Özel Entegratör Kuruluşları Bilgi Sistemleri Denetimi

Hazine ve Maliye Bakanlığı-Gelirler İdaresi Başkanlığı tarafından 19.11.2019 tarihinde “e-Belge Özel Entegratörleri Bilgi Sistemleri Denetimi Kılavuzu” yayınlanmıştır: https://ebelge.gib.gov.tr/duyurular.html

Yayınlanan kılavuz GİB’den izin alan/alacak olan Özel Entegratör kuruluşlarının e-Belge uygulamaları ile ilgili özel entegratörlük faaliyet ve süreçlerine ilişkin bilgi sistemlerinin Başkanlıkça bu Kılavuzda belirtilen isteklerin karşılanıp karşılanmadığına yönelik bilgi sistemleri bağımsız denetim faaliyetinin gerçekleştirilmesine ve özel entegratör kuruluşlar nezdindeki sonuçlarına ilişkin usul ve esasları belirlemek üzere hazırlanmıştır.

mp-include/uploads/Hizmetlerimiz/oebsd_button1

Mevcut durumda özel entegratörlük iznine sahip firmalara ilk denetimlerini yaptırmak üzere 31/12/2020 tarihine kadar süre verilmiştir. Firmalar ilk denetim tarihini takip eden her 2 yılda bir bilgi sistemleri süreçleri denetimi yaptırmak zorundadır.

Kılavuz ile denetim yapma yetkisi Bankacılık ve Sermaye Piyasası Mevzuatı çerçevesinde bilgi sistemleri denetimi yapma yetkisine haiz bağımsız denetim kuruluşlarına verilmiştir. “GÜRELİ Yeminli Mali Müşavirlik ve Bağımsız Denetim Hizmetleri A.Ş.” SPK ve BDDK nezdinde bilgi sistemleri denetimi yapmaya yetkili az sayıda denetim kuruluşundan biridir. e-Belge Özel Entegratörleri Bilgi Sistemleri Denetimi Kılavuzu’na uyum çalışmaları ve denetimi konularında sizlere destek olmak isteriz.

e-Belge Özel Entegratörleri Bilgi Sistemleri Denetimi Kılavuzu

Kritik varlıklar ve aktörler

ÖEBSD Kılavuzu içinde Kritik varlıklar ve aktörler ile ilgili tanımlara yer verilmiştir:

  • Kritik Varlıklar

Sistemde var olan ve ifşa olması veya tahrif edilmesi durumunda sistemin gizliliğini, bütünlüğünü, kaynak/kimlik doğruluğunu veya erişilebilirliğini olumsuz yönde etkileyecek varlıklardır:

  • Birincil Varlıklar: Mükellef/Kullanıcı Bilgileri, İşlem Kayıtları, Güvenli Haberleşmeye Dair Parametrelerin yanı sıra e-Fatura, e-Arşiv, e-İrsaliye, e-Belge Saklama gibi Verilen Hizmetlere Ait Bilgiler
  • İkincil Varlıklar: Birincil varlıkları korumak için özel entegratör tarafından kullanılan her türlü kriptografik anahtar, kullanıcı adı, erişim şifresi, HSM vb. özelleşmiş cihazlar, aktif ağ cihazları, sunucular, personel bilgisayarları ve diğer yazılımlar
  • Aktörler

Yetkili Kullanıcılar ve Yetkisiz Kullanıcılar (Hacker, Siber Terörist, vb.) olarak ikiye ayrılan aktörler ile ilgili tehditler tanımlanmıştır.

 

Bilgi Sistemleri Yönetimi

Ayrıca aşağıdaki başlıklar altında bilgi sistemlerinde tesis edilmesi ve işletilmesi gereken kontrollere yer verilmiştir:

mp-include/uploads/Hizmetlerimiz/oebsd_graphic2ÖEBSD Süreci ve Sonuçları

ÖEBSD Kılavuzunda özel entegratörün ÖEBSD’ye ilişkin sorumlulukları, ÖEBSD raporunun içeriği ve oluşturulması ve ÖEBSD raporuna bağlı olarak GİB tarafından uygulanacak yaptırımlar tanımlanmıştır.

GİB, ÖEBSD raporunun sonuçlarına göre farklı yaptırımlar uygulayabilir. Buna göre;

mp-include/uploads/Hizmetlerimiz/icons/positive

 

Olumlu Görüş: Rapor sonucunun olumlu olması halinde özel entegratör, varsa kendisine tebliğ edilen eksikliklerin veya iyileştirmelere ilişkin alacağı tedbirleri içeren eylem planını ve buna ilişkin faaliyetleri ve tamamlama sürelerini GİB’e 15 gün içinde bildirir. Buna uymayan özel entegratör bir yazıyla uyarılır. GİB, eylem planına ilişkin tamamlama sürelerinde değişiklik yapmaya yetkilidir.

 

mp-include/uploads/Hizmetlerimiz/icons/Orange%20Modern%20Travel%20Trifold%20Brochure%20(4)

Şartlı Görüş veya Görüşten Kaçınma: Şartlı görüş veya görüşten kaçınma halinde, özel entegratör ivedilikle bir yazıyla uyarılır ve denetimi en geç 90 gün içinde tekrarlaması istenir. Üst üste 2 kez şartlı görüş veya görüşten kaçınma olması durumunda, olumlu görüş alacağı yeni bir denetim sonucuna kadar özel entegratörün faaliyeti askıya alınır. Faaliyetin askıya alınması nedeninin 2 kez üst üste görüşten kaçınma olması durumunda, faaliyetin askıya alınma süresi 3 aydan daha kısa olamaz.

 

mp-include/uploads/Hizmetlerimiz/icons/negative

Olumsuz Görüş: Rapor sonucunun olumsuz olması halinde özel entegratörün faaliyeti ivedilikle geçici süreyle durdurulur. 6 ay içinde olumlu görüş bildiren yeni bir denetim raporunun GİB’e ibraz edilmemesi halinde özel entegratörün yetkisi iptal edilir. Özel entegratör, 6 ay içinde yaptıracağı her yeni denetime ilişkin, denetim öncesinde ve sonrasında GİB’i bilgilendirmekle mükelleftir.

 

 

ÖEBSD Konuları

 

ÖEBSD_SER: Uluslararası Sertifikasyonlar, Sızma Testi Hizmeti ve BİS Raporu

Bu değerlendirme sınıfı, özel entegratörlerin sağlaması gereken uluslararası sertifikasyonların varlığı ve uygunluğu ile sızma testlerinin uygunluğunun kontrol edilmesini amaçlamaktadır.

  • ÖEBSD_SER.1 Uluslararası Sertifikasyonlar, Sızma Testi Hizmeti ve BİS Raporu: Özel entegartörün ISO/IEC 20000 Bilgi Teknolojileri Hizmet Yönetim Sistemi Belgesinin, ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Belgesinin, ISO 22301 İş Sürekliliği Yönetim Sistemi Belgesinin, Sızma Testi Raporunun ve BİS Raporunun varlığı kontrol edilecektir.

 

  • ÖEBSD_SER.2: İç Kontrol ve Denetim Mekanizmaları: Özel entegratörün iç kontrol ve denetim süreçlerinin varlığı ve çıktıların uygunluğu kontrol edilecektir.

 

mp-include/uploads/Hizmetlerimiz/icons/Orange%20Modern%20Travel%20Trifold%20Brochure

ÖEBSD_PER: Personelin Niteliği

Özel entegratörün, verdiği özel entegratörlük hizmetine uygun nitelikte ve sayıda personel istihdam edip etmediğinin kontrol edilmesini amaçlamaktadır.

 

mp-include/uploads/Hizmetlerimiz/icons/Orange%20Modern%20Travel2

ÖEBSD_SIS: Sistem ve Güvenlik Değerlendirme Sınıfı

Özel entegratörlerin bilgi sistemlerinde uyması gereken alt yapının, sistem mimarisi ve benzeri her türlü fiziki unsur ile iş sürekliliğinin temininin, gerekli güvenlik ve risk değerlendirme süreçlerinin oluşturulmasının, işletilmesinin, değişiklik yönetiminin, denetim izlerinin oluşturulmasının ve dışarıdan hizmet alınması durumundaki gerekliliklerin kontrol edilmesini amaçlamaktadır.

mp-include/uploads/Hizmetlerimiz/icons/pc%20security

 

 

mp-include/uploads/Hizmetlerimiz/icons/checkmark

 

ÖEBSD_SIS.1 Fiziki Şartlar ve Güvenlik Tedbirleri: Özel entegratörün sağlaması gereken uluslararası sertifikasyonları varlığı ve uygunluğu ile sızma testlerinin uygunluğu kontrol edilecektir.

 

mp-include/uploads/Hizmetlerimiz/icons/user

ÖEBSD_SIS.2 Erişim Güvenliği: Özel entegratörün bilgi sistemlerinin sağlaması gereken fiziki ve elektronik erişim güvenliği kontrol edilecektir.

mp-include/uploads/Hizmetlerimiz/icons/strategic-plan

ÖEBSD_SIS.3 İş Sürekliliği, Risk Yönetimi ve Acil Durum Planları: Özel entegratörün “İş Sürekliliği, Risk Yönetimi ve Acil Durum Planları” kurallarına uygunluğu kontrol edilecektir.

mp-include/uploads/Hizmetlerimiz/icons/random

ÖEBSD_SIS.4 Değişiklik Yönetimi: Özel entegratörün “Değişiklik Yönetimi” kurallarına uygunluğu kontrol edilecektir.

mp-include/uploads/Hizmetlerimiz/icons/log

ÖEBSD_SIS.5 Denetim İzleri Yönetimi: Özel entegratörün “Denetim İzleri Yönetimi” kurallarına uygunluğu kontrol edilecektir.

mp-include/uploads/Hizmetlerimiz/icons/partner

ÖEBSD_SIS.6 Dış Hizmet Sağlayıcılarının Yönetimi: Özel entegratörün “Dış Hizmet Sağlayıcılarının Yönetiminin” kurallara uygunluğu kontrol edilecektir.

mp-include/uploads/Hizmetlerimiz/icons/code

ÖEBSD_SIS.7 Hizmet Yazılımlarına İlişkin Kontroller: Özel entegratörün hizmetlerinde kullandığı uygulama yazılımlarının, ilgili GİB kılavuzları, e-Fatura, e-Saklama, e-Arşiv, e-İrsaliye, e-Defter ve e-imza standartları ve hizmetin akışına uygun normları taşıyıp taşımadığı kontrol edilecektir.

 

 

mp-include/uploads/Hizmetlerimiz/oebsd_graphic1