Transcription of 3.Oturum: Bilgi Teknolojileri Süreçlerinde
1 : Bilgi Teknolojileri S re lerinde Kontroller ortam , risk de erlendirme, kontrol faaliyetleri t rleri ve BT uygulamalar seviyesi kontroller, uygulama kontrolleri ve genel Bilgi Teknolojileri kontrolleri ili kin genel er eve ve standartlar ile uygulamalar BT Denetim rehberi 27001 1 Risk y netimi, risk belirlemek, de erlendirmek ve riski kabul edilebilir bir seviyeye indirmek i in aksiyon alma s recidir. Bilgi sistemleri risk y netimini, her biri farkl neme sahip ancak birbirini etkileyen ve destekleyen be temel fonksiyonla yerine getirmek m mk nd r; Belirleme Analizi De erlendirme M dahale Etme Y netimini zleme Bilgi sistemleri risk y netim s reci, servisler ile i birimleri aras nda ileti im kurmal , organizasyona uygun, yap sal ve tekrar edilebilir, uluslararas en iyi uygulamalara yatk n ve bu konuda denetim sahibi i ve d birimlerce kontrol edilebilir olmal d r.
2 B LG S STEMLER R SK Y NET M 2 KURUM SEV YES KONTROLLER / KONTROL VE DENET M Uygulama Geli tirme Bilgi G venli i A Uygulamas B Uygulamas C Uygulamas Veritaban operasyonu Hukuk Operasyon Muhasebe Pazarlama Mali Tablolar Kullan c kimlik y netimi BT Genel Kontrolleri Uygulama Kontrolleri Veri Yedekleme Kurum Seviyesi Kontroller / Kontrol ve Denetim 3 Kontrol tasar mlar n n testi Kontrol tasar m n n uygunlu unun de erlendirilmesi Mevcut kontrollerin tasarlanan ekilde al t n n do rulanmas BT kontrollerinin test edilmesinde uygulanan y ntemler Bilgi toplama Sorgulama ve do rulama G zden ge irme G zlemleme Tekrar ger ekle tirme / Tekrar hesaplama Bilgisayar destekli veri analizi Kontrol Testlerindeki Sahip Olunmas Gereken Bak A s Yaz l ve y netim taraf ndan onaylanm g ncel bir kontrol s recinin varl , Kontrol s reci ile ilgili denetim kan tlar n n varl , Sorumluluk ve hesap verilebilirlik ilkelerinin a kl ve etkinli i, Gerekli noktalarda telafi edici kontrollerin uygulanmas.
3 BT DENET M NDE KONTROLLER 4 BT KONTROLLER N N HEDEF Bilgi g venli i, b t n BT kontrollerinin tamamlay c bir par as d r. Bilgi g venli i, hem altyap ya hem de verilere uygulan r ve di er pek ok BT kontrol n n g venilirli inin de temelidir. BT kontrolleri, Bilgi g venilirli i ve Bilgi hizmetleri konusunda g vence sa larlar. Bilginin g venli inin sa lanabilmesi i in parametreyi sa lamas /korumas gerekmektedir; Gizlilik : Bilginin yetkisiz eri ime kar korunmas d r. B t nl k : Bilginin yetkisiz ki iler taraf ndan de i tirilmemesidir. Bilginin do rulu unun ve taml n n sa lanmas d r. Bili im sistemlerinin ve bilginin sadece yetkili ki ilerce veya sistemlerce de i tirilebilmesidir. Eri ilebilirlik : Bilginin ilgili ya da yetkili ki ilerce ula labilir ve kullan labilir durumda olmas d r. Bilginin bilgiye eri imi olanlar taraf ndan istenildi i anda ula labilir, kullan labilir olmas d r.
4 5 BT KONTROLLER N N L K LEND R LMES BT Kurum Seviyesi Kontrolleri: Kurum y netiminin y nergelerinin ve talimatlar n n eksiksiz uyguland na dair makul bir g vence sa lanmas i in kuruma ve personelin t m ne yayg n ekilde tasarlanm olan i kontrollerdir. BT Genel Kontrolleri: Kurumun ama lar na ula abilmesi i in belirlenen y n n takip edilebilmesini sa layan t m BT aktivitelerinin planlanmas , geli tirilmesi, i letilmesi ve izlenmesine ili kin faaliyetler, BT genel kontrolleri kapsam nda de erlendirilmektedir. Uygulama Kontrolleri: Bilgi sistemleri i erisinde yer alan ve i faaliyetlerini y r tmek veya desteklemek i in kullan lan finansal verilerin tan mlanmas , retilmesi, kullan lmas , b t nl k ve g venilirli inin sa lanmas , verilere eri imin yetkilendirilmesi gibi t m i s re lerinde kullan lmas gereken i kontrolleri kapsar. BT Kontrol Piramidi 6 BT Kurum Seviyesi Kontrolleri Kurum seviyesi kontroller, genel tan m itibariyle kurum y netiminin y nergelerinin ve talimatlar n n eksiksiz uyguland na dair makul bir g vence sa lanmas i in kuruma ve personelin t m ne yayg n ekilde tasarlanm olan i kontrollerdir.
5 BT kurum seviyesi kontrolleri de s z konusu alanlarda Bilgi teknolojileriyle ilgili st seviye kontrolleri ifade etmekle birlikte, ayn zamanda BT y neti imiyle ilgili hususlara da de inir. Uygulama kontrolleri Uygulama kontrolleri, kritik BT i levselli inin yerine getirilmesini sa layan ve kurumun Bilgi sistemleri taraf ndan otomatik olarak yerine getirilen kontrol prosed rlerini i ermektedir. Uygulama kontrolleri temelde be grup olarak ele al nmaktad r: Veri Haz rl ve Yetkilendirme: Bilgi sistemlerine veri giri inde kaynak belge kontrolleri, veri giri yetkileri, vb. Verilerin Toplanmas ve Girilmesi: Kaynak belgelerin zamanl l , taml ve do rulu u, veri giri yetkileri, veri giri i hata takibi ve d zeltmeleri, vb. ruluk, Taml k ve Orijinallik Kontrolleri: Kaynak veri giri i s ras nda giri , d zeltme ve raporlamalar, veri giri ine ait g revler ayr l , vb.
6 Leme B t nl ve Do rulamas : Veri i lem b t nl n n sa lanmas , i lemlere ili kin denetim izlerinin olu turulmas , hata kontrolleri, vb. 5. kt Kontrol , Mutabakat ve Hata Y netimi: kt lar n kontrol , kt transfer kontrolleri, kt lar n saklanmas , vb. KONTROL T RLER BT Kurum Seviyesi Kontrolleri, Uygulama kontrolleri 7 BT UYGULAMA KONTROLLER kt kontrolleri Veri i leme kontrolleri Girdi kontrolleri Veri olu turma/ yetkilendirme kontrolleri kt lar n ele al nmas ve muhafazas kt lar n da t m kt uyumlulu u ve mutabakat kt lar n g zden ge irilmesi ve hatalar n ele al nmas kt raporlar n n g venli inin sa lanmas Veri i lemede b t nl k Veri i lemede onaylama ve de i tirme Veri i lemedeki hatalar n ele al nmas Girdi yetkilendirme prosed rleri Do ruluk, b t nl k ve yetkilendirme kontrolleri Veri girdilerindeki hatalar n ele al nmas Veri haz rlama prosed rleri Kaynak belge yetkilendirme prosed rleri Kaynak belge verilerinin toplanmas Kaynak belgelerdeki hatalar n ele al nmas Kaynak belgelerin muhafazas 8 BT UYGULAMA KONTROLLER VER OLU TURMA/ YETK LEND RME KONTROLLER : Kaynak Veri Haz rl ve Yetkilendirme: Bilgi sistemlerine veri giri inde kaynak Bilgi ve belgelerin uygunlu u ve bu giri leri yetkili ki ilerin yapmas n n sa lanmas na ili kin yap lan kontrollerdir.
7 Kaynak Verilerin Toplanmas ve Girilmesi: Kaynak belgelerin zamanl l , taml ve do rulu u, veri giri yetkileri, veri giri i hata takibi ve d zeltmeleri ile ilgili kontrollerdir. G RD KONTROLLER : Do ruluk, Taml k ve Orijinallik Kontrolleri: Kaynak veri giri i s ras nda giri , d zeltme ve raporlamalar, veri giri ine ait g revler ayr l ilkelerine uyum ile ilgili kontrollerdir. VER LEME KONTROLLER : Veri leme B t nl ve Do rulamas : Veri i lem b t nl n n sa lanmas , i lemlere ili kin denetim izlerinin olu turulmas , hata kontrolleri ile ilgili kontrollerdir. IKTI KONTROLLER : kt Kontrol , Mutabakat ve Hata Y netimi: kt lar n kontrol , kt transfer kontrolleri, kt lar n saklanmas ile ilgili kontrollerdir. 9 UYGULAMA KONTROLLERDEK ZAYIFLIKLARIN NEDEN OLAB LECE R SKLER Yetkili olmayan ki ilerce veri giri i yap lmas , Eksik veya hatal veri girilmesi, Sistematik hatalar n olu mas , Hatal veri giri lerinin tespit edilememesi ve d zetilememesi, M kerrer kay tlar n sistem taraf ndan kabul edilmesi, Transfer edilen verinin bozulmas , kaybolmas , al nmas veya de i tirilmesi, Denetim izinin kaybolmas ve i lem sahibine ba vurulamamas , lemlerin do rulanamamas , kt lar n tam ve do ru olmamas , kt lar n yetkisiz ki ilerin eline ge mesi.
8 10 BT Genel Kontrolleri Rehber in nemli bir b l m n olu turan BT genel kontrolleri, Bilgi teknolojilerinden beklenen kritik i levselliklerin s rekli ve d zg n al mas n destekleyecek prosed rleri i ermektedir. BT genel kontrolleri literat rde (COSO ya g re) en dar anlam yla a a daki unsurlar kapsamaktad r: sistemlerinin geli tirilmesi ve bak m na ili kin kontroller yaz l m kontrolleri im g venli i kontrolleri merkezi operasyonlar na ili kin kontroller BT Kontrolleri rehberde 2 alt grup olarak ele al nm t r: re seviyesi: BT genel kontrolleri, BT y netim s re leri zerinde bulunan genel kontrollerden olu ur. seviyesi: BT genel kontrolleri ise, BT uygulamalar , veritabanlar , i letim sistemleri ve a katmanlar zerinde yer alan teknik genel kontrolleri i erir. S z konusu teknik genel kontroller de aslen s re seviyesi kontrollerinin ayr lmaz bir par as olmakla birlikte, BT denetim al ma plan n n haz rlanmas , i denet ilere g rev da l m n n yap labilmesi ve saha al malar hususlar nda nemli bir pratiklik sa lad ndan, ayr bir grup olarak ele al nm t r.
9 KONTROL T RLER BT Genel Kontrolleri 11 BT GENEL KONTROLLER De i iklik Y netimi Eri ilebilirlik ve Operasyon S reklili i Program ve Uygulama Geli tirme Veriye Eri im Uygulama geli tirme ve edinim metodolojileri Veri d n m Tasar m, geli tirme, test, onay ve uygulama Geli tirme, test ve onay retim ortam na aktar m Konfig rasyon de i iklikleri Acil de i iklikler Operasyon ve i takibi Yedekleme ve geri d n Olay ve problem y netimi Bilgi G venli i Fiziksel eri im Yetkilendirme Eri im y netimi zleme 12 BT GENEL KONTROLLER VER YE ER M: Verinin b t nl n n korunarak, yetkili ki iler taraf ndan g venli ekilde eri im sa lanmas na ili kin yap lan kontrollerdir. DE KL K Y NET M : De i iklik y netimi s reci, kurum kritik i faaliyetlerini ve s re lerini destekleyen BT uygulamalar ve altyap s zerindeki t m de i ikliklerin kontroll bir bi imde ger ekle tirilmesi ve retim ortamlar n n g venilirlik ve b t nl klerinin korunmas amac n ta maktad r.
10 Bu de i iklikler, uygulama kodlar nda yap lacak bir de i iklik olabilece i gibi, veritabanlar , i letim sistemleri, uygulamaya ait kritik konfig rasyon dosyalar gibi bir dizi di er de i iklik tiplerini de i erebilir. ER LEB L RL K & OPERASYON S REKL L : Olas bir sistem kesintisi ve/veya felaket halinde geri d n lerin ger ekle tirilebilmesi amac yla verilerin yedeklenmesi, zamanlanm i lerden sapmalar n izlenmesi ve d zeltici aksiyonlar n zaman nda al nmas ve BT operasyonlar na dair problem ve olaylar n belirlenmesi, iletilmesi ve z lmesi, g zden ge irilmesi ve analiz edilmesi gibi kontroller bu s re kapsam ndad r. PROGRAM VE UYGULAMA GEL T RME: letmenin bir s recini veya t m n etkileyecek yaz l mlar n geli tirilmesinde/ de i tirilmesinde yaz l m s re lerinin (Analiz, tasar m, geli tirme, test, onay) standartlara uygunlu unun ve olu turaca risklerin kontrol edilmesine y nelik kontrollerdir.
