|
TR

Bilgi ve İletişim Güvenliği Denetim Rehberi

Denetim faaliyetlerini gerçekleştirmekle yükümlü kurum ve kuruluşlar hangileridir?

Milli güvenliğin sağlanması kapsamında görev ve faaliyet yürüten kurum ve kuruluşlar hariç olmak üzere bilgi işlem birimi barındıran veya bilgi işlem hizmetlerini sözleşmeler çerçevesinde üçüncü taraflardan alan, devlet teşkilatı içerisinde yer alan kurum ve kuruluşların tamamı denetim faaliyetlerini gerçekleştirmekle yükümlüdür. Ancak, denetim faaliyetlerini hangi kamu kurum ve kuruluşlarının gerçekleştireceği Dijital Dönüşüm Ofisi Başkanlığı tarafından her yıl belirlenerek ilgililere duyurulacaktır. Bu bağlamda, 14.02.2022 tarihli ve 4350 sayılı yazı çerçevesinde ilk yıl denetimleri için denetim faaliyetlerini gerçekleştirmesi ve denetim sonuçlarını iletmesi gereken kurum ve kuruluşlara bilgilendirme yapılmış olup, 2022 yılı kapsamına ilçe belediyeleri ve kaymakamlıklar dâhil edilmemiştir.

Denetim faaliyetlerini gerçekleştirmekle yükümlü kritik altyapı hizmeti veren işletmeler hangileridir?

Ulusal Siber Güvenlik Stratejisi ve Eylem Planı'nda kritik altyapı sektörleri; "Elektronik Haberleşme", "Enerji", "Su Yönetimi", "Kritik Kamu Hizmetleri", "Ulaştırma", "Bankacılık ve Finans" olarak tanımlanmaktadır. 11 Kasım 2013 tarihli ve 28818 sayılı Resmi Gazete’de yayımlanan Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğ kapsamında Ulaştırma ve Altyapı Bakanlığı tarafından yayımlanmış olan Sektörel SOME Kurulum ve Yönetim Rehberi içeriğinde her bir kritik altyapı sektöründe faaliyet gösteren kurum ve kuruluşlar özelinde Sektörel SOME’ler yer almaktadır. Bu doğrultuda kritik altyapı sektörlerinde faaliyet gösteren işletmelerin, kritik altyapı hizmeti veren işletme özelliğinde olup olmadığı, ilgili Sektörel SOME tasarrufundadır. Dolayısıyla Sektörel SOME’ler tarafından Bilgi ve İletişim Güvenliği Rehberine uyum faaliyetlerini gerçekleştirmekle yükümlü tutulan kritik altyapı hizmeti veren işletmelerin tamamı Bilgi ve İletişim Güvenliği Denetim Rehberi doğrultusunda denetim faaliyetlerini gerçekleştirmeli ve denetim sonuçlarını Dijital Dönüşüm Ofisi Başkanlığına iletmelidir.

Kamu kurum ve kuruluşlarında denetim ekibi nasıl oluşturulur?

Denetim ekibi en az 2 denetçiden oluşmalıdır. Denetimin kapsamı ve denetlenen sistemlerin karmaşıklığına bağlı olarak denetim ekibindeki denetçi sayısı artırılabilir. 

Denetim ekibi kurum iç kaynakları ile oluşturuluyor ise;

Aşağıda belirtilen yetkinliklerin en az birini haiz personelden oluşması gerekmekte olup; denetçilerden biri Denetim Koordinatörü olarak belirlenmelidir. 

  • İç tetkik veya iç denetim faaliyetlerinde bulunmuş ve bilgi sistemleri denetimi alanında eğitim almış 
  • ISO/IEC 27001 Başdenetçi sertifikasına sahip
  • CISA sertifikasına sahip
  • TSE Bilgi ve İletişim Güvenliği Rehberi Uyum Denetimi Hizmeti Veren Personel ve Firma Belgelendirme Programı kapsamında yetkilendirilmiş denetçi veya başdenetçi

Denetim ekibi aşağıdaki öncelik sırasına göre oluşturulur.

  • Kurum iç denetçisi
  • Kurum içi personel (Bilgi ve İletişim Güvenliği Rehberi uyum faaliyetlerinde yer almayan ve denetlenen birime bağlı olmayan personel)
  • Diğer kamu kurum ve kuruluşlarından görevlendirilecek personel

Denetim ekibi hizmet alım yolu ile oluşturuluyor ise;

  • Ekipte, TSE Bilgi ve İletişim Güvenliği Rehberi Uyum Denetimi Hizmeti Veren Personel ve Firma Belgelendirme Programı kapsamında yetkilendirilen en az bir başdenetçi ve denetçi bulunmak zorundadır. Ekipteki başdenetçi aynı zamanda Denetim Koordinatörü’dür. Ekipte birden fazla başdenetçi olması durumunda başdenetçilerden biri Denetim Koordinatörü olarak görevlendirilir.

Kritik altyapı hizmeti veren işletmelerde denetim ekibi nasıl oluşturulur?

Denetim ekibi en az 2 denetçiden oluşmalıdır. Denetimin kapsamı ve denetlenen sistemlerin karmaşıklığına bağlı olarak denetim ekibindeki denetçi sayısı artırılabilir. 

Denetim ekibi kurum iç kaynakları ile oluşturuluyor ise;

Aşağıda belirtilen yetkinliklerin en az birini haiz personelden oluşması gerekmekte olup; denetçilerden biri Denetim Koordinatörü olarak belirlenmelidir. 

  • ISO/IEC 27001 Başdenetçi sertifikasına sahip
  • CISA sertifikasına sahip
  • TSE Bilgi ve İletişim Güvenliği Rehberi Uyum Denetimi Hizmeti Veren Personel ve Firma Belgelendirme Programı kapsamında yetkilendirilmiş denetçi veya başdenetçi

Denetim ekibi aşağıdaki öncelik sırasına göre oluşturulur.

  • Kurum iç denetçisi
  • Kurum içi personel (Bilgi ve İletişim Güvenliği Rehberi uyum faaliyetlerinde yer almayan ve denetlenen birime bağlı olmayan personel)

Denetim ekibi hizmet alım yolu ile oluşturuluyor ise;

  • Ekipte, TSE Bilgi ve İletişim Güvenliği Rehberi Uyum Denetimi Hizmeti Veren Personel ve Firma Belgelendirme Programı kapsamında yetkilendirilen en az bir başdenetçi ve denetçi bulunmak zorundadır. Ekipteki başdenetçi aynı zamanda Denetim Koordinatörü’dür. Ekipte birden fazla başdenetçi olması durumunda başdenetçilerden biri Denetim Koordinatörü olarak görevlendirilir.

Düzenleyici ve denetleyici kurumlar, kapsamı dâhilindeki kritik altyapı sektörlerinde hizmet veren kurum ve kuruluşlarda denetim faaliyetini gerçekleştirecek firma ve ekip için ilave yeterlilik ve yetkinlik kriterleri belirleyebilir.


Kurum ve kuruluşların Bilgi ve İletişim Güvenliği Rehberi uyum faaliyetlerini yürütmekle sorumlu birim(ler)inde görev alan personel denetim faaliyetlerini yürütebilir mi?

Denetim faaliyetlerinin bağımsız ve tarafsız bir şekilde yürütülmesini teminen denetim ekibi Bilgi ve İletişim Güvenliği Rehberi uyum faaliyetlerini yürütmekle sorumlu birim(ler)de görev almayan ve denetlenen birime bağlı olmayan personelden teşkil edilmelidir.

İlk yıl denetim faaliyetlerinin hizmet alım yolu ile gerçekleştirilmesi durumunda sonraki yıl denetimleri için nasıl bir yol izlemelidir?

İlk yıl denetim faaliyetlerinin hizmet alım yolu ile gerçekleştirilmesi durumunda, sonraki yıl denetimlerinin kurum/kuruluş iç kaynakları ile yürütülmesi için gerekli bütçe, personel vb. gereksinimlere yönelik planlamalar yapılmalıdır. Ancak, gerekli iç kaynak tesis edilemediği durumda sonraki yıl denetimlerinde de hizmet alım yolu ile denetimler gerçekleştirilebilir.

Denetim ekibinde denetçi dışında uzman personel yer alabilir mi?

Denetim çalışmalarında, denetim ekibindeki denetçilere ilave olarak özel uzmanlık veya ihtisas gerektiren alanlarda tecrübesinden faydalanılmak üzere uzman personel görevlendirilebilir. Denetim ekibinde uzman yer alması durumunda, uzmanın yapacağı çalışmalar denetçi refakatinde gerçekleştirilir. Uzmanın; hangi varlık grupları, tedbirler ya da süreçler üzerinde çalışma yapacağı, çalışmaların denetçiye nasıl raporlanacağı denetçiler tarafından belirlenir.

Kurum ve kuruluşlar iç kaynakları ile denetim faaliyetlerini gerçekleştiremediği durumda hangi firmalardan hizmet alabilir?

Kurum ve kuruluşlar, iç kaynakları ile denetim faaliyetlerini gerçekleştiremediği durumda denetim faaliyetlerini gerçekleştirmek üzere TSE Bilgi ve İletişim Güvenliği Rehberi Uyum Denetimi Hizmeti Veren Personel ve Firma Belgelendirme Programı kapsamında belgelendirilen firmalardan hizmet alabilir. İlgili firmalara bu bağlantıdan erişim sağlanabilir.

Düzenleyici ve denetleyici kurumlar, kapsamı dâhilindeki kritik altyapı sektörlerinde hizmet veren kurum ve kuruluşlarda denetim faaliyetini gerçekleştirecek firma ve ekip için ilave kriterler tanımlayabilir.


Bilgi ve İletişim Güvenliği Rehberi kapsamında denetim faaliyetlerini gerçekleştirmek üzere yetkilendirilmiş firmaların gerekli belgelendirme şartlarını yerine getirmeye devam ettiğinin takibi nasıl yapılacaktır? 

Bilgi ve İletişim Güvenliği Rehberi Uyum Denetimi Hizmeti Veren Firmaların gerekli belgelendirme şartlarını yerine getirmeye devam ettiğinin takibi TSE tarafından yapılacak olup, sürece yönelik işleyiş “Bilgi ve İletişim Güvenliği Rehberi Uyum Denetimi Hizmeti Sağlayan Personel ve Firma Belgelendirme Rehberi” içeriğinde yer almaktadır.

Kurum ve kuruluşlar Bilgi ve İletişim Güvenliği Rehberi konusunda danışmanlık aldıkları firmalardan denetim hizmeti alabilir mi?

Kurum ve kuruluşlar, hizmet alım sözleşmesi tarihinden önceki iki yıl içerisinde Bilgi ve İletişim Güvenliği Rehberi uyum faaliyetleri konusunda danışmanlık hizmeti aldıkları firma ve denetçilerden hizmet alamazlar.

Kurum ve kuruluşlar, aynı firmadan denetim hizmetini en fazla kaç yıl alabilirler?

Kurum ve kuruluşlar aynı firmadan art arda en fazla üç denetim hizmeti alabilirler.

Denetim sonuçları her yıl Dijital Dönüşüm Ofisi Başkanlığı’na iletilecek midir?

Bilgi ve İletişim Güvenliği Rehberi kapsamında yer alan kurum ve kuruluşlar ilk yıl denetim raporu imza tarihini takip eden bir yıllık süre sonunda denetim çalışmalarını tekrarlamalı ve denetim sonuçlarını her yıl Dijital Dönüşüm Ofisi Başkanlığı’na iletmelidir.

Bilgi ve İletişim Güvenliği Rehberi uyum faaliyetlerini tamamlayamayan kurum ve kuruluşlar denetim sürecini nasıl gerçekleştirecektir?

Kurum ve kuruluşlar tarafından Bilgi ve İletişim Güvenliği Rehberi denetim çalışmaları en geç 31 Aralık 2022 tarihine kadar tamamlanmalıdır.

Rehber uyum çalışmalarına başlamayan veya varlık grupları ile varlık gruplarının kritiklik derecesini belirlemeyen kurum ve kuruluşlar, Bilgi ve İletişim Güvenliği Uyum ve Denetim İzleme Sistemi üzerinden mevcut durumları ve planlamaları hakkında beyanda bulunacaktır.

Varlık grupları ile varlık gruplarının kritiklik derecesini belirleyen kurum ve kuruluşlar, mevcut durumları kapsamında denetim faaliyetlerini gerçekleştirerek denetim sonuçlarını Bilgi ve İletişim Güvenliği Uyum ve Denetim İzleme Sistemi üzerinden iletecektir.

Bilgi ve İletişim Güvenliği Rehberi uyum denetimleri ile bilgi ve iletişim güvenliği konulu diğer denetimler birlikte yürütülebilir mi?

Kurum ve kuruluşlar hâlihazırda uymakla yükümlü olduğu mevzuat doğrultusunda ilgili olduğu sektörden sorumlu düzenleyici ve denetleyici kuruluş, ilgili bakanlık veya diğer otoriteler tarafından gerçekleştirmekle yükümlü tutulduğu bilgi ve iletişim güvenliği konulu denetimleri, Bilgi ve İletişim Güvenliği Rehberi uyum denetimleri ile örtüştürebildiği durumlarda bu denetimleri birlikte gerçekleştirebilir. Ancak denetim çalışmaları neticesinde Dijital Dönüşüm Ofisi Başkanlığı’na iletilmesi gereken denetim sonuçları Bilgi ve İletişim Güvenliği Denetim Rehberi’nde tanımlı formatlara uygun olarak oluşturulmalıdır.

Kurum ve kuruluşlar, Rehber uyum süreci ile TS EN ISO/IEC 27001:2017 uyumlu Bilgi Güvenliği Yönetim Sistemi (BGYS) süreçlerinin entegrasyonu ve BGYS iç tetkik çalışmaları ile Rehber uyum denetimlerinin tek bir denetim altında yürütülmesi çalışmalarında yararlanmak amacıyla TS EN ISO/IEC 27001:2017 Standardının EK-A Referans Kontrol Amaçları ve Kontrolleri ile Bilgi ve İletişim Güvenliği Rehberinde tanımlanan tedbirler arasındaki ilişkiyi ortaya koyan eşleştirme tablosundan faydalanabilir.

Kurum ve kuruluşlar ilk yıl denetimlerini en geç hangi tarihe kadar tamamlamalıdır? 

Kurum ve kuruluşlar, ilk yıl denetimlerini en geç 31 Aralık 2022 tarihine kadar tamamlamalıdır.

Kurum ve kuruluşlar denetim sonuçlarını en geç hangi tarihe kadar Dijital Dönüşüm Ofisi Başkanlığı’na iletmelidir?

Kurum ve kuruluşlar, denetim raporunun imzalanma tarihinden itibaren iki ay içerisinde sonuçları Dijital Dönüşüm Ofisi Başkanlığı’na iletmelidir.

Kurum ve kuruluşlar, Dijital Dönüşüm Ofisi Başkanlığı’na denetim raporunun hangi bölümlerini iletecektir?

Kurum ve kuruluşlar denetim raporunda yer alan

  • Denetim Ekibi Bilgisi
  • Varlık Grupları ve Denetim Kapsamı 
  • Rehber Uygulama Süreci Etkinlik Durumu 
  • Tedbir Etkinlik Durumu 
  • Denetim Görüşü 

bölümlerini 5070 sayılı Elektronik İmza Kanunu hükümlerine göre oluşturulan güvenli elektronik imza ile Üst Yönetici veya Üst Yöneticinin yetkilendirdiği personel tarafından imzalayarak Dijital Dönüşüm Ofisi Başkanlığı’na iletir.

Dijital Dönüşüm Ofisi Başkanlığı’na denetim sonuçları nasıl iletilecektir?

Kurum ve kuruluşlar denetim sonuçlarını Dijital Dönüşüm Ofisi Başkanlığının tesis edeceği Bilgi ve İletişim Güvenliği Uyum ve Denetim İzleme Sistemi üzerinden ileteceklerdir.

Denetim faaliyetlerini gerçekleştirmeyen kurum ve kuruluşlara yaptırım uygulanacak mıdır?

Bilgi ve İletişim Güvenliği Uyum ve Denetim İzleme Sistemi üzerinden kurum ve kuruluşların yaptıkları beyan ve bildirimlere ilişkin bilgiler esas alınarak Dijital Dönüşüm Ofisi Başkanlığı tarafından gözetim faaliyetleri gerçekleştirilecektir. 

Rehber uyum faaliyetlerinin ve denetimlerin gerçekleştirilmemesi nedeniyle bir zafiyet oluşması durumunda hâlihazırda ilgili mevzuatta belirlenen yaptırımlar geçerli olacaktır. Oluşabilecek zararın boyutu ve etkisi göz önünde bulundurularak kurum içi adli veya idari soruşturma süreçleri işletilebilecektir.

Kritik altyapı hizmeti veren işletmeler için ilgili olduğu düzenleyici ve denetleyici kurumlar birincil ve ikincil mevzuatları kapsamında belirleyeceği usul ve esaslar çerçevesinde yaptırım uygulayabilecektir.

Bilgi ve İletişim Güvenliği Denetim Rehberi’nin güncel sürümüne nereden erişilebilir?

Bilgi ve İletişim Güvenliği Denetim Rehberi’nin güncel sürümüne https://cbddo.gov.tr/bgdrehber adresinden erişilebilir.

Bilgi ve İletişim Güvenliği Denetim Rehberi ile ilgili soru, görüş ve öneriler nasıl iletilebilir? 

Bilgi ve İletişim Güvenliği Denetim Rehberi ile ilgili her türlü soru, görüş ve öneri bgrehber@cbddo.gov.tr e-posta adresine iletilebilir.

TSE Bilgi ve İletişim Güvenliği Rehberi Uyum Denetimi Hizmeti Veren Personel ve Firma Belgelendirme Programı kapsamında belgelendirilen firmalara nereden erişilebilir?

TSE Bilgi ve İletişim Güvenliği Rehberi Uyum Denetimi Hizmeti Veren Personel ve Firma Belgelendirme Programı kapsamında belgelendirilen firmalara bu bağlantı üzerinden erişilebilir.

TSE Bilgi ve İletişim Güvenliği Rehberi Uyum Denetimi Hizmeti Veren Personel ve Firma Belgelendirme Programı ile ilgili ayrıntılı bilgiye nereden erişilebilir?

TSE Bilgi ve İletişim Güvenliği Rehberi Uyum Denetimi Hizmeti Veren Personel ve Firma Belgelendirme Programı ile ilgili ayrıntılı bilgiye bu bağlantı üzerinden erişilebilir.