Kurumun bilişim sistemi ve yönetim politikasının standartlara uygun olmaması nedeniyle bilgi güvenliğinde eksiklikler olduğu tespit edilmiştir.

5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu’nun 11’inci maddesinde, üst yöneticilerin, sorumlulukları altındaki kaynakların etkili, ekonomik ve verimli şekilde elde edilmesi ve kullanımını sağlamaktan, kayıp ve kötüye kullanımının önlenmesinden, malî yönetim ve kontrol sisteminin işleyişinden sorumlu olduğu ifade edilmektedir.

2006/38 sayılı Yüksek Planlama Kurulu Kararı’yla onaylanan ve 28/07/2006 tarihli ve 26242 sayılı Resmi Gazete’de yayımlanan Bilgi Toplumu Stratejisi Belgesi’nde stratejik öncelikler arasında yer alan bilgi güvenliğinin ülke genelinde ve kamu kurumlarında bilgi sistemleri ile elektronik iletişim ve ağ bağlantılarında güvenliğin sağlanması ve sürdürülmesi için gerekli organizasyonel düzenlemelerin gerçekleştirileceğinden bahsedilmektedir.

26.12.2007 tarih ve 26738 sayılı Resmi Gazete’de yayınlanan Kamu İç Kontrol Standartları Tebliği’nin “3. Kontrol Faaliyetleri Standartları Bölümü-Standart: 12” de, bilişim


sisteminin nasıl olacağı konusunda standartlar ve genel şartlar belirlenmiştir.

6698 sayılı Kişisel Verilerin Korunması Kanunu ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’te, kişisel verilerin işlenmesi, saklanması ve imhası hakkında hükümler bulunmaktadır.

5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’da internet ortamında işlenen suçlarla mücadeleye ilişkin esas ve usuller düzenlenmiştir.

Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğ’de, kurum bünyesinde kurulması istenen Siber Olaylara Müdahale Ekibi’nin kuruluş, görev ve çalışmalarına ilişkin usul ve esaslar belirlenmiştir.

Kamu Hizmetlerinin Sunumunda Uyulacak Usul ve Esaslara İlişkin Yönetmelik’in 4’üncü maddesinde, idarenin yapmakla görevli olduğu hizmetleri e-Devlet Kapısı’na entegre edeceği ifade edilmektedir.

Uluslararası Standartlar Teşkilatı (ISO) 27001 Bilgi Güvenliği Yönetim Sistemi Standardı, bilgi güvenliğine dair risklerin belirlenmesi ve yönetilmesi için kural ve esasları içermektedir. ISO 27002 ise bilgi güvenliği yönetim sistemi kurulumu sırasında izlenebilecek iyi uygulamalar ve öneriler içeren bir bilgi güvenliği standardıdır.

Bilgi ve iletişim sistemlerinde bulunan güvenlik zafiyetleri, bu sistemlerin hizmet dışı kalmasına veya kötüye kullanılmasına, can/mal kaybına, büyük ölçekli ekonomik zarara, kamu düzeninin bozulmasına veya ulusal güvenliğin ihlaline neden olabilecektir.

Kurumun bilişim sistemi incelendiğinde;

-İzinsiz (lisanssız) kullanılan yazılımların olduğu,

-Bilişim sistemi, bilgi güvenliği, acil durum değişiklikleri yönetimi, yedekleme, şifreler, bilişim sistemi personelinin istihdamı, görev tanımı ve eğitimi konularında yazılı bir düzenlemenin olmadığı,

-Bilişim sistemi, veriler, yazılımlar, donanım vs bütün bilgi varlıklarının, güvenlik ihtiyacına göre önem, hassasiyet veya başka açılardan sınıflandırılmadığı,

-ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasının alınmadığı,

-Bilgi Güvenliği Sorumlusu’nun atanmadığı,

-Kurumun Bilişim Stratejik Planı’nın olmadığı,

-Bilişim sistemi güvenliği (tehditler) konusunda personele yazılı bir bilgi verilmediği,

-Bilgi güvenliğine ilişkin eğitim faaliyetlerinin yapılmadığı,

-Kurum Risk Listesi’nin düzenlenmediği,

-Risk değerlendirilmesi ile görevli bir birimin olmadığı,


-Bilişim sisteminin, bağımsız firmalarca incelenmediği,

-Bilişim sistemine yapılan saldırılar ve yetkisiz erişimler hakkında düzenli olarak üst yöneticiye bilgi verilmediği,

-Sistemi kullanan personele, zamanında ve yeterli düzeyde teknik yardım ve destek verme amacıyla (yardım masası) gibi bir birim kurulmadığı,

-Yönetici haklarına sahip personelin (ayrıcalıklı kullanıcıların) işlemlerinin kaydedilmediği ve bu konuda yönetime rapor verilmediği,

-Kullanıcı şifrelerinin, şifre dosyalarında kodlanarak korunmadığı,

-İşletim sistemine, veri dosyalarına ve uygulamalara erişimin kısıtlanması için mantıksal erişim kontrollerinin kullanılmadığı,

Sistem odasıyla ilgili olarak;

-Kabinin, personelin çalışma odasında bulunduğu, kapısının açık olması nedeniyle risk içerdiği,

-Sistem odasında cihazları koruyan anti-statik döşemenin, otomatik yangın söndürme sistemi ve duman algılayıcının olmadığı,

-Kabinin depreme karşı duvara veya tabana sabitlenmediği,

-Sistem yedeğinin aynı binada olduğu,

-Yedekten geri dönüş testlerinin yapılmadığı,

-Deprem gibi olağanüstü durumlarda sistemin kesintisiz çalışmasını sağlayan, Felaket Kurtarma Merkezinin ve felaket kurtarma planı (iş süreklilik planı)nın olmadığı,

-Dışarıdan getirilen bilgisayarın, kullanıcı adı ve şifre yazmadan, kurumun kablolu internet ağına girebildiği,

Tespit edilmiştir.

Kamu idaresi, Kurumun bilişim sistemi ve yönetim politikasının standartlara uygun olmasının sağlanacağını ifade etmiştir.

Standartlara uygun bir bilişim sistemi kurulduğunda, sistemin kötüye kullanılması, belediye hizmetlerinin aksaması ve ekonomik zarara uğraması önlenecek, bilgi güvenliği ve kurum hizmetlerinin kalitesi yükselecektir.


Kararla ilgili sorunuz mu var?