Tedarikçi Denetimleri

Tedarikçi Denetimleri

Tedarikçi denetimleri ile tedarikçilerinizin kritiklik risk analizine dayalı bir periyotta, saha denetimi, sözleşmelere uyumlarının değerlendirilmesi, iş sürekliliği kriterleri, bilgi güvenliği faaliyetlerinin değerlendirilmesi, bilgi teknolojileri alt yapı yeterlilikleri gibi konular COBIT standardı baz alınarak değerlendirilmektedir. Tanımlanmış periyotlarda tedarikçilere atanmış düzeltici faaliyetlerin izlenebilmesine olanak sağlar.
 

Tedarikçi Denetimleri Yaklaşımımız

Tedarikçi denetimleri, kurumun ihtiyaçları doğrultusunda beş farklı türde planlanabilir:

1. Başlangıç Tedarikçi Denetimleri (Startup Audits)

Kurum ile çalışmaya başlayacak yeni tedarikçi firmaların ayrıntılı olarak denetlendiği ve bilgi güvenliği risk seviyesinin belirlendiği geniş kapsamlı denetimlerdir.

2. Düzenli Tedarikçi Denetimleri (Regular Audits)

Kurum ile çalışan tedarikçi firmaların belirli aralıklarla firma yerleşkesinde denetlendiği ve bilgi güvenliği risk seviyesinin belirlendiği kapsamlı denetimlerdir.

3. Tedarikçi Denetimleri Takip Çalışması ve İlerleme Raporu (Follow-up Audits & Progress Reporting)

Sizinle birlikte belirleyeceğimiz bir tarihte veya raporda kritik seviye bir açık bulunması durumunda en geç 3 ay içerisinde gerçekleştirdiğimiz denetimlerdir. Kapsamı daha önce yapılan denetimde bulunan açıklar ile sınırlıdır.

4. Acil Durum Tedarikçi Denetimleri (Emergency Audits)

Kurum ile çalışan tedarikçi firmaların bilgi güvenliği vakaları yaşamaları halinde vakaya istinaden ilgili öğelerinin ayrıntılı olarak denetlendiği ve sadece acil durumla ilgili öğelerin bilgi güvenliği risk seviyesinin belirlendiği geniş kapsamlı denetimleridir. Adli bilişim konuları da bu kapsamda ele alınmaktadır.

5. ISAE 3402 Tedarikçi Denetimleri

COBIT Dar Kapsam BT Denetimi ile gerçekleştirilmektedir.

İhtiyaçlarınıza göre şekillenen çalışma kapsamımız temelde aşağıdaki listede yer alan maddeleri içerir:

  • Dokümantasyon
  • İç Risk Değerlendirme Süreçleri / Yöntemleri
  • Yönetim Sistemi Çalışmaları (KYS, BGYS, İSYS, ÇYS, …)
  • Güvenlik Süreçleri / Görevlendirmesi
  • Fiziksel Güvenlik
  • Personel Güvenliği
  • Bilgi Varlığı Edinme / Elden Çıkarma
  • Sistem Yönetimi
  • Teknoloji Güvenliği
    • Ağ Güvenliği
    • Uygulama Güvenliği
    •  Sunucu / İstemci Güvenliği
  • İş Sürekliliği
  • Tedarikçi / Müşteri İletişim Süreçleri Güvenliği
  • PCI DSS Uyumluluk Seviyesi