Bankaların bilgi sistemleri ve elektronik bankacılık hizmetleri hakkında yönetmelik
Söz konusu Yönetmelik, aşağıdaki başlıklarda uygulanacak süreç ve kontrolleri belirlemektedir:
Bilgi sistemleri ve bilgi güvenliği organizasyonu
Sistem ve ağ güvenliği süreçleri
Sistem geliştirme ve yazılım değişiklik
Bilgi sistemleri sürekliliği
Bilgi sistemleri süreçlerine ilişkin dış hizmet alımı
Bilgi sistemleri iç kontrol ve iç denetim fonksiyonları
Internet Bankacılığı
Mobil Bankacılık
Telefon Bankacılığı
ATM Bankacılığı
Bu Yönetmelik ile yeni ve İlkeler Tebliği ile Bankaların İç Sistemleri ve İçsel Sermaye Yeterliliği Değerlendirme Süreci Hakkında Yönetmeliğe (İç Sistemler Yönetmeliği) ek olarak getirilen hükümlerin başlıcaları aşağıda yer almaktadır:
Bilgi sistemleri (BS) ve bilgi güvenliği organizasyonu
Banka bünyesinde bilgi güvenliğinin sağlanmasında nihai sorumluluk yönetim kuruluna atanmıştır. Bilgi güvenliği politikasının oluşturulması ve uygulanması faaliyetleri yönetim kurulu adına oluşturulacak olan Bilgi Güvenliği Komitesi tarafından gerçekleştirilecek olup bu komiteye belirlenen bir yönetim kurulu üyesi veya genel müdür başkanlık edecektir.
Banka bünyesindeki, BS organizasyonunda bağımsız olarak konumlandırılacak olan BS güvenlik fonksiyonu doğrudan yönetim kuruluna veya genel müdüre bağlı olacaktır.
Banka, siber olaylardan sonra bankacılık faaliyetlerini en az etkileyecek şekilde ve mümkün olan en kısa sürede BS hizmetlerini normal işleyişine döndürmek üzere siber olay yönetimi ve siber olaylara müdahale süreci oluşturacaktır.
Bilgi sistemleri sürekliliği
İç Sistemler Yönetmeliğinde de belirtildiği üzere Banka, bankacılık faaliyetlerini yürütmede kullanılan BS servislerinin sürekliliğini sağlamak üzere Yönetim Kurulu onaylı bir bilgi sistemleri süreklilik planı hazırlayacak, BS süreklilik yönetimi süreci sorumlusu atayacak ve BS Süreklilik Komitesi tesis edecektir. BS Süreklilik Komitesi, bankanın insan kaynakları, ilgili iş birimleri, BS güvenlik fonksiyonu, ilgili BS birimlerinin temsilcileri ve organizasyonda bulunması durumunda uyum ve hukuk ile ilgili birim ya da pozisyonların temsilcilerinden oluşacaktır.
Banka ana sistemlerinin (birincil sistemlerin) tamamen devre dışı kaldığı felaket senaryolarında dahi bankanın en geç 24 saat içerisinde faaliyetlerini yeniden sürdürebiliyor olması esastır. Planın etkinliğini ve güncelliğini temin etmek üzere yılda en az bir defa gerçek bir felaket senaryosunu sağlamaya ve yedek (ikincil) merkez üzerinden faaliyetleri sürdürmeye yönelik testler yapılacaktır.
Bilgi sistemleri iç kontrol ve iç denetim faaliyetleri
BS iç kontrol fonksiyonu oluşturulacak, bu alanda en az beş yıllık tecrübeye sahip bir BS iç kontrol sorumlusu atanacak ve BS iç kontrol faaliyetleri bu kişinin sorumluluğunda yürütülecektir.
BS iç denetim fonksiyonu oluşturulacak, bu alanda en az beş yıllık tecrübeye sahip bir BS iç denetim sorumlusu atanacak ve BS iç denetim faaliyetleri bu kişinin sorumluluğunda yürütülecektir.
Bulut bilişim
Banka, bir dış hizmet olarak bulut bilişim hizmetlerini kullanabilecektir. Birincil (asıl) veya ikincil (yedek) sistemler için bulut hizmeti tek bir bankaya tahsis edilmiş donanım ve yazılım kaynakları üzerinden özel bulut hizmet modeliyle alınabilecektir. Donanım ve yazılım kaynaklarının fiziksel olarak paylaşıldığı ancak mantıksal olarak her bankaya özgü ayrı kaynağın atandığı topluluk bulutu hizmet modeliyle dış hizmet alınması Kurul iznine tabi olacaktır.
Saygılarımızla, Kuzey YMM ve Bağımsız Denetim A.Ş. Erdal Çalıkoğlu
Yukarıda yer verilen açıklamalarımız, konuya ilişkin genel bilgiler içermektedir. EY ve/veya Kuzey YMM ve Bağımsız Denetim A.Ş.’ye, işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz.
Av. Mehmet Küçükkaya mehmet.kucukkaya@tr.ey.com (212) 315 30 00
Av. Bilge Cansız Pürtük bilge.cansiz@tr.ey.com (212) 315 30 00
Bu web sitesi, işlevselliği sağlamak ve online deneyiminizi geliştirmek için çerezler kullanır. Bu web sitesini kullanarak EY Çerez Politikası ve Aydınlatma Metni’nde yer alan şekilde, çerezlerin kullanılmasına rıza gösterirsiniz.