Sermaye Piyasası Kurulu’nun Bilgi Sistemleri Yönetimi Tebliği (VII-128.9) ve Bilgi Sistemleri Bağımsız Denetim Tebliği (III-62.2) ve söz konusu Tebliğler hakkındaki basın duyurusu 05.01.2018 tarihinde yayınlandı.
Sermaye Piyasası Kurulu’nun basın duyurusu aşağıya çıkarılmıştır.
“Bilgi Sistemleri Yönetimi Tebliği (VII-128.9) ve Bilgi Sistemleri Bağımsız Denetim Tebliği (III-62.2) 05.01.2018 tarih 30292 sayılı Resmi Gazete’de yayımlanmış ve yayımı tarihinde yürürlüğe girmiştir.
Bilgi Sistemleri Yönetimi Tebliği ile;
Bilgi sistemlerinin yönetimine ilişkin usul ve esaslar belirlenmiş olup, kapsam dahilindeki kurum, kuruluş ve ortaklıkların;
- Bilgi sistemleri stratejilerinin iş hedefleriyle uyumlu olması, bilgi sistemlerinin güvenliğini, etkinliğini ve sürekliliğini sağlamak için gerekli kaynakları tahsis etmesi, bilgi sistemleri yönetimine ilişkin politika, süreç ve prosedürleri tesis etmesi,
- Üst yönetiminin; kritik bilgi sistemleri projelerini gözden geçirme ve onaylama, bilgi sistemlerine ve süreçlerine ilişkin potansiyel riskleri etkileriyle birlikte tespit etme ve bu çerçevede risk yönetimini gerçekleştirme, bilgi güvenliği ihlallerini izleme ve değerlendirme ve iş sürekliliği planının hazırlanmasını sağlama sorumluluğu,
- Bilgi sistemlerine ilişkin belirli aralıklarla sızma testleri yaptırması,
- Bilgi sistemleri aracılığıyla edindiği veya sakladığı müşteri bilgilerinin gizliliğini sağlamaya yönelik kontrolleri tesis etmesi,
- Faaliyetlerini destekleyen bilgi sistemlerinin sürekliliğini sağlamak üzere bilgi sistemleri süreklilik planını hazırlaması ve bu çerçevede ikincil sistemlerini tesis etmesi, birincil ve ikincil sistemlerini yurt içinde bulundurması
düzenlenmiştir.
Bilgi Sistemleri Bağımsız Denetim Tebliği ile;
- Bilgi sistemleri bağımsız denetimi faaliyetlerinin genel esasları, denetim metodolojisi, denetim sonuçlarının raporlanması, bilgi sistemleri bağımsız denetimini yürütecek kuruluşların yetkilendirilmesi, yönetici ve çalışanlarının lisanslanmasına ilişkin usul ve esaslar belirlenmiştir.
- Borsa İstanbul A.Ş., İstanbul Takas ve Saklama Bankası A.Ş., Merkezi Kayıt Kuruluşu A.Ş., borsalar ve piyasa işleticileri, teşkilatlanmış diğer pazar yerleri, merkezi saklama kuruluşları ve veri depolama kuruluşları için yılda bir,
- Kısmî ve geniş yetkili aracı kurumlar, asgari özsermaye yükümlülüğü 5 milyon TL’den fazla olan portföy yönetim şirketleri için iki yılda bir,
- Asgari özsermaye yükümlülüğü 5 milyon TL ve az olan portföy yönetim şirketleri ve Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş. için üç yılda bir,
bilgi sistemleri bağımsız denetimi yaptırma zorunluluğu getirilmiştir. - Diğer Sermaye Piyasası Kanunu’na tabi kurum, kuruluş ve ortaklıklar için ise, bilgi sistemleri yönetim ilkelerine uyum öngörülmekle birlikte, bu aşamada bilgi sistemleri bağımsız denetimi yaptırma yükümlülüğü getirilmemiştir.”
“Bilgi Sistemleri Yönetimi Tebliği” için tıklayınız.
“Bilgi Sistemleri Yönetimi Tebliği” Eki “Bilgi Sistemleri Sızma Testleri Usul ve Esasları” için tıklayınız.
“Bilgi Sistemleri Bağımsız Denetim Tebliği” için tıklayınız.
“Bilgi Sistemleri Bağımsız Denetim Tebliği” Eki “Yönetim Beyanına İlişkin Esaslar” için tıklayınız.
Kaynak: Sermaye Piyasası Kurulu Web Sayfası.