İdarenin yazılı bir bilgi güvenliği politikası bulunmadığı, bilgi sistemlerinin yönetimine ilişkin prosedürlerin yazılı olarak belirlenmediği ve bilgi işlem çalışanlarının görev, sorumluluk ve yetkinliklerinin yazılı hale getirilmediği anlaşılmıştır.

26.12.2007 tarih ve 26738 sayılı Resmi Gazete’de yayımlanan Kamu İç Kontrol Standartları Tebliği’nin “Bilgi Sistemleri Kontrolleri” başlıklı 12 No’lu standardının 1’inci şartına göre; “Bilgi sistemlerinin sürekliliğini ve güvenilirliğini sağlayacak kontroller yazılı olarak belirlenmeli ve uygulanmalıdır.”

Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planının 6’ncı ana eylem maddesi olan “Kamu Bilgi Güvenliği Programı” kapsamında hazırlanan Kamu Kurumlarının Uyması Gereken Asgari Bilgi Güvenliği Kriterlerinin 4.1 Kamu Kurumlarının Sağlaması Gereken Kriterler bölümüne göre; “Kurum yöneticisi tarafından kurumda uygulanacak bilgi güvenliği

önlemlerinin, bilişim teknolojileri bölümü çalışanlarından ve diğer kurum çalışanlarından beklentilerin açıklandığı bir politika dokümanı yayınlanmalıdır. Kurum yönetimi politika dokümanı ile bilgi güvenliğini önemsediğini ve sahiplendiğini açıkça göstermelidir.”

Uluslararası Standardizasyon Örgütü (ISO) ile Uluslararası Elektroteknik Komisyonu (IEC) tarafından birlikte hazırlanan; bilgi güvenliği riskleri, kontrolleri ve yönetimine ilişkin iyi uygulama örneklerini ortaya koyan ve Türk Standartları Enstitüsü tarafından da kabul edilerek Türk Standardı haline gelmiş olan ISO/IEC 27002’nin “5. Bilgi Güvenliği Politikaları” başlıklı standardına göre; “Bilgi güvenliği politikaları tanımlanmalı, yönetim tarafından onaylanmalı ve yayınlanarak çalışanlara ve ilgili dış taraflara duyurulmalıdır.”

Bilgi sistemlerinde karşılaşılan güvenlik risklerinin azaltılmasına ilişkin bilgi ve iletişim güvenliği tedbirlerini içeren, 06.07.2019 tarih ve 30823 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 2019/12 sayılı Cumhurbaşkanlığı Genelgesi kapsamında Dijital Dönüşüm Ofisi Başkanlığı tarafından hazırlanan Bilgi ve İletişim Güvenliği 3.5.1.7 Rol, Sorumluluk ve Asgari Yetkinliklerin Tanımlanması tedbirine göre; “Kurum personeli tarafından gerçekleştirilen işin tanımı ve gereklilikleri göz önünde bulundurularak, ilgili personelin kurum bünyesindeki bilgi güvenliği rolü, sorumlulukları ve sahip olması gereken asgari yetkinlikler tanımlanmalı ve yazılı hale getirilmelidir.”

Yapılan incelemelerde, Kurumda uygulanacak bilgi güvenliği önlemlerinin açıklandığı, üst yönetici tarafından onaylanan ve çalışanlara duyurulan bir bilgi güvenliği politikası bulunmadığı, bilgi sistemlerinin yönetilmesi konusunda yazılı politika ve prosedürlerin olmadığı, yetkilendirmelerin sözlü olarak yapıldığı, personelin kurum bünyesindeki bilgi güvenliği rolü, sorumlulukları ve sahip olması gereken asgari yetkinliklerin tanımlanmadığı görülmüştür.

Kamu idaresi cevabında; Bilgi İşlem Daire Başkanlığındaki çalışanların görev tanım formlarının 01.05.2022 tarihi itibariyle hazırlanarak tebliğ edildiği ifade edilmiştir. Ancak, Kurumda bilgi güvenliği politikası ile bilgi sistemlerinin yönetilmesi konusunda yazılı politika ve prosedürlerin oluşturulmadığı; Bilgi İşlem Daire Başkanlığında çalışan personelin Kurum bünyesindeki bilgi güvenliği rolü ve sahip olması gereken asgari yetkinliklerin tanımlanması ve yazılı hale getirilmesi hususlarının tamamlanmadığı anlaşılmaktadır.

Bilişim sistemlerinin ve bilgilerin izinsiz kullanımını, yetkisiz kişilerce erişilmesini ve ifşa edilmesini, silinmesini, değiştirilmesini ve zarar görmesini engellemek, bu sistem ve bilgilere yetkili kişiler ve işlemlerin ihtiyaç duyulan zamanda ve kalitede erişebilmesini

sağlamak için yürütülen faaliyetler olarak adlandırılan bilgi güvenliğinin temini açısından, İdarede yazılı bir bilgi güvenliği politikası oluşturulmalı, bilgi güvenliğine ve bilgi sistemlerinin yönetimine ilişkin prosedürler yazılı olarak belirlenmeli ve bilgi işlem çalışanlarının görev, sorumluluk ve yetkinlikleri yazılı hale getirilmedir.