Bilgi Güvenliği İç Denetimi

Digisecure olarak, hem ISO 27001:2013 BGYS kapsamında her yıl yapılması gereken İç Denetim ihtiyacı için hem de Kişisel Verilerin Korunması Kanunu, PCI-DSS, BTK, BDDK Regülasyonları, SOME çalışmaları için deneyimli ve sertifikalı kadromuz ile hizmet veriyoruz.

İç Denetim ekibini oluştururken firmanın kendi içinden de çalışanları dahil ederek İç Denetim farkındalığını ve kültürünü kuruma kazandırmaya hedefliyoruz.


Denetim Aşamaları

Denetim çalışmalarımızda aşağıdaki yöntemi izlemekteyiz.


1. Planlama

Planlama aşamasında, sürecin bir sonraki adımlarını gerçekleştirecek denetim ekibi ve denetim esnasında temas edilecek kontak kişilerin belirlenmesinin yanı sıra, genel beklentiler ve hedefler belirlenir ve denetim hakkında bildirimde bulunmak esastır. Bu sebeple, geniş katılımlı bir tanıtım ve bilgilendirme toplantısı planlanır.

  • Denetim ekibi tanıtılır
  • Denetim ekibimizi görüşmek isteyeceği kişiler belirlenir
  • Süreç, zaman çizelgesi, denetim çıktıları ve denetim esnasında neler istenebileceği ve paylaşılacağı belirlenir.
  • Denetim sürecinde firmadan varsa gözden geçirilmesini istediği konular, tavsiyeler ve önemli görüşmeleri paylaşması istenir.
  • Denetim sürecini veya kapsamını etkileyebilecek konular, kurumun endişeleri ve çekinceleri değerlendirilir.
  • Denetim ekibimiz, denetim sürecinde denetim personeli tarafından izlenecek prosedürlerin formüle edilmesine yardımcı olacak belgeler isteyebileceğini paylaşır.


    • 2. Saha Çalışması

    Saha çalışmamız, planlama aşamasında toplanan bilgilerin gözden geçirilmesini içerir.

    Gerekirse, İç Denetim Hizmetleri, iç kontrollerin, risk yönetiminin ve yönetişim süreçlerinin yeterliliğini ve etkinliğini değerlendirmek için daha fazla araştırma yapar
    Saha çalışması aşamasında aşağıdaki yöntemleri uygularız.

  • İncelenmekte olan faaliyet, sistem veya süreç hakkında bir detaylı olarak analiz edilir. Yapılan iş hakkında bilgi sahibi olunur.
  • Uygulanabilir bir bilgi güvenliği politikası olup olmadığına ve prosedür ve risklerin nasıl yönetildiğine ve politikaya uygunluğu değerlendirilir.
  • Faaliyet, sistem veya süreçle ilgili işlemlerin gözlemlenmesi yapılır.
  • Gözden geçirme alanlarıyla ilgilenen veya denetlemekten sorumlu kilit personellerle toplantı yapılır.
  • Varlıkların envanteri ve sahipliklerinin belirlenip belirlenmediğine bakılır.
  • Finansal verileri ve diğer operasyonel kayıtları ve bilgileri analiz etmek.
  • İç kontrol sistemlerinin gözden geçirilmesi ve kontrol ortamındaki boşlukların ve zayıflıkların belirlenir.
  • İç kontrollerin yeterliliği, güvenilirliği ve etkinliği ile ilgili sonuçların değerlendirilir ve eksiklikler belirlenir
  • Uyumluk sağlanması gereken ISO 27001 BGYS, PCI-DSS, BTK vb. bir standart varsa standart maddeleri ile çakışan durumlar raporlanır
  • Güvenlik eksiklikleri için teknik testler yapılır
  • Önceki denetimlerden kaynaklanan eylem planları için uygun eylemlerin gerçekleştirilip gerçekleştirilmediğinin değerlendirilir.


    • 3. Raporlama

    Denetim Hizmetimizin bu aşamasında, incelemenin çıktısı olan, Denetim ekibimizin görüşünü bildiren, incelemenin kapsamını ana hatlarıyla açıklayan, denetimin bulgularını detaylandıran ve iyileştirmeler için önerileri tartışan son bir rapor sunulur.

    Raporlama aşamasında gerçekleşen rapor nihai halini almadan çeşitli aşamalardan geçer.

  • Bulgu ve önerilerin taslak raporunun derlenmesi. Taslak rapor sadece birim liderlerine ve sadece tartışma amaçlı yayınlanmaktadır.
  • Deneti ekibi ve ilgili birim yöneticileri ile Denetim Hizmeti sunan ekibimiz arasında bulgular ve önerilerin tartışılması, bulgular konusunda mutabakat sağlanması, bulgu sahiplerinin belirlenmesi ve denetim önerilerine yönelik bir eylem planı oluşturulmasında yönetime yardımcı olma sürecinin başlatılması için bir toplantı yapılır. Yazılı cevaplar için tarh belirlenir.
  • Bulgu sahipleri taslak raporda yer alan tavsiyelerin her birine, tavsiyelerin nasıl ve ne zaman ele alınacağını belirlenen süre sonunda yazılı olarak paylaşır. Bu yazılı cevap, raporun son versiyonuna dahil edilir.
  • Nihai denetim raporu denetim sahibi, bulgu sahipleri ve ilgili yöneticiler ile paylaşılır.


    • 4. Takip Aşaması

    Denetim ekibimiz, denetim önerilerini ele alma konusunda kaydedilen ilerlemeyi belirlemek ve rapor önerilerinin durumu hakkında özet bir rapor hazırlamak için denetim sahibi ve denetim ekipleri ile ek çalışmalar ve toplantılar yapar.

    İletişim Formu

    İsim

    Soyisim

    Mail

    Telefon

    Çalıştığınız Kurum

    Mesajınız