SPK Bilgi Sistemleri Mevzuatı
“Bilgi Sistemleri Yönetimi Tebliği” ve “Bilgi Sistemleri Bağımsız Denetim Tebliği” 05.01.2018 tarihinde Resmi Gazete’de yayımlandı.
Sermaye Piyasası Kurulu tarafından yayımlanan Bilgi Sistemleri Yönetimi Tebliği ve Bilgi Sistemleri Bağımsız Denetim Tebliği, kurumların, kuruluşların ve ortaklıkların bilgi sistemleri yönetimine ve denetimine ilişkin usul ve esasları belirlemeyi amaçlamaktadır. Bu tebliğlerin yayımlanmasıyla birlikte, söz konusu kurumlar, yönetim ve denetim tebliğlerinde belirtilen bilgi sistemleri yönetim ve denetim ilkelerine uymakla yükümlü hale gelmişlerdir.
SPK Mevzuat Kapsamı
Yayımlanan mevzuat kapsamında yükümlü olan kuruluşların denetçileriyle düzenleyecekleri sözleşmelerde, bilgi sistemleri denetiminin kapsamı, sızma testi ve yönetim beyanı çalışmalarına ilişkin detaylı bilgilere yer verilmiştir. Bu sözleşmeler, denetçi ile kuruluş arasındaki ilişkiyi ve denetim sürecini belirlerken, denetimin kapsamını, hangi alanların inceleneceğini, hangi yöntemlerin kullanılacağını ve denetim sonuçlarının nasıl raporlanacağını da içermektedir. Sızma testi ve yönetim beyanı çalışmaları da, kuruluşların bilgi sistemlerinin güvenliği ve bütünlüğünü sağlamak amacıyla yapılan önemli adımlardır ve mevzuat bu konulara da detaylı olarak yer vermektedir.
Bilgi Sistemleri Bağımsız Denetim Sözleşmesi, denetim döneminin ilk 4 ayı içerisinde imzalanmalıdır. Sözleşmenin imzalanmaması durumunda, bu durum en geç durumun ortaya çıktığı tarihi izleyen ilk iş gününde ilgili kuruma bildirilmelidir. İmzalanan sözleşmeler ise en geç 6 iş günü içinde ilgili kuruma gönderilmelidir. Bu kurallar, denetim sürecinin düzenli ve zamanında yürütülmesini sağlamak amacıyla konulmuştur.
SPK Mevzuat Kapsamı
Bilgi Sistemleri Denetimi, Tebliğ’de belirtilen maddeler kapsamında bilgi sistemlerinin yönetilmesi ve kontrol edilmesi amacıyla gerçekleştirilir. Bu denetim çalışmaları, 1 Ocak ile 31 Aralık dönemini kapsayacak şekilde yürütülür. Denetim sürecinin tamamlanmasının ardından bir denetim raporu hazırlanır. Bu rapor, denetim çalışmalarının sonuçlarını, tespit edilen riskleri ve önerilen iyileştirme önlemlerini içerir. Bu süreç, kuruluşların bilgi sistemlerinin etkin bir şekilde yönetilmesini ve güvenliğini sağlamak için önemli bir adımdır. https://spk.gov.tr/data/636df0c51b41c61a944eb99a/Bilgi%20Sistemleri%20Y%C3%B6netimi%20Tebligi.pdf
Sızma Testi / Penetrasyon Testi
Sızma Testi, ulusal veya uluslararası belgeye sahip gerçek veya tüzel kişiler tarafından en az yılda bir kez gerçekleştirilir. Bu testler, “Bilgi Sistemleri Sızma Testleri Usul ve Esasları” kapsamında yapılır. Sızma testi raporları, bilgi sistemleri raporundan ayrı olarak hazırlanır ve tamamlanmasını müteakip bir ay içinde ilgili kuruma gönderilir. Bu süreç, kuruluşların bilgi sistemlerinin güvenliğini sağlamak ve olası zayıflıkları tespit etmek için önemli bir adımdır.
Yönetim Beyanı
Kuruluşlar, bilgi sistemlerine ilişkin iç kontrolleri hakkında denetim dönemi itibariyle güvence veren ve yönetim kurulu tarafından onaylanmış olan yönetim beyanını bilgi sistemleri denetçisine sunarlar. Bu beyan, kuruluşun bilgi sistemlerinin güvenli ve sağlıklı bir şekilde yönetildiğini ve denetim sürecinin gerekliliklerini yerine getirdiğini doğrular. Yönetim beyanı, denetim sürecinin şeffaf ve güvenilir bir şekilde yürütülmesine yardımcı olur
SPK tarafından yayımlanan tebliğ kapsamında denetime tabi olan Kurum, Kuruluş ve Ortaklıkların denetim periyotları ve denetim başlangıç tarihleri aşağıdaki tabloda yer almaktadır.
SPK tarafından yayımlanan tebliğ kapsamında denetime tabi olan Kurum, Kuruluş ve Ortaklıkların denetim periyotları ve denetim başlangıç tarihleri aşağıdaki tabloda yer almaktadır.
Kurum, Kuruluş ve Ortaklıkları | Denetim Periyodu | Denetim Başlangıç Tarihi |
Borsa İstanbul A.Ş., İstanbul Takas ve Saklama Bankası A.Ş., Merkezi Kayıt Kuruluşu A.Ş., borsalar ve piyasa işleticileri, teşkilatlanmış diğer pazar yerleri, merkezi takas kuruluşları, merkezi saklama kuruluşları ve veri depolama kuruluşları | Her yıl | 2018 |
Kısmî ve Geniş Yetkili Aracı Kurumlar, asgari özsermaye yükümlülüğü 5 Milyon TL’den fazla olan portföy yönetim şirketleri | 2 Yılda bir | 2019 |
Asgari özsermaye yükümlülüğü 5 Milyon TL ve az olan portföy yönetim şirketleri ve Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş. | 3 Yılda bir | 2020 |
Dar yetkili aracı kurumlar, varlık kiralama şirketleri, ipotek finansmanı kuruluşları, Türkiye Sermaye Piyasaları Birliği, Türkiye Değerleme Uzmanları Birliği, bağımsız denetim, derecelendirme ve değerleme kuruluşları, halka açık ortaklıklar, varlık finansmanı fonları, kolektif yatırım kuruluşları, emeklilik yatırım fonları, konut finansmanı fonları | Periyodik denetim zorunluluğu bulunmamaktadır |
SPK Mevzuatına göre sızma testi yaptırmak istiyorsanız bizimle iletişime geçebilirsiniz. Penetrasyon Testi, Sızma testi, bilgi sistemlerinizin güvenliğini sağlamak ve olası zayıflıkları tespit etmek için önemli bir adımdır. Profesyonel ekibimiz, SPK’nın belirlediği usul ve esaslara uygun olarak sızma testlerini gerçekleştirmek için size destek olabilir. Size özel çözümlerimizle bilgi sistemlerinizin güvenliğini artırmak ve SPK mevzuatına uygunluğunu sağlamak için bizimle iletişime geçebilirsiniz.
SPK Bilgi Sistemleri Bağımsız Denetim Lisansı’na sahibiz.
Nesil Teknoloji A.Ş
Bilgi Güvenliği Ekibi