Bilgi Sistemleri Yönetimi Tebliği (vıı-128.9)

TebliğNo: 24296Resmî Gazete: 05.01.2018 / 30292

Bu mevzuatla ilgili sorunuz mu var? AvAi yapay zekâ asistanı madde madde açıklar, ilgili içtihatları bulur.

Ücretsiz deneyin

Tam metin

BİLGİ
SİSTEMLERİ YÖNETİMİ TEBLİĞİ

(VII-128.9)

 

BİRİNCİ
BÖLÜM

Amaç,
Kapsam, Dayanak ve Tanımlar

Amaç

MADDE 1 –
(1) Bu Tebliğin amacı, 2 nci maddede sayılan Kurum, Kuruluş ve
Ortaklıkların bilgi sistemlerinin yönetimine ilişkin usul ve esasları belirlemektir.


Kapsam

MADDE 2 –
(1) Aşağıdaki Kurum, Kuruluş ve Ortaklıklar, bu Tebliğ hükümlerine uymakla
yükümlüdürler:

a) Borsa İstanbul
A.Ş.,

b) Borsalar ve
piyasa işleticileri ile teşkilatlanmış diğer pazar yerleri,

c) Emeklilik
yatırım fonları,

ç) İstanbul Takas
ve Saklama Bankası A.Ş.,

d) Merkezi Kayıt
Kuruluşu A.Ş.,

e) Portföy
saklayıcısı kuruluşlar,

f) Sermaye
Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş.,

g) Sermaye
piyasası kurumları,

ğ) Halka açık
ortaklıklar,

h) Türkiye Sermaye
Piyasaları Birliği,

ı) Türkiye
Değerleme Uzmanları Birliği.

(2) Birinci
fıkrada sayılan Kurum, Kuruluş ve Ortaklıklardan, 6/12/2012 tarihli ve 6362
sayılı Sermaye Piyasası Kanununun 136 ncı maddesi uyarınca banka ve sigorta
şirketleri ile 21/11/2012 tarihli ve 6361 sayılı Finansal Kiralama,
Faktoring ve Finansman Şirketleri Kanunu uyarınca finansal kiralama,
faktoring ve finansman şirketlerinin bilgi sistemlerinin, kendi özel
mevzuatlarında belirlenen ilkeler çerçevesinde yönetilmesi, bu Tebliğde
öngörülen yükümlülüklerin yerine getirilmesi hükmündedir.

Dayanak

MADDE 3 –
(1) Bu Tebliğ, 6362 sayılı Kanunun 128 inci maddesinin birinci fıkrasının
(h) bendine dayanılarak hazırlanmıştır.

Tanımlar ve
kısaltmalar

MADDE 4 –
(1) Bu Tebliğde geçen,

a) Birincil
sistemler: Kurum, Kuruluş ve Ortaklıkların Kanundan ve Kanuna ilişkin alt
düzenlemelerden kaynaklanan görevlerini yerine getirmeleri için gerekli
bilgilerin elektronik ortamda güvenli ve istenildiği an erişime imkan
sağlayacak şekilde kaydedilmesini ve kullanılmasını sağlayan altyapı,
donanım, yazılım ve veriden oluşan sistemin tamamını,

b) Bütünlük:
Bilginin doğruluğu ve tamlığını koruma özelliğini,

c) Denetim izi:
Finansal ya da operasyonel işlemler ile bilgi güvenliği ihlal olaylarının
 başlangıcından bitimine kadar adım adım takip edilmesini sağlayacak
kayıtlar ile bu kayıtlar üzerinde yapılan işlemleri gösteren
kayıtları,    

ç) Düzeltici
faaliyet: Bilgi sistemlerinde yaşanan herhangi bir acil durum, hata, arıza
veya kötüye kullanım sonrasında olayın etkilerini azaltmak için yerine
getirilen faaliyeti,

d)
Erişilebilirlik: Bilginin yetkili kullanıcı, uygulama veya sistem
tarafından talep edildiğinde erişilebilir ve kullanılabilir olma
özelliğini,

e) Gizlilik: Bilgi
sistemlerine ve bilgiye sadece yetkili kullanıcı, uygulama veya sistem
tarafından erişilebilmesini,

f) Güvenli alan:
Bilgi işleme, iletişim ve depolama donanımlarını barındıran alanı,

g) İkincil
sistemler: Birincil sistemler aracılığı ile yürütülen faaliyetlerde bir
kesinti olması halinde, bu faaliyetlerin iş sürekliliği planında belirlenen
kabul edilebilir kesinti süreleri içerisinde sürdürülür hale getirilmesini
ve Kanunda ve Kanuna ilişkin alt düzenlemelerde Kurum, Kuruluş ve
Ortaklıklar için tanımlanan sorumlulukların yerine getirilmesi açısından
gerekli olan bütün bilgilere kesintisiz ve istenildiği an erişilmesini
sağlayan birincil sistem yedeklerini,

ğ) Kanun: 6362
sayılı Kanunu,

h) Kontrol: Bilgi
sistemleri süreçleriyle ilgili olarak gerçekleştirilen ve iş hedeflerinin
gerçekleştirilmesi, istenmeyen olayların belirlenmesi, engellenmesi ve
düzeltilmesine ilişkin yeterli derecede güvenceyi oluşturmayı hedefleyen
politikalar, prosedürler, uygulamalar ve organizasyonel yapıların tamamını,

ı) Kurul: Sermaye
Piyasası Kurulunu,

i) Kurum, Kuruluş
ve Ortaklıklar: 2 nci maddede sayılan kurum, kuruluş ve ortaklıkları,

j) Politika:
Kurum, Kuruluş ve Ortaklıkların hedef ve ilkelerini ortaya koyan ve üst
yönetimi tarafından onaylanmış dokümanı,

k) Prosedür:
Süreçlere ilişkin işlem ve eylemleri tanımlayan dokümanı,

l) Sermaye
piyasası kurumları: Kanunun 35 inci maddesinde sayılan kurumları,

m) Süreç: Bir işin
yapılış ve üretiliş biçimini oluşturan sürekli işlem ve eylemleri,

n) Üçüncü taraf:
Kurum, Kuruluş ve Ortaklıklar ile müşteriler dışında kalan gerçek veya
tüzel kişileri,

o) Üst yönetim:
Yönetim kurulu tarafından belirlenen kişi ya da grubu, yönetim kurulu
tarafından belirleme yapılmadığı durumlarda ise Kurum, Kuruluş ve
Ortaklıkların en üst yetkilisini,

ifade eder.

İKİNCİ
BÖLÜM

Bilgi
Sistemlerinin Yönetilmesi

Bilgi
sistemleri yönetiminin oluşturulması ve hayata geçirilmesi

MADDE 5 –
(1) Bilgi sistemlerinin yönetimi, kurumsal yönetim uygulamalarının bir
parçası olarak ele alınır. Kurum, Kuruluş ve Ortaklıkların operasyonlarını
istikrarlı, rekabetçi, gelişen ve güvenli bir çizgide sürdürebilmesi için
bilgi sistemlerine ilişkin stratejilerinin iş hedefleri ile uyumlu olması
sağlanır, bilgi sistemleri yönetimine ilişkin unsurlar yönetsel hiyerarşi
içerisinde yer alır ve bilgi sistemlerinin güvenlik, performans, etkinlik,
doğruluk ve sürekliliğini hedefleyerek doğru yönetimi için gerekli
finansman ve insan kaynağı tahsis edilir.

(2) Kurum, Kuruluş
ve Ortaklıklar, bilgi sistemlerinin yönetimine ilişkin politikaları,
süreçleri ve prosedürleri tesis eder, düzenli olarak gözden geçirerek iş
alanında gerçekleşen değişiklikler veya teknolojik gelişmeler doğrultusunda
güncelliğini ve ilgili tüm birimlere duyurulmasını sağlar.

Bilgi güvenliği
politikası

MADDE 6 –
(1) Bilgi sistemlerinin kurulması, işletilmesi, yönetilmesi ve
kullanılmasına ilişkin; bilginin gizliliğinin, bütünlüğünün ve gerektiğinde
erişilebilir olmasının sağlanmasına yönelik olarak bilgi güvenliği
politikası üst yönetim tarafından hazırlanır ve yönetim kurulu tarafından
onaylanır. Onaylanan bilgi güvenliği politikası personele duyurulur. Bu
politika, bilgi güvenliği süreçlerinin işletilmesi için gerekli rollerin ve
sorumlulukların tanımlanmasını, bilgi sistemlerine ilişkin risklerin
yönetilmesine dair süreçlerin oluşturulmasını, kontrollerin tesis edilmesini
ve gözetimini kapsar.

Üst yönetimin
gözetimi ve sorumluluğu

MADDE 7 – (1)
Bilgi güvenliği politikasının uygulanması üst yönetim tarafından gözetilir.
Bilgi güvenliği politikası kapsamında bilgi sistemleri üzerinde etkin ve yeterli
kontrollerin tesis edilmesi yönetim kurulunun sorumluluğundadır.

(2) Yeni bilgi
sistemlerinin kullanıma alınmasına ilişkin kritik projeler üst yönetim
tarafından gözden geçirilir ve bunlara ilişkin risklerin yönetilebilirliği
göz önünde bulundurularak onaylanır. Kritik projelerin Kurum, Kuruluş ve
Ortaklıkların iç kaynaklarıyla veya dış kaynak yoluyla alınan hizmetlerle
gerçekleştirilmesine bakılmaksızın personel uzmanlığının, projelerin teknik
gereksinimlerini karşılayabilecek nitelikte olması esastır. Bu yapıyı
desteklemek üzere oluşturulacak yönetsel rol ve sorumluluklar açıkça
belirlenir.

(3) Kurum, Kuruluş
ve Ortaklıkların üst yönetimi, bilgi güvenliği önlemlerinin uygun düzeye
getirilmesi hususunda gereken kararlılığı gösterir ve bu amaçla yürütülecek
faaliyetlere yönelik olarak yeterli kaynağı tahsis eder. Üst yönetim,
asgari olarak aşağıdaki faaliyetlerin yerine getirilmesini temin edecek
mekanizmaları kurar:

a) Bilgi güvenliği
politikalarının ve tüm sorumlulukların her yıl gözden geçirilmesi ve
onaylanması,

b) Bilgi
sistemlerine ve süreçlerine ilişkin potansiyel risklerin etkileriyle
birlikte tespit edilmesi ve bu çerçevede söz konusu risklerin azaltılmasına
yönelik faaliyetlerin tanımlanmasını içeren risk yönetiminin
gerçekleştirilmesi,

c) Bilgi güvenliği
ihlallerine ilişkin olayların izlenmesi ve her yıl değerlendirilmesi,

ç) Tüm
çalışanların bilgi güvenliği farkındalığını artırmaya yönelik çalışmaların
yapılması ve eğitimlerin verilmesi.

(4) Bilgi
sistemlerine ilişkin risklerin yönetimi amacıyla tesis edilen süreç ve
prosedürler, Kurum, Kuruluş ve Ortaklıkların organizasyonel ve yönetsel
yapıları içerisinde fiili olarak işleyecek şekilde yerleştirilir ve
işlerliğine ilişkin gözetim ve takipler gerçekleştirilir.

(5) Bilgi
sistemleri güvenliğine ilişkin süreç ve prosedürlerin gereklerinin yerine
getirilmesinden ve takibinden sorumlu olan, bilgi sistemleri güvenliğiyle
ilgili riskler ve bu risklerin yönetilmesi hususunda üst yönetime rapor
veren ve yeterli teknik bilgi ve tecrübeye sahip bir bilgi sistemleri
güvenliği sorumlusu belirlenir.

(6) Risk
önceliklerine göre tüm kritik iş süreçlerinin sürekliliğini sağlamak için
iş sürekliliği planı hazırlanır. Planda kritik iş süreçlerine ilişkin kabul
edilebilir kesinti süreleri ile kabul edilebilir azami veri kaybı
belirlenir.

Bilgi
sistemleri risk yönetimi

MADDE 8 –
(1) Kurum, Kuruluş ve Ortaklıklar bilgi sistemlerine ilişkin riskleri
ölçmek, izlemek, işlemek ve raporlamak üzere risk yönetimi süreç ve
prosedürlerini tesis eder ve güncelliğini sağlar.

(2) Bilgi
sistemlerine ilişkin risklerin yönetilmesinde asgari olarak aşağıdaki
hususlar değerlendirmeye katılır:

a) Bilgi
teknolojilerindeki hızlı gelişmeler sebebiyle rekabetçi ortamda gelişmelere
uymamanın olumsuz sonuçları, gelişmelere uyma konusundaki zorluklar ve
yasal mevzuatın değişebilmesi,

b) Bilgi
sistemleri kullanımının öngörülemeyen hatalara ve hileli işlemlere zemin
hazırlayabilmesi,

c) Bilgi
sistemlerinde dış kaynak kullanımından dolayı dış kaynak hizmeti veren
kuruluşlara bağımlılığın oluşabilmesi,

ç) İş ve
hizmetlerin önemli oranda bilgi sistemlerine bağlı hale gelmesi,

d) Bilgi
sistemleri üzerinden gerçekleştirilen işlemlerin, verilerin ve denetim
izlerine ilişkin tutulan kayıtların güvenliğinin sağlanmasının zorlaşması.

(3) Bilgi
sistemlerine ilişkin risk analizi yapılır. Yılda en az bir defa veya bilgi
sistemlerinde meydana gelebilecek önemli değişikliklerde tekrarlanır.

(4) Bilgi
sistemlerinin teknik açıklarına ilişkin bilgi, zamanında elde edilir ve
kuruluşun bu tür açıklara karşı zafiyeti değerlendirilerek, riskin ele
alınması için uygun tedbirler alınır.

(5) Kurum, Kuruluş
ve Ortaklıkların bilgi sistemleri, bilgi güvenliği gereklerinin yerine
getirilmesi hususunda herhangi bir görevi bulunmayan ve sızma testi
konusunda ulusal veya uluslararası belgeye sahip gerçek veya tüzel kişiler
tarafından en az yılda bir kez sızma testine tabi tutulur.

(6) Sızma testinde
bu Tebliğin 1 numaralı ekinde yer alan usul ve esaslar uygulanır.

ÜÇÜNCÜ
BÖLÜM

Bilgi
Sistemleri Kontrollerine İlişkin Esaslar

Bilgi
sistemleri kontrollerinin tesisi ve yönetilmesi

MADDE 9 –
(1) Kurum, Kuruluş ve Ortaklıkların üst yönetimi, bilgi güvenliği
politikası kapsamında, bilgi sistemlerinden kaynaklanan güvenlik
risklerinin yeterli düzeyde yönetildiğinden emin olmak için, bilgi
sistemlerinin ve üzerinde işlenmek, iletilmek, depolanmak üzere bulunan
verilerin gizlilik, bütünlük ve erişilebilirliklerini sağlayacak önlemlere
ilişkin kontrollerin geliştirilmesini, işletilmesini, güncelliğini sağlar
ve gerekli yönetsel sorumlulukları tanımlar.

(2) Bilgi
sistemleri kontrolleri kapsamında asgari olarak aşağıdaki hususlar dikkate
alınır:

a) Her kontrol
süreci için süreç sahibinin, rollerin, faaliyetlerin ve sorumlulukların
açık bir şekilde tanımlanması,

b) Kontrol süreçlerinin
periyodik biçimde tanımlanması,

c) Her kontrol
sürecinin hedef ve amaçlarının açıkça tanımlanmış olması ve performansının
ölçülebilir olması.

(3) Bilgi
sistemleri kontrollerine ilişkin etkinlik, yeterlilik ve uygunluk ile
öngörülen risk ya da risklerin etkisini azaltmaya yönelik faaliyetler
devamlı bir şekilde takip edilir ve değerlendirilir. Değerlendirme
neticesinde tespit edilen önemli kontrol eksiklikleri üst yönetime
raporlanır ve gerekli önlemlerin alınması sağlanır.

Varlık yönetimi

MADDE 10 –
(1) Kurum, Kuruluş ve Ortaklıklar, sahip oldukları bilgi varlıklarını ve bu
varlıkların sorumlularını belirler, bu varlıkların envanterini oluşturur ve
envanterin güncelliğini sağlar.

(2) Bilgi
varlıkları önem derecelerine göre sınıflandırılır.

(3) Taşınabilir
ortamlar, içerdiği bilgilerin hassasiyet derecesine göre kaybolma veya
hırsızlık risklerine karşı korunur ve önem derecesi yüksek bilgileri veya
bu bilgilere erişim sağlayan yazılımları barındıran taşınabilir ortamlar
yetkilendirme olmaksızın kurum dışına çıkarılmaz.

(4) Depolama
ortamları elden çıkarılmadan önce üzerinde kuruluşa ait veri, bilgi ve
lisanslı yazılımın bulunmamasına yönelik gerekli önlemler alınır.

(5) Temiz masa ve
temiz ekran ilkeleri benimsenir.

Görevler
ayrılığı prensibi

MADDE 11 –
(1) Bilgi sistemleri üzerinde hata, eksiklik veya kötüye kullanım
risklerini azaltmak için görev ve sorumluluk alanları ayrılır. Sistem, veri
tabanı ve uygulamaların geliştirilmesinde, test edilmesinde ve
işletilmesinde görevler ayrılığı prensibi uygulanır. Görev ve sorumluluklar
belirli aralıklarla gözden geçirilir ve güncelliği sağlanır.

(2) Bilgi
sistemleri süreçleri tasarlanırken kritik işlemlerin tek bir personele veya
dış kaynak hizmeti sunan kuruluşa bağımlı olmaması göz önünde bulundurulur.

(3) Görevlerin tam
ve uygun şekilde ayrılmasının mümkün olmadığı durumlarda oluşabilecek hata,
eksiklik veya kötüye kullanımı önlemeye ve tespit etmeye yönelik telafi
edici kontroller tesis edilir.

Fiziksel ve
çevresel güvenlik

MADDE 12 –
(1) Fiziksel erişimin yalnızca yetkilendirilmiş kişilerce yapılmasını
sağlamak amacıyla, güvenli alanlar gerekli giriş kontrolleriyle korunur.

(2) Güvenli
alanlara giriş ve çıkışlar gerekçelendirilir, yetkilendirilir, kaydedilir
ve izlenir.

(3) Yangın, sel,
deprem, patlama, yağma ve diğer doğal ya da insan kaynaklı felaketlerden
kaynaklanan hasara karşı fiziksel koruma tasarlanır ve uygulanır.

Ağ güvenliği

MADDE 13 –
(1) Ağların tehditlere karşı korunması ve ağları kullanan sistem, veri
tabanı ve uygulamaların güvenliğinin sağlanması için kontroller tesis
edilir ve etkin bir şekilde yönetilir.

(2) İletişim
altyapıları dinlemeye ve fiziksel hasarlara karşı korunur.

(3) Mobil
cihazların ağ erişimine ilişkin risklere yönelik güvenlik önlemleri alınır
ve uygulanır.

(4) Bilgi sistemleri
altyapısına yönelik yetkisiz erişimler engellenir ve gözetim süreçleri
tesis edilir.

(5) Yüksek riskli
uygulamaların güvenlik düzeyini artırmak için bağlantı süreleri ile ilgili
kısıtlamalar kullanılır.

(6) İç kaynak
yoluyla sağlanan veya dış kaynak kullanımı yoluyla alınan her türlü ağ
hizmetinin güvenlik kriterleri, hizmet düzeyleri ve yönetim gereksinimleri
tanımlanır ve hizmet anlaşmalarına dâhil edilir.

(7) Uzaktan erişim
sağlayan kullanıcıları kontrol etmek için gerekli yetkilendirmeler yapılır.
Bu kapsamda belirli konumlardan ve ekipmanlardan gelen bağlantıları
yetkilendirmek için otomatik ekipman tanımlaması göz önüne alınır.

(8) Kurumsal ağ
dışındaki ağlarla olan iletişimde, dış ağlardan gelebilecek tehditler için
sürekli gözetim altında tutulan güvenlik duvarı çözümleri kullanılır.

(9) İç ağın farklı
güvenlik gereksinimlerine sahip alt bölümleri birbirinden ayrılarak,
denetimli geçişi temin eden kontroller tesis edilir.

Kimlik
doğrulama

MADDE 14 – (1)
Bilgi sistemleri üzerinden gerçekleşen işlemler için, risk değerlendirmesi
sonucuna uygun kimlik doğrulama yöntemi belirlenir. Yöntem tercih
edilirken, bilgi sistemleri üzerinden gerçekleştirilmesi planlanan
işlemlerin niteliği, doğurabileceği finansal veya finansal olmayan
etkilerinin büyüklüğü, işleme konu verinin, hassasiyeti ve kimlik doğrulama
yönteminin kullanım kolaylığı göz önünde bulundurulur.

(2) Kimlik
doğrulama yöntemi, müşterilerin ve personelin bilgi sistemlerine dâhil
olmalarından, işlemlerini tamamlayıp sistemden ayrılmalarına kadar geçecek
tüm süreci kapsayacak şekilde uygulanır. Kimlik doğrulama bilgisinin
oturumun başından sonuna kadar doğru olmasını garanti edecek gerekli
önlemler alınır. Parola kullanımı gerektiren kimlik doğrulama yöntemlerinde,
parolaların tahmin edilmesi ve kırılması zor bir karmaşıklıkta ve uzunlukta
olması sağlanır.

(3) Kullanılan
kimlik doğrulama verilerinin tutulduğu ortamların ve bu amaçla kullanılan
araçların güvenliğini sağlamaya yönelik gerekli önlemler alınır. Bu
önlemler asgari olarak kimlik doğrulama verilerinin şifreli olarak
saklanması, bu veriler üzerinde yapılacak her türlü değişikliği algılayacak
sistemlerin kurulması, yeterli denetim izlerinin tutulması ve güvenliğinin
sağlanması hususlarını içerir. Kimlik doğrulama verilerinin aktarımı
sırasında gizliliğinin sağlanmasına yönelik önlemler alınır.

Yetkilendirme

MADDE 15 –
(1) Kurum, Kuruluş ve Ortaklıklar, bilgi sistemlerine erişim için uygun bir
yetkilendirme ve erişim kontrolü tesis eder. Yetkilendirme düzeyi ve erişim
haklarının atanmasında görev ve sorumluluklar göz önünde bulundurularak,
gerekli olacak en düşük yetkinin atanması ve en kısıtlı erişim hakkının
verilmesi yaklaşımı esas alınır. Atanacak yetkiler ve sorumluluklar
görevler ayrılığı ilkesi ile tutarlı olur.

(2) Tüm yetkiler
ve erişim hakları her yıl güncel durumla uyumlulukları açısından
değerlendirilmeye tabi tutulur.

(3) Yetkilendirme
verilerinin güvenliği sağlanır ve bu veriler üzerinde yapılacak her türlü
değişikliği algılayacak sistemler kurulur. Yetkilendirme verilerinin
tutulduğu ortamlara yetkisiz erişim teşebbüsleri kayıt altına alınır ve
düzenli olarak gözden geçirilir.

(4) İstihdamın
sonlanması durumunda, ilgili tüm yetkilendirmeler ivedilikle iptal edilir.

İşlemlerin,
kayıtların ve verilerin bütünlüğü

MADDE 16 –
(1) Kurum, Kuruluş ve Ortaklıklar, bilgi sistemleri üzerinden gerçekleşen
işlemlerin, kayıtların ve verilerin bütünlüğünün sağlanmasına yönelik
gerekli önlemleri alır. Bütünlüğü sağlamaya yönelik önlemler verinin iletimi,
işlenmesi ve saklanması aşamalarının tamamını kapsayacak şekilde tesis
edilir. Bilgi sistemlerine ilişkin dış kaynak hizmeti alınan kuruluşlar
nezdinde gerçekleşen işlemler için de aynı yaklaşım gösterilir.

(2) Kritik
işlemler, kayıtlar ve verilerde meydana gelebilecek bozulmaları saptayacak
teknikler kullanılır.

Veri gizliliği

MADDE 17 –
(1) Kurum, Kuruluş ve Ortaklıklar, bilgi sistemleri faaliyetleri kapsamında
gerçekleşen işlemlerin ve bu işlemler kapsamında iletilen, işlenen ve
saklanan verilerin gizliliğini sağlayacak önlemleri alır. Gizliliği
sağlamak üzere yapılacak çalışmalar asgari olarak aşağıda belirtilen
hususları içerir:

a) Bilgi
sistemleri yapısı ile iş ve işlem çeşitliliği göz önünde bulundurularak
verilerin önem derecesine uygun önlemlerin alınması,

b) Verilere erişim
haklarının kişilerin görev ve sorumlulukları çerçevesinde belirlenmesi,
erişimlerin kayıt altına alınması, bu kayıtların yetkisiz erişim ve
müdahalelere karşı korunması,

c) Veri
gizliliğini sağlamada şifreleme tekniklerinin kullanılması durumunda,
güvenilirliği ve sağlamlığı ispatlanmış algoritmaların kullanılması;
geçerliliğini yitirmiş, çalınmış veya kırılmış şifreleme anahtarlarının
kullanılmasının engellenmesi, verinin ve operasyonun önem düzeyine göre
anahtarların değiştirilme sıklıklarının belirlenmesi.

(2) Kurum, Kuruluş
ve Ortaklıklar, bilgi sistemleri faaliyetleri kapsamında gerçekleşen
işlemlere ilişkin iletilen, işlenen ve saklanan önem derecesi yüksek
verilerin kasten veya yanlışlıkla kurum dışına sızmasını önlemeye yönelik
olarak gerekli önlemleri alır.

Bilgi
sistemlerine ilişkin dış kaynak yoluyla alınan hizmetlerin yönetimi

MADDE 18 –
(1) Kurum, Kuruluş ve Ortaklıkların üst yönetimi tarafından, bilgi
sistemleri kapsamında dış kaynak yoluyla alınacak hizmetlerin doğuracağı
risklerin yeterli düzeyde değerlendirilmesine, yönetilmesine ve dış kaynak
yoluyla alınan hizmeti sağlayan kuruluşlarla ilişkilerin etkin bir şekilde
yürütülebilmesine olanak sağlayacak bir gözetim mekanizması tesis edilir.
Tesis edilecek gözetim mekanizması asgari olarak aşağıda belirtilen
hususları içerir:

a) Dış kaynak
yoluyla alınan bilgi sistemleri hizmeti kapsamındaki tüm sistem ve
süreçlerin Kurum, Kuruluş ve Ortaklıkların kendi risk yönetimi, güvenlik,
gizlilik ve müşteri gizliliğine ilişkin ilkelerine uygun olması,

b) Kurum, Kuruluş
ve Ortaklıkların verilerinin dış kaynak yoluyla alınan bilgi sistemleri
hizmeti sağlayan kuruluşa aktarılmasının gerekli olduğu durumlarda, söz
konusu kuruluşun bilgi güvenliği konusundaki ilke ve uygulamalarının en az
Kurum, Kuruluş ve Ortaklıkların uyguladığı düzeyde olması,

c) Dış kaynak
yoluyla alınan bilgi sistemleri hizmetine ilişkin hususların Kurum, Kuruluş
ve Ortaklıkların iş sürekliliği göz önünde bulundurularak düzenlenmesi ve
gerekli önlemlerin alınması,

ç) Dış kaynak
yoluyla alınan bilgi sistemleri hizmetlerinde ölçme, değerlendirme,
raporlama ve güvenlik fonksiyonlarında nihai sorumluluğun Kurum, Kuruluş ve
Ortaklıklarda olması,

d) Dış kaynak
yoluyla alınan hizmetin, Kurum, Kuruluş ve Ortaklıkların yasal
yükümlülüklerini yerine getirmelerini ve etkin biçimde denetlenmelerini
engelleyici nitelikte olmaması,

e) Kurum, Kuruluş
ve Ortaklıkların önem arz eden konulara ilişkin dış kaynak hizmeti
aldıkları kuruluşlarla sözleşme imzalamadan önce ilgili kuruluş bünyesinde
dış kaynak hizmetini istenilen kalitede gerçekleştirebilecek düzeyde teknik
donanım ve altyapı, mali güç, tecrübe, bilgi birikimi ve insan kaynağı
bulunup bulunmadığı hususlarını da dikkate alacak şekilde inceleme ve
değerlendirme çalışması yapmaları ve bu çalışma sonucunda hazırlanacak
teknik yeterlilik raporunun üst yönetime sunulması.

(2) Dış kaynak
kullanımına ilişkin koşul, kapsam ve her türlü diğer tanımlama, dış kaynak
yoluyla alınan hizmeti sağlayan kuruluşça da imzalanmış olacak şekilde
sözleşmeye bağlanır. Sözleşme, asgari olarak aşağıdaki hususları içerir:

a) Hizmet
seviyelerine ilişkin tanımlamalar,

b) Hizmetin
sonlandırılmasına ilişkin koşullar,

c) Hizmetin,
beklenmedik şekillerde sonlandırılması veya kesintiye uğraması durumunda
uygulanacak yaptırımlar,

ç) Kurum, Kuruluş
ve Ortaklıkların bilgi güvenliği politikası dâhilinde önem arz eden
konulara ilişkin gereklilikler,

d) Sözleşme
kapsamında üretilecek ürün bulunması halinde, ürünün sahipliği ile fikri ve
sınai mülkiyet haklarını da göz önünde bulundurarak düzenleyen hükümler,

e) Sözleşmede dış
kaynak yoluyla alınan hizmeti sağlayan kuruluşlar için yükümlülük teşkil
eden hükümlerin, alt yüklenici kuruluşlar ile yapılacak olan sözleşmelerde
de bağlayıcı maddeler olarak yer almasını sağlayacak hükümler,

f) Hizmet
sağlayıcı kuruluşun, sermaye piyasası mevzuatı kapsamında Kurul tarafından
talep edilecek bilgileri istenen zamanda ve nitelikte sağlamasına ilişkin
yükümlülüğü ve Kurul’un sözleşme kapsamında sunulan hizmet ile ilgili olarak
hizmet sağlayıcı bünyesindeki gerekli gördüğü her türlü bilgi, belge ve
kayda erişim hakkı.

(3) Dış kaynak
yoluyla alınan hizmeti sağlayan kuruluşlara verilen erişim hakları özel
olarak değerlendirilir. Fiziksel veya mantıksal olabilecek bu erişimler için
risk değerlendirmesi yapılır, gerekiyorsa ek kontroller tesis edilir. Risk
değerlendirmesi yapılırken ihtiyaç duyulan erişim türü, erişilecek verinin
önemi ile erişimin bilgi güvenliği üzerindeki etkileri dikkate alınır.
Alınan hizmetin sonlanması durumunda ilgili tüm erişim hakları iptal
edilir.

(4) Kurum, Kuruluş
ve Ortaklıkların üst yönetimi, dış kaynak yoluyla gerçekleştirilen
hizmetler için hizmetin erişilebilirliğini, performansını, kalitesini, bu
hizmet kapsamında gerçekleşen güvenlik ihlali olayları ile dış kaynak
yoluyla hizmet sağlayan kuruluşun güvenlik kontrollerini, finansal
koşullarını ve sözleşmeye uygunluğunu yakından takip etmek için yeterli
bilgi ve tecrübeye sahip sorumluları belirler.

Müşteri
bilgilerinin gizliliği

MADDE 19 –
(1) Kurum, Kuruluş ve Ortaklıklar bilgi sistemleri aracılığıyla edindiği
veya sakladığı müşteri bilgilerinin gizliliğini sağlamaya yönelik
kontrolleri tesis eder ve bunların gerektirdiği önlemleri alır.

(2) Kurum, Kuruluş
ve Ortaklıklar personelin kişisel verilerin korunması ve işlenmesine uygun
davranışlarını temin etmelerine yönelik gerekli tedbirleri alırlar. Bu
maddede yer almayan durumlarda 24/3/2016 tarihli ve 6698 sayılı Kişisel
Verilerin Korunması Kanunu uygulanır.

Müşterilerin
bilgilendirilmesi

MADDE 20 – (1)
Kurum, Kuruluş ve Ortaklıklar tarafından elektronik ortamda sunulan
hizmetlerden yararlanacak müşteriler, sunulan hizmetlere ilişkin şartlar,
riskler ve istisnaî durumlarla ilgili olarak açık bir şekilde
bilgilendirilir ve söz konusu hizmetlere ilişkin risklerin etkisini
azaltmaya yönelik olarak benimsenen bilgi güvenliği ilkeleri ve bu
risklerden korunmak için kullanılması gereken yöntemler müşterilerin
dikkatine sunulur.

(2) Bilgi
sistemlerinden ve bunlara dayalı olarak verilen hizmetlerden dolayı müşterilerin
yaşayabileceği sorunların takip edilebileceği ve müşterilerin şikâyetlerini
ulaştırmalarına imkân tanıyacak mekanizmalar oluşturulur. Şikâyet ve
uyarılar değerlendirilerek aksaklıkları giderici çalışmalar yapılır.

Üçüncü
taraflarla bilgi değişimi

MADDE 21 –
(1) Üçüncü taraflara Kurum, Kuruluş ve Ortaklıkların bilgi sistemine erişim
hakkı vermeden önce gerekli güvenlik gereksinimleri tanımlanır ve
uygulanır. Kurum, Kuruluş ve Ortaklıkların bilgi içeren ortamları, üçüncü
taraflar ile yapılan bilgi aktarımları sırasında gerçekleşebilecek kötüye
kullanım veya bozulmaya karşı korunur. 

(2) Kurum, Kuruluş
ve Ortaklıkların birinci fıkra kapsamında alacağı tedbirler Kurul’un bilgi
alımı faaliyetlerine engel teşkil edemez.

Kayıt
mekanizmasının oluşturulması

MADDE 22 –
(1) Kurum, Kuruluş ve Ortaklıklar, bilgi sistemleri üzerindeki riskleri,
sistem veya faaliyetlerin karmaşıklığını ve kapsamının genişliğini göz
önünde bulundurarak bilgi sistemlerinin kullanımına ilişkin etkin bir
denetim izi kayıt mekanizması tesis eder. Bu sayede, bilgi sistemleri
dâhilinde gerçekleşen ve Kurum, Kuruluş ve Ortaklıkların faaliyetlerine ait
kayıtlarda değişiklik ve silmeye sebep olan işlemlere ilişkin denetim
izlerinin yeterli detayda ve açıklıkta kaydedilmesi temin edilir. Kayıt
mekanizmasının yetkisiz sistemsel ve kullanıcı erişimlerine karşı
korunmasına yönelik önlemler alınır.

(2) Denetim
izlerinin bütünlüğünün bozulmasının önlenmesi ve herhangi bir bozulma
durumunda bunun tespit edilebilmesi için gerekli teknikler kullanılır.
Denetim izlerinin bütünlüğü düzenli olarak gözden geçirilir ve olağandışı
durumlar üst yönetime raporlanır.

(3) Denetim
izlerinde asgari olarak aşağıdaki bilgiler tutulur:

a) Yapılan
işlemlerin türü ve
niteliği,         

b) İşlemlere
ilişkin yetkisiz erişim teşebbüsleri,

c) İşlemi
gerçekleştiren uygulama,

ç) İşlemi
gerçekleştiren kişinin kimliği,

d) Yapılan
işlemlerin zamanı.

(4) Denetim izleri
asgari 5 yıl saklanır. Denetim izlerinin, yeterli güvenlik düzeyine sahip
ortamlarda korunması ve yedeklerinin alınması suretiyle, yaşanması muhtemel
olumsuzluklar sonrasında da öngörülen süre için erişilebilir olmaları temin
edilir.

(5) Dış kaynak
hizmeti alınan kuruluşlar, müşteriler ve personel, bilgi sistemleri üzerindeki
aktivitelerinin kaydının tutulduğu konusunda bilgilendirilir.

(6) Denetim
izlerinin tutulması, mevzuatın diğer hükümleri gereği Kurum, Kuruluş ve
Ortaklıkların belge saklamasına ilişkin yükümlülüklerini değiştirmez.

Zaman
senkronizasyonu

MADDE 23 –
(1) Kurum, Kuruluş ve Ortaklıkların bilgi sistemlerinde kullandıkları zaman
bilgisi tek bir referans kaynağına göre senkronize edilir. Zaman bilgisi
atomik saatler vasıtasıyla temin edilir.

Bilgi güvenliği
ihlali

MADDE 24 –
(1) Kurum, Kuruluş ve Ortaklıklar, bünyelerinde gerçekleşen her türlü bilgi
güvenliği ihlal olayının ve bilgi sistemlerine ilişkin ortaya çıkan
zayıflıkların yönetilmesini sağlayacak kontrolleri tesis eder. Bu
kontroller asgari olarak aşağıdaki hususları içerir:

a) Gerçekleşen
ihlal veya ortaya çıkan zayıflığın mümkün olan en kısa sürede kayda
alınması ve çözülmesi için gerekli mekanizmaların kurulması,
sorumlulukların belirlenmesi ve tüm personelin bilgilendirilmesi,

b) İhlal olayını
veya zayıflığı bildiren kişinin, işlemin sonucu hakkında bilgilendirilmesi,

c) Bildirimi
yapılan tüm ihlal olayı ve zayıflıkların kök sebebinin bulunması ve
düzeltici faaliyetlerin uygulanması,

ç) Kritik ihlal
olayları veya zayıflıkların üst yönetime raporlanması,

d) Tüm ihlal ve
zayıflıkların; türü, ortaya çıkış zamanı, etkilediği bilgi sistemleri, iş
süreçleri ve etki alanı ile buna karşı gerçekleştirilen düzeltici
faaliyetler, harcanan zaman, maliyet ve işgücü miktarının kayda alınması,

e) Tekrarlayan
veya benzer ihlal veya zayıflıklara organizasyonun hazırlıklı olmasının
sağlanması.

Bilgi
sistemleri edinimi, geliştirilmesi ve bakımı

MADDE 25 –
(1) Kurum, Kuruluş ve Ortaklıklar, bilgi sistemleri edinimi, geliştirilmesi
ve bakımı için kontrolleri tesis eder. Bu kontroller asgari olarak
aşağıdaki hususları içerir:

a) Kurum, Kuruluş
ve Ortaklıkların kendi bünyesinde geliştirilecek, değiştirilecek veya dış
kaynak hizmeti yoluyla edinilecek her türlü bilgi sisteminin, fonksiyonel
gereksinimleri ile tasarım, geliştirme ve test aşamalarının her biri için
teknik ve  güvenlik gereksinimleri yazılı hale getirilir,

b) Temin edilecek
bilgi sistemleri yapısının Kurum, Kuruluş ve Ortaklıkların ölçeği,
faaliyetlerinin ve sunulan ürünlerin niteliği ve karmaşıklığı ile uyumlu
olması zorunludur,

c) Bilgi
sistemlerinin geliştirme, değişiklik veya edinimi faaliyeti boyunca, işin
gelişimini takip edebilmek için proje gelişim raporları hazırlanır ve
Kurum, Kuruluş ve Ortaklıkların yönetim kurulu tarafından onaylanır,

ç) Bilgi
sistemlerinde yapılacak önemli güncellemelerin veya değişikliklerin iş
süreçlerini aksatmaması ve bilgi güvenliği riski oluşturmaması için
güncelleme veya değişikliklere ilişkin planlama, test ve uygulama adımları
detaylı olarak ele alınır,

d) Uygulamalarda
veri girişlerinin tam, doğru ve geçerli şekilde yapılmasını, veri
üzerindeki işlemlerin doğru sonuçları üretmesini sağlayacak, veri ve işlem
kaybını, verinin yetkisiz değiştirilmesini ve kötüye kullanımını önleyecek
uygun kontroller tesis edilir,

e) Uygulama
güvenliği ve erişilebilirlik gereksinimleri belirlenirken organizasyonun
belirlemiş olduğu veri sınıflandırması ve risk öncelikleri göz önünde
bulundurulur,

f) Bilgi
sistemleri gerçek ortamda kullanıma alınmadan önce kabul kriterleri
belirlenir, hazırlanacak bir plana göre fonksiyonel, teknik ve güvenlik
gereksinimleri testlerine tabi tutulur, test verileri özenle seçilerek
korunur ve kontrol edilir,

g) Gerekli
hallerde değiştirilmiş veya yeni geliştirilmiş sistem, gerçek ortamda
kullanıma alınmadan önce, belirli bir olgunluk seviyesine ulaşana kadar eski
sistemle beraber çalıştırılmasına devam edilir; bu şekilde paralel
işletimin mümkün olmadığı durumlarda ise, değiştirilmiş veya yeni
geliştirilmiş sistem belirli bir olgunluk seviyesine ulaşana kadar eski
sistem veri kayıpsız olarak devreye alınabilir halde tutulur,

ğ) Bilgi
sistemlerinin kullanımı ile ilgili gerekli eğitim materyalleri oluşturulur,

h) Geliştirme,
test ve gerçek ortamdaki işlemler ile bu işlemlerin gerçekleştiği ortamlar,
yetkisiz erişim ve değişim riskine karşı birbirinden ayrılır.

Bilgi
sistemleri sürekliliği

MADDE 26 –
(1) Kurum, Kuruluş ve Ortaklıkların birincil ve ikincil sistemlerini yurt
içinde bulundurmaları zorunludur.

(2) Kurum, Kuruluş
ve Ortaklıklar faaliyetlerini destekleyen bilgi sistemlerinin sürekliliğini
sağlamak üzere iş sürekliliği planının bir parçası olan bilgi sistemleri
süreklilik planını hazırlar.

(3) Plan
kapsamında ikincil sistem tesis edilir ya da bu hizmeti destek hizmeti
kuruluşlarından tedarik etme hususunda güvence sağlayan anlaşmalar yapılır.
İkincil sistemde, Kurum, Kuruluş ve Ortaklıkların veri ve sistem yedekleri
kullanıma hazır bulundurulur.

(4) Plan, iş
süreklilik planında belirlenen hedefleri de dikkate alacak şekilde, kritik
iş süreçlerini destekleyen bilgi sistemleri hizmetlerine yönelik hazırlanır.
Bu çerçevede hizmetlerin tekrar kullanıma açılmasını sağlayacak
alternatifli kurtarma süreç ve prosedürleri tesis edilir ve gerekli
önlemler alınır.

(5) Plan
kapsamında, performans takibi ve kapasite planlaması yapılır, sistem
kaynaklarının kullanımı izlenir.

(6) Bilgi
sistemleri altyapısından kaynaklanabilecek kesintilere, işlem performansını
düşürecek veya iş sürekliliğini aksatacak durumlara karşı gerekli önlemler
alınır.

(7) Bilgi
sistemlerinin sürekliliğini sağlamak amacıyla, risk değerlendirmesi, risk
azaltma ve risk izleme faaliyetleri gerçekleştirilir.

(8) Plan, iş
süreçlerini veya bilgi sistemlerini etkileyecek değişikliklerden sonra
gözden geçirilerek güncellenir. Planın etkinliğini ve güncelliğini temin
etmek üzere testler yapılır, testlere varsa dış kaynak yoluyla hizmet
alınan kuruluşlar da dâhil edilir ve test sonuçları üst yönetime
raporlanır. Testler, her yıl tekrarlanır.

(9) Bilgi
sistemleri, iş sürekliliği planındaki önceliklere uygun olarak yedeklenir
ve yedekten geri dönülmesi için gerekli süreçler bilgi sistemleri
sürekliliği planına ve testine dâhil edilir.

(10) Kurum,
Kuruluş ve Ortaklıklar, bilgi güvenliği politikasının, bilgi sistemleri
süreklilik planının, ağ topolojisinin, bilgi sistemleri varlık envanteri
ile iş sürekliliği ve güvenliği açısından önem arz eden diğer dokümanların
güncel sürümlerini ve bilgi sistemleri yönetimine ilişkin parolalarını
güvenli ortamlarda saklar.

Değişiklik
yönetimi

MADDE 27 –
(1) Kurum, Kuruluş ve Ortaklıklar, bilgi sistemlerini oluşturan her türlü
yazılım, donanım ve altyapı bileşenlerine, dokümantasyona ve bilgiye
yapılan değişiklikleri yönetebilmek amacıyla kontroller geliştirir. Bu
kontroller en az aşağıdaki hususları içerir:

a) Yapılacak her
türlü değişiklik için; değişikliğin sebebini, kapsamını, etkisini, içerdiği
riskleri, beklenen faydasını, değişikliği yapacak kişileri, maliyetini,
gerekli test ve eğitim faaliyetlerini tanımlayan kayıtlar oluşturulur,

b) Planlanan
değişiklikler onay sürecinden geçmedikçe işleme konulmaz,

c) Planlanan
değişiklikler, devreye alınma tarihleri, test ve eğitim faaliyetleriyle
ilgili düzenlemeler ilgili tüm taraflara önceden duyurulur,

ç) Değişikliğin
uygulanmasında ortaya çıkan hatalar ve öngörülemeyen durumlarda uygulamaya
alınacak geri dönüş prosedürleri ve bunlarla ilgili sorumluluklar önceden
belirlenir,

d)
Gerçekleştirilen değişikliklerin sonuçları gözden geçirilir,

e)
Gerçekleştirilen, iptal edilen veya reddedilen tüm değişiklikler
gerekçeleriyle birlikte kayda geçirilir ve saklanır.

DÖRDÜNCÜ
BÖLÜM

Muafiyetler,
Diğer Hususlar, Yürürlük ve Yürütme

Muafiyetler

MADDE 28 –
(1)  Asgari özsermaye yükümlülüğü 5 milyon TL ve daha az olan portföy
yönetim şirketleri ve Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu
A.Ş. 24 üncü ve 27 nci maddeleri uygulamak zorunda değildir.

(2) Dar yetkili
aracı kurumlar, varlık kiralama şirketleri, ipotek finansmanı kuruluşları,
Türkiye Sermaye Piyasaları Birliği, Türkiye Değerleme Uzmanları Birliği,
bağımsız denetim, derecelendirme ve değerleme kuruluşları, halka açık ortaklıklar,
varlık finansmanı fonları, kolektif yatırım kuruluşları, emeklilik yatırım
fonları, konut finansmanı fonları 7 nci maddenin beşinci fıkrası, 8 inci
maddenin dördüncü, beşinci ve altıncı fıkralarını, 14 üncü maddenin üçüncü
fıkrasını, 15 inci maddenin üçüncü fıkrasını, 17 nci maddenin ikinci
fıkrasını, 18 inci maddenin dördüncü fıkrasını, 22 nci maddenin ikinci
fıkrasını, 24 üncü maddeyi, 25 inci maddenin birinci fıkrasının (b), (d) ve
(ğ) bentlerini, 26 ncı maddenin üçüncü fıkrasını ve 27 nci maddeyi
uygulamak zorunda değildir.

(3) Kurul bu
maddenin birinci ve ikinci fıkralarında belirlenen muafiyetleri kısmen veya
tamamen kaldırmaya, bunların kapsam ve içeriğini Kurum, Kuruluş ve
Ortaklıklar bazında değiştirmeye yetkilidir.

(4) (Ek:RG-9/1/2020-31003)
Birinci fıkrada belirtilen asgari özsermaye yükümlülük tutarı
için, 2/7/2013 tarihli ve 28695 sayılı Resmî Gazete’de yayımlanan
Portföy Yönetim Şirketleri ve Bu Şirketlerin Faaliyetlerine İlişkin Esaslar
Tebliği (III-55.1)’nin 28 ve 41 inci maddeleri kapsamında Kurulca
yeniden değerleme kapsamında belirlenen ve ilan edilen tutarlar esas
alınır.

Diğer hususlar

MADDE 29 – (1)
Bu Tebliğ hükümleri esas olmak üzere, tezgahüstü türev araç işlemi
gerçekleştiren aracı kurumların bilgi işlem altyapılarına ilişkin olarak
ilgili Kurul düzenlemelerinde belirlenen ilke ve esaslara uyulur.

Yürürlük

MADDE 30 –
(1) Bu Tebliğ yayımı tarihinde yürürlüğe girer.

Yürütme

MADDE 31 –
(1) Bu Tebliğ hükümlerini Kurul yürütür.

 

Ekleri
için tıklayınız.

 





 



Tebliğin
Yayımlandığı Resmî Gazete’nin






Tarihi



Sayısı






5/1/2018



30292






Tebliğde
Değişiklik Yapan Tebliğlerin Yayımlandığı Resmî Gazetelerin






Tarihi



Sayısı






1.     
 



9/1/2020



31003






2.     
 



 



 






3.     
 



 



 







 

 















 


 

AvAi

Hukuki AI Asistanı
Merhaba! Ben AvAi, Avarsis Hukuki AI Asistanınız. Size nasıl yardımcı olabilirim?