Bilgi Sistemleri Standartları

Dünyada ve ülkemizde genel kabul gören bilgi sistemleri standartları mevcuttur. Bu standartlar; BS7799/ISO17799/TS 17799 Güvenlik Standartları, Information Technology Infrastructure Library (ITIL)240, Control Objectives for Information and related Technology (COBIT) olarak bilinmektedir.

Lakin çalışmanın kapsamı bakımından BDDK tarafından referans alınan COBIT standartları ayrıntılı olarak ele alınacaktır.

4.17.4.1. Cobit

Control Objectives For Information and Related Technology (COBIT)’in Türkçe açılımı Bilgi ve İlgili Teknolojiler İçin Kontrol Hedefleri’dir. COBIT ISACA (Information Systems Audit and Control Association) ve ITGI (IT Governance Institute) tarafından yaratılmış BT bilgi yönetimi riskleri için bir çerçevedir. COBIT BT yöneticileri, denetçiler ve BT kullanıcıları için bir kurumda bilgi teknolojileri kullanımının ve uygun BT yönetişiminin geliştirilmesi ve kontrol edilmesinin faydalarını artırmak için genel olarak kabul edilmiş bilgi teknolojileri kontrol hedef setleri sunmaktadır. Üçüncü basımında COBIT’te dört alanda sınıflandırılan 318 alt kontrol hedefini içeren 34 yüksek seviye hedef bulunmaktadır. Bu dört alan ise Planlama ve Organizasyon, Tedarik ve Uygulama, Hizmet Sunumu ve Destek, İzleme ve Değerlendirme’dir. Altı adet temel esası kapsamaktadır. Bunlar ise yönetim kılavuzu, kontrol hedefleri, COBIT çerçevesi, yönetim özeti, denetim kılavuzu ve uygulama araçlarından oluşmaktadır. Hepsi ayrı ciltlerde dokümante edilmiştir.

240 _{TBD Kamu-BİB Kamu Bilişim Platformu, Bilgi Teknolojisi Altyapı Kütüphanesi (ITIL–Information}

COBIT, IT Governance Institute ve Information Systems Audit and Control Foundation tarafından bilgi teknolojileri ile ilgili kontrol hedefleri ilk belirlendiğinde 1992 yılında geliştirilmiştir. İlk basımı 1996’da, ikincisi 1998’de, üçüncüsü 2000’de yayınlanmış ve 2003’de çevrimiçi olarak yayınlanmıştır. Enron Skandalı ve Sarbanes Oxley’e geçiş gibi dış gelişmelerle önemi artmıştır. 2005 Aralık’ta Cobit Versiyon 4.0 yayımlanmıştır. COBIT’in misyonu “yöneticiler ve denetçiler için günlük kullanabilecekleri genel olarak kabul edilmiş bilgi teknolojileri kontrol hedeflerinden oluşan geçerli, güncel ve uluslararası bir set araştırmak, geliştirmek, tanıtmak ve teşvik etmektir.” COBIT’in geliştirilmesinden yöneticiler, denetçiler ve kullanıcılar faydalanmaktadır. Çünkü COBIT bir BT yönetişim modeli geliştirilmesiyle birlikte, onların bilgi teknolojileri sistemlerini daha iyi anlamalarını ve kurumdaki bilgi teknolojileri varlıklarını korumak için gerekli güvenlik seviyesi ve kontrole karar vermelerini sağlamaktadır.

COBIT yöneticilere, BT kullanıcılarına ve denetçilere faydalar sağlamaktadır. Yöneticiler COBIT ’ten faydalanmaktadır. Çünkü COBIT onlara bilgi teknolojileriyle ilgili kararlarlarını ve yatırımlarını dayandırabilecekleri bir temel sunmaktadır. Karar alma çok daha etkin bir şekilde yapılabilmektedir. COBIT yönetime stratejik bir BT planı tanımı yapma, bilgi mimarisini tanımlama, BT stratejisini uygulamak için gerekli BT donanım ve yazılımını satın alma, hizmet sürekliliğini temin etme ve BT sisteminin performansını kontrol etmek için yardım etmektedir. Bilgi teknolojileri kullanıcıları COBIT ’ten faydalanmaktadır. Bilgiyi toplamaya, işlemeye ve raporlamaya yardım eden uygulamaların COBIT ’e uygun olması, onlara iş süreçlerinin kontrolünün ve güvenliğinin sağlandığına ilişkin güvence vermektedir. COBIT denetçiler için de faydalıdır, çünkü kurumun bilgi teknolojileri altyapısındaki BT kontrol sorunlarını belirlemek için yardımcı olmaktadır. COBIT onlara denetim bulgularını doğrulamada da yardımcı olmaktadır.241

Genel kontrollerin denetimi sonucunda her COBIT ana kontrol hedefi için bir olgunluk seviyesi değerlendirilmesi gerçekleştirilmektedir. Olgunluk seviyeleri COBIT’ te tanımlanmıştır.242

0. Uygulaması Olmayan Süreç

1. Standart ve Organize Olmayan Süreç

2. Standart Olmayan Ancak Benzer Prosedürlerin Bireylere Bağlı Olarak Uygulandığı Süreç

3. Belgelendirilmiş, Bildirilmiş ve Fakat Bireylere Bağlı Olarak Yürüyen Süreç 4. İzlenebilen ve Ölçülebilen Süreç

5. Optimize Edilmiş Süreç

COBIT ise dört ana başlıktan oluşmaktadır. Bunlar ; Planlama ve Organizasyon, Tedarik ve Uygulama, Hizmet Sunumu ve Destek ve İzleme ve Değerlendirme süreçleridir.

a ) Planlama ve Organizasyon : Planlama ve Organizasyon alanı teknoloji kullanımını ve kurumun amaç ve hedeflerini gerçekleştirmeye yardımcı olmak için nasıl en iyi şekilde kullanılabileceğini kapsamaktadır. Bu alan en uygun sonucu elde etmek ve bilgi teknolojileri kullanımından en iyi şekilde faydalanmak için bilgi teknolojilerinin alması gereken organizasyonel ve altyapısal şekli ortaya çıkartmaktadır.Organizasyon seviyesinde bilgi teknolojileri faaliyetlerinin tanımlanması, yönlendirilmesi, ilgili yatırımların ve bütçeleme çalışmalarının yönetimi, kalite yönetimi, insan kaynakları yönetimi, proje yönetimi ve risk yönetimi gibi süreçlerin ele alınması kastedilmektedir. Kurumlarda bilgi teknolojileri yönlendirme komitelerinin bulunup bulunmadığı, bu komitelerin bilgi teknolojileri plan ve stratejilerine nasıl yön verdiği, kurumun kısa ve uzun vadeli iş planları ile bilgi teknolojileri hedeflerinin entegrasyonunun nasıl ele alındığı sorgulanmakta , gerçekleştirilen çalışmaların belge ve kayıtlarının mevcudiyeti ve ilgili tüm yönetici ve personele iletilmiş olduğu aranmaktadır. Çok bilinen bir dokümantasyon örneği olarak , bu tür komitelerin gerçekleştirmiş olduğu toplantılara ait tutanaklar incelenmekte, alınan

242 _{Ümit Yalçın Şen, BDDK Bilgi Sistemleri Denetimi, Nisan 2007, http://www.umitsen.com/BDDK.pdf}

kararların tüm katılımcılara ve ilgili personele iletimi ve sonraki aşamalarda alınan kararlara uygun hareket edilip edilmediği sorgulanmaktadır.243

b ) Tedarik ve Uygulama : Tedarik ve Uygulama alanı BT gereksinimlerini belirleme, teknolojiyi satın alma ve kurumun mevcut iş süreçlerine uyarlama için kurumun stratejilerini adreslemektedir. Bu alan aynı zamanda bilgi teknolojileri sisteminin ve parçalarının hayatını sürdürebilmesi için kurumun kabulleneceği bir bakım planı geliştirilmesini içermektedir. Bu başlık altındaki en kritik süreç değişiklik yönetimidir. Değişiklik yönetimi, finansal veri üreten ve nihayetinde finansal tabloları etkileyen süreçleri destekleyen sistemler ve uygulamalar üzerinde gerçekleştirilen düzeltme, yenileme, bakım, sürüm yükseltme ya da yama yüklemeleri gibi işlemlerin belirli bir süreç dahilinde, önceden belirlenmiş yöneticilerin onayı ile ve bu işlemler için yetkilendirilmiş personel tarafından gerçekleştirilmesi esasına dayanmaktadır. Bu anlamda bir sistem ve uygulama üzerinde hangi durumlarda değişiklik yapılacağı, değişiklik taleplerinin kimlerden ve hangi iletişim kanallarından alınabileceği, değerlendirme ve onay mekanizmaları, değişikliklerin testleri, testlere ilişkin kabul süreci ve gerçekleşen değişikliğin canlı ortama kimler tarafından taşınabileceği önem kazanmaktadır. Buna bağlı olarak ilgili kontrollerin uygulanıp uygulanmadığı ve kayıt altına alınıp alınmadığı sorgulanmaktadır.244

c ) Hizmet Sunumu ve Destek : Hizmet Sunumu ve Destek alanı bilgi teknolojilerinin teslim yönüne odaklanmaktadır. Bu alan bilgi teknolojileri sistemindeki uygulamaların hayata geçirilmesi ve sonuçları ile bu BT sistemlerinin etkin ve elverişli uyarlanmasını sağlayan destek süreçlerini de kapsamaktadır. Bu destek süreçleri güvenlik konuları ve eğitimini içermektedir. Bu kısımda üçüncü kişilerden alınan hizmetlerin yönetimi, performans yönetimi, hizmet sürekliliği, sistem güvenliği, problem yönetimi, operasyon yönetimi gibi konular ele alınmaktadır. Bu noktada en önemli husus ise sistem güvenliğidir. Bilgi güvenliği ve veri sınıflandırma politikaları, kritik sistemler ve uygulamalar üzerinde kullanıcı kimlik ve erişim yönetimi ve yetkilendirmeleri, güvenlik testleri, zararlı yazılım engelleme/tespit etme ve ağ güvenliği gibi konular önemli kontrol noktaları olarak sıralanabilmektedir.

243 _{Şen, a.g.e., s.2.} 244 _{Şen, a.g.e., s.2-3.}

d ) İzleme ve Değerlendirme : İzleme ve Değerlendirme alanı kurumun ihtiyaçlarını, mevcut BT sisteminin hedefleri karşılayıp karşılamadığını ve yasal gereksinimlerle uyumluluk için gerekli kontrolü tayin etmek için kurumun stratejilerini irdelemektedir. İzleme ve Değerlendirme aynı zamanda bilgi teknolojileri sisteminin iş hedeflerini karşılamadaki etkinliği ile iç ve dış denetçilerce yapılan kurumun kontrol süreçlerinin bağımsız değerlendirmesi konularını kapsamaktadır.245 _{İç kontrol}

mekanizmaları, bilgi sistemleri performansının ölçülmesi ve ilgili mevzuatlara uyumluluk ana kontrol alanlarıdır.