step@stepveriguvenligi.com 0 (539) 701 38 61 Ataşehir / İstanbul
Step Veri Güvenliği
Regülasyon ve Bilgi Güvenliği Danışmanlığı
Ana Sayfa SPK Tebliği Hizmetlerimiz Referanslarımız İletişim
SPK’ya bağlı değerleme kuruluşları için

SPK Tebliği Uyumunu Anlaşılır, Pratik ve Denetime Hazır Hale Getiriyoruz

Gayrimenkul değerleme şirketleri için zorunlu yükümlülükleri sadece “ne yapmak gerekiyor?” düzeyinde bırakmıyor; yönetim, dokümantasyon, raporlama ve sorumluluk düzeni olan uygulanabilir bir yapıya dönüştürüyoruz.

Değerleme sektörü deneyimi Regülasyon uyum odağı Denetim hazırlık yaklaşımı
Minimumdan Başlayın İhtiyaca Göre Üst Modele Geçin Bütçeye Uygun Kademeli İlerleyin

Uyum Kontrol Merkezi

Tebliğin zorunlu başlıklarını, şirketin büyüklüğüne ve ihtiyaç seviyesine göre görev, belge ve raporlama düzenine çeviren çalışma modeli.

Kapsam Netliği
Şirketiniz için hangi başlıkların zorunlu, hangilerinin ikincil olduğunu netleştirir.
Belge ve Politika Seti
Politika, prosedür, risk değerlendirme ve yönetim raporu gibi temel çıktıları oluşturur.
BG Sorumlusu Modeli
Bilgi Güvenliği Sorumlusu rolünün iç kaynak mı dış kaynak mı yürütüleceğini tanımlar.
Denetim Hazırlık Düzeni
Sorulabilecek başlıklar için kayıt, açıklama ve sunum düzeninin kurulmasına yardımcı olur.
  • Yönetim kurulu seviyesinde sorumluluk yapısı
  • Yıllık risk analizi ve temel kontrol çerçevesi
  • Olay yönetimi ve iş sürekliliği hazırlığı
Önemli not

Tebliğ çoğu zaman teknik ürün ihtiyacı gibi algılanıyor. Oysa asıl konu kurum içi yönetim ve denetim düzenidir.

Bu çalışma bir ürün satın alma projesi değildir.
Öncelik, kurumun zorunlu yükümlülüklerini doğru yorumlamaktır.

Antivirüs veya firewall tek başına uyum sağlamaz.
Denetimde belge, süreç, görev ve raporlama düzeni sorgulanır.

Asıl ihtiyaç: yönetim yapısı, BG sorumlusu modeli, risk değerlendirme ve temel politika/prosedür setidir.

Zorunlu başlıklar

Temel yükümlülükler

  • Bilgi sistemleri yönetişim çerçevesi
  • Bilgi güvenliği sorumlusu
  • Risk değerlendirme ve risk yönetimi
  • Politika ve prosedür seti
  • Olay yönetimi ve iş sürekliliği
  • Yönetim kurulu bilgilendirme ve raporlama
Neden Step?

Regülasyon odaklı yaklaşım

  • Değerleme şirketleri ile geçmiş proje deneyimi
  • TDUB ve değerleme sektörü dinamiklerine aşinalık
  • KVKK, bilgi güvenliği ve regülasyon uyumu tecrübesi
  • Denetimde talep edilecek belge ve raporlama yapısına odaklı model
Yaklaşım sınırı

Bu çalışma “hacklenmeyelim diye birkaç ürün alalım” işi değildir

Değerleme şirketlerinde bu konu çoğu zaman antivirüs, şifre veya cihaz güvenliği düzeyinde düşünülüyor. Oysa asıl ihtiyaç; sorumlulukların tanımlanması, risklerin değerlendirilmesi, gerekli belgelerin hazırlanması ve denetime açıklanabilir bir düzen kurulmasıdır.

Öncelik antivirüs, firewall veya lisans almak değildir.
Önce gerçekten hangi yükümlülüklerin sizde devam ettiğini netleştiririz.

Bu çalışma ISO belgesi alma paketi değildir.
Ama denetime hazır bir düzen kurmak için gerekli temel yapıları oluşturur.

Teknik yatırım kararı en başta verilmez.
Önce muafiyetler, zorunlu başlıklar, BG sorumlusu modeli ve belge ihtiyacı belirlenir.

Hizmet modelleri

3 seviyeli uyum modeli

Tüm modeller Tebliğin zorunlu başlıklarını karşılamaya yöneliktir. Fark; çalışmanın derinliği, kuruma uyarlama seviyesi, takip sıklığı ve yönetişim kapsamındadır.

Küçük Ölçek

Minimum uyum gereksinimlerini karşılamak isteyen firmalar için

Temel yükümlülüklerin görünür hale getirildiği, ana belge ve değerlendirme çıktılarının oluşturulduğu başlangıç seviyesidir.

  • Hedef profil: 10–20 çalışan
  • Tebliğ uyum analizi: Temel
  • Politika / prosedür: Standart yapı
  • Risk analizi: Temel yaklaşım
  • Bilgi varlık envanteri: Temel görünürlük
  • Yetki yönetimi: Basit rol çerçevesi
  • Olay yönetimi: Temel süreç
  • İş sürekliliği: Basit plan
  • Yönetim raporlama: Yıllık
  • BG sorumlusu desteği: Sınırlı model
Bu model kimler için uygundur?
Çalışan sayısı düşük, IT desteği temel düzeyde dış hizmet olan, banka çalışması sınırlı ve işlem hacmi görece düşük firmalar için uygundur.
Orta Ölçek

Kuruma özel uyarlama ve düzenli takip isteyen firmalar için

Temel uyumun ötesine geçerek belge, risk ve raporlama yapısının daha detaylı ve izlenebilir hale getirildiği seviyedir.

  • Hedef profil: 21–50 çalışan
  • Tebliğ uyum analizi: Detaylı
  • Politika / prosedür: Uyarlanmış yapı
  • Risk analizi: Detaylı değerlendirme
  • Bilgi varlık envanteri: Detaylı
  • Yetki yönetimi: Orta seviye matris
  • Olay yönetimi: Süreç + takip
  • İş sürekliliği: Test edilebilir yapı
  • Yönetim raporlama: 6 aylık
  • BG sorumlusu desteği: Düzenli model
Bu model kimler için uygundur?
Kısmi IT altyapısı bulunan, banka çalışması olan, düzenli dış IT desteği alan ve işlem hacmi orta seviyede olan firmalar için uygundur.
Büyük Ölçek

Aktif yönetişim ve sürekli gözetim isteyen firmalar için

Daha güçlü organizasyonel yapı, daha yoğun işlem hacmi ve daha yüksek denetim beklentisi olan firmalar için kapsamlı modeldir.

  • Hedef profil: 50+ çalışan
  • Tebliğ uyum analizi: Kapsamlı
  • Politika / prosedür: Özelleştirilmiş yapı
  • Risk analizi: Gelişmiş yaklaşım
  • Bilgi varlık envanteri: Kapsamlı
  • Yetki yönetimi: Detaylı matris
  • Olay yönetimi: Aktif yönetim
  • İş sürekliliği: Senaryo bazlı
  • Yönetim raporlama: Periyodik
  • BG sorumlusu desteği: Aktif model
Bu model kimler için uygundur?
İç IT ekibi bulunan, birden fazla lokasyonda çalışan, bankalarla daha yoğun ilişki kuran ve denetim riski daha yüksek olan firmalar için uygundur.
Model seçimi teknik altyapıdan çok yönetişim ve kontrol ihtiyacına göre yapılır. Sunucu ya da firewall sayısından önce; organizasyonel yapı, süreç yönetimi, banka çalışma düzeyi ve işlem hacmi değerlendirilmelidir.
Model seçimi

Hangi model size daha uygun?

Doğru model seçimi yalnızca teknik altyapıya göre değil; kurumun büyüklüğü, süreç yapısı ve kontrol ihtiyacı dikkate alınarak yapılmalıdır.

Çalışan Sayısı
10–20
21–50
50+
IT Yapısı
Temel dış destek
Bulut + lokal karışık
İç ekip + güçlü dış destek
Banka Çalışma Düzeyi
Yok / sınırlı
Var
Yoğun / aktif
İşlem Hacmi
Düşük
Orta
Yüksek
Şirketiniz için uygun modeli birlikte belirleyelim

Hizmet alanlarına göre karşılaştırma

Tüm modeller aynı ana başlıklara odaklanır. Fark; derinlik, kuruma uyarlama ve takip seviyesindedir.

Hizmet Alanı Küçük Ölçek Orta Ölçek Büyük Ölçek
Tebliğ Uyum Analizi Temel Detaylı Kapsamlı
Politika ve Prosedürler Standart Uyarlanmış Özelleştirilmiş
Risk Analizi Temel Detaylı Gelişmiş
Bilgi Varlık Envanteri Temel Detaylı Kapsamlı
Yetki Yönetimi Basit Orta Detaylı
Olay Yönetimi Temel Süreç + takip Aktif
İş Sürekliliği Basit Test edilebilir Senaryo bazlı
IT Hizmet Sağlayıcı Yönetimi Temel Değerlendirme Süreç
Yönetim Raporlama Yıllık 6 aylık Periyodik
BG Sorumlusu Hizmeti Sınırlı Düzenli Aktif
Şirketiniz için en uygun modeli belirlemek için kısa bir ön değerlendirme yeterlidir. Böylece sadece ihtiyaç duyduğunuz seviyede ilerler, gereksiz kapsam veya yatırım baskısı yaşamazsınız.
10 dakikalık kısa görüşme ile netleştirelim
Süreç

4 aşamalı uyum dönüşümü

1. Keşif: Mevcut yapı, hedefler ve kapsamın alınması
Bu aşamada kurumun mevcut çalışma biçimi, kullanılan sistemler, dış hizmet bağımlılıkları, karar verici beklentileri ve öncelikli risk alanları değerlendirilir. Amaç, “bizde gerçekten ne var ve ne eksik?” sorusunu netleştirmektir.
Tebliğ maddeleri kurum yapısına göre değerlendirilir; muaf olan, basitleştirilmiş uygulanacak ve zorunlu devam eden alanlar ayrıştırılır. Aynı zamanda bilgi sistemleri riskleri ve temel kontrol ihtiyacı görünür hale getirilir.
Politika ve prosedürler hazırlanır, risk değerlendirme ve kontrol çerçevesi oluşturulur, BG sorumlusu rolü ve raporlama düzeni netleştirilir. Yönetim kuruluna sunulabilecek açıklıkta belge ve görev yapısı kurulur.
Kurulan yapı yalnızca ilk kurulumla bırakılmaz; risk gözden geçirme, raporlama, belge güncelleme, olay takibi ve denetim öncesi hazırlık perspektifiyle yaşatılır. Dış kaynak BG sorumlusu modeli de bu aşamada devreye alınabilir.
Bilgilendirme merkezi

Doküman ve webinar bilgileri

Tebliğ Kısa Özeti

Gayrimenkul değerleme şirketleri için temel yükümlülükleri kısa ve anlaşılır biçimde özetleyen bilgilendirme notu.

Özet Talep Et

Doğru Bilinen Yanlışlar

Sahada en sık karıştırılan başlıkları sade şekilde açıklayan kısa bilgilendirme içeriği.

Bilgi Al

Webinar Kaydı

SPK VII-128.10 Tebliği kapsamındaki gerçek yükümlülükleri 20 dakikalık özet anlatım ile dinleyin.

Webinar Kaydı Oluştur

SPK Webinar Sunumu

SPK VII-128.10 Tebliği uyumu için hazırlanan webinar sunumunu PDF olarak indirebilirsiniz.

PDF’i İndir
Referanslar

Değerleme sektörü deneyimi

Türkiye Değerleme Uzmanları Birliği (TDUB)
Türkiye Değerleme Uzmanları Birliği (TDUB)
KVKK regülasyon uyum
24 Taşınmaz Değerleme ve Danışmanlık A.Ş.
24 Taşınmaz Değerleme ve Danışmanlık A.Ş.
KVKK regülasyon uyum
A Gayrimenkul Değerleme A.Ş.
A Gayrimenkul Değerleme A.Ş.
KVKK regülasyon uyum
Ada Taşınmaz Değerleme Danışmanlık A.Ş.
Ada Taşınmaz Değerleme Danışmanlık A.Ş.
KVKK regülasyon uyum
Aden Gayr. Değ. ve Danışmanlık A.Ş.
Aden Gayr. Değ. ve Danışmanlık A.Ş.
KVKK regülasyon uyum
Adil Taşınmaz Değerleme ve Danışmanlık A.Ş.
Adil Taşınmaz Değerleme ve Danışmanlık A.Ş.
KVKK regülasyon uyum
Alesta Kurumsal Gayr. Değ. ve Dan. A.Ş.
Alesta Kurumsal Gayr. Değ. ve Dan. A.Ş.
KVKK regülasyon uyum
Arı Değerleme A.Ş.
Arı Değerleme A.Ş.
KVKK regülasyon uyum
Arma Taşınmaz Değerleme ve Danışmanlık A.Ş.
Arma Taşınmaz Değerleme ve Danışmanlık A.Ş.
KVKK regülasyon uyum
Atak Gayrimenkul Değerleme A.Ş.
Atak Gayrimenkul Değerleme A.Ş.
KVKK regülasyon uyum
Bilge Gayr. Değ. ve Danışmanlık A.Ş.
Bilge Gayr. Değ. ve Danışmanlık A.Ş.
KVKK regülasyon uyum
Bilgi Gayrimenkul Değerleme A.Ş.
Bilgi Gayrimenkul Değerleme A.Ş.
KVKK regülasyon uyum
Detay Taşınmaz Gayrimenkul Değerleme A.Ş.
Detay Taşınmaz Gayrimenkul Değerleme A.Ş.
KVKK regülasyon uyum
Dora Gayrimenkul Değerleme A.Ş.
Dora Gayrimenkul Değerleme A.Ş.
KVKK regülasyon uyum
Galata Taşınmaz Değerleme ve Danışmanlık Hizmetleri A.Ş.
Galata Taşınmaz Değerleme ve Danışmanlık Hizmetleri A.Ş.
KVKK regülasyon uyum
İnvest Gayr. Değ.ve Danışmanlık A.Ş.
İnvest Gayr. Değ.ve Danışmanlık A.Ş.
KVKK regülasyon uyum
Kent Değerleme A.Ş.
Kent Değerleme A.Ş.
KVKK regülasyon uyum
Limit Değerleme A.Ş.
Limit Değerleme A.Ş.
KVKK regülasyon uyum
Makro Gayrimenkul Değerleme A.Ş.
Makro Gayrimenkul Değerleme A.Ş.
KVKK regülasyon uyum
Metropol Gayr. Değ.ve Danışmanlık A.Ş.
Metropol Gayr. Değ.ve Danışmanlık A.Ş.
KVKK regülasyon uyum
Nova Taşınmaz Değerleme ve Danışmanlık A.Ş.
Nova Taşınmaz Değerleme ve Danışmanlık A.Ş.
KVKK regülasyon uyum
Öztürk Gayrimenkul Değerleme A.Ş.
Öztürk Gayrimenkul Değerleme A.Ş.
KVKK regülasyon uyum
Prim E Gayr. Değ.ve Danışmanlık A.Ş.
Prim E Gayr. Değ.ve Danışmanlık A.Ş.
KVKK regülasyon uyum
Som Kurumsal Gayr. Değ.ve Dan.Hiz.Tic. A.Ş.
Som Kurumsal Gayr. Değ.ve Dan.Hiz.Tic. A.Ş.
KVKK regülasyon uyum
Talya Gayr. Değ.ve Danışmanlık A.Ş.
Talya Gayr. Değ.ve Danışmanlık A.Ş.
KVKK regülasyon uyum
Teknik Gayrimenkul Değerleme A.Ş.
Teknik Gayrimenkul Değerleme A.Ş.
KVKK regülasyon uyum
Varlık Taşınmaz Değerleme ve Danışmanlık A.Ş.
Varlık Taşınmaz Değerleme ve Danışmanlık A.Ş.
KVKK regülasyon uyum
Vera Gayrimenkul Değerleme ve Danışmanlık A.Ş.
Vera Gayrimenkul Değerleme ve Danışmanlık A.Ş.
KVKK regülasyon uyum
Zirve Gayrimenkul Değerleme A.Ş.
Zirve Gayrimenkul Değerleme A.Ş.
KVKK regülasyon uyum
Sık sorulan sorular

En çok sorulan konular

Değerleme şirketlerinden en sık gelen soruları sade ve doğrudan cevaplarla derledik.

Hangi modelin bize uygun olduğunu nasıl belirliyorsunuz?
Model seçimi; çalışan sayısı, IT altyapı karmaşıklığı, banka çalışma düzeyi, dış hizmet bağımlılığı ve işlem hacmi birlikte değerlendirilerek yapılır. Amaç, sizi gereksiz büyük bir kapsama zorlamak değil; ihtiyaç duyduğunuz seviyeyi doğru tespit etmektir.
Değerleme şirketleri açısından, muaf olunmayan hükümler için esas hedef tarih 31.12.2025 olarak değerlendirilmelidir. Tebliğde 31.12.2026’ya uzayan süre, genel olarak 29. maddenin 3. fıkrası için yazılmıştır. Ancak değerleme kuruluşları zaten 29. maddeden muaf tutulduğu için bu tarih sizin açınızdan ayrı bir genel ek süre anlamına gelmez.
Hayır. Muafiyetler daha çok bazı ileri teknik detayları ve büyük ölçekli kurumlara özgü bazı hükümleri daraltır. Buna rağmen bilgi sistemleri yönetişimi, yönetim sorumluluğu, risk yönetimi, politika ve prosedürler, iş sürekliliği, olay yönetimi ve BG sorumlusu gibi temel başlıklar devam eder.
Temel fark; sadece zorunlu başlangıç yapısının kurulması ile daha detaylı, kuruma uyarlanmış ve düzenli izlenen bir yapının kurulması arasındadır. Orta modelde belge seti, risk analizi, raporlama ve takip seviyesi daha gelişmiştir.
Evet. Model kurgusu, firmaların minimum seviyeden başlayıp ihtiyaç halinde üst modele geçebilmesine uygun şekilde tasarlanmıştır. Böylece ilk aşamada zorunlu başlıklar tamamlanır, sonraki aşamada yapı daha olgun hale getirilebilir.
Evet. Şirket içinde uygun kişi varsa BG sorumlusu içeriden görevlendirilebilir. Ancak bu kişinin sadece isim olarak belirlenmesi yeterli değildir. Rolü gerçekten üstlenebilecek zaman, yetki, farkındalık ve raporlama kabiliyeti olmalıdır.
Belirli bir sertifika adı zorunlu tutulmuyor gibi okunmamalıdır; esas olan kişinin rolü taşıyabilecek yeterli teknik bilgiye ve ilgili alanlardan birinde en az 5 yıl tecrübeye sahip olmasıdır. Ayrıca kişinin üst yönetime raporlayabilecek, risk ve kontrol bakışı taşıyabilecek düzeyde olması gerekir.
Evet. Değerleme kuruluşları için bu görevin dışarıdan hizmet alımı yoluyla, grup şirketleri arası hizmet sözleşmesiyle, ortak istihdam veya yarı zamanlı modellerle yürütülmesi mümkündür. Önemli olan, rolün gerçekten tanımlanmış ve sorumlulukları üstlenecek şekilde yapılandırılmış olmasıdır.
Olabilir ya da olmayabilir; bu tamamen o firmanın rolü nasıl üstlendiğine bağlıdır. Sadece antivirüs kurmaları, firewall yönetmeleri veya uzaktan destek vermeleri tek başına yeterli sayılmaz. BG sorumlusu rolü; yönetişim, risk yönetimi, raporlama, olay yönetimi ve sorumluluk takibi boyutlarını da kapsamalıdır.
Her zaman değil. Değerleme şirketlerinde asıl ihtiyaç çoğu zaman teknik ürün yatırımı değil; kapsamın netleştirilmesi, belge setinin hazırlanması, risk değerlendirme yapılması ve görevlerin tanımlanmasıdır. Teknik yatırım ihtiyacı varsa bu, ancak mevcut durum görüldükten sonra anlamlı şekilde belirlenir.
Evet. Muafiyetler bazı ileri teknik fıkraları daraltıyor olsa da risk yönetiminin çekirdek hükümleri devam eder. Bilgi sistemleri risklerinin belirlenmesi, değerlendirilmesi, kayıt altına alınması ve üst yönetime uygun şekilde sunulması değerleme şirketleri için de temel yükümlülükler arasındadır.
En çok zorlanılan alanlar genelde şunlardır: yükümlülüklerin yanlış yorumlanması, BG sorumlusu rolünün sadece isim olarak bırakılması, belge setinin eksik veya genel kalması, risk değerlendirme ve olay yönetimi tarafının görünür olmaması, dış hizmet sağlayıcıların kontrol çerçevesinin net kurulmaması ve yönetim kuruluna sunulabilir raporlama düzeninin oluşmaması.
Bu üç başlık birbirine yakın görünse de aynı şey değildir. KVKK, kişisel verilerin hukuka uygun işlenmesi ve korunmasına odaklanır. ISO 27001, kurumun bilgi güvenliği yönetim sistemini belli bir standart çerçevesinde kurmasını sağlar. SPK VII-128.10 Tebliği ise sermaye piyasası kurumları için yönetim kurulu sorumluluğu, bilgi sistemleri yönetişimi, risk yönetimi, BG sorumlusu, olay yönetimi, iş sürekliliği ve raporlama gibi başlıklarda regülasyon temelli yükümlülükler getirir. Yani KVKK ve ISO 27001 çok kıymetli yapılardır; ancak SPK Tebliği açısından bunlar tek başına otomatik uyum anlamına gelmez.
Çoğu durumda evet, yine de ayrıca değerlendirme yapmak gerekir. ISO 27001 belgesine sahip olmanız önemli bir avantajdır; çünkü politika yapısı, risk bakışı, varlık envanteri, kontrol yaklaşımı ve sürekli iyileştirme kültürü açısından size güçlü bir temel sağlar. Ancak SPK Tebliği, sadece bilgi güvenliği standardı değil; aynı zamanda regülasyona özgü görev, sorumluluk, raporlama ve yönetişim düzeni ister. Bu nedenle ISO 27001 sertifikası olan kurumlarda iş yükü genelde daha düşük olur; fakat yine de Tebliğe göre madde bazlı bir gap analizi yapılarak hangi başlıkların zaten karşılandığı, hangilerinin ise ayrıca uyarlanması gerektiği netleştirilmelidir.
Genellikle evet. ISO 27001 altyapısı bulunan firmalarda birçok temel belge, süreç ve kontrol mantığı zaten oluşmuş olur. Bu da SPK Tebliği için yapılacak çalışmanın daha hızlı, daha düzenli ve daha az eforla ilerlemesini sağlar. Ancak burada önemli olan nokta, mevcut ISO 27001 yapısının SPK Tebliğinin özel beklentileriyle eşleştirilmesi ve gerekiyorsa yönetim kurulu raporlaması, BG sorumlusu modeli, dış hizmet sağlayıcı yönetimi ve denetime açıklanabilir kayıt düzeni gibi alanlarda tamamlayıcı düzenleme yapılmasıdır.
Çoğu değerleme şirketi için zorunlu bir sızma testi yükümlülüğü bulunmamaktadır. Tebliğdeki muafiyetler dikkate alındığında, özellikle küçük ve orta ölçekli değerleme kuruluşları açısından ileri seviye teknik testler (örneğin düzenli sızma testi) doğrudan zorunlu kapsamda yer almaz. Ancak bu, hiçbir zaman teknik kontrol yapılmayacağı anlamına gelmez. Tebliğin ana yaklaşımı; risklerin belirlenmesi ve uygun kontrollerin alınmasıdır.

Eğer kurumunuzda:

  • Dışa açık sistemler varsa (web uygulamaları vb.)
  • Bankalarla yoğun çalışılıyor ve entegrasyon bulunuyorsa
  • İç sistemler kritik veri barındırıyorsa
bu durumda sızma testi veya benzeri teknik kontroller iyi uygulama (best practice) olarak önerilebilir. Özetle: Önce zorunlu yönetişim ve kontrol yapısı kurulur, teknik test ihtiyacı ise risk değerlendirmesi sonucuna göre belirlenir.

Bu çalışmada bilinçli bir tercih olarak ürün satışı yapmıyoruz.

Çünkü SPK Tebliği uyum sürecinde en sık karşılaşılan hatalardan biri; ihtiyacı netleştirmeden teknik ürün alımı yapılmasıdır. Bu durum çoğu zaman gereksiz maliyet ve yanlış konumlandırılmış çözümlerle sonuçlanır.

Bizim yaklaşımımız: önce yükümlülükleri, riskleri ve gerçek ihtiyacı netleştirmek, ardından gerekiyorsa teknik çözümü belirlemektir.

Bu kapsamda:

  • Teknik ihtiyaçları analiz ederiz
  • Gerçekten gerekli olup olmadığını değerlendiririz
  • Farklı ürün ve çözüm alternatiflerini karşılaştırmalı sunarız
  • Uygun tedarikçi ve uygulama modeli konusunda yönlendirme yaparız

Ancak ürün satışını doğrudan biz yapmayız. Böylece önerilerimiz herhangi bir marka, lisans veya satış hedefinden bağımsız olur.

Sızma testi için de aynı yaklaşım geçerlidir:

  • Tebliğ ve muafiyetler kapsamında zorunluluk durumu analiz edilir
  • Gerçek ihtiyaç varsa uygun kapsam belirlenir
  • Yetkin ve güvenilir firmalar üzerinden yapılması önerilir

Yaklaşık 30 yıllık deneyimimizle, özellikle finans ve regülasyon projelerinde sık görülen “önce ürün al, sonra neye yarayacağını düşün” yaklaşımının kurumlar için maliyetli ve sürdürülemez olduğunu biliyoruz.

Bu nedenle biz: ürün değil, doğru karar mekanizması kuruyoruz.

Üst yönetimin rolü, bilgi güvenliği ve bilgi sistemleri konularını sadece IT ekibine bırakmak değil; bu alanın kurum içinde gerçekten işleyen bir yönetişim yapısına kavuşmasını gözetmektir. Politikanın uygulanması, kritik kararların gözden geçirilmesi, risklerin değerlendirilmesi, gerekli kaynakların ayrılması ve düzenli gözden geçirme mekanizmalarının kurulması üst yönetim sorumluluğundadır.
Hayır. Üst yönetimin teknik konfigürasyon detaylarını bilmesi beklenmez. Beklenen; riskleri, sorumlulukları, kaynak ihtiyacını, kritik eksikleri ve alınması gereken kararları görebilecek bir yönetim çerçevesi kurmasıdır.
Evet. Hizmet iç kaynakla da dış kaynakla da yürütülse, gerekli uzmanlığın sağlanması ve yönetsel rol ve sorumlulukların açıkça belirlenmesi gerekir. Dışarıdan hizmet almak, üst yönetim sorumluluğunu ortadan kaldırmaz.
Çünkü Tebliğ; kontrollerin takibinden, risklerin üst yönetime raporlanmasından ve güvenlik tarafının gözetiminden sorumlu ayrı bir bilgi güvenliği sorumlusu belirlenmesini ister. Bu rol, yapının sadece teknik değil yönetsel olarak da işlemesini sağlar.
Evet, gerekli; ancak ölçekli şekilde. Tebliğ küçük firmalarda büyük kurumlardaki kadar karmaşık bir yapı kurulmasını değil; sorumlulukların net olduğu, risklerin izlendiği, temel politika ve raporlama mekanizmasının çalıştığı uygulanabilir bir düzen kurulmasını bekler.
Asgari olarak aşağıdaki başlıkların yılda en az bir kez üst yönetim tarafından gözden geçirilmesi beklenir:
  • Bilgi güvenliği politikaları
  • Rol ve sorumluluklar
  • Bilgi güvenliği ihlalleri ve değerlendirme sonuçları
  • Risk yönetimi çıktıları
  • Farkındalık ve eğitim düzeni
Denetimde üst yönetime genelde şu başlıklar üzerinden soru gelebilir:
  • Bilgi güvenliği politikası onaylanmış mı?
  • Bilgi sistemleri riskleri nasıl izleniyor?
  • Bilgi güvenliği sorumlusu kim ve hangi yapıda çalışıyor?
  • Üst yönetime nasıl raporlama yapılıyor?
  • Bilgi güvenliği ihlalleri değerlendiriliyor mu?
  • Personel eğitimleri veriliyor mu?
  • Kritik projeler nasıl gözden geçirilip onaylanıyor?
  • İş sürekliliği planı mevcut mu?
Evet. En azından kritik iş süreçlerini ve faaliyetleri destekleyen bilgi sistemlerinin sürekliliğini sağlamak üzere, iş sürekliliği planının parçası olan bilgi sistemleri süreklilik planı hazırlanmalıdır.
Sizin durumunuz bunlardan biraz farklı olabilir. Kısa bir görüşmede şirketinizin mevcut yapısını değerlendirip hangi model seviyesinin daha uygun olduğunu netleştirebiliriz.
Şirketiniz için kısa değerlendirme yapalım
İletişim

Kurumunuza en uygun modeli birlikte netleştirelim

15 dakikalık kısa bir görüşmede, şirketiniz için küçük, orta veya büyük ölçek modelden hangisinin daha uygun olduğunu birlikte değerlendirelim.

Hemen Arayın: 0 (539) 701 38 61
E-posta Gönderin