Bilişim Sistemleri Kontrollerinin aşamaları dikkat edilecek hususlar 

Bilişim Sistemleri Kontrollerinin Değerlendirilmesi

Kurum bilişim sistemlerinin tanınması sonrasında, bilişim sistemlerine ilişkin iç kontroller bütünlük, gizlilik, erişilebilirlik, uygunluk, güvenilirlik, verimlilik ve etkililik kriterleri çerçevesinde değerlendirilir. Denetçi, hizmet sunan sistemlerin ürettiği bilgilere güvenilip güvenilmeyeceği noktasında makul güvence elde etmeye çalışır. Eğer varsa, kurum tarafından geliştirilmekte olan e-Devlet ve diğer Bilişim Teknolojileri (BT) projeleri de incelenir. Bu durumda denetçi, kamu hizmetlerinin elektronik ortama aktarılması, iyileştirilmesi veya entegrasyonu amacıyla gerçekleştirilen projelerin mevzuata uygun şekilde yürütülmesi, bilgi güvenliği gereklerini karşılaması, bütçesi dâhilinde, zamanında, kullanıcı memnuniyetini de karşılayacak şekilde uygun kalitede ve planlandığı kapsamda başarıyla tamamlanması için gerekli kontrol mekanizmalarının oluşturulup oluşturulmadığını da değerlendirir. Kontrollerin değerlendirilmesinde risk tabanlı denetim yaklaşımı benimsenir.

Buna göre;

• İncelenen denetim/kontrol alanına ilişkin riskler belirlenir,

• Riskleri minimize edecek kontrol mekanizmaları belirlenir,

• Kontrol mekanizmalarının kurum tarafından oluşturulup oluşturulmadığı oluşturuldu ise etkin çalışıp çalışmadığı değerlendirilir,

• Değerlendirme sonrası önemli kontrol zafiyetleri raporlanır.

Planlama  Kontrollerin değerlendirilmesinde,  Bilişim Sistemleri Kontrollerini Değerlendirme Formu'ndan yararlanılır. Form yardımıyla yapılan bilişim sistemleri kontrollerine ilişkin tespit edilen kontrol zafiyetleri, bu sistemlerde gerçekleştirilen işlerin etkilediği hesap alanları açısından değerlendirilmelidir. Bilişim ortamında gerçekleştirilen işler hangi hesap alanını etkiliyorsa, etkilenen hesap alanı riskli olarak görülmeli ve etkilenen hesap alanında incelemelere ağırlık verilerek yapılacak maddi doğrulama testlerinin sayısı arttırılmalıdır. Tespit edilen kontrol zafiyetlerine ilişkin bulgular, ilgililerini bilgilendirmek ve kurum tarafından gerekli tedbirlerin alınmasını sağlamak için varsa önerileriyle birlikte rapora alınmalıdır. İlgili form, değerlendirme faaliyetlerine işlerlik kazandırılması amacıyla hazırlanmıştır. Formda yer alan kontrol sorularının tamamen veya kısmen kullanılması, bunlara eklemeler yapılması, denetçinin inisiyatifindedir. İlgili kontrol soruları süreci hızlandırmak için tasarlanmışlardır ve sınırlayıcı değildirler.

Denetçi, bilişim sistemleri kontrollerini daha ayrıntılı inceleme ihtiyacı duyması durumunda “Sayıştay Bilişim Sistemleri Denetim Rehberi” ile konuya ilişkin mevzuat, uluslararası standartlar ve çerçeve belgelerden yararlanabilir.

Bilişim sistemleri kontrolleri aşağıda belirtilen kontrol alanları itibariyle incelenebilir:

• BT Yönetişim/Yönetim Kontrolleri

• Bilgi Güvenliği Kontrolleri

• İşletim ve Bakım Yönetimi Kontrolleri

• İş Sürekliliği ve Felaket Kurtarma Planlaması Kontrolleri

• Uygulama Kontrolleri

• Dış Tedarik Kontrolleri

• Proje Yönetimi Kontrolleri

1.1.4.4.1 BT Yönetişim/Yönetim Kontrolleri

Kurum yönetimi, bilişim sistemlerinin kurum amaçlarına uygun çalışmasını ve işlevlerini doğru bir şekilde yerine getirmesini sağlayacak tedbirleri almakla yükümlüdür. BT yönetişim/yönetim kontrollerinin amacı güvenli ve yeterli bir bilişim ortamının sağlanması için kurumsal strateji ve amaçlara uygun yönetim, karar alma, yönlendirme ve izleme mekanizmalarının oluşturulmasını sağlamaktır. Bu kontroller denetçiye alt düzeydeki ayrıntılı kontrollerin varlığı ve etkinliği konusunda makul bir güvence sağlar. Bu alanda incelenebilecek temel kontroller şunlardır:

• Kurumun bilişim sistemlerine ilişkin yazılı, üst yönetim tarafından onaylanmış, güncel bir stratejisi ve bu stratejinin uygulanmasına ilişkin planları olmalıdır.

• Kurum, bilişim sistemlerine ilişkin yönetişim/yönetim faaliyetlerini etkin bir şekilde sağlayacak organizasyon yapısına sahip olmalıdır.

• Bilişim sistemine ilişkin düzenli olarak risk değerlendirilmesi yapılmalıdır.

• Bilgi sistemlerine ilişkin politikalar yazılı olarak oluşturulmalı, düzenli olarak güncellenmeli ve uygulanması izlenmelidir.

1.1.4.4.2 Bilgi Güvenliği Kontrolleri

Bilgi güvenliği kontrollerinin amacı, bilgi varlıklarının gizliliğinin, erişilebilirliğinin ve bütünlüğünün sağlanmasıdır. Özellikle siber güvenlik için gerekli kontrollerin kurum tarafından oluşturulup oluşturulmadığı öncelikle değerlendirilmelidir. Bu alanda incelenebilecek temel kontroller şunlardır:

• Fiziksel ve çevresel güvenliğe ilişkin yazılı prosedürler oluşturulmalıdır.

• Binalara, bilgisayar odalarına ve çalışma alanlarına yetkisiz fiziksel erişimi önleyici tedbirler alınmalıdır.

• Kullanıcı erişim yönetimine ilişkin prosedürler tanımlanmış olmalıdır.

• Güçlü parola oluşturma zorunluluğu olmalıdır.

• Sistem ve uygulama programlarına erişimler kayıt altına alınmalı ve izlenmelidir.

1.1.4.4.3 İşletim ve Bakım Yönetimi Kontrolleri

İşletim ve bakım yönetimi kontrollerinin amacı, uygulamaya alınan sistemlerin en az problemle çalışmasını temin etmek ve sistem sürekliliğini sağlamaktır. Bu alanda incelenebilecek temel kontroller şunlardır:

• Hizmet seviyeleri anlaşmaları (HSA) düzenlenmelidir. • Hizmetlerin izlenmesi ve raporlanması yapılmalıdır.

• Kurumda, olay ve hataları kaydetmek, analiz etmek ve zamanında çözmek için olay ve problem yönetimine ilişkin sistemler, uygulamalar ve prosedürler olmalıdır.

• Olayların istatistiklerinin çıkarılarak yönetime bildirilmesi sağlanmalıdır.

• BT hizmetleri için gerekli kaynak kapasitesi ve performans ihtiyacı tahmin edilmeli ve planlanmalıdır.

1.1.4.4.4 İş Sürekliliği ve Felaket Kurtarma Planlaması Kontrolleri

İş sürekliliği ve felaket kurtarma planlaması ile ilgili kontrollerin amacı, felaket nedeniyle bilişim sistemlerinin geçici veya sürekli olarak aksaması durumunda kurumun işlevlerini sürdürebilmesini ve tutulan bilginin işlenmesi, erişilmesi ve korunması yeteneklerinin kaybedilmemesini sağlamaktır. Bu alanda incelenebilecek temel kontroller şunlardır:

• Önceden tahmin edilebilen veya edilemeyen iç veya dış faktörlerden kaynaklanan iş kesintilerine karşı hazırlıklı olunmalıdır. Bu nedenle kurumda felaketten kurtarma ve iş sürekliliği için bir yönetim süreci ve organizasyonu oluşturulmalıdır.

• İş süreçleri tanımlanmalı ve kritik olanlar belirlenmelidir.

• İş akışını kesintiye veya felakete uğratacak, kurumu ve binaları olumsuz etkileyebilecek olayları ve çevresel faktörleri belirlemek için risk değerlendirmesi yapılmalıdır.

• Yapılan risk değerlendirmesi sonucu belirlenen her bir risk için, olası bir felaket esnasında kaybın veya aksaklıkların ana faaliyetler üzerindeki etkileri değerlendirilmeli ve potansiyel zararı önlemek veya kaybın etkilerini minimize etmek için uygun maliyetle gerekli tedbirler alınmalıdır.

33 1.1.4.4.5 Uygulama Kontrolleri

Uygulama kontrollerinin amacı, verilerin sistemlere tam olarak, zamanında ve sadece bir kere girilmesini, bilgi-işlem ortamında tüm işlem ve süreçlerin istenilen sıra ve düzen içinde gerçekleşmesini, raporların tam ve güvenilir olarak üretilmesini, yetkili kişilere ulaştırılmasını ve uygun şekilde arşivlenmesini sağlamaktır. Bu alanda incelenebilecek temel kontroller şunlardır:

• Uygulama programlarına ilişkin teknik dokümanlar, kullanım rehberleri ve kaynak belgeler hazırlanmış olmalıdır.

• Tüm veri hazırlama, veri giriş işlemleri ve ana dosyalardaki değişiklikler yetki dâhilinde yapılmalı, hatalı veri girişlerini engelleyecek otomatik kontrol mekanizmaları kurulmalı ve hatalı ve kural dışı veri girişleri raporlanmalıdır.

• Veri transferinden sorumlu personele rehberlik yapacak detaylı teknik bilgileri içeren prosedürler tanımlanmış olmalı ve veri transferlerinin tam ve doğru olarak yapılmasını sağlayan manuel veya otomatik kontroller olmalıdır.

• İş ve zaman çizelgesi hazırlanmalı ve süreçte başarısızlık veya problemle karşılaşıldığında, personel, işlemleri onaylandıkları en son noktadan yeniden başlatabilmelidir.

1.1.4.4.6 Dış Tedarik Kontrolleri

Dış tedarik kontrollerinin amacı, bulut bilişim hizmetleri dâhil, bilişim sistemlerine ilişkin uygulama geliştirme, işletim, bakım ve yedekleme gibi hizmetlerin dış tedarik yoluyla karşılanması durumunda ortaya çıkabilecek riskleri minimize etmektir. Bu alanda incelenebilecek temel kontroller şunlardır: • Yüklenici ile yapılan sözleşmelerde, bilgi güvenliği, hak ve yükümlülükler, hizmet tanımları ve sunum yerleri, hizmet kalite göstergeleri, yedekleme ve iş sürekliliği gerekleri, cezai yaptırımlar, denetim prosedürü, hizmetin süresi ve hizmet bitiminde iş devrine ilişkin hükümlere yer verilmelidir.

• Hizmet akdinin sona ermesi veya sonlandırılması durumunda yazılım, donanım, veri vb. varlıkların kuruma devri için gerekli tedbirler alınmalıdır.

• Kurum için geliştirilen yazılımlar üzerinde yüklenicinin fikri mülkiyet hakkı iddia etmesini önleyici tedbirler alınmalıdır.

1.1.4.4.7 Proje Yönetim Kontrolleri

Proje yönetimine ilişkin kontrollerin amacı; eğer kurum tarafından yürütülen e-Devlet veya diğer BT projeleri varsa, bu projelerin başarı ile tamamlanmasında kilit öneme sahip olan proje yönetimi yaklaşımının uygulanmasını ve bu yolla, sonuç ve çıktıların öngörülen kapsamda, planlanan zamanda ve bütçesi dâhilinde elde edilmesini, kullanıcıların ihtiyaçlarını karşılamasını ve kurumun stratejik amaçlarına hizmet etmesini sağlamaktır. Bu alanda incelenebilecek temel kontroller şunlardır:

• Proje öncesinde gerekli değerlendirme ve analizler yapılmalıdır. • Proje yöneticisi belirlenmeli ve uygun proje ekibi oluşturulmalıdır.

• Proje faaliyetleri plan dâhilinde yürütülmeli, izlenmeli ve koordine edilmelidir.

• Proje gereksinimleri ve kapsamı belirlenmeli ve dokümante edilmelidir. • Projenin aktivite listesi ve zaman çizelgesi oluşturulmalı ve izlenmelidir.