Bilgi Sistemi Yönetimi İlkeleri Oluşturma Zorunluluğu Geliyor

Bilgi Sistemi Yönetimi İlkeleri Oluşturma Zorunluluğu Geliyor

Tarih: 18 Aralık 2013 | Vergi Günceli,


Çağımızda, bilgi sistem alt yapısı olmaksızın hiçbir faaliyet yürütmek mümkün değildir. İşletmecilikte ise, üretimden, yönetime, yönetimden denetime birçok alanda bilgi sistemlerinden yararlanılmaktadır.

Sermaye Piyasası Kurulu bu konuda önemli bir adım atarak, işletmelerin, bilgi sistemi yöntemi ilkeleri oluşturmalarını zorunlu hale getirmeyi hedeflemektedir. Uygulamaya yönelik olarak “Bilgi Sistemleri Yönetim İlkeleri Hakkında Tebliğ”  taslağı yayınlanmıştır. Taslağın 01.01.2015 tarihinde yürürlüğe girmesi beklenmektedir.

Taslak ile işletmelerin bilgi sistem yönetimini işletme hiyerarşisi içerisinde uygun bir yere oturtması ve bilgi sistemlerinin doğru yönetimi için gerekli finansmanı ve insan kaynağını tahsis etmesi gerekli hale getirilmektedir. Düzenleme ile işletmelerin, bilgi sistemlerinin yönetimine ilişkin politikaları, süreçleri ve prosedürleri tesis etmesi, düzenli olarak gözden geçirerek iş alanında gerçekleşen değişiklikler veya teknolojik gelişmeler doğrultusunda güncelliğini ve ilgili tüm birimlere duyurulması esasları belirlenmektedir.

1) YAPILMASI GEREKENLER

Taslak Tebliğ kapsamında yapılması gerekenler aşağıdaki başlıklar altında toplanabilir.

a) Bilgi Güvenliği Politikası Belirleme: İşletmelerin ayrıca, bilgi güvenliği politikaları belirlemeleri gereklidir. Bu politikalar üst yönetim tarafından belirlenecek ve yönetim kurulu tarafından onaylanacaktır. İşletmelerin, bilgi güvenliği kapsamında, bilgi sistemlerinin kontrollerini oluşturmaları ve bunları test etmeleri bir zorunluluktur. Bilgi sistemleri kontrollerinin etkinliğinin, yeterliliğinin ve uygunluğunun yanı sıra hedeflenen risk ya da risklerin etkisini azaltmaya yönelik performansı devamlı bir şekilde takip edilir ve değerlendirilir. Değerlendirme neticesinde tespit edilen önemli kontrol eksiklikleri üst yönetime raporlanır ve gerekli önlemlerin alınması sağlanır.

b) Varlıkların Yönetimi: İşletmeler, sahip oldukları bilgi varlıklarını ve bu varlıkların sorumlularını belirler, bu varlıkların envanterini oluşturur ve envanterin güncelliğini sağlar.

c) Görevlerin Ayrılması: Bilgi sistemi üzerinde görev ve sorumluluk alanları ayrılmalıdırlar.

d) Fiziksel ve Çevresel Güvenlik: Bilgi sistemlerine, sadece yetkilendirilmiş kişilerin fiziksel erişimi sağlanmalıdır.

e) Ağ Güvenliği: Ağların tehditlere karşı korunması için gerekli kontroller oluşturulmalıdır.

f) Kimlik Doğrulama: Bilgi sistemleri üzerinden gerçekleşen işlemler için, risk değerlendirmesi

sonucuna uygun kimlik doğrulama yöntemi belirlenmelidir.

g) Yetkilendirme: Bilgi sistemlerine erişim için uygun bir yetkilendirme ve erişim kontrolü tesis edilmelidir.

h) İşlemlerin, Kayıtları ve Verilerin Bütünlüğü: Bilgi sistemleri üzerinden gerçekleşen

işlemlerin, kayıtların ve verilerin bütünlüğünün sağlanmasına yönelik gerekli önlemler alınmalıdır.

i) Veri Gizliliği: Bilgi sistemleri faaliyetleri kapsamında gerçekleşen işlemlerin ve bu işlemler kapsamında iletilen, işlenen ve saklanan verilerin gizliliğini sağlayacak önlemleri alınmalıdır.

k) Müşteri Bilgilerinin Mahremiyeti: Bilgi sistemleri aracılığıyla edindiği veya

sakladığı müşteri bilgilerinin mahremiyetini sağlamaya yönelik kontrolleri tesis eder ve bunların

gerektirdiği önlemler alınmalıdır.

l) Müşterilerin Bilgilendirilmesi: İşletme tarafından elektronik ortamda sunulan

hizmetlerden yararlanacak müşteriler, sunulan hizmetlere ilişkin şartlar, riskler ve istisnaî durumlarla

ilgili olarak açık bir şekilde bilgilendirilmeli ve söz konusu hizmetlere ilişkin risklerin etkisini

azaltmaya yönelik olarak benimsenen bilgi güvenliği ilkeleri ve bu risklerden korunmak için

kullanılması gereken yöntemler müşterilerin dikkatine sunulmalıdır.

m) Üçüncü Taraflarla Bilgi Değişimi: Üçüncü taraflara işletmenin bilgi sistemine erişim hakkı vermeden önce gerekli güvenlik gereksinimleri tanımlanır ve uygulanmalıdır.

n) Denetim İzlerinin Oluşturulması: Bilgi sistemleri üzerindeki riskleri, sistem veya faaliyetlerin karmaşıklığını ve kapsamının genişliğini göz önünde bulundurarak bilgi sistemlerinin kullanımına ilişkin etkin bir denetim izi kayıt mekanizması tesis edilmelidir.

o) Bilgi Güvenliği İhlali: İşletme bünyesinde gerçekleşen her türlü bilgi

güvenliği ihlal olayının ve bilgi sistemlerine ilişkin ortaya çıkan zayıflıkların yönetilmesini

sağlayacak kontrolleri tesis edilmelidir.

p) Bilgi Sistemlerinin Edinimi, Geliştirilmesi Ve İdamesi: Bilgi sistemleri edinimi, geliştirilmesi ve idamesi için kontroller tesis edilir.

r) Bilgi Sistemlerine İlişkin Dış Kaynak Yoluyla Alınan Hizmetlerin Yönetimi:  İşletmenin üst yönetimi tarafından, bilgi sistemleri kapsamında dış kaynak yoluyla alınacak hizmetlerin doğuracağı risklerin yeterli düzeyde değerlendirilmesine, yönetilmesine ve dış kaynak yoluyla alınan hizmeti sağlayan kuruluşlarla ilişkilerin etkin bir şekilde yürütülebilmesine olanak sağlayacak bir gözetim mekanizması tesis edilir.

s) Süreklilik Planı: İşletme faaliyetlerini destekleyen bilgi sistemlerinin sürekliliğini sağlamak üzere iş sürekliliği planının bir parçası olan bilgi sistemleri süreklilik planını hazırlanır.

2) KAPSAMA DAHİL İŞLETMELER

Taslağın kapsamına giren işletmeler ve kurumlar aşağıdaki gibidir:

a) Borsa İstanbul A.Ş.,

b) Borsalar ve Piyasa İşleticileri ile Teşkilatlanmış Diğer Pazar Yerleri,

c) Emeklilik Yatırım Fonları,

ç) İstanbul Takas ve Saklama Bankası A.Ş.,

d) Merkezi Kayıt Kuruluşu A.Ş.,

e) Portföy Saklama Kuruluşları,

f) Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş.,

g) Sermaye Piyasası Kurumları (Yatırım kuruluşları, denetim şirketleri, değerleme şirketleri, varlık kiralama şirketleri gibi)

ğ) Halka Açık Şirketler,

h) Türkiye Sermaye Piyasaları Birliği,

ı) Türkiye Değerleme Uzmanları Birliği.

Taslak, bazı maddelerin uygulamasına ilişkin yukarıdaki işletme ve kurumları muafiyetlerde getirmiş durumdadır.

Paylaş


Okuma Önerisi

Kurum Geçici Vergisi Beyannamesinde Değişiklik Yapıldı.

E-bülten

Bizden haberder olmak için lütfen kaydolun.