Bilgi ve iletişim güvenliğinin sağlanması için varlık gruplarının sınıflandırılmasına yönelik yapılması gereken çalışmaların tamamlanmadığı, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’nin Bilgi ve İletişim Güvenliği Rehberi doğrultusunda gerekli denetimin yapılmadığı görülmüştür.

Kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerin bilgi

ve iletişim güvenliği kapsamında genel olarak alması gereken tedbirleri belirlemek için 06.07.2019 tarih ve 30823 sayılı Resmi Gazetede Bilgi ve İletişim Güvenliği Tedbirleri konulu 2019/12 sayılı Cumhurbaşkanlığı Genelgesi yayımlanmıştır. Yayımlanan Genelge doğrultusunda Cumhurbaşkanlığı Dijital Dönüşüm Ofisi koordinasyonunda paydaşların katılımıyla Bilgi ve İletişim Güvenliği Rehberi hazırlanmıştır.

Ayrıca kurum ve kuruluşlar Rehberin uygulanmasına ilişkin denetim mekanizmalarını oluşturacak ve yılda en az bir defa uygulamayı denetleyecektir. Denetim sonuçları ile yapılan düzeltici ve önleyici faaliyetler, Rehberde belirtilen usul ve esaslara göre bir rapor halinde Dijital Dönüşüm Ofisi’ne iletilecektir.

Bilgi ve İletişim Güvenliği Rehberi dört ana bölümden oluşmaktadır.

• Bilgi ve İletişim Güvenliği Rehberi Uygulama Süreci

• Varlık Gruplarına Yönelik Güvenlik Tedbirleri

• Uygulama ve Teknoloji Alanlarına Yönelik Güvenlik Tedbirleri

• Sıkılaştırma Tedbirleri

Kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmeler tarafından, Bilgi ve İletişim Güvenliği Rehberi Uygulama Süreci’nin ve tanımlanan güvenlik tedbirlerinin uyum planı çerçevesinde ele alınması gerektiği belirtilmektedir.

Rehberin uygulamalarının denetlenmesine yönelik Cumhurbaşkanlığı Dijital Dönüşüm Ofisi kurum ve kuruluşların tamamı denetim faaliyetlerini yürütmesi gerektiğini açıklamıştır. Bununla ilgili 14.02.2022 tarih ve 4350 sayılı yazı ile kurumlara bilgilendirme yapılmıştır. Kurumların denetim faaliyetlerini nasıl ve kimler tarafından yapılacağı ayrıntılı açıklanmış ve kurumlara bu denetimlerin 31.12.2022 tarihine kadar yapılması için süre verilmiştir.

Kamu idaresi ise bu hususlarla ilgili çalışmalara başladığını ifade etmiştir.

Bilgi ve İletişim Güvenliği Rehberinde belirtilen hususlarda uygulama faaliyetlerinin yerine getirilmesi ve denetim takvimine uyulması gerekmektedir.