SPK Bilgi Sistemleri Yönetmeliği Uyum Danışmanlığı

SPK düzenlemeleri; bilgi sistemlerinin güvenli, izlenebilir, sürdürülebilir ve kontrol altında yönetilmesini hedeflemektedir.

Bu kapsamda kuruluşların;

Bilgi sistemleri yönetişim yapısını oluşturması,

Bilgi güvenliği süreçlerini tanımlaması,

Bilgi sistemleri risklerini yönetmesi,

İş sürekliliği ve felaket kurtarma süreçlerini oluşturması,

Siber güvenlik kontrollerini uygulaması,

Tedarikçi ve dış hizmet yönetimini gerçekleştirmesi,

İç kontrol ve denetim mekanizmalarını işletmesi,

Yönetim kurulu ve üst yönetimin gözetim sorumluluklarını yerine getirmesi

beklenmektedir.

Bu gerekliliklerin etkin şekilde uygulanabilmesi için teknik ve yönetsel süreçlerin birlikte ele alınması gerekir.

‍

1. Mevcut Durum ve Boşluk Analizi

Uyum çalışmalarının ilk adımında kuruluşun mevcut bilgi sistemleri yönetim yapısını detaylı şekilde inceliyoruz.

Bu kapsamda;

- Organizasyon yapısı,

- Bilgi sistemleri süreçleri,

- Bilgi güvenliği uygulamaları,

- Risk yönetimi faaliyetleri,

- İş sürekliliği çalışmaları,

- İç kontrol mekanizmaları,

- Teknik güvenlik önlemleri

değerlendirilmektedir.

Gerçekleştirilen analiz sonucunda SPK gereklilikleri ile mevcut durum arasındaki farklar ortaya konulmakta ve detaylı bir uyum yol haritası hazırlanmaktadır.

2. Politika, Prosedür ve Yönetim Çerçevesinin Oluşturulması

SPK düzenlemeleri kapsamındaki yönetsel gerekliliklerin karşılanabilmesi için gerekli politika ve prosedürlerin oluşturulmasına destek sağlıyoruz.

Hazırlanan dokümanlar arasında;

- Bilgi Güvenliği Politikası

- Bilgi Sistemleri Yönetimi Politikası

- Erişim Kontrol Prosedürü

- Değişiklik Yönetimi Prosedürü

- Olay Yönetimi Süreci

- Yedekleme ve Kurtarma Prosedürü

- Tedarikçi Yönetimi Süreci

- Siber Güvenlik Süreçleri

- İş Sürekliliği Dokümanları

yer almaktadır.

Tüm dokümanlar kuruluşun mevcut organizasyon yapısına ve operasyonel ihtiyaçlarına uygun şekilde hazırlanır.

3. Bilgi Sistemleri Risk Yönetimi Çalışmaları

SPK düzenlemeleri bilgi sistemleri risklerinin sistematik olarak yönetilmesini zorunlu kılmaktadır.

BTYÖN olarak;

- Bilgi varlığı envanteri oluşturulması,

- Risk değerlendirme metodolojisinin geliştirilmesi,

- Risk analizlerinin gerçekleştirilmesi,

- Risk iştahı ve toleranslarının belirlenmesi,

- Kontrol yapılarının oluşturulması,

- Risk aksiyonlarının takip edilmesi

konularında danışmanlık sağlıyoruz.

Kurumların yalnızca denetim dönemlerinde değil, sürekli çalışan bir risk yönetimi mekanizmasına sahip olmasını hedefliyoruz.

4. Siber Güvenlik ve Teknik Kontrol Değerlendirmeleri

SPK denetimlerinde teknik güvenlik kontrolleri önemli bir değerlendirme alanıdır.

Bu kapsamda BTYÖN tarafından;

- Siber güvenlik olgunluk değerlendirmeleri,

- Güvenlik mimarisi incelemeleri,

- Ağ güvenliği değerlendirmeleri,

- Ayrıcalıklı erişim yönetimi incelemeleri,

- Log ve izleme süreçlerinin değerlendirilmesi,

- Zafiyet yönetimi süreçlerinin incelenmesi,

- Sızma testleri,

- Güvenlik yapılandırma değerlendirmeleri

gerçekleştirilebilmektedir.

Bu çalışmalar sonucunda teknik eksiklikler ve iyileştirme önerileri raporlanmaktadır.

5. İş Sürekliliği ve Felaket Kurtarma Danışmanlığı

SPK düzenlemeleri kapsamında kritik sistemlerin sürekliliğinin sağlanması büyük önem taşımaktadır.

BTYÖN, ISO 22301 ve finans sektörü deneyimi doğrultusunda;

- İş Etki Analizi (BIA)

- Bilgi Sistemleri Risk Analizi

- İş Sürekliliği Stratejileri

- Felaket Kurtarma Merkezi Gereksinimleri

- BT Süreklilik Planları

- Felaket Kurtarma Planları

- Kriz Yönetimi Yapıları

- Test ve Tatbikat Çalışmaları

konularında danışmanlık vermektedir.

Kurumların yalnızca plan sahibi olmalarını değil, planların çalıştığını kanıtlayabilmelerini hedefliyoruz.

6. Tedarikçi ve Dış Hizmet Yönetimi

Bulut hizmetleri, veri merkezi hizmetleri, yazılım sağlayıcılar ve dış kaynak hizmetleri finans kuruluşları için önemli risk alanları oluşturmaktadır.

BTYÖN tarafından;

- Kritik tedarikçilerin belirlenmesi,

- Tedarikçi risk analizleri,

- Güvenlik değerlendirmeleri,

- Sözleşme kontrolleri,

- Hizmet seviyesi yönetimi,

- Dış hizmet sağlayıcı uyum değerlendirmeleri

gerçekleştirilmektedir.

7. SPK Denetimlerine Hazırlık ve İç Değerlendirme

Birçok kurum denetim öncesinde mevcut durumunu bağımsız bir gözle değerlendirmek istemektedir.

Bu kapsamda BTYÖN;

‍- SPK gerekliliklerine göre ön denetim çalışmaları,

- Doküman incelemeleri,

- Teknik kontrol değerlendirmeleri,

- Uyum olgunluk değerlendirmeleri,

- Bulguların sınıflandırılması,

- İyileştirme yol haritası oluşturulması

hizmetleri sunmaktadır.

Bu çalışmalar sayesinde kurumlar resmi denetim öncesinde eksikliklerini tespit ederek gerekli iyileştirmeleri gerçekleştirebilmektedir.

‍

BTYÖN tarafından geliştirilen Optimate GRC Platformu, SPK uyum süreçlerinin sürdürülebilir şekilde yönetilmesine destek sağlamaktadır.

Platform üzerinden;

- Risk kayıtlarının yönetimi,

- Kontrol faaliyetlerinin takibi,

- Uyum gereksinimlerinin izlenmesi,

- İç denetim faaliyetleri,

- Aksiyon yönetimi,

- Politika ve doküman yönetimi,

- Yönetim raporlamaları

tek merkezden gerçekleştirilebilmektedir.

No-code mimarisi sayesinde kurumlara özel gereksinimler hızlı şekilde uyarlanabilmektedir.

‍

BTYÖN, bilgi güvenliği, iş sürekliliği, BT yönetişimi ve kurumsal risk yönetimi alanlarında kritik altyapı sektörlerine hizmet veren uzman bir danışmanlık şirketidir.

SPK uyum projelerinde;

Finans sektörü deneyimi,

ISO 27001 uzmanlığı,

ISO 22301 uzmanlığı,

Kurumsal risk yönetimi tecrübesi,

Siber güvenlik uzmanlığı,

GRC yazılım altyapısı,

Denetim ve uyum yönetimi deneyimi

ile kuruluşların yalnızca mevzuata uyum sağlamalarına değil, aynı zamanda sürdürülebilir bir bilgi sistemleri yönetişim yapısı oluşturmalarına destek oluyoruz.

SPK Bilgi Sistemleri Yönetmeliği uyum danışmanlığı hizmetlerimiz hakkında detaylı bilgi almak ve kuruluşunuza özel bir değerlendirme çalışması planlamak için bizimle iletişime geçebilirsiniz.

‍