Ankara Yıldırım Beyazıt Üniversitesinin idari ve mali işlemlerini gerçekleştirirken kullandığı bilişim sistemleri 26.12.2007 tarih ve 26738 sayılı Resmi Gazete'de yayımlanan Kamu İç Kontrol Standartları Tebliği bağlamında incelenmiş olup mevcut durum, eksiklikler ve bu sistemlere ilişkin tespitler aşağıda sıralanmıştır:

  • Bilişim sistemlerini kapsayacak gerekli eğitimler için gerekli çalışmaların yapıldığı,

  • Bilişim sistemleri için risk kabul edilebilecek hususların değerlendirildiği,

  • Güvenlikle ilgili bilgilendirmeler yapıldığı, personelin görev ve sorumluluklarının belirlendiği, güvenlik ihlallerinin cihazların loglaması ile kaydedilip, raporlandığı,

  • Siber Olaylara Müdahale Ekibinin (SOME) kurulduğu, sistemlerle ilgili bilgi güvenliği süreçlerinin takip edildiği, iş hedeflerine uygun çalışmaların yapıldığı,

  • Uyumsuzlukların takip edildiği, yıllık belirtilen hizmetiçi eğitim takviminin yayımlandığı ve bu plan doğrultusunda düzenlendiği, pozisyonların kişilerin yetkinliğine göre belirlendiği ve bilişim sistemiyle ilgili personelin bu vasıfları taşıdığı, çalışanlara kullanılan sistemlerle ilgili uygun eğitimler verildiği, eğitimler sonunda eğitim belgesi veya katılım belgesi talep edildiği, Üniversitede EBYS (Elektronik Belge Yönetim Sistemi) kullanıldığı,

  • Kullanılan programların lisans süresi periyoduna bağlı olarak düzenli olarak lisanslanarak kullanıldığı, sözleşmelerde bilgi güvenliğine ilişkin hükümler konulduğu,

  • Geliştirilen sistemlerin, asıl sistemden bağımsız olarak geliştirilip bitiminde asıl sistem ortamına alındığı, kullanıcılardan geri dönüşler alınarak iyileştirmeler yapıldığı,

  • Birim kapıların kilitli tutulduğu, girişlerde anahtar veya biometrik sistemler kullanıldığı, işten ayrılan veya çıkarılan personelden anahtar ve kimliklerinin alındığı,

  • Bilişim sistemlerinin, donanım, yazılım ve sağlanan hizmetleri kapsayan bir envanterinin bulunduğu, satın alınan bütün BS unsurlarının kayıtlara doğru şekilde alınması ve ekonomik ömrünü dolduranların da kayıtlardan çıkarıldığı,

  • Yangın alarmı ve buna ilişkin güvenlik sistemi kurulduğu, su baskınlarına karşı yüksek döşemeler kullanıldığı,

  • Kurumun yedekleme- kurtarma, acil durum prosedürleri, verilerin kaybolmasına veya erişilmez olmasına karşı tedbirlerin bulunduğu,

    Ancak;


  • Senato ya da yönetim tarafından onaylanmış bilişim sistemlerini de kapsayan yazılı bir politika ya da strateji bildirimi bulunmadığı,

  • Bilişim sistemlerinin risklerinin değerlendirildiği güncel bir risk kütüğü bulunmadığı,

  • İç denetim birimlerinin bilişim sistemlerini denetlemesine ilişkin bir düzenleme bulunmadığı,

  • Temel bilişim sistemleri faaliyetlerinin işletimi konusunda üst yöneticilere güvence sağlayan bağımsız inceleme çalışmaları yapılmadığı, Bilgi Güvenliği Yönetimi konusunda herhangi bir çalışma bulunmadığı,

  • Donanım, yazılım, veri ve programlara erişimin yetkili kullanıcılarla sınırlandığını güvence altına alan, Bilişim Sistemleri güvenliğini kapsayan bir politika belgesi bulunmadığı

  • Üçüncü kişilerden bilişim sistemleri ile ilgili hizmet alımlarına ilişkin bir düzenleme yapılmadığı,

  • Kurumun bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için yazılı politika ve prosedürler bulunmadığı, bu güvenlik belgelerinin kurum çalışanlarının bilgisine sunulmadığı, güvenlik önlemlerine ilişkin sorumlulukların açıkça belirlenmediği,

  • Verilerin kaybolduğu veya erişilemez olduğu durumlarda, bilgi dosyalarını korumak için yedeklenen unsurların, tekrar kullanılmak üzere, kurum dışında bir yerde saklanmadığı,

  • Olağanüstü durumlara ilişkin bir planın bulunmadığı, bu durumların düzenli olarak test edilip raporlanmadığı

Tespit edilmiştir.


Üniversitenin idari ve mali işlemlerini gerçekleştirirken kullandığı bilişim sistemlerinin Kamu İç Kontrol Standartları Tebliğine uygun olarak çalışmasının sağlanması gerektiği değerlendirilmektedir.

Kararla ilgili sorunuz mu var?