Türkiye Cumhuriyeti Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Bilgi ve İletişim Güvenliği Rehberi Uyum Modülü

Kamu kurumları ve kritik altyapı hizmeti veren işletmelerce uyulması gereken;
Türkiye Cumhuriyeti Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından koordinasyonunda başlatılan ve bilgi sistemlerinde karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla, kamu kurumları ve kritik altyapı hizmeti veren işletmelerce uyulması gereken Bilgi ve İletişim Güvenliği tedbirlerini içeren Bilgi ve İletişim Güvenliği Rehberi hazırlama çalışmaları tamamlanmış ve 24.07.2020 tarihinde onaylanmıştır.

GEREKSİNİM

Genelge ile kapsama giren bütün kurumlar;
(i) Bilgi Güvenliği Yönetim Sistemleri (BGYS) ile ilgili eksikliklerini gidermeli,
(ii) Rehber uyum çalışmalarını BGYS ile entegre bir şekilde gerçekleştirmeli ve bu faaliyetleri güvence altına almalıdır.

AŞILMASI GEREKEN ZORLUKLAR

Günümüzde kurumların, faaliyetlerinin ve ürün/ servis çıktılarının hayat döngülerinde, artan bir şekilde bilgi ve ilgili teknolojileri gerçekleyen olarak kullandıkları gözlemlenmektedir.
Bilgi Yönetişimi kabiliyetlerini sürekli kendini iyileştirebilir şekilde tesis etme gerekliliği kurumları bu konularda transformasyona zorlamaktadır.

ÇÖZÜM

Bütünsel bir İç Kontrol Bilgi Sistemi yapısı tesis edilmelidir. GOLDENHORN ONEGRC yazılım platformu ile uyum kapsamında yapılacak bütün faaliyetlerin planlanması, yürütülmesi ve raporlanması sağlanır, kaynak tahsisleri kolaylaşır ve uyumluluğu güvence altına alma kabiliyetleri gelişir.

FAYDA

Raporlar ve göstergeler ile kurumun iç kontrol testlerini, kaynaklarını, bulgularını, aksiyonlarını gerçek zamanlı olarak izleyebilmek, uyumluluğu güvence altına alma kabiliyetlerini geliştirir. Bu sayede hem BT temelli operasyonel risklerin hem de yasal risklerin çok daha verimli ve etkin bir şekilde yönetilmesi sağlanır.

Bilgi ve İletişim Güvenliği Rehberi Gerekliliği Nedir?

Rehberin uygulanmasına yönelik CBDDO’nun02.10.2020 tarihli yazısına göre
… 06.07.2019 tarihli ve 2019/12 sayılı Bilgi ve İletişim Güvenliği Tedbirleri konulu Cumhurbaşkanlığı Genelgesi’ndeki; “… kamu kurum ve kuruluşları ile kritik altyapı  niteliğinde hizmet veren işletmelerde uygulanmak üzere farklı güvenlik seviyeleri içeren “Bilgi ve İletişim Güvenliği Rehberi” Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda, ilgili kamu kurum ve kuruluşları tarafından gereken katkı sağlanarak hazırlanacak ve www.cbddo.gov.tr adresinde yayımlanacaktır.” hükmü doğrultusunda …, Rehber hazırlık süreci tamamlanmış ve 27.07.2020 tarihinde https://cbddo.gov.tr/bgrehber adresinden yayımlanarak erişime sunulmuştur.
“Tüm kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerde yeni kurulacak bilgi sistemlerinde, Rehberde yer verilen usul ve esaslara uyulması zorunludur. Mevcut bilgi teknolojisi altyapıları, güvenlik seviyesi öncelikleri dikkate alınarak yayımlanmasını müteakip Rehberde yer alacak plan çerçevesinde kademeli olarak bu esaslara uyumlu hale getirilecektir.” hükmü yer almaktadır. Bu doğrultuda Rehberin yayım tarihi olan 27.07.2020’den itibaren başlamak üzere Rehber’de uygulama süreci ve kademeli bir uyum planına yer verilmiştir.

Bu kapsamda;
1.Bilgi işlem birimi barındıran veya bilgi işlem hizmetlerini sözleşmeler çerçevesinde üçüncü taraflardan alan tüm kamu kurum, kuruluş ve kritik altyapı işletmelerinde Rehber uyum planına göre ilk 6 ay yapılması gereken hazırlık faaliyetlerinin 31.01.2021 tarihine kadar tamamlanarak sonraki aşamaların bu tarihe göre hayata geçirilmesi,
2.Düzenleyici ve denetleyici kurumlar başta olmak üzere tüm kamu kurum ve kuruluşlarınca bilgi ve iletişim güvenliği konusunda hazırlanan talimat, yönerge ve yönetmeliklerin Rehberle uyumlu hale getirilmesi,
3.Kamu kurum ve kuruluşlarında Bilgi Güvenliği Yönetim Sistemi (BGYS) ile ilgili eksikliklerin giderilerek Rehber uyum çalışmalarının BGYS ile entegre bir şekilde gerçekleştirilmesi,
4.Merkezi kurumlar tarafından bağlı, ilgili ve ilişkili kurumlara, düzenleyici ve denetleyici kurumlar tarafından ise görev alanında bulunan kritik altyapı işletmelerine yazının dağıtımının koordine edilmesi gerekmektedir.

Türkiye Cumhuriyeti Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından hazırlanmış olan rehber’e aşağıdaki linkler üzerinden ulaşabilirsiniz.
– Bilgi ve İletişim Güvenliği Rehberine ulaşmak için tıklayınız.
– Form ve Şablonlara (EK-C) ulaşmak için tıklayınız.
– Tablolara ulaşmak için tıklayınız.
https://www.cbddo.gov.tr/bgrehber