altına almayı

sağlamalıdır.

Resmi iletişim ve raporlama yollarından sapmalar, iç denetçinin, işletmeyi iyileştirme

olanakları olarak geribildirim sağlamak için kullanabileceği alanlardır. Seçeneklerin

değerlendirilmesi ve dikkate alınması, iç denetçiye değerlendirmesini tamamlama ve uygun

önerilerde bulunma olanağını verecektir.


4.2.3. Kilit Performans Göstergelerini ve Kullanımlarını Doğrulama

Kilit performans göstergeleri (KPG – Key Performans Indicator (KPI)), kurumların IS’yi

izlemek için kullanabilecekleri bir raporlama biçimidir. KPGler, COSO modelinin verilerin

resmi raporlama yollarıyla toplandığı ve yayıldığı Bilgi ve İletişim bileşeniyle ilgilidir.

Yöneticiler, bu bilgileri daha sonra güncel takip faaliyetleri için kullanırlar.

KPGler, kuruma bir faaliyetin veya sürecin farklı yönlerinin nasıl işlediğini göstermek için

yararlıdır. KPGler, verimlilik ve etkinlik, mevzuata uyum ve kurumsal performans gibi bir

dizi bileşeni ölçmek için kullanılabilir. Kurum, kabul edilebilir ve kabul edilemez kilit sonuç

aralıklarını tanımlamalıdır (örn., kabul edilebilir olarak değerlendirilen seçilmiş göstergelerin

her biri için maksimum ve minimum performans ölçüm sonuçları). KPGler oluşturulduktan ve

veriler toplandıktan sonra, bir değerlendirme yapılmalı ve kurum sonuçları nasıl

kullanacağına karar vermelidir.

Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) Bilgi Güvenliği için Performans Ölçüm

Rehberi (Özel Yayın 800-55 Revizyon 1) üç önlem türünü ele almaktadır:

Bir güvenlik politikasının uygulanmasını sağlamak için uygulama önlemleri

Güvenlik sunum hizmetinin sonuçlarını ölçmek için etkinlik/verimlilik önlemleri

Güvenlik olaylarının sonuçlarının etkilerini ölçmek için etki önlemleri.

Rehber bu ölçüm kategorilerini daha da açıklığa kavuşturur ve her biri için örnekler verir.

İç denetçiler, KPG’ye özgü ISG faaliyetini gözden geçirmeye başlamadan önce, yukarıdaki

NIST rehberini gözden geçirebilirler. İç denetçiler, KPGlerin kapsamlı olup olmadığını

değerlendirmek için bu rehberi esas alabilirler. Önceden toplanan kurumsal bilgilerin dikkate

alınması, KPGlerin ilgili olup olmadıklarını değerlendirme konusunda iç denetçiye yardım

eder.

KPGleri değerlendirmek için, iç denetçinin öncelikle onları ve amaçlarını anlaması gerekir. İç

denetçinin dikkate alması gereken bazı sorular şunlardır:

Ölçülen nedir? Neden ve nasıl ölçülecektir?

Kurum ve ölçülen şey düşünüldüğünde, KPGler gerçekten bir anlam ifade ediyor mu?

KPGler istenilen davranışa yönlendiriyorlar mı?

Sürekli gelişme ve iyileşme için girdi sağlayan bir geribildirim döngüsü var mı?

İç denetçi, KPGlerin geçerli olduğu sonucuna varıyorsa, o halde bunları IS biriminin

etkinliğini ve yönetişim yapısını değerlendirmek için kullanmalıdır. Ayrıca, bu süreç, iç

denetçiye kurumun bilgi ve iletişim sistemlerinin etkinliğini daha iyi anlama olanağını

sağlayabilir. İç denetçi, ayrıca, KPG için toplanan verilerin hangi yolla toplandığını, kime ve

nasıl raporlandıklarını ve yönetimin nihaî sonuçlarla ne yaptığını öğrenmek isteyebilir.

KPGlerin geçerliliğini, bu süreç sonucunda yöneticilerin yaptıkları takip işlemlerini ve diğer

iyileştirme çabalarını anlayarak, iç denetçi ISG biriminin genel etkinliği hakkındaki resmi

daha iyi görecektir.


4.2.4. Destekleyici Dokümantasyonun Yönetişim Yapısıyla Uyumu

İç denetçi, gözden geçirme sürecinde bu aşamaya kadar kurumun ISG birimi ve ilgili

destekleyici dokümantasyonunu oldukça iyi anlamış olmalıdır. İç denetçi, görüşme notlarına

ve diğer test kanıtlarını esas alarak dokümantasyonun nerede gerçek uygulamadan ayrıldığını

tespit edebilmelidir. İç denetçi, ayrıca, belirtilen ve fiilen yapılan arasındaki farkları saptamalı

ve daha detaylı olarak açıklamalıdır. İç denetçinin dikkate alması gereken bazı noktalar

şunlardır:

Fiilî uygulama, belgelenen uygulamadan daha iyi kontroller ve daha etkili ve verimli bir

süreç mi sağlıyor?

Farklılıklar nereden kaynaklanıyor?

Gerçekten tercih edilmesi gereken en iyi uygulama hangisidir – belgelenen nedir ya da

hâlihazırda uygulamada olan nedir?

İç denetçinin önerileri, yönetişim yapısı içerisindeki genel kontrollere ve belgelenen süreçten

ayrılan her bir farklılığın söz konusu yapı üzerindeki etkisine bağlı olacaktır. Sonunda, nihaî

doküman, mutabakata varılan uygulamalarla uyumlu olmalıdır.

4.2.5. Risk Alma İştahı Uyumu

IIA Standartları, risk alma iştahını bir kurumun almayı kabul ettiği risk düzeyi olarak

tanımlar. İç denetçinin, yönetişim yapısının tüm yönlerinin – yönetmeliklerle ve sözleşmelerle

ilgili alanlar dâhil – kurumun kabul edilebilir risk alma iştahına uygun olduğunu teyit etmesi

gerekir. 4.2.4. bölümde belirtildiği gibi, destekleyici dokümanlar, kurumun risk alma iştahıyla

uyumlu olmalıdır. Ayrıca, kurum politikasında belirtilmiş olması gerektiği gibi, kurul,

yönetim kurulu düzeyinde tanımlanıp, kurumda tepeden aşağı kademelere doğru aktığı

kurumun risk alma iştahının gözetiminde ve tanımlanmasında uygun düzeyde angaje

olmalıdır. Kurul, bunun yanında, ISG’ye özgü olmayan; aksine kurumun genel risk alma

iştahını yansıtan resmi beyanlarda bulunmalıdır.

Bazı kurumlarda, bir risk alma iştahı beyanı olmayabilir. Bu durumda iç denetçinin, bu bilgiyi

teyit edici kanıtlardan veya doğrudan yönetim kuruluna sorma yoluyla parça parça toplaması

gerekecektir. Bu konulardaki bilgiler yıllık risk değerlendirmesini veya kurumun kurumsal

risk yönetimi faaliyetlerini tamamlamak için gerektiğinden dolayı, iç denetçi, kurumun risk

alma iştahını pratikte öğrenmelidir. Resmi olarak tanımlanmadıysa, iç denetçi, yönetim

kurulunun bir risk beyanını resmi olarak tanımlaması önerisinde bulunmak isteyebilir.

ISG birimi içerisindeki spesifik düzeylerde yönetim tarafından spesifik risk toleransı

seviyeleri tanımlanabilir. Yönetimin tanımladığı tüm risk tolerans düzeyleri, kurumun risk

alma iştahı düzeyiyle uyumlu olmalıdır. Kimi kurumlarda ise, yönetim kurulunun ve icraî

yönetimin risk tolerans düzeyleri aynı olabilir; ancak diğer yönetim kademeleri risk toleransı

seviyelerini arttırmış olabilirler. Sapmalar olabilir; ancak iç denetçi genel itibariyle spesifik

olarak tanımlanmış risk toleransı seviyelerinin kurulun belirlediği risk alma iştahı

parametrelerinin içerisinde olmasını sağlamalıdır.


İç denetçi, yönetimin tanımladığı kurumun risk tolerans seviyesinin uygun olmadığını

düşünüyorsa, kendisi bu konuda uygun önerilerin neler olabileceğini düşünmelidir. Ayrıca, iç

denetçi öneride bulunmadan önce, teyit edici tüm kanıtları dikkate almalıdır.

4.3. Bilgi Güvenliği Yönetişimi Denetimi – Analiz

İç denetçi, kurumun risk alma iştahının uyumunu teyit ettikten sonra, tüm bilgilerin toplandığı

ve ortak konular altında bir araya getirildikleri aşama olan analiz aşamasına başlamalıdır;

böylece programın etkin olup olmadığıyla ilgili bir sonuca varabilir. İç denetçinin bu aşamada

iç denetimin dikkate alması gereken bir soru da şudur: “Bağlı olduğum kurum, rehber

yazarlarının önerilerine uyum konusunda ne durumdadır?”

4.3.1. Hesapverebilirlik

İç denetçinin, verileri analiz etmesi ve yönetişim sürecinin, hesapverebilirliği oluşturup

oluşturmadığını ve destekleyip desteklemediğini belirlemesi gerekir. İç denetçi, ISG biriminin

hesapverebilirliği oluşturup desteklediğine dair makul bir güvence almak için, kanıtların

aşağıdakileri kanıtlayıp kanıtlamadığını tespit etmelidir:

Öncelikle, kurumun risk alma iştahı ve icraî yönetimin talimatlarının etkin bir şekilde

politika, prosedür ve standartlara dönüştürülmüş olmalıdır. Eğer politikalar yönetim

kurulunun ve icraî yönetimin belirtilen amaçlarıyla uyumlu değilse, insanları bunları

anlamaktan ve söz konusu politikaları takip etmekten sorumlu tutmak istenilen sonucu

vermeyecektir. İç denetçi, bunun analiz aşamasında kritik bir adım olduğuna dikkat

etmelidir. Çalışanlar sürekli yanlış işlemler yapıyorlarsa, bu yüksek düzeyde bir uyumu

doğurabilir; fakat etkin bir uzun vadeli yönetişim sağlamayacaktır.

İkinci olarak da, yönetim talimatlarının etkin bir şekilde politikalara, prosedürlere ve

standartlara dönüştürüldüğünü belirlemesi üzerine, iç denetçi, önemli süreçler için

hesapverebilirliğin oluşturulup oluşturulmadığını ve desteklenip desteklenmediğini

belirlemelidir. Hesapverebilirlik oluşturulmuş; fakat desteklenmiyor olabilir ve yine bu

durum da etkisiz bir yönetişime yapısının elde edilmesi sonucunu doğuracaktır. Bu

vaziyet, kimi zaman bir faaliyet için hesapverebilirliğin olduğu; fakat söz konusu faaliyeti

gerçekleştirme yetkisinin olmadığı bir durum olarak da tanımlanır. CISO’nun tüm

sistemlere gereken zamanda güvenlik yaması yapılmasını sağlayacağını duyurmak,

desteklenmeyen hesapverebilirlik konusuna örnek olarak verilebilir. Bu beyan, açık

hesapverebilirlik oluşturmaktadır. Fakat CISO’nun uygulama yetkisi bulunmuyorsa, bu

durumda kurum yetkisiz hesapverebilirlik oluşturmuş demektir. Bunun yerine, kurum

CISO’nun tüm yamaların belirli bir zaman çerçevesinde uygulanmasını sağlamak

amacıyla sistem sahipleriyle işbirliği yapacağını belirtir ve buna uymayan her türlü sistemi

kapatma veya mantıksal olarak tecrit etme konusunda CISO’ya gereken yetkiyi verirse, o

zaman iç denetçi, hesapverebilirlik ve yetki tayinlerinin birbirini tamamlayacak şekilde

verilmiş olduğunu ifade edebilir ve bu sonuca varabilir.

Üçüncü olarak, iç denetçi, kurumda sahipliğin kurumdaki pozisyona göre açıkça tayin

edilip edilmediğini tespit etmelidir. Politikalar, prosedürler ve standartlar kurumdaki bir

birimin sorumluluğunu bir gruba vermek yerine, tek bir bireye vermelidir. Söz konusu


sorumlu birey kendisine verilen görevi yerine getirmek amacıyla daha büyük bir grupla

çalışabilir; fakat yine de verilen görevden dolayı, sorumlu kişi kendisine verilen görevin

fiilen yerine getirilmesini sağlamaktan sorumlu olmalıdır.

Dördüncü olarak, iç denetçi, geniş hesapverebilirlik sorumluluklarının verildiği durumları

değerlendirmelidir. Genel politika ve standartların çoğu, bir faaliyetten tüm kullanıcıların

sorumlu olduğunu öngörürler. Tahsis edilen kimlik bilgilerini (kullanıcı adı ve şifre)

koruma, müşteri verilerini koruma ve kurumsal varlıkları uygun kullanma örneklerden

bazılarıdır. Ancak eğer kullanıcılar beklentilere makul olarak uymalarını sağlayacak

yeterli eğitimden yoksunlarsa veya kurum içerisinde standartların uygulanması konusunda

bir tutarsızlık varsa, bu beyanlar gerçek hesapverebilirliği oluşturmazlar. Politika ve

standartlar gereken eğitimle desteklenmeli ve tüm kurumda tutarlı bir şekilde

uygulanmalıdırlar.

Beşinci olarak da, iç denetçi, yönetimin talimatlarını yansıtan politikalara, prosedürlere ve

standartlara uyulmamasının uygun sonuçları olup olmadığını tespit etmelidir.

Bir kurumun IS biriminin güncel durumu, iyi veya önerilen uygulamalar bakımından

değerlendirilmelidir. Kullanılabilecek yöntemlerden biri, programı IS’yle ilgili bağımsız

standartlarla karşılaştırarak değerlendirmektir. IIA’nın yayımladığı UMUÇ’a göre: “İç

denetçiler, görevlerini planlarken, ilgili bir kontrol çerçevesi veya modeliyle karşılaştırmalı

olarak söz konusu birimin … risk yönetiminin ve kontrol süreçlerinin yeterliliğini ve

etkinliğini dikkate almalıdırlar.” Bu dokümanda Bölüm 4.1.1’de yer alan kapsam belirleme

kararları burada da uygulanabilir. Kurumun yapısı ve faaliyet gösterdiği sektör, önerilen

uygulamaların ne derece ilgili veya hatta gerekli olacağını belirleyecektir. Son derece sıkı bir

şekilde regüle edilen bir sektörde faaliyet gösteren bir kurum, gereken titizliği göstermek için

sürekli bir ya da birden fazla dışarıdan önerilmiş çerçeveye uygunluğu göstermeye ihtiyaç

duyabilir. Bir kurum rekabet avantajını sürdürebilmek için mevzuata uyumu göstermek

zorunda hissedebilir. Kimi kurumlar ise, dışarıdan önerilmiş uygulamalara ispatlanabilir bir

uygunluk (bağlılık) gerektirmeyebilirler. İç denetçinin kararı, bu aşamayı tamamlama

konusunda önemli olacaktır. Denetim süreci, iş gerçekleri, sektör standartları, yönetim

kurulunun beklentileri ve yönetimin davranışları arasında iyi bir uyum olduğunu ortaya

koyduysa, önerilen uygulamalarla sıkı bir karşılaştırma yapmak gerekmeyebilir.

4.3.2. Tasarım Etkinliği

4.2. bölümde toplanan bilgileri geliştiren iç denetçi, ISG biriminin ve faaliyetinin ne derece

etkin tasarlandığı konusunda bir fikir beyan etmelidir. Eğer 4.3.1. bölümdeki analiz, çeşitli

kademelerde hesapverebilirliğin veya yetkinin yetersiz olduğunu ortaya koyduysa, yönetişim

sürecinin etkin bir performansının olması olası değildir. Eksik bir çerçeve izleyen bir kurum

zamanla öngörülemeyen sonuçlar verecektir. Yapılan test, fiilî değerlendirme sırasında genel

çerçevenin hâlâ etkin olduğunu gösterse de, iç denetçi, uyarı amacıyla bu duruma dikkat

çekmelidir; çünkü sürdürülebilirliğin olmayışı birimin tasarımında bir kontrol yetersizliğine

işaret eder.


Eğer yeterli hesapverebilirlik ve yetki varsa ve program sektörün, kurulun ve yönetimin

beklentilerini yansıtıyorsa, iç denetçi, muhtemelen ISG biriminin etkin bir şekilde

tasarlandığına dair bir görüş bildirecektir. Bundan sonra, iç denetçi, faaliyetin etkili uygulanıp

uygulanmadığını değerlendirme aşamasına geçebilir.

4.3.3. Bilgi Güvenliği Programının Etkinliği

Değerlendirmenin bu aşamasında, iç denetçilerin ellerinde kurumun hedeflerine destek olacak

şekilde tasarlanmış bir ISG faaliyetinin olup olmadığına dair yeterli bilgi vardır ve programın

etkinleştirmek için yeterli hesapverebilirliğin ve yetkinin tayin edilip edilmediğini tespit

etmişlerdir. Tüm bu koşullar karşılanıyor olsa bile, program yine de belirtilen hedeflerini

yerine getirmiyor olabilir. İç denetçi şimdi ise, devam eden ISG uygulamasının elde ettiği

kanıtları (örneğin, dokümantasyon, örgütlenme ve yapıyla ilgili) incelemeli ve eldeki verilere

dayanarak uygulanan faaliyetin planlanan potansiyelinin ne kadarını gerçekleştirebildiğine

karar vermelidir. Etkin bir ISG birimi; uygun iletişim ve eğitime, politika ve standartların

sürdürüldüğüne, ölçütler ve nitel yorumlar yoluyla program sonuçlarının sürekli

raporlandığına, güvenlik veya riskle ilgili olayların uygun yönetim kademesine havale

edildiğine ya da yönetimin talimatlarının yanlışlıkla veya kasten atlatılması durumunda uygun

tepkinin gösterildiğine ilişkin kanıtlar gösterecektir. Bu maddelerle ilgili ek bilgiler arasında

şunlar sayılabilir:

Etkinliği sürdürmek ve yönetimin amacını gerektiği gibi yansıtabilmek için politika ve

standartlar uygulanmaya devam edilmelidir. İç denetçi, politika ve standartların periyodik

olarak gözden geçirildiklerine ilişkin kanıtlar bulmalıdır. Gözden geçirmeler, belgelenmeli

ve gerektiğinde bağımsız doğrulamalar sağlamalıdır. Örneğin, bilgi varlıklarının

sınıflandırılmasıyla ilgili standartlar, kurumun standartlarını, değişen kurum-dışı

gereklilikleri yansıtacak biçimde güncellediğini teyit edebilecek yeterlilikte uzmanlığa

sahip kişilerce gözden geçirilmelidir.

Bir ISG faaliyetini etkin bir şekilde uygulayıp sürdürebilmek için uygun bir iletişim ve

eğitim gereklidir. Bu iletişim ve eğitim hedef kitlesine bağlı olarak değişecektir; fakat

yönetim kurulundan, son kullanıcılara, tedarikçilere ve satıcılara kadar kurumun tüm

kademelerinde gerekir. İç denetçi bazı IS beklentilerinin kurumun her düzeyine ve

kurumun bilgi kaynaklarıyla etkileşimde bulunan üçüncü şahıslara bildirildiğini

belirleyebilmelidir. Yöneticiler için, bu bildirim kısa bir görüşme şeklinde olabilir. BT

yöneticileri için eğitim programları son derece gerekli olabilir. Satıcılar ve tedarikçiler

için ise, beklentiler belirlenip sözleşmeler yoluyla kendilerine bildirilebilir.

ISG faaliyetinin, ilgili raporlaması olmalıdır. Bu faaliyetin resmiyet derecesi, kurumun

büyüklüğüne, ihtiyaçlarına ve karmaşıklığına göre değişecektir. Ölçüt sayısı kuruma bağlı

olarak değişse de, bu raporlama muhtemelen resmi ölçütleri (örn., KPGler) içerecektir.

Bu raporlama süreci, aynı zamanda, sistemin nitelikleriyle ilgili geribildirimler hakkında

bir raporlama mekanizması sağlamalıdır. Mevzuatla ilgili uyum denetiminden elde edilen

kilit konular, KPGlerde olduğu gibi basit matematiksel bir formüle uymayan önemli nitel

geribildirim için bir örnek oluşturabilir.


ISG birimi, aynı zamanda, güvenlik ve riskle ilgili konuların etkin cevaplar alınabilmesi

için gereken yönetim kademesinin dikkatine sunulduğunu göstermelidir. Ticari sırların

kaybolduğu şüphesi ve yasadışı yazılımların (örn., şifreleme algoritmaları) ihraç edilmesi

gibi önemli konular vakit kaybetmeksizin kilit yöneticilere havale edilebilir; bir e-mail

sisteminin kişisel amaçla kullanılması gibi aciliyeti ve mahiyeti daha az olan konular

bölüm yönetimi tarafından ele alınabilir. Yönetişim süreci, IS’deki trenlerin erken

saptanıp ele alınabilmesini sağlamak için bu konulara dair bir düzeye kadar genel bir

raporlamanın ve izlemenin olduğunu göstermelidir. Bu tepki (cevap) süreci, kullanıcı

faaliyetlerine yönelik önceden tanımlanmış özel tekiler verilmesini gerektirebilir. Bu

durum, örneğin, küçük çapta politika ihlâlleri meydana geldiğinde ek eğitim verilmesiyle

ve büyük politika ihlâller yaşanması durumunda ise disiplin işlemleri uygulanmasıyla

sonuçlanabilir.

4.3.4. Verimlilik

Bir iç denetçinin herhangi bir KPG’yi incelerken karşılaşacağı en önemli sorulardan biri,

raporlamanın verimlilik konusunda devam eden kazanımları destekleyecek yeterlilikte olup

olmadığı sorusudur. Kurum, yeterli raporlama olmaksızın, devamlı bir süreç iyileşmesini asla

yakalayamaz. Örneğin, kurum, iki saatlik web-tabanlı bir güvenlik kursunun klasik 4 saatlik

bir sınıf kursu kadar etkili olup olmadığını değerlendirmek isteyebilir. Kurum, etkin ölçütler

olmaksızın, muhtemelen yeni yöntemin nisbî etkinliğini karşılaştırmaya çalışacaktır. Etkin

yöntemlerle ise, kurum, yeni kurs yöntemini seçilen yerlere veya işletme birimlerine

uygulayabilir ve yeni yöntem kurslara gidenler ve eski yöntemi kullananlarda karşılaşılan

güvenlikle ilgili sorunları karşılaştırabilir. Yeni yöntem kurs eski yönteme benzer sonuçlar

verirse, kurum zaman bakımından daha az yoğun ve daha düşük maliyetli olan seçeneğe

kolayca geçebilir ve güvenlik konumunun bundan olumsuz etkilenmediğini makul bir şekilde

garanti altına alabilir. Kurumun ISG birimini optimize etmesini sağlayacak ölçütler

olmaksızın bile, birim etkili olabilir. İç denetçi, bu süreç boyunca verimliliği de dikkate

almalıdır. Daha önceden de belirtildiği gibi süreç etkin olabilir; fakat verimli olmayabilir. Söz

konusu durumu örnekleyen davranışlar aşağıda verilmiştir:

Politikalar, standartlar ve prosedürlerin aşırı belgelendirilmesi. Denetim birimi, online

güvenlik eğitimi kurslarına nasıl kayıt olunacağıyla ilgili yazılmış 15 sayfalık bir

prosedürle karşılaşıyorsa, bu, kurumun muhtemelen süreci aşırı belgelendirdiği anlamına

gelir.

Aşırı Onay İmzaları veya onaylamalar. Kurum, en hassas sistemler dışında her şey için

yeni bir kullanıcı hesabını etkinleştirmek üzere CFO ve CIO’nun onayını gerekli kılıyorsa,

söz konusu kurumun güvenliği gelişmemiş demektir.

Güvenlik sorunlarının gereğinden fazla durumda üst kademelere havale etmesi. Çevresel

güvenlik duvarı her tarandığında, CIO’ya haber veriliyorsa, güvenlik sorunları uygun

olmayan bir şekilde yere üst mercilere havale ediliyor demektir.


4.3.5. Kaynak Seviyeleri

ISG birimi düşünülünce, gereken kaynaklarla hizmet sunumu birbiriyle uyumlu mudur?

Diğer birimlerde olduğu gibi, ISG biriminin de yeterli sayıda personelle desteklenmesi

gerekir. Bu GTAG rehberinin daha önceki bölümlerinde, hesapverebilirlik ve yetki, bunu

sağlayabilecek kritik unsurlar olarak ele alınmıştı. Ancak hesapverebilirlik ve yetki tayin

edilmiş olmasına rağmen, hizmeti sunacak yeterli sayıda personel olmadığından dolayı da

yine başarısız olunabilir. ISG’nin geniş kapsamlı yapısından dolayı iyi bir yönetişim için

kurum çapında sürdürülebilir destek gerekir. Bölüm 4.1.’de belirtildiği gibi, yönetişim, hukuk

birimi ve insan kaynakları birimi gibi birden fazla kurum biriminin desteğine ihtiyaç

duyabilir. Bu gruplardan herhangi birinin kaynakları elverişli değilse, bu durum, ISG

faaliyetlerinin uzun süreli sürdürülebilirliklerine önemli ölçüde zarar verir. ISG yönetiminden

sorumlu olan kişinin, personel sayısının ve düzeyinin uygun ve gerektiği gibi sürdürülmesini

sağlamak amacıyla, yönetim kuruluna veya diğer icraî yönetim kademelerine, hem kilit

pozisyonlar ve bu pozisyonlardaki kişilerin yeterliliklerini ve niteliklerini hem de görev

sürelerini içeren ekip yapısıyla ilgili periyodik olarak rapor vermesini gerektirebilir.

4.3.6. Kuruma Katılan Değer

Yönetişim yapısı ne tür yararlar sağlar? Eğer iç denetçiler, denetimde bu aşamaya kadar

gelmişlerse ve ISG birimine güven duyuyorlarsa, kurumun mevzuatla ilgili/yasal gereklilikleri

ve icraî yönetimin talimatlarını uygulanabilir politikalarda, standartlarda ve prosedürlerde

ifade edebileceğini varsayabilir. İç denetçiler, ayrıca, bu sonuçların tüm kurum genelinde

uygulandığı ve anlaşıldığı sonucuna varabilir. Bu faaliyetlerin net faydası, bir güvenlik

olayıyla ilişkilendirilen kabul edilemez bir kaybın yaşanma olasılığının düşük olmasından

ileri gelmektedir. Bu kaygılar, kurumun operasyonlarına, mevzuat uyumuna ve itibarına zarar

verebileceğinden, proaktif çabaların büyük bir kaybın yaşanma riskini azalttığını ve uzun

süreli stratejilerin IS’le ilgili bir sorun yaşanmadan başarılı olabileceklerini öğrenmek

yönetimi rahatlayabilir.

Uygulanan bir süreç hangi kurum olursa olsun uygulandığı kuruma birtakım yararlar

sağlamalıdır; kuruma ne kadar değer katılırsa, kurum o derecede gelişir. Yönetişim sürecinden

elde edilebilecek katma değer faydaları var mıdır? Kurumlar daha fazla değer kazanmak için

bu konularda gelişebilirler mi? Tabii ki, bu her zaman mümkündür. Önceden de dile

getirildiği gibi, aynı sonuçları verecek şekilde modernize edilip edilemediğini görmek için,

birimin yeniden düzenlenmesi olası gelişmelerden birisidir. Verilen örnekte, elde edilen

sonuçların benzer olup olmadığını belirlemek için, internette yayımlanan içerik (web-tabanlı

eğitim) sınıf eğitiminin yerini alıyordu. Bir diğer devam eden olası gelişme ise, kurumun

güvenliğini rekabet avantajı için kullanmaktır. Daha önce de bahsedildiği gibi, güçlü bir IS,

güvenlikle ilgili sorunların sayısında ve önemlilik düzeyleri bakımından şiddetlerinde bir

azalma olmasını sağlar. Kurum, bunu rekabet avantajına dönüştürülüp dönüştürülemeyeceğini

dikkatlice değerlendirmelidir. Örneğin, kurum işlemlerin online yapma olanağı sağlıyorsa,

ISG birimi, kurumun sözleşmelerle rakiplerine kıyasla daha yüksek kullanılabilirlik seviyesi

hedeflerini taahhüt edip edemeyeceği konusunda yeterince güven veriyor mu? Bu durum,


kurumun, rekabet gücü bakımından piyasadaki diğer rakiplerine fark atmasını sağlayabilir.

Kurum, riskleri sigorta yoluyla aktarıyorsa, ISG faaliyetlerinin belgelenebilir güvenlik

yararlarını ve sonuçlarını daha düşük sigorta primleri üzerinde anlaşmak için kullanabilir mi?

İç denetçi, bu bölümdeki adımları izleyerek ISG biriminin etkinliğini değerlendirmeye

başlayabilir.

4.3.7. Sürekli Gelişme

Kurumun ihtiyaçlarının karşılanmaya devam edildiğini teyit etmek için, ISG faaliyetinin

yapısı ve tasarımı periyodik olarak gözden geçirilmelidir. Önceki tartışma, güncel plana

kıyasla büyük ölçüde uygulamaya odaklanmıştır; ancak planın da güncel ve ilgili olması için

de gereken çaba gösterilmelidir. Risk ortamı ve kurum değiştikçe, IS birimi de buna paralel

olarak değişmelidir. İç denetçi, kurulun ve yönetimin risk alma iştahını, risk toleransını,

politikaları ve prosedürleri, yılda en az bir kere, belirli bir programa göre veya kurumda

büyük bir değişiklik yapıldıktan sonra (örneğin, kilit yönetim değişiklikleri veya yeni

mevzuat) gerçekleştirdiğini teyit etmelidir.

Sorulması Gereken Sorular:

1. ISG faaliyetini gözden geçirmek için tanımlanmış resmi bir program var mı?

2. Gözden geçirmeyi kimin yapacağını, gözden geçirmenin nasıl yapılacağını ve gerektiğinde

sonuçların nasıl bildirileceğini ve söz konusu sonuçlara nasıl cevap verileceğini tanımlayan

bir doküman mevcut mu?

3. Gözden geçirmeler, programa uygun olarak mı yapılmıştır? Art arda yapılan toplantılarda

önceki toplantıların toplantı tutanakları resmi olarak saklanıp gözden geçirilmiş midir?

4. Düzeltici girişimler gerektiği gibi tanımlandıysa, gözden geçirme sonuçlarına vakitlice

cevap verilmiş midir?

5. Resmi toplantılar sık düzenlenmiyorsa, taahhüt edilen faaliyetler resmi toplantılar arasında

izleniyor ve karşılaştırılarak raporlanıyor mu?

GTAG – Sonuç / Özet

5. Sonuç/Özet

İç denetçi, bir kurumun etkin bir ISG birimi oluşturmak için riskleri ve seçenekleri

anlamasına yardımcı olabilir. Bütün kurumdaki icraî yönetim ve bölüm yönetimi, IS’yle

ilişkilendirilen riskleri uygun şekilde yönetmekten ve üst yönetimdeki atmosferin IS birimini

aktif biçimde desteklediğini ve uygun davranmak ve doğruyu yapmak konusunda bütün

kurum için önemli bir mesaj vermesini sağlamaktan sorumlu tutulmalıdır.

ISG, uygun risk hafifletme kararlarını alması ve kurumun korunma ve iç ve dış tehditlere

cevap vermesi için kuruma bir çerçeve sağlar. ISG birimi kurumun, en düşük kademedeki

bölüm müdüründen kurula kadar geribildirim alarak güvenlik programını sürekli

geliştirmesini sağlar.

ISG birimi, kurumun güvenlik programını sürdürecek ve büyütecek şekilde tasarlanmalıdır.

Ekin ve verimli ISG uygulamaları, açıkça tanımlanmış görev ve sorumlulukları, kurumun risk

alma iştahının stratejik BT hedefleriyle uyumlu hâle getirilmesini, etkin bir iletişim ve

raporlamayı ve katma değer izleme sistemleri yoluyla hesapverebilirliğin sürdürülmesini

içermelidir.

GTAG – Ek

6. Ek – Örnek

Denetim Soruları / Konular 6.1. Kurumun risk alma iştahı iyi tanımlanmış ve anlaşılmış mı?

İster tanımlanmış olsun ister tanımlanmamış olsun her kurumun bir risk alma iştahı vardır.

Sürdürülebilir bir performans, tüm kilit paydaşların ve sektörün girdi verilerini yansıtan,

bunun yanı sıra mevzuatla ilgili beklentileri destekleyen tanımlanmış bir risk alma iştahını

gerektirir.

Kurul, icraî yönetim ve orta yönetim kademeleriyle riski ve risk alma iştahını tartışınız.

Bunlar tüm kademelerde tutarlı bir biçimde tanımlanıp anlaşılmış mıdır? Riski tartışmak

için ortak bir terminoloji kullanılıyor mu?

Risklerin stratejik kararlar verme konusunda dikkate alınan unsurlarından biri olduklarını

gösteren bir kanıt var mı? Riskler; yeni ticari teşebbüslerin, önceliklerdeki stratejik

kaymaların ve kilit girişimlerin planlanması ve yönetilmesi tartışmalarına dâhil ediliyor

mu?

6.2. Tanımlanmış, etkin bir bilgi güvenliği yönetişim süreci var mı?

Etkin bir ISG risk yönetimi faaliyetlerinin üzerine kuruludur. Riskleri hafifletmek veya kabul

etmek amacıyla tasarlanmış risk ve kontrol faaliyetlerinin değerlendirilmesini desteklemelidir.

Ayrıca, ticari ortam ve mevzuat ortamlarındaki kaymalara ve değişikliklere uyum

sağlamalıdır.

Risk yönetim sürecini uygun yönetim kademeleriyle tartışınız.

Kurum içinde geliştirilen ve uygulanan risk yönetimi çerçeveleriyle varsa sektör

kılavuzlarını karşılaştırarak değerlendiriniz. Aralarında büyük farklar olup olmadığını

belirleyiniz.

Son dönemlerde işletmede ve mevzuat ortamında yapılan önemli değişiklikleri

belgeleyiniz ve bunların değiştirilen risk değerlendirmeleri olup olmadıklarını ya da devam

eden yönetim faaliyetleri olup olmadıklarını belirlemek için uygun yönetim kademeleriyle

görüşünüz.

6.3. Bilgi Güvenliği Birimi için etkin bir kurumsal destek var mı?

Kurum risk alma iştahını tanımlayıp anladığında ve riskleri tanımlamak ve ölçmek için ortak

yöntemler belirlediğinde, uygun devam eden etkinliği teşvik etmek için yeterli eğitimi

vermeye devam etmelidir. Destekleme faaliyetlerinin gerçekleşmekte olduğunu güvence

altına almak için yönetişim faaliyetinde bulunan kilit katılımcıların sağladıkları çıktıları

gözden geçiriniz. Politikaları, standartları ve prosedürleri güncellemesi gerekenler görevlerini

yapıyorlar mı? Risk ortamını izlemekten sorumlu olan kişiler, etkilenen tüm paydaşlara

bildirimde bulunuyorlar mı? Eğitim vermekten sorumlu olanlar, bu görevlerini yerine

getiriyorlar mı? Çalışanlara zorunlu eğitim kurslarını tamamlamak için yeterince zaman ve

kurumsal destek veriliyor mu? Uzman bilgisi gereken durumlarda, kurum dışarıdan yeterli

becerilere sahip kişileri işe alıyor mu ya da dış danışmanlardan uzmanlık hizmeti satın alıyor

mu?

GTAG – Ek

6.4. Kurum bilgi güvenliği yönetişimi faaliyetinin devam eden sağlıklı işleyişini izliyor mu?

İnsanların desteklediği her süreçte olduğu gibi, süreç zamanla ilk amaçlarından ve

hedeflerinden uzaklaşacaktır. Süreç kesintisiz olarak izlenmelidir; böylece önemli kaymalara

zamanında müdahale edilebilir.

ISG birimi için yeterince raporlama var mıdır? Raporlama süreci ve geribildirim

mekanizması resmi ve son derece yapılandırılmış mı, yoksa daha az mı yapılandırılmış?

Resmiyet seviyesinin, kurumun büyüklük, karmaşıklık ve iş faaliyetlerinin düzeyine

uygun olup olmadığını değerlendiriniz.

ISG’yi değerlendirmek üzere kullanılabilecek tanımlanmış, izlenmiş ve raporlanmış

ölçütler var mı? Bu ölçütlerdeki değişikliklere karşılık ne zaman düzeltici eyleme

geçilmesi gerektiğini belirleyen eşikler tanımlanmış mıdır?

İnsanlar, yönetişimi destekler nitelikteki faaliyetlerinden sorumlu tutuluyorlar mı? Eğitim

zamanında verilmiyorsa, kurum buna karşılık herhangi bir düzeltici eylemde bulunuyor

mu? Politikalar, standartlar ve prosedürler zamanında yenilenmiyorsa, kurum buna nasıl

cevap vermektedir?

6.5. Kurum, yönetişimini geliştirmek için zamanla herhangi bir adım atmış mı?

Kurum, kendisini standart kurum-dışı karşılaştırma parametreleriyle karşılaştırarak

değerlendiriyor mu?

Sürdürülebilir bir gelişmeyi sağlamak için ölçüt verilerini kullanıyor mu?

Kontrollerdeki verimsizlikleri bulmaya çalışıyor mu ve bu kontrolleri güncelleştirmek için

harekete geçiyor mu?

GTAG – Referanslar

7.Referanslar

2007 Global State of Information Security Study, PricewaterhouseCoopers.

Bihari, Endre. Information Security Definitions. www.perfres.net

Building an Information Technology Security Awareness and Training Program (SpecialPublication 800-50), National Institutes of Standards and Technology (NIST),Gaithersburg, Md., USA,2003.

Corporate Governance of Information Technology (ISO/IEC 38500:2008), InternationalOrganization for Standardization, 2008.

Enterprise Risk Management — Integrated Framework, Committee of SponsoringOrganizations of the Treadway Commission, 2004.

Governing for Enterprise Security (GES)Implementation

Guide, Software Engineering Institute, 2007.

GTAG-1: Information Technology Controls, The Institute of Internal Auditors,Altamonte Springs, Fla., USA, 2005.

GTAG-9: Identity and Access Management, The Institute of Internal Auditors,Altamonte Springs, Fla.,USA,2007.

GTAG-11: Developing the IT Audit Plan, The Institute of Internal Auditors, AltamonteSprings, Fla., USA, 2008.

GTAG-12: Auditing IT Projects, The Institute of Internal Auditors, Altamonte Springs,Fla., USA, 2009.

Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities (SpecialPublication 800-84), National Institutes of Standards and Technology (NIST),Gaithersburg, Md., USA, 2006.

Guide to the Assessment of IT Risk (GAIT) Series, The Institute of Internal Auditors,Altamonte Springs, Fla., USA.

Information Security Governance: Guidance for Boards of Directors and ExecutiveManagement, 2nd Edition, IT Governance Institute, Rolling Meadows, Ill., USA,2006.

Information Security Governance: Guidance for Information SecurityManagers, IT Governance Institute, Rolling Meadows, Ill., USA, 2008.

Information Security Oversight: A 2007 Survey Report, National Association of CorporateDirectors and KPMG’s Audit Committee Institute.

GTAG – Referanslar

Information Security Practical Guidance on How to Prepare for Successful Audits, ITCompliance Institute, 2006. www.t2pa.com/analysis-a-advice/library/179-it-audit-check-list-information-security

Information Security Standards (ISO/IEC 27000:2009), International Organization forStandardization, 2009.

Information Technology — Security Techniques – Key Management, Australian Standard11770.1—2003, Standards Australia International, Sydney, Australia, 2003.

Internal Control — Integrated Framework , Committee of Sponsoring Organizations of theTreadway Commission, 1992.

The International Professional Practices Framework, The Institute of Internal Auditors,Altamonte Springs, Fla., USA, 2009.

An Introduction to Computer Security: The NIST Handbook (Special Publication 800-12), Chapter 2: Elements of Computer Security, The National Institutes of Standardsand Technology (NIST), Gaithersburg, Md., USA, 1995.

The IT Service Management Forum. www.itSMFi.org

Performance Measurement Guide for Information Security (SpecialPublication800-55Revision 1), National Institutes of Standards and Technology (NIST), Gaithersburg,Md., USA, 2008.

Program Review for Information Security Management Assistance (PRISMA), NationalInstitutes of Standards and Technology (NIST), Gaithersburg, Md., USA, 2007.

The Standards of Good Practice for Information Security, Information Security Forum,2007.

GTAG – Yazarlar ve Gözden Geçirenler

8.Yazarlar ve Gözden Geçirenler

Yazarlar:

Paul Love, CISSP, CISA James Reinhard, CIA, CISA A.J. Schwab, CISA, George Spafford, CISA

Gözden Geçirenler:

IIA, değerli görüşleri ve önerileriyle bu GTAG’e katkıda bulunan aşağıda adları sayılan kişi ve gruplara teşekkürlerini sunar:

AICPA– Amerikan Yeminli Mali Müşavirler Enstitüsü

Douglas J. Anderson, CIA

David F. Bentley

Lily Bi, CIA, CGEIT, CISA

Lawrence P. Brown, CIA, CISA

Jeanot de Boer

Lisa K. Hirtzinger, CIA, CCSA

Steven Hunt, CIA, CISA, CGEIT

İç Denetçiler Enstitüsü – Güney Afrika

İç Denetçiler Enstitüsü – Birleşik Krallık & İrlanda

Rune Johannessen, CIA, CCSA, CISA

David S. Lione, CISA

Steve Mar, CFSA

Cesar L. Martinez, CIA, CGAP

Mesleki Uygulamalar Danışma Konseyi:

o İleri teknoloji Komitesi

o Mütevelli Heyeti

o Kalite Komitesi

o Etik Komitesi

o İç Denetim Standartları Kurulu

o Mesleki Konular Komitesi

Sajay Rai

R. Vittal Raj, CIA

Ross A. Richards

Stig J. Sunde, CIA, CGAP

Dan Swanson, CIA, CISA, CISSP

Johannes Tekle, CIA, CFSA

Archie R. Thomas, CIA

David Williams, CISA

Tom Wilson, MIIA

Karine F. Wegrzynowicz, CIA, CISA

GTAG – Global Teknoloji Rehberi (GTAG)

BT yönetimi, kontrolü ve güvenliğiyle ilgili güncel bir konuyu ele almak üzere basit ticari bir

dille yazılan bu GTAG serisi, iç denetim yöneticileri için teknolojiyle ilintili farklı riskler ve

önerilen uygulamalar hakkında hazır bir kaynak teşkil eder.

KULLANICILAR TARAFINDAN GELİŞTİRİLEN UYGULAMALAR (UDA) UDA’yla

ilişkilendirilen riskleri ele alır ve UDA’nın iç denetiminin kapsamının nasıl belirleneceği

konusunda yönlendirmede bulunur ve örnek iç denetim programlarını içerir. Yönetim

UDA’lara dayandığı için, denetim planına dâhil edilme konusunda dikkate alınmalıdır.

OTOMATİKLEŞMİŞ BİR DÜNYADA SUİSTİMALİ ÖNLEME VE TESPİT ETME BT’yle ilgili suiistimal risklerini ve risk değerlendirmelerini ve teknoloji kullanımının iç denetçilere ve kurumdaki diğer kilit paydaşlara suiistimalleri nasıl ele alacakları konusunda yardım edebilir.

BT PROJELERİNİN DENETİMİ BT projeleriyle ilgili riskleri değerlendirmek için proje ekipleriyle ve yönetimle etkin bir biçimde angaje olma teknikleriyle ilgili genel birdeğerlendirme sunar.

BT DENETIM PLANINI GELİŞTİRME işi anlamadan, BT evrenini tanımlamaya, bir risk değerlendirmesi yapmadan BT denetim planını resmen yürürlüğe koymaya kadar bir BT planının nasıl geliştirileceğine ilişkin adım adım bir kılavuzluk sağlar.

İŞ SÜREKLİLİĞİ YÖNETİMİ iş sürekliliği yönetimini (BCM - Business Continuity Method) tanımlar, işletme riskini ele alır ve BCM programı gerekliliklerinin ayrıntılı olarak ele alınmasını içerir.

KİMLİK VE ERİŞİM YÖNETİMİ kimlik ve erişim yönetimiyle ilgili kilit kavramlar, IAM (Identity and Access Management – Kimlik ve Erişim Yönetimi) süreciyle ilişkilendirilen riskler, IAM süreçlerinin nasıl denetleneceği konusunda ayrıntılı bir kılavuzluğu ve denetçiler için örnek bir kontrol listesini kapsar.

UYGULAMA KONTROLLERİNİN DENETİMİ uygulama kontrolleri kavramını ve bunun genel kontrollerle ilişkisini ve ayrıca risk esaslı bir uygulama kontrolü değerlendirmesinin kapsamının nasıl belirleneceğini ele alır.

BİLGİ TEKNOLOJİSİ DIŞ KAYNAK KULLANIMI doğru BT hizmeti satıcısının nasıl seçileceğini, müşteri ve hizmet sağlayıcısının ve müşteriler ve hizmet sağlayıcıların hizmet satma kontrollerine yönelik görüşleri arasından kilit kontrol görüşlerinin nasıl seçileceğini ele alır.

BT ZAFİYET YÖNETİMİ VE DENETİMİ diğer konuların yanı sıra zafiyet yönetimi yaşam döngüsünü, zafiyet yönetimi denetiminin kapsamını ve zafiyet yönetimi uygulamalarını değerlendirme ölçütlerini ele alır.

GİZLİLİK RİSKLERİNİN YÖNETİMİ VE DENETİMİ global gizlilik ilkelerini veçerçevelerini, gizlilik risk modellerini ve kontrollerini, iç denetçilerin rolünü, denetimsürecinde sorulması gereken en önemli on gizlilik sorusunu ve daha fazlasını ele alır.

GTAG – Global Teknoloji Rehberi (GTAG)

BT DENETİMİNİN YÖNETİMİ BT’yle ilgili riskleri tartışır ve BT evreninin yanı sıra BT denetim sürecinin nasıl uygulanacağı ve yönetileceğini tanımlar.

SÜREKLİ DENETİM bugünkü iç denetim ortamında sürekli denetimin rolünü, sürekli denetim, sürekli izleme ve sürekli güvence arasındaki ilişkiyi ve sürekli denetimin aplikasyonunu ve uygulanmasını ele alır.

DEĞİŞİKLİK VE YAMA YÖNEYİMİ değişikliklerin kaynaklarını ve bunların işletme öncelikleri üzerindeki muhtemel etkisini ve değişiklik ve yama yönetimi kontrollerinin BT risklerini ve maliyelerini yönetmeye nasıl yardım ettiğini ve neyin uygulamada işe yarayıp neyin yaramadığını açıklar.

BİLGİ TEKNOLOJİSİ KONTROLLERİ BT kontrol kavramlarını, BT kontrollerinin önemini, etkin BT kontrollerini sağlamak için kurumsal görev ve sorumlulukları, risk analizini ve izleme tekniklerini ele alır.

Birlikte Daha Mı İyi?

Kesinlikle. Çalıştığınız kurumda yönetişim, risk yönetimi ve uyum bilgi ve teknolojiyle harmanlandığında, performansınızı arttırmanızı sağlar. Resmin tamamını aydınlatmak gerekirse, kurum çapında bu sayede bilgi açısından zengin ve teknoloji güdümlü süreçler yaratılmış olur.

Profesyonellerden oluşan ekibimiz parçaları bir araya getirmenize yardım eder. Bilgi ve teknolojiyi ve işletme değerini verimli ve güvenli bir şekilde sunma konusunda size yardımcı olmak için BT risk yönetimi, düzenlemelere uyum, iş süreci ve uygulama kontrolleri, bilgi güvenliği, gizlilik ve teknoloji olanakları ve yolları konusundaki derin deneyim birikimimizden yararlanıyoruz. Bizi arayın.

Daha fazlası için; ey.com

ERNST & YOUNGYaptığımız her işte kalite.

GTAG®

Bilgi Güvenliği Yönetişimi

İster ticari bilginin doğrudan alınması, yönetilmesi ve yorumlanması olsun ister günlük işler için bilginin elde bulundurulması olsun bilgi çoğu kurumun rekabet stratejisinin önemli bir parçasıdır. Bilgi güvenliği başarısızlığının en bariz sonuçlarından bazıları; kurum itibarının zarar görmesi, kurumu rekabet açısından dezavantajlı bir duruma girmesi ve kurumun mevzuat gerekliliklerinin dışına çıkmasına neden olunmasıdır. Bu etkiler azımsanmamalıdır.

Bu Global Teknoloji Denetim Rehberi (GTAG), İç Denetim Yöneticisinin (İDY) denetim planına, kurumun bilgi güvenliği yönetişimi (ISG) biriminin doğru davranışlar, uygulamalar ve IS’nin doğru uygulanması gibi sonuçlar verip vermediğine odaklanan bir ISG denetimini de dahil etmesine yardım edecek bir düşünce süreci sağlayacaktır.

GTAG aşağıda sayılan konulardaki çalışmalara yardımcı olacaktır:

1. ISG’yi tanımlama, 2. İç denetçilerin doğru soruları sormalarına ve hangi belgelerin gerekli olduğunu

anlamalarını sağlama, 3. İç denetim biriminin ISG faaliyetindeki rolünü tanımlama.

Geri bildirimleriniz bizim için önemli! www.theiia.org/gtags sitesini ziyaret ederek buGTAG’i oylayabilir ve bize bu konudaki görüş ve yorumlarınızı iletebilirsiniz.

Documents

GLOBAL TEKNOLOJİ DENETİM REHBERİ UMUÇ – UYGULAMA …amaçlı kullanılamaz veya bu yayındaki istatistiksel veriler ve diğer veriler IIA’nın izni olmaksızın başka bir