MEHMET BALiOGLU

Üniversite Bilişim Sistemlerinin Mevzuata Uygun Olarak Çalıştırılmaması

Rapor Özet

Ana Konu ve Temel Bulgular

  • Sinop Üniversitesi’nin bilişim sistemleri incelenmiş ve mevcut durum, eksiklikler ve tespitler raporlanmıştır.
  • Üniversite’nin bilişim sistemlerinde güvenlik önlemleri, personel eğitimleri, lisanslama gibi konularda olumlu uygulamalar tespit edilmiştir.
  • Ancak bilişim sistemlerini kapsayan yazılı bir politika veya strateji belgesinin olmaması, risk değerlendirmesi yapılmaması, bağımsız inceleme çalışmaları yapılmaması, bilgi güvenliği yönetimi konusunda bir çalışmanın bulunmaması, fiziksel güvenlik politikalarının olmaması gibi önemli eksiklikler tespit edilmiştir.

Yasal ve Düzenleyici Çerçeve

Önerilen Ana Eylem Noktaları

  • Üniversite’nin bilişim sistemlerini kapsayan yazılı bir politika veya strateji belgesi hazırlanması gerekmektedir.
  • Bilişim sistemlerinin risklerinin değerlendirildiği güncel bir risk kütüğü oluşturulmalıdır.
  • İç denetim birimlerinin bilişim sistemlerini denetlemesine ilişkin bir düzenleme yapılmalıdır.
  • Temel bilişim sistemleri faaliyetlerinin işletimi konusunda üst yöneticilere güvence sağlayan bağımsız inceleme çalışmaları yapılmalıdır.
  • Bilgi Güvenliği Yönetimi konusunda çalışmalar başlatılmalıdır.
  • Donanım, yazılım, veri ve programlara erişimin yetkili kullanıcılarla sınırlandırıldığını güvence altına alan, Bilişim Sistemleri güvenliğini kapsayan bir politika belgesi oluşturulmalıdır.
  • Yangın alarmı ve su baskınlarına karşı güvenlik önlemleri güçlendirilmelidir.
  • Üçüncü kişilerden bilişim sistemleri ile ilgili hizmet alımlarına ilişkin bir düzenleme yapılmalıdır.
  • Kurumun bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için yazılı politika ve prosedürler oluşturulmalı, bu belgeler kurum çalışanlarının bilgisine sunulmalı ve güvenlik önlemlerine ilişkin sorumluluklar açıkça belirlenmelidir.
  • Verilerin kaybolduğu veya erişilemez olduğu durumlarda, bilgi dosyalarını korumak için yedeklenen unsurların, tekrar kullanılmak üzere, kurum dışında bir yerde saklanması sağlanmalıdır.
  • Olağanüstü durumlara ilişkin bir plan hazırlanmalı ve bu durumlar düzenli olarak test edilip raporlanmalıdır.
  • Üniversitenin Bilişim Sisteminin alt yapısının geliştirilmesi ve güçlendirilmesi için bütçe imkânları ölçüsünde çalışmalara devam edilmelidir.

Rapor Metni

Sinop Üniversitesinin idari ve mali işlemlerini gerçekleştirirken kullandığı bilişim sistemleri incelenmiş olup mevcut durum, eksiklikler ve bu sistemlere ilişkin tespitler aşağıda sıralanmıştır:

  • Bilişim sistemlerini kapsayacak gerekli eğitimler için gerekli çalışmaların yapıldığı,

  • Bilişim sistemleri için risk kabul edilebilecek hususların değerlendirildiği,

  • Güvenlikle ilgili bilgilendirmeler yapıldığı, personelin görev ve sorumluluklarının belirlendiği, güvenlik ihlallerinin cihazların loglaması ile kaydedilip, raporlandığı,

  • Siber Olaylara Müdahale Ekibinin (SOME) kurulduğu, sistemlerle ilgili bilgi güvenliği

    süreçlerinin takip edildiği, iş hedeflerine uygun çalışmaların yapıldığı,

  • Uyumsuzlukların takip edildiği, yıllık belirtilen hizmetiçi eğitim takviminin yayımlandığı ve bu plan doğrultusunda düzenlendiği, pozisyonların kişilerin yetkinliğine göre belirlendiği ve bilişim sistemiyle ilgili personelin bu vasıfları taşıdığı, çalışanlara kullanılan sistemlerle ilgili uygun eğitimler verildiği, eğitimler sonunda eğitim belgesi veya katılım belgesi talep edildiği, Üniversitede EBYS (Elektronik Belge Yönetim Sistemi) kullanıldığı,

  • Kullanılan programların lisans süresi periyoduna bağlı olarak düzenli olarak lisanslanarak kullanıldığı, sözleşmelerde bilgi güvenliğine ilişkin hükümler konulduğu,

  • Geliştirilen sistemlerin, asıl sistemden bağımsız olarak geliştirilip bitiminde asıl sistem ortamına alındığı, kullanıcılardan geri dönüşler alınarak iyileştirmeler yapıldığı,

  • Birim kapıların kilitli tutulduğu, girişlerde anahtar veya biometrik sistemler kullanıldığı, işten ayrılan veya çıkarılan personelden anahtar ve kimliklerinin alındığı,

  • Bilişim sistemlerinin, donanım, yazılım ve sağlanan hizmetleri kapsayan bir envanterinin bulunduğu, satın alınan bütün BS unsurlarının kayıtlara doğru şekilde alınması ve ekonomik ömrünü dolduranların da kayıtlardan çıkarıldığı,

  • Kurumun yedekleme- kurtarma, acil durum prosedürleri, verilerin kaybolmasına veya erişilmez olmasına karşı tedbirlerin bulunduğu,

    Ancak;

  • Senato ya da yönetim tarafından onaylanmış bilişim sistemlerini de kapsayan yazılı bir politika ya da strateji bildirimi bulunmadığı,

  • Bilişim sistemlerinin risklerinin değerlendirildiği güncel bir risk kütüğü bulunmadığı,

  • İç denetim birimlerinin bilişim sistemlerini denetlemesine ilişkin bir düzenleme bulunmadığı,

  • Temel bilişim sistemleri faaliyetlerinin işletimi konusunda üst yöneticilere güvence sağlayan bağımsız inceleme çalışmaları yapılmadığı, Bilgi Güvenliği Yönetimi konusunda herhangi bir çalışma bulunmadığı,

  • Donanım, yazılım, veri ve programlara erişimin yetkili kullanıcılarla sınırlandığını güvence altına alan, Bilişim Sistemleri güvenliğini kapsayan bir politika belgesi bulunmadığı,

  • Yangın alarmı ve buna ilişkin güvenlik sisteminin yeterli olmadığı, su baskınlarına karşı yüksek döşemeler kullanılmadığı,

  • Üçüncü kişilerden bilişim sistemleri ile ilgili hizmet alımlarına ilişkin bir düzenleme

    yapılmadığı,

  • Kurumun bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için yazılı politika ve prosedürler bulunmadığı, bu güvenlik belgelerinin kurum çalışanlarının bilgisine sunulmadığı, güvenlik önlemlerine ilişkin sorumlulukların açıkça belirlenmediği,

  • Verilerin kaybolduğu veya erişilemez olduğu durumlarda, bilgi dosyalarını korumak için yedeklenen unsurların, tekrar kullanılmak üzere, kurum dışında bir yerde saklanmadığı,

  • Olağanüstü durumlara ilişkin bir planın bulunmadığı, bu durumların düzenli olarak test edilip raporlanmadığı

Tespit edilmiştir.

Bulguda tespit edilen eksiklikler de dikkate alınarak, Üniversitenin Bilişim Sisteminin alt yapısının geliştirilmesi ve güçlendirilmesi için; bütçe imkânları ölçüsünde, çalışmalara devam edilmesi gerektiği değerlendirilmektedir.