Sermaye Piyasası Kurulu tarafından kurum, kuruluş ve ortaklıkların bilgi sistemlerinin bağımsız denetimi ile kuruluş ve ortaklıkların bilgi sistemlerinin yönetimine ilişkin usul ve esaslar belirlendi.
Bilgi Sistemleri Yönetimi Tebliği ve Bilgi Sistemleri Bağımsız Denetim Tebliği 05.01.2018 tarih 30292 sayılı Resmi Gazete’de yayımlanmış ve yayımı tarihinde yürürlüğe girmiştir.
Bilgi Sistemleri Yönetimi Tebliği ile bilgi sistemlerinin yönetimine ilişkin usul ve esaslar belirlenmiştir.
Bilgi Sistemleri Bağımsız Denetim Tebliği ile bilgi sistemleri bağımsız denetimi faaliyetlerinin genel esasları, denetim metodolojisi, denetim sonuçlarının raporlanması, bilgi sistemleri bağımsız denetimini yürütecek kuruluşların yetkilendirilmesi, yönetici ve çalışanlarının lisanslanmasına ilişkin usul ve esaslar belirlenmiştir.
Farklılık Analizi
- Süreçlerin ve kontrollerin tasarım seviyesinde değerlendirilmesi
- Mevzuata uyum konusunda iyileştirme alanlarının ve eksikliklerin belirlenmesi
- İyileştirme önerilerinin belirlenmesi
İyileştirme
- Süreçlerin ve kontrollerin iyileştirilmesi çalışmalarına destek verilmesi
- Kalite kontrol çalışmalarına destek verilmesi
Denetim
- Süreçlerin ve kontrollerin tasarım ve işletim seviyesinde denetlenmesi
- BSD raporunun hazırlanması
Aşağıdaki Kurum, Kuruluş ve Ortaklıklar, bu Tebliğ hükümlerine uymakla yükümlüdürler:
- Borsa İstanbul A.Ş.,
- Borsalar ve piyasa işleticileri ile teşkilatlanmış diğer pazar yerleri,
- Emeklilik yatırım fonları,
- İstanbul Takas ve Saklama Bankası A.Ş.,
- Merkezi Kayıt Kuruluşu A.Ş.,
- Portföy saklayıcısı kuruluşlar,
- Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş.,
- Sermaye piyasası kurumlar,
- Halka açık ortaklıklar,
- Türkiye Sermaye Piyasaları Birliği,
- Türkiye Değerleme Uzmanları Birliği.
Kapsam
- Bilgi sistemleri stratejilerinin iş hedefleriyle uyumlu olması, bilgi sistemlerinin güvenliğini, etkinliğini ve sürekliliğini sağlamak için gerekli kaynakları tahsis etmesi, bilgi sistemleri yönetimine ilişkin politika, süreç ve prosedürleritesis etmesi
- Üst yönetiminin; kritik bilgi sistemleri projelerini gözden geçirme ve onaylama, bilgi sistemlerine ve süreçlerine ilişkin potansiyel riskleri etkileriyle birlikte tespit etme ve bu çerçevede risk yönetimini gerçekleştirme, bilgi güvenliği ihlallerini izleme ve değerlendirme ve iş sürekliliği planının hazırlanmasını sağlama sorumluluğu
- Faaliyetlerini destekleyen bilgi sistemlerinin sürekliliğini sağlamak üzere bilgi sistemleri süreklilik planını hazırlaması ve bu çerçevede ikincil sistemlerini tesis etmesi, birincil ve ikincil sistemlerini yurt içinde bulundurması
- Bilgi sistemlerine ilişkin belirli aralıklarla sızma testleriyaptırması
- Bilgi sistemleri aracılığıyla edindiği veya sakladığı müşteri bilgilerinin gizliliğini sağlamaya yönelik kontrolleritesis etmesi
