BİLGİ TEKNOLOJİLERİ YÖNETİMİ VE DENETİM İLKELERİ

Ebat: px
Şu sayfadan göstermeyi başlat:

Download "BİLGİ TEKNOLOJİLERİ YÖNETİMİ VE DENETİM İLKELERİ"

Transkript

1 BİLGİ TEKNOLOJİLERİ YÖNETİMİ VE DENETİM İLKELERİ Ahmet TOPKAYA Sayıştay Başdenetçisi Sanayi toplumundan bilgi toplumuna geçiş ile rekabet üstünlüğü yaratmada bilgi ve teknolojinin rolünün artmış olmasından dolayı, hem kamu hem de özel sektör kurumları bilgi ve iletişim teknolojileri alanında yaşanan gelişmeleri yakından takip etmek ve çağı yakalamak adına bilişim sistem ve teknolojilerini kullanma gerekliliğini benimsemişlerdir. Bilişim teknolojisinde yaşanan büyük gelişmeler ışığında, kamu ve özel sektör kuruluşları iş akışları içerisinde karar süreçlerinde kolaylık sağlamak amacıyla bilişim sistemlerini yoğun bir şekilde kullanmaya başlamıştır. Eskiden manuel olarak yapılan birçok işlemin gerçekleştirilmesinde artık bilgisayarlar tüm yönleriyle kullanılmakta olup, bilgi ve belgelerin bilişim ortamında üretilmesiyle eskiden çok uzun süre alan ve herkesin şikâyetçi olduğu işlemler daha kolay ve kısa sürede tamamlanabilmektedir. Tüm bu yaşanan gelişmeler doğrultusunda, bilişim ortamında üretilen bu bilgi ve belgelerin değiştirilebilir olması güvenilirliği konusunda tartışmalar başlatmıştır. Bilişim sektörünün en önemli konularından olan güvenlik ve gizlilik tehditleri bugün tüm bilişim kullanıcılarının gündeminde bulunmaktadır. Bu tehditleri, kullanıcı kaynaklı, hizmet sağlayıcısı kaynaklı ve suç kaynaklı olmak üzere üç sınıfta incelemek mümkündür. Kullanıcı kaynaklı güvenlik ve gizlilik tehditleri, genel olarak bilinçsiz kullanım ve diğer kaynaklardan gelen tehditlere karşı alınması gereken önlemlerin alınmaması ile ortaya çıkmaktadır. Hizmet sağlayıcı kaynaklı tehditler ise, hizmet sağlayıcısı firmaların; sağladıkları hizmette, suç kaynaklı tehditlerin önlenmesi için gereken altyapıları kurmaması ve müşterilerini güvenlik konularında yeterince yönlendirememesidir. Suç kaynaklı tehditler ise, temelde bilişimin sistematik ya da sistematik olmayan yollarla kullanılması suretiyle, çoğunlukla maddi zarar verme sonucunu doğuran fiillerin işlenmesi şeklinde özetlenebilir. Suç kaynaklı olan güvenlik tehditlerinden en yaygın bilinenleri virüsler, trojenler, keylogger 23 TEMMUZ - AĞUSTOS - EYLÜL 2011

2 Bilgi Teknolojileri Yönetimi ve Denetim İlkeleri gibi programlar ile hacker olarak hareket eden kişi ya da kurumlardır. Bu çerçevede kavram kargaşasına fırsat vermemek için bilişim sistemi ve bilişim sistemlerinin tanımın yapılması faydalı olacaktır. Bilişim sistemi, alt, orta ve üst düzey yöneticiler için karar verme sürecinde gerekli olan bilgiyi toplayan, işleyen, saklayan ve elde edilen verileri raporlayan ve çıktıyı bir kurumdaki sorumlu kişilere tekrar göndererek girdilerin değerlendirilmesini ve düzeltilmesini sağlayan; yöneticilerin veri veya bilgi işlemesini sağlayan bilgisayar destekli sistemlerin genel adıdır. Bu bağlamda bilişim sistemleri, kurumlarda işlevsel düzeyde, bilgi düzeyinde, yönetim düzeyinde ve stratejik düzeyde kullanılabilmektedir. Bilişim sistemleri, bir faaliyeti desteklemek amacıyla kurulan bilgisayar donanımı, yazılımı ile kaynak paylaşımını gerçekleştirmek için bilgisayarları birbirine bağlayan ağlar (network) ve onları kullanan insanlardan oluşur. Bir kurumda bilişim sistemlerinin kullanılmasıyla, doğru ve güvenilir veri tabanları oluşturulması, verilere kolay ulaşım sağlanması, veri girişi sonrasında manuel ortamda yapılan birçok ara işlemin ortadan kalkarak bu işlemlerin otomatik yapılması, verilerin saklanmasında yer tasarrufu sağlanması, kolay dosya yönetimi sayesinde işlemlerin daha hızlı yapılması, karmaşık olan işlemlerin daha kolay bir şekilde çözülebilmesi, iş verimliliğinin artması ve maliyetlerin düşmesi gibi imkânlardan yararlanılabilmektedir. 1. Bilişim Sistemlerinin Gelişimi Bilişim sistemleri örgütlerin yönetim anlayışlarında meydana gelen değişikliklere paralel olarak gelişim göstermiştir. Başlangıçta bilişim sistemleri kağıt kalem kullanılarak elle tutulan sistemler şeklinde ortaya çıkmış, zaman içinde teknolojik gelişim ve bu gelişime uyum sağlama gereksinimiyle beraber bilgisayar temelli bilişim sistemleri geliştirilmiştir. Geliştirilen ilk bilişim sistemi, 1950 li yıllarda temelde ticari işlemlerin izlenmesi, bordro, ücretlendirme ve hesaplama işlemleri konusunda yardımcı olması düşünülen ve elektronik işlem düzeyinde işlem yapan Kayıt İşleme Sistemidir arası dönemde yöneticilere bilgi raporlama amacıyla Yönetim Raporlama Sistemleri ve ardından yöneticilerin karar almalarını kolaylaştırmak amacıyla Yönetim Bilişim Sistemleri geliştirilmiştir. Bu dönemde yöneticiler bu sistemleri yalnız karar alma sürecine yardımcı olacak bilgilerin sağlanması, saklanması ve raporlanması amacıyla kullanmışlardır arası dönemde bilgisayar ve iletişim teknolojileri alanında yaşanan hızlı gelişmeler sonucu bilgisayar kullanıcıları gereksinim duydukları bilgileri bireysel bilgisayarlarını kullanarak kolaylıkla elde edebilir hale gelmişlerdir. Bu dönemde Yönetim Bilişim ve Raporlama Sistemleri daha da geniş bir uygulama alanı bulmuş ve Ofis Otomasyon Sistemleri ve yönetsel kararların alınmasında karşılıklı etkileşim imkanı sağlayan Karar Destek Sistemleri geliştirilmiş, örgütler bilişim teknolojilerine yatırım yaparak rekabetçi üstünlük sağlamaya başlamışlardır li yıllarda sanayi ötesi toplum ya da bilgi toplumu diye adlandırılan yeni bir toplum yapısı oluşmaya başlamış, bilgi devrimi sonucunda bilginin toplanması, işlenmesi ve dağıtılması, tüm üretim biçimlerini, ilişkilerini ve bunlara ek olarak günlük yaşamı sürdürme tarzlarını tümüyle değiştirmeye başlamıştır. Bu yıllarda Karar Destek Sistemlerinin her kararın alınmasında destekleyici olamaması sonucu alt, orta ve üst düzey yöneticilerin karar vermelerini kolaylaştıracak kritik bilgileri sağlamak amacıyla Üst Yönetim Bilişim Sistemleri ve programlandıkları alanda uzman görüş sağlayarak karar vericiyi destekleyen Uzman Sistemler geliştirilmiştir larda strateji geliştirme ve uygulama sürecinde üst düzey yöneticileri desteklemek, örgütlerin stratejik amaçlarına ulaşmalarını ve rekabetçi üstünlük kazanmalarını sağlamak amacıyla Stratejik Bilişim Sistemleri geliştirilmiştir li yıllara geldiğimizde artık yapay zekâya sahip bilgisayar ve robotlar geliştirilmiş ve bunlar iş süreçlerinde kullanılmaya başlanmıştır. Bu gelişim süreci de göstermektedir ki; bilişim sistemlerinin yönetimi, denetimi ve uygulamaya ilişkin hususların genel kabul görmüş standartlara uygun olarak düzenlenmesi gerekmektedir. Aksi takdirde yukarıda bahsettiğimiz gibi bilişim sistemleri ile ilgili güvenlik ve gizlilik tehditleri her zaman varlığını koruyacaktır. Bilişim sistemlerinin ve özellikle bilgisayarın işlemlerde kullanılmasıyla teknolojinin kendine özgü riskleri de beraberinde gelmekte olup, manüel sistemden farklı olan bu yeni sistemde üretilen çıktıların doğrulu- 24 TEMMUZ - AĞUSTOS - EYLÜL 2011

3 Ahmet TOPKAYA ğunun kontrol edilmesi ve bilgi, belgelerin güvenilirliğinin sağlanması gereği özellikle bilişim sistemlerinin denetlenmesini zorunlu kılmaktadır. Başka bir deyişle, denetçilerin etkin bir denetim yapmak için ihtiyaç duydukları bilgi ve belgeleri sanal ortamdan elde etmeleri sonucunda, denetimde kullanılacak olan bu bilgilerin doğruluğu hakkında güvence verilmesi gerekmektedir. Bu güvence olgusu bilişim sistemleri denetiminin gerekliliğini ortaya çıkartmıştır. Teknolojide yaşanan gelişmeler doğrultusunda güncel denetim yaklaşımlarından bir tanesi olan bilişim sistemleri denetimi; işletmelerin sahip oldukları bilişim sistemleri kaynaklarının değerlenmesi sürecidir. Bu noktada bilişim sistemleri ile ilgili unsurların güvenlik altında olduğu, bilgisayar verilerinin bütünlüğünün ve doğruluğunun sağlanmış olduğu ve organizasyonel amaçlara ulaşılıp ulaşılmadığı dikkatlice incelenmelidir. Bilişim sistemleri denetimi daha açık bir ifadeyle, bir bilişim sisteminin, kurum amaçlarına etkin bir şekilde ulaşılmasını, kaynakların verimli kullanılmasını, varlıkların korunmasını ve veri bütünlüğünün sürdürülmesini sağlayacak şekilde tasarlanıp tasarlanmadığını tespit etmeye yönelik kanıt toplama ve değerlendirme süreci olarak tanımlanabilmektedir. Bu çerçevede bilişim sistemleri denetimlerinde ve bilişim sistemlerinin güvenlik ve güvenilirliğinin değerlendirilmesi aşamalarında genel kabul görmüş uluslararası standartların kullanılması esas alınmalıdır. 2. Bilgi Teknolojileri Yönetim İlkeleri ve Kontrol Çerçeveleri Bilgi sistemlerini yoğun olarak kullanan kurumların bilgi sistemleri ile iş hedeflerinin uyumlu olup olmadığını, iş süreçlerini desteklediğini, kaynakların sadece yetkili kullanıcılar tarafından kullanıldığını, müşteri ve kurum bilgilerinin güvenliğinin sağlandığını, bilgi sistemlerinden elde edilen bilginin doğru, güvenilir ve güncel olduğunu, bilgi sistemlerinin sürekliliğine ilişkin çalışmalar yapıldığını garanti altına alması gerekmektedir. ilişkin olarak ISO Bilgi Güvenliği Yönetimi Sistemi (ISO BGYS) ve IT Governance Institute tarafından ortaya konulan COBIT çerçeve dokümanıdır. Ayrıca IN- TOSAI (Uluslararası Yüksek Denetim Kurumları Birliği) tarafından yayınlanmış denetim standartlarında da bilişim sistemleri ile ilgili standartlar mevcuttur. 3. ISO (International Organization for Standardization), Uluslararası Standartlar Teşkilâtı Standartları ISO (International Organizationfor Standardization), Uluslararası Standartlar Teşkilâtı, Uluslararası Elektroteknik Komisyonu nun çalışma sahasına giren elektrik ve elektronik mühendisliği konuları dışında, bütün teknik ve teknik dışı dallardaki standartların belirlenmesi çalışmalarını yürütmek gayesiyle 1946 da Cenevre de kurulan uluslararası teşkilâttır. Uluslararası Standartlar Teşkilâtına üye ülkelerin sayısı 162 dir. Teşkilât üyesi olan millî birimler kendi ülkelerinde standartlar konusunda en yetkili kuruluşlardır. Her ülke teşkilatta yetkili bir organ tarafından temsil edilir. Standartlaştırma, ölçme, adlandırma ve yabancı adları çeşitli dillere çevirmeyle, makinelerin, deney idarecilerinin, aletlerin, işlemlerin, yüzeylerin, malzemelerin ve parçaların taşıması gereken özelliklerin ve bu özelliklerin arz edilme biçiminin tespiti gibi konular Uluslararası Standartlar Teşkilatının faaliyet sahasına girer. Bu teşkilat talep üzerine özel bir ilmi standart konusunu çözüme bağlamak üzere uluslararası teknik komiteler kurarak bu komitelerin çalışmalarının neticelerini Uluslararası Standart (IS) olarak yayımlar. Teknolojik ihtiyaçlardan dolayı ISO standartları, her beş yılda bir gözden geçirilir ve gerekli değişiklikler yapılır. Dünya çapında BT yönetim ilkelerine ilişkin standart çalışmaların en önemlileri bir İngiliz kuruluşu olan Office of Government Commerce tarafından hazırlanmış olan ITIL (the IT Infrastructure Library), International Organisation for Standardisation ve International Electrotechnical Commission tarafından bilgi sistemlerine 25 TEMMUZ - AĞUSTOS - EYLÜL 2011

4 Bilgi Teknolojileri Yönetimi ve Denetim İlkeleri ISO nun bilgi güvenliğine ilişkin çerçeve niteliğindeki standardı ISO BGYS standardıdır. ISO BGYS standardı bilginin gizliliğinin ve bütünlüğünün nasıl korunacağına ve bilgiye sürekli erişimin nasıl sağlanacağı hakkında rehber bir çalışmadır. Bir İngiliz bilgi güvenliği standardı olan BS nin revize edilip 2005 in sonlarında ISO BGYS olarak değiştirilmesiyle yürürlüğe giren bu standart kurumların bilgi güvenliği yönetim sistemi kurmaları için gereklilikleri tanımlamaktadır. Bilgi güvenliği yönetim sistemi, bir kurumdaki tüm varlıkların değerlendirilmesi, bu varlıkların sahip oldukları zayıflıkları ve karşı karşıya oldukları tehditleri göz önüne alan bir risk analizi yapılmasını ve bu analiz sonucunda standartta öngörülen kontrol hedefleri ve kontrollerden seçimler yapılmasını gerektirir. Risk işleme için standartta öngörülen kontrol hedeflerinden seçimler yapılmalı ve uygulanmalıdır. Planla - uygula - kontrol et - önlem al (PUKO) çevrimi uyarınca, risk yönetimi faaliyetleri yürütülmeli ve varlığın risk seviyesi kabul edilebilir bir seviyeye geriletilene kadar çalışma sürdürülmelidir. uygulanabilen yerlerde ölçülmesi ve sonuçların gözden geçirilmek üzere yönetime rapor edilmesi. Önlem al (BGYS nin sürekliliğinin sağlanması ve iyileştirilmesi); BGYS nin sürekli iyileştirilmesini sağlamak için, yönetimin gözden geçirme sonuçlarına dayalı olarak, düzeltici ve önleyici faaliyetlerin gerçekleştirilmesi. ISO 27001, kurumların risk yönetimi ve risk işleme planlarını, görev ve sorumluluklarını, iş devamlılığı planlarını, acil durum olay yönetimi prosedürlerinin hazırlanmasını ve bunların kayıtlarının tutulmasını gerektirir. Kurum, tüm bu faaliyetlerin de içinde yer aldığı bir bilgi güvenliği politikası yayımlamalı ve personelini bilgi güvenliği ve tehditleri hakkında bilinçlendirmelidir. Seçilen kontrol hedeflerinin ölçülmesi ve kontrollerin amacına uygunluğunun ve performansının sürekli takip edildiği yaşayan bir süreçtir. ISO BGYS kurumların bilgi güvenliği yönetim sistemi kurmaları için gereklilikleri tanımlayan tek denetlenebilir bilgi güvenliği yönetim sistemi standardıdır.(tse,2006). Bu çerçevede ISO standardı ile birlikte değerlendirilmesi gereken diğer ISO standartları şunlardır; PUKO DÖNGÜSÜ Planla (BGYS nin kurulması); Sonuçları kuruluşun genel politikaları ve amaçlarına göre dağıtmak için, risklerin yönetimi ve bilgi güvenliğinin geliştirilmesiyle ilgili BGYS politikası, amaçlar, hedefler, süreçler ve prosedürlerin kurulması. Uygula(BGYS nin gerçekleştirilmesi ve işletilmesi); BGYS politikası, kontroller, süreçler ve prosedürlerin gerçekleştirilip işletilmesi. Kontrol Et (BGYS nin izlenmesi ve gözden geçirilmesi); BGYS politikası, amaçlar ve kullanım deneyimlerine göre süreç performansının değerlendirilmesi ve ISO 21827; veri işleme, veri güvenliği, veri depolama koruması, bilgisayar yazılımı, bilgisayar programları, bilgi alışverişi, veri transferi, organizasyonlar, yönetim, risk değerlendirmesi bilgi teknolojisi hakkında düzenlemeler içeren, güvenlik teknikleri, sistemleri, güvenlik mühendisliği çerçevesinde oluşturulmuş bir Yetenek Olgunluk Modelidir (SSE-CMM; The Systems Security Engineering Capability Maturity Model). İyi güvenlik teknikleri uygulandığından emin olmanız için olması gereken sistem güvenliği süreçlerinin temel özelliklerini tanımlar. ISO 27003; ISO grubu altında yer alan; bilgi güvenliğine yönelik metodoloji standartları çerçevesinde değerlendirilen Bilgi Güvenliği Yönetim Sistemleri - Uygulama Kılavuzları dır standardının nasıl kullanılacağına dair açıklamalar ve örnekler içeren uygulama rehberi olarak geliştirilmiştir. Geliştirilen standart içerisinde temel olarak; kritik başarı faktörleri, süreç yaklaşımı üzerine rehber, PUKÖ modeli rehberi, planlama süreç rehberi, uygulama süreç rehberi, kontrol süreç rehberi, önlem alma süreç rehberi ve diğer kurumlarla birlikte çalışma gibi konu başlıklarının yer almaktadır. 26 TEMMUZ - AĞUSTOS - EYLÜL 2011

5 Ahmet TOPKAYA ISO/IEC 27004:2009, bu standart bilgi güvenliği yönetim metrikleri ve ölçümüne tahsis edilmiştir. Bilgi güvenliği yönetim sistemlerinin etkinliğinin ölçülmesi ve raporlanmasında kurumlara yardımcı olması amaçlanmaktadır. ISO/IEC 27005:2008, bu standart BS 7799 Kısım-3 BS : Bilgi Güvenliği Yönetim Sistemleri - Bilgi Güvenliği Risk Yönetimi Kılavuzları isimli İngiliz standardının ISO tarafından uyarlanması çalışmasını içermektedir. BS :2006 standardı 16 Mart 2006 tarihinde İngiliz standardı olarak kabul edilmiş, risklerin değerlendirilmesi, kontrollerin uygulanması, risklerin düzenli olarak izlenmesi ve gözden geçirilmesi gibi konu başlıklarını içermektedir. ISO/IEC 27006: 2007, bu standart Bilgi Teknolojileri Felaket Önleme Hizmetleri Kılavuzu olarak tanımlanmıştır. ISO/IEC 27031:2009, standardı ISO 17799/27002 standardı esas alınarak telekom sektörü için özel olarak geliştirilmektedir. ISO 18044:2004; bu standart Olay Yönetimi-İş Sürekliliği çerçevesinde oluşturulmuş bir standarttır. 4. COBİT (The Control Objectives for Information and related Technology- Bilgi Teknolojisi ve İlgili Teknolojilere İlişkin Kontrol Hedefleri) Tanım olarak CobiT, Control Objectives for Information and Related Technology nin kısaltılmış halidir. Türkçe ifade etmek gerekirse Bilgi ve ilgili teknoloji için kontrol hedefleri. Bu tanım, CobiT in amacını ifade etmesi açısından önemlidir. CobiT, Bilgi Teknolojileri yönetiminde ulaşılması gereken hedefleri ortaya koymaktadır. CobiT i, ITIL, CMMI ve ISO standartlarından ayıran en büyük özelliği tüm BT fonksiyonlarını kapsayan bir çerçeve sunmasıdır. Bu nedenle diğer standartlardan farklı şekilde, CobiT in tek veya grup halinde BT süreçlerine değil BT nin yönetilmesine odaklandığını söylemek doğru olur. CobiT in diğer bir özelliği de, içerisindeki süreçlerin nasıl uygulanması gerektiğine dair detaylı çözüm yöntemleri içermemesidir. Esas olarak kontrol hedeflerinden oluşmaktadır ve bu hedefler o süreç içerisinde sağlanması gereken en iyi uygulamaları açıklamaktadır. Fakat birkaç istisna dışında bu süreçlerin hiçbiri için kontrol hedeflerine ulaşılmasını sağlayacak bir yöntem, şablon veya tasarım önermemektedir. Dört ana başlık altında yer alan 34 ana kontrol hedefi ve bunların altında yer alan 318 ayrıntılı kontrol hedefini içeren, bilişim sistemleri yönetimi ve denetimi alanında en geniş teorik çerçeveyi sunan ve tüm dünyada yaygın şekilde kullanılan bilişim sistemleri standardıdır. 34 kontrol hedefinin her birinin beş ayrı olgunluk düzeyinde değerlendirildiği COBIT, bilgi kriterleri olarak belirlediği, etkinlik, verimlilik, bütünlük, devamlılık, uyumluluk ve güvenirlilik unsurlarına vurgu yapar. CO- BIT, bilişim sistemleri süreçlerin nasıl işlediğine vurgu yapan süreç odaklı bir yaklaşım yerine, kontrol odaklı bir yaklaşım uygular (ITGI 2005) Tarihsel Gelişim BS 25999:2006; Yaşam döngüsünün merkezinde bulunmaktadır. Yaşam döngüsünün kalbi olarak düşünülebilecek bu parça, iş sürekliliği politikası ile belirlenmiş amaçların gerçekleştirilmesini sağlamak üzere yapılması gereken çalışmaları tanımlamaktadır. (Yandaki şekilde BS a ait yaşam döngüsü modeli gösterilmektedir) COBIT, ISACA 1 ve ITGI tarafından, BTY ilkelerine ilişkin olarak hazırlanan en iyi uygulamalar bütünüdür. COBIT, temelde bilgi teknolojilerinden maksimum faydanın sağlanması, organizasyon bazında uygun BTY ilkelerinin oluşturulması ve etkin bir kontrol ve denetim ortamının sağlanması amacıyla oluşturulmuş genel kabul görmüş ölçütler, göstergeler, süreçler ve uygulamalardan oluşan bir BTY çerçevesidir. COBIT in hedef 1 Information Systems Audit and Control Association 27 TEMMUZ - AĞUSTOS - EYLÜL 2011

6 Bilgi Teknolojileri Yönetimi ve Denetim İlkeleri kitlesi, yöneticiler, denetçiler, kontrol elemanları ve BT kullanıcılarından oluşmaktadır yılında yayımlanan COBIT 1.0 ilk başta uluslararası BT standartlarının, kılavuz dokümanların ve pratikte anılan kuralların en iyi şekilde uygulanması üzerine yapılan araştırmalar sonucunda geliştirilen Kontrol Hedeflerine, söz konusu kontrollerin ne ölçüde gerçekleştirildiğinin denetimine ilişkin kılavuz bir dokumanın ilave edilmesiyle oluşturulmuştur. COBIT 1.0 ve 1998 yılında yayımlanan COBIT 2.0, Free University of Amsterdam, California Polytechnic University ve University of New South Wales ten gelen araştırmacılardan oluşan ekibin çalışmalarıyla oluşturulmuş ve COBIT Proje Kontrol Komitesi nin bu çalışmaları konsolide etmesiyle sonuçlandırılmıştır yılında ise, uluslararası kaynaklardan faydalanılarak yapılan gözden geçirmeler, yönetimsel kontrollere ilave vurgu yapılması, BT performans yönetiminin ilk defa ortaya konulması ve BTY ilkelerin geliştirilmesi sonucunda COBIT 3.0 dokümanı ortaya çıkmıştır yılı sonunda ortaya çıkan Enron skandalının da etkisiyle 2002 yılında çıkarılan Sarbanes-Oxley Yasası nın öngördüğü sıkı iç kontrol düzenlemeleri de COBIT çerçevesinin ününü artırmasında etkili olmuştur. Nitekim Sarbanes-Oxley Yasası na tabi firmaların bu yasaya uyumlarını sağlamak üzere COSO 2 ve COBIT gibi çerçeve dokümanlarından faydalandıkları bilinmektedir. bit içerisinde birleştirilmesi, CobiT sertifikasyonunun mümkün hale getirilmesi gibi pek çok yenilik bekleniyor COBIT 4.1 in Yapısı COBIT dokümanı, üç ana bölüm ve eklerden oluşmaktadır. Yöneticiler için Bilgi Notu kısmı, yönetici düzeyindeki kişilerin kısıtlı bir süre içinde temel COBIT kavramlarının üzerinden geçebilmeleri için hazırlanmıştır. Çerçeve bölümünde, BT süreçlerinin organizasyon ihtiyaçları için nasıl kullanılabileceği, verilere ilişkin önemli kriterler (etkinlik, verimlilik, gizlilik, bütünlük, ulaşılabilirlik, ölçütlere uyum ve güvenilirlik) ve kritik BT kaynaklarının belirlenmesi konularında bilgiler verilmektedir. COBIT dokümanının üçüncü ve son kısmı olan Ana Doküman COBIT in çekirdeğini oluşturmaktadır. Bu bölümde COBIT tarafından belirlenmiş 34 adet BT sürecine ilişkin Üst-düzey Kontrol Hedefleri ve bu hedeflere ilişkin detaylı alt kontroller, yönetimsel kurallar ve olgunluk modellerine ilişkin açıklamalar yer almaktadır COBIT süreçleri CobiT içerisinde 4 ana başlık altında toplam 34 süreç bulunmaktadır. Yukarıda da belirttiğimiz gibi bu 34 süreç, pek çok şirket için BT fonksiyonlarının hemen hepsini kapsar. CobiT içerisinde aşağıdaki süreçler bulunmaktadır: Öte yandan ISACA ve ITGI nin, COBIT in sürekli olarak kendini yenilemesi ve geliştirmesini amaçlamaları nedeniyle, COBIT üzerinde çalışmalar 2000 li yıllarda da devam etmiş, önce COBIT 4.0 sonra da halen yürürlükte olan COBIT 4.1 dokümanı hazırlanmıştır. COBIT 4.0 ve COBIT 4.1 de organizasyonların faaliyetlerine, yönetici ve çalışanlara daha fazla odaklanılmış, her bir yönetici seviyesinde rehber kurallar getirilmiş, diğer standartlara (ITIL, CMM, COSO, PMBOK, ISF and ISO 17799) olan uyum artırılmış ve karşılaştırılabilirliğin sağlanması için eşleştirme tabloları oluşturulmuştur. Yaklaşık iki yıl önce başlayan çalışmalar sonucunda 5.0 versiyonunun yayınlanmasına çok yaklaşılmıştır yılında yayınlanması beklenen yeni versiyon ile ISACA tarafından yayınlanan Risk IT ve Val IT nin Co- 2 COSO genel anlamda daha çok yönetimle ilgili ve daha az BT odaklı olan bir uluslar arası iç kontrol standardıdır. Planlama ve Organizasyon PO 1 Stratejik BT planının tanımlanması PO 2 Bilgi mimarisinin tanımlanması PO 3 Teknolojik yönün belirlenmesi 28 TEMMUZ - AĞUSTOS - EYLÜL 2011

7 Ahmet TOPKAYA PO 4 BT süreçlerinin organizasyonunun ve ilişkilerinin tanımlanması PO 5 BT yatırımlarının yönetimi PO 6 Yönetimin amaçlarının iletilmesi PO 7 BT İnsan kaynakları yönetimi PO 8 BT Kalite yönetimi PO 9 BT riskinin değerlendirilmesi ve yönetimi PO 10 Proje yönetimi Hizmet ve Destek DS 1 Hizmet seviyelerinin tanımlanması ve yönetimi DS 2 Üçüncü kişilerden alınan hizmetlerin yönetimi DS 3 Performans ve kapasite yönetimi DS 4 Hizmet sürekliliğinin sağlanması DS 5 Sistem güvenliğinin sağlanması DS 6 Maliyetlerin belirlenmesi ve dağıtılması DS 7 Kullanıcıların eğitimi DS 8 Hizmet sunumu yönetimi ve olay yönetimi DS 9 Konfigürasyon yönetimi DS 10 Problem yönetimi DS 11 Veri yönetimi DS 12 Fiziksel çevre yönetimi DS 13 Operasyon yönetimi İzleme ve Değerlendirme ME 1 Bilgi sistemleri performansının izlenmesi ve değerlendirilmesi ME 2 İç kontrolün izlenmesi ve değerlendirilmesi ME 3 Mevzuata uyumun sağlanması ME 4 Bilgi sistemlerine ilişkin kurumsal yönetişimin temini 4.4. İçeriği CobiT içerisinde, yukarıdaki her bir süreç için aşağıdakiler bulunmaktadır: Sürecin tanımı; Edinim ve Kurulum AI 1 Çözümlerin belirlenmesi AI 2 Uygulama yazılımının geliştirilmesi ve bakımı AI 3 Teknoloji alt yapısının oluşturulması ve bakımı AI 4 Operasyon ve kullanımın sağlanması AI 5 BT kaynaklarının satın alınması AI 6 Değişiklik yönetimi AI 7 Çözümlerin ve değişikliklerin uygulanması ve akredite edilmesi Süreç tanımı, her CobiT sürecinin ilk sayfasında bulunur ve sürecin genel hatlarını belirler. İçerisinde şu bilgiler bulunur: İlgili süreç hedefleri Etkinlik Verimlilik Gizlilik Bütünlük Erişilebilirlik Uyum Güvenilirlik 29 TEMMUZ - AĞUSTOS - EYLÜL 2011

8 Bilgi Teknolojileri Yönetimi ve Denetim İlkeleri Sürecin amacı Sürecin, iş süreçleri açısından önemi Odaklanılan konular İçerisindeki temel faaliyetler Başarı göstergeleri İlgili BT yönetişimi alanları Stratejik uyum Değer üretimi Risk yönetimi Performans ölçümü Kaynak yönetimi İlgili BT unsurları Uygulama Bilgi Altyapı İnsan Süreç tanımı, CobiT in en çok kullanılan ve en faydalı alanlarından birisidir. Kullanımına örnek olarak her iş yerinde bulunan bir süreci ele alalım: Performans ve kapasite yönetimi. Elbette sistemlerimizin performans ve kapasitesini yönetiyoruz, peki şu soruların yanıtlarını verebiliyor muyuz? Kapasite ve performans yönetimi ne demektir? Biz bu süreci daha iyi işletince şirketin ticari faaliyetleri bundan nasıl yarar sağlamaktadır? Sürecin ana adımları nelerdir? Süreçte nelere odaklanılmalıdır? Performans ve kapasite yönetimini ne kadar iyi yaptığımızı nasıl ölçebiliriz? Detaylı kontrol hedefleri; Detaylı kontrol hedeflerinde sürecin işletilmesi ile ulaşılması gerekli hedefler yani iyi uygulamalar bulunmaktadır. Detaylı kontrol hedefleri, her süreç için farklı şekilde kategorilere göre ayrılmıştır. Bu bölüm ayrıca, CobiT esaslı denetimlerde uyulması gerekli bir kriter listesi olarak kullanılır. Benzer şekilde CobiT uyumluluğunun sağlanması amacıyla gerçekleştirilen süreç iyileştirme çalışmalarının da dayanak noktası detaylı kontrol hedefleridir. Örnek olarak DS3 Performans ve Kapasite Yönetimi süreci üzerinden ilerlemek istersek, içerisinde şu kategoriler altında, ulaşılması gerekli hedefler bulunmaktadır: DS3.1 Performans ve kapasite planlaması DS3.2 Mevcut kapasite ve performans DS3.3 Gelecekteki kapasite ve performans DS3.4 BT kaynaklarının erişilebilirliği DS3.5 İzleme ve raporlama Yönetim Kılavuzları; Sürecin yönetilmesi için gerekli bilgilere yer verilmektedir. İçerisinde şu konularda bilgiler bulunur: Süreç girdileri ve çıktıları: Sürece girdi olabilecek bilgiler, dokümanlar veya diğer faaliyet sonuçları ile bu sürecin sonunda diğer süreçlere girdi olacak unsurlar. Süreçteki roller ve sorumluluklar (RACI tablosu): Her bir süreçle ilgili öne çıkan faaliyetler ve bu faaliyetlerin gerçekleştirilmesi sırasında işletimden sorumlu, hesap vermekten sorumlu, danışılan ve bilgi verilen organizasyonel roller. Süreç hedefleri ve ölçüm kriterleri: Sürecin hangi şartlar gerçekleştiğinde başarılı sayılacağı ve sürecin ne kadar iyi işletildiğinin nasıl ölçülebileceği Olgunluk Modeli ; CobiT, ayrıca her bir sürecin ne kadar olgun şekilde yönetildiğinin belirlenebilmesi ve benzer şirketlerle karşılaştırılabilmesi için bir olgunluk modeli sunmaktadır. Olgunluk modeli 0 ile 5 arasında 6 lı bir skala içermektedir ve her bir seviyeye ulaşılması için sağlanması gerekli kriterler, her bir sürece özel olarak detaylı şekilde belirtilmiştir. Olgunluk modelinde şu seviyeler bulunmaktadır: Olgunluk seviyesi 0. Tanımlanmamış 1. Düzensiz 2. Tekrarlanabilir Açıklama Süreç konusunda şirket bünyesinde herhangi bir bilinç bulunmamaktadır. Yönetim sürecin varlığından/gerekliliğinden haberdar değildir Sürecin gerekliliği bilinmektedir ancak düzenli şekilde uygulanmamaktadır Süreç tekrarlanabilir şekilde uygulanmaktadır ancak sürecin kriterleri ve uygulama esasları tanımlanmamıştır 3. Tanımlı Süreç tanımlanmıştır ve tanımlandığı şekilde işletilmektedir 4. Ölçülebilir Sürecin ne kadar iyi işletildiği ölçülmektedir 5. Optimize edilmiş Süreç, sürekli olarak iyileştirilmektedir 30 TEMMUZ - AĞUSTOS - EYLÜL 2011

9 Ahmet TOPKAYA Bilgi Teknolojileri Süreç Eşleştirme Tabloları; CobiT içerisinde ayrıca, iş hedeflerinin bilgi teknolojileri hedefleri ile bağlantılarının kurulabilmesi amacıyla kılavuz olabilecek üç farklı tablo sunulmaktadır. İlk tabloda iş hedefleri, bilgi teknolojileri hedefleri ve CobiT bilgi kriterleri ile eşleştirilmiştir. Bu tablo kullanılarak, örnek iş hedefleri için, bu hedefleri destekleyen bilgi teknolojiler hedefleri ve ilgili CobiT bilgi kriterleri görülebilir. İkinci tablo, CobiT içerisindeki BT süreçleri ile genel BT hedefleri ve bilgi kriterlerinin eşleştirilmesini içerir. Üçüncü tabloda ise her bir BT süreci için desteklenen BT hedefleri tersten gösterilmiştir İyi Uygulamalar; ITIL, 1987 de İngiltere Ticaret Bakanlığı tarafından geliştirilmiştir. İş süreç yaklaşımı sayesinde ITIL, müşteri, tedarikçi, BT bölümü ve kullanıcıları arasında başarılı bir şekilde iletişim kurulmasını sağlamaktadır. En iyi uygulamalar / deneyimler üzerine yapılandırılmış olan ITIL BT Servis Yönetimi ve dağıtımı süreçleri ile dünyada yaygın olarak kullanılmakta ve kabul görmüş bir standart olarak benimsenmektedir. ITIL versiyon de yayınlanmıştır yılında ITIL ın üçüncü versiyonu bir giriş ve 5 temel kitap olarak yayınlanmıştır. ITIL oluşumunu sağlayan 5 başlık aslında Servis yaşam döngümüzün oluşmasını sağlayan süreçler ile bunların dışında bu süreçleri etkileyen ve BT organizasyonumuzun dışında bulunan iç müşteri ve dış tedarikçi süreçleri servis yaşam döngümüzü etkileyen süreçlerden meydana gelmektedir Hizmet Stratejisi: CobiT, detaylı kontrol hedefleri sayesinde, her bir BT süreci için dünyada kabul görmüş en iyi uygulamaları da içermektedir. İyi uygulamalar, süreçte bulunması gerekli faaliyetleri, sorumlulukları, oluşturulması gereken rolleri, süreçlerin işlem sıralarını, süreçlerde kullanılması gereken girdileri ve oluşturulması gereken çıktıları ve buna benzer bilgileri içerir. Ek olarak, CobiT control practices dokümanında daha detaylı örnek alınabilecek kontrol tanımları bulunmaktadır Karşılaştırma Aracı: İçerisindeki olgunluk modeli ile her bir BT sürecinin ne kadar olgun işletildiğinin belirlenmesi ve benzer şirketler ile karşılaştırılmasına da imkân vermektedir. 5. ITIL, Information Technology Infrastructure Library Sözcüklerinin ilk harflerinde oluşmuş bir kısaltmadır ve Bilgi Teknolojisi Altyapı Kütüphanesi olarak adlandırılır. ITIL, BT servislerini eksiksiz ve en iyi kalitede yönetmek üzere geliştirilmiş servis yönetim metodolojisidir. Farklı bir ifade ile; bilgi sistemleri ile ilintili konularda operasyon yönetimini en etkin ve verimli şekilde kurmanın yöntemlerini belirten dünyaca kabul görmüş bir pratiktir. Servis Yönetiminin uygulanması, geliştirilmesi ve tasarlanması konusunda rehber niteliğindedir. Bu konuda BT Organizasyonlarının müşterilerine farklı hizmetler sunmasını ve operasyonel etkinliğini artırmasını amaçlar. Hizmet Strateji fazında, 3 temel süreci işletiyoruz: Hizmet Portföy Yönetimi: Hangi servislerin verileceğine karar verilir. Talep Yönetimi: Sektör ve kullanıcı beklentilerini periyodik olarak değerlendirerek iş aktiviteleri planlanır. Finansal Yönetim: Hizmeti sunarken bunları en doğru maliyetler ile sunulduğundan emin olmak için segment bazlı bütçeleme, muhasebeleştirme ve ödeme yönetimi gerçekleştirilir. 31 TEMMUZ - AĞUSTOS - EYLÜL 2011

10 Bilgi Teknolojileri Yönetimi ve Denetim İlkeleri 5.2. Hizmet Tasarımı: Hizmet tasarımı, iş gereksinimleri değişimi sürecinde önemli bir eleman ve genel servis yaşam döngüsü içerisinde önemli bir katmandır. Özelleştirilebilir ve Yenilikçi BT Hizmetleri tasarımı, süreçler, politikalar ve belgeler de dahil olmak üzere mevcutta kabul edilmiş ve gelecekteki iş gereksinimlerini karşılamak için oluşturulan mimarilerdir. Başarılı bir tasarımın yapılabilmesi için 4P (People, Product, Processes, Partners) tasarımının doğru yapılmasına bağlıdır. Hizmet Tasarımı fazında 5 temel süreci işletiyoruz. Hizmet Katalog Yönetimi: Hizmet kataloğu, servis destek sağlayıcısı tarafından BT servisleri hakkındaki bilgilerin merkezi bilgi kaynağı üzerinden iletiminden sorumludur. Hizmet Seviyesi Yönetimi: Spesifik hizmetler ile ilişkilendirilmiş garanti seviyeleri, Hizmet sağlayıcı ile ilgili performans seviyeleri, müşteri ile yapılan anlaşmanın yönetilmesi ve güvenliği, fiyatlandırılması konularından sorumludur. Tedarikçi Yönetimi: Sunulan hizmetlerin bulunurluk, erişilebilirlik ve kullanılabilirlik düzeyleri gözlemlenerek, müşteri beklentisinin karşılanmasına yönelik çalışmalar yürütülür. Bilgi Güvenliği Yönetimi: Servisler de dâhil olmak üzere tüm BT envanterlerini gelebilecek tehditlere karşı korumak ile ilgilenen süreçtir. Tedarik Yönetimi: Hizmet Seviyesi Yönetimine ((SLM)- Service Level Management)) çok benzer bir rol oynar ve Hizmet tasarımı içerisinde kritik bir rol alır. İç tedarikçi ve müşterilerden daha çok dış tedarikçiler ile ilgilenir. Kapasite Yönetimi: Uygun maliyetlere beklentileri karşılayacak kapasite yönetimini sağlamaya çalışılır. Bu süreçte kapasite yönetimi yaparken kullanıcılara ekstra maliyetler çıkararak servis maliyetini artırmaktan kaçınılmalıdır. Bilgi Hizmetleri Devamlılık Yönetimi: Herhangi bir felaket olayı esnasında BT hizmet ve servisleri için planlama ve risk yönetimi ile ilgilenir. BIA (Business Impact Analysis) ve MOR(Management of Risk) tekniklerini kullanarak iş sürekliliği yönetiminde büyük çaba harcar. 32 TEMMUZ - AĞUSTOS - EYLÜL 2011

11 Ahmet TOPKAYA 5.3. Hizmet Geçişi: Hizmet geçiş rolü, Oprasyonel süreçte kullanılmak üzere iş gerekliliklerini iletir. Hizmet geçişi, Servis tasarım aşamasından Hizmet tasarım paketini alması ile başlar ve Operasyonel aşamaya devam eden operasyon ve hizmet desteği için gerekli tüm bilgileri ve elemanları teslim eder. İş Koşulları, gereksinimleri ya da varsayımlar tasarım sürecinden sonra değişime uğradıysa, Hizmet geçiş aşamasında gerekli hizmeti sunmak için bir takım değişiklikler gerekebilir. Unutulmaması gereken en önemli nokta Hizmet Geçişi sadece uygulamalarla ve/veya normal şartlar altında nasıl kullanıldığı ile değil hizmetlerin tüm yönleri ile uygulanmasından sorumludur. Değişim Yönetimi: Değişiklik Yönetimi, ilgili değişikliklerin değerlendirilmesi, kayıt edilmesi, önceliklendirilmesi, planlanması, test edilmesi, uygulanması, belgelenmesi ve düzenli şekilde gözden geçirilmesini sağlar. Yapılandırma Yönetimi: Sistemsel varlıklarının ve müşteri envanterinin eşleştirmesini elektronik ortamda kaydedip, sürekli güncel kalmasını sağlayacak süreçler yönetilir. Bilgi Yönetimi: Bilgi Yönetimi, işin gerektirdiği hizmet desteğini, doğru kişiye doğru bilgi ile doğru zamanda iletmekten sorumludur. Varlık Yönetimi: Organizasyonun BT altyapısı içinde kullandığı tüm varlıkların yönetimini içerir. Bu BT varlıklarına Konfigürasyon Öğeleri denir ve KÖVT (Konfigürasyon Öğesi Veri Tabanı) içinde yer alırlar. Varlık Yönetimi ITIL en iyi pratikler içinde yer alan Konfigürasyon Yönetimiyle tamamen etkileşim içindedir Hizmet Operasyonu: Hizmet Operasyonu, kullanıcılarına ve müşterilerine belirlenmiş hizmet seviyesini sağlayacak olan uygulama yönetimi, teknoloji ve altyapı hizmet desteği sunar. Bu hizmetler sadece servis yaşam döngüsünün bu aşamasında işe gerçek değerini verir. Hizmet yaşam döngüsü, hizmet operasyonu aşamasında, kabul edilen parametreler dahilinde faaliyet sağlamakla ilgilenir. Herhangi bir hizmet kesintisi meydana geldiğinde, hizmet operasyonu olabildiğince çabuk şekilde servisleri geri yükleyerek iş etkisini en aza indirgiyor. Bu süreç, temel parametreler olan Reactive-Proactive, Internal-External, Cost-Quality, Stability- Flexibility arasında denge sağlamak durumundadır. Eğer bu dengeyi kuramazsa hizmet operasyonu kötü olarak görünüyor olacaktır. En önemli kısımlardan biri ise, operasyon esnasında olan iletişimdir ver her ne olursa olsun iletişimin doğru algılanması kurulması gerekir. Bu ilişkiler; BT Hizmet sağlayıcı ile kullanıcı arasındaki iletişim. BT Hizmet sağlayıcı ile Müşteri arasındaki iletişim. BT Hizmet sağlayıcı içerisinde yer alan farklı süreçler, fonksiyonlar ve takımlar arasındaki iletişim. BT Hizmet sağlayıcı ile tedarikçileri arasındaki iletişim. Sorun Yönetimi: Olası herhangi bir sorunun bildirilmesi ile gelen isteğin işe etkisinin en aza indirgenmesi noktasında çoğunlukla servislerin hızlı şekilde restorasyonu sağlar. Fakat bazı vakalardan durum sorun yönetiminden çıkarak yardım masası tarafından sahiplenilir ve uygulanır. Problem Yönetimi: Problem Yönetiminin amacı, BT altyapısı içerisinde, hataların neden olduğu olaylar ve problemlerin ters etkisini en aza indirgemek, bu hatalarla ilgili olayların yinelenmesini önlemektir. Bu amacı gerçekleştirmek için problem yönetimi, olayların temel nedenini araştırır ve bu durumu düzeltmek ya da iyileştirmek için gereken eylemleri başlatır. Problem Yönetim sürecinde iki tür yaklaşım geçerlidir. Birincisi BT alt yapısını oluşturan ürünleri, sistem ve ağ yönetim araçları ile izlemek, ortaya çıkması olası problemleri düzeltmek (proactive yaklaşım), diğeri ise bir ya da daha fazla Olay meydana geldikten sonra buna karşılık gelen Problemin çözümüyle ilgilidir (reactive yaklaşım). Olay Yönetimi: Olay yönetim sürecinin birincil amacı normal servis işletimine mümkün olduğunca çabuk geri dönmek ve iş işletimi üzerindeki ters etkiyi en aza indirgemek ve sonuç olarak en iyi olası servis kalite seviyesini tutturmak, kullanılırlığı sağlamak. Burada anılan Normal servis işletimi, Servis Seviye Anlaşması sınırları içinde yürütülen servis işletimidir. ITIL terminolojisinde Olay şu şekilde tanımlanır: 33 TEMMUZ - AĞUSTOS - EYLÜL 2011

12 Bilgi Teknolojileri Yönetimi ve Denetim İlkeleri larda kullanıcılar tarafından yapılmakta olan bir isteğin cevaplandırılması için idealdir. Bütün istekler kayıt edilmeli ve izlenilmelidir. Bu süreç içerisinde aynı zamanda dikkat edilmesi gereken en önemli konu ise isteğin cevaplanmadan önce onay sürecine sokulmasıdır Hizmet İyileştirme Devamlılığı: Değişen iş ihtiyaçlarına göre fonksiyonların, süreçlerin ve hizmetlerin yeniden uyumlu hale getirilmesi sürecidir. Aynı zamanda Genel Hizmet yönetimi içerisindeki kalite yönetim yöntemleri uygulama tutarlığı ile ilgilenir. Standart servis işletiminin bir parçası olmayan ve kesintiye ya da o servisin kalitesinin düşmesine neden olan duruma Olay denir. Olay kategorilerine şu örnekleri verebiliriz : Uygulama Servis kullanılabilir değil Uygulama yanlışı/sorgu Müşterinin çalışmasını önlüyor Disk-kullanım eşik değeri aşıldı Donanım Sistem çalışmıyor Otomatik uyarı Yazıcı çalışmıyor Konfigürasyon bilgisine erişilemiyor Servis istekleri Bilgi/öneri/belge istemi Unutulmuş şifre Erişim Yönetimi: Erişim Yönetimi kimlik ve haklar ile ilgilenir. Bu süreç kimlik ve yetki doğrulama, hizmetlere erişim verme, işlem günlüğü, erişim izlemekaldırma yada durum veya rollerin haklarını değiştirmeyi içerir. Erişim Yönetimi, gizlilik, kullanılabilirlik ve veri bütünlüğünü yönetmenize yardımcı olur. Yetkili olmayan kullanıcıların erişimlerini engellerken, erişim yetkisi olan kullanıcıların bir servise yada servis grubuna erişimini sağlar. İsteğin Yerine Getirilmesi: Hata yönetimine dahil edilemeyecek ortak kullanıcı istekleri olarak adlandırılmaktadır. Yeni bir ekipman yada bir eğitim isteği bu başlığın altında değerlendirilir. Özellikle belirli periyot- ITIL içerisinde Ölçü (Measurement) kritik bir rol almaktadır. Hizmet iyileştirme sürekliliğinin bir parçası, aynı zamanda Hizmet Seviyesi Yönetiminin ve tüm süreçlerin önemli bir parçasıdır. Ölçümleri burada 4 temel amaç için kullanılabilir; Doğrulamak (Justify) Direkt (Direct) Müdahale (Intervenne) Onaylamak (Validate) 7 adımda iyileştirme süreci ölçümleme ile hizmet performansının düzeltilmesi ve iyileştirilmesini sağlıyor. Karar = Ne Ölçülmelidir Karar =Ne Ölçülebilir Veri Toplama Veri İşleme Veri Analizi Veri Kullanma ve sunma Düzeltici Eylem (Aksiyon) uygulama Hizmet Seviyesi Yönetimi (SLM) aynı zamanda Servis Tasarım yaşam döngüsü aşamasının içerisindeki süreçlerden birisidir. Birçok aktivite ve nesne hizmet iyileştirme sürekliliği ile ortaktır. Özellikle her iki hizmet seviyesi yönetimi ve iyileştirme sürekliliği düzenli ölçüm, servislerin gözden geçirilmesini ve servis yönetim başarımının diğer yönlerini vurgulamaktadır. 6. INTOSAI (Uluslararası Yüksek Denetim Kurumları Birliği) Standartları Yüksek denetim kurumları arasında işbirliğinin sağlanması, geliştirilmesi ve güçlendirilmesi amacıyla 1953 yılında Küba da INTOSAI (International Organization of Supreme Audit Institutions Uluslararası Yüksek Denetim Kurumları Birliği) oluşturulmuştur. 34 TEMMUZ - AĞUSTOS - EYLÜL 2011

13 Ahmet TOPKAYA INTOSAI nin temel amacı, farklı ülkelerin yüksek denetim kurumları arasındaki ilişkileri güçlendirerek, özellikle kamusal mali denetim alanında bilgi, görüş ve deneyim alışverişini geliştirmek, üyelerine ihtiyaç duydukları her alanda destek sağlamaktır. INTOSAI, bu amaçla her üç yılda bir ve değişik ülkelerde Kongreler düzenleyerek, kamu mali yönetimi ve denetimi alanında güncel konu ve sorunların tartışılmasını ve kararlar alınmasını sağlamaktadır. INTOSAI nin denetim standartlarında bilişim sistemleri ile ilgili hususlar iç kontrollerin değerlendirilmesi aşamasında değerlendirilmektedir. Bu çerçevede bilişim sistemleri ile ilgili INTOSAI standartları şunlardır; 6. Temel önermeler şunlardır: g) Yeterli bir iç kontrol sisteminin varlığı hata ve düzensizliklere ilişkin riski asgariye indirir Sayıştaylar sıkça katı denetim tanımı içine sokulamayan, fakat daha iyi bir yönetimin oluşumuna katkıda bulunan çeşitli işler yaparlar. Denetim tanımı içine sokulamayan işlere ilişkin örnekler şunlardır; (f) bilgi işlem fonksiyonları. Denetim tanımı içine sokulamayan bu tür faaliyetler, karar verme durumunda bulunan kişilere değerli bilgiler sağladığından, bunların sürekli olarak üstün vasıflarını korumaları gerekir. 39. Düzenlilik denetimi şunları içerir:. d) İç denetimin ve iç kontrol fonksiyonlarının denetimi;. 40. Performans denetimi, verimlilik, etkinlik ve tutumluluğun denetimi ile ilgili olup şunları kapsar:.. b) İnsan, mali ve diğer kaynakların kullanımındaki verimliliğin, bilgi sistemleri, performans ölçüleri ve gözetim düzenlemeleri ve denetlenen kurumlarca belirlenen eksiklikleri gidermek için izlenen yöntemlerin incelenmesi de dahil olmak üzere denetlenmesi; 86. Sayıştay, denetim görevinin etkin bir şekilde yerine getirilmesi için gerekli olan deneyim ve beceriler kapsamını belirlemelidir. Yüklenilen denetim görevinin tabiatı ne olursa olsun denetim, bu görevin niteliği, güçlüğü ve kapsamı ile orantılı eğitim ve tecrübeye sahip kişilerce yerine getirilmelidir. Sayıştayın kendisini, iç kontrol mekanizmalarının güvenilirliğine dayalı denetim tekniklerini (sistem tabanlı teknikler), mali tablo analiz metotlarını, istatistiki örneklemeyi ve bilgi işlem sistemlerinin denetimini içeren tüm güncel denetim metodolojileri ile donatması gerekmektedir. Planlama 134. Bir denetimin planlanmasında denetçi;.. e) Belli başlı yönetim sistem ve kontrollerini belirlemeli ve bunların hem güçlü hem de zayıf taraflarını ortaya çıkarmak amacıyla ön değerlendirme yapmalı; f) Üzerinde durulacak konuların önemliliğine karar vermeli; g) Denetlenen kurumun iç denetimini ve çalışma programını gözden geçirmeli; h) Diğer denetçilerin, örneğin iç denetimin, güvenilebilirlik derecesini değerlendirmeli; i) En verimli ve en etkin denetim yaklaşımına karar vermeli;.. İç Kontrolün İncelenmesi ve Değerlendirilmesi 35 TEMMUZ - AĞUSTOS - EYLÜL 2011

14 Bilgi Teknolojileri Yönetimi ve Denetim İlkeleri 142. Denetlenen kurumun iç kontrolü, yürütülen denetim tipine göre değerlendirilmelidir. Düzenlilik (mali) denetiminde bu değerlendirme, varlıkları ve kaynakları teminat altına almaya yönelik ve muhasebe kayıtlarının doğru ve tam olmasını sağlayan iç kontroller üzerinde yapılmalıdır. Düzenlilik (uygunluk) denetiminde söz konusu değerlendirme, idarenin kanun ve nizamlara uymasını sağlayan kontroller üzerinde yapılmalıdır. Performans denetiminde ise anılan değerlendirme denetlenen kuruluşun işlemlerinin ekonomik, verimli ve etkin bir şekilde yürütülmesine ve bu arada yönetim politikalarına bağlı kalınmasına ve vaktinde güvenilir mali ve idari bilgi üretilmesine yardımcı olan kontroller üzerinde yapılmalıdır Muhasebe ve diğer bilgi sistemlerinin bilgisayarlaştırıldığı ortamlarda denetçi, denetlenen kurumun iç kontrolünün doğruluk, tamlık ve güvenilirliği ne dereceye kadar sağladığını araştırmak durumundadır. Denetim Kanıtı 153. Denetim bulgu sonuç ve tavsiyeleri kanıta dayanmalıdır. Denetçilerin denetlenen kurum hakkındaki tüm bilgileri değerlendirmeleri her zaman mümkün olmadığından, veri toplama ve örnekleme tekniklerinin dikkatli seçilmesi gerekmektedir. Bilgisayar temelli sistem verileri denetimin önemli bir parçasını oluşturduğunda ve veri güvenirliği denetim hedefini gerçekleştirmede hayati bir rol oynadığında, denetçilerin verinin güvenilir ve hedefle ilgili olduğu konusunda tatmin olmaları gerekmektedir. INTOSAI Denetim Standartlarında; işlerin yeterli kalitede yürütebilmesi için gerekli yeterliliğe sahip olunması ve iç kontrol mekanizmalarının güvenilirliğine dayalı denetim tekniklerini (sistem tabanlı teknikler), mali tablo analiz metotlarını ve bilişim sistemlerinin denetimini içeren tüm güncel denetim metodolojileriyle donatılması gerektiği belirtilmektedir. KAYNAKÇA Emini, Filiz Tufan, (2007), Kamu Yönetiminde Bilişim Sistemlerinin Strateji Gelitirme Amaçlı Kullanımı:Kuram ve Selçuk Üniversitesiİktisadi İdari Bilimler Fakültesi İçin Bir Model Önerisi, Selçuk Üniversitesi Sosyal Bilimler Enstitüsü,Konya. IT Governance Institute, COBIT 4.0, Illinois Eyaleti, IT Governance Institute, COBIT 4.1, Illinois Eyaleti, Kayrak, Musa, (2007) Bilişim Sistemeleri Stratejisinin Önemi ve Sayıştay Deneyimi, Sayıştay Dergisi, Sayı:65 Köse, Hacı Ömer (2007), Dünyada ve Türkiye de Yüksek Denetim, aras12yukden.htm (Erişim Tarihi: ) Özbilgin, İzzet Gökhan; İmamoğlu Meltem Yıldırım, (2010) Bilişim Sistemleri Denetimi ve Kamu Kurumları, Todai-KAYFOR Özkul, Davut, (2002) Bilişim Sistemi Kavramı ve Bilişim Sistemlerinin Denetimi, Sayıştay Dergisi, Sayı: 44 45, Özkul, Davut, (2002) Bilişim Sistemleri Denetimi,, G.Ü. Sosyal Bilimler Enstitüsü, Ankara, Yıldız, Özcan Rıza,(2007) «Bilişim Sistemleri Denetimi ve Şayıştay», Sayıştay Dergisi, Sayı: 65, Weber, R., (2003) Information Systems Control and Audit, 1999, Akt. ASOSAI, IT Audit Guidelines, ASOSAI Research Project TEMMUZ - AĞUSTOS - EYLÜL 2011

YAZILIM KALİTE STANDARTLARI

YAZILIM KALİTE STANDARTLARI YAZILIM KALİTE STANDARTLARI MEHMET KEKLĠKÇĠ ĠREM UYGUN KEREM GAZĠOĞLU LEZGĠN AKSOY CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY COBIT NEDİR? Tanım olarak CobiT, Control Objectives for Information

Detaylı

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri MerSis Bağımsız Denetim Hizmetleri risklerinizin farkında mısınız? bağımsız denetim hizmetlerimiz, kuruluşların Bilgi Teknolojileri ile ilgili risk düzeylerini yansıtan raporların sunulması amacıyla geliştirilmiştir.

Detaylı

MerSis. Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri

MerSis. Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri MerSis Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri Bilgi Teknolojileri risklerinize karşı aldığınız önlemler yeterli mi? Bilgi Teknolojileri Yönetimi danışmanlık hizmetlerimiz, Kuruluşunuzun Bilgi

Detaylı

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ BT Strateji Yönetimi BT Hizmet Yönetim Politikası Sürüm No: 6.0 Yayın Tarihi: 26.02.2015 444 0 545 2012 Kamu İhale Kurumu Tüm hakları

Detaylı

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ T. C. TÜRK STANDARDLARI ENSTİTÜSÜ TS ISO/IEC 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ, TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Sunucu: Gürol GÖKÇİMEN 25.10.2014 Türk Standardları Enstitüsü 1 Güvenlik;

Detaylı

BDDK-Bilgi Sistemlerine İlişkin Düzenlemeler. Etkin ve verimli bir Banka dan beklenenler Bilgi Teknolojilerinden Beklenenler

BDDK-Bilgi Sistemlerine İlişkin Düzenlemeler. Etkin ve verimli bir Banka dan beklenenler Bilgi Teknolojilerinden Beklenenler Gündem Bilgi Sistemlerine İlişkin Yasal Düzenlemeler & COBIT AB Seminer 2009 Bankacılıkta Bilgi Sistemlerine İlişkin Düzenlemeler Etkin ve verimli bir Banka dan beklenenler Bilgi Teknolojilerinden Beklenenler

Detaylı

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ T. C. TÜRK STANDARDLARI ENSTİTÜSÜ BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ, TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Sunucu: Gürol GÖKÇİMEN 1 Bilgi Güvenliği Yönetim Sistemi Bilgi : anlamlı veri, (bir kurumun

Detaylı

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001 İstanbul Bilişim Kongresi Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması COBIT ve ISO 27001 Merve Saraç, CISA merve@mersis.com.tr MerSis Bilgi Teknolojileri Danışmanlık

Detaylı

COBIT Bilgi Sistemleri Yönetimi. Şubat 2009

COBIT Bilgi Sistemleri Yönetimi. Şubat 2009 COBIT Bilgi Sistemleri Yönetimi Şubat 2009 Gündem Bilgi Sistemleri Yönetimi Bilgi Sistemleri Süreçleri Bilgi Sistemleri Yönetimi Uygulama Yol Haritası Bilgi Sistemleri (BS) Yönetimi Bilgi Sistemleri Yönetimi,

Detaylı

KURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ KURUMSAL RİSK YÖNETİMİ: KAVRAMSAL VE TEORİK ÇERÇEVE

KURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ KURUMSAL RİSK YÖNETİMİ: KAVRAMSAL VE TEORİK ÇERÇEVE KURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ KURUMSAL RİSK YÖNETİMİ: KAVRAMSAL VE TEORİK ÇERÇEVE SUNUM PLANI 1. RİSK VE RİSK YÖNETİMİ: TANIMLAR 2. KURUMSAL RİSK YÖNETİMİ 3. KURUMSAL RİSK YÖNETİMİ DÖNÜŞÜM SÜRECİ

Detaylı

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ BT Strateji Yönetimi BT Hizmet Yönetim Politikası Sürüm No: 5.0 Yayın Tarihi: 14.07.2014 444 0 545 2012 Kamu İhale Kurumu Tüm hakları

Detaylı

İSTANBUL ÜNİVERSİTESİ DÖNER SERMAYE İŞLETME MÜDÜRLÜĞÜ HİZMET İÇİ EĞİTİM SUNUMU 02 MAYIS 2014

İSTANBUL ÜNİVERSİTESİ DÖNER SERMAYE İŞLETME MÜDÜRLÜĞÜ HİZMET İÇİ EĞİTİM SUNUMU 02 MAYIS 2014 İSTANBUL ÜNİVERSİTESİ DÖNER SERMAYE İŞLETME MÜDÜRLÜĞÜ HİZMET İÇİ EĞİTİM SUNUMU 02 MAYIS 2014 İÇ KONTROL SİSTEMİ VE KAMU İÇ KONTROL STANDARTLARI DERLEYEN CUMALİ ÇANAKÇI Şube Müdürü SUNUM PLANI İç Kontrol

Detaylı

Information Technology Infrastructure Library ITIL

Information Technology Infrastructure Library ITIL Yazılım Kalite Standartları Sunum Projesi Information Technology Infrastructure Library ITIL Hazırlıyanlar : Gökhan ÇAKIROĞLU - Feyyaz ATEġ - Çiğdem ELĠBOL - Caner ĠBĠCĠOĞLU ITIL Nedir? Kurum ile BT(Bilgi

Detaylı

HAZIRLAYANLAR: DENİZ YALVAÇ ALPER ÖZEN ERHAN KONAK

HAZIRLAYANLAR: DENİZ YALVAÇ ALPER ÖZEN ERHAN KONAK HAZIRLAYANLAR: DENİZ YALVAÇ ALPER ÖZEN ERHAN KONAK COBİT, BT yönetiminde ulaşılması gereken hedefleri ortaya koymaktadır. COBİT ilk olarak 1996 yılında ortaya çıkmıştır. Görevi araştırma, geliştirme,

Detaylı

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri o MerSis Danışmanlık Hizmetleri Çalışanlarınız, tesisleriniz, üretim araçlarınız koruma altında! Bilgileriniz? danışmanlık hizmetlerimiz, en değerli varlıklarınız arasında yer alan bilgilerinizin gizliliğini,

Detaylı

BT DENETİMİ EĞİTİMİ BÖLÜM 1 Bilgi Teknolojilerinin Hayatımızdaki Yeri

BT DENETİMİ EĞİTİMİ BÖLÜM 1 Bilgi Teknolojilerinin Hayatımızdaki Yeri BT DENETİMİ EĞİTİMİ BÖLÜM 1 Bilgi Teknolojilerinin Hayatımızdaki Yeri Kağan Temel CISA, ISO27001LA 27.5.2016 www.tebit.com.tr 1 EĞİTİMİN AMACI Eğitim Amaçları, Bu eğitim, genel BT denetim konuları, kontrolleri

Detaylı

UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5

UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5 UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5 1. AMAÇ Türksat İnternet ve İnteraktif Hizmetler Direktörlüğü nün bilgi güvenliğini yönetmekteki amacı; bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında

Detaylı

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ İş Sürekliliği İş Sürekliliği Yönetim Sistemi Politikası Sürüm No: 5.0 Yayın Tarihi: 11.05.2014 444 0 545 2012 Kamu İhale Kurumu

Detaylı

KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI REHBERİ. Ramazan ŞENER Mali Hizmetler Uzmanı. 1.Giriş

KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI REHBERİ. Ramazan ŞENER Mali Hizmetler Uzmanı. 1.Giriş KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI REHBERİ 1.Giriş Ramazan ŞENER Mali Hizmetler Uzmanı Kamu idarelerinin mali yönetimini düzenleyen 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu 10.12.2003

Detaylı

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi KURUMLAR İÇİN SİBER GÜVENLİK ÖNLEMLERİNİ ÖLÇME TESTİ DOKÜMANI Kurumlar İçin Siber Güvenlik Önlemlerini Ölçme Testi Dokümanı, kamu kurum ve kuruluşları ile özel sektör temsilcilerinin siber güvenlik adına

Detaylı

POL.01 Rev.Tar/No:22.02.2012/1.0 HĠZMETE ÖZEL

POL.01 Rev.Tar/No:22.02.2012/1.0 HĠZMETE ÖZEL SAYFA 1 / 6 1. AMAÇ TÜRKSAT ın bilgi güvenliğini yönetmekteki amacı; bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirilerek içeriden ve/veya dışarıdan gelebilecek, kasıtlı veya kazayla

Detaylı

GİRİŞ. A. İç Kontrolün Tanımı, Özellikleri ve Genel Esasları:

GİRİŞ. A. İç Kontrolün Tanımı, Özellikleri ve Genel Esasları: GİRİŞ 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu ile kamu da mali yönetim ve kontrol sisteminin bütünüyle değiştirilerek, uluslararası standartlara ve Avrupa Birliği Normlarına uygun hale getirilmesi

Detaylı

T.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı

T.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı T.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı SORU VE CEVAPLARLA İÇ KONTROL Ankara-2012 İÇİNDEKİLER 1 Neden İç Kontrol? 2 İç Kontrol Nedir? 3 İç Kontrolün Amacı Nedir? 4 İç Kontrolün Yasal

Detaylı

1- Neden İç Kontrol? 2- İç Kontrol Nedir?

1- Neden İç Kontrol? 2- İç Kontrol Nedir? T.C. İÇİŞLERİ BAKANLIĞI KİHBİ Dairesi Başkanlığı 10 SORUDA İÇ KONTROL MAYIS 2014 ANKARA 1- Neden İç Kontrol? Dünyadaki yeni gelişmeler ışığında yönetim anlayışı da değişmekte ve kamu yönetimi kendini sürekli

Detaylı

ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU Dünyada en çok kullanılan yönetim sistemi standardı ISO 9001 Kalite Yönetim Sistemi Standardının son revizyonu 15 Eylül 2015 tarihinde yayınlanmıştır.

Detaylı

Bilişim Teknolojileri Test ve Belgelendirme Hizmetleri. Mustafa YILMAZ mustafayilmaz@tse.org.tr

Bilişim Teknolojileri Test ve Belgelendirme Hizmetleri. Mustafa YILMAZ mustafayilmaz@tse.org.tr Bilişim Teknolojileri Test ve Belgelendirme Hizmetleri Mustafa YILMAZ mustafayilmaz@tse.org.tr Türk Standardları Enstitüsü tarafından yapılan Bilişim Teknolojileri Test ve Belgelendirme Hizmetleri Yazılım

Detaylı

Bilgi Sistemleri Risk Yönetim Politikası

Bilgi Sistemleri Risk Yönetim Politikası POLİTİKASI Sayfa :1/7 Bilgi Sistemleri Risk Yönetim Politikası Doküman Bilgileri Adı: Bilgi Sistemleri Risk Yönetim Politikası Doküman No: 01 Revizyon No: İlk yayındır Doküman Tarihi: 01.10.2014 Referans

Detaylı

10 SORUDA İÇ KONTROL

10 SORUDA İÇ KONTROL T.C. İÇİŞLERİ BAKANLIĞI Avrupa Birliği ve Dış İlişkiler Dairesi Başkanlığı 10 SORUDA İÇ KONTROL 1 Neden İç Kontrol? Dünyadaki yeni gelişmeler ışığında yönetim anlayışı da değişmekte ve kamu yönetimi kendini

Detaylı

TARİH :06/08/2007 REVİZYON NO: 3. www.marelektrik.com KALİTE EL KİTABI : YÖNETİM TEMSİLCİSİ. Sayfa 1 / 6

TARİH :06/08/2007 REVİZYON NO: 3. www.marelektrik.com KALİTE EL KİTABI : YÖNETİM TEMSİLCİSİ. Sayfa 1 / 6 TARİH :06/08/2007 REVİZYON NO: 3 KALİTE EL KİTABI HAZIRLAYAN ONAYLAYAN : YÖNETİM TEMSİLCİSİ : YÖN. KURUL BŞK. Sayfa 1 / 6 TARİH :06/08/2007 REVİZYON NO:3 İÇİNDEKİLER : 1. TANITIM, 2. KALİTE POLİTİKASI

Detaylı

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ Bilgi Güvenliği Bilgi Güvenliği Yönetim Sistemi Politikası Sürüm No: 4.0 Yayın Tarihi:11.05.2014 444 0 545 2012 Kamu İhale Kurumu

Detaylı

ISO/IEC 27001:2013 REVİZYONU GEÇİŞ KILAVUZU

ISO/IEC 27001:2013 REVİZYONU GEÇİŞ KILAVUZU ISO/IEC 27001 in son versiyonu 01 Ekim 2013 tarihinde yayınlanmıştır. Standardın 2013 versiyonu, farklı sektör ve büyüklükteki firmaların gelişen bilgi güvenliği ve siber güvenlik tehditleri konularına

Detaylı

Sayı : B.13.1.SGK.0.(İÇDEN).00.00/04 18/01/2008 Konu : İç Denetim Birimi GENELGE 2008/8

Sayı : B.13.1.SGK.0.(İÇDEN).00.00/04 18/01/2008 Konu : İç Denetim Birimi GENELGE 2008/8 Sayı : B.13.1.SGK.0.(İÇDEN).00.00/04 18/01/2008 Konu : İç Denetim Birimi GENELGE 2008/8 Bilindiği üzere; 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu ile yeni mali yönetim ve kontrol sisteminin gereği

Detaylı

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI KOD BY. PO.01 YAY. TRH 16.12.2015 REV. TRH REV. NO SAYFA NO 1/7 1. Amaç BGYS politikası, T.C. Sağlık Bakanlığı, TKHK İstanbul Anadolu Kuzey Genel Sekreterliği bünyesinde yürütülen bilgi güvenliği yönetim

Detaylı

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ igur@gelirler.gov.tr Kaynak: GIB ÖZEL ENTEGRASYON NEDİR? Başka mükelleflerin faturalarını göndermek ve almak amacıyla bilgi işlem sisteminin Başkanlık sistemiyle

Detaylı

bt-pota Bilgi Teknolojileri Hizmetleri Belgelendirme Standartları Merve Saraç Nisan 2008

bt-pota Bilgi Teknolojileri Hizmetleri Belgelendirme Standartları Merve Saraç Nisan 2008 bt-pota Bilgi Teknolojileri Hizmetleri Belgelendirme Standartları Merve Saraç Nisan 2008 1 TÜBİSAD BT Hizmetleri Komisyonu Amaç, Hedef ve Stratejiler BT hizmetleri pazarının büyütülmesi Hizmet kalitesi

Detaylı

TÜRKĠYE BĠLĠMSEL VE TEKNOLOJĠK ARAġTIRMA KURUMU BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI ÇALIġMA USUL VE ESASLARI

TÜRKĠYE BĠLĠMSEL VE TEKNOLOJĠK ARAġTIRMA KURUMU BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI ÇALIġMA USUL VE ESASLARI TÜRKĠYE BĠLĠMSEL VE TEKNOLOJĠK ARAġTIRMA KURUMU BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI ÇALIġMA USUL VE ESASLARI BĠRĠNCĠ BÖLÜM Amaç ve Kapsam, Dayanak ve Tanımlar Amaç ve kapsam MADDE 1- (1) Bu Usul ve Esasların

Detaylı

AĞ TEKNOLOJİLERİ DURUM TESPİT KOMİSYONU (AT-DTK) IV. ULAKNET Çalıştay ve Eğitimi. Yusuf ÖZTÜRK ULAKBİM 24 Mayıs 2010

AĞ TEKNOLOJİLERİ DURUM TESPİT KOMİSYONU (AT-DTK) IV. ULAKNET Çalıştay ve Eğitimi. Yusuf ÖZTÜRK ULAKBİM 24 Mayıs 2010 AĞ TEKNOLOJİLERİ DURUM TESPİT KOMİSYONU (AT-DTK) IV. ULAKNET Çalıştay ve Eğitimi Yusuf ÖZTÜRK ULAKBİM 24 Mayıs 2010 Kuruluş amacı Ağ Teknolojileri Durum Tespit Komisyonu (AT- DTK) çalışma usul ve esaslarının

Detaylı

T.C. GÜMRÜK VE TİCARET BAKANLIĞI İç Denetim Birimi Başkanlığı KALİTE GÜVENCE VE GELİŞTİRME PROGRAMI

T.C. GÜMRÜK VE TİCARET BAKANLIĞI İç Denetim Birimi Başkanlığı KALİTE GÜVENCE VE GELİŞTİRME PROGRAMI T.C. GÜMRÜK VE TİCARET BAKANLIĞI İç Denetim Birimi Başkanlığı KALİTE GÜVENCE VE GELİŞTİRME PROGRAMI Ocak 2013 BİRİNCİ BÖLÜM Genel Hükümler Amaç ve kapsam Madde 1 (1) Bu Programın amacı, Bakanlığımızda

Detaylı

Kapsam MADDE 2- (1) Bu yönerge, Sağlık Araştırmaları Genel Müdürlüğünün teşkilatı ile bu teşkilatta görevli personeli kapsar.

Kapsam MADDE 2- (1) Bu yönerge, Sağlık Araştırmaları Genel Müdürlüğünün teşkilatı ile bu teşkilatta görevli personeli kapsar. SAĞLIK ARAŞTIRMALARI GENEL MÜDÜRLÜĞÜ DAİRE BAŞKANLIKLARI YÖNERGESİ Amaç MADDE 1- (1) Bu yönerge, Sağlık Bakanlığı Sağlık Araştırmaları Genel Müdürlüğünün teşkilat yapısını, görevlerini, yetkilerini ve

Detaylı

PERFORMANS PROGRAMI HAZIRLIK DANIŞMANLIĞI

PERFORMANS PROGRAMI HAZIRLIK DANIŞMANLIĞI PERFORMANS PROGRAMI HAZIRLIK DANIŞMANLIĞI Performans programları, idare bütçelerinin stratejik planlarda belirlenmiş amaç ve hedefler doğrultusunda hazırlanmasına yardımcı olmak üzere hazırlanan temel

Detaylı

Yazılım ve Uygulama Danışmanı Firma Seçim Desteği

Yazılım ve Uygulama Danışmanı Firma Seçim Desteği Yazılım ve Uygulama Danışmanı Firma Seçim Desteği Kapsamlı bir yazılım seçim metodolojisi, kurumsal hedeflerin belirlenmesiyle başlayan çok yönlü bir değerlendirme sürecini kapsar. İş süreçlerine, ihtiyaçlarına

Detaylı

SÜREÇ YÖNETİMİ VE İÇ KONTROL STRATEJİ GELİŞTİRME BAŞKANLIĞI İÇ KONTROL DAİRESİ

SÜREÇ YÖNETİMİ VE İÇ KONTROL STRATEJİ GELİŞTİRME BAŞKANLIĞI İÇ KONTROL DAİRESİ SÜREÇ YÖNETİMİ VE İÇ KONTROL STRATEJİ GELİŞTİRME BAŞKANLIĞI İÇ KONTROL DAİRESİ SÜREÇ NEDİR? Müşteri/Vatandaş için bir değer oluşturmak üzere, bir grup girdiyi kullanarak, bunlardan çıktılar elde etmeyi

Detaylı

DENETİM KOÇLUĞU EĞİTİM SERİSİ

DENETİM KOÇLUĞU EĞİTİM SERİSİ DENETİM KOÇLUĞU EĞİTİM SERİSİ Sayın İlgili: İç denetim teknik bir uzmanlık alanı olmanın ötesinde çok temel bir yönetim aracıdır. Yönetim sürecinin temel bir unsuru olan kontrol ve izleme rolü iç denetim

Detaylı

MEHMET ŞİRİN DENETİM STANDARTLARI DAİRESİ BAŞKANI

MEHMET ŞİRİN DENETİM STANDARTLARI DAİRESİ BAŞKANI MEHMET ŞİRİN DENETİM STANDARTLARI DAİRESİ BAŞKANI Bağımsız Denetim Standartları 1. Kilit Terimlerin Belirlenmesi 2. Metnin Çevrilmesi 3. İlk Uzman Kontrolü 4. Çapraz Kontrol İkinci Uzman Kontrolü 5. Metnin

Detaylı

KAMU İÇ KONTROL STANDARTLARI

KAMU İÇ KONTROL STANDARTLARI KAMU İÇ KONTROL KONTROL ORTAMI İç kontrolün temel unsurlarına temel teşkil eden genel bir çerçeve olup, kişisel ve mesleki dürüstlük, yönetim ve personelin etik değerleri, iç kontrole yönelik destekleyici

Detaylı

BAKANLIĞIMIZ İÇ KONTROL SİSTEMİ ÇALIŞMALARININ TAMAMLANMASI STRATEJİ GELİŞTİRME BAŞKANLIĞI

BAKANLIĞIMIZ İÇ KONTROL SİSTEMİ ÇALIŞMALARININ TAMAMLANMASI STRATEJİ GELİŞTİRME BAŞKANLIĞI BAKANLIĞIMIZ İÇ KONTROL SİSTEMİ ÇALIŞMALARININ TAMAMLANMASI STRATEJİ GELİŞTİRME BAŞKANLIĞI OCAK 2015 Sunum Planı İç Kontrol ün Tanımı ve Amaçları Birimlerin Sorumlulukları İç Kontrol Standartları Bakanlıkta

Detaylı

Dr. Bertan Kaya, CIA. Control Solutions International

Dr. Bertan Kaya, CIA. Control Solutions International Dr. Bertan Kaya, CIA Control Solutions International 1. Bölüm: İç Denetimin Yönetim Performansına Etkisi, Rol ve Sorumlulukları ile Kullandığı Araçlar İç Denetim İç denetim, bir kurumun faaliyetlerini

Detaylı

Tedarikçi risklerini yönetebilmek

Tedarikçi risklerini yönetebilmek www.pwc.com.tr Tedarikçi risklerini yönetebilmek. 12. Çözüm Ortaklığı Platformu İçerik 1. Tedarikçi risklerini yönetme ihtiyacı 2. Tedarikçi risk yönetimi bileşenleri 3. Yasal gelişmeler 2 Tedarikçi risklerini

Detaylı

ERZİNCAN ÜNİVERSİTESİ. BİLGİ YÖNETİM SİSTEMİ Mevcut Durum Analiz ve Kapasite Geliştirme Projesi

ERZİNCAN ÜNİVERSİTESİ. BİLGİ YÖNETİM SİSTEMİ Mevcut Durum Analiz ve Kapasite Geliştirme Projesi ERZİNCAN ÜNİVERSİTESİ ÜST DÜZEY YÖNETİCİ SUNUMU BİLGİ YÖNETİM SİSTEMİ Mevcut Durum Analiz ve Kapasite Geliştirme Projesi Strateji Geliştirme Daire Başkanlığı OCAK 2009 1 Gündem Bilgi Yönetimi Yol Haritası

Detaylı

Türkiye Klinik Kalite Programı

Türkiye Klinik Kalite Programı Türkiye Klinik Kalite Programı 3 Mayıs 2013 Dr. Hüseyin ÖZBAY Amaç: Türkiye de klinik kalitenin izlenmesi ve değerlendirilmesine yönelik mevcut durum tespitinin yapılması ve klinik kalite ölçme ve değerlendirme

Detaylı

Enerji Yönetimi 11 Aralık 2015. Ömer KEDİCİ

Enerji Yönetimi 11 Aralık 2015. Ömer KEDİCİ Enerji Yönetimi 11 Aralık 2015 Ömer KEDİCİ Tanım Enerji yönetimi ; Planlama, Koordinasyon ve Kontrol gibi birbirinden bağımsız olduklarında etkisiz kalabilecek işlevlerin bir araya gelerek oluşturdukları

Detaylı

ŞİKAYET / İTİRAZ VE GERİ BİLDİRİM PROSEDÜRÜ

ŞİKAYET / İTİRAZ VE GERİ BİLDİRİM PROSEDÜRÜ Sayfa No: 1/5 A. İÇİNDEKİLER Bölüm KONU SAYFA NO REFERANS STANDART MADDESİ TS EN ISO IEC 17020:2012 A. İÇİNDEKİLER 1 B. ŞİKAYET / İTİRAZ VE GERİ BİLDİRİM 2 7.6 1. AMAÇ 2 2. KAPSAM 2 3. SORUMLULUK 2 3.1

Detaylı

LOGO İÇ DENETİM BİRİMİ BAŞKANLIĞI. SUNUCULAR Cahit KURTULAN Volkan ÜNLÜ M.Hulisi GÜNŞEN

LOGO İÇ DENETİM BİRİMİ BAŞKANLIĞI. SUNUCULAR Cahit KURTULAN Volkan ÜNLÜ M.Hulisi GÜNŞEN LOGO SUNUCULAR Cahit KURTULAN Volkan ÜNLÜ M.Hulisi GÜNŞEN SUNUM PLANI 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu nun Getirdiği Sistem İçerisinde İç Kontrol ve İç Denetimin Yeri ve İşlevleri İzmir

Detaylı

İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ

İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ Ohsas 18001 Endüstrinin değişik dallarında faaliyet gösteren kuruluşların, faaliyet konularını yerine getirirken, İş Sağlığı ve Güvenliği konusunda da, faaliyet

Detaylı

ERP Uygulama Öncesi Değerlendirme

ERP Uygulama Öncesi Değerlendirme ERP Uygulama Öncesi Değerlendirme ERP standartlarını uygulama baskısı, verimli, pratik, güvenli ve uygulanabilir süreçlerin tasarımına engel olabilir. Birçok uygulama projesinde, iş süreçlerindeki verimlilik,

Detaylı

Performans Denetimi Hesap verebilirlik ve karar alma süreçlerinde iç denetimin artan katma değeri. 19 Ekim 2015 XIX.Türkiye İç Denetim Kongresi

Performans Denetimi Hesap verebilirlik ve karar alma süreçlerinde iç denetimin artan katma değeri. 19 Ekim 2015 XIX.Türkiye İç Denetim Kongresi Performans Denetimi Hesap verebilirlik ve karar alma süreçlerinde iç denetimin artan katma değeri 19 Ekim 2015 XIX.Türkiye İç Denetim Kongresi Place image here with reference to guidelines Serhat Akmeşe

Detaylı

DOK-004 BGYS Politikası

DOK-004 BGYS Politikası DOK-004 BGYS Politikası 1/7 Hazırlayanlar İsim Şule KÖKSAL Ebru ÖZTÜRK Döndü Çelik KOCA Unvan Defterdarlık Uzmanı Defterdarlık Uzmanı Çözümleyici Onaylayan İsim Mustafa AŞÇIOĞLU Unvan Genel Müdür Yardımcısı

Detaylı

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ ÖZEL ENTEGRASYON YÖNTEMİ NEDİR? Elektronik faturalamada uzmanlaşmış bir kurumun, başka mükelleflerin faturalarını göndermek ve almak amacıyla kendi sistemini

Detaylı

İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ

İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ Ali Dinçkan, BTYÖN Danışmanlık İş sürekliliği, kurumun kritik süreçlerinin belirlenmesi, bu süreçlerin sürekliliği için gerekli çalışmaların

Detaylı

ITMS DAYS www.itmsdays.com. Information Technologies Management Systems Days

ITMS DAYS www.itmsdays.com. Information Technologies Management Systems Days ITMS DAYS Information Technologies Management Systems Days FİNANS PİYASALARINDA BİLGİ GÜVENLİĞİ VE ISO 27001 Dr. İzzet Gökhan ÖZBİLGİN Bilişim Uzmanı, SPK Finansal Piyasalar TAKASBANK Aracı Kuruluşlar

Detaylı

TÜRKİYE DENETİM STANDARTLARI RİSKİN ERKEN SAPTANMASI SİSTEMİ VE KOMİTESİ HAKKINDA DENETÇİ RAPORUNA İLİŞKİN ESASLARA YÖNELİK İLKE KARARI

TÜRKİYE DENETİM STANDARTLARI RİSKİN ERKEN SAPTANMASI SİSTEMİ VE KOMİTESİ HAKKINDA DENETÇİ RAPORUNA İLİŞKİN ESASLARA YÖNELİK İLKE KARARI TÜRKİYE DENETİM STANDARTLARI RİSKİN ERKEN SAPTANMASI SİSTEMİ VE KOMİTESİ HAKKINDA DENETÇİ RAPORUNA İLİŞKİN ESASLARA YÖNELİK İLKE KARARI 18 Mart 2014 SALI Resmî Gazete Sayı : 28945 KURUL KARARI Kamu Gözetimi,

Detaylı

Lojistik ve Taşımacılık Sektöründe Yeni Hizmet Modeli. Lojistik ve Taşımacılık Sektöründe Yeni Hizmet Modeli

Lojistik ve Taşımacılık Sektöründe Yeni Hizmet Modeli. Lojistik ve Taşımacılık Sektöründe Yeni Hizmet Modeli Lojistik ve Taşımacılık Sektöründe Yeni Hizmet Modeli Lojistik ve Taşımacılık Sektöründe Yeni Hizmet Modeli HOŞGELDİNİZ Erdal Kılıç SOFT Gökhan Akça KoçSistem Lojistik ve Taşımacılık Sektöründe Yeni Hizmet

Detaylı

İş Sürekliliği Yönetimi ve İşe Etki Analizi için bir uygulama örneği

İş Sürekliliği Yönetimi ve İşe Etki Analizi için bir uygulama örneği İş Sürekliliği Yönetimi ve İşe Etki Analizi için bir uygulama örneği Zeki Yazar, Siemens Sanayi ve Ticaret A.Ş. Sayfa 1 Bir uygulama örneği olarak Siemens İş Sürekliliği Yönetimi İşe Etki Analizi Sayfa

Detaylı

Dünya Bankası Finansal Yönetim Uygulamalarında Stratejik Yönelimler ve Son Gelişmeler

Dünya Bankası Finansal Yönetim Uygulamalarında Stratejik Yönelimler ve Son Gelişmeler Dünya Bankası Finansal Yönetim Uygulamalarında Stratejik Yönelimler ve Son Gelişmeler ECA Bölge Perspektifi Marius Koen TÜRKİYE: Uygulama Destek Çalıştayı 6-10 Şubat 2012 Ankara, Türkiye 2 Kapsam ve Amaçlar

Detaylı

Yöneticiler için Bilgi Güvenliği

Yöneticiler için Bilgi Güvenliği Yöneticiler için Bilgi Güvenliği GÜVENLİĞİ SAĞLAMAK İÇİN EN KRİTİK ROL YÖNETİM ROLÜDÜR 11.2.2015 1 Tanışma Çağan Cebe Endüstri Mühendisi Barikat Profesyonel Hizmetler - Yönetim Sistemleri Uzmanı 4 Yıl

Detaylı

BİLİŞİM SİSTEMLERİ STRATEJİSİNİN ÖNEMİ VE SAYIŞTAY DENEYİMİ

BİLİŞİM SİSTEMLERİ STRATEJİSİNİN ÖNEMİ VE SAYIŞTAY DENEYİMİ BİLİŞİM SİSTEMLERİ STRATEJİSİNİN ÖNEMİ VE SAYIŞTAY DENEYİMİ Musa KAYRAK 1. Giriş Bilgisayar ortamında yapılan her türlü etkinliği ifade edecek şekilde kullanılan bilişim, teknolojinin olanaklarından yararlanılarak

Detaylı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı Formal Doküman Detayları Hazırlanma Tarihi 20 Eylül 2012 Yayın Taslak Hazırlayan Ersun Ersoy

Detaylı

KURUMSAL RİSK YÖNETİMİ RİSK YÖNETİM MODELLERİ

KURUMSAL RİSK YÖNETİMİ RİSK YÖNETİM MODELLERİ KURUMSAL RİSK YÖNETİMİ RİSK YÖNETİM MODELLERİ HAZIRLAYAN : ŞERİF OLGUN ÖZEN, CGAP KİDDER EĞİTİM KOMİTESİ BAŞKANI ÇALIŞMA VE SOSYAL GÜVENLİK BAKANLIĞI İÇ DENETİM BİRİMİ BAŞKANI sozen@csgb.gov.tr EĞİTİMİN

Detaylı

ISO 27001 Kurumsal Bilgi Güvenliği Standardı. Şenol Şen

ISO 27001 Kurumsal Bilgi Güvenliği Standardı. Şenol Şen ISO 27001 Kurumsal Bilgi Güvenliği Standardı Şenol Şen Bilgi Güvenliği Kavramı Bilgi güvenliği, bir varlık türü olarak bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme,

Detaylı

İSYS Süreçleri ve Yönetim Sistemleri İçindeki Yeri. Burak Bayoğlu (CISM, CISA, CISSP) TÜBİTAK UEKAE. bayoglu@uekae.tubitak.gov.tr

İSYS Süreçleri ve Yönetim Sistemleri İçindeki Yeri. Burak Bayoğlu (CISM, CISA, CISSP) TÜBİTAK UEKAE. bayoglu@uekae.tubitak.gov.tr İSYS Süreçleri ve Yönetim Sistemleri İçindeki Yeri Burak Bayoğlu (CISM, CISA, CISSP) TÜBİTAK UEKAE bayoglu@uekae.tubitak.gov.tr Sunu Planı İSYS Yaşam Döngüsü ve Motivasyon COBIT 4.1 (TS) ISO/IEC 27001

Detaylı

Laboratuvar Akreditasyonu

Laboratuvar Akreditasyonu Akreditasyon Laboratuvar, muayene ve belgelendirme kuruluşlarının ulusal ve uluslararası kabul görmüş teknik kriterlere göre değerlendirilmesi, yeterliliğin onaylanması ve düzenli aralıklarla denetlenmesi

Detaylı

ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ. Terimler Ve Tarifler. www.sisbel.biz

ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ. Terimler Ve Tarifler. www.sisbel.biz ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ Terimler Ve Tarifler 1 Kapsam 1.1 Genel Terimler Ve Tarifler Bu standart, bir hizmet yönetimi sistem (HYS) standardıdır. Bir HYS

Detaylı

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER Dr. Hayrettin Bahşi bahsi@uekae.tubitak.gov.tr 11 Mart 2010 Gündem Bulut Hesaplama Sistemleri ve Bilgi Güvenliği Güvenli Yazılım Geliştirme Hayat Döngüsü

Detaylı

ARAŞTIRMA VE GELİŞTİRME DAİRESİ BAŞKANLIĞI TARAFINDAN PİLOT SEÇİLEN BÖLGELERDE YÜRÜTÜLEN ÇALIŞMALAR

ARAŞTIRMA VE GELİŞTİRME DAİRESİ BAŞKANLIĞI TARAFINDAN PİLOT SEÇİLEN BÖLGELERDE YÜRÜTÜLEN ÇALIŞMALAR ARAŞTIRMA VE GELİŞTİRME DAİRESİ BAŞKANLIĞI TARAFINDAN PİLOT SEÇİLEN BÖLGELERDE YÜRÜTÜLEN ÇALIŞMALAR Yönetim anlayışındaki değişimler "önce insan" anlayışıyla şekillenen, müşteri odaklı, süreçlerle yönetilen,

Detaylı

BT Maliyetlerinde Etkin Yönetim Stratejileri *

BT Maliyetlerinde Etkin Yönetim Stratejileri * PwC Türkiye V. Çözüm Ortaklığı Platformu BT Maliyetlerinde Etkin Yönetim Stratejileri * Anıl l Erkan, Kıdemli K Müdür, M Danış ışmanlık Hizmletleri Seda Babür, Danış ışman, Danış ışmanlık Hizmletleri PwC

Detaylı

BAŞARAN NAS BAĞIMSIZ DENETİM VE SERBEST MUHASEBECİ MALİ MÜŞAVİRLİK A.Ş.

BAŞARAN NAS BAĞIMSIZ DENETİM VE SERBEST MUHASEBECİ MALİ MÜŞAVİRLİK A.Ş. Başaran Nas Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş. tarafından 31 Aralık 2011 tarihi itibariyle hazırlanan işbu Kalite Güvence Raporu, T.C. Başbakanlık Hazine Müsteşarlığı tarafından

Detaylı

Bilgi Teknolojileri ve İş Süreçleri Denetimi

Bilgi Teknolojileri ve İş Süreçleri Denetimi Bilgi Teknolojileri ve İş Süreçleri Denetimi Sinem Cantürk Bilgi Sistemleri Risk Yönetimi Bölüm Başkanı KPMG 6 Haziran 2012 İçerik 1. İç Kontrol Ortamı 1.1 Genel Bakış 1.2 COSO İç Kontrol Modeli 1.3 Kurumsal

Detaylı

DESTEKLEYİCİ VE SÖZLEŞMELİ ARAŞTIRMA KURULUŞU İLE İLGİLİ İYİ KLİNİK UYGULAMALARI DENETİMLERİNİN YÜRÜTÜLMESİNE İLİŞKİN KILAVUZ

DESTEKLEYİCİ VE SÖZLEŞMELİ ARAŞTIRMA KURULUŞU İLE İLGİLİ İYİ KLİNİK UYGULAMALARI DENETİMLERİNİN YÜRÜTÜLMESİNE İLİŞKİN KILAVUZ DESTEKLEYİCİ VE SÖZLEŞMELİ ARAŞTIRMA KURULUŞU İLE İLGİLİ İYİ KLİNİK UYGULAMALARI DENETİMLERİNİN YÜRÜTÜLMESİNE İLİŞKİN KILAVUZ 1. GİRİŞ Bu kılavuz, destekleyicinin merkezinde veya destekleyicinin araştırmayla

Detaylı

Doğal Gaz Dağıtım Sektöründe Kurumsal Risk Yönetimi. Mehmet Akif DEMİRTAŞ Stratejik Planlama ve Yönetim Sistemleri Müdürü İGDAŞ 29.05.

Doğal Gaz Dağıtım Sektöründe Kurumsal Risk Yönetimi. Mehmet Akif DEMİRTAŞ Stratejik Planlama ve Yönetim Sistemleri Müdürü İGDAŞ 29.05. Doğal Gaz Dağıtım Sektöründe Kurumsal Risk Yönetimi Mehmet Akif DEMİRTAŞ Stratejik Planlama ve Yönetim Sistemleri Müdürü İGDAŞ 29.05.2013 İÇERİK Risk, Risk Yönetimi Kavramları Kurumsal Risk Yönetimi (KRY)

Detaylı

TR 2008 IB EN 04 MADEN ATIKLARININ YÖNETİMİ PROJESİ

TR 2008 IB EN 04 MADEN ATIKLARININ YÖNETİMİ PROJESİ TR 2008 IB EN 04 MADEN ATIKLARININ YÖNETİMİ PROJESİ Ülkü Füsun ERTÜRK Maden atıkları ve Tehlikesiz Atıkların Yönetimi Şube Müdürlüğü Kimya Müh. Antalya, 24-26.04.2012 Maden Atıklarının Yönetimi Projesi

Detaylı

TS EN ISO/IEC 9241-151 Kullanılabilir Arayüz Sertifikası Verilmesi Süreci

TS EN ISO/IEC 9241-151 Kullanılabilir Arayüz Sertifikası Verilmesi Süreci TS EN ISO/IEC 9241-151 Kullanılabilir Arayüz Sertifikası Verilmesi Süreci Nihan Ocak 1, Feride Erdal 2, Prof. Dr. Kürşat Çağıltay 3 1 Orta Doğu Teknik Üniversitesi, Bilişim Sistemleri Bölümü, Ankara 2

Detaylı

UZUNKÖPRÜ BELEDĠYESĠ ĠÇ KONTROL EYLEM PLANI

UZUNKÖPRÜ BELEDĠYESĠ ĠÇ KONTROL EYLEM PLANI UZUNKÖPRÜ BELEDĠYESĠ ĠÇ KONTROL EYLEM PLANI 2015-2016 İÇİNDEKİLER A. ĠÇ KONTROL SĠSTEMĠNĠNĠN GENEL ESASLARI 1-Amaç 2-Kapsam 3-Dayanak 4- Ġç Kontrolün Temel Ġlkeleri 5- Ġç Kontrol Sisteminin BileĢenleri

Detaylı

GÜRELİ YEMİNLİ MALİ MÜŞAVİRLİK VE BAĞIMSIZ DENETİM HİZMETLERİ A.Ş.

GÜRELİ YEMİNLİ MALİ MÜŞAVİRLİK VE BAĞIMSIZ DENETİM HİZMETLERİ A.Ş. Ülkemizde ticari hayatın son 50 yılını önemli ölçüde etkilemiş olan 6762 sayılı Türk Ticaret Kanunu, 31 Temmuz 2012 tarihi itibariyle yerini 6102 sayılı Yeni Türk Ticaret Kanunu na bırakıyor. Her şeyden

Detaylı

ISO/IEC 27001 Özdeğerlendirme Soru Listesi

ISO/IEC 27001 Özdeğerlendirme Soru Listesi ISO/IEC 27001 Özdeğerlendirme Soru Listesi Bu soru listesindeki sorular, kurduğunuz/kuracağınız yönetim sistemdeki belirli alanlara daha fazla ışık tutmak, tekrar değerlendirerek gözden geçirmek ve denetime

Detaylı

AVRUPA BİRLİĞİ SAYIŞTAYINDA MALİ DENETİM ÇERÇEVESİNDE BİLİŞİM SİSTEMLERİ DENETİMİ

AVRUPA BİRLİĞİ SAYIŞTAYINDA MALİ DENETİM ÇERÇEVESİNDE BİLİŞİM SİSTEMLERİ DENETİMİ AVRUPA BİRLİĞİ SAYIŞTAYINDA MALİ DENETİM ÇERÇEVESİNDE BİLİŞİM SİSTEMLERİ DENETİMİ Musa KAYRAK CISA, Sayıştay Başdenetçisi 1.Yeni Normal Temelleri yüzyıllar öncesine dayandırılabilecek ancak yirminci yüzyılın

Detaylı

Mehmet BÜLBÜL. Maliye Bakanlığı Bütçe ve Mali Kontrol Genel Müdürülüğü Daire Başkanı

Mehmet BÜLBÜL. Maliye Bakanlığı Bütçe ve Mali Kontrol Genel Müdürülüğü Daire Başkanı Mehmet BÜLBÜL Maliye Bakanlığı Bütçe ve Mali Kontrol Genel Müdürülüğü Daire Başkanı Belirlenen düzenleme, standart ve yöntemler çerçevesinde; planlama, programlama, bütçeleme, uygulama, kontrol etme, muhasebeleştirme

Detaylı

ISO-BGYS-PL-02 Bilgi Güvenliği Politikası

ISO-BGYS-PL-02 Bilgi Güvenliği Politikası ISO-BGYS-PL-02 Bilgi Güvenliği Politikası İlk Yayın Tarihi : 08.10.2015 *Tüm şirket çalışanlarının görebileceği, şirket dışı kişilerin görmemesi gereken dokümanlar bu sınıfta yer alır. ISO-BGYS-PL-02 08.10.2015

Detaylı

STRATEJİK YÖNETİM VE YÖNETİMİN GÖZDEN GEÇİRMESİ PROSEDÜRÜ

STRATEJİK YÖNETİM VE YÖNETİMİN GÖZDEN GEÇİRMESİ PROSEDÜRÜ Sayfa 1/5 Revizyon Takip Tablosu REVİZYON NO TARİH AÇIKLAMA 00 01.03.2012 İlk Yayın 1. AMAÇ Bu prosedürün amacı, YTÜ nde KYS politika ve hedeflerinin belirlenmesi ve üniversite içerisinde yayılımı ilgili

Detaylı

KAYISI ARAŞTIRMA İSTASYONU MÜDÜRLÜĞÜ EK 3.4 KALİTE YÖNETİM / İÇ KONTROL BİRİMİ

KAYISI ARAŞTIRMA İSTASYONU MÜDÜRLÜĞÜ EK 3.4 KALİTE YÖNETİM / İÇ KONTROL BİRİMİ KAYISI ARAŞTIRMA İSTASYONU MÜDÜRLÜĞÜ EK 3.4 KALİTE YÖNETİM / İÇ KONTROL BİRİMİ Kalite Yöneticisi Dök.No KAİM.İKS.FRM.081 Sayfa No 1/ 3 İŞİN KISA TANIMI: Kayısı Araştırma İstasyonu Müdürlüğü üst yönetimi

Detaylı

1.1.1.7.3. Sürecin başlama ve bitiş koşulları,

1.1.1.7.3. Sürecin başlama ve bitiş koşulları, SÜREÇ YÖNETİMİ TEKNİK ŞARTNAME TASLAĞI Hazırlayan Erkan Karaarslan ve Çalışma Arkadaşları Teknik Şartnamenin Aşamaları 1.1. Süreçlerin İdare nin talep ettiği standartlarda analiz edilerek modellenmesi

Detaylı

Yazılım Geliştirme Projelerinde Kontrolörlük / Müşavirlik Hizmetleri. Y.Müh. Kadriye ÖZBAŞ ÇAĞLAYAN, PMP Y.Müh. Ahmet DİKİCİ, PMP

Yazılım Geliştirme Projelerinde Kontrolörlük / Müşavirlik Hizmetleri. Y.Müh. Kadriye ÖZBAŞ ÇAĞLAYAN, PMP Y.Müh. Ahmet DİKİCİ, PMP Yazılım Geliştirme Projelerinde Kontrolörlük / Müşavirlik Hizmetleri Y.Müh. Kadriye ÖZBAŞ ÇAĞLAYAN, PMP Y.Müh. Ahmet DİKİCİ, PMP Sunum Planı Organizasyon Yapısı Yazılım Projelerinde Başarı Durumu Yazılım

Detaylı

DSK nın Ortaya Çıkışı ve Gelişimi

DSK nın Ortaya Çıkışı ve Gelişimi Balanced Scorecard DSK nın Ortaya Çıkışı ve Gelişimi Bu yöntemin ortaya çıkışı 1990 yılında Nolan Norton Enstitüsü sponsorluğunda gerçekleştirilen, bir yıl süren ve birçok şirketi kapsayan Measuring performance

Detaylı

Madde 7 - İlişki süreçleri www.sisbel.biz

Madde 7 - İlişki süreçleri www.sisbel.biz ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ Madde 7 - İlişki süreçleri 7.1 İş ilişkisi yönetimi Hizmet sağlayıcı; müşterileri, kullanıcıları ve hizmetlerin ilgili taraflarını

Detaylı

YÖNETİM SİSTEMLERİ. TS EN ISO 9001-2000 Kalite Yönetim Sistemi TS EN ISO 14001 Çevre Yönetim Sistemi TS (OHSAS) 18001 İSG Yönetim Sistemi

YÖNETİM SİSTEMLERİ. TS EN ISO 9001-2000 Kalite Yönetim Sistemi TS EN ISO 14001 Çevre Yönetim Sistemi TS (OHSAS) 18001 İSG Yönetim Sistemi YÖNETİM SİSTEMLERİ Ülkemiz kuruluşları da Kalite, Çevre ve İş sağlığı ve güvenliği konularına verdikleri önemi göstermek, etkinlik ve verimliliği artırmak amacıyla Yönetim Sistemlerine geçiş için uğraş

Detaylı

Uzm.. Dr. Rukiye BERKEM Uzm S.B.Ankara Eğitim ve Araştırma Hastanesi Tıbbi Mikrobiyoloji Bölümü V. Ulusal Kan Merkezleri ve Transfüzyon Tıbbı Kongresi 1818-22 Kasım 2012 Akreditasyon; sağlık hizmeti sunan

Detaylı

STRATEJĠ GELĠġTĠRME MÜDÜRLÜĞÜ PROSEDÜRÜ

STRATEJĠ GELĠġTĠRME MÜDÜRLÜĞÜ PROSEDÜRÜ Hazırlayan Strateji Geliştirme Müdürü Kontrol Başkanlık Hukuk Danışmanı Onay Belediye Başkanı Yürürlük Tarihi 01.02.2010 Sayfa 1 / 9 1. AMAÇ Bu prosedürün amacı; Kartal Belediyesi Strateji Geliştirme Müdürlüğü

Detaylı

COBIT 5 Ne kadar hazırsınız?

COBIT 5 Ne kadar hazırsınız? www.pwc.com.tr/ras Ne kadar hazırsınız? Kurumsal Bilgi Teknolojileri Yönetişim Çerçevesi Neden PwC? geliştirme sürecinde PwC öncülüğü Geliştirme Ekibi ISACA Merkez Birim Gönüllü Uzmanlar ISACA Yönetimi

Detaylı

Yrd. Doç. Dr. Ayça Tarhan. Hacettepe Üniversitesi Bilgisayar Mühendisliği Bölümü atarhan@hacettepe.edu.tr

Yrd. Doç. Dr. Ayça Tarhan. Hacettepe Üniversitesi Bilgisayar Mühendisliği Bölümü atarhan@hacettepe.edu.tr Yrd. Doç. Dr. Ayça Tarhan Hacettepe Üniversitesi Bilgisayar Mühendisliği Bölümü atarhan@hacettepe.edu.tr Süreç Değerlendirme Nedir? Süreç: Girdileri çıktılara dönüştüren, ilişkili veya etkileşimli etkinlikler

Detaylı