Kurumun bilişim sistemi ve yönetim politikasının standartlara uygun olmaması nedeniyle bilgi güvenliğinde eksiklikler olduğu tespit edilmiştir.

5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu'nun 11'inci maddesinde, üst yöneticilerin, sorumlulukları altındaki kaynakların etkili, ekonomik ve verimli şekilde elde edilmesi ve kullanımını sağlamaktan, kayıp ve kötüye kullanımının önlenmesinden, malî yönetim ve kontrol sisteminin işleyişinden sorumlu olduğu ifade edilmektedir.

2006/38 sayılı Yüksek Planlama Kurulu Kararı'yla onaylanan ve 28/07/2006 tarihli ve 26242 sayılı Resmî Gazete'de yayımlanan Bilgi Toplumu Stratejisi Belgesi'nde stratejik öncelikler arasında yer alan bilgi güvenliğinin ülke genelinde ve kamu kurumlarında bilgi sistemleri ile elektronik iletişim ve ağ bağlantılarında güvenliğin sağlanması ve sürdürülmesi için gerekli organizasyonel düzenlemelerin gerçekleştirileceğinden bahsedilmektedir.

26.12.2007 tarih ve 26738 sayılı Resmî Gazete'de yayımlanan Kamu İç Kontrol Standartları Tebliği'nin “3. Kontrol Faaliyetleri Standartları Bölümü-Standart: 12”de, bilişim sisteminin nasıl olacağı konusunda standartlar ve genel şartlar belirlenmiştir.

6698 sayılı Kişisel Verilerin Korunması Kanunu ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik'te, kişisel verilerin işlenmesi, saklanması ve imhası hakkında hükümler bulunmaktadır.

5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun'da internet ortamında işlenen suçlarla mücadeleye ilişkin esas ve usuller düzenlenmiştir.

Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğ'de, kurum bünyesinde kurulması istenen Siber Olaylara Müdahale Ekibi'nin kuruluş, görev ve çalışmalarına ilişkin usul ve esaslar belirlenmiştir.

Kamu Hizmetlerinin Sunumunda Uyulacak Usul ve Esaslara İlişkin Yönetmelik'in 4'üncü maddesinde, idarenin yapmakla görevli olduğu hizmetleri e-Devlet Kapısı'na entegre edeceği ifade edilmektedir.

Uluslararası Standartlar Teşkilatı (ISO) 27001 Bilgi Güvenliği Yönetim Sistemi Standardı, bilgi güvenliğine dair risklerin belirlenmesi ve yönetilmesi için kural ve esasları içermektedir. ISO 27002 ise bilgi güvenliği yönetim sistemi kurulumu sırasında izlenebilecek iyi uygulamalar ve öneriler içeren bir bilgi güvenliği standardıdır.

Devlet Arşiv Hizmetleri Hakkında Yönetmelik’in 5’inci maddesinde idarenin, elektronik ortamda teşekkül eden ve/veya depolanan belgeler için her türlü afet, siber saldırı, yazılım/donanım kaynaklı veya olası diğer tehditlere/risklere karşı gerekli güvenlik önlemlerinin alınması ve olası belge kayıplarının engellenmesi amacıyla felaket kurtarma planlaması yapılması ve yürütülmesi ile yedekleme ünitelerinin tesis edilmesinden sorumlu olduğu ifade edilmiştir.

Bilgi ve iletişim sistemlerinde bulunan güvenlik zafiyetleri, bu sistemlerin hizmet dışı kalmasına veya kötüye kullanılmasına, can/mal kaybına, büyük ölçekli ekonomik zarara, kamu düzeninin bozulmasına veya ulusal güvenliğin ihlaline neden olabilecektir.

Kurumun bilişim sistemi incelendiğinde; belediyenin internet sitesinde elektronik olarak verilen hizmetlerden bazılarının, e-devlet kapısına entegre edilmediği, bilişim sistemi, bilgi güvenliği, yedekleme, bilişim personelinin istihdamı ve eğitimi vs. konularında yazılı bir düzenlemenin ve Bilişim Stratejik Planı’nın olmadığı, risk değerlendirilmesi ile görevli bir birimin ve Bilgi Güvenliği Sorumlusu’nun olmadığı, bilişim sistemine yönelik ‘Kurum Risk Listesi’nin düzenlenmediği, bilişim sistemi, veriler, yazılımlar, donanım vs. bütün bilgi varlıklarının güvenlik ihtiyacına göre, önem, hassasiyet veya başka açılardan sınıflandırılmadığı, bilişim sisteminin, bağımsız firmalarca incelenmediği, bilişim sistemi güvenliği (tehditler) konusunda eğitim faaliyetlerinin yapılmadığı, görevler ayrılığı prensibi gereği birleşemeyecek görevlerin yer aldığı bir tablonun hazırlanmadığı, bilişim sistemine yapılan saldırıların, rapor halinde düzenli olarak üst yöneticiye verilmediği, kullanıcı şifrelerinin, şifre dosyalarında kodlanarak korunmadığı, sunucuya bağlı ayrı bir jeneratörün olmadığı, sunucu odasında bir adet klimanın olduğu, elektronik kilit, cihazları koruyan anti- statik döşemenin ve otomatik yangın söndürme sisteminin olmadığı, sunucuların depreme karşı duvara veya tabana sabitlenmediği, yedeklerin, sunucunun olduğu binada saklandığı ve bunun risk taşıdığı, deprem gibi olağanüstü durumlarda, sistemin kesintisiz çalışmasını sağlayan, Felaket Kurtarma Merkezinin kurulmadığı tespit edilmiştir.

İdare, bulguda bahsedilen konuda çalışmalara başladığını ifade etmiştir.

Yukarıda yazılı mevzuat gereği, bahsedilen eksiklikler giderilip bilişim sistemi standartlara uygun hale getirilmelidir.