Dijital Dönüşüm Ofisi (DDO) Bilgi ve İletişim Güvenliği (BİG) Rehberi: Uyum Yükümlülükleri ve Denetim Faaliyetleri
10 Temmuz 2020 tarihinde versiyon 1.0 olarak yayımlanan Dijital Dönüşüm Ofisi (DDO) Bilgi ve İletişim Güvenliği (BİG) Rehberi, kamu kurumları ve belirli kritik altyapı sektörlerinde faaliyet gösteren işletmeler için bilgi güvenliği standartlarını belirlemektedir. Peki, bu rehbere kimler uyum sağlamakla yükümlüdür ve bu yükümlülükler nasıl hayata geçirilmelidir? İşte detaylar:
Kimler Uyum Sağlamakla Yükümlüdür?
Kamu Kurumları: Milli güvenliğin sağlanması kapsamında görev ve faaliyet yürüten kurum ve kuruluşlar hariç olmak üzere, bilgi işlem birimi barındıran veya bilgi işlem hizmetlerini sözleşmeler çerçevesinde üçüncü taraflardan alan devlet teşkilatı içerisinde yer alan tüm kamu kurumları, BİG Rehberi’ne uyum sağlamakla yükümlüdür. Bu kurumlar, bilgi ve iletişim güvenliği denetimlerini gerçekleştirmek zorundadır.
Kritik Altyapı Hizmeti Veren İşletmeler: Ulusal Siber Güvenlik Stratejisi ve Eylem Planı’nda belirtilen kritik altyapı sektörlerinde faaliyet gösteren işletmeler de bu rehbere uyum sağlamak zorundadır. Bu sektörler şunlardır:
- Elektronik Haberleşme
- Enerji
- Su Yönetimi
- Kritik Kamu Hizmetleri
- Ulaştırma
- Bankacılık ve Finans
Kritik altyapı sektörlerinde faaliyet gösteren işletmelerin, sektörel SOME (Siber Olaylara Müdahale Ekipleri) rehberleri doğrultusunda bilgi ve iletişim güvenliği denetimlerini gerçekleştirmeleri gerekmektedir.
Denetim Faaliyetleri Nasıl Hayata Geçirilmelidir?
Kamu Kurumları: DDO, bilgi güvenliği denetim faaliyetlerini hangi kamu kurum ve kuruluşlarının gerçekleştireceğini her yıl belirleyerek ilgililere duyurur. İlk yıl denetimleri için 14 Şubat 2022 tarihli ve 4350 sayılı yazı çerçevesinde bilgilendirme yapılmış olup, 2022 yılı kapsamına ilçe belediyeleri ve kaymakamlıklar dahil edilmemiştir. Bu duyurulara göre, ilgili kurumlar bilgi güvenliği denetimlerini gerçekleştirir ve sonuçları Dijital Dönüşüm Ofisi Başkanlığı’na iletirler.
Kritik Altyapı Hizmeti Veren İşletmeler: Kritik altyapı sektörlerinde faaliyet gösteren işletmeler, Ulaştırma ve Altyapı Bakanlığı tarafından yayımlanan Sektörel SOME Kurulum ve Yönetim Rehberi’ne uygun olarak bilgi güvenliği denetimlerini gerçekleştirirler. Her bir sektörel SOME, kendi sektörü içerisindeki işletmeleri denetleyerek, Bilgi ve İletişim Güvenliği Rehberi’ne uyum sağlanmasını temin eder ve denetim sonuçlarını Dijital Dönüşüm Ofisi Başkanlığı’na raporlar.
Uyum Sağlamanın Kazanımları
Bilgi ve İletişim Güvenliği Rehberi’ne uyum sağlamak, kurum ve kuruluşlara birçok avantaj sağlar:
- Güvenlik Seviyesi Artar: Kurumların bilgi varlıklarının güvenliği sağlanarak veri sızıntıları ve siber saldırılara karşı koruma artırılır.
- Yasal Uyumluluk: Rehberin gerekliliklerine uyum sağlanarak yasal zorunluluklar yerine getirilir ve cezai yaptırımlardan korunulur.
- İtibar Artışı: Bilgi güvenliğine verilen önem, kurumun itibarını artırır ve paydaşlar nezdinde güven oluşturur.
- Verimlilik ve Etkinlik: İyi yapılandırılmış bilgi güvenliği politikaları ve prosedürleri, iş süreçlerinin verimliliğini artırır.
- Risklerin Azaltılması: Potansiyel riskler belirlenir ve minimize edilir, böylece iş sürekliliği sağlanır.
