Türkiye Cumhuriyeti Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Bilgi ve İletişim Güvenliği Rehberi Uyum Modülü
Kamu kurumları ve kritik altyapı hizmeti veren işletmelerce uyulması gereken;Türkiye Cumhuriyeti Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından koordinasyonunda başlatılan ve bilgi sistemlerinde karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla, kamu kurumları ve kritik altyapı hizmeti veren işletmelerce uyulması gereken Bilgi ve İletişim Güvenliği tedbirlerini içeren Bilgi ve İletişim Güvenliği Rehberi hazırlama çalışmaları tamamlanmış ve 24.07.2020 tarihinde onaylanmıştır.
GEREKSİNİM
Genelge ile kapsama giren bütün kurumlar; (i) Bilgi Güvenliği Yönetim Sistemleri (BGYS) ile ilgili eksikliklerini gidermeli, (ii) Rehber uyum çalışmalarını BGYS ile entegre bir şekilde gerçekleştirmeli ve bu faaliyetleri güvence altına almalıdır.
AŞILMASI GEREKEN ZORLUKLAR
Günümüzde kurumların, faaliyetlerinin ve ürün/ servis çıktılarının hayat döngülerinde, artan bir şekilde bilgi ve ilgili teknolojileri gerçekleyen olarak kullandıkları gözlemlenmektedir. Bilgi Yönetişimi kabiliyetlerini sürekli kendini iyileştirebilir şekilde tesis etme gerekliliği kurumları bu konularda transformasyona zorlamaktadır.
ÇÖZÜM
Bütünsel bir İç Kontrol Bilgi Sistemi yapısı tesis edilmelidir. GOLDENHORN ONEGRC yazılım platformu ile uyum kapsamında yapılacak bütün faaliyetlerin planlanması, yürütülmesi ve raporlanması sağlanır, kaynak tahsisleri kolaylaşır ve uyumluluğu güvence altına alma kabiliyetleri gelişir.
FAYDA
Raporlar ve göstergeler ile kurumun iç kontrol testlerini, kaynaklarını, bulgularını, aksiyonlarını gerçek zamanlı olarak izleyebilmek, uyumluluğu güvence altına alma kabiliyetlerini geliştirir. Bu sayede hem BT temelli operasyonel risklerin hem de yasal risklerin çok daha verimli ve etkin bir şekilde yönetilmesi sağlanır.
Bilgi ve İletişim Güvenliği Rehberi Gerekliliği Nedir?
Rehberin uygulanmasına yönelik CBDDO’nun02.10.2020 tarihli yazısına göre… 06.07.2019 tarihli ve 2019/12 sayılı Bilgi ve İletişim Güvenliği Tedbirleri konulu Cumhurbaşkanlığı Genelgesi’ndeki; “… kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerde uygulanmak üzere farklı güvenlik seviyeleri içeren “Bilgi ve İletişim Güvenliği Rehberi” Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda, ilgili kamu kurum ve kuruluşları tarafından gereken katkı sağlanarak hazırlanacak ve www.cbddo.gov.tr adresinde yayımlanacaktır.” hükmü doğrultusunda …, Rehber hazırlık süreci tamamlanmış ve 27.07.2020 tarihinde https://cbddo.gov.tr/bgrehber adresinden yayımlanarak erişime sunulmuştur.”Tüm kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerde yeni kurulacak bilgi sistemlerinde, Rehberde yer verilen usul ve esaslara uyulması zorunludur. Mevcut bilgi teknolojisi altyapıları, güvenlik seviyesi öncelikleri dikkate alınarak yayımlanmasını müteakip Rehberde yer alacak plan çerçevesinde kademeli olarak bu esaslara uyumlu hale getirilecektir.” hükmü yer almaktadır. Bu doğrultuda Rehberin yayım tarihi olan 27.07.2020’den itibaren başlamak üzere Rehber’de uygulama süreci ve kademeli bir uyum planına yer verilmiştir.
Bu kapsamda;
1.Bilgi işlem birimi barındıran veya bilgi işlem hizmetlerini sözleşmeler çerçevesinde üçüncü taraflardan alan tüm kamu kurum, kuruluş ve kritik altyapı işletmelerinde Rehber uyum planına göre ilk 6 ay yapılması gereken hazırlık faaliyetlerinin 31.01.2021 tarihine kadar tamamlanarak sonraki aşamaların bu tarihe göre hayata geçirilmesi,
2.Düzenleyici ve denetleyici kurumlar başta olmak üzere tüm kamu kurum ve kuruluşlarınca bilgi ve iletişim güvenliği konusunda hazırlanan talimat, yönerge ve yönetmeliklerin Rehberle uyumlu hale getirilmesi,
3.Kamu kurum ve kuruluşlarında Bilgi Güvenliği Yönetim Sistemi (BGYS) ile ilgili eksikliklerin giderilerek Rehber uyum çalışmalarının BGYS ile entegre bir şekilde gerçekleştirilmesi,
4.Merkezi kurumlar tarafından bağlı, ilgili ve ilişkili kurumlara, düzenleyici ve denetleyici kurumlar tarafından ise görev alanında bulunan kritik altyapı işletmelerine yazının dağıtımının koordine edilmesi gerekmektedir.
Goldenhorn Dashboard
Varlık Grubu Kritiklik Derecelendirme Anketi
Tedbir Listesi
Türkiye Cumhuriyeti Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından hazırlanmış olan rehber’e aşağıdaki linkler üzerinden ulaşabilirsiniz.– Bilgi ve İletişim Güvenliği Rehberine ulaşmak için tıklayınız.
– Form ve Şablonlara (EK-C) ulaşmak için tıklayınız.
– Tablolara ulaşmak için tıklayınız. https://www.cbddo.gov.tr/bgrehber
Türkiye Cumhuriyeti Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından “Bilgi güvenliği Denetim Rehberi” yayınlandı.
Kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerden, Bilgi ve İletişim Güvenliği Rehberinde belirtilen süre içerisinde uyum faaliyetlerini tamamlamaları, yürütülen faaliyetlerin ve alınan tedbirlerin uygunluğunu belirlemek amacıyla yılda en az bir kez denetim çalışmalarını gerçekleştirmeleri beklenmektedir. Bu doğrultuda, Dijital Dönüşüm Ofisi Başkanlığı tarafından, denetim çalışmalarının yürütülmesi konusunda kurum ve kuruluşlarımıza yol göstermesi amacıyla Bilgi ve İletişim Güvenliği Denetim Rehberi hazırlanmıştır. Hazırlık çalışmalarında 90’dan fazla kurum ve kuruluş tarafından iletilen 700’ün üzerindeki görüş ve öneri değerlendirmeye alınarak Denetim Rehberine son hali verilmiştir.Denetim Rehberi, kurum ve kuruluşlara bilgi ve iletişim güvenliği uyum faaliyetlerinin denetiminde; denetimin planlanması, denetim prosedürlerinin uygulanması ve denetim sonuçlarının raporlanması konusunda izlenmesi gereken metodolojiye yer vermektedir.Rehber kapsamındaki tüm kurum ve kuruluşlarda, denetim faaliyetlerinin öncelikli olarak iç denetim birimlerinde görev alan ve bilgi teknolojileri alanında denetim yapmak üzere görevlendirilen iç denetçiler tarafından gerçekleştirilmesi esastır. İç denetim birimlerinin bulunmadığı ya da iç denetim birimi olmasına rağmen denetimi yürütecek yeterlik ve yetkinlikte denetçiye sahip olunmadığı hallerde denetim faaliyetlerinin bağımsız bir şekilde yürütülmesini sağlamak üzere kurum içi diğer personel ya da diğer kamu kurum ve kuruluşlarından görevlendirilecek personel ile denetim faaliyetlerinin gerçekleştirilmesi gerekmektedir. Kurum ve kuruluşlar, iç kaynaklar ile denetim çalışmalarını gerçekleştiremediği durumda denetimi hizmet alımı yolu ile gerçekleştirebilir.
Bilgi ve İletişim Güvenliği Denetim Rehberi
CB DDO Bilgi ve İletişim Güvenliği Rehberi Uyum Modülü