DDO Bilgi ve İletişim Güvenliği Rehberi Denetim Hizmeti
Kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmeler yılda en az bir kez denetim çalışmalarını gerçekleştirmek ve BIGDES sistemine yüklemek zorundadır. Kurum ve kuluşların denetim hizmetini DDO ve TSE akredite BİGR denetçi kuruluşlardan alması mümkündür.
BTYÖN, DDO ve TSE onaylı Bilgi ve İletişim Güvenliği Rehberi Denetim firmasıdır. Tümü D1 ve D2 baş denetçi seviyesinde olan denetçi kadromuz ile bilgi ve iletişim güvenliği rehberine uyumluluğunuzu denetlemekle kalmıyor aynı zamanda siber güvenlik olgunluk seviyenizin arttırılması için katma değerli çalışmalar gerçekleştiriyoruz.
DDO Bilgi ve İletişim Güvenliği Rehberi uyum denetiminde uygulanacak metodoloji; denetimin planlanması, denetim prosedürlerinin uygulanması ve denetim sonuçlarının raporlanması olmak üzere üç ana süreç ekseninde ilerlemektedir. Denetimin temel hedefi aşağıda yer verilen kriterlerin ölçülmesidir.
a) Rehber uygulama sürecinin etkinliği
b) Varlık gruplarına uygulanan tedbirlerin etkinliği
Katma Değer: Denetim çalışması sırasında Optimate Solutions DDO Denetim Yönetimi yazılımı kullanılmaktadır. Bu yazılım sayesinde denetim süreci etkin şekilde gerçekleştirilmekte ve denetlenen kuruluşlar tüm çalışmaları okuma hakkı ile anlık olarak izleyebilmektedir. Denetlenen kuruluş değerlendirmelere ve bulgulara sistem üzerinden görüşverebilmektedir. Denetim çalışması sonrasında raporlar sistem üzerinden alınarak kuruluşa BİGDES’e yüklenebilir şekilde teslim edilmektedir. Raporların yüklenmesi sonrası sistemden tüm veriler kalıcı olarak silinmektedir.
Denetimin Planlanması
Denetimin planlanması, denetim hedeflerini gerçekleştirmek maksadıyla takip edilmesi gereken adımların belirlenmesi ve bir yol haritasının oluşturulması sürecidir. Denetimin bütüncül bir yaklaşımla ele alınmasına ve verimli bir şekilde yürütülmesine zemin hazırlayacak ilk adımdır.
Bu süreçte Kurumun faaliyet alanı, iş süreçleri, organizasyon yapısı, mevzuattan kaynaklanan yükümlülükleri, iç ve dış paydaşları gibi temel konular anlaşılmalı ve bu doğrultuda denetim kapsamının belirlenmesine girdi sağlanmalıdır.
Denetimin planlanması süreci aşağıda yer alan altsüreçler işletilerek yürütülecektir:
a) Denetim ekibinin belirlenmesi
b) Kurumun anlaşılması
c) Denetim kapsamının belirlenmesi (Her ana varlıkgrubundan birer adet kapsama dahil edilecektir.)
ç) Denetim stratejisi ve denetim programının hazırlanması
Denetim İcrası ve Bulgu Tanımlama
BTYÖN, BİGR denetim hizmeti ile Rehber’de tanımlı hedeflerin denetimini gerçekleştirmektedir.
Hedef 1: Rehber Uygulama Sürecinin Etkinliğinin Değerlendirilmesi
a) Kurum varlık gruplarının, Rehberde yer alan varlıkgrubu ana başlıkları ile uyumlu olacak şekilde tanımlanması
b) Kurum bilgi varlıklarının mutlaka bir varlık grubualtında tanımlanması
c) Varlık grupları tanımlama çalışmalarının varsa bilgigüvenliği yönetim sistemi kapsamında oluşturulan varlık envanteri ileilişkilendirilmesi
ç) Varlık grupları kritiklik derecelerinin Rehbere uygun olarak belirlenmesi
d) Varlık gruplarının kritiklik derecesine uyguntedbirlerin belirlenmesi
e) Uygulama ve teknoloji alanına yönelik tedbirler vesıkılaştırma tedbirlerinin varlık grubu ile uygun bir şekilde eşleştirilmesi
f) Her bir varlık grubu için mevcut durum ve boşlukanalizi çalışmalarının yapılması
g) Telafi edici kontrollerin dokümante edilmesi
ğ) Rehber uygulama yol haritasının oluşturulması
Hedef 2: Varlık GruplarınaUygulanan Tedbirlerin Etkinliğinin Değerlendirilmesi
a) Tedbirlerin, denetim kapsamı dâhilindeki varlıkgruplarına etkin bir şekilde uygulanıp uygulanmadığının değerlendirilmesi
b) Denetim kapsamı dâhilindeki varlık grubu ileilişkilendirilmiş tedbirler yerine uygulamaya alınan telafi edici kontrollerin uygunluğunun ve etkinliğinin değerlendirilmesi
Denetim programı, denetim ekibi tarafından Denetim Koordinatörü liderliğinde EK – C’ye uygun olarak doldurulmaktadır. Denetim programında yer alan takvim bilgileri için Kurum ile denetim öncesi mutabakat sağlanmaktadır.
Denetimin icrası sırasında tespit edilen ve objektif kanıtlar ile uygunsuzluk olduğu ortada olan konular bulgu olarak raporlanmaktadır. Devam eden yıllarda bir önce yıl gerçekleştirilmiş denetimde ortaya çıkan bulgular takip edilmektedir.
DDO BİGR Denetim Raporlama
Denetim ekibinin Bilgi ve İletişim Güvenliği Rehmeti uyum faaliyetlerinin etkinliği ile ilgili kanaatini objektif, açık, öz ve anlaşılır bir dille beyan ettiği belge denetim raporunu ifade eder.
Denetim raporu Bilgi ve İletişim Güvenliği Denetim Rehberi'nde tanımlı olan içeriğe uygun olarak hazırlanır.
Denetim raporunu oluşturan belgelerin her sayfası ekler dâhil denetim ekibinde yer alan denetçiler tarafından 5070 sayılı Elektronik İmza Kanunu hükümlerine göre oluşturulan güvenli elektronik imza ile imzalanarak rapor nihai haline getirilir.
Denetim raporu gizlilik dereceli bilgi niteliği taşımakta olup Kurum bilgi güvenliği gereksinimleri doğrultusunda gizlilik derecesi belirlenir. Rapor herhangi bir ortamda denetim ekibi veya Kurum tarafından yayımlanmaz. Denetim raporu denetim dosyası içine dâhil edilerek Kuruma teslim edilir.
Denetim ekibi yalnızca; denetim kapsamını, Kuruma teslim edilen denetim dosyasının boyutunu, dosyanın özet (hash) bilgisini ve teslim edilme tarihini içeren bilgileri taraflarca tutanak altına alarak elektronik ortamda saklanır. Denetimekibi bunların dışında herhangi bir belge, doküman veya sair bilgiyi Kurum dışına çıkarılmaz.
Denetim ekibi, denetim çalışmalarını yürütürken Kurum kaynakları dışında herhangi bir uygulama, cihaz vb. araç kullandığı durumda, denetim çalışmalarını tamamladıktan sonra bu araçlar üzerindeki Kuruma ait her tür bilgiyi Kurum gözetiminde geri döndürülemeyecek şekilde silmekte veya mümkünse imha işlemini gerçekleştirerek yapılan işlemleri tutanak altına almaktadır.
Denetim Sonuçlarının DDO BIGDES'e Yüklenmesi
• Denetim sonucunda BTYÖN tarafından oluşturulan aşağıda listesi bulunan bilgiler Dijital Dönüşüm Ofisi’ne denetlenen kuruluş ile birlikte BIGDES sistemine yüklenmek sureti ile iletilir.
a) EK – A’da yer alan Denetim Ekibi Bilgisi
b) EK – B’de yer alan Varlık Grupları ve Denetim Kapsamı
c) EK – E’de yer alan Rehber Uygulama Süreci EtkinlikDurumu
ç) EK – F’de yer alan Tedbir Etkinlik Durumu
d) EK – H’de yer alan Denetim Görüşü
