6Temmuz 2019 tarihinde yayımlanarak yürürlüğe giren Bilgi ve İletişim Güvenliği Tedbirleri konulu Cumhurbaşkanlığı Genelgesi uyarınca, kamu kurumları ve kritik altyapı hizmeti veren işletmeler, karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla belirli güvenlik tedbirlerini uygulamakla yükümlü kılınmıştı.

Bu doğrultuda, 27 Temmuz 2020 tarihinde Türkiye Cumhuriyeti Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından farklı güvenlik seviyelerinde tedbirler içeren Bilgi ve İletişim Güvenliği Rehberi ("Rehber") yayımlanmıştır. Kurumların Rehber'e uyum sağlarken yerine getirmesi gereken adımlardan biri olan denetim süreci de Rehber ile düzenlenmektedir.

Rehber kapsamında yer alan kurumların belirli çalışmaları yerine getirmeleri beklenmektedir. Bu çalışmaların; planlama, uygulama, değişiklikleri yönetme, kontrol etme ve önlem alma süreçlerini içeren bir çerçevede yürütülmesi gerekmektedir. Kontrol etme ve önlem alma sürecinin bir parçası olan denetimin yılda en az bir kez gerçekleştirilmesi amacıyla kurumlar tarafından gerekli planlamalar yapılması ve işletilmesi öngörülmüştür.

27 Ekim 2021 tarihinde ise, denetimin bağımsız bir şekilde planlanması, yürütülmesi ve raporlanması konularında kurumlara ve denetçilere yol göstermek amacıyla Bilgi ve İletişim Güvenliği Denetim Rehberi ("Denetim Rehberi") hazırlanmıştır.

Denetim Rehberi ile;

  • Kurumlara Rehber'in yayım tarihi olan 27 Temmuz 2020 itibarıyla 24 aylık bir uyum süresi verilmiştir. İlk yıl denetimlerinde kurumlar denetim faaliyetleri ile ilgili hazırlık çalışmalarına en geç 24 aylık sürenin sonunda başlamalıdır. Ancak uyum çalışmalarını 24 aydan önce tamamlayan kurumlara denetim faaliyetleri için gerekli hazırlık çalışmalarına uyum süresinin dolmasını beklemeden başlayabilme imkanı tanınmıştır.
  • Rehber kapsamındaki tüm kurumlarda, denetim faaliyetlerinin öncelikli olarak iç denetim birimlerinde görev alan ve bilgi teknolojileri alanında denetim yapmak üzere görevlendirilen iç denetçiler tarafından gerçekleştirilmesi esastır. Kritik altyapı hizmeti veren işletmelerde, düzenleyici ve denetleyici kurumlar ilgili mevzuatları çerçevesinde bu Denetim Rehberi'ne uygun şekilde ayrıca denetim faaliyetleri gerçekleştirebilir.
  • İç denetim birimlerinin bulunmadığı ya da iç denetim birimi olmasına rağmen denetimi yürütecek yeterlik ve yetkinlikte denetçiye sahip olunmadığı hâllerde denetim faaliyetlerinin bağımsız bir şekilde yürütülmesini sağlamak üzere kurum içi diğer personel, diğer kamu kurum ve kuruluşlarından görevlendirilecek personel veya hizmet alımı yolu ile denetim faaliyeti gerçekleştirilebilir.
  • Kurumun halihazırda uymakla yükümlü olduğu mevzuat doğrultusunda ISO/IEC 27001 uyumlu Bilgi Güvenliği Yönetim Sistemi ("BGYS") kurulum, işletim ve belgelendirme yükümlülüğünün bulunması ve bu yükümlülük çerçevesinde BGYS kapsamı ile Denetim Rehberi uyum kapsamının aynı olması durumunda, BGYS iç tetkik çalışmaları ile Denetim Rehberi uyum denetimleri tek bir denetim altında yürütülebilir. Ancak denetim çalışmaları sonucunda Türkiye Cumhuriyeti Cumhurbaşkanlığı Dijital Dönüşüm Ofisi iletilmesi gereken bilgi ve belgeler bu dokümanda tanımlı formatlara uygun olarak oluşturulmalıdır. Bu şekilde gerçekleştirilecek denetimlerde https://cbddo.gov.tr/ adresinde yayımlanacak tedbir eşleştirme tablolarından faydalanılabilir.
  • Kurum ile firma ve denetçiler için denetim hizmet alım sözleşmesinde uyulması gereken asgari yükümlülükler aşağıdaki gibidir:
  • Denetim hizmetini, Belgelendirme Programı kapsamında yetkilendirilmiş firmalardan almak.
  • Denetim hizmeti alınacak firmadan art arda üçten fazla denetim hizmeti almamış olmak.
  • Sözleşmede denetimin amacına, kapsamına ve sözleşmenin feshine ilişkin şartlara yer vermek.
  • Kurumun bilgi güvenliği gereksinimlerine uygun olarak Denetim Rehberi'nde yer alan "Tedarikçi İlişkileri Güvenliği" başlığı altındaki tedbirlere sözleşmede yer vermek.
  • Rehber uyum denetiminde uygulanacak metodoloji; denetimin planlanması, denetim prosedürlerinin uygulanması ve sonuçların raporlanması olmak üzere üç ana süreç ekseninde ilerlemektedir. İlk aşama olan denetimin planlamasında denetim ekibi belirlenmelidir. Daha sonra kurumun anlaşılması ve onu izleyen adım olarak denetim kapsamının belirlenmesi gerekir. Kapsam belirlendikten sonra, denetim stratejisi ve programının oluşturulması gerekmektedir. Bunlar tamamlandıktan sonra denetim prosedürünün uygulanmasına geçilir. Bu aşamada ilk önce rehber uygulama sürecinin ve tedbirlerin etkinliği değerlendirilir. Son olarak bulgular tespit edilir, değerlendirilir ve izlenir. Bütün bu aşamaların sonunda ise bir denetim raporu hazırlanır ve kuruma sunulur. Denetim raporunu oluşturan belgelerin ekler dahil her sayfası, denetim ekibinde yer alan denetçiler tarafından 5070 sayılı Elektronik İmza Kanunu hükümlerine göre oluşturulan güvenli elektronik imza ile imzalanarak rapor nihai hâline getirilir. Denetim ekibi yalnızca denetim kapsamını, kuruma teslim edilen denetim dosyasının boyutunu, dosyanın özet (hash) bilgisini ve teslim edilme tarihini içeren bilgileri taraflarca tutanak altına alarak elektronik ortamda saklamalıdır. Denetim ekibi bunların dışında herhangi bir belge, doküman veya sair bilgiyi kurum dışına çıkarmamalıdır. Denetim sonuçları ile yapılan düzeltici ve önleyici faaliyetler, Denetim Rehberi'nde belirtilen usul ve esaslara göre bir rapor hâlinde Türkiye Cumhuriyeti Cumhurbaşkanlığı Dijital Dönüşüm Ofisi'ne iletilecektir.
  • Rehber uyum denetimi kapsamında denetim ekibinde yer alan denetçilerin/uzmanların denetim çalışmaları süresince elde ettiği veya ürettiği bilgiler ile kullandıkları bilgi varlıklarının kullanma esaslarının belirtilmesi, sorumluluklarının tanımlanması ve ilgili kişiye sorumluluklarının bildirilmesi amacıyla 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında bir gizlilik taahhütnamesi imzalanması gerekir.

Denetim Rehberi'nin tamamına bu bağlantıdan ulaşabilirsiniz.

Yazı ilk olarak, Moroğlu Arseven'in iki haftada bir yayımlanan bülteni MA | Gazette'de yer almıştır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.