Bilgi sistemlerine ilişkin dış kaynak yoluyla alınan hizmetlerin yönetimi
- Üst yönetim tarafından, bilgi sistemleri kapsamında dış kaynak yoluyla alınacak hizmetlerin doğuracağı risklerin yeterli düzeyde değerlendirilmesine, yönetilmesine ve dış kaynak yoluyla alınan hizmeti sağlayan kuruluşlarla ilişkilerin etkin bir şekilde yürütülebilmesine olanak sağlayacak bir gözetim mekanizması tesis edilir. Tesis edilecek gözetim mekanizması asgari olarak aşağıda belirtilen hususları içerir:
a) Dış kaynak yoluyla alınan bilgi sistemleri hizmeti kapsamındaki tüm sistem ve süreçlerin üst yönetim tarafından belirlenen risk yönetimi, güvenlik, gizlilik ve müşteri gizliliğine ilişkin ilkelere uygun olması,
b) Verilerin dış kaynak yoluyla alınan bilgi sistemleri hizmeti sağlayan kuruluşa aktarılmasının gerekli olduğu durumlarda, söz konusu kuruluşun bilgi güvenliği konusundaki ilke ve uygulamalarının en az üst yönetimin uyguladığı düzeyde olması,
c) Dış kaynak yoluyla alınan bilgi sistemleri hizmetine ilişkin hususların iş sürekliliği göz önünde bulundurularak düzenlenmesi ve gerekli önlemlerin alınması,
ç) Dış kaynak yoluyla alınan bilgi sistemleri hizmetlerinde ölçme, değerlendirme, raporlama ve güvenlik fonksiyonlarında nihai sorumluluğun üst yönetimde olması,
d) Dış kaynak yoluyla alınan hizmetin, üst yönetimin yasal yükümlülüklerini yerine getirmesine ve etkin biçimde denetlenmesine engelleyici bir nitelikte olmaması,
e) Üst yönetimin belirlediği önem arz eden konulara ilişkin dış kaynak hizmeti aldıkları kuruluşlarla sözleşme imzalamadan önce ilgili kuruluş bünyesinde dış kaynak hizmetini istenilen kalitede gerçekleştirebilecek düzeyde teknik donanım ve altyapı, mali güç, tecrübe, bilgi birikimi ve insan kaynağı bulunup bulunmadığı hususlarını da dikkate alacak şekilde inceleme ve değerlendirme çalışması yapmak üzere bir ekip veyahut kişi görevlendirilmesi ve bu çalışma sonucunda hazırlanacak teknik yeterlilik raporunun üst yönetime sunulması.
- Dış kaynak kullanımına ilişkin koşul, kapsam ve her türlü diğer tanımlama, dış kaynak yoluyla alınan hizmeti sağlayan kuruluşça da imzalanmış olacak şekilde sözleşmeye bağlanır. Sözleşme, asgari olarak aşağıdaki hususları içerir:
a) Hizmet seviyelerine ilişkin tanımlamalar,
b) Hizmetin sonlandırılmasına ilişkin koşullar,
c) Hizmetin, beklenmedik şekillerde sonlandırılması veya kesintiye uğraması durumunda uygulanacak yaptırımlar,
ç) Bilgi güvenliği politikası dahilinde önem arz eden konulara ilişkin gereklilikler,
d) Sözleşme kapsamında üretilecek ürün bulunması halinde, ürünün sahipliği ile fikri ve sınai mülkiyet haklarını da göz önünde bulundurarak düzenleyen hükümler,
e) Sözleşmede dış kaynak yoluyla alınan hizmeti sağlayan kuruluşlar için yükümlülük teşkil eden hükümlerin, alt yüklenici kuruluşlar ile yapılacak olan sözleşmelerde de bağlayıcı maddeler olarak yer almasını sağlayacak hükümler,
f) Hizmet sağlayıcı kuruluşun, sermaye piyasası mevzuatı kapsamında Kurul tarafından talep edilecek bilgileri istenen zamanda ve nitelikte sağlamasına ilişkin yükümlülüğü ve Kurul'un sözleşme kapsamında sunulan hizmet ile ilgili olarak hizmet sağlayıcı bünyesindeki gerekli gördüğü her türlü bilgi, belge ve kayda erişim hakkı.
- Dış kaynak yoluyla alınan hizmeti sağlayan kuruluşlara verilen erişim hakları özel olarak değerlendirilir. Fiziksel veya mantıksal olabilecek bu erişimler için risk değerlendirmesi yapılır, gerekiyorsa ek kontroller tesis edilir. Risk değerlendirmesi yapılırken ihtiyaç duyulan erişim türü, erişilecek verinin önemi ile erişimin bilgi güvenliği üzerindeki etkileri dikkate alınır. Alınan hizmetin sonlanması durumunda ilgili tüm erişim hakları iptal edilir.
- Üst yönetim, dış kaynak yoluyla gerçekleştirilen hizmetler için hizmetin erişilebilirliğini, performansını, kalitesini, bu hizmet kapsamında gerçekleşen güvenlik ihlali olayları ile dış kaynak yoluyla hizmet sağlayan kuruluşun güvenlik kontrollerini, finansal koşullarını ve sözleşmeye uygunluğunu yakından takip etmek için yeterli bilgi ve tecrübeye sahip sorumluları belirler.
