Bilgi Teknolojileri Risk Yönetimine Genel Bakış. Barış Bağcı, CISA

Ebat: px
Şu sayfadan göstermeyi başlat:

Download "Bilgi Teknolojileri Risk Yönetimine Genel Bakış. Barış Bağcı, CISA"

Transkript

1 Bilgi Teknolojileri Risk Yönetimine Genel Bakış Barış Bağcı, CISA Günümüzde bireysel ya da kurumsal ekonomik her türlü gelişme internet ve bilgi teknolojileri sistemlerine daha da fazla bağlı hale gelmektedir. Bunun sonucu olarak sistemler üzerindeki riskler daha fazla fark edilmekte ve önemli olarak görülmektedir. Bilgi sistemleri üzerindeki güvenlik açıkları ya da hatalar ciddi iş krizlerine ve itibar kayıplarına yol açmaktadır. Bu sebeple pek çok düzenleyici kuruluş yeni uyum zorunlulukları getirmektedir. Dünya üzerinde olduğu gibi Türkiye de de şirket Yönetim Kurulu üyelerinin yanıtını duymak istedikleri soru çok açıktır; bilgi sistemleri üzerindeki riskleri nasıl azaltabilir ve yatırım getirisini nasıl artırabiliriz. Aslında sorunun cevabı, bilgi sistemleri risklerine iş risk yönetimi çerçevesi içerisinde bakmakta yatmaktadır. Bilgi teknolojileri riskleri kurumdaki tüm risklerin bir parçası olarak belirlenmeli, ölçülmeli ve yönetilmelidir. Bilgi risklerini yönetmek ve dengelemek için uygulanan yaklaşıma bilgi teknolojileri risk yönetimi adı verilmektedir. Pek çok şirket BT riskleri konusunda çok az bilgi sahibidir. Bilgi her kuruluş için kritiktir ve çoğunluğu BT sistemlerinde oluşturulur, işlenir, iletilir ve saklanır. Bunun sonucu olarak, BT riskleri sadece BT birimlerinin sorumluluğunda değil, aynı zamanda tüm kurumun sorumluluğundadır. BT birimleri daha çok sistemlerin güvenliği ve erişilebilirliği ile ilişkili risklerle ilgilenmektedir. Oysa ki bilgi sistemleri riski sadece bilgi güvenliği riski anlamına gelmemektedir. İş organizasyonu ile ilişkili riskler çeşitlidir. Örneğin, büyüme ihtiyacı ve artan verimlilik kurumun mevcut sisteminin artan talep ile baş edememesi riski ile sonuçlanır. Rekabet üstünlüğünü sürdürebilme ihtiyacı yavaş ve yetersiz sistem performansı ile tehlikeye atılabilir. Bunlara ilaveten, değişen iş şartlarının zorunlu kıldığı kurum altyapısındaki değişiklikler, sistemin beklenmedik ve geri getirilemeyecek bir şekilde çökmesi riski ile sonuçlanabilir. İş organizasyonları, yasal ve düzenleyici gereksinimlere (örn. Basel II) uyum konusunda da artan bir hızda endişelenmektedir. Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından yayınlanan Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Bilgi Sistemleri Denetimi Hakkında Yönetmelik uyarınca bankalara Cobit te (Control Objectives For Information and related Technology) yer alan usul ve esaslar uygulanmalıdır. Bu kapsamda Cobit in önemli konu başlıklarından olan Bilgi Sistemleri Riskinin Değerlendirilmesi ve Yönetimi kontrol hedefinin de bankalarda uygulanması beklenmektedir. Cobit, bir bilgi sistemleri yönetişim çerçevesi olarak, bilgi sistemleri ilişkili risklerin yönetilmesi için referans oluşturmaktadır. Cobit in kurum yönetimlerine sağladığı temel destek konularından birisi de bilgi sistemleri risklerinin uygun bir şekilde yönetilmesidir. Yönetimlerin odaklanması gereken 5 temel alandan birisi risk yönetimi olarak belirlenmiştir. Cobit kontrol güvencesi dahilinde bilgi sistemleri risklerinin değerlendirilmesi ve yönetilmesi için gerekli kontroller açıklanmıştır. Risk yönetim çerçevesi Cobit referans alınarak kurulabileceği gibi CMM, ITIL, ISO gibi yaklaşımlarla da destelenebilmektedir. 1

2 Cobit in risk yönetimi kapsamı içerisinde incelediği hususlar, risk yönetim çerçevesinin oluşturulması, risk kapsamının kurulması, olay belirleme, risk değerlendirme, risk yanıtlama ve risk aksiyon planlarının yürütülmesi ve izlenmesidir. Bilgi teknolojileri risklerinin değerlendirilmesi ve yönetilmesi için bir risk yönetim çerçevesi oluşturulmalı ve sürdürülmelidir. Risk yönetim çerçevesi, genel ve üzerinde anlaşılmış BT risk seviyelerini, risk karşılama stratejilerini ve artakalan riskleri (residual risk) içermelidir. Organizasyonun hedefleri üzerinde herhangi bir potansiyel etkinin oluşturacağı beklenmedik olaylar önceden belirlenir, analiz edilir ve değerlendirilir. Artakalan riskleri kabul edilebilir bir seviyeye ulaştırmak için risk karşılama stratejileri uygulanır. Değerlendirmenin sonuçları, paydaşların risklere kabul edilebilir seviyeden tolerans göstermeleri için anlaşılabilir ve finansal terimlerle izah edilebilir olmalıdır. BDDK tarafından yayınlanan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ Taslağı nın 5. maddesinde yer aldığı üzere bankalar, bankacılık faaliyetlerinde bilgi teknolojilerini kullanıyor olmasından kaynaklanan riskleri tanımlamalı, analiz etmeli, izlemeli ve yönetmek üzere gerekli önlemleri almalıdır. Bilgi sistemlerine ilişkin risklerin yönetilmesi, kurumsal bilgi sistemleri yönetiminin önemli bir bileşeni olarak ele alınmalıdır. Bankaların, risk yönetimlerini ve politikalarını, bilgi teknolojilerinin kullanımına bağlı olarak gözden geçirmesi ve bilgi sistemleri kullanımından kaynaklanan risklerin yönetimini içerecek şekilde yenilemesi gerekmektedir. Bilgi teknolojilerinden kaynaklanan riskler bilinen bankacılık risk sınıfları arasına yeni bir risk sınıf eklememektedir. Bilgi teknolojilerinin yönetimi ve izlenmesine yönelik çalışmalardan edinilen veriler bankanın risk yönetim çerçevesinin bir parçası haline gelmeli ve bilgi teknolojilerinden kaynaklanan riskleri de içeren bütünleşik bir risk yönetim yaklaşımı uygulanmalıdır. Bankaların, kendi risk profiline, kurumun operasyonel yapısına, yönetim kültürüne ve ilgili diğer yasal yükümlülüklerle belirtilen çerçeveye uygun olarak risk yönetimini oluşturulması ve bilgi teknolojileri risklerini de bu kapsamda değerlendirmeye alması gereklidir. Belirlenecek sıklıkta veya bilgi sistemlerindeki önemli değişikliklerden önce risk analizlerini tekrarlamalı ve analizlere ilişkin yazılı politikalar belirlemelidir. 2

3 Risk Nedir? Risk, zarar verici bir aktiviteye açık olma potansiyeli olarak tanımlanabilir. Tehditler, zayıflıklar, etkiler ve olabilirlik riskin bileşenleridir. Bilgi Sistemleri Riski Nedir? Bilgi sistemleri riski, iş süreçlerini olumsuz yönde etkileyecek şekilde otomasyon sisteminin, ağ veya diğer kritik BT kaynaklarının kaybedilmesi potansiyelidir. Risklerin başarılı bir şekilde belirlenmesi, analiz edilmesi ve izlenmesi için risk yönetim politikaları ve bu politikaları destekleyen dokümanlar oluşturmalıdır. Risk yönetim farkındalığı yaratmak ve tüm kurum geneline uygun bir risk protokolü oluşturabilmek ve paylaşabilmek için risk yönetim komitesi kurulması tercih edilen yöntemlerdendir. Organizasyonların veri ve bilgi teknolojileri altyapılarına artan bağımlılıkları sebebiyle, pek çok organizasyon, BT risklerini iş riskleri yönetim stratejileri içerisinde ele alma yaklaşımını benimsemektedir. Organizasyonların aşağıdaki konular üzerinde çalışma yaptıkları görülmektedir; Bilgi değerlerine yönelik risklerini azaltmak için gereken harcamalara ilişkin fizibilite çalışmaları Bilgi değerleri risklerinin iş risklerine uygun belirlenmesi Bilgi değerleri risklerini yönetebilmek için gereken maliyet Mevcut risk yönetiminin etkinliği Kendi sektöründe karşılaştırmalı değerlendirmeler yapabilme Risk Yönetim Çerçevesinin Oluşturulması Yapısal bir risk yönetimi kurulması, karar verme kabiliyetini artırmakta, bilgi değerlerini korumakta, operasyonları güvenli hale getirmekte, organizasyonun yasa ve yükümlülüklere uyumunu desteklemektedir. Hedef sadece riski yok etmek değil, kaçınılmaz bir şekilde karşımıza çıkan riskleri yönetebilmek ve olumsuz sonuçlardan kaçınabilmek için fırsatlar oluşturabilmektir. Bu durum kurumların geleceği düşünmelerini, riskleri değerlendirirken proaktif bir yaklaşım sergilemelerini ve aynı zamanda riski yönetmek ile beklenen faydaların sağlanması arasındaki maliyet dengelerinin korunmasını gerektirmektedir. Kritik bilgi sistemleri değerlerini belirlemek için BT, iş süreçleri yöneticileri, denetçiler ve hukuk birimlerinin yakın bir çalışma yapması gerekmektedir. Bilgi sistemleri zayıflıklarının belirlenmesi, ilgili risklerin önceliklendirilmesi ve uygun risk karşılama stratejisi geliştirmek ve gerçekleştirmek için böyle bir çalışmaya ihtiyaç duyulmaktadır. Risk yönetimi etkinlik açısından iç ve dış gruplar tarafından izlenmelidir. Risk yönetimi ve yanıtlanması ile ilgili sorumluluklar dağıtılmalı, kurum risk iştahı açık bir şekilde belirlenmeli, gerektiğinde risk sözlüğü oluşturulmalı, risk yönetiminde kullanılan araçlar, izleme ve raporlama yaklaşımları belirlenmelidir. 3

4 Risk yönetim prensipleri geniş bir ilgi alanına sahip olmakla birlikte, pek az organizasyon bilgi sistemleri risk yönetim programlarını oluşturmuştur. Oysa son yıllarda artan sayıda organizasyon BT risk yönetimi adına Cobit, ITIL, ISO gibi uluslararası standart ve yaklaşımları bilgi sistemleri yönetimlerine adapte etmektedir. En iyi bilgi sistemleri risk yönetimi programları, iyi tanımlanmış kontrolleri, iyi seçilmiş teknolojileri ve en iyi uygulama süreçlerini birleştirerek kullanmaktadır. Bilgi Sistemleri Risk Yönetimi Risk yönetimi, risk belirlemek, değerlendirmek ve riski kabul edilebilir bir seviyeye indirmek için aksiyon alma sürecidir. Bilgi sistemleri risk yönetimini, her biri farklı öneme sahip ancak birbirini etkileyen ve destekleyen beş temel fonksiyonla yerine getirmek mümkündür; Risk Belirleme Risk Analizi Risk Değerlendirme Riske Müdahale Etme Risk Yönetimini İzleme Bilgi sistemleri risk yönetim süreci, servisler ile iş birimleri arasında iletişim kurmalı, organizasyona uygun, yapısal ve tekrar edilebilir, uluslararası en iyi uygulamalara yatkın ve bu konuda denetim sahibi iç ve dış birimlerce kontrol edilebilir olmalıdır. BT risk alanları aşağıdaki gibi ifade edilebilir; BT yönetim ve strateji riski : BT stratejilerinin iş stratejileri ile uyumlu olmaması ve paylaşılmaması sonucu BT nin iş ile ilişkili bir birim olarak çalışmaması riski BT beceri ve teknolojik gelişme riski : BT nin iş birimlerini sektörün önde gelenleri arasında tutacak ve iş yeteneklerini geliştirecek yenilikleri gerçekleştirmek konusunda başarısız olması riski BT mimari riski : BT nin iş birimlerinin ihtiyaçlarının verimli, maliyet-etkin ve iyi kontrol edilebilir şekilde olmasını destekleyecek etkin, standart ve sürdürülebilir alt yapısının olmaması riski İş sürekliliği riski : BT nin kritik operasyon ve süreçleri devam ettirememesi riski Uyumluluk riski : BT nin yasal düzenleyicilerin gerekliliklerini yerine getirecek desteği verememesi riski BT kaynakları riski : BT nin insan ve finansal kaynaklarını uygun hazırlık ve planlama ile yönetememesi riski 4

5 Tedarikçi yönetim riski : BT organizasyonlarının tedarik, dış kaynak alım ve servis sağlayıcılar ile uygun ilişki kuramaması riski 3. parti ilişkileri riski : İş ortamının ve bilgilerin 3. parti kişi ve kuruluşlarca paylaşılması riski Proje geliştirme riski : BT nin kötü proje planlaması ve yönetimi sonucu oluşan riskler Değişiklik gerçekleştirme riski : Teknoloji ortamının uygun bir şekilde değiştirilememesi riski BT itibarı ve müşteri memnuniyeti riski : BT nin, iş isteklerini, hizmet seviyesi anlaşmalarını ve BT desteğini uygun şekilde karşılayamaması riski Bilgi riski : Hassas ve önemli iş bilgilerinin uygun şekilde yönetilememesi ve saklanamaması riski BT güvenliği riski : BT alt yapısı ve kaynaklarının tehditlere karşı zayıflıklara sahip olması riski Online/Web riski : BT nin web varlığını devam ettirememesi riski Risk yönetimi planlaması, olası etkileri azaltmak amacıyla tehditleri ve zayıflıkları izleme ve kontrol etmeyi amaçlamalıdır. Riskleri yönetebilmek için önceliklerin ve risklerin neler olduğunun bilinmesi gerekmektedir. Bu sebeple, önem dereceleri ve riskler gerçekleştiğinde oluşan etkiler göz önüne alınarak, kabul edilebilir risk toleransı ve bu duruma uygun kontroller tanımlanmalıdır. Rollerin ve sorumlulukların tanımlanması ve rehberlik ve talimatların sağlanması için politika, prosedür, kılavuzlar ve standartlar geliştirilmelidir. Bilgi sistemleri değerlerine yönelik tehditler, zayıflıklar ve etkiler sabit değildir ve zaman içerisinde değişiklik göstermektedir. Bu sebeple tehditlerin, zayıflıkların ve potansiyel etkilerin sadece bir defaya mahsus değerlendirilmemesi, tekrarlayan bir düzende değerlendirilmesi için, tüm tanımlamaların tekrarlayan bir yapıda oluşturulması gerekmektedir. Etkin bir risk yönetim sürecini belirleyen başlıca konular şunlardır; Erişim, kimlik doğrulama, yetkilendirme kontrolü Organizasyonel yapı Olay yönetimi BT politika yönetimi Denetleme/Değerlendirme Eğitim ve farkındalık oluşturma Operasyonel tasarım Değer envanteri oluşturma, sınıflandırma ve yönetimi Risk Belirleme Risk belirleme işlemi, iş liderleri ile, belirli bir iş kolunu etkileyecek (bilinen ve potansiyel) tehditlerin, yükümlülüklerin ve saldırılara açık olma durumunun değerlendirilmesidir. Kurumun büyüklüğüne, organizasyon yapısına ve tanımlanmış rollere göre değişmekle birlikte bilgi sistemleri risk belirleme çalışmalarının katılımcıları departman/bölüm yöneticileri, CFO (Chief Financial Officer), İnsan Kaynakları Yöneticisi, Bilgi Sistemleri Yöneticisi, CIO (Chief Information Officer), Hukuk ve İç Denetim çalışanları, Bilgi Güvenliği Yöneticisi ve Risk Yöneticisi olabilecektir. 5

6 Bilgi sistemleri kaynakları ve verileri işe yaptıkları etkiye göre belirlenmeli ve sınıflandırılmalıdır. Bu fonksiyonel alan, tüm bilgi sistemleri kaynaklarının bilinmesi ve uygun şekilde önceliklendirilmesi ile sadece risk yönetimine değil aynı zamanda felaket kurtarma planına da destek vermektedir. Kaynaklar için başvuru noktası olarak kullanılmak üzere kaynak sahibi ve konu uzmanı tanımlanmaktadır. Risk belirleme çalışmaları sonucunda risk kayıtları oluşturulmalıdır. Risk kayıtları, bir risk numarasını, riskin sahibini, riskin sınıfını, riskin açık ifadesini ve riskin değerini (yüksek, orta, düşük vb.) içermelidir. Risk belirleme çalışmaları sırasında kullanılabilecek teknikler arasında olay analizi, tehdit modelleme, saldırıya açık olma analizi, senaryolar ve beyin fırtınaları sayılabilir. Bilgi Teknolojileri Değerleri Nedir? Bilgi teknolojileri değerleri, organizasyon için önemi olan, somut veya soyut bilgi sistemleri bileşenleridir. Bilgi sistemleri değerleri, donanım, yazılım, veri, binalar, altyapı olabileceği gibi ürünler, bilgi kaynakları, müşteri ilişkileri veya itibar da değerler arasında sayılabilir. Riski analiz etmek için, öncelikle her bir değere uygun güvenlik ihtiyaçları maliyeti belirlenmelidir. Değer maliyeti, yeniden oluşturma veya yerine koyma maliyeti olabileceği gibi iş fonksiyonları için önemi, verilerin veya varlıkların kaybedilmesi veya zarar görmesi veya iş fırsatlarının kaçırılması olabilecektir. Bu maliyetlerin tespit edilmesine etki değerlendirmesi adı verilmektedir. Tehdit Nedir? Her risk, bilgi sistemleri değerinin gizliliği, bütünlüğü veya erişilebilirliğini olumsuz yönde etkileyen belirli bir tehditle ilişkilidir. Tehdit, zarar oluşması olasılığı olarak değerlendirilebilir. Örneğin virüs bir tehdittir. Tehditler organizasyon dışından gelebileceği gibi içinden de gelebilmektedir. Herhangi bir zayıflık olmadığı durumda tehdidin kaynağı bir risk oluşturmamaktadır. Bu adımda potansiyel tehdit kaynakları belirlenmeli ve bilgi sistemleri için tehdit olabilecek durumlara ait ifadeler listelenmelidir. En belirgin tehdit kaynakları şunlardır; Çevresel (sel, yıldırım, fırtına, deprem vb.) Organizasyonel eksiklikler (tam tanımlanmamış sorumluluklar vb.) İnsan hataları (şifreleri kağıt üzerine yazma, yanlışlıkla dosya silme vb.) Teknik hatalar (donanım arızaları, kısa devre, sabit disk arızalanması vb.) Planlanmış eylemler (hack leme, e-dolandırıcılık, zararlı kod kullanımı, hırsızlık vb.) Önemli tehdit kaynaklarının yıkıcılık, casusluk veya sadece insan hataları ve kazalar olduğu görülmüştür. İlk iki durumda tehdidin gücü iki önemli etkene bağlıdır: tehdidin motivasyon nedeni ve bilgi sistemi değerinin cazibesi. Tehdide Açıklık Nedir? Tehdide açıklık, bilgi sistemi kaynakları ve/veya süreçleri için tehdidin gerçekleşmesine sebep olabilecek bir zayıflıktır. Bir virüsün tehdit oluşturabilmesi için, antivirüs yazılımı bulunmaması gibi bir tehdit açıklığına ihtiyacı vardır. Tehdidin zayıflıktan yararlanarak oluşturduğu olaya ilişkin maliyet, etki olarak adlandırılmaktadır. Bu maliyetler artan 6

7 masraflar (cezalar, işgücü, ekipman değişimi, yasal ücret vb.) veya olumsuz tanınma sonucu azalan gelir (anlaşmaların, saygınlığın azalması vb.) olabilmektedir. Tehdide açıklıklar, bilgi teknolojileri sisteminin tüm bölümlerinde, örneğin donanımda, yazılımda, organizasyonel yapıda, altyapıda veya personelde olabilmektedir. Zayıflıklar değişik tipte görülebilmektedir: Fiziksel (erişim kontrolü olmaması, koruma olmaması vb.) Mantıksal (güvenlik yamaları veya anti virüs yazılımları olmaması vb.) Ağ (ağ segmentasyonu veya güvenlik kapıları olmaması, güvenilirliği olmayan partilerin bağlanması vb.) Organizasyonel eksiklikler (sorumluluklarının tam tanımlanmamış olması, denetim izlerinin tutulmuyor olması vb.) Çevresel (düzensiz güç kaynakları, su baskını olasılığına elverişli lokasyon vb.) Olabilirlik Nedir? Olabilirlik, tehdidin gerçekleşmesi olasılığıdır ve sistem mimarisi, sistem ortamı, bilgi sistemlerine erişim kontrolleri, motivasyon, tehdidin gücü, açıkların varlığı ve mevcut kontrollerin etkinliği gibi pek çok faktöre bağlıdır. Bilgi sistemleri için risklerin belirlenmesi, sistem veri işleme ortamının iyi anlaşılmasını gerektirmektedir. Bu sebeple risk değerlendirmesi yapılmadan önce sistemle ilişkili bilgiler toplanmalıdır. Bu bilgileri aşağıdaki gibi sınıflandırmak mümkündür; Donanım Yazılım Sistem arayüzleri (içeri ve dışarı bağlantı noktaları vb.) Veri ve bilgi BT sistemine destek veren ve sistemi kullanan kişiler Sistem görevleri (BT sistemi tarafından gerçekleştirilen süreçler) Sistem ve veri kritikliği (sistemin organizasyon için değeri veya önemi vb.) Sistem ve veri hassaslığı Risk Analizi Risk analizi, belirlenmiş risklerin, iş kolu hakkında detaylı bilgiye sahip, iş kolunun devamlılığı için sorumlulukları olan orta seviye yöneticilerle ve çalışanlarla birlikte detaylı incelenmesidir. Potansiyel katılımcılar, iş sürekliliği takım üyeleri, bölüm/birim takım liderleri, teknik uzmanlar, iş yöneticileri ve proje yöneticileri olabilir. Bilgi sistemleri değerlerine ilişkin riskler, nasıl kontrol edilecekleri ve yönetilecekleri belirlenmek üzere analiz edilir. Bu analiz sonucu sadece temel ve kalıcı (inherent) riskler değerlendirilmez aynı zamanda uzatmalı (prolonged) veya artakalan (residual) riskler de (konfigürasyon ve değişiklik kontrolleri veya süreçlerin kullanılmaması vb.) incelenir. Risk analizi, iş süreçlerinin etkilendiği bilgi sistemleri değerlerinin bütünüyle değerlendirildiği bir çalışmadır. 7

8 Risk Sınıflandırma Riskler, organizasyonların bilgi sistemleri risklerini anlamaları, analiz etmeleri ve azaltma stratejileri düzenlemeleri amacıyla organizasyona olan etkilerine göre sınıflandırılabilir. Risk sınıflandırması aşağıdaki şekilde olabilmektedir; Güvenlik riski bilgi değiştirilebilir, erişilebilir veya yetkisiz kişilerce kullanılabilir Erişilebilirlik bilgi veya uygulamalara bir sistem hatası veya doğal bir felaket sonucu erişilemeyebilir Geri Kazanılabilirlik Sistem kaybı veya çökmesi sonrasında BT sistemleri bilgiyi zamanında geri getiremeyebilir Performans riski sistemler, uygulamalar veya personelin veya tüm BT nin beklenenin altında performans göstermesi sonucu iş üretkenliği veya değeri azalabilir Ölçeklenebilirlik BT sistemleri, organizasyonun değişen bilgi gereksinimlerini karşılaması için geliştirilemeyebilir veya değiştirilemeyebilir Uyumluluk riski bilgi tutma ve işleme, düzenlemelere ve BT veya iş politika gereksinimlerine uygun gerçekleştirilemeyebilir Yukarıdaki 6 temel kategori, organizasyonlarda görülen bilgi sistemleri risklerinin öğelerini sınıflandırabilmektedir. Ancak bu 6 temel kategori içerisinde genel bir önceliklendirme yapabilmek mümkün değildir. Her organizasyon kendi özel BT risk profiline sahiptir ve her organizasyon önceliklendirmeyi kendi iş değerlerine göre yapmalıdır. Risk Değerlendirme Risk değerlendirmesi, bilgi sistemi değerleri sınıflandırmasının uygunluğunu ve uygun kontrollerin uygulanıp uygulanmadığını ele almalıdır. Bilgi sistemleri risk değerlendirmesi sadece risk yönetiminin değil aynı zamanda iş sürekliliği ve güvenlik planlamasının da önemli bir parçasıdır. Risk değerlendirmesi, iş süreçleri bağımlılıklarını ve risk oluşumunda etkilenen değerleri hesap etmektedir. Risk değerlendirmesi esnasında göz önüne alınan kriterler, iş öncelikleri, kuruma olan etkinin büyüklüğü, önemlilik, maliyet ve faydalar, paydaş endişeleri ve yasal gereksinimler olabilmektedir. Uygun risk değerlendirmesi için temel bazı varsayımlar yapılmaktadır. Bu varsayımlar aşağıdaki gibi ifade edilebilir; 8

9 İş kolu tanımlanmış olmalıdır İş kolu bir otomasyona sahip olmalıdır Otomasyon, iş kolunun çalışma yapısı içinde kritik kabul edilmelidir İş sahibi tanımlanmış olmalıdır Risk değerlendirme sürecine yardımcı olacak personel belirlenmiş olmalıdır İş kolu BT dışındaki risklere açık olmalıdır Program servislerinin verilmesini kontrol eden yasal parametreler anlaşılır olmalıdır Riske Müdahale Etme Riske müdahale yöntemleri aşağıdaki gibi sınıflandırılabilir: Azaltma Transfer Sakınma Tutma Riske müdahale kararı, iş liderleri ve orta seviye yönetici ve çalışanlarla birlikte yapılan bir çalışmadır. Riske karşı işleyişi ölçmek için ölçekler oluşturmalı ve risk planları hazırlanmalıdır. Risk planları kayıtlarında risk numarası, alınacak aksiyon, görevin kime atandığı, tamamlanma zamanı, statüsü gibi bilgiler yer alabilmektedir. Risk planlarının işleyişi ilgili sorumlu tarafından düzenli olarak takip edilmeli ve aksiyonların sonuçları değerlendirmelidir. Riske müdahale edildikten sonra kalan riskler artakalan risk (residual risk) olarak adlandırılmaktadır. Örneğin disk kriptolama ile dizüstü bilgisayarların çalınması sonucu oluşan veri gizliliğine ilişkin risk azaltılabilir. Ancak disk kriptolama için kullanılan yöntemin kırılması riski her zaman mevcuttur ve artakalan bir risktir. Bununla birlikte kriptolama kullanılmaması öncesine göre daha az bir riskten bahsetmek mümkündür. Artakalan risklerin yönetim tarafından kabul edilmesi gerekmektedir. Bu sebeple, risk kabulü her zaman için bir yönetim kararıdır. Risk paylaşılması, karar verici mercilere ve paydaşlara, potansiyel riskler ve kontroller hakkında bilgi verilmesidir. Paydaşların durumuna göre paylaşım kurum içi veya kurum dışı olabilmektedir. Risk paylaşılması oldukça önemli bir konudur ve risk yönetim sürecinin bir parçası olmalıdır. 9

10 Risk Yönetiminin İzlenmesi Kurumlar bilgi sistemleri risk değerlendirmelerinin yanı sıra risk yönetiminin izlenmesi faaliyetlerini de iç ve/veya dış denetçilere yaptırmaktadırlar. Yapılan değerlendirmeler sonucu riskler belirlenmekte ve tespit edilen bulguların düzeltilmesi aktiviteleri ile reaktif bir yaklaşım izlenmektedir. Bununla birlikte, iş birimlerinin kendileri ile ilgili bilgi sistemleri değerleri için öz değerlendirmeler yapmaları ve denetçiler tespit etmeden riskleri belirlemeleri ve önlemler almaları (proaktif) tercih edilen bir yaklaşımdır. Ancak pek çok kurum bilgi teknolojileri ve öz değerlendirme konusunda yeterli derecede bilgiye sahip bulunmamaktadır. Risk yönetimi izlenmeli ve gerektiğinde değişiklikler yapılmalıdır. Risk yanıtlarının etkin bir şekilde gerçekleştiğini belirlemek için politika ve prosedürler oluşturulmalı ve uygulamalar iç ve dış denetimlerce kontrol edilmelidir. Risk belirleme aşamasında yapılacak izleme, değerine (yüksek-düşük) göre risk sayısının, risk kaydının varlığının/güncelliğinin, süreç sıklığının ve kalitesinin belirlenmesi ve tanımlanmamış risklerin tespit edilmesi ile mümkün olabilmektedir. Risk belirleme aşamasında Üst Yönetim ve Yönetim Kurulu nun endişeleri paylaşılmalı ve yeni risk oluşumları ve mevcut risklerin olabilirliğindeki artış raporlanmalıdır. Risk değerlendirmesi aşamasında yapılacak izleme ile yüksek ve orta dereceli risk sayısı, risk profili varlığı, önceliklendirmenin hangi sıklıkta gözden geçirildiği ve risk hesaplaması uygunluğu incelenmelidir. Risk değerlendirme aşamasında Üst Yönetim ve Yönetim Kurulu ndan girdiler (öncelikleri ve endişeleri) sağlanmalı ve önceliği yüksek riskler, kabul edilen riskler, etkin olmayan kontroller ve azaltma gerektiren riskler raporlanmalıdır. Riske müdahale aşamasında yapılacak izleme ile aksiyon planının varlığı ve güncelliği (kim atanmış, ne zaman tamamlanacak), planın işleyişinin uygunluğu ve riske karşı alınan aksiyonların etkinliği belirlenmelidir. Üst Yönetim, Yönetim Kurulu ve İç Denetim tarafından izleme ve denetlemeler sağlanmalı ve riske karşı alınacak aksiyonlar nelerdir ve uygun aksiyonlar alınmakta mıdır bilgisi paylaşılmalıdır. Başarının anahtarı Başarılı bir risk yönetim programı üst yönetimin sorumluluk almasına, bilgi teknolojileri ekibinin tam desteğine ve katılımına, risk değerlendirme ekibinin yetkinliğine, organizasyon üyelerinin farkındalığına ve işbirliğine bağlıdır. Risk değerlendirme ekibi belirlenen sistemler üzerinde risk değerlendirme metodolojilerini uygulayabilmeli, kritik riskleri belirlemeli, organizasyona uygun ve ihtiyacı karşılayan maliyet-etkin uygulamalar önerebilmelidir. Organizasyon üyeleri ise tanımlanan prosedürleri takip ettikleri ve uygulanan kontrollere uyum gösterdikleri sürece risk yönetim sürecine katkıda bulunacaktır. Önümüzdeki dönemde, tüm üst düzey yöneticilerin ajandalarında BT risk yönetimi daha fazla yer alacaktır. Bilgi sistemleri yatırımlarından beklenen faydaların elde edilebilmesi için kurumların planlarında, BT riskleri konusunda, organizasyonlarında farkındalıklar yaratma ve bilgi sistemleri risklerinin değerlerlendirilmesi çalışmaları bulunması kaçınılmazdır. 10

11 Kaynaklar: Hughes, Greg. IT Risk Management Report, Symantec Corporation, Vol. 1, February 2007 Rasmussen, Michael. Taking Control of IT Risk, Forrester Research, 2005 Weeks, Gerry. IT Risk Management Framework, ISACA Minnesota Chapter, April 2006 Rees, Steve. IT Risk Assessment Framework, ISACA Willamette Valley Chapter, November 2006 Ward, Jeremy. Information Risk Management, Cybersecurity KTN Annual Conference, June 2007 Stoneburner, Gary. Goguen, Alice. Feringa, Alexis. Risk Management Guide for Information Technology Systems, NIST Special Publication , July 2002 European Network and Information Security Agency, Risk Assessment and Risk Management Methods: Information Packages for Small and Medium Sized Enterprises (SMEs), March 2006 Hughes, Greg. Five Steps to IT Risk Management Best Practices. Risk Management Magazine, July 2006 Enterprise Security and Risk Management Office. Risk Management Guide, Information Technology Services, Revision 1.7, March 2007 IT Governance Institute, CobiT 4.1, 2007 Bankacılık Denetleme ve Düzenleme Kurumu. Bankalarda Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Bilgi Sistemleri Denetimi Hakkında Yönetmelik, Mayıs 2006 Bankacılık Denetleme ve Düzenleme Kurumu. Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ, Haziran 2007 Barış Bağcı Deloitte Kurumsal Risk Hizmetleri 11

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri MerSis Bağımsız Denetim Hizmetleri risklerinizin farkında mısınız? bağımsız denetim hizmetlerimiz, kuruluşların Bilgi Teknolojileri ile ilgili risk düzeylerini yansıtan raporların sunulması amacıyla geliştirilmiştir.

Detaylı

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001 İstanbul Bilişim Kongresi Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması COBIT ve ISO 27001 Merve Saraç, CISA merve@mersis.com.tr MerSis Bilgi Teknolojileri Danışmanlık

Detaylı

MerSis. Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri

MerSis. Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri MerSis Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri Bilgi Teknolojileri risklerinize karşı aldığınız önlemler yeterli mi? Bilgi Teknolojileri Yönetimi danışmanlık hizmetlerimiz, Kuruluşunuzun Bilgi

Detaylı

İŞ YATIRIM MENKUL DEĞERLER A.Ş. İŞ SÜREKLİLİĞİ PLANLAMASI A. AMAÇ

İŞ YATIRIM MENKUL DEĞERLER A.Ş. İŞ SÜREKLİLİĞİ PLANLAMASI A. AMAÇ Sayfa No: 1/7 A. AMAÇ Bu politika, nin deprem, yangın, fırtına, sel gibi doğal afetler ile sabotaj, donanım veya yazılım hatası, elektrik ve telekomünikasyon kesintileri gibi önceden tahmin edilebilen

Detaylı

BDDK-Bilgi Sistemlerine İlişkin Düzenlemeler. Etkin ve verimli bir Banka dan beklenenler Bilgi Teknolojilerinden Beklenenler

BDDK-Bilgi Sistemlerine İlişkin Düzenlemeler. Etkin ve verimli bir Banka dan beklenenler Bilgi Teknolojilerinden Beklenenler Gündem Bilgi Sistemlerine İlişkin Yasal Düzenlemeler & COBIT AB Seminer 2009 Bankacılıkta Bilgi Sistemlerine İlişkin Düzenlemeler Etkin ve verimli bir Banka dan beklenenler Bilgi Teknolojilerinden Beklenenler

Detaylı

KURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ KURUMSAL RİSK YÖNETİMİ: KAVRAMSAL VE TEORİK ÇERÇEVE

KURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ KURUMSAL RİSK YÖNETİMİ: KAVRAMSAL VE TEORİK ÇERÇEVE KURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ KURUMSAL RİSK YÖNETİMİ: KAVRAMSAL VE TEORİK ÇERÇEVE SUNUM PLANI 1. RİSK VE RİSK YÖNETİMİ: TANIMLAR 2. KURUMSAL RİSK YÖNETİMİ 3. KURUMSAL RİSK YÖNETİMİ DÖNÜŞÜM SÜRECİ

Detaylı

YAZILIM KALİTE STANDARTLARI

YAZILIM KALİTE STANDARTLARI YAZILIM KALİTE STANDARTLARI MEHMET KEKLĠKÇĠ ĠREM UYGUN KEREM GAZĠOĞLU LEZGĠN AKSOY CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY COBIT NEDİR? Tanım olarak CobiT, Control Objectives for Information

Detaylı

CobiT Çerçevesi. Eliza Natasa Artinyan

CobiT Çerçevesi. Eliza Natasa Artinyan CobiT Çerçevesi Eliza Natasa Artinyan Türkiye de son yıllarda yayılmakta olan CobiT, iş ihtiyaçlarına göre Bilgi Sistemleri nin ne kadar hizmet verdiğinden emin olunmasını sağlayan öneriler bütününden

Detaylı

Tedarikçi risklerini yönetebilmek

Tedarikçi risklerini yönetebilmek www.pwc.com.tr Tedarikçi risklerini yönetebilmek. 12. Çözüm Ortaklığı Platformu İçerik 1. Tedarikçi risklerini yönetme ihtiyacı 2. Tedarikçi risk yönetimi bileşenleri 3. Yasal gelişmeler 2 Tedarikçi risklerini

Detaylı

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ T. C. TÜRK STANDARDLARI ENSTİTÜSÜ TS ISO/IEC 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ, TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Sunucu: Gürol GÖKÇİMEN 25.10.2014 Türk Standardları Enstitüsü 1 Güvenlik;

Detaylı

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi KURUMLAR İÇİN SİBER GÜVENLİK ÖNLEMLERİNİ ÖLÇME TESTİ DOKÜMANI Kurumlar İçin Siber Güvenlik Önlemlerini Ölçme Testi Dokümanı, kamu kurum ve kuruluşları ile özel sektör temsilcilerinin siber güvenlik adına

Detaylı

1- Neden İç Kontrol? 2- İç Kontrol Nedir?

1- Neden İç Kontrol? 2- İç Kontrol Nedir? T.C. İÇİŞLERİ BAKANLIĞI KİHBİ Dairesi Başkanlığı 10 SORUDA İÇ KONTROL MAYIS 2014 ANKARA 1- Neden İç Kontrol? Dünyadaki yeni gelişmeler ışığında yönetim anlayışı da değişmekte ve kamu yönetimi kendini sürekli

Detaylı

Bilgi Sistemleri Risk Yönetim Politikası

Bilgi Sistemleri Risk Yönetim Politikası POLİTİKASI Sayfa :1/7 Bilgi Sistemleri Risk Yönetim Politikası Doküman Bilgileri Adı: Bilgi Sistemleri Risk Yönetim Politikası Doküman No: 01 Revizyon No: İlk yayındır Doküman Tarihi: 01.10.2014 Referans

Detaylı

COBIT Bilgi Sistemleri Yönetimi. Şubat 2009

COBIT Bilgi Sistemleri Yönetimi. Şubat 2009 COBIT Bilgi Sistemleri Yönetimi Şubat 2009 Gündem Bilgi Sistemleri Yönetimi Bilgi Sistemleri Süreçleri Bilgi Sistemleri Yönetimi Uygulama Yol Haritası Bilgi Sistemleri (BS) Yönetimi Bilgi Sistemleri Yönetimi,

Detaylı

KAMU İÇ KONTROL STANDARTLARI

KAMU İÇ KONTROL STANDARTLARI KAMU İÇ KONTROL KONTROL ORTAMI İç kontrolün temel unsurlarına temel teşkil eden genel bir çerçeve olup, kişisel ve mesleki dürüstlük, yönetim ve personelin etik değerleri, iç kontrole yönelik destekleyici

Detaylı

KURUMSAL RİSK YÖNETİMİ RİSK YÖNETİM MODELLERİ

KURUMSAL RİSK YÖNETİMİ RİSK YÖNETİM MODELLERİ KURUMSAL RİSK YÖNETİMİ RİSK YÖNETİM MODELLERİ HAZIRLAYAN : ŞERİF OLGUN ÖZEN, CGAP KİDDER EĞİTİM KOMİTESİ BAŞKANI ÇALIŞMA VE SOSYAL GÜVENLİK BAKANLIĞI İÇ DENETİM BİRİMİ BAŞKANI sozen@csgb.gov.tr EĞİTİMİN

Detaylı

UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5

UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5 UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5 1. AMAÇ Türksat İnternet ve İnteraktif Hizmetler Direktörlüğü nün bilgi güvenliğini yönetmekteki amacı; bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında

Detaylı

10 SORUDA İÇ KONTROL

10 SORUDA İÇ KONTROL T.C. İÇİŞLERİ BAKANLIĞI Avrupa Birliği ve Dış İlişkiler Dairesi Başkanlığı 10 SORUDA İÇ KONTROL 1 Neden İç Kontrol? Dünyadaki yeni gelişmeler ışığında yönetim anlayışı da değişmekte ve kamu yönetimi kendini

Detaylı

www.pwc.com.tr/siberguvenlik Dijital geleceğinizi güven altına almak için Bilgi Güvenliği ve Siber Güvenlik Hizmetlerimiz

www.pwc.com.tr/siberguvenlik Dijital geleceğinizi güven altına almak için Bilgi Güvenliği ve Siber Güvenlik Hizmetlerimiz www.pwc.com.tr/sibergunlik Dijital geleceğinizi gün altına almak için Bilgi Günliği Siber Günlik Hizmetlerimiz Günli bir gelecek için Herşeyi günli hale getirmek mümkün değil. Kurumsal Öncelikleriniz kurumunuz

Detaylı

Yöneticiler için Bilgi Güvenliği

Yöneticiler için Bilgi Güvenliği Yöneticiler için Bilgi Güvenliği GÜVENLİĞİ SAĞLAMAK İÇİN EN KRİTİK ROL YÖNETİM ROLÜDÜR 11.2.2015 1 Tanışma Çağan Cebe Endüstri Mühendisi Barikat Profesyonel Hizmetler - Yönetim Sistemleri Uzmanı 4 Yıl

Detaylı

Altyapımızı Yeni TTK ile uyumlu hale getirmek...

Altyapımızı Yeni TTK ile uyumlu hale getirmek... Altyapımızı Yeni TTK ile uyumlu hale getirmek... Yeni TTK ya uyum, mevzuatı kavrayarak tamamlayabileceğimiz bir sürecin ötesinde; önemli altyapısal değişiklikler getirecek bir dönüşümdür Dış Paydaşlar

Detaylı

Doğal Gaz Dağıtım Sektöründe Kurumsal Risk Yönetimi. Mehmet Akif DEMİRTAŞ Stratejik Planlama ve Yönetim Sistemleri Müdürü İGDAŞ 29.05.

Doğal Gaz Dağıtım Sektöründe Kurumsal Risk Yönetimi. Mehmet Akif DEMİRTAŞ Stratejik Planlama ve Yönetim Sistemleri Müdürü İGDAŞ 29.05. Doğal Gaz Dağıtım Sektöründe Kurumsal Risk Yönetimi Mehmet Akif DEMİRTAŞ Stratejik Planlama ve Yönetim Sistemleri Müdürü İGDAŞ 29.05.2013 İÇERİK Risk, Risk Yönetimi Kavramları Kurumsal Risk Yönetimi (KRY)

Detaylı

BS 8800 İŞ SAĞLIĞI VE İŞ GÜVENLİĞİ YÖNETİM REHBER STANDARDI

BS 8800 İŞ SAĞLIĞI VE İŞ GÜVENLİĞİ YÖNETİM REHBER STANDARDI BS 8800 İŞ SAĞLIĞI VE İŞ GÜVENLİĞİ YÖNETİM REHBER STANDARDI Dr. Handan TOPÇUOĞLU Ph.D. Dr. Şenay ÖZDEMIR Ph.D. İdeal İş sağlığı Ltd.şti. (HS(G)65 BAŞARILI SAĞLIK VE GÜVENLİK YÖNETİM SİSTEMLERİNİ (UK) TEMEL

Detaylı

BT DENETİMİ EĞİTİMİ BÖLÜM 1 Bilgi Teknolojilerinin Hayatımızdaki Yeri

BT DENETİMİ EĞİTİMİ BÖLÜM 1 Bilgi Teknolojilerinin Hayatımızdaki Yeri BT DENETİMİ EĞİTİMİ BÖLÜM 1 Bilgi Teknolojilerinin Hayatımızdaki Yeri Kağan Temel CISA, ISO27001LA 27.5.2016 www.tebit.com.tr 1 EĞİTİMİN AMACI Eğitim Amaçları, Bu eğitim, genel BT denetim konuları, kontrolleri

Detaylı

3- KONTROL FAALİYETLERİ

3- KONTROL FAALİYETLERİ 3- KONTROL FAALİYETLERİ Standart Mevcut Kamu İç Kontrol Standardı ve Genel Şartı Kod No Durum Eylem Kod No Öngörülen Eylem veya Eylemler Sorumlu Birim veya Çalışma grubu üyeleri İşbirliği Yapılacak Birim

Detaylı

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ BT Strateji Yönetimi BT Hizmet Yönetim Politikası Sürüm No: 6.0 Yayın Tarihi: 26.02.2015 444 0 545 2012 Kamu İhale Kurumu Tüm hakları

Detaylı

Kurumsal Yönetişim, Risk Ve Uyum

Kurumsal Yönetişim, Risk Ve Uyum www.pwc.com.tr Kurumsal Yönetişim, Risk Ve Uyum. 12. Çözüm Ortaklığı Platformu 9 Aralık 2013 İçerik 1. GRC Nedir? 2. GRC Çözümleri RSA Archer 3. Başlık 3 4. Başlık 4 11. Çözüm Ortaklığı Platformu 9 Aralık

Detaylı

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ T. C. TÜRK STANDARDLARI ENSTİTÜSÜ BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ, TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Sunucu: Gürol GÖKÇİMEN 1 Bilgi Güvenliği Yönetim Sistemi Bilgi : anlamlı veri, (bir kurumun

Detaylı

T.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı

T.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı T.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı SORU VE CEVAPLARLA İÇ KONTROL Ankara-2012 İÇİNDEKİLER 1 Neden İç Kontrol? 2 İç Kontrol Nedir? 3 İç Kontrolün Amacı Nedir? 4 İç Kontrolün Yasal

Detaylı

28.06.2012 tarihli Bankaların İç Sistemleri Hakkında Yönetmelik in Risk Yönetimine İlişkin Düzenlemeleri

28.06.2012 tarihli Bankaların İç Sistemleri Hakkında Yönetmelik in Risk Yönetimine İlişkin Düzenlemeleri 28.06.2012 tarihli Bankaların İç Sistemleri Hakkında Yönetmelik in Risk Yönetimine İlişkin Düzenlemeleri Yönetici Özeti: 28.06.2012 tarihinde yayımlanan Bankaların İç Sistemleri Hakkında Yönetmelik ile

Detaylı

İç kontrol; idarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak faaliyetlerin etkili, ekonomik ve verimli bir şekilde

İç kontrol; idarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak faaliyetlerin etkili, ekonomik ve verimli bir şekilde İç kontrol; idarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak faaliyetlerin etkili, ekonomik ve verimli bir şekilde yürütülmesini, varlık ve kaynakların korunmasını, muhasebe kayıtlarının

Detaylı

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri o MerSis Danışmanlık Hizmetleri Çalışanlarınız, tesisleriniz, üretim araçlarınız koruma altında! Bilgileriniz? danışmanlık hizmetlerimiz, en değerli varlıklarınız arasında yer alan bilgilerinizin gizliliğini,

Detaylı

Bilgi Teknolojileri ve İş Süreçleri Denetimi

Bilgi Teknolojileri ve İş Süreçleri Denetimi Bilgi Teknolojileri ve İş Süreçleri Denetimi Sinem Cantürk Bilgi Sistemleri Risk Yönetimi Bölüm Başkanı KPMG 6 Haziran 2012 İçerik 1. İç Kontrol Ortamı 1.1 Genel Bakış 1.2 COSO İç Kontrol Modeli 1.3 Kurumsal

Detaylı

Information Technology Infrastructure Library ITIL

Information Technology Infrastructure Library ITIL Yazılım Kalite Standartları Sunum Projesi Information Technology Infrastructure Library ITIL Hazırlıyanlar : Gökhan ÇAKIROĞLU - Feyyaz ATEġ - Çiğdem ELĠBOL - Caner ĠBĠCĠOĞLU ITIL Nedir? Kurum ile BT(Bilgi

Detaylı

İSYS Süreçleri ve Yönetim Sistemleri İçindeki Yeri. Burak Bayoğlu (CISM, CISA, CISSP) TÜBİTAK UEKAE. bayoglu@uekae.tubitak.gov.tr

İSYS Süreçleri ve Yönetim Sistemleri İçindeki Yeri. Burak Bayoğlu (CISM, CISA, CISSP) TÜBİTAK UEKAE. bayoglu@uekae.tubitak.gov.tr İSYS Süreçleri ve Yönetim Sistemleri İçindeki Yeri Burak Bayoğlu (CISM, CISA, CISSP) TÜBİTAK UEKAE bayoglu@uekae.tubitak.gov.tr Sunu Planı İSYS Yaşam Döngüsü ve Motivasyon COBIT 4.1 (TS) ISO/IEC 27001

Detaylı

İSTANBUL ÜNİVERSİTESİ DÖNER SERMAYE İŞLETME MÜDÜRLÜĞÜ HİZMET İÇİ EĞİTİM SUNUMU 02 MAYIS 2014

İSTANBUL ÜNİVERSİTESİ DÖNER SERMAYE İŞLETME MÜDÜRLÜĞÜ HİZMET İÇİ EĞİTİM SUNUMU 02 MAYIS 2014 İSTANBUL ÜNİVERSİTESİ DÖNER SERMAYE İŞLETME MÜDÜRLÜĞÜ HİZMET İÇİ EĞİTİM SUNUMU 02 MAYIS 2014 İÇ KONTROL SİSTEMİ VE KAMU İÇ KONTROL STANDARTLARI DERLEYEN CUMALİ ÇANAKÇI Şube Müdürü SUNUM PLANI İç Kontrol

Detaylı

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ ÖZEL ENTEGRASYON YÖNTEMİ NEDİR? Elektronik faturalamada uzmanlaşmış bir kurumun, başka mükelleflerin faturalarını göndermek ve almak amacıyla kendi sistemini

Detaylı

MEHMET ŞİRİN DENETİM STANDARTLARI DAİRESİ BAŞKANI

MEHMET ŞİRİN DENETİM STANDARTLARI DAİRESİ BAŞKANI MEHMET ŞİRİN DENETİM STANDARTLARI DAİRESİ BAŞKANI Bağımsız Denetim Standartları 1. Kilit Terimlerin Belirlenmesi 2. Metnin Çevrilmesi 3. İlk Uzman Kontrolü 4. Çapraz Kontrol İkinci Uzman Kontrolü 5. Metnin

Detaylı

BS25999 İŞ SÜREKLİLİĞİ İĞİ YÖNETİM M SİSTEMİSTEMİ STANDARDI

BS25999 İŞ SÜREKLİLİĞİ İĞİ YÖNETİM M SİSTEMİSTEMİ STANDARDI BS25999 İŞ SÜREKLİLİĞİ İĞİ YÖNETİM M SİSTEMİSTEMİ STANDARDI Ali Dinçkan, CISA dinckan@uekae.tubitak.gov.tr 6 HAZİRAN 2008 SUNU PLANI İş Sürekliliği Amacı Niçin Endişelenmeliyiz En Sık yapılan Hatalar İş

Detaylı

RİSK YÖNETİMİ İÇERİK: Risk Yönetimi Nedir? Risk Yönetiminin Faydaları Kritik Başarı Faktörleri Risk ile İlgili Tanımlar Görev ve Sorumluluklar

RİSK YÖNETİMİ İÇERİK: Risk Yönetimi Nedir? Risk Yönetiminin Faydaları Kritik Başarı Faktörleri Risk ile İlgili Tanımlar Görev ve Sorumluluklar RİSK YÖNETİMİ İÇERİK: Risk Yönetimi Nedir? Risk Yönetiminin Faydaları Kritik Başarı Faktörleri Risk ile İlgili Tanımlar Görev ve Sorumluluklar STRATEJİ GELİŞTİRME BAŞKANLIĞI 2 Nedir Risk Yönetimi Nedir

Detaylı

KURUMSAL DIŞ DEĞERLENDİRME ÖLÇÜTLERİ. Yükseköğretim Kalite Kurulu

KURUMSAL DIŞ DEĞERLENDİRME ÖLÇÜTLERİ. Yükseköğretim Kalite Kurulu KURUMSAL DIŞ DEĞERLENDİRME ÖLÇÜTLERİ Yükseköğretim Kalite Kurulu İçindekiler Kurumsal Dış Değerlendirme İlkeleri......3 A. Kurum Hakkında Bilgiler..3 B. Kalite Güvencesi Sistemi....3 C. Eğitim ve Öğretim...

Detaylı

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ igur@gelirler.gov.tr Kaynak: GIB ÖZEL ENTEGRASYON NEDİR? Başka mükelleflerin faturalarını göndermek ve almak amacıyla bilgi işlem sisteminin Başkanlık sistemiyle

Detaylı

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER Dr. Hayrettin Bahşi bahsi@uekae.tubitak.gov.tr 11 Mart 2010 Gündem Bulut Hesaplama Sistemleri ve Bilgi Güvenliği Güvenli Yazılım Geliştirme Hayat Döngüsü

Detaylı

Enerji Yönetimi 11 Aralık 2015. Ömer KEDİCİ

Enerji Yönetimi 11 Aralık 2015. Ömer KEDİCİ Enerji Yönetimi 11 Aralık 2015 Ömer KEDİCİ Tanım Enerji yönetimi ; Planlama, Koordinasyon ve Kontrol gibi birbirinden bağımsız olduklarında etkisiz kalabilecek işlevlerin bir araya gelerek oluşturdukları

Detaylı

BÖLÜM 4 İÇ KONTROL SİSTEMİ

BÖLÜM 4 İÇ KONTROL SİSTEMİ BÖLÜM 4 İÇ KONTROL SİSTEMİ Öğr. Gör. Mehmet KÖRPİ KONTROL KAVRAMI İşletmenin belirlenen amaçlarına ulaşması için, işletme yöneticilerinin almış olduğu önlemlere, uyguladığı yöntemlere kontrol usul ve yöntemleri

Detaylı

ĠSYS KURULUMU ve KRĠTĠK BAġARI FAKTÖRLERĠ. Ali DĠNÇKAN,CISA, Tübitak UEKAE dinckan@uekae.tubitak.gov.tr Tel: 0 262 648 15 67

ĠSYS KURULUMU ve KRĠTĠK BAġARI FAKTÖRLERĠ. Ali DĠNÇKAN,CISA, Tübitak UEKAE dinckan@uekae.tubitak.gov.tr Tel: 0 262 648 15 67 ĠSYS KURULUMU ve KRĠTĠK BAġARI FAKTÖRLERĠ Ali DĠNÇKAN,CISA, Tübitak UEKAE dinckan@uekae.tubitak.gov.tr Tel: 0 262 648 15 67 SUNU PLANI Giriş İş Sürekliliği İş Sürekliliğinin Tarihi Gelişimi Dünyadaki ve

Detaylı

POL.01 Rev.Tar/No:22.02.2012/1.0 HĠZMETE ÖZEL

POL.01 Rev.Tar/No:22.02.2012/1.0 HĠZMETE ÖZEL SAYFA 1 / 6 1. AMAÇ TÜRKSAT ın bilgi güvenliğini yönetmekteki amacı; bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirilerek içeriden ve/veya dışarıdan gelebilecek, kasıtlı veya kazayla

Detaylı

KOCAELİ BÜYÜKŞEHİR BELEDİYESİ

KOCAELİ BÜYÜKŞEHİR BELEDİYESİ KOCAELİ BÜYÜKŞEHİR BELEDİYESİ İÇ KONTROL EYLEM PLANI (2010 2011) (KONTROL FAALİYETLERİ) Sorumlu KFS 7 Kontrol stratejileri ve yöntemleri: İdareler, hedeflerine ulaşmayı amaçlayan ve riskleri karşılamaya

Detaylı

KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI REHBERİ. Ramazan ŞENER Mali Hizmetler Uzmanı. 1.Giriş

KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI REHBERİ. Ramazan ŞENER Mali Hizmetler Uzmanı. 1.Giriş KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI REHBERİ 1.Giriş Ramazan ŞENER Mali Hizmetler Uzmanı Kamu idarelerinin mali yönetimini düzenleyen 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu 10.12.2003

Detaylı

İŞ SÜREKLİLİĞİ PLANI OLUŞTURMA REHBERİ. Ferihan Melikoğlu, BTYÖN Danışmanlık

İŞ SÜREKLİLİĞİ PLANI OLUŞTURMA REHBERİ. Ferihan Melikoğlu, BTYÖN Danışmanlık İŞ SÜREKLİLİĞİ PLANI OLUŞTURMA REHBERİ Ferihan Melikoğlu, BTYÖN Danışmanlık İş sürekliliği planları, herhangi bir kriz ya da afet anında söz konusu organizasyonun varoluş sebebi olan iş süreçlerinin kesintisiz

Detaylı

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ İş Sürekliliği İş Sürekliliği Yönetim Sistemi Politikası Sürüm No: 5.0 Yayın Tarihi: 11.05.2014 444 0 545 2012 Kamu İhale Kurumu

Detaylı

İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ

İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ Ali Dinçkan, BTYÖN Danışmanlık İş sürekliliği, kurumun kritik süreçlerinin belirlenmesi, bu süreçlerin sürekliliği için gerekli çalışmaların

Detaylı

BANKACILIK DÜZENLEME VE DENETLEME KURUMU

BANKACILIK DÜZENLEME VE DENETLEME KURUMU BANKACILIK DÜZENLEME VE DENETLEME KURUMU SAYI: BDDK.RGTAD.-II.1-8111 03.10.2001 T.BANKALAR BİRLİĞİ GENEL SEKRETERLİĞİNE Bilindiği üzere, Bankaların İç Denetim ve Risk Yönetimi Sistemleri Hakkında Yönetmelik

Detaylı

ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU Dünyada en çok kullanılan yönetim sistemi standardı ISO 9001 Kalite Yönetim Sistemi Standardının son revizyonu 15 Eylül 2015 tarihinde yayınlanmıştır.

Detaylı

İSG Yönetim Sistemi Prensipleri

İSG Yönetim Sistemi Prensipleri İSG Yönetim Sistemi Prensipleri Taahhüt ve politika Planlama Uygulama ve Çalıştırma Kontrol ve Düzeltici Faaliyet Yönetimin Gözden Geçirmesi ISO 18001 Awareness Training Ders 4 İSG ve OHSAS 18001 1 4.1

Detaylı

Uyum Risk Yönetimi. KPMG İstanbul. Ekim 2014

Uyum Risk Yönetimi. KPMG İstanbul. Ekim 2014 Uyum Risk Yönetimi KPMG İstanbul Ekim 2014 Uyum Yönetimi Uyum Yönetimi, bir kurumun tüm paydaşları (müşteriler, tedarikçiler, kamu kurumları, çalışan ve hissedarlar) tarafından talep edilen ve her geçen

Detaylı

OHSAS 18001 ĐŞ SAĞLIĞI VE GÜVENLĐĞĐ YÖNETĐM SĐSTEMĐ

OHSAS 18001 ĐŞ SAĞLIĞI VE GÜVENLĐĞĐ YÖNETĐM SĐSTEMĐ güncel OHSAS 18001 ĐŞ SAĞLIĞI VE GÜVENLĐĞĐ YÖNETĐM SĐSTEMĐ Dr. Handan TOPÇUOĞLU Ph.D, Dr.Şenay ÖZDEMĐR Ph.D. Đdeal Đş Sağlığı Ltd.Şti ĐSĐG günümüzde bir yönetim sistemi olarak ele alınmaktadır. Bu kapsamda

Detaylı

Kısaca. Müşteri İlişkileri Yönetimi. Nedir? İçerik. Elde tutma. Doğru müşteri 01.06.2011. Genel Tanıtım

Kısaca. Müşteri İlişkileri Yönetimi. Nedir? İçerik. Elde tutma. Doğru müşteri 01.06.2011. Genel Tanıtım Kısaca Müşteri İlişkileri Yönetimi Genel Tanıtım Başar Öztayşi Öğr. Gör. Dr. oztaysib@itu.edu.tr 1 MİY Genel Tanıtım 2 MİY Genel Tanıtım İçerik Müşteri İlişkileri Yönetimi Nedir? Neden? Tipleri Nelerdir?

Detaylı

Dijital Dünyada Yazılım Varlık Yönetiminin Artan Önemi

Dijital Dünyada Yazılım Varlık Yönetiminin Artan Önemi www.pwc.com Dijital Dünyada Yazılım Varlık Yönetiminin Artan Önemi Dijital dönüşümü anlamak İçerik 001 Yazılım Varlık Yönetimi 002 Lisans Değerlendirme Süreci 003 Optimizasyon Modeli ve Öneriler 004 Doğru

Detaylı

GT Türkiye İşletme Risk Yönetimi Hizmetleri. Sezer Bozkuş Kahyaoğlu İşletme Risk Yönetimi, Ortak CIA, CFE, CFSA, CRMA, CPA sezer.bozkus@gtturkey.

GT Türkiye İşletme Risk Yönetimi Hizmetleri. Sezer Bozkuş Kahyaoğlu İşletme Risk Yönetimi, Ortak CIA, CFE, CFSA, CRMA, CPA sezer.bozkus@gtturkey. GT Türkiye İşletme Risk Hizmetleri Sezer Bozkuş Kahyaoğlu İşletme Risk, Ortak CIA, CFE, CFSA, CRMA, CPA sezer.bozkus@gtturkey.com İşletme Risk Hakkında Risk, iş yaşamının ayrılmaz bir parçasıdır ve kaçınılmazdır.

Detaylı

İş Sürekliliğinde Etkin Yönetişim Modeli. Cüneyt Kırlar, CGEIT, PMP, Deloitte Kurumsal Risk Hizmetleri, Ortak

İş Sürekliliğinde Etkin Yönetişim Modeli. Cüneyt Kırlar, CGEIT, PMP, Deloitte Kurumsal Risk Hizmetleri, Ortak İş Sürekliliğinde Etkin Yönetişim Modeli Cüneyt Kırlar, CGEIT, PMP, Deloitte Kurumsal Risk Hizmetleri, Ortak Konular İş Sürekliliğine Yaklaşım Deloitte İş Sürekliliği Metodolojisi Etkin Yönetişim Modeli

Detaylı

Yeni Türk Ticaret Kanunu ile Kurumsallaşma, Denetim ve Risk Yönetimi. Ali Çiçekli, CPA, SMMM TTK İş Geliştirme Lideri 17 Ekim, Swissotel, İstanbul

Yeni Türk Ticaret Kanunu ile Kurumsallaşma, Denetim ve Risk Yönetimi. Ali Çiçekli, CPA, SMMM TTK İş Geliştirme Lideri 17 Ekim, Swissotel, İstanbul Yeni Türk Ticaret Kanunu ile Kurumsallaşma, Denetim ve Risk Yönetimi Ali Çiçekli, CPA, SMMM TTK İş Geliştirme Lideri 17 Ekim, Swissotel, İstanbul 1 Gündem Bir Bakışta Yeni Türk Ticaret Kanunu Kurumsal

Detaylı

KAMU BORÇ İDARESİNDE OPERASYONEL RİSK VE İŞ SÜREKLİLİĞİ YÖNETİMİ

KAMU BORÇ İDARESİNDE OPERASYONEL RİSK VE İŞ SÜREKLİLİĞİ YÖNETİMİ KAMU BORÇ İDARESİNDE OPERASYONEL RİSK VE İŞ SÜREKLİLİĞİ YÖNETİMİ Dr. Emre BALIBEK Genel Müdür Yardımcısı Hazine Müsteşarlığı Kamu Finansmanı Genel Müdürlüğü E-posta: emre.balibek@hazine.gov.tr İÇERİK Hazinede

Detaylı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı Formal Doküman Detayları Hazırlanma Tarihi 20 Eylül 2012 Yayın Taslak Hazırlayan Ersun Ersoy

Detaylı

İş Sürekliliği Yönetimi ve İşe Etki Analizi için bir uygulama örneği

İş Sürekliliği Yönetimi ve İşe Etki Analizi için bir uygulama örneği İş Sürekliliği Yönetimi ve İşe Etki Analizi için bir uygulama örneği Zeki Yazar, Siemens Sanayi ve Ticaret A.Ş. Sayfa 1 Bir uygulama örneği olarak Siemens İş Sürekliliği Yönetimi İşe Etki Analizi Sayfa

Detaylı

Finansal Hizmetler Sektöründe Güvenlik Trendleri Türkiye ve Dünyadaki Son Çalışmalar. Cüneyt Kırlar Kurumsal Risk Hizmetleri Lideri

Finansal Hizmetler Sektöründe Güvenlik Trendleri Türkiye ve Dünyadaki Son Çalışmalar. Cüneyt Kırlar Kurumsal Risk Hizmetleri Lideri Finansal Hizmetler Sektöründe Güvenlik Trendleri Türkiye ve Dünyadaki Son Çalışmalar Cüneyt Kırlar Kurumsal Risk Hizmetleri Lideri 26.02.2013 Katılımcılar Bu yıl gerçekleştirilen araştırma katılımcılarının

Detaylı

bt-pota Bilgi Teknolojileri Hizmetleri Belgelendirme Standartları Merve Saraç Nisan 2008

bt-pota Bilgi Teknolojileri Hizmetleri Belgelendirme Standartları Merve Saraç Nisan 2008 bt-pota Bilgi Teknolojileri Hizmetleri Belgelendirme Standartları Merve Saraç Nisan 2008 1 TÜBİSAD BT Hizmetleri Komisyonu Amaç, Hedef ve Stratejiler BT hizmetleri pazarının büyütülmesi Hizmet kalitesi

Detaylı

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Planlama - Destek

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Planlama - Destek Planlama - Destek Risk ve fırsatları ele alan faaliyetler enel ilgi güvenliği yönetim sistemi planlaması yaparken, kuruluş Madde 4.1 de atıf yapılan hususları ve Madde 4.3. de atıf yapılan şartları göz

Detaylı

Risk Esaslı Denetim Planlaması ve Raporlaması. Kasım 2013 İstanbul

Risk Esaslı Denetim Planlaması ve Raporlaması. Kasım 2013 İstanbul Risk Esaslı Denetim Planlaması ve Raporlaması Kasım 2013 İstanbul Gündem I Neden risk esaslı iç denetim II Gelişen Yeni Risk Konuları Genel Örnekler III Risk esaslı iç denetim planlaması IV Risk esaslı

Detaylı

AĞ TEKNOLOJİLERİ DURUM TESPİT KOMİSYONU (AT-DTK) IV. ULAKNET Çalıştay ve Eğitimi. Yusuf ÖZTÜRK ULAKBİM 24 Mayıs 2010

AĞ TEKNOLOJİLERİ DURUM TESPİT KOMİSYONU (AT-DTK) IV. ULAKNET Çalıştay ve Eğitimi. Yusuf ÖZTÜRK ULAKBİM 24 Mayıs 2010 AĞ TEKNOLOJİLERİ DURUM TESPİT KOMİSYONU (AT-DTK) IV. ULAKNET Çalıştay ve Eğitimi Yusuf ÖZTÜRK ULAKBİM 24 Mayıs 2010 Kuruluş amacı Ağ Teknolojileri Durum Tespit Komisyonu (AT- DTK) çalışma usul ve esaslarının

Detaylı

KKTC MERKEZ BANKASI. BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ

KKTC MERKEZ BANKASI. BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ KKTC MERKEZ BANKASI BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ İçindekiler Giriş... 1 1 Amaç... 1 2 Bilgi Güvenliği Politikaları... 1

Detaylı

GİRİŞ. A. İç Kontrolün Tanımı, Özellikleri ve Genel Esasları:

GİRİŞ. A. İç Kontrolün Tanımı, Özellikleri ve Genel Esasları: GİRİŞ 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu ile kamu da mali yönetim ve kontrol sisteminin bütünüyle değiştirilerek, uluslararası standartlara ve Avrupa Birliği Normlarına uygun hale getirilmesi

Detaylı

KAMU İDARELERİNDE KURUMSAL RİSK YÖNETİMİ. Burhanetin AKTAŞ Müsteşar Yardımcısı

KAMU İDARELERİNDE KURUMSAL RİSK YÖNETİMİ. Burhanetin AKTAŞ Müsteşar Yardımcısı KAMU İDARELERİNDE KURUMSAL RİSK YÖNETİMİ Burhanetin AKTAŞ Müsteşar Yardımcısı 1 Sunum Planı I. Kamu İdarelerinde Risk Yönetimi II. Uluslararası Tecrübeler İngiltere ABD III. Hazine Müsteşarlığı Deneyimi

Detaylı

ERZİNCAN ÜNİVERSİTESİ. BİLGİ YÖNETİM SİSTEMİ Mevcut Durum Analiz ve Kapasite Geliştirme Projesi

ERZİNCAN ÜNİVERSİTESİ. BİLGİ YÖNETİM SİSTEMİ Mevcut Durum Analiz ve Kapasite Geliştirme Projesi ERZİNCAN ÜNİVERSİTESİ ÜST DÜZEY YÖNETİCİ SUNUMU BİLGİ YÖNETİM SİSTEMİ Mevcut Durum Analiz ve Kapasite Geliştirme Projesi Strateji Geliştirme Daire Başkanlığı OCAK 2009 1 Gündem Bilgi Yönetimi Yol Haritası

Detaylı

Acil Durum Yönetim Sistemi ICS 785 - NFPA 1600

Acil Durum Yönetim Sistemi ICS 785 - NFPA 1600 Acil Durum Yönetim Sistemi ICS 785 - NFPA 1600 Başlarken Acil Durum Yönetim Sistemi Kendilerini acil durumlarda da çalışmaya hedeflemiş organizasyon ve kurumların komuta, kontrol ve koordinasyonunu sağlama

Detaylı

RSA. Güvenlikte Büyük Veri Yaklaşımları, Teknolojiler ve Operasyon Modeli. Vedat Finz. Copyright 2012 EMC Corporation. All rights reserved.

RSA. Güvenlikte Büyük Veri Yaklaşımları, Teknolojiler ve Operasyon Modeli. Vedat Finz. Copyright 2012 EMC Corporation. All rights reserved. RSA Güvenlikte Büyük Veri Yaklaşımları, Teknolojiler ve Operasyon Modeli Vedat Finz 1 $ 2 3 Red Hack Saldırıları 4 Geleneksel Güvenlik Artık Yeterli Değil 5 Güvenlik Operasyon Merkezi İçin Yeni Bir Yaklaşım

Detaylı

İç Denetim, Risk ve Uyum Hizmetleri. Danışmanlığı

İç Denetim, Risk ve Uyum Hizmetleri. Danışmanlığı İç Denetim, Risk ve Uyum Hizmetleri Danışmanlığı bölümünde çalışan profesyonellerimiz, birçok yerel ve uluslararası şirkette, organizasyon çapında risk ve kurumsal yönetim konularında yardımcı olmak ve

Detaylı

ISSAI UYGULAMA GİRİŞİMİ 3i Programı

ISSAI UYGULAMA GİRİŞİMİ 3i Programı ISSAI UYGULAMA GİRİŞİMİ 3i Programı 3i Programme Taahhütname ARKA PLAN BİLGİSİ Temel denetim alanları olan mali denetim, uygunluk denetimi ve performans denetimini kapsayan kapsamlı bir standart seti (Uluslararası

Detaylı

Temel İlkeler: Genel Organizasyon İlke 1: Kanuni Temel İlke 2: Yönetim İlke 3: Kapsamlı Risk Yönetimi için Altyapı

Temel İlkeler: Genel Organizasyon İlke 1: Kanuni Temel İlke 2: Yönetim İlke 3: Kapsamlı Risk Yönetimi için Altyapı Temel İlkeler: Genel Organizasyon İlke 1: Kanuni Temel Finansal Piyasa Altyapıları (FPA) tarafından gerçekleştirilen tüm faaliyetlerin iyi tesis edilmiş, açık, şeffaf ve zorlayıcı bir kanuni temele sahip

Detaylı

Madde 7 - İlişki süreçleri www.sisbel.biz

Madde 7 - İlişki süreçleri www.sisbel.biz ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ Madde 7 - İlişki süreçleri 7.1 İş ilişkisi yönetimi Hizmet sağlayıcı; müşterileri, kullanıcıları ve hizmetlerin ilgili taraflarını

Detaylı

Kurumsal Risk Yönetimi Sürecinde İç Denetimin Rolü ve Katkısı - Enerjisa Uygulaması -

Kurumsal Risk Yönetimi Sürecinde İç Denetimin Rolü ve Katkısı - Enerjisa Uygulaması - Kurumsal Risk Yönetimi Sürecinde İç Denetimin Rolü ve Katkısı - Enerjisa Uygulaması - Fuat Öksüz, SMMM Enerjisa Enerji A.Ş. Planlama ve Kontrol Bölüm Başkanı 29 Eylül 2014 1 İçindekiler Bir Bakışta Enerjisa

Detaylı

Madde 5- Yeni ya da Değişen Hizmetlerin Tasarlanması ve Dönüşümü

Madde 5- Yeni ya da Değişen Hizmetlerin Tasarlanması ve Dönüşümü ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ Madde 5- Yeni ya da Değişen Hizmetlerin Tasarlanması ve Dönüşümü 5.1 Genel Hizmet sağlayıcı, hizmetler ve müşteri üzerinde önemli

Detaylı

İÇ DENETİM VE İÇ KONTROL İLİŞKİSİ

İÇ DENETİM VE İÇ KONTROL İLİŞKİSİ İÇ DENETİM VE İÇ KONTROL İLİŞKİSİ Sabri Çakıroğlu, CFE, CGAP, CRMA İstanbul Büyükşehir Belediyesi İç Denetim Birimi Başkanı 29.03.2013-Antalya SUNUM PLANI İç Kontrolün Tanımı İç Denetimin Tanımı İç Denetim

Detaylı

İç Kontrol Nedir? İç kontrol tanımında önemli olan bazı unsurlar şunlardır:

İç Kontrol Nedir? İç kontrol tanımında önemli olan bazı unsurlar şunlardır: İç Kontrol Nedir? İç kontrol kurumların hedeflerine ulaşması ve misyonlarını gerçekleştirmesi; bu yolda ilerlerken önlerine çıkabilecek belirsizliklerin en aza indirilmesi amacıyla uygulanan süreçtir.

Detaylı

SÜREÇ YÖNETİMİ VE İÇ KONTROL STRATEJİ GELİŞTİRME BAŞKANLIĞI İÇ KONTROL DAİRESİ

SÜREÇ YÖNETİMİ VE İÇ KONTROL STRATEJİ GELİŞTİRME BAŞKANLIĞI İÇ KONTROL DAİRESİ SÜREÇ YÖNETİMİ VE İÇ KONTROL STRATEJİ GELİŞTİRME BAŞKANLIĞI İÇ KONTROL DAİRESİ SÜREÇ NEDİR? Müşteri/Vatandaş için bir değer oluşturmak üzere, bir grup girdiyi kullanarak, bunlardan çıktılar elde etmeyi

Detaylı

ISO-BGYS-PL-02 Bilgi Güvenliği Politikası

ISO-BGYS-PL-02 Bilgi Güvenliği Politikası ISO-BGYS-PL-02 Bilgi Güvenliği Politikası İlk Yayın Tarihi : 08.10.2015 *Tüm şirket çalışanlarının görebileceği, şirket dışı kişilerin görmemesi gereken dokümanlar bu sınıfta yer alır. ISO-BGYS-PL-02 08.10.2015

Detaylı

İTİBAR RİSKİNİN YÖNETİMİNE İLİŞKİN REHBER BİRİNCİ KISIM. Amaç ve Kapsam

İTİBAR RİSKİNİN YÖNETİMİNE İLİŞKİN REHBER BİRİNCİ KISIM. Amaç ve Kapsam 31 Mart 2016 Bankacılık Düzenleme ve Denetleme Kurulu Sayı: 6827 İYİ UYGULAMA REHBERİ Bankacılık Düzenleme ve Denetleme Kurumundan: İTİBAR RİSKİNİN YÖNETİMİNE İLİŞKİN REHBER BİRİNCİ KISIM Amaç ve Kapsam

Detaylı

Lojistik ve Taşımacılık Sektöründe Yeni Hizmet Modeli. Lojistik ve Taşımacılık Sektöründe Yeni Hizmet Modeli

Lojistik ve Taşımacılık Sektöründe Yeni Hizmet Modeli. Lojistik ve Taşımacılık Sektöründe Yeni Hizmet Modeli Lojistik ve Taşımacılık Sektöründe Yeni Hizmet Modeli Lojistik ve Taşımacılık Sektöründe Yeni Hizmet Modeli HOŞGELDİNİZ Erdal Kılıç SOFT Gökhan Akça KoçSistem Lojistik ve Taşımacılık Sektöründe Yeni Hizmet

Detaylı

28 Yıllık Sektör Tecrübesiyle

28 Yıllık Sektör Tecrübesiyle 28 Yıllık Sektör Tecrübesiyle Filiz ESER, MSc., PMP Kurucu, Filiz ESER Danışmanlık Proje Yönetimi, Süreç İyileştirme-CMMI, SPICE, Risk Yönetimi +90 312 440 86 83 Ankara www.fidesbt.com Giriş Hakkımızda

Detaylı

ISO 9001:2000 KYS nedir, ne yapılacaktır?

ISO 9001:2000 KYS nedir, ne yapılacaktır? ISO 9001:2000 KYS nedir, ne yapılacaktır? 1 Giriş Kurumumuz ISO 9001 Standardı na uyum sağlanması, Ülkeler arası sınırların ortadan kalkmakta olduğu günümüz dünyasında eğitimde rekabet gücümüzün artmasını

Detaylı

DOK-004 BGYS Politikası

DOK-004 BGYS Politikası DOK-004 BGYS Politikası 1/7 Hazırlayanlar İsim Şule KÖKSAL Ebru ÖZTÜRK Döndü Çelik KOCA Unvan Defterdarlık Uzmanı Defterdarlık Uzmanı Çözümleyici Onaylayan İsim Mustafa AŞÇIOĞLU Unvan Genel Müdür Yardımcısı

Detaylı

ITMS DAYS www.itmsdays.com. Information Technologies Management Systems Days

ITMS DAYS www.itmsdays.com. Information Technologies Management Systems Days ITMS DAYS Information Technologies Management Systems Days FİNANS PİYASALARINDA BİLGİ GÜVENLİĞİ VE ISO 27001 Dr. İzzet Gökhan ÖZBİLGİN Bilişim Uzmanı, SPK Finansal Piyasalar TAKASBANK Aracı Kuruluşlar

Detaylı

TÜRKİYE DENETİM STANDARTLARI RİSKİN ERKEN SAPTANMASI SİSTEMİ VE KOMİTESİ HAKKINDA DENETÇİ RAPORUNA İLİŞKİN ESASLARA YÖNELİK İLKE KARARI

TÜRKİYE DENETİM STANDARTLARI RİSKİN ERKEN SAPTANMASI SİSTEMİ VE KOMİTESİ HAKKINDA DENETÇİ RAPORUNA İLİŞKİN ESASLARA YÖNELİK İLKE KARARI TÜRKİYE DENETİM STANDARTLARI RİSKİN ERKEN SAPTANMASI SİSTEMİ VE KOMİTESİ HAKKINDA DENETÇİ RAPORUNA İLİŞKİN ESASLARA YÖNELİK İLKE KARARI 18 Mart 2014 SALI Resmî Gazete Sayı : 28945 KURUL KARARI Kamu Gözetimi,

Detaylı

Bilgi Teknolojileri Servis Sürekliliği

Bilgi Teknolojileri Servis Sürekliliği Bilgi Teknolojileri Servis Sürekliliği Faaliyetlerinizdeki bir kesinti nedeniyle katlandığınız maliyet, itibarınıza olan etkisiyle karşılaştırıldığında önemsiz kalabilir. Birçok şirket bilgi teknolojileri

Detaylı

LOGO İÇ DENETİM BİRİMİ BAŞKANLIĞI. SUNUCULAR Cahit KURTULAN Volkan ÜNLÜ M.Hulisi GÜNŞEN

LOGO İÇ DENETİM BİRİMİ BAŞKANLIĞI. SUNUCULAR Cahit KURTULAN Volkan ÜNLÜ M.Hulisi GÜNŞEN LOGO SUNUCULAR Cahit KURTULAN Volkan ÜNLÜ M.Hulisi GÜNŞEN SUNUM PLANI 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu nun Getirdiği Sistem İçerisinde İç Kontrol ve İç Denetimin Yeri ve İşlevleri İzmir

Detaylı

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ BT Strateji Yönetimi BT Hizmet Yönetim Politikası Sürüm No: 5.0 Yayın Tarihi: 14.07.2014 444 0 545 2012 Kamu İhale Kurumu Tüm hakları

Detaylı

Yükseköğretim Kalite Kurulu. 13 Nisan 2016- ANKARA

Yükseköğretim Kalite Kurulu. 13 Nisan 2016- ANKARA 13 Nisan 2016- ANKARA KURUM İÇ DEĞERLENDİRME RAPORU (KİDR) İÇERİĞİ Kurum Kalite Güvence Sistemi Eğitim ve Öğretim Araştırma ve Geliştirme Yönetim Sistemi Kurum Hakkında Bilgiler KİDR Sonuç ve Değerlendirme

Detaylı

BT Maliyetlerinde Etkin Yönetim Stratejileri *

BT Maliyetlerinde Etkin Yönetim Stratejileri * PwC Türkiye V. Çözüm Ortaklığı Platformu BT Maliyetlerinde Etkin Yönetim Stratejileri * Anıl l Erkan, Kıdemli K Müdür, M Danış ışmanlık Hizmletleri Seda Babür, Danış ışman, Danış ışmanlık Hizmletleri PwC

Detaylı

Risk yönetiminin kavramsal temelleri ve önemli ilkeleri. Farklı risk çeşitlerinin sınıflandırılması

Risk yönetiminin kavramsal temelleri ve önemli ilkeleri. Farklı risk çeşitlerinin sınıflandırılması 1.2.8 Risk Yönetimi Salı, 13.09.2011 Risk yönetiminin kavramsal temelleri ve önemli ilkeleri Farklı risk çeşitlerinin sınıflandırılması Risk Yönetimi Etkilerini azaltmak için risk seviyesini kontrol etmenin

Detaylı