Close this search box

SPK Bilgi Sistemleri Tebliği Uyum Programı

SPK VII-128.10 kapsamında kurumların bilgi sistemleri yönetimini, doğru ihtiyaçlar üzerinden ele almak için tasarlanmış bir uyum programıdır.

SPK Uyum Sürecini Başlatın

Programın Amacı

Sermaye Piyasası Kurulu tarafından yayımlanan Bilgi Sistemleri Tebliği, bilgi sistemlerinin yalnızca teknik açıdan değil; yönetim, risk ve denetim perspektifiyle ele alınmasını zorunlu kılar.

Lostar’ın yaklaşımı, kurumların mevcut durumunu netleştirmeden iyileştirme veya uygulama çalışmalarına geçilmemesi üzerine kuruludur.

Mevcut Durum (Healthcheck) Değerlendirmesi

Programın başlangıç noktasıdır. Kurumun mevcut bilgi sistemleri yönetim yapısı netleştirilir.

İhtiyaçların Netleştirilmesi

Mevcut durum fotoğrafı üzerinden öncelikler, risk alanları ve ihtiyaç duyulan çalışma başlıkları görünür hale gelir.

İhtiyaca Göre Danışmanlık Çalışmaları

Gerekli görülmesi halinde, kurumun ihtiyacına göre proje bazlı ya da belirli dönemli danışmanlık desteği ayrıca tanımlanır.

Kapsam ve Öncelik

SPK Bilgi Sistemleri Tebliği Kimler İçin Önemlidir?

Sermaye Piyasası Kurulu (SPK) düzenlemelerine tabi kurumlar için bilgi sistemleri yalnızca teknik altyapı konusu değildir. Bilgi sistemleri yönetimi; kurumsal yönetişim, risk yönetimi, iç kontrol, süreklilik, güvenlik ve denetim süreçlerinin ayrılmaz bir parçasıdır.

Bu nedenle SPK Bilgi Sistemleri Tebliği kapsamındaki kurumların mevcut bilgi sistemleri yapılarını yalnızca teknik kontroller açısından değil; yönetim sorumlulukları, politika setleri, süreç olgunluğu ve denetim hazırlığı açısından da değerlendirmesi gerekir.

SPK düzenlemelerine tabi kurumlar

Bilgi sistemleri yönetimini mevzuat beklentileriyle uyumlu hale getirmek isteyen kurumlar için mevcut durumun netleştirilmesini sağlar.

Denetim hazırlığı yapan ekipler

Bilgi teknolojileri, bilgi güvenliği, iç denetim, risk ve uyum ekiplerinin öncelikli çalışma alanlarını görmesine yardımcı olur.

Risk ve uyum süreçlerini olgunlaştırmak isteyen kurumlar

Bilgi sistemleri risklerini daha ölçülebilir, takip edilebilir ve yönetilebilir hale getirmek isteyen kurumlara yol gösterir.

İlk Adım

Mevcut Durum Değerlendirmesi

Healthcheck çalışması, SPK VII-128.10 kapsamında kurumunuzun bilgi sistemleri yönetiminin mevcut durumunu ortaya koymak amacıyla yürütülür.

Bu Çalışma Ne Sunar?

Kısa ve odaklı bir değerlendirme yaklaşımı
Danışmanlık veya uygulama içermeyen bağımsız bir başlangıç noktası
Mevcut durumun net bir fotoğrafını sunan bir çerçeve

Bu aşamada iyileştirme veya uygulama yapılmaz; amaç yalnızca mevcut durumu görünür hale getirmektir.

Healthcheck Nasıl Yapılır?

VII-128.10 madde ve fıkraları baz alınır
CISO ve İç Denetim ile sınırlı sayıda görüşme yapılır
Doküman ve süreçler yüksek seviyede incelenir
Denetim açısından risk oluşturabilecek alanlar belirlenir

Healthcheck Çıktıları

Healthcheck çalışması sonucunda:

Mevcut durum netleştirilir
Denetim açısından kritik görülen başlıklar belirlenir
Öncelikli risk alanlarına ilişkin değerlendirme sunulur
Hangi alanlarda hangi tür çalışmalara ihtiyaç duyulabileceğine dair bir karar zemini oluşur

Bu aşamada iyileştirme veya uygulama yapılmaz.

Healthcheck Sonrasında

Healthcheck çıktıları sonrasında, kurumunuzun tercihine bağlı olarak aşağıdaki çalışma modelleri değerlendirilebilir:

Belirli başlıklarda proje bazlı danışmanlık
Belirli bir dönem boyunca sürekli danışmanlık desteği

Standart bir paket kapsamında sunulmaz
Kapsam ve süre ihtiyaç netleştirildikten sonra ayrıca tanımlanır
Healthcheck’ten bağımsız ve otomatik değildir

Değerlendirme Başlıkları

SPK Kapsamında Hangi Alanlar Değerlendirilir?

Mevcut durum değerlendirmesi, kurumun bilgi sistemleri yönetimini yalnızca teknik kontrollerle sınırlı ele almaz. Yönetim, risk, güvenlik, süreklilik, dış hizmet kullanımı ve denetim hazırlığı başlıkları birlikte değerlendirilir.

Bilgi Sistemleri Yönetişimi

Bilgi sistemleri sorumlulukları, karar mekanizmaları, politika yapısı, görev ayrımları ve yönetim raporlaması değerlendirilir.

Risk ve İç Kontrol Yapısı

Bilgi sistemleri risklerinin nasıl belirlendiği, takip edildiği, önceliklendirildiği ve kontrol süreçlerine nasıl yansıtıldığı incelenir.

Bilgi Güvenliği Politikaları

Bilgi güvenliği politika, prosedür ve standartlarının varlığı, güncelliği, uygulanabilirliği ve kurum içinde nasıl takip edildiği değerlendirilir.

İş ve Bilgi Sistemleri Sürekliliği

Kritik süreçlerin sürekliliği, yedeklilik yaklaşımı, felaket kurtarma planları ve test süreçleri yüksek seviyede ele alınır.

Dış Hizmet ve Üçüncü Taraf Yönetimi

Hizmet alınan tedarikçiler, dış kaynak kullanımı, erişim yönetimi ve üçüncü taraf risklerinin nasıl yönetildiği değerlendirilir.

Denetim Hazırlığı

Denetimlerde risk oluşturabilecek eksikler, kayıt ve kanıt ihtiyaçları, dokümantasyon durumu ve öncelikli çalışma alanları belirlenir.

Programın Devamı

İhtiyaca Göre Şekillenen Danışmanlık Alanları

Healthcheck sonuçları doğrultusunda, ihtiyaç görülmesi halinde aşağıdaki alanlarda çalışmalar ele alınabilir:

Bilgi sistemleri yönetişimi, risk ve uyum (GRC)
Bilgi güvenliği politika ve prosedürleri
Denetim hazırlığı ve iç kontrol yapıları
İş ve bilgi sistemleri sürekliliği

Bu başlıklar örnek niteliğindedir ve yalnızca talep edilmesi halinde değerlendirilir.

Programın Yaklaşımı

Healthcheck ile başlar ve mevcut durumu ortaya koyar
Uygulama veya iyileştirme taahhüdü içermez
Danışmanlık çalışmalarını otomatik olarak başlatmaz
Tek tip paketler yerine, ihtiyaca göre şekillenen bir yapı sunar

Yaygın Bulgular

SPK Uyum Sürecinde Sık Karşılaşılan Eksikler

Kurumların SPK Bilgi Sistemleri Tebliği kapsamında karşılaştığı eksikler çoğu zaman yalnızca teknik açıklardan kaynaklanmaz. Süreç sahipliği, dokümantasyon, iç kontrol yapısı, üçüncü taraf yönetimi ve süreklilik planları da denetim açısından kritik hale gelebilir.

Eksik veya Güncel Olmayan Politikalar

Bilgi güvenliği, erişim yönetimi, değişiklik yönetimi, yedekleme, süreklilik ve olay yönetimi politikalarının güncel olmaması ya da kurum içinde uygulanabilir şekilde tanımlanmaması.

Netleşmemiş Sorumluluklar

Bilgi sistemleri süreçlerinde görev, yetki ve sorumlulukların açık şekilde tanımlanmamış olması; süreç sahipliği ve onay mekanizmalarının belirsiz kalması.

Risklerin Ölçülebilir Takip Edilmemesi

Bilgi sistemleri risklerinin düzenli olarak kaydedilmemesi, önceliklendirilmemesi, aksiyon takibine bağlanmaması veya yönetim raporlamasına dahil edilmemesi.

Yetersiz Süreklilik Hazırlığı

İş sürekliliği, felaket kurtarma, yedekleme ve geri dönüş testlerinin düzenli şekilde yapılmaması veya denetim sırasında sunulabilecek kayıtlarla desteklenmemesi.

Üçüncü Taraf Risklerinin Zayıf Yönetilmesi

Dış hizmet alınan firmalara ilişkin güvenlik, erişim, sözleşme, izleme ve denetim kontrollerinin yeterince olgun veya düzenli takip edilir durumda olmaması.

Denetim Kanıtlarının Hazır Olmaması

Süreçler yürütülse bile denetim sırasında sunulabilecek kayıt, rapor, onay, test sonucu ve dokümantasyon yapısının eksik kalması.

Sık Sorulan Sorular

SPK Bilgi Sistemleri Uyum Süreci Hakkında Merak Edilenler

Mevcut durum değerlendirmesi danışmanlık hizmeti midir?

Hayır. Mevcut durum değerlendirmesi, kurumun SPK Bilgi Sistemleri Tebliği kapsamındaki mevcut durumunu ortaya koyan bağımsız bir başlangıç çalışmasıdır. Bu aşamada uygulama, iyileştirme veya danışmanlık projesi yürütülmez.

Değerlendirme sonrasında danışmanlık almak zorunlu mudur?

Hayır. Değerlendirme sonrasında danışmanlık çalışması otomatik olarak başlamaz. Kurumun ihtiyacına göre proje bazlı veya dönemsel destek ayrıca tanımlanabilir.

Çalışma hangi ekiplerle yürütülür?

Çalışma genellikle bilgi teknolojileri, bilgi güvenliği, iç denetim, risk ve uyum ekipleriyle yürütülür. Kurumun organizasyon yapısına göre hukuk, satın alma, insan kaynakları veya operasyon ekipleri de sürece dahil edilebilir.

Mevcut durum değerlendirmesi kapsamında teknik test yapılır mı?

Bu çalışma temel olarak mevcut durum değerlendirmesi ve süreç incelemesi niteliğindedir. Sızma testi, kaynak kod güvenliği veya teknik güvenlik testi ihtiyaçları ayrıca değerlendirilir.

Çıktılar denetim hazırlığında nasıl kullanılır?

Değerlendirme çıktıları, denetim açısından risk oluşturabilecek alanların görünür hale gelmesini sağlar. Böylece kurum hangi başlıklarda öncelikli çalışma yapılması gerektiğini daha net görebilir.

SPK Tebliği gerekliliklerine uyum sürecinizi uzman desteğiyle güvenle yönetin ve denetimlere hazır olun.

Uzman ekibimizle mevzuata tam uyum sağlayın.

SPK Uyum Desteği Alın

SPK Bilgi Sistemleri Tebliği Uyum Programı

Programın Amacı

Mevcut Durum (Healthcheck) Değerlendirmesi

İhtiyaçların Netleştirilmesi

İhtiyaca Göre Danışmanlık Çalışmaları

SPK Bilgi Sistemleri Tebliği Kimler İçin Önemlidir?

SPK düzenlemelerine tabi kurumlar

Denetim hazırlığı yapan ekipler

Risk ve uyum süreçlerini olgunlaştırmak isteyen kurumlar

Mevcut Durum Değerlendirmesi

Bu Çalışma Ne Sunar?

Healthcheck Nasıl Yapılır?

Healthcheck Çıktıları

Healthcheck Sonrasında

SPK Kapsamında Hangi Alanlar Değerlendirilir?

Bilgi Sistemleri Yönetişimi

Risk ve İç Kontrol Yapısı

Bilgi Güvenliği Politikaları

İş ve Bilgi Sistemleri Sürekliliği

Dış Hizmet ve Üçüncü Taraf Yönetimi

Denetim Hazırlığı

İhtiyaca Göre Şekillenen Danışmanlık Alanları

İhtiyaca Göre Şekillenen Danışmanlık Alanları

Programın Yaklaşımı

SPK Uyum Sürecinde Sık Karşılaşılan Eksikler

SPK Bilgi Sistemleri Uyum Süreci Hakkında Merak Edilenler

Mevcut durum değerlendirmesi danışmanlık hizmeti midir?

Değerlendirme sonrasında danışmanlık almak zorunlu mudur?

Çalışma hangi ekiplerle yürütülür?

Mevcut durum değerlendirmesi kapsamında teknik test yapılır mı?

Çıktılar denetim hazırlığında nasıl kullanılır?

SPK Tebliği gerekliliklerine uyum sürecinizi uzman desteğiyle güvenle yönetin ve denetimlere hazır olun.

İletişim

Get Quick Quote

Test Type Selection

Contact Information

Thank You!