Bilgi ve İletişim Güvenliği Denetim Rehberi Doğrultusunda Çalışmalar Başladı
Bilindiği gibi 6 Temmuz 2019 tarihinde 30823 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Bilgi ve İletişim Güvenliği Tedbirleri konulu Cumhurbaşkanlığı Genelgesi uyarınca hazırlanan Bilgi ve İletişim Güvenliği Rehberi 27 Temmuz 2020 tarihinde yayımlanmıştı. Bilgi ve İletişim Güvenliği Rehberine uyum sağlarken yerine getirilmesi gereken adımlardan biri olan ve her yıl düzenli olarak yapılacak denetim faaliyetlerinin yürütülmesi konusunda, kurum ve kuruluşlara kılavuz olması amacıyla ayrıca bir Bilgi ve İletişim Güvenliği Denetim Rehberi hazırlanarak 27 Ekim 2021 tarihinde yayımlanmıştı. Bu gelişmelerin akabinde denetçilerin sertifikasyonunu ve firmaların belgelendirmesini sağlamak amacıyla Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda Türk Standartları Enstitüsü ve TÜBİTAK BİLGEM iş birliğiyle bir Belgelendirme Programı da hayata geçirilmiştir.
Dijital Dönüşüm Ofisi Başkanı Dr. Ali Taha Koç, günümüzde dijitalleşmenin; ekonomik kalkınmanın ve global rekabetin sürdürülebilmesinde kritik rol oynadığına vurgu yaparak Denetim Rehberi’nin oluşturulmasına kadarki süreci şu şekilde anlattı: “Bilgi ve iletişim güvenliği; dijital altyapıların ayrılmaz bir parçası haline geldi. Hizmetlerin hızla dijital ortama taşınmasıyla boyut ve karakter değiştiren siber saldırılardan korunma; ülkelerin ulusal güvenliğini sağlamada her geçen gün önemini artırmakta, birer siber hedef haline gelen dijital altyapılar için öncelikli gündem olarak karşımıza çıkmaktadır. Bilgi sistemlerinde karşılaşılan güvenlik risklerinin yönetilebilmesi amacıyla kamu kurum ve kuruluşlarıyla kritik altyapı hizmeti veren işletmelerce uyulması gereken bilgi ve iletişim güvenliği tedbirlerini içeren Cumhurbaşkanlığı Genelgesi yürürlüğe girdi, müteâkiben ülkemizde alanında ilk referans doküman olma özelliği taşıyan ‘Bilgi ve İletişim Güvenliği Rehberi’ yayımlandı.”
“Bilgi ve İletişim Güvenliği Rehberi’nde hedeflenen kazanımların elde edilebilmesi, kapsam dâhilindeki kurum ve kuruluşlarda uyum sürecinin etkin bir şekilde denetimi ve takibiyle mümkün olabilir” ifadesini kullanan Koç, kurum ve kuruluşların Rehberde belirtilen süre içerisinde uyum faaliyetlerini tamamlamaları, yürütülen faaliyetlerin ve alınan tedbirlerin uygunluğunu belirlemek amacıyla yılda en az bir kez denetim çalışmalarını gerçekleştirmeleri beklenildiğini ifade etti ve sözlerini şöyle tamamladı: “Denetim çalışmalarının yürütülmesi konusunda kurum ve kuruluşlarımıza yol göstermek amacıyla ‘Bilgi ve İletişim Güvenliği Denetim Rehberi’ adıyla hazırlanan Rehber, 90’dan fazla kurum ve kuruluştan gelen 700’ün üzerinde uzman görüşünün değerlendirilmesi sonucunda oluşturuldu. Ulusal düzeyde bilgi ve iletişim güvenliğine yönelik mukavemetin artırılması amacıyla yapılacak bu çalışmalarda kurum ve kuruluşların kıymetli yöneticilerine büyük sorumluluklar düşmektedir.”
Bilgi ve İletişim Güvenliği Rehberi kapsamındaki kurumlar, ilgili rehberde açıklanan tedbirlere uyum çalışmalarını 24 aylık bir süre içerisinde tamamlamış olmalıdır. Bu süreyi takiben kurumlar denetim çalışmalarına başlamalıdır.
Denetim Rehberi kapsamında, kurumların ve kritik altyapı hizmeti veren işletmecilerin denetim çalışmalarında izleyecekleri süreç açıklanmaktadır. Kurumların esas olarak denetim faaliyetlerini iç denetim birimleri aracılığıyla gerçekleştirmeleri gerekmektedir. İç denetim birimleri bulunmadığı ya da yeterli olmadığı takdirde faaliyetler kurum içi diğer personel, diğer kamu kurum ve kuruluşlarından görevlendirilecek personel veya hizmet alımı yolu ile gerçekleştirilebilecektir.
Denetim Rehberi uyarınca denetimlerin amacı, Bilgi ve İletişim Güvenliği rehberinin uygulanmasının ve varlık gruplarına uygulanan tedbirlerin etkinliğinin ölçülmesidir. Denetim Rehberi, dışarıdan denetim hizmeti alımlarında Rehber kapsamındaki kurumlar ile denetçilerin yükümlülüklerine, denetimin planlanması, denetim yöntemlerinin uygulanması ve denetim sonuçlarının raporlanması konularında izlenmesi gereken metotlara yer vermektedir.
Denetim sonunda ise denetim raporunun hazırlanması ve Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’ne gönderilmesi gerekmektedir.
