Kurumun bilişim sistemi ve yönetim politikasının standartlara uygun olmaması nedeniyle bilgi güvenliğinde eksiklikler olduğu tespit edilmiştir.

5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu’nun 11’inci maddesinde, üst yöneticilerin, sorumlulukları altındaki kaynakların etkili, ekonomik ve verimli şekilde elde edilmesi ve kullanımını sağlamaktan, kayıp ve kötüye kullanımının önlenmesinden, malî yönetim ve kontrol sisteminin işleyişinden sorumlu olduğu ifade edilmektedir.

2006/38 sayılı Yüksek Planlama Kurulu Kararı’yla onaylanan ve 28/07/2006 tarihli ve


26242 sayılı Resmi Gazete’de yayımlanan Bilgi Toplumu Stratejisi Belgesi’nde stratejik öncelikler arasında yer alan bilgi güvenliğinin ülke genelinde ve kamu kurumlarında bilgi sistemleri ile elektronik iletişim ve ağ bağlantılarında güvenliğin sağlanması ve sürdürülmesi için gerekli organizasyonel düzenlemelerin gerçekleştirileceğinden bahsedilmektedir.

26.12.2007 tarih ve 26738 sayılı Resmi Gazete’de yayınlanan Kamu İç Kontrol Standartları Tebliği’nin “3. Kontrol Faaliyetleri Standartları Bölümü-Standart: 12” de, bilişim sisteminin nasıl olacağı konusunda standartlar ve genel şartlar belirlenmiştir.

6698 sayılı Kişisel Verilerin Korunması Kanunu ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’te, kişisel verilerin işlenmesi, saklanması ve imhası hakkında hükümler bulunmaktadır.

5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’da internet ortamında işlenen suçlarla mücadeleye ilişkin esas ve usuller düzenlenmiştir.

Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğ’de, kurum bünyesinde kurulması istenen Siber Olaylara Müdahale Ekibi’nin kuruluş, görev ve çalışmalarına ilişkin usul ve esaslar belirlenmiştir.

Kamu Hizmetlerinin Sunumunda Uyulacak Usul ve Esaslara İlişkin Yönetmelik’in 4’üncü maddesinde, idarenin yapmakla görevli olduğu hizmetleri e-Devlet Kapısı’na entegre edeceği ifade edilmektedir.

Uluslararası Standartlar Teşkilatı (ISO) 27001 Bilgi Güvenliği Yönetim Sistemi Standardı, bilgi güvenliğine dair risklerin belirlenmesi ve yönetilmesi için kural ve esasları içermektedir. ISO 27002 ise bilgi güvenliği yönetim sistemi kurulumu sırasında izlenebilecek iyi uygulamalar ve öneriler içeren bir bilgi güvenliği standardıdır.

Bilgi ve iletişim sistemlerinde bulunan güvenlik zafiyetleri, bu sistemlerin hizmet dışı kalmasına veya kötüye kullanılmasına, can/mal kaybına, büyük ölçekli ekonomik zarara, kamu düzeninin bozulmasına veya ulusal güvenliğin ihlaline neden olabilecektir.

Kurumun bilişim sistemi incelendiğinde;

-Belediye hizmetlerinin, e-Devlet Kapısı’na entegre edilmediği,

-İzinsiz (lisanssız) kullanılan yazılımların olduğu,

-ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasının alınmadığı,

-Kurumun Bilişim Stratejik Planı’nın olmadığı,

-5651 sayılı Kanun uyarınca tutulması gereken yer sağlayıcı ve toplu internet sağlayıcı kayıtlarının olmadığı,

-Bilişim sistemi güvenliği (tehditler) konusunda personele yazılı bir bilgi verilmediği,


-Bilgi güvenliğine ilişkin eğitim faaliyetlerinin yapılmadığı,

-Kurum Risk Listesi’nin düzenlenmediği,

-Risk değerlendirilmesi ile görevli bir birimin olmadığı,

-Yetkisiz erişimler hakkında düzenli olarak üst yöneticiye bilgi verilmediği,

-Bilişim Sistemi personelinin istihdamı ve eğitimi konusunda kurumun bir yönergesinin olmadığı,

-Sisteme giriş yetkisi olan firma personeli için, güvenlik soruşturmasının yapılmadığı, Sistem odasıyla ilgili olarak;

-Sistem odasında yangın tüpü, otomatik yangın söndürme sistemi, nem algılayıcı, iklimlendirme sisteminin olmadığı,

-Kapısının tahta olduğu, elektronik kilit sisteminin ve cihazları koruyan anti-statik döşemenin olmadığı, sunucuların (kabinin) depreme karşı duvara veya tabana sabitlenmediği,

-Sistem yedeğinin aynı binada olduğu,

-Deprem gibi olağanüstü durumlarda sistemin kesintisiz çalışmasını sağlayan, Felaket Kurtarma Merkezinin ve felaket kurtarma planı (iş süreklilik planı)nın olmadığı,

-Anti- virüs yazılımının kullanılmadığı,

-Dışarıdan getirilen bilgisayarın, kullanıcı adı ve şifre yazmadan, kurumun internet ağına girebildiği,

Şifre belirlenmesiyle ilgili olarak;

-Sistemin 1,2,3,4 gibi ardı ardına takip eden rakam ve harfleri şifre olarak kabul ettiği,

-Kurumun kullanıcı şifreleriyle ilgili yazılı politikasının ve şifrelerin belirli aralıklarla değiştirilmesini zorunlu kılan düzenlemenin olmadığı,

-Sisteme girişte, başarısız şifrelerde sınır olmadığı,

-Kullanıcı şifrelerinin, şifre dosyasında kodlanarak korunmadığı, Tespit edilmiştir.

Kamu idaresi, standartlara uygun bir bilişim sistemi kurulması hususunda gerekli gayretin gösterileceğini ifade etmiştir.

Standartlara uygun bir bilişim sistemi kurulduğunda, sistemin kötüye kullanılması, belediye hizmetlerinin aksaması ve ekonomik zarara uğraması önlenecek, bilgi güvenliği ve kurum hizmetlerinin kalitesi yükselecektir.


Kararla ilgili sorunuz mu var?