İdarenin bilgi güvenliği yönetim sisteminde; bilgi sistemlerinin yönetimine ilişkin prosedürlerin yazılı olarak belirlenmemesi ve bilgi işlem çalışanlarının görev, sorumluluk ve yetkinliklerinin yazılı hale getirilmemesi gibi bazı eksikliklerin bulunduğu anlaşılmıştır.

26.12.2007 tarih ve 26738 sayılı Resmi Gazete’de yayımlanan Kamu İç Kontrol

Standartları Tebliği’nin “Bilgi Sistemleri Kontrolleri” başlıklı 12 No’lu standardına göre İdareler, bilgi sistemlerinin sürekliliğini ve güvenilirliğini sağlamak için gerekli kontrol mekanizmaları geliştirmelidir. Bunun sağlanması için ise bilgi sistemlerinin sürekliliğini ve güvenilirliğini sağlayacak kontroller yazılı olarak belirlenmeli ve uygulanmalı, bilgi sistemine veri ve bilgi girişi ile bunlara erişim konusunda yetkilendirmeler yapılmalı, hata ve usulsüzlüklerin önlenmesi, tespit edilmesi ve düzeltilmesini sağlayacak mekanizmalar oluşturulmalıdır ve İdareler bilişim yönetişimini sağlayacak mekanizmalar geliştirmelidir.

Uluslararası Standardizasyon Örgütü (ISO) ile Uluslararası Elektroteknik Komisyonu (IEC) tarafından birlikte hazırlanan; bilgi güvenliği riskleri, kontrolleri ve yönetimine ilişkin iyi uygulama örneklerini ortaya koyan ve Türk Standartları Enstitüsü tarafından da kabul edilerek Türk Standardı haline gelmiş olan ISO/IEC 27002’nin “5. Bilgi Güvenliği Politikaları” başlıklı standardına göre; Bilgi güvenliği politikaları tanımlanmalı, yönetim tarafından onaylanmalı ve yayınlanarak çalışanlara ve ilgili dış taraflara duyurulmalıdır.

Bilgi sistemlerinde karşılaşılan güvenlik risklerinin azaltılmasına ilişkin bilgi ve iletişim güvenliği tedbirlerini içeren, 06.07.2019 tarih ve 30823 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 2019/12 sayılı Cumhurbaşkanlığı Genelgesi kapsamında Dijital Dönüşüm Ofisi Başkanlığı tarafından hazırlanan Bilgi ve İletişim Güvenliği 3.5.1.7 Rol, Sorumluluk ve Asgari Yetkinliklerin Tanımlanması tedbirine göre; kurum personeli tarafından gerçekleştirilen işin tanımı ve gereklilikleri göz önünde bulundurularak, ilgili personelin kurum bünyesindeki bilgi güvenliği rolü, sorumlulukları ve sahip olması gereken asgari yetkinlikler tanımlanmalı ve yazılı hale getirilmelidir.

Kurumun bilişim sistemine ve bilgi güvenliğine yönelik olarak alınan bilgiler doğrultusunda bilgi güvenliği konusunda bazı eksikliklerin bulunduğu görülmüştür. Tespit edilen eksikliklerden bazıları şunlardır;

• Bilgi güvenliğine ilişkin stratejik planlamanın ve koordinasyonun sağlanmasına yönelik bir mekanizma mevcut değildir

• İç denetim birimi tarafından bilişim sistemleri denetimi yapılmamaktadır,

• Bilişim sistemlerine ilişkin risk kütüğü tutulmamaktadır,

• Bilgi Güvenliği Yönetim Sistemi (BGYS) sertifikası bulunmamaktadır,

• Bilgi güvenliğine ilişkin prosedürler yazılı olarak belirlenmemiştir

• Bilgi güvenliği sorumlusu atanmamıştır,

• Bilgi güvenliğine ilişkin eğitim faaliyetleri yapılmamaktadır,

• Yüklenici ile yapılan sözleşmelerde hizmet seviyeleri belirlenmemiştir,

• Proje yönetimine ilişkin organizasyon şeması belirlenmemiştir,

İç kontrol; faaliyetlerin düzenli, mevzuata ve etik kurallarına uygun, verimli, tutumlu ve etkin biçimde yürütülmesi, hesap verme sorumluluğunun gerektirdiği yükümlülüklerin yerine getirilmesi, kamu kaynaklarının kayıplara karşı korunması, kurumun amaçlarını gerçekleştirmek suretiyle kurum misyonunun yerine getirmesi için makul bir güvence sağlanması amacıyla idare tarafından oluşturulan organizasyon, yöntem, süreç ile malî ve diğer kontroller bütünüdür.

Tüm bu amaçların sağlanabilmesi için, organizasyon, yöntem, süreç ile malî ve diğer kontrollerin kurumun mali, idari ve sistemsel unsurlarında bütüncül bir şekilde uyugulanabiliyor olması gerekmektedir. Unsurlardan birinde ortaya çıkacak kontrol zafiyeti, diğer unsurları da etkileyeceğinden iç kontrol sisteminin bütünlüğüne ve etkinliğine olumsuz yönde tesir edecektir.

Bilişim sistemlerinin, kurumun tüm iş ve işlemlerinde rol oynayan ve Kurumunun kendi iç birimleri ile Kurum dışı diğer paydaşları birbirine bağlayan sanal bir ağ olması, burada oluşacak bir zaafiyetin etkisinin tahmin edilemeyecek ölçüde büyük olmasına neden olabilecektir. Bu noktada bilişim sistemlerinin kalitesi ve bilgi güvenliğindeki etkinliğin düzeyi iç kontrol sisteminin ne ölçüde güçlü olduğu ile doğrudan ilişkili bir durumdur.

Bu kapsamda bulguda belirtilen husularla ilgili olarark Kamu İdaresi, bilgi güvenliği yönetim sistemine ilişkin kurumsal seviyede yapılan çalışmaları ve tamamlanan süreçleri belirtmiş, eksik kalan süreçlerin de tamamlanması için gerekli olan çalışmaların yapılacağını ifade etmiştir. Bilgi güvenliği yönetim sistemiyle ilgili Kurumda şimdiye kadar yapılan çalışmalara bakıldığında önemli bir ilerleme sağlandığı görülmüş olup eksik kalan süreçlerin de tamamlanacağı değerlendirilmektedir.