Kurumun bilişim sistemi ile ilgili yapılan çalışmalar sonucunda;

1. Kurumun yazılı ve müstakil bir bilişim teknolojileri stratejisinin bulunmadığı,

   
   

2. Kurumda Bilişim teknolojilerine ilişkin stratejik planlamanın ve koordinasyonun sağlanmasına yönelik Bilişim Teknolojileri Yönlendirme Kurulu gibi bir mekanizmanın oluşturulmadığı,

3. Kurumun, yazılı, Kurum yönetimince onaylanmış ve yayınlanmış bir bilgi güvenliği politikasının bulunmadığı,

4. Kurum iç denetim birimince (Teftiş Kurulu Müdürlüğü) bilişim sistemlerine ilişkin bir denetim gerçekleştirilmediği,

5. Kurumun bilişim sistemi personeli eğitimi ve istihdamına ilişkin politikalarının olmadığı, bilgi güvenliği ile ilgili otomasyon servisinde şirket personeli ve işçi personel çalıştırıldığı, kurum personeli ile yapılan sözleşmelerin bilgi güvenliği ile ilgili hükümler içermediği,

6. Bilgi işlem çalışma alanlarına ve sistem odalarına yetkililerin fiziksel erişimi önlemlerinin (kart, parmak izi vb.) alınmadığı,

7. Server odasında yangın alarmı bulunmakla birlikte yangın söndürme sisteminin bulunmadığı,

8. İş sürekliliği planının bulunmadığı, bu plan dahilinde veya ayrı olarak bir felaket kurtarma planı bulunmadığı,

9. Server ile serverin yedeklemesinin aynı mekanda yapıldığı,

   
   

10. Dış tedarikçi firma ile yapılan sözleşmede, bu akdin sona ermesi veya sonlandırılması durumunda yazılım, donanım, veri vb. varlıkların kuruma devri için gerekli hususların tanımlanmadığı,

görülmüştür.

5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu’nun 11'inci maddesinde, üst yöneticilerin, sorumlulukları altındaki kaynakların etkili, ekonomik ve verimli şekilde elde edilmesi ve kullanımını sağlamaktan, kayıp ve kötüye kullanımının önlenmesinden, malî yönetim ve kontrol sisteminin işleyişinden sorumlu olduğu ifade edilmektedir. Kamu İç Kontrol Standartları Tebliğinin 12'nci standardı ile bilişim sisteminin nasıl olacağı konusunda standartlar ve genel şartlar belirlenmiştir. ISO/IEC 27001 ve ISO/IEC 27002 uluslararası standartlarında ve Kamu Kurumlarının Uyması Gereken Asgari Bilgi Güvenliği Kriterlerinde, bilgi güvenliği ölçütleri belirlenmiştir. Bilgi ve iletişim sistemlerinde bulunan güvenlik zafiyetleri, bu sistemlerin hizmet dışı kalmasına veya kötüye kullanılmasına, can kaybına, büyük ölçekli ekonomik zarara, hizmet düzeninin bozulmasına, kişisel verilerin güvenliğine ilişkin hak ihlallerine neden olabilecektir.

Kamu idaresi cevabında; özetle, Kurum Bilişim Sistemleri Strateji Belgesinin üst yönetim tarafından 14.01.2019 tarih ve 25 sayılı yazı ile onaylanarak internet ortamında yayımlandığı, Bilişim Yönlendirme Kurulu oluşturulması için çalışmaların devam ettiği, Kurum Bilgi Güvenliği Politikaları Yönergesinin Başkanlık Makamı tarafından onaylanarak yürürlüğe girdiği, Teftiş Kurulu Müdürlüğü tarafından denetlemelere başlandığı, sözleşmeli personelin sözleşmelerinin mevzuatla belirlendiği, Bilgi İşlem Müdürlüğü personeline Gizlilik Sözleşmesi imzalatıldığı ve Müdürlük personeliyle ilgili eğitim politikası taslağı çalışmalarının devam ettiği, parmak izi ve kartlı geçiş sistemleri ile ilgili satın alma sürecinin başladığı, server odasında yangın söndürme sisteminin devreye alındığı, iş Sürekliliği planı çalışmalarına başlandığı ve felaket kurtarma merkezinin tamamlanmasına müteakip üst yönetim onayına sunularak sonuçlandırılacağı, dış tedarikçi firma ile gizlilik sözleşmesi yapıldığı, yazılım donanım ve verilerin kuruma devri için ilgili maddeler yeni sözleşmelerde veya mevcut sözleşmelerin yenilenmesi sürecinde ayrıca ekleneceği belirtilmektedir.

Sonuç olarak; Kurum cevabında, bulgumuzda konu edilen hususlarda çalışmalar yapıldığı ve bir kısmına da başlandığı görülmektedir. Kurum cevabı karşısında, bu çalışmalar ve bu çalışmaların yürütülmesi süreci takip eden denetimlerde izlenecektir.