Bilgi Teknolojileri Yönetişim ve Denetim Konferansı BTYD 2010

Benzer belgeler
MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri

BDDK-Bilgi Sistemlerine İlişkin Düzenlemeler. Etkin ve verimli bir Banka dan beklenenler Bilgi Teknolojilerinden Beklenenler

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

AĞ TEKNOLOJİLERİ DURUM TESPİT KOMİSYONU (AT-DTK) IV. ULAKNET Çalıştay ve Eğitimi. Yusuf ÖZTÜRK ULAKBİM 24 Mayıs 2010

MerSis. Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri

İSYS Süreçleri ve Yönetim Sistemleri İçindeki Yeri. Burak Bayoğlu (CISM, CISA, CISSP) TÜBİTAK UEKAE.

TİDE - TÜRKİYE İÇ DENETİM ENSTİTÜSÜ

III. PwC Çözüm Ortaklığı Platformu Şirketlerde İç Kontrol ve İç Denetim Fonksiyonu* 22 Aralık 2004

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

Dr. Bertan Kaya, CIA. Control Solutions International

Yeni Uluslararası Mesleki Uygulama Çerçevesi (Yeni UMUÇ) Dr. Onuralp Armağan, SMMM, CIA, CRMA Doğuş Grubu Salıpazarı Liman İşl. A.Ş.

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

SPK Bilgi Sistemleri Tebliğleri Uyum Yol Haritası

ITMS DAYS Information Technologies Management Systems Days

İÇ KONTROL ve İÇ DENETİM

SÜREKLİ DENETİM MODELLERİ VE YAKLAŞIMLARI

Bilgi Teknolojileri ve İş Süreçleri Denetimi

Bilgi Teknolojileri Yönetişim ve Denetim Konferansı BTYD 2010

LOGO İÇ DENETİM BİRİMİ BAŞKANLIĞI. SUNUCULAR Cahit KURTULAN Volkan ÜNLÜ M.Hulisi GÜNŞEN

BT DENETİMİ EĞİTİMİ BÖLÜM 1 Bilgi Teknolojilerinin Hayatımızdaki Yeri

Bilgi Teknolojileri Yönetişim ve Denetim Konferansı BTYD 2010

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

YAZILIM KALİTE STANDARTLARI

BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ

İSTANBUL ÜNİVERSİTESİ DÖNER SERMAYE İŞLETME MÜDÜRLÜĞÜ HİZMET İÇİ EĞİTİM SUNUMU 02 MAYIS 2014

İç Denetim Birimi Başkanlığı İSTANBUL BÜYÜKŞEHİR BELEDİYESİ

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

Performans Denetimi Hesap verebilirlik ve karar alma süreçlerinde iç denetimin artan katma değeri. 19 Ekim 2015 XIX.Türkiye İç Denetim Kongresi

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

BİLGİ GÜVENLİĞİ POLİTİKASI

TÜRK TELEKOM'DA İÇ DENETİM

Sibergüvenlik Faaliyetleri

SPK Bilgi Sistemleri Tebliğleri

İç Denetim: Kurumsal Yönetimin Güvencesi

1. AŞAMA TETKİK PROSEDÜRÜ

ÇELİKEL A.Ş. Bilgi Güvenliği Politikası

Laboratuvar Akreditasyonu

Bilgi Teknolojileri Yönetişim ve Denetim Konferansı BTYD 2010

Bilgi Teknolojileri Yönetişim ve Denetim Konferansı BTYD 2010

ANET Bilgi Güvenliği Yönetimi ve ISO Ertuğrul AKBAS [ANET YAZILIM]

COBIT Bilgi Sistemleri Yönetimi. Şubat 2009

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

T.C. UŞAK ÜNİVERSİTESİ REKTÖRLÜĞÜ İç Denetim Birimi STRATEJİ GELİŞTİRME DAİRE BAŞKANLIĞINA

5018 sayılı Kanunla kamu idarelerinin yapısında İç Denetim Sistemi oluşturulmuştur. Bu Kanunla; Maliye Bakanlığı İç Denetim Koordinasyon Kurulu

(2. AŞAMA) SAHA TETKİKİ PROSEDÜRÜ

ÖN TETKİK PROSEDÜRÜ. İlk Yayın Tarihi: Doküman Kodu: PR 09. Revizyon No-Tarihi: Sayfa No: 1 / 6 REVİZYON BİLGİSİ. Hazırlayan : Onaylayan :

MIS 325T Servis Stratejisi ve Tasarımı Hafta 7:

İç Kontrol Yönetim Sistemi (İKYÖS) Hayati riskler her zaman olabilir, önemli olan onları görebilecek sistemlere sahip olabilmek!

Information Technology Infrastructure Library ITIL

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

Bilgi Teknolojileri Yönetişimi Denetim Konferansı BTYD 2010

G.M.K. Bulvarı No: 71 Maltepe / Ankara

BİLGİ GÜVENLİĞİ POLİTİKASI

T.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı

T.C. ADANA BİLİM VE TEKNOLOJİ ÜNİVERSİTESİ Strateji Geliştirme Daire Başkanlığı SORU VE CEVAPLARLA KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI

Dene0m Faaliyetlerinin Dönüşümünde, İç Denetçinin Liderlik Rolüne İlişkin Bir Uygulama Modeli

T.C. GÜNEY MARMARA KALKINMA AJANSI İÇ KONTROL İZLEME VE YÖNLENDİRME KOMİTESİNİN GÖREV VE SORUMLULUKLARI HK YÖNERGE BİRİNCİ BÖLÜM

Yöneticiler için Bilgi Güvenliği

Teknoloji Trendleri, Veri Merkezleri ve Uyum

Üçüncü Taraf Risklerinin Denetimi

İSTANBUL ÜNİVERSİTESİ İç Denetim Birimi Başkanlığı İÇ DENETİM TANITIM BROŞÜRÜ

Uyum Risk Yönetimi. KPMG İstanbul. Ekim 2014

SPK Bilgi Sistemleri Tebliğleri

DENETİM KOÇLUĞU EĞİTİM SERİSİ

Dijital Dünyada Yazılım Varlık Yönetiminin Artan Önemi

TÜRK AKREDİTASYON KURUMU R20.08

11. Çözüm Ortaklığı Platformu Riskin erken saptanması ve iç denetim 10 Aralık 2012

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kapsam - Terimler

aselsan Açık Pozisyonlar Bilgi Teknolojileri (BT) Denetçisi İç Denetçi

BÖLÜM 1 TEDARİK ZİNCİRİ

1.BAĞIMSIZ DENETİM YÖNETMELİĞİNDE DENETİM KALİTESİ GENEL ÇERÇEVESİNE İLİŞKİN DÜZENLEMELER

Sayı : B.13.1.SGK.0.(İÇDEN).00.00/04 18/01/2008 Konu : İç Denetim Birimi GENELGE 2008/8

Yeni Türk Ticaret Kanunu ile Kurumsallaşma, Denetim ve Risk Yönetimi. Ali Çiçekli, CPA, SMMM TTK İş Geliştirme Lideri 17 Ekim, Swissotel, İstanbul

İÇ DENETİMDE STRATEJİK İLETİŞİM ZEKASI

Bilgi Güvenliği Politikası. Arvato Bertelsmann İstanbul, Türkiye. Versiyon 2016_1. Arvato Türkiye. Yayınlayan

HAZIRLAYANLAR: DENİZ YALVAÇ ALPER ÖZEN ERHAN KONAK

COBIT (Control OBjectives for Information and related Technology) Vildan UZUNAY İç Kontrol Merkezi Uyumlaştırma Dairesi

1- Neden İç Kontrol? 2- İç Kontrol Nedir?

LABORATUVAR BİLGİ SİSTEMİ NEDİR? ÇALIŞMA PRENSİPLERİ NELERDİR?

Kurumsal Yönetim, Halka Açılma ve İç Denetimin Rolü

2015/3.DÖNEM SERBEST MUHASEBECİ MALİ MÜŞAVİRLİK SINAVLARI MUHASEBE DENETİMİ 28 Kasım 2015-Cumartesi 09:00-10:30

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER

ISO/IEC BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ. Terimler Ve Tarifler.

10 SORUDA İÇ KONTROL

CICS / CICP Sertifika Programları. Eğitim Kataloğu. Hazırlayan: İç Kontrol Enstitüsü

T.C. GÜMRÜK VE TİCARET BAKANLIĞI İç Denetim Birimi Başkanlığı KALİTE GÜVENCE VE GELİŞTİRME PROGRAMI

SÜREÇ YÖNETİMİ VE İÇ KONTROL STRATEJİ GELİŞTİRME BAŞKANLIĞI İÇ KONTROL DAİRESİ

Risk Esaslı Denetim Planlaması ve Raporlaması. Kasım 2013 İstanbul

KURUMSAL RİSK YÖNETİMİ RİSK YÖNETİM MODELLERİ

CICS / CICP Sertifika Programları İçin. Kurs Kataloğu

Bankacılık Sektörü İle Kamu İdarelerindeki İç Denetim Uygulamalarının Karşılaştırılması ve Geleceğe İlişkin Değerlendirmeler

İç denetimin yarattığı katma değer ve ölçümü

İş Sürekliliği Yönetimi ve İşe Etki Analizi için bir uygulama örneği

İSTANBUL ÜNİVERSİTESİ İÇ DENETİM BİRİMİ BAŞKANLIĞI İÇ DENETİM TANITIM BROŞÜRÜ

İç Denetim ve Metodolojisi. Emre Özbek

İç Denetim Terimler Sözlüğü

İç kontrol; idarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak faaliyetlerin etkili, ekonomik ve verimli bir şekilde

Elektrik Altyapılarında Bilgi Güvenliği Riskleri ve Çözümler

Transkript:

Bilgi Teknolojileri Yönetişim ve Denetim Konferansı 1

İç Denetimde Bilgi Sistemleri Denetiminin Yeri Dr. Eren GEGİN 2

İç Denetim Nedir? 3 Genel Kabul Görmüş Olan Tanım* İç denetim, bir kurumun faaliyetlerini geliştirmek ve onlara değer katmak amacını güden bağımsız ve objektif bir güvence ve danışmanlık faaliyetidir. İç denetim, kurumun risk yönetim, kontrol ve yönetişim süreçlerinin etkililiğini değerlendirmek ve geliştirmek amacına yönelik sistemli ve disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardımcı olur. * TİDE Kırmızı Kitap, sy.2

4 Uluslararası İç Denetim Standartları Performans Standartları: 2120.A1 İç denetim faaliyeti, aşağıdakileri dikkate alarak, kurumun yönetişim süreçlerinin, faaliyetlerinin ve bilgi sistemlerinin maruz kaldığı riskleri değerlendirmek zorundadır: Mali ve operasyonel bilgilerin güvenilirliği ve doğruluğu, Faaliyetlerin etkililik ve verimliliği, Varlıkların korunması, Kanun, düzenleme ve sözleşmelere uyum.

5 Uluslararası İç Denetim Standartları Performans Standartları: 2130.A1 İç denetim faaliyeti, kurumun yönetişim, faaliyet ve bilgi sistemlerinin içinde bulunan risklere cevap olarak, kontrollerin yeterliliğini ve etkililiğini aşağıdaki konularla ilgili olarak değerlendirmek zorundadır: mali ve operasyonel bilgilerin güvenilirliği ve doğruluğu, faaliyetlerin etkililik ve verimliliği, varlıkların korunması, kanunlara, düzenlemelere ve sözleşmelere uyum.

Bilgi Sistemleri (ya da Teknolojileri) Denetimi 6 Genel kabul görmüş bir tanımı yok! Genel tanımlardan bir tanesi: İşin genel kontrol amaçlarının desteklenmesi amacıyla bilgi sistemleri ya da bilgi teknolojileri kontrollerinin kalitesinin ve etkililiğinin resmi bir şekilde doğrulanması ve onaylanması

7 IIA e Göre Bilgi Teknolojilerinin Tanımı Bilgi işlemek ve iletişim sağlamak üzere kullanılan her türlü bilgisayar donanımı ve yazılımı, Teknolojinin uygulanması ve muhafaza edilmesine dönük süreçlerin tamamı, Söz konusu teknolojinin kullanımı ile ilişkili her türlü insan kaynağı Orijinali: All the computer hardware and software used to process information and provide communications, the processes for administering and maintaining the technology, and the human resources associated with the use of technology. Kaynak: GTAG 1, sy. 46

Bilgi Sistemleri Denetimi Tanım 8 Kurum tarafından kullanılan tüm yazılım, donanım ve bilgi sistem ve teknolojilerinin*; Kurumun amaçları ile uyumlu olup olmadığının yeterli, etkin ve verimli bir şekilde kullanılıp kullanılmadığının, bilgi işlem sistemlerinde yer alan tüm kayıtların ve bilginin gizliliği ile izinsiz erişimlere karşı güvenilirliğinin sağlanıp sağlanmadığının sistematik bir yaklaşımla değerlendirilmesidir. * Control Objectives For Information and Related Technology (COBIT), Framework Control Objectives Management Guidelines Maturity Models, Version: 4.1., sy.9-11

Bilgi Sistemleri Denetimi (2) 9 ISACA nın tanımı *: Bilgi sistemlerinin ve ilgili diğer kaynakların; yeterli bir şekilde şirket varlıklarını koruduğu, veri ve sistem bütünlüğünü sağladığı, ilgili ve güvenilir bilgi sağladığı, organizasyonel amaçlara etkili bir şekilde ulaşılması, kaynakların etkin bir şekilde kullanılması, operasyonel amaçların ve kontrol amaçlarının elde edilmesi amacıyla gereken iç kontrollerin var olup olmadığı konularında makul bir güvence sağlamak üzere gerekli bulguların toplanması ve analiz edilmesidir. * CISA Review Manual, 2009, sy.34

10 Bilgi Sistemleri Denetiminin Unsurları Fiziksel ve Çevresel Faktörlerin Kontrolü * Sistemlerin fiziksel güvenliği, güç merkezi, havalandırma, nem ve diğer çevresel faktörlerin kontrolünü kapsar. Sistem Yönetiminin Kontrolü İşlemekte olan sistemler, veri tabanı yönetim sistemleri, tüm sistem yönetim prosedürleri ve bunlara uyumun kontrolü. Uygulama Yazılımlarının Kontrolü Ücretlerin ödenmesi, faturalandırma, web tabanlı müşteri sipariş kabul sistemi, işletme kaynak planlama sistemi gibi işletmenin faaliyetlerini sürdürmesi amacıyla kullandığı yazılımların kontrolünü içerir. Bu sistemlerin kontrolü ve gözden geçirilmesi, erişim kontrolleri ve onayları, doğrulamalar, hata ve istisnai işlemlerin yönetimi, manuel süreçlerin kontrolü vs. içerir. Bunlara ilave olarak sistem geliştirme döngüsünün (lifecycle) de mutlaka bu gözden geçirmeye dahil edilmesi gerekir. Ağ Güvenliğinin Kontrolü Sisteme dahili ve harici erişimlerin kontrolü, güvenlik duvarı, izinsiz girişlerin kontrolü gibi tipik kontrolleri kapsar. İş Sürekliliğinin Kontrolü Yedekleme ve veri stoklama prosedürleri, planlanarak dokümante edilmiş ve bizzat test edilmiş acil durum ya da iş sürekliliği planlarının kontrolü. Veri Bütünlüğünün Gözden Geçirilmesi Bilgisayar Destekli Denetim Teknikleri (CAAT) de kullanılmak suretiyle canlı verinin yeterliliğinin kontrol edilmesi. * S. Anantha Sayana, IT Audit Basics, ISACA Journal, Vol I, 2002.

11 Bilgi Sistemleri Denetimi (3) Kurum faaliyetlerinin etkin ve verimli bir şekilde gerçekleştirilmesi, Üretilen finansal veri ve raporların güvenilir olması, Kurum varlıklarının (aktiflerinin) korunması ya da Faaliyetler sırasında mevzuata uygunluğun sağlanması amacıyla aldıkları her türlü karar, önlem ya da yaptıkları uygulamaların toplamı

İç Denetim Yaklaşımı 12 Birim Bazlı Geleneksel Yaklaşım Süreç Bazlı Modern Yaklaşım

İç Denetim Yaklaşımındaki Farklılıklar 13

İç Denetim Yaklaşımındaki Farklılıklar (2) 14 Temel Karar Noktaları Bilgi Sistemleri Denetimi Hangi Yaklaşıma Göre Yapılacak? Avantajları, Dezavantajları Hangi Metodoloji, Yöntem Kullanılacak? COBIT, ITIL, ISO\IEC 27002-ISO\IEC 27001 NIST SP800-53-Recommended Security Controls for Federal Information Systems CMMI.

COBIT 15 4 ana grup (Planlama ve Organizasyon, Tedarik ve Uygulama, Teslim ve Destekleme, İzleme) altında düzenler, 34 üst düzey, 300 detaylı kontrol amacı belirler, 36 genel kabul görmüş BT standardı ve uygulamasını referans alır

Bilgi Sistemleri Denetimi 16 Herkesin Üzerinde Mutabık Olduğu Bir Başka Konu Risk Bazlı Denetim

17 Uluslararası İç Denetçiler Enstitüsü IIA nin Konuya Bakışı Zorunlu Değil, Kuvvetle Tavsiye Edilen Rehber İçerisinde!

18 Uluslararası İç Denetçiler Enstitüsü IIA nin Konuya Bakışı Uygulama Rehberleri İç denetim faaliyetinin yönetiminde ayrıntılı rehberlik sağlar. Araç ve teknikler, programlar, adım adım uygulamalar ve uygulama örnekleri gibi ayrıntılı süreç ve prosedürler bulunmaktadır*. 1. GTAG lar (Global Technology Audit Guides) Global Teknoloji Denetim Rehberleri 2. GAİT ler (Guide to the Assesment of IT Risk) Bilişim Risklerinin Değerlendirme Rehberi * TİDE Kırmızı Kitap, sy. xix

19 Uluslararası İç Denetçiler Enstitüsü IIA nin Konuya Bakışı GTAG lar PG GTAG-15: Bilgi Güvenliği Yönetimi (Information Security Governance) PG GTAG-14: Kullanıcı Bazlı Geliştirilen Uygulamaların Denetimi (Auditing User-developed Applications) PG GTAG-13: Otomasyonda Yolsuzlukların Tespiti ve Önlenmesi (Fraud Prevention and Detection in an Automated World) PG GTAG-12: BS Projelerinin Denetimi (Auditing IT Projects) PG GTAG-11: BS Denetim Planının Geliştirilmesi (Developing the IT Audit Plan) PG GTAG-10: İş Sürekliliği Yönetimi (Business Continuity Management) PG GTAG-9: Kimlik ve Erişim Yönetimi (Identity and Access Management) PG GTAG-8: Uygulama Kontrollerinin Denetimi (Auditing Application Controls) PG GTAG-7: Bilgi Sistemlerinin Dış Kaynaklardan Tedariki (Information Technology Outsourcing) PG GTAG-6: Bilgi Sistemlerinin Zayıf Noktalarının Denetim ve Yönetimi (Managing and Auditing IT Vulnerabilities) PG GTAG-5: Gizlilik Risklerinin Yönetim ve Denetimi (Managing and Auditing Privacy Risks) PG GTAG-4: Bilgi Sistemleri Denetiminin Yönetimi (Management of IT Auditing) PG GTAG-3: Sürekli Denetim: Güvence, İzleme ve Risk Değerlemeye Dönük Sonuçlar (Continuous Auditing) PG GTAG-2: Değişim ve Onarım Yönetimi Kontrolleri (Change and Patch Management Controls:Critical for Organizational Success) PG GTAG-1: Bilgi Teknolojileri Kontrolleri (Information Technology Controls)

Bilgi Sistemleri Denetiminin Yapısı 20 GTAG-1: Bilgi Teknolojileri Kontrolleri, Sy. 2-3

Bilgi Teknolojileri Riski 21 Genel Yanlış Görüş: BT Riski, Bilgi Güvenliği Riskinden İbarettir Doğrusu: İş ve organizasyon ile ilgili çok sayıda farklı riski de içerir, farklı risk gruplarıyla içiçe geçmiştir Örnek: BT uygulamalarının büyümeye uyum gösterememesi (stratejik risk), Pazarın ihtiyaç duyduğu BT uygulamalarının geliştirilememesi (operasyonel risk), Mevcut sistemin yavaş ve yetersiz performans göstermesi (stratejik risk)

BT Risk Analizinde Sorulması Gereken 5 Temel Soru 22 Risk altındaki bilgi varlıkları neler? Bunların gizliliği, bütünlüğü ve kullanılabilirliğinin değeri nedir? Söz konusu bilgi varlıkları hangi olaylardan olumsuz etkilenebilir? Bu soruya bağlı olarak yapılacak bir kırılganlık/zayıflık (vulnerability) testi sonucunda ortaya çıkan zayıflıklar nelerdir, olumsuz etkilenmesi muhtemel ve tehdit altındaki bilgi varlıkları hangileridir? Var olan bir tehdit varsa bunun etkisi ne kadar olacaktır? Bu tehdidin oluşma sıklığı nedir? Belirsizlik analizinin sonuçları (Bu sorulara aldığımız sonuçlar ne kadar doğru?)

23 GTAG-1 : Bilgi Teknolojileri Kontrolleri

24 GTAG-1 : Bilgi Teknolojileri Kontrolleri Kontrollerin 3 Farklı Şekilde Sınıflandırılması Genel Kontroller Uygulama Kontrolleri Önleyici Kontroller Tespit Edici Kontroller Düzeltici Kontroller Yönetişim Kontrolleri Yönetim Kontrolleri Teknik Kontroller

GTAG-1 : Bilgi Teknolojileri Kontrolleri 25 Genel Kontroller Altyapı kontrolleri olarak da adlandırılır. Makro kontrollerdir. Tüm sistem bileşenleri, süreçler ve şirketin ya da sistemin verilerine dönüktür. Bazı örnekler: Bilgi sistemleri politikasının varlığı, erişim ve onaylama prosedürleri, temel BS fonksiyonlarının ayrıştırılması, değişim yönetimi, yedekleme, iş sürekliliği... Uygulama Kontrolleri Her bir iş süreci ya da uygulamaya yönelik kontrollerdir. Veri girişi ve onaylama gibi fonksiyonların ayrıştırılması, çıktı toplamlarının karşılaştırılması, işlemlerin loglanması, hataların raporlanması Önleyici, tespit edici ya da düzeltici olarak 3 alt başlıkta ele alınabilir

26 GTAG-1 : Bilgi Teknolojileri Kontrolleri Önleyici Kontroller Hata, atlama ya da güvenlik ihlallerin oluşmasının engellenmesi Örnek: Sadece rakam girilebilecek alanlara harf girişine izin verilmemesi, antivirüs ya da sızma engelleme yazılımları Tespit Edici Belirleyici Kontroller Önleyici kontrolleri atlatmış, hata ya da atlamaların tespit edilmesine yönelik kontroller Örnek: şüpheli faaliyetler gerçekleştiren ya da aktif durumda bulunmayan hesapların tespit edilmesi, önceden belirlenmiş limitleri aşmış faaliyet ya da olayların tespit edilmesi vs... Düzeltici Kontroller Tespit edilmiş kontrol eksikliklerinin düzeltilmesi amacıyla getirilen kontrol uygulamaları Örnek olarak hatalı veri girişlerinin düzeltilmesine dönük getirilen yeni kontrol uygulamaları, yetkisiz kullanıcıların sistemden uzaklaştırılması.

27 GTAG-1 : Bilgi Teknolojileri Kontrolleri

28 GTAG-1 : Bilgi Teknolojileri Kontrolleri Neleri Ele Alıyor? BT Kontrolleri Nelerdir? BT Kontrollerinin Değerlendirilmesi ve Analizi BT Kontrollerinin Anlaşılması, Önemi ve Şirket İçindeki Rolü Risklerin Analiz Edilmesi Risklerin İzlenmesi BT ye İlişkin Yasal Düzenlemelere Nasıl Uyum Gösterilebilir? COSO Kullanılarak BT Kontrollerinin Değerlendirilmesi COBIT Çerçevesi...

BT Risk Analizinde Sorulması Gereken 5 Temel Soru 29 Risk altındaki bilgi varlıkları neler? Bunların gizliliği, bütünlüğü ve kullanılabilirliğinin değeri nedir? Söz konusu bilgi varlıkları hangi olaylardan olumsuz etkilenebilir? Bu soruya bağlı olarak yapılacak bir kırılganlık/zayıflık (vulnerability) testi sonucunda ortaya çıkan zayıflıklar nelerdir, olumsuz etkilenmesi muhtemel ve tehdit altındaki bilgi varlıkları hangileridir? Var olan bir tehdit varsa bunun etkisi ne kadar olacaktır? Bu tehdidin oluşma sıklığı nedir? Belirsizlik analizinin sonuçları (Bu sorulara aldığımız sonuçlar ne kadar doğru?)

30 GTAG-2 : Değişim ve Onarım Yönetimi Kontrolleri Neleri Ele Alıyor? Şirket ya da Kurumumun Değişimi Nasıl Yönettiği Neden Önemlidir? BT Değişim Yönetimi, En Riskli Alanlar İç Denetçilerin Değişim ve Onarım Yönetiminin Kontrolündeki Rolü Nerede Başlar? Değişim ve Onarım Yönetimi Denetim Programının Hazırlanması Örnek Vakalar, Analizler Değişim Yönetiminin Kontrolüne Dönük Araç ve Yazılımlar, Tedarikçileri...

31 GTAG-2 : Değişim ve Onarım Yönetimi Kontrolleri Zayıf Bir Değişim Yönetimine Dair En Yüksek 5 Risk Göstergesi Yetkisiz Gerçekleştirilen Değişiklikler (Sıfırdan büyük her rakam kabul edilebilir değil) Planlanmamış Duraksamalar, Kesintiler Düşük Değişim Başarı Oranı Olağanüstü Durum Değişiklik Sayısındaki Yükseklik Ertelenmiş Proje Uygulamaları, Teslimatları...

32 GTAG Dizini GTAG lar PG GTAG-15: Bilgi Güvenliği Yönetimi (Information Security Governance) PG GTAG-14: Kullanıcı Bazlı Geliştirilen Uygulamaların Denetimi (Auditing User-developed Applications) PG GTAG-13: Otomasyonda Yolsuzlukların Tespiti ve Önlenmesi (Fraud Prevention and Detection in an Automated World) PG GTAG-12: BS Projelerinin Denetimi (Auditing IT Projects) PG GTAG-11: BS Denetim Planının Geliştirilmesi (Developing the IT Audit Plan) PG GTAG-10: İş Sürekliliği Yönetimi (Business Continuity Management) PG GTAG-9: Kimlik ve Erişim Yönetimi (Identity and Access Management) PG GTAG-8: Uygulama Kontrollerinin Denetimi (Auditing Application Controls) PG GTAG-7: Bilgi Sistemlerinin Dış Kaynaklardan Tedariki (Information Technology Outsourcing) PG GTAG-6: Bilgi Sistemlerinin Zayıf Noktalarının Denetim ve Yönetimi (Managing and Auditing IT Vulnerabilities) PG GTAG-5: Gizlilik Risklerinin Yönetim ve Denetimi (Managing and Auditing Privacy Risks) PG GTAG-4: Bilgi Sistemleri Denetiminin Yönetimi (Management of IT Auditing) PG GTAG-3: Sürekli Denetim: Güvence, İzleme ve Risk Değerlemeye Dönük Sonuçlar (Continuous Auditing) PG GTAG-2: Değişim ve Onarım Yönetimi Kontrolleri (Change and Patch Management Controls:Critical for Organizational Success) PG GTAG-1: Bilgi Teknolojileri Kontrolleri (Information Technology Controls)

Teşekkürler Dr. Eren GEGİN erengegin@yahoo.com 33 www.btyd.org

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim