SPK Sirküleri 01 : Bılgı Sıstemlerı Bağımsız Denetım Teblığı Ve Bılgı Sıstemlerı Yönetımı Teblığı

SPK Sirküleri 01 : Bılgı Sıstemlerı Bağımsız Denetım Teblığı Ve Bılgı Sıstemlerı Yönetımı Teblığı

SPK SİRKÜLERİ

SİRKÜLER TARİHİ : 05.01.2018

SİRKÜLER NO : 2018/01

 

BILGI SISTEMLERI BAĞIMSIZ DENETIM TEBLIĞI VE BILGI SISTEMLERI YÖNETIMI TEBLIĞI 

Bilgi Sistemleri Bağımsız Denetim Tebliği (III-62.2) (“BSD Tebliği”) ve Bilgi Sistemleri Yönetimi Tebliği (VII-128.9) (“BSY Tebliği”) 05.01.2018 tarihinde 30292 sayılı Resmi Gazete’de yayımlanmıştır. Tebliğler yayımı tarihinde yürürlüğe girmiştir. BSD Tebliği ile aşağıdaki Kurum, Kuruluş ve Ortaklıkların bilgi sistemlerinin bağımsız denetimi ile bu faaliyette bulunacak bağımsız denetim kuruluşlarının yetkilendirilmesine ve denetim sonuçlarının raporlanmasına ilişkin usul ve esasları belirlenmiştir. BSY Tebliği ile bu Kurum, Kuruluş ve Ortaklıkların bilgi sistemlerinin yönetimine ilişkin usul ve esasları belirlenmiştir.

Denetim Periyodu

Kurum, Kuruluş ve Ortaklıklar*

Yılda 1 kez

Borsa İstanbul A.Ş.

İstanbul Takas Ve Saklama Bankası A.Ş.

Merkezi Kayıt Kuruluşu A.Ş.

Borsalar Ve Piyasa İşleticileri

Teşkilatlanmış Diğer Pazar Yerleri

Merkezi Takas Kuruluşları

Merkezi Saklama Kuruluşları

Veri Depolama Kuruluşları

2 yılda bir kez

Kısmî ve Geniş Yetkili Aracı Kurumlar

Asgari Özsermaye Yükümlülüğü 5 Milyon TL’den Fazla Olan Portföy Yönetim Şirketleri

3 yılda bir kez

Asgari Özsermaye Yükümlülüğü 5 Milyon TL ve Az Olan Portföy Yönetim Şirketleri

Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş.

Muaf

Dar Yetkili Aracı Kurumlar

Halka Açık Ortaklıklar

Kolektif Yatırım Kuruluşları

Varlık Kiralama Şirketleri

Emeklilik Yatırım Fonları

Konut Finansmanı Fonları

Varlık Finansmanı Fonları

İpotek Finansmanı Kuruluşları

Bağımsız Denetim, Derecelendirme ve Değerleme Kuruluşları

Türkiye Sermaye Piyasaları Birliği

Türkiye Değerleme Uzmanları Birliği

Kuruluş ve faaliyet esasları kurulca belirlenen diğer Sermaye Piyasası Kurumları

*Bankalar, sigorta şirketleri, finansal kiralama, faktoring ve finansman şirketlerinin bilgi sistemlerinin kendi özel mevzuatlarında belirlenen ilkeler çerçevesinde denetlenmesi, bu Tebliğde öngörülen yükümlülüklerin yerine getirilmesi hükmündedir.

  • BSD Tebliği’nde yer alan hususlar aşağıda özetlenmiştir:
  • Bilgi sistemleri bağımsız denetimi, bilgi sistemleri yönetimi ve işletimi kapsamında yer alan faaliyet, yazılım ve donanım gibi bilgi sistemi unsurları ile bu sistem dâhilinde tesis edilen kontrollerin BSY Tebliği’nde düzenlenen bilgi sistemleri yönetim ilkeleri doğrultusunda değerlendirilmesi sonucunda uyumluluk, etkinlik ve yeterliliği hakkında görüş oluşturulması ve rapora bağlanması aşamalarından oluşan süreçtir.
  • Kurum, Kuruluş ve Ortaklıklar, bilgi sistemleri bağımsız denetimini gerçekleştirecek yetkili kuruluş ile bilgi sistemleri bağımsız denetim sözleşmesini, denetime tabi dönemin ilk 4 ayı içerisinde imzalanması zorunluluğu getirilmiştir. Bu sınırlamanın, ilk denetim dönemi için uygulanmamasına yönelik geçici bir madde düzenlenmiştir.

BSD Tebliği’ne  ulaşmak için tıklayınız.

  • BSY Tebliği’nde yer alan hususlar aşağıda özetlenmiştir:
  • Bu Tebliğ ile, yukarıdaki tabloda yer alan Kurum, Kuruluş ve Ortaklıkların bilgi sistemlerinin yönetimine ilişkin usul ve esasları belirlenmiştir.
  • Bilgi sistemlerinin yönetilmesi ve bilgi sistemleri kontrollerine ilişkin aşağıdaki başlıklar altında esaslar düzenlenmiştir.
    • Bilgi sistemleri yönetiminin oluşturulması ve hayata geçirilmesi
    • Bilgi güvenliği politikası
    • Üst yönetimin gözetimi ve sorumluluğu
    • Bilgi sistemleri risk yönetimi
    • Bilgi sistemleri kontrollerinin tesisi ve yönetilmesi
    • Varlık yönetimi
    • Görevler ayrılığı prensibi
    • Fiziksel ve çevresel güvenlik
    • Ağ güvenliği
    • Kimlik doğrulama
    • Yetkilendirme
    • İşlemlerin, kayıtların ve verilerin bütünlüğü
    • Veri gizliliği
    • Bilgi sistemlerine ilişkin dış kaynak yoluyla alınan hizmetlerin yönetimi
    • Müşteri bilgilerinin gizliliği
    • Müşterilerin bilgilendirilmesi
    • Üçüncü taraflarla bilgi değişimi
    • Kayıt mekanizmasının oluşturulması
    • Zaman senkronizasyonu
    • Bilgi güvenliği ihlali
    • Bilgi sistemleri edinimi, geliştirilmesi ve bakımı
    • Bilgi sistemleri sürekliliği
    • Değişiklik yönetimi
  • İşbu yönetmelik ile Bilgi sistemleri stratejilerinin iş hedefleriyle uyumlu olması, bilgi sistemlerinin güvenliğini, etkinliğini ve sürekliliğini sağlamak için gerekli kaynakları tahsis edilmesi, bilgi sistemleri yönetimine ilişkin politika, süreç ve prosedürlerin tesis edilmesi gerekmektedir.
  • Bilgi sistemlerine ilişkin yılda en az bir kere sızma testleri yaptırması gerekmektedir.
  • Müşteri bilgilerinin gizliliğini sağlamaya yönelik kontrolleri tesis edilmesi gerekmektedir.
  • Bilgi sistemleri süreklilik planının hazırlanması ve bu çerçevede ikincil sistemlerin tesis edilmesi gerekmektedir.
  • Birincil ve ikincil sistemlerinin yurt içinde bulundurması zorunluluğu getirilmiştir.
  • Asgari özsermaye yükümlülüğü 5 milyon TL ve daha az olan portföy yönetim şirketleri ve Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş.’nin “Bilgi güvenliği ihlali” ve “Değişiklik yönetimi” başlığı altındaki maddelere uyumdan muaf tutulduğu belirtilmiştir.
  • Dar yetkili aracı kurumlar, varlık kiralama şirketleri, ipotek finansmanı kuruluşları, Türkiye Sermaye Piyasaları Birliği, Türkiye Değerleme Uzmanları Birliği, bağımsız denetim, derecelendirme ve değerleme kuruluşları, halka açık ortaklıklar, varlık finansmanı fonları, kolektif yatırım kuruluşları, emeklilik yatırım fonları, konut finansmanı fonlarının;
    • Üst yönetimin gözetimi ve sorumluluğu
    • Bilgi sistemleri risk yönetimi
    • Kimlik doğrulama
    • Yetkilendirme
    • Veri gizliliği
    • Bilgi sistemlerine ilişkin dış kaynak yoluyla alınan hizmetlerin yönetimi
    • Kayıt mekanizmasının oluşturulması
    • Bilgi güvenliği ihlali
    • Bilgi sistemleri edinimi, geliştirilmesi ve bakımı
    • Bilgi sistemleri sürekliliği
    • Değişiklik yönetimi

başlıkları altındaki bazı maddelere veya fıkralara uyumdan muaf tutulduğu belirtilmiştir.

BSY Tebliği’ne  ulaşmak için tıklayınız.

Bilgilerinize Sunulur.

Saygılarımızla,

GÜRELİ YEMİNLİ MALİ MÜŞAVİRLİK

VE BAĞIMSIZ DENETİM HİZMETLERİ A.Ş