Denetim

Kuruma Özel Güvenlik Denetimleri

Kuruma Özel Güvenlik Denetimleri

Bilgi teknolojileri denetimi, altyapı ve süreçlerinden beklenen yararların sağlanıp sağlanmadığına yönelik olarak güvence duymak amacı ile yapılmaktadır. Bu yararlar şu şekilde sıralanabilir:

  • Altyapı ve süreçler iş ihtiyaçlarını ne derece karşılama gücüne sahiptir? (etkililik)
  • Kaynaklar ne derece verimli kullanılmaktadır? (etkinlik)
  • Bilgi varlıklarının gizliliği, bütünlüğü ve sürekliliğinin korunması ne derece sağlanmaktadır? (güvenlik)
  • Nihayet bu sayılan konularda ne kadar yasal düzenlemelere uygun hareket edilmektedir?

Gerçekleştirilecek bilgi teknolojileri denetimi, bu konuda ayrı bir uzmanlık alanıdır. Ancak genel denetim ilke ve kriterlerinden tamamen ayrı değil, aksine uyumlu bir şekilde planlanmalı ve yapılmalıdır. Bu açıdan bakınca bilgi teknolojileri güvenlik denetimleri de risk tabanlı ve nesnel kanıtlara dayalı bir denetim süreci gerektirmektedir.

Bilgi teknolojileri denetimlerinin temelini esas olarak, organizasyonel, süreçsel ve teknik kontroller oluşturmaktadır. Bunun yanında bilgi teknolojileri altyapısının da güvenlik açıklarına karşı korunmasını destekleyen fiziksel kontroller gözardı edimemelidir.

Bu genel ilkeler yanında işletmelerin faaliyet alanlarına ve hizmet koşullarına bağlı olarak kuruma özel güvenlik denetimlerinin yapılması da mümkündür. Bu denetimlerde birçok farklı yöntem metot kullanılabilir. Ancak her yöntem kendi içinde farklı etki kriterlerine sahiptir. Krumun faaliyetlerine bağlı olarak bazı kritik denetlenebilir alanlar farklı özellikler taşıyabilir. Bazı alanlar da iş hedeflerindeki farklılaşmaya bağlı olarak belli dönemlerde önem kazanabilir. Önemli olan yapılacak denetim planlanamasında bu farklılıkları önceden farketmek ve önceliklendirmeyi buna göre yapmaktadır.

Bilgi teknolojileri denetimlerinde kuruma özel olarak farklı uygulamalar ve standartlar uygulanabilir. Örneğin,

  • COBIT (Control Objectives For Information and Related Technology, Bilgi ve İlgili Teknolojiler İçin Kontrol Hedefleri)
  • TS ISO/IEC 27001 Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği yönetim sistemleri – Gereksinimler
  • TS ISO/IEC 27002 Bilgi Teknolojisi – Güvenlik Teknikleri – Bilgi Güvenliği Kontrolleri İçin Uygulama Prensipleri
  • PRINCE (Projects in Controlled Environments, Kontrol Edilmiş Ortamlardaki Projeler)
  • CMMI (Capability Maturity Model Integration, Kapasite Olgunluk Model Entegrasyonu
  • ITIL (Information Technology Infrastructure Library, Teknolojileri Altyapı Kütüphanesi)

Kuruluşumuz denetim hizmetleri kapsamında kuruma özel güvenlik denetimleri hizmetleri vermektedir. Bu çalışmalarda kuruluşumuz, ilgili yasal düzenlemelere, yerli ve yabancı kuruluşlar tarafından yayınlanan standartlara ve genel kabul görmüş denetim yöntemlerine uygun faaliyet göstermektedir.