Bilgi ve İletişim Güvenliği Rehberinde hedeflenen kazanımların elde edilebilmesi ve sürekliliğinin sağlanması ancak etkin olarak gerçekleştirilen denetim ve gözetim faaliyetleri ile mümkündür.
Kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerden, Bilgi ve İletişim Güvenliği Rehberinde belirtilen süre içerisinde uyum faaliyetlerini tamamlamaları, yürütülen faaliyetlerin ve alınan tedbirlerin uygunluğunu belirlemek amacıyla yılda en az bir kez denetim çalışmalarını gerçekleştirmeleri beklenmektedir.
Bu doğrultuda, Dijital Dönüşüm Ofisi Başkanlığı tarafından, denetim çalışmalarının yürütülmesi konusunda kurum ve kuruluşlarımıza yol göstermesi amacıyla Bilgi ve İletişim Güvenliği Denetim Rehberi hazırlanmıştır. Hazırlık çalışmalarında 90’dan fazla kurum ve kuruluş tarafından iletilen 700’ün üzerindeki görüş ve öneri değerlendirmeye alınarak Denetim Rehberine son hali verilmiştir.
Denetim Rehberi, kurum ve kuruluşlara bilgi ve iletişim güvenliği uyum faaliyetlerinin denetiminde; denetimin planlanması, denetim prosedürlerinin uygulanması ve denetim sonuçlarının raporlanması konusunda izlenmesi gereken metodolojiye yer vermektedir.
Rehber kapsamındaki tüm kurum ve kuruluşlarda, denetim faaliyetlerinin öncelikli olarak iç denetim birimlerinde görev alan ve bilgi teknolojileri alanında denetim yapmak üzere görevlendirilen iç denetçiler tarafından gerçekleştirilmesi esastır. İç denetim birimlerinin bulunmadığı ya da iç denetim birimi olmasına rağmen denetimi yürütecek yeterlik ve yetkinlikte denetçiye sahip olunmadığı hallerde denetim faaliyetlerinin bağımsız bir şekilde yürütülmesini sağlamak üzere kurum içi diğer personel ya da diğer kamu kurum ve kuruluşlarından görevlendirilecek personel ile denetim faaliyetlerinin gerçekleştirilmesi gerekmektedir. Kurum ve kuruluşlar, iç kaynaklar ile denetim çalışmalarını gerçekleştiremediği durumda denetimi hizmet alımı yolu ile gerçekleştirebilir.
Denetim hizmeti alınacak firmaların ve personelinin sahip olması gereken kriterler ile bunların eğitim ve belgelendirme hususlarını içeren “Bilgi ve İletişim Güvenliği Rehberi Uyum Denetimi Hizmeti Sağlayan Personel ve Firma Belgelendirme Programı” Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda TSE ve TÜBİTAK BİLGEM işbirliği ile hayata geçirilmiştir.
Yapılacak denetimlerde kurum ve kuruluşlara ve bilhassa yöneticilere önemli sorumluluklar düşmektedir. Denetimlerin belirlenen periyotlarda yapılması ve denetim sonuçlarının Dijital Dönüşüm Ofisi Başkanlığına iletilmesi etkili bir denetim ve gözetim mekanizmasının tesisine, ulusal bilgi ve iletişim güvenliği olgunluk seviyesinin hedeflenen noktaya getirilmesine büyük katkı sağlayacaktır.
Bilgi ve İletişim Güvenliği Denetim Rehberine ulaşmak için tıklayınız.
TS ISO/IEC 27001:2017 Kontrolleri ile Bilgi ve İletişim Güvenliği Rehberi Eşleştirme Tablosuna ulaşmak için tıklayınız.
Formlar ve Şablonlara ulaşmak için tıklayınız.