İç Denetim bilgi güvenliği süreç performansı, uyumu ve etkinliğinin ölçülmesi için kullanılan başlıca enstrümanlardandır. İç Denetimin etkin yapılması bilgi güvenliğinin sürekli iyileştirilmesinde kullanılan en temel faktörlerin başında gelir. Etkin bir iç denetim demek etkin bir Bilgi Güvenliği Yönetim Sistemi demektir.
Etkin bir iç denetim yapılması adına dikkat edilmesi gereken unsurları sizin için derledik:
- Denetim kapsamı iyi belirlenmeli, kapsama uygun şekilde planlanmalı ve ilgilileriyle denetimden makul bir süre önce paylaşılmalıdır.
- İç denetçi denetlenen birimden bağımsız olmalıdır.
- İç Denetçi gerekli sertifikasyon ve bilgi birikimlerine sahip olmalıdır.
- Daha önce gerçekleştirilmiş denetim bulguları ve gözlemleri denetimden önce incelenmelidir.
- Denetim soru listesi hazırlanmalı ancak kapsam denetim soru listesi ile sınırlı olmamalıdır.
- Bütün ilgililerin katılımıyla açılış toplantısı gerçekleştirilmelidir.
- Denetimin bir kişi performans kontrolü olmadığı, sistemin iyileştirilmeye açık alanlarının tespiti faaliyeti olduğu belirtilmeli ve denetim boyunca buna uygun davranılmalıdır.
- Denetim esnasında alınan her türlü bilgi not edilmelidir. (Görüşülen kişilerin isimleri, olaylar, uygunsuzluklar…vb.)
- Denetime somut ve objektif deliller sunulması sağlanmalıdır.
- Denetim kanıt ve bulguları ID, no, tarih vb. ayırt edici bilgileri içermelidir
- Bütün ilgililerin katılımıyla kapanış toplantısı gerçekleştirilmelidir.
- Tespit edilen bulgular ilgilisi ile antant kalınmadan raporlanmamalıdır.
- Tespit edilen bulguların kök neden analizi yapılmalıdır.
- Tespit edilen bulguların makul bir sürede kapatılması için planlamalar istenmeli ve sunulan aksiyon planları periyodik olarak kontrol edilmelidir.
- İç denetim sonuçları YGG toplantılarına girdi teşkil etmelidir.
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.