DDO BÄ°LGÄ° ve Ä°LETİŞİM GÜVENLİĞİ REHBERÄ° UYUM DENETÄ°MÄ°
Bilgi ve Ä°letiÅŸim GüvenliÄŸi Uyum Denetimi
1. BÄ°LGÄ° ve Ä°LETİŞİM GÜVENLİĞİ DENETÄ°M METODOLOJÄ°SÄ°
Rehber uyum denetiminde uygulanacak metodoloji; denetimin planlanması, denetim
prosedürlerinin uygulanması ve denetim sonuçlarının raporlanması olmak üzere üç ana süreç eksende ilerlemektedir. Söz konusu iç ana süreç;
1. Denetimin Planlanması
2. Denetim Prosedürlerinin Uygulanması
3. Denetim Sonuçlarının Raporlanması
TRSÄ°BER DENETÄ°M
TRSÄ°BER Denetim ekibinin, Denetimlerinde temel hedefi aÅŸağıda yer verilen kriterlerin ölçülmesidir.
a) Rehber uygulama sürecinin etkinliÄŸi
b) Varlık gruplarına uygulanan tedbirlerin etkinliği
1.1 Denetim Planlama
Denetimin bütüncül bir yaklaşımla ele alınması ve verimli bir ÅŸekilde yürütülmesine zemin hazırlamak amacıyla TRSÄ°BER denetim ekibi takip edilmesi gereken adımları belirler ve yol haritasını oluÅŸturur.
Planlama aÅŸamasında yer alan alt süreçler aÅŸağıdaki gibidir;
a) TRSÄ°BER yönetimi tarafından denetim ekibi belirlenir ve denetlenecek kurum yetkilisinin onayına sunularak kesinleÅŸtirilir.
b) Denetlenecek kurum hakkında denetim ekibi tarafından kurumun anlaşılmasına yönelik bilgi toplanır. Kurumun teÅŸkilat ve organizasyon yapısı hakkında denetim ekibi bilgi edinir.
Kurumun faaliyet alanına yönelik bilgi toplanır. Ayrıca kurum bilgi sistemlerinin iÅŸletilmesi ve güvenliÄŸinin saÄŸlanmasına yönelik yasal düzenlemeler hakkında denetim ekibi bilgi sahibi olmalıdır.
c) Denetimin kapsamı belirlenir ve “EK-B Varlık Grupları ve Denetim Kapsamı” ile kayıt altına alınır. Denetim kapsamında kurumun yazılı onayı olmadan herhangi bir deÄŸiÅŸiklik yapılmaz.
d) Kapsama uygun olarak “EK-C Denetim Programı” hazırlanır ve denetim öncesi kurum yetkilisi ile e-posta ile paylaşılarak hazırlıkların yapılması saÄŸlanır.
1.2 Denetim Prosedürlerinin Uygulanması
Denetimin bu adımında, varlık gruplarına yönelik tedbirlerin etkinliÄŸi TRSÄ°BER Denetim ekibi tarafından deÄŸerlendirilir. Denetim görüÅŸünün oluÅŸturulmasına makul güvence saÄŸlayacak düzeyde denetim kanıtlarını toplar, elde edilen bulguları deÄŸerlendirir, sınıflandırır.
Bu süreçte TRSÄ°BER denetim ekibi, Rehberde yer alan her varlık grubu ve tedbir maddesi için tanımlı denetim yöntemi ve denetim soru önerilerinden faydalanılır.
TRSÄ°BER denetçileri, tedbirlerin etkinliÄŸini deÄŸerlendirirken aÅŸağıdaki denetim
yöntemlerinden faydalanır.
a) Mülakat: Denetim yapılan birim kapsamında söz konusu çalışmaların nasıl gerçekleÅŸtirildiÄŸi bilgisinin ilgili kurum personeli ile yüz yüze görüÅŸülerek edinilmesidir. Gerekli görülmesi durumunda dokümantasyon inceleme çalışması ile desteklenir.
b) Gözden Geçirme: Denetim yapılan birim kapsamında söz konusu çalışmalara yönelik güvenlik gereksinimleri göz önünde bulundurarak detaylı be sistematik olarak yapılan incelemedir.
c) Güvenlik Denetimi: Bilgi teknolojileri ve güvenlik sistemlerine ait kuralların, sıkılaÅŸtırma ve yapılandırma çalışmalarının teknik olarak denetlenmesidir. Gerekli görülmesi durumunda otomatik araç kullanımı ile desteklenir.
d) Sızma Testi: Bilgi teknolojileri ve güvenlik sistemleri kapsamında güvenlik açıklarının tespit edilmesini saÄŸlamaya yönelik olarak gerçekleÅŸtirilen güvenlik testleridir. Kurumun hangi sıklıkla sızma testi yaptırdığı sorgulanır, daha önce yapılan sızma testi raporlarında elde edilen bulguların giderildiÄŸine yönelik doÄŸrulama testleri yapılabilir veya ilgili raporlar deÄŸerlendirilir.
e) Kaynak Kod Analizi: Güvenli yazılım geliÅŸtirme konusunda uzman kiÅŸiler tarafından kaynak kodların incelenmesi ve güvenlik açıklarının tespit edilmesini saÄŸlayan denetim çalışmasıdır.
1.3 Denetim Kanıtlarının Toplanması
Denetim kanıtı, denetim raporuna ve TRSÄ°BER denetçisinin görüÅŸüne dayanak saÄŸlamak için denetim süresince elde edilen tüm bilgi, belge ve dokümanı ifade eder. TRSÄ°BER Denetçisi, denetim kanıtı toplarken önceki dönem denetim raporu ve bulgularından faydalanabilir. Denetim riskinin makul bir düzeye düÅŸürülmesi için yeterli, uygun ve güvenilir denetim kanıtı TRSÄ°BER denetçileri tarafından toplanmalıdır. Denetim kanıtında olması gereken temel unsurlara ve açıklamalara aÅŸağıda yer verilmiÅŸtir:
a) Güvenilirlik: Denetim kanıtının elde edildiÄŸi kaynağın uygunluÄŸu, hangi koÅŸullar altında ve hangi zamanda elde edildiÄŸidir.
b) Uygunluk: Denetim kanıtı ile etkinliği değerlendirilecek tedbirin amacı arasında mantıksal bir bağ olmasıdır.
c) Yeterlilik: Denetim kanıtının, denetçinin yapacağı deÄŸerlendirmeyi güçlendirecek düzeyde olmasıdır.
ç) Tekrar edilebilirlik: Denetçinin elde ettiÄŸi kanıtın aynı ÅŸartlar altında baÅŸka bir denetçi tarafından elde edilebilmesidir.
1.4 Denetim Sonuçlarının Raporlanması
TRSÄ°BER Denetim ekibinin Rehber uyum faaliyetlerinin etkinliÄŸi ile ilgili kanaatini objektif, açık, öz ve anlaşılır bir dille beyan ettiÄŸi belge denetim raporunu ifade eder. Denetim ekibi, denetim görüÅŸünü oluÅŸturacak yeterli bilgi, belge ve dokümanın Kurum tarafından saÄŸlanmadığı durumlarda veya denetimin bağımsızlığını ya da tarafsızlığını zedeleyecek herhangi bir durumun varlığında Kurumun ilgili birimlerine bunu yazılı olarak bildirir. Denetim ekibi, denetim görüÅŸünü oluÅŸturmaya yönelik herhangi bir kısıt veya engel ile karşılaÅŸmadığı durumda denetim raporunu hazırlar.
2. TRSÄ°BER DENETÇÄ°LERÄ°NÄ°N UYMASI GEREKEN ETÄ°K Ä°LKELER
2.1 Dürüstlük: TRSÄ°BER Denetçisi mesleki faaliyetlerinde ve iÅŸ iliÅŸkilerinde doÄŸru ve güvenilir olmalıdır.
2.2 Tarafsızlık: TRSÄ°BER Denetçisinin mesleki muhakemesine çıkar, ön yargı gibi herhangi bir durum veya iliÅŸki etki etmemelidir.
2.3 Mesleki Yeterlilik ve Özen: TRSÄ°BER Denetçisi mesleki konularda güncel ve yeterli bilgiye sahip olmalıdır ve yaptığı iÅŸlerde bu bilgiyi dikkatle uygulamalıdır.
2.4 Sır Saklama: TRSÄ°BER Denetçisi mesleki faaliyetlerinde edindiÄŸi bilgilerin gizliliÄŸini saÄŸlamalıdır.
2.5. MesleÄŸe Uygun Davranış: TRSÄ°BER Denetçisi mesleki itibarını zedeleyecek her türlü, davranış ve eylemden kaçınmalıdır.