Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından “Bilgi ve İletişim Güvenliği Rehberi”nin yayınlanmasının üzerinden 7 ayı aşkın bir süre geçmiş bulunuyor. Kapsam dahilindeki kurumların şubat ayı itibarıyla tedbirleri uygulama safhasına geçmiş olmaları gerekiyor.

Hangi Kurumları Kapsıyor?

Rehberin kapsamı: “bilgi işlem birimi barındıran veya bilgi işlem hizmetlerini sözleşmeler çerçevesinde üçüncü taraflardan alan, devlet teşkilatı içerisinde yer alan kurum ve kuruluşlar ile kritik altyapı hizmeti veren işletmeleri kapsamaktadır.” şeklinde belirtilmiştir. Dijital Dönüşüm Ofisi kapsamı: Genelge, tüm kamu kurum ve kuruluşları ile kritik altyapı sektörlerinden “Elektronik Haberleşme”, “Enerji”, “Su Yönetimi”, “Ulaştırma”, “Bankacılık ve Finans”, “Sağlık”, alanlarında kamu hizmeti veren işletmeleri kapsamaktadır şeklinde ayrıntılandırmıştır.

Neler Yapılması Gerekiyor?

Varlıkların Kritikliklerinin Belirlenmesi.

Rehber kurumlardan ilk 6 ay içerisinde sahip oldukları varlıkları “Ek C.1: Varlık Grubu Kritiklik Derecelendirme Anketi” ile bilgi varlıklarını aşağıdaki gibi gruplaması beklenmektedir.

Anket sonucu 18’den küçük ise: 1. Derece Varlık.
Anket sonucu 18 ve 28 arasında ise 2. Derece Varlık.
Anket sonucu 28’den yüksek ise 3. Derce Varlık.

Boşluk Analizi

Varlık gruplarının belirlenmesinden sonra varlıklara mevcutta uygulanan tedbirler rehberde belirtilen tedbirlerle karşılaştırılarak rehberde belirtilen “EK-C.3: Mevcut Durum ve Boşluk Analizini” formu üzerinde GAP analizi yapılması beklenmektedir. Mevcut Durum ve Boşluk Analizinin Temmuz 2020’den itibaren 6 ay içerisinde yapılması gerekmektedir.

Rehber Uygulama Yol Haritası

Boşluk analizini sonucuna göre uygulanması gereken tedbirler “Ek C.4: Rehber Uygulama Yol Haritası Belirleme Formu” ile planlanması beklenmektedir.

Tedbirlerin Hayata Geçirilmesi

Uygulanacak tedbirler belirlendikten sonra:
⦁ Kritiklik derecesi 1 olan tedbirlerin uygulanması için Temmuz 2020’den itibaren 18 Ay
⦁ Kritiklik derecesi 2 olan tedbirlerin uygulanması için Temmuz 2020’den itibaren 21 Ay
⦁ Kritiklik derecesi 3 olan tedbirlerin uygulanması için Temmuz 2020’den itibaren 24 Ay

Süre tanınmıştır. Tedbir uygulanmaya başlandıktan sonra periyodik olarak proje ilerleme raporlarının hazırlanması beklenmektedir.

Bilgi ve İletişim Güvenliği İç Denetimi

Tedbirler hayata geçirildikten sonra yıllık Bilgi ve İletişim Güvenliği İç Denetimi yapılması ve denetim raporlarının Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’ne iletilmesi gerekmektedir.

Zaman Daralıyor

Rehberin uygulanması kapsamlı ve zaman isteyen tedbirler içermektedir, aksiyona henüz geçmeyen kurumların rehbere uyumluluk konusunda termini yakalamama riski her geçen gün artmaktadır.

 

KVKK, ISO 270001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

< Önceki Sonraki >