Kontrol Değerlendirme Soruları Değerlendirme ve Bulgular
Referans Çalışma Kağıdı
BT Yönetişim/Yönetim Kontrolleri
Kurumun yazılı ve müstakil bir BT stratejisi var mı?
BT’ye ilişkin stratejik planlamanın ve koordinasyonun sağlanmasına yönelik bir mekanizma mevcut mu? (BT Yönlendirme Kurulu gibi)
Bilişim sistemleri güvenliğine ilişkin risk kütüğü tutuluyor mu?
Kurumun yazılı bir bilgi güvenliği politikası var mı?
Bilgi güvenliği sorumlusu atanmış mı?
İç denetim birimi tarafından bilişim sistemleri denetleniyor mu?
Bilgi varlıklarını güvenlik gereksinimlerine göre sınıflandıran bir sınıflandırma cetveli var mı?
BT varlıklarına mali tablolarda yer verilmiş mi?
Kullanımdan çıkartılacak veya imha edilecek varlıklar için uygun bir prosedür belirlenmiş mi?
BT biriminde çalışanların rol ve sorumlulukları belirlenmiş mi?
Kurum personeli ile yapılan sözleşmeler, bilgi güvenliği ile ilgili hükümler içeriyor mu?
6698 sayılı Kişisel Verilerin Korunması Kanununa uygun şekilde kişisel verilerin işlenmesi, saklanması ve imhası sağlanıyor mu?
Bilgi Güvenliği Kontrolleri
Kamu İşletmeleri Denetimi Rehberi
132
Fiziksel ve çevresel kontrollere ilişkin prosedürler yazılı olarak belirlenmiş mi?
Kuruma, bilgi işlem çalışma alanlarına ve sistem odalarına fiziksel erişimin yetki dâhilinde gerçekleştirilmesi sağlanıyor mu?
Yangın belirleme ve söndürme sistemleri kurulmuş mu?
Bilişim sistemlerini su kaynaklı risklerden korumak için sistemlerin su basman seviyesinin üzerinde
konumlandırılması, su tesisatlarından uzakta kurulumu sağlanmış mı?
Bilişim sistemlerini elektrik kaynaklı zararlardan korumak amacıyla kesintisiz güç kaynakları, jeneratörler, alternatif güç kablolaması ve diğer düzenleyiciler kurulmuş mu?
Bilişim sistemlerini toz, nem ve sıcaklıktan kaynaklanacak zararlardan korumak amacıyla uygun havalandırma ve soğutma sistemleri kurulmuş mu?
Sistem ve uygulamalara erişimde güçlü kimlik doğrulama (parola) zorunluluğu getirilmiş mi?
Sistem ve uygulamalara erişimler kayıt altına alınıyor mu?
Sistem ve uygulamalara yetkisiz erişimler yönetime raporlanıyor mu?
Sistem yöneticileri gibi ayrıcalıklı kullanıcıların işlemleri kaydediliyor mu? Yönetime raporlanıyor mu?
İşletim ve Bakım Yönetimi Kontrolleri
BT birimi ile sunduğu hizmetlerden faydalananlar arasında hizmet şartlarını belirleyen ve bilgi güvenliğine ilişkin unsurları içeren dokümanlar (Hizmet Seviyesi Anlaşması-HSA) hazırlanmış mı?
BT hizmetlerinin aksamasına neden olan olayların (sistem arızaları, hizmet reddi, güvenlik ihlali, vb.) takip, yönetim ve çözümüne ilişkin prosedürler oluşturulmuş mu?
Olay ve problemlerin çözümüne ilişkin yardım masası kurulmuş mu?
BT varlıkları üzerinde gerçekleştirilecek değişikliklerin yönetimi için prosedür var mı?
Kurumda düzenli aralıklarla kapasite planlaması yapılıyor mu?
Hizmet ve kaynaklara ilişkin kapasite ve performans yeterliliği izleniyor ve raporlanıyor mu?
İş Sürekliliği ve Felaket Kurtarma Planlaması Kontrolleri İş sürekliliği için bir ekip oluşturulmuş mu?
Kurumun iş süreçleri göze alınarak risk değerlendirmesi yapılmış mı?
Yazılı bir iş sürekliliği planı var mı?
İş sürekliliği planı düzenli olarak test ediliyor mu?
İş sürekliliği planının içinde ya da ayrı olarak bir felaket kurtarma planı var mı?
Kurumun yazılı bir yedekleme prosedürü var mı?
Sistem yazılımlarının, uygulamaların ve veri tabanlarının yedekleri düzenli olarak alınıyor mu?
Alınan yedekler kurum bilişim sistemlerinin bulunduğu coğrafi mekânda farklı ve güvenli bir ortamda muhafaza ediliyor mu?
Uygulama Kontrolleri
İş sürecini tanımlayan bir iş ve zaman çizelgesi var mı?
Kamu İşletmeleri Denetimi Rehberi
134
Kullanıcı yetkileri iş mantığına ve görevlerin ayrılığına (hazırlayan, yapan, kaydeden, onaylayan gibi) uygun dağıtılmış mı?
Verilerin doğru ve eksiksiz kaydedilmesi amacıyla çift imza veya kontrol edildi parafı gibi onaylamaya ilişkin kontrol mekanizmaları oluşturulmuş mu?
Hatalı veri girişlerine engel olacak otomatik kontroller var mı?
Kullanıcıların işlemleri gerektiğinde incelenmek üzere kaydediliyor mu?
Kesinleşmiş verilerin yetkisiz kişiler tarafından değiştirilmesi veya silinmesinin engellenmesi için erişimler kısıtlanıyor mu?
İşlem uygulama sürecine ilişkin hata ve beklenmedik durum raporları yönetim tarafından gözden geçiriliyor mu?
İş sürecinin değişmesi halinde uygulamada değişikliğin nasıl yapılacağı belirlenmiş mi?
Güvenli veri transferi için belirlenmiş prosedürler var mı?
Çıktıların elde edilmesine, korunmasına, saklanmasına ve doğru yere/kullanıcıya ulaşmasına ilişkin bir prosedür var mı?
Dış Tedarik Kontrolleri
Yüklenici ile Hizmet Seviyesi Anlaşması (HSA) yapılmış mı?
Sözleşmede, bilgi güvenliğine ilişkin hükümlere yer verilmiş mi?
Yüklenici ve çalıştırdığı personeli ile gizlilik sözleşmeleri yapılmış mı?
Hizmet akdinin sona ermesi veya sonlandırılması durumunda yazılım, donanım, veri vb. varlıkların kuruma devri için gerekli hususlar sözleşmede tanımlanmış mı?
Sözleşmede kurumun gözetim ve denetim yetkisi tanımlanmış mı?
Proje Yönetimi Kontrolleri
Proje öncesinde Projenin; ulusal stratejik planlar, ulusal dönüşüm programları, üst politika belgeleri ve Kurumun stratejik planı-hedefleri ile ilişkisi kurulmuş mu?
Önceki ve mevcut projeler ile diğer kurumların yapmış olduğu benzer projeler ve diğer projelerle etkileşim değerlendirilmiş mi?
Proje yöneticisi görevlendirilmiş mi?
Projenin nasıl yürütüleceğini, izleneceğini, kontrol edileceğini ve kapatılacağını belirleyen merkezi bir belge (Proje Yönetim Planı - PYP) hazırlanmış mı ve güncelleniyor mu?
Geliştirilen yazılım kullanılabilirlik, yönetim, destek ve bakım açısından belgelendirilmiş mi?
Mevcut verinin yeni veya değiştirilmiş ortama tam ve doğru olarak aktarılması için bir kontrol prosedürü var mı?
Kullanıcı memnuniyeti anket veya diğer yöntemlerle ölçülüyor mu?
Kamu İşletmeleri Denetimi Rehberi
136