Tedarikçi Denetimleri

BDDK’nın yayınladığı Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ’in 8. Maddesinin getirdiği düzenlemelerin bir sonucu olarak bankalar, kendilerinin ve tedarikçilerinin bilgi güvenliği seviyesini denetlemekle yükümlüdür. İlgili düzenlemelerin cezai yaptırımları mevcuttur.
  • Bir tedarikçi ile iş yapma kararını karlılık açısından değerlendirmek,
  • Tedarikçilerle yapılan anlaşmalarda beklentileri belirlemek, sözleşmeye uygun şekilde ekleyerek karşı tarafa iletmek ve denetlemek,
  • Tedarikçi ile çalışmanın beraberinde getirdiği riskleri analiz etmek,
  • Tedarikçinin iş yapamaz hale gelmesinin sonucunda doğabilecek sonuçlardan kaçınmak da tedarikçi denetimlerinin hedeflerindendir.
Denetimler, kurumun ihtiyaçları doğrultusunda dört farklı türde olabilir:
  1. Başlangıç Denetimleri (Startup Audits) Kurum ile çalışmaya başlayacak yeni tedarikçi firmaların ayrıntılı olarak denetlendiği ve bilgi güvenliği risk seviyesinin belirlendiği geniş kapsamlı denetimlerdir.
  2. Düzenli Denetimler (Regular Audits) Kurum ile çalışan tedarikçi firmaların belirli aralıklarla firma yerleşkesinde denetlendiği ve bilgi güvenliği risk seviyesinin belirlendiği kapsamlı denetimlerdir.
  3.  Takip Çalışması ve İlerleme Raporu (Follow-up Audits & Progress Reporting) Sizinle birlikte belirleyeceğimiz bir tarihte veya denetim raporunda kritik seviye bir açık bulunması durumunda en geç 3 ay içerisinde gerçekleştirdiğimiz denetimlerdir. Denetim kapsamı daha önce yapılan denetimde bulunan açıklar ile sınırlıdır.
  4.  Acil Durum Denetimleri (Emergency Audits) Kurum ile çalışan tedarikçi firmaların bilgi güvenliği vakaları yaşamaları halinde vakaya istinaden ilgili öğelerinin ayrıntılı olarak denetlendiği ve sadece acil durumla ilgili öğelerin bilgi güvenliği risk seviyesinin belirlendiği geniş kapsamlı denetimlerdir.
İhtiyaçlarınıza göre şekillenen çalışma kapsamımız temelde aşağıdaki listede yer alan maddeleri içerir:
  • Dokümantasyon
  • İç Risk Değerlendirme Süreçleri / Yöntemleri
  • Yönetim Sistemi Çalışmaları (KYS, BGYS, İSYS, ÇYS, …)
  • Güvenlik Süreçleri / Görevlendirmesi
  • Fiziksel Güvenlik
  • Personel Güvenliği
  • Bilgi Varlığı Edinme / Elden Çıkarma
  • Sistem Yönetimi
  • Teknoloji Güvenliği
    • Ağ Güvenliği
    • Uygulama Güvenliği
    •  Sunucu / İstemci Güvenliği
  • İş Sürekliliği
  • Tedarikçi / Müşteri İletişim Süreçleri Güvenliği
  • PCI DSS Uyumluluk Seviyesi