TURK Elektronik Para ve
Ödeme Sistemleri A.Ş.
BİLGİ SİSTEMLERİ RİSK YÖNETİM
POLİTİKASI
Dok. No:01
Sayfa :1/7
Tarih:01.10.2014
Bilgi Sistemleri Risk Yönetim Politikası
Doküman Bilgileri
Adı:
Bilgi Sistemleri Risk Yönetim Politikası
Doküman No:
01
Revizyon No:
İlk yayındır
Doküman Tarihi:
01.10.2014
Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi
Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ
Yönetim Kurulu
Referans / Gerekçe
Onaylayan
Değişiklik Tarihçesi
Revizyon No
Tarih
Açıklama
Birim
Kişi
Değişikliği Yapan
Dağıtım Listesi
Doküman No
Ünvan
TURK Elektronik Para ve
Ödeme Sistemleri A.Ş.
Dok. No:01
BİLGİ SİSTEMLERİ RİSK YÖNETİM
POLİTİKASI
Sayfa :2/7
Tarih:01.10.2014
İÇİNDEKİLER
1.
AMAÇ ......................................................................................................................... 3
2.
KAPSAM..................................................................................................................... 3
3.
TANIMLAR ................................................................................................................. 3
4.
BİLGİ SİSTEMLERİ YÖNETİMİ RİSKİNE İLİŞKİN TEMEL İLKELER .......................... 3
5.
BİLGİ SİSTEMLERİ RİSKİNİN YÖNETİLMESİNE İLİŞKİN SORUMLULUKLAR ......... 5
6.
BİLGİ GÜVENLİĞİ ve RİSK KOMİTESİ ÇALIŞMA ESASLARI .................................... 5
7.
YÜRÜRLÜK ................................................................................................................ 7
TURK Elektronik Para ve
Ödeme Sistemleri A.Ş.
Dok. No:01
1.
BİLGİ SİSTEMLERİ RİSK YÖNETİM
POLİTİKASI
Sayfa :3/7
Tarih:01.10.2014
AMAÇ
Bu politikanın amacı; Şirket’in faaliyetlerinin ifasında kullandığı bilgi sistemlerinin yönetiminde
esas alınacak ilkeler ile bilgi teknolojilerinin kullanımından kaynaklanan risklerin
tanımlanması, ölçülmesi, izlenmesi, kontrol edilmesi, raporlanması ve yönetilmesine ilişkin
esasları belirlemektir. Bu politika ile bilgi sistemleri yönetiminin kurumsal yönetim
uygulamalarının bir parçası olarak ele alınarak Şirket faaliyetlerinin sürdürülmesinde kritik bir
bağımlılık unsuru olan bilgi teknolojilerinin etkin biçimde yönetilmesi amaçlanmaktadır.
2.
KAPSAM
Şirket’in
hizmetlerini
sunmak
için
kullandığı
teknoloji
altyapısı,
uygulama
mimarisi,programlama teknikleri, dış hizmet sağlayıcılardan kaynaklanabilecek riskleri ve
teknolojik gelişmeler de dikkate alınarak uygulanacak risk analiz tekniklere karar
verilir.Şirket’in bilgi sistemleri ile bu sistemleri içeren tüm unsurların yönetiminde bu politika
hükümleri uygulanır.
3.
TANIMLAR
Şirket:TURK Elektronik Para ve Ödeme Sistemleri A.Ş.’yi,
Bilgi Sistemleri:Elektronik ortamda bilgilerin işlenmesi ve depolanması için kullanılan giriş,
işleme, depolama,yedekleme,kopyalama ve yazdırma fonksiyonlarını kapsayan yazılım ve
donanımlarını,
BS/BT: Bilgi Sistemleri’ni, Bilgi Teknolojileri’ni
Bilgi Güvenliği:Bilgi sistemleri üzerinde işlenen, depolanan bilgilerin erişilebilirliğinin,
bütünlüğünün ve gizliliğininsağlanmasını
Bilgi Güvenliği ve Risk Komitesi: Bilgi sistemlerinin yönetimine ve bilgi güvenliğinin
sağlanmasına ilişkin politikaların, prosedürlerin ve süreçlerin tesis edilmesi, bilgi
teknolojilerinin kullanılmasından kaynaklanan risklerin etkin biçimde yönetilmesi amacıyla
oluşturulan komitedir.
ifade eder.
4.

BİLGİ SİSTEMLERİ YÖNETİMİ RİSKİNE İLİŞKİN TEMEL İLKELER
Bilgi sistemlerinin yapısının, Şirket’in ölçeği, faaliyetlerin ve sunulan ürünlerin niteliği,
çeşitliliği ve stratejik hedefleri ile uyumlu olması; bilgi sistemleri ile içerdiği verinin
güvenilir, doğru, eksiksiz, izlenebilir, tutarlı, erişilebilir ve ihtiyaçları karşılayacak nitelikte
oluşturulması esastır. Bilgi sistemleri asgari olarak;
 Şirket’le ilgili tüm bilgilerin yurt içinde elektronik ortamda güvenli ve istenildiği an
erişime imkân sağlayacak şekilde saklanılmasına veya yedeklenmesine ve
kullanılmasına,
 Risk ölçüm yöntem veya modelleri kullanılarak risklerin ölçülebilmesine ve zamanında
ve etkin bir şekilde raporlanabilmesine,
 Önceden belirlenen risk limitlerine yaklaşılması halinde uyarıcı bilgiler
üretilebilmesine,
TURK Elektronik Para ve
Ödeme Sistemleri A.Ş.
BİLGİ SİSTEMLERİ RİSK YÖNETİM
POLİTİKASI
Dok. No:01
Sayfa :4/7
Tarih:01.10.2014
 Belirlenen azami risk düzeylerine ilişkin aşımların ve istisnaların zamanında
raporlanabilmesine,
 Sunulan hizmet ve faaliyetlere ilişkin sermaye tahsisinin Şirket’in risk alma düzeyine
göre belirlenmesine,
 Sızma ve stres testi yapılabilmesine,
 Muhasebe kayıtlarının Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurulu
tarafından belirlenen usul ve esaslara uygun şekilde muhasebeleştirilmesine
imkân verecek yapıda tesis edilir.

Bilgi sistemlerinin sürekli biçimde işlerliğini sağlamak üzere iş sürekliliği planı oluşturulur.
Söz konusu planın işlerliği ve yeterliliği düzenli olarak test edilir; ihtiyaç duyulması halinde
gerekli tedbirler alınır. İş sürekliliğinin planlanmasında, kritik bilgi teknolojileri varlıkları ile
süreçleri belirlenir; bunlara ilişkin iş etki analizi ile risk değerlendirmesi yapılır.

Bilgi sistemleri ile içerdiği verinin güvenli biçimde saklanması esastır. Bu çerçevede,
veriler, güvenlik hassasiyet derecelerine göre sınıflandırılır, her bir sınıf için uygun
düzeyde güvenlik kontrolleri tesis edilir ve buna göre yedeklenir. Bilgi sistemlerinin
güvenliği ve yedekleme sistemlerinin işleyişi düzenli olarak test edilir ve test sonuçlarına
göre ihtiyaç duyulması halinde gerekli değişiklikler yapılır.

Bilgi güvenliğinin temininde ve Şirket’in bilgi sistemlerine erişimde, kimlik doğrulama ve
yetkilendirme mekanizmaları ile inkâr edilemezlik ve sorumluluk atama imkânlarını içeren
teknikler kullanılır.

Bilgi sistemlerinin geliştirilmesi, test edilmesi ve işletilmesi süreçlerinde görevler ayrılığı
ilkesi uygulanır. Bilgi sistemleri yönetim sürecinde görev alan bölüm ve çalışanların
görev, yetki ve sorumlulukları yazılı olarak belirlenir. Görevler ayrılığı ilkesine uygunluk
düzenli olarak test edilir; sonuçları Bilgi Güvenliği ve Risk Komitesi’ne raporlanır.

Faaliyetlerin yürütülmesi sırasında bilgi sistemleri aracılığıyla edinilen ve saklanan
müşteri ve Şirket bilgilerinin gizliliğini sağlamak esastır. Müşteri bilgilerinin, yasalarla
yetkili kılınmış merciler dışındaki taraflarla paylaşımına ilişkin uygulama esasları yazılı
olarak belirlenir.

Bilgi sistemleri kullanılarak gerçekleştirilen ve şirket faaliyetlerine ait kayıtlarda değişikliğe
neden olan işlemlere ilişkin olarak yeterli detayda ve açıklıkta denetim izleri oluşturulur.
Denetim izlerinin bütünlüğünün bozulmasının önlenmesi ve herhangi bir bozulma
durumunda bunun tespit edilebilmesi için gerekli tedbirler alınır.

Bilgi sistemleri yönetimi kapsamında alınacak Dış hizmetlerine ilişkin risk analizi yapılır.
Dış hizmetinin alımı süresince Şirket’in maruz kalabileceği riskler ve bunların düzeyi ile
Dış hizmeti kuruluşunun sağladığı hizmetin yeterliliği değerlendirilir. Söz konusu
değerlendirme sonuçları belirli dönemlerdeBilgi Güvenliği ve Risk Komitesiaracılığıyla üst
yönetime sunulur.

Uygulamaya konulan bilgi sistemlerinin işleyişi, stratejik hedeflere uygunluğu, kontrollerin
etkinliği ve yeterliliği, bilgi teknolojilerindeki gelişmeler de göz önüne alınarak düzenli
olarak izlenir. Yeni bilgi sistemlerinin Şirket’te uygulanmasının, Şirket’in risk profili
TURK Elektronik Para ve
Ödeme Sistemleri A.Ş.
Dok. No:01
BİLGİ SİSTEMLERİ RİSK YÖNETİM
POLİTİKASI
Sayfa :5/7
Tarih:01.10.2014
üzerinde yaratacağı etki değerlendirilir. Bu çerçevede, gerek duyulması halinde, bilgi
sistemleri işleyişi revize edilir.
5.
BİLGİ SİSTEMLERİ RİSKİNİN YÖNETİLMESİNE İLİŞKİN SORUMLULUKLAR

Bilgi sistemlerinin yönetimine ve bilgi güvenliğine ilişkin politikalar üst yönetimin onayı ile
yürürlüğe girer; söz konusu politikaların işleyişi düzenli olarak gözden geçirilir ve
gereksinimler doğrultusunda güncellenir.

Üst yönetim, bilgi teknolojilerinden kaynaklanan risklerin etkin biçimde ve yeterli
kaynaklarla yönetildiğini takip etmek; gerekli aksiyonların alınmasını ve kaynakların tahsis
edilmesini sağlamakla yükümlüdür.

Şirket, bilgi sistemlerinde meydana gelecek önemli değişikliklerden önce olası riskleri
değerlendirir ve bilgi sistemlerineilişkin risk analizini tekrarlar.

Bilgi sistemlerinin;
 Şirket’in ölçeği, faaliyetleri ve sunulan ürünlerin niteliği, çeşitliliği ve stratejik hedefleri
ile uyumunun sağlanmasından,
 yönetimine, sürekliliğine, bilgi güvenliği ile gizliliğinin sağlanmasına ilişkin politikaların,
prosedürlerin ve süreçlerin oluşturulmasından,
 kullanımı nedeniyle maruz kalınabilecek risklerin yönetilmesinden
Bilgi Güvenliği ve Risk Komitesi sorumludur. Komite, faaliyetlerini düzenli olaraküst yönetime
raporlar.

Şirket’in maruz kalabileceği bilgi teknolojilerine ilişkin risklerin ölçülmesi, ölçüm
sonuçlarının raporlanması ve risk düzeyinin izlenmesi Risk İzleme
Birimi’ninsorumluluğundadır. Şirket’in bilgi sistemlerinden kaynaklanan riskler, Bilgi
Güvenliği ve Risk Komitesi aracılığıyla üst yönetime raporlanır.

Üst yönetimin belirlediği strateji ve politikalar ile bu çerçevede Risk İzleme Birimi
tarafından alınan kararlar doğrultusunda bilgi sistemlerinin risk yönetimi süreçleri Bilgi
Güvenliği ve Risk Komitesitarafından yürütülür.

Yeni bilgi teknolojileri uygulamaya konulmadan önce, risk analizleri yapılmak üzere Risk
İzleme Birimi’ne iletilir. Anılan bölüm tarafından yapılan risk analizi, yeni bilgi teknolojisinin
kullanılacağı yeni ürün ve hizmete ilişkin nihaî risk değerlendirmesi yapılmak üzereBilgi
Güvenliği ve Risk Komitesi’ne iletilir.

Bilgi teknolojileri varlıklarının ve süreçlerinin süreklilik, kullanılabilirlik ve kurtarma
yeteneklerini değerlendirmek ve güncel tutmak Bilgi Güvenliği ve Risk Komitesi’nin
görevidir.
6.

BİLGİ GÜVENLİĞİ VE RİSK KOMİTESİ ÇALIŞMA ESASLARI
Bilgi Güvenliği ve Risk Komitesi; bilgi sistemlerinin Şirket’in stratejik amaçları
doğrultusunda yönetimine ve bilgi güvenliğinin sağlanmasına ilişkin politikaların,
TURK Elektronik Para ve
Ödeme Sistemleri A.Ş.
BİLGİ SİSTEMLERİ RİSK YÖNETİM
POLİTİKASI
Dok. No:01
Sayfa :6/7
Tarih:01.10.2014
prosedürlerin ve süreçlerin tesis edilmesi, bilgi teknolojilerinin kullanılmasından
kaynaklanan risklerin etkin biçimde yönetilmesi amacıyla oluşturulan bir Komitedir.

Bilgi Güvenliği ve Risk Komitesi’nin Başkan ve üyeleri Yönetim Kurulunun önerisi üzerine
üst yönetim tarafından belirlenir.

Komite, kendisine bağlı özel maksatlı alt komiteler kurabilir

Komite, toplantı esasıyla çalışır. Toplanma sıklığını ve koşullarını Komite Başkanı belirler.

Komitenin sekreterliğini Bilgi Güvenliği Yetkilisi yürütür.

Komite temel olarak;
 Şirket faaliyetlerinin sürdürülmesinde kritik bir bağımlılık unsuru olan bilgi
teknolojilerinin etkin biçimde yönetilmesi ve bu doğrultuda oluşan kaynak
gereksinimlerinin stratejik hedefler çerçevesinde önceliklendirilmesi,
 Şirket’in faaliyetlerinde bilgi sistemlerinin kullanımına ve güvenliğinin sağlanmasına,
ayrıca, faaliyetlerin yürütülmesi sırasında bilgi sistemleri aracılığıyla edinilen veya
saklanan Şirket ve müşteri bilgilerinin gizliliğini temin etmeye yönelik politikalarının
oluşturulması ve Üst yönetimin onayına sunulması; söz konusu politikaların düzenli
olarak gözden geçirilmesi ve gerek duyulması halinde güncellenmesinin sağlanması,
 Bilgi sistemlerinin kullanımından kaynaklanan risklerin tanımlanması,
değerlendirilmesi ve raporlanması, söz konusu risklerin yönetilmesine yönelik
kuralların oluşturulması, kontrollerin tesis edilmesi ve izlenmesi,
 Bilgi sistemlerine ilişkin olarak iş sürekliliği planlamasının yapılması ve söz konusu
planının işlerliğinin sağlanması,
 Mevcut bilgi sistemlerinin yeterliliği ile yeni teknolojilerin kullanımına yönelik
değerlendirmenin yapılması; bunun için gereken kaynağın belirlenmesi,
 Bilgi sistemleri ile içerdiği verilerin gizliliğini, güvenliğini, bütünlüğünü ve doğruluğunu
sağlamaya yönelik sistem ve süreçlerin oluşturulması; söz konusu sistem ve
süreçlerin işlerliğinin ve yeterliliğinin test edilmesi, test sonuçlarının izlenmesi,
raporlanması ve gerekli tedbirlerin alınması; Şirket çalışanlarının bilgi güvenliği ve
gizliliği konusundaki farkındalık düzeylerinin artırılması,
 Bilgi sistemlerinin kullanımına ilişkin yetkilendirme ve kimlik doğrulama sistem ve
süreçlerinin oluşturulması ve izlenmesi,
konularında görev yapar.

Komitenin toplantı gündeminde,
 Bilgi teknolojilerinden kaynaklanan risk düzeyine ilişkin değerlendirmelere ve risk
düzeyinin asgari seviyeye indirilmesine yönelik aksiyon planlarının oluşturulmasına,
bu kapsamda, faaliyetlerin yürütülmesinde uygulanacak kimlik doğrulama ve
yetkilendirme süreçleri ile veri gizliliğinin sağlanmasına ilişkin mevcut kontrollerin
etkinliğinin ve yeterliliğinin değerlendirmesine,
 Bağımsız denetim çalışmaları sonucu tespit edilen bulguların değerlendirilmesine ve
gerekli aksiyonların planlanmasına,
TURK Elektronik Para ve
Ödeme Sistemleri A.Ş.
Dok. No:01
BİLGİ SİSTEMLERİ RİSK YÖNETİM
POLİTİKASI
Sayfa :7/7
Tarih:01.10.2014
 Bilgi sistemlerine ilişkin olarak alınan Dış hizmetlerinin riskleri ile Dış hizmet
kuruluşunun yeterliliği konusundaki değerlendirmelere,
 Bilgi güvenliği ihlâline ilişkin olaylar hakkındaki değerlendirmelere ve uygulanacak
tedbirlere,
 Bilgi kaynaklarına yönelik tehditler ile denetim izlerinin takip edilmesiyle ilgili
bulguların değerlendirmesine,
 Yeni bilgi teknolojilerinin kullanımının Şirket’in risk profili üzerinde yaratacağı etki ile
yaratacağı kaynak gereksinimine ilişkin değerlendirmelere,
 İş sürekliliğini ve bilgi güvenliğini sağlamaya yönelik olarak gerçekleştirilen test
sonuçları hakkındaki değerlendirmelere,
 Bilgi teknolojileri ve bilgi güvenliği alanlarındaki güncel gelişmeler ile bunların Şirket’te
uygulanabilirlikleri ile ilgili değerlendirmelere,
 Bilgi sistemleri ile bunlara dayalı olarak verilen hizmetlere ilişkin müşteri şikayetleri ve
bunların giderilmesine yönelik olarak alınabilecek aksiyonların belirlenmesine
yer verilir.

7.
Bilgi Güvenliği ve Risk Komitesi toplantılarında görüşülen konular, öne sürülen görüşler
ve alınan kararları içeren toplantı tutanağı düzenlenir.
YÜRÜRLÜK
Bilgi sistemleri yönetimi riskine ilişkin bu düzenleme, üst yönetimin onay tarihi itibariyle
yürürlüğe girer. Şirket’in bilgi sistemleri yönetimine ilişkin tüm uygulama ve iş akışları politika
hükümleriyle uyumlu şekilde oluşturulur/güncellenir.
Download

Bilgi Sistemleri Risk Yönetim Politikası