SlideShare ist ein Scribd-Unternehmen logo

Tedarikçi Güvenliği için Yol Haritası

Als PPTX, PDF herunterladen
Lostar
Lostar

Bu sunum "Lostar Tedarikçi Yönetimi Semineri"nde Sn. Okşan Doğan tarafından kullanılmıştır.

Business
1 von 9
Tedarikçi güvenliği için bir yol haritası örneği Kurum içi ve dışı paydaşlar, sorumluluklar Okşan Doğan Türk Ekonomi Bankası A.Ş. Operasyonel Risk ve Bilgi Güvenliği 15 Mayıs 2012
• Tedarikçi güvenliği denildiğinde herkes sorumluluğunun ne olduğunu biliyor mu ? ▫ Bu konu salt mevzuat veya salt bilgi teknolojileri güvenliği konusu değildir, ▫ Bu iş tek başına Satınalma Yönetimi’nin işi de değildir, ▫ Sözleşmeleri Hukuk onaylıyor diye Hukuk Departmanının işi de değildir. ▫ Konuya operasyonel risk yönetimi bakış açısı ile bütünsel yaklaşılmalıdır. • İşi firma yapıyor, sorumlusu da firmadır o zaman onlar uğraşsın mı deniyor ? • Tedarikçinin denetlenmesi söz konusu olduğunda akla gelen ilk adres iç kontrol veya teftiş ekipleri mi ?
Yol haritası • İç ve dış mevzuatın taranması, gerekliliklerin ‘özümsenmesi’ ▫ BDDK ▫ Kurum içi düzenlemeler ▫ ( Varsa ) Yabancı ortağın politika ve prosedürleri ▫ İç/Dış raporlama formatları da bir noktada belirleyici olabilir • Hizmet alım sürecinin, mevzuat gereksinimleri de dikkate alınarak, güncellenmesi ▫ Uygulama talimatı ile akışın ve sorumlulukların belirlenmesi  Teknik yeterlilik, risk analizi, ortaklar ve üst yöneticilerin uyum dosyası, tedarikçi karşılaştırma raporları, fayda/maliyet analizi, sistem ve süreç güncellemeleri, iş sürekliliği planları
Yol haritası • Sözleşme envanterinin oluşturulması ve destek hizmeti sözleşmelerinin filtrelenebilmesinin sağlanması ▫ Envantere hizmet alımlarına yönelik bir takım bilgi toplama özelliklerinin yerleştirilmesi - Alınan hizmetin tanınması  Satın alma envanteri tek yerde tutulmalı, her satın almacı ünite kendi envanterini tutar gibi bir kabulle bütünlük sağlamak zor
Yol haritası • Risklerin önlenmesi adına satın alma sürecinde muhtelif kontrol istasyonlarının oluşturulması ▫ Satın alma talep aşaması  Basit soru setleri ile satın alma mahiyeti anlaşılmalıdır  Eğer yazılım satın alınıyor ise yazılımın türü, tedarikçinin yetki ve sorumlulukları anlaşılmaya çalışılmalıdır.  Satınalmacı ünite başta olmak üzere tüm gerekli üniteler erkenden uyarılmalı, bilgi sahibi olması sağlanmalıdır. ▫ Sözleşme aşaması  Sözleşmelerde güvenlik kontrol listesi - Sözleşmenin içeriğini hazırlayan ve gözden geçiren tarafların atlama yapmasını önler
Yol haritası • Risklerin önlenmesi adına süreçte muhtelif kontrol istasyonlarının oluşturulması / devam ▫ Mevzuat , operasyonel risk, iç kontrol, bilgi güvenliği ve hukuk ekipleri proje boyunca muhtelif aşamalarda konuya dahil olmalıdır.  Bu alım bir destek hizmeti alımı mıdır  Yönetmeliğe tabi midir, Denetim komitesi onayı aranıyor mu  Sözleşmeye ne gibi unsurların eklenmesi gereklidir  Bilgi güvenliği kurallarının üzerinde ayrıca çalışılması gerekli midir  İlave kontrol noktalarının oluşturulması gerekiyor mu  Kurumun iş sürekliliği planları etkileniyor mu , firmanın iş sürekliliği planları yeterli mi  Mali mesuliyet sigortası lazım mı  Kurumun mevcut sigorta poliçelerinin kapsamadığı bir alan oluşuyor mu ?  Risk analiz raporunun doldurulmasına destek  Denetim komitesi öncesi son kontroller  Start up denetimi lazım mı
Yol haritası • Risklerin üst yönetime raporlanması ▫ Risk yönetim programı ▫ Öz değerlendirme metodu 1. Risk analizi ( kapsamı ve güncelliği ) 2. Sözleşmeler 3. Prosedürler ( tamlığı ve güncelliği ) 4. Kontrol çerçevesi ( etkinliği ) 5. İş sürekliliği 6. Raporlama, SLA’e uyumluluk 7. Yürütme izleme ve etkinlik sorgulama 8. Kabul Süreci
Yol haritası • Aksiyon planlarının yakından takibi • Düzenli kontrol ve denetimler ▫ Denetimlerin kapsamının doğru oluşturulması ▫ Uçtan uca süreç güvenliği yaklaşımı kurgusu ▫ Hizmeti alanların birinci seviye kontrolleri ile iç kontrol/teftiş ve bağımsız denetçi denetimlerinin amacı ve periyodunun karıştırılmaması ▫ Denetim bulgularının takibi • İzlemek ve tespitleri birbirleri ile ilişkilendirmek önemlidir ▫ SLA ▫ Müşteri şikayetleri ▫ Denetim bulguları ▫ Operasyonel risk kayıp olayları ▫ Uzaktan erişimlerin takibi ( sıklık ve yapılan iş seviyesinde takip bile anlamlı )
Olmazsa Olmazlar ▫ Tedarikçi güvenliğinin önemini içtenlikle kavramak ve yapılanları sadece «mevzuatı memnun etmek» için yapmamak ▫ Tüm tarafların en yüksek seviyede iletişimi şart ▫ Mevzuat, Hukuk, Satın alma, Operasyonel Risk, Bilgi Güvenliği, İç kontrol, Teftiş, İş kolu, IT • Tüm bu sürecin koordinasyonundan ve gözetiminden sorumlu bir «gönüllü» !!!!

Empfohlen

Yeni TTK Guvenlik
Yeni TTK GuvenlikYeni TTK Guvenlik
Yeni TTK GuvenlikLostar
 
Tedarikçi Kullanımı ve Riskler
Tedarikçi Kullanımı ve RisklerTedarikçi Kullanımı ve Riskler
Tedarikçi Kullanımı ve RisklerLostar
 
Risk IT
Risk ITRisk IT
Risk ITLostar
 
29022016 labris soc_raporu
29022016 labris soc_raporu29022016 labris soc_raporu
29022016 labris soc_raporuLabris Networks
 
Cloud Based Business Continuity - Murat Lostar @ ISACA EUROCACS 2013
Cloud Based Business Continuity - Murat Lostar @ ISACA EUROCACS 2013Cloud Based Business Continuity - Murat Lostar @ ISACA EUROCACS 2013
Cloud Based Business Continuity - Murat Lostar @ ISACA EUROCACS 2013Lostar
 
Lostar Microsoft Zirve 2007 Guvenlik
Lostar Microsoft Zirve 2007 GuvenlikLostar Microsoft Zirve 2007 Guvenlik
Lostar Microsoft Zirve 2007 GuvenlikLostar
 
Bulut Bilişim Güvenliği Nasıl Ölçülür? Cloud Controls Matrix - Lostar
Bulut Bilişim Güvenliği Nasıl Ölçülür? Cloud Controls Matrix - LostarBulut Bilişim Güvenliği Nasıl Ölçülür? Cloud Controls Matrix - Lostar
Bulut Bilişim Güvenliği Nasıl Ölçülür? Cloud Controls Matrix - LostarLostar
 
Top 10 Web Application Security Risks - Murat Lostar @ ISACA EUROCACS 2013
Top 10 Web Application Security Risks - Murat Lostar @ ISACA EUROCACS 2013 Top 10 Web Application Security Risks - Murat Lostar @ ISACA EUROCACS 2013
Top 10 Web Application Security Risks - Murat Lostar @ ISACA EUROCACS 2013 Lostar
 

Empfohlen

Yeni TTK Guvenlik
Yeni TTK GuvenlikYeni TTK Guvenlik
Yeni TTK GuvenlikLostar
 
Tedarikçi Kullanımı ve Riskler
Tedarikçi Kullanımı ve RisklerTedarikçi Kullanımı ve Riskler
Tedarikçi Kullanımı ve RisklerLostar
 
Risk IT
Risk ITRisk IT
Risk ITLostar
 
29022016 labris soc_raporu
29022016 labris soc_raporu29022016 labris soc_raporu
29022016 labris soc_raporuLabris Networks
 
Cloud Based Business Continuity - Murat Lostar @ ISACA EUROCACS 2013
Cloud Based Business Continuity - Murat Lostar @ ISACA EUROCACS 2013Cloud Based Business Continuity - Murat Lostar @ ISACA EUROCACS 2013
Cloud Based Business Continuity - Murat Lostar @ ISACA EUROCACS 2013Lostar
 
Lostar Microsoft Zirve 2007 Guvenlik
Lostar Microsoft Zirve 2007 GuvenlikLostar Microsoft Zirve 2007 Guvenlik
Lostar Microsoft Zirve 2007 GuvenlikLostar
 
Bulut Bilişim Güvenliği Nasıl Ölçülür? Cloud Controls Matrix - Lostar
Bulut Bilişim Güvenliği Nasıl Ölçülür? Cloud Controls Matrix - LostarBulut Bilişim Güvenliği Nasıl Ölçülür? Cloud Controls Matrix - Lostar
Bulut Bilişim Güvenliği Nasıl Ölçülür? Cloud Controls Matrix - LostarLostar
 
Top 10 Web Application Security Risks - Murat Lostar @ ISACA EUROCACS 2013
Top 10 Web Application Security Risks - Murat Lostar @ ISACA EUROCACS 2013 Top 10 Web Application Security Risks - Murat Lostar @ ISACA EUROCACS 2013
Top 10 Web Application Security Risks - Murat Lostar @ ISACA EUROCACS 2013 Lostar
 
Best Effort Security Testing for Mobile Applications - 2015 #ISC2CONGRESS
Best Effort Security Testing for Mobile Applications - 2015 #ISC2CONGRESSBest Effort Security Testing for Mobile Applications - 2015 #ISC2CONGRESS
Best Effort Security Testing for Mobile Applications - 2015 #ISC2CONGRESSLostar
 
Medikal Bilgi Sistemlerinde Güvenlik, Mahremiyet ve Kimlik Doğrulama
Medikal Bilgi Sistemlerinde Güvenlik, Mahremiyet ve Kimlik DoğrulamaMedikal Bilgi Sistemlerinde Güvenlik, Mahremiyet ve Kimlik Doğrulama
Medikal Bilgi Sistemlerinde Güvenlik, Mahremiyet ve Kimlik DoğrulamaŞüheda Acar
 
Bilgi Güvenliğinde Sık Yapılan Hatalar
Bilgi Güvenliğinde Sık Yapılan HatalarBilgi Güvenliğinde Sık Yapılan Hatalar
Bilgi Güvenliğinde Sık Yapılan HatalarLostar
 
Herşeyin Güvenliği - Murat Lostar - 2.Bilişim Hukuku Zirvesi
Herşeyin Güvenliği - Murat Lostar - 2.Bilişim Hukuku ZirvesiHerşeyin Güvenliği - Murat Lostar - 2.Bilişim Hukuku Zirvesi
Herşeyin Güvenliği - Murat Lostar - 2.Bilişim Hukuku ZirvesiLostar
 
Bilişim Güvenliği
Bilişim GüvenliğiBilişim Güvenliği
Bilişim GüvenliğiMurat Özalp
 
BLOCKCHAIN
BLOCKCHAINBLOCKCHAIN
BLOCKCHAINLostar
 
Bilgi Güvenliği
Bilgi GüvenliğiBilgi Güvenliği
Bilgi Güvenliğisemravural
 
Dijitalleşme çağında bilgi güvenliği'nin önemli ve alınabilecek önlemler
Dijitalleşme çağında bilgi güvenliği'nin önemli ve alınabilecek önlemlerDijitalleşme çağında bilgi güvenliği'nin önemli ve alınabilecek önlemler
Dijitalleşme çağında bilgi güvenliği'nin önemli ve alınabilecek önlemlerLostar
 
Kişisel Verileri Koruma Kanunu (KVKK) - BT Uyumu
Kişisel Verileri Koruma Kanunu (KVKK) - BT UyumuKişisel Verileri Koruma Kanunu (KVKK) - BT Uyumu
Kişisel Verileri Koruma Kanunu (KVKK) - BT UyumuLostar
 
Kişisel Verilerin Korunması Kanunu
Kişisel Verilerin Korunması KanunuKişisel Verilerin Korunması Kanunu
Kişisel Verilerin Korunması KanunuMehmet Ali Köksal
 
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KocSistem_
 
Beyazsapkalihackeregitimikitap 140409071714-phpapp02
Beyazsapkalihackeregitimikitap 140409071714-phpapp02Beyazsapkalihackeregitimikitap 140409071714-phpapp02
Beyazsapkalihackeregitimikitap 140409071714-phpapp02Öncü Furkan
 
Kritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber GüvenlikKritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber GüvenlikAlper Başaran
 
Denetim - Güncel Yaklaşımlar
Denetim - Güncel YaklaşımlarDenetim - Güncel Yaklaşımlar
Denetim - Güncel YaklaşımlarSalih Islam
 
1 entegrasyon yonetimi
1 entegrasyon yonetimi1 entegrasyon yonetimi
1 entegrasyon yonetimiBeka Cotur, MSc, PMP
 
Orta ölçekli bir işletmenin verimlilik temel adımları
Orta ölçekli bir işletmenin verimlilik temel adımlarıOrta ölçekli bir işletmenin verimlilik temel adımları
Orta ölçekli bir işletmenin verimlilik temel adımlarıKenan Berkdemir
 
Süreç Madenciliği ile Süreç İyileştirme - ITSM Vaka İnceleme
Süreç Madenciliği ile Süreç İyileştirme - ITSM Vaka İncelemeSüreç Madenciliği ile Süreç İyileştirme - ITSM Vaka İnceleme
Süreç Madenciliği ile Süreç İyileştirme - ITSM Vaka İncelemeHydron Consulting Grup
 
Büyük ve Küçük Ölçekte SEO Projelerini Etkin Biçimde Yönetmek - Digitalzone'17
Büyük ve Küçük Ölçekte SEO Projelerini Etkin Biçimde Yönetmek - Digitalzone'17Büyük ve Küçük Ölçekte SEO Projelerini Etkin Biçimde Yönetmek - Digitalzone'17
Büyük ve Küçük Ölçekte SEO Projelerini Etkin Biçimde Yönetmek - Digitalzone'17Uğur Eskici
 
Süreç yönetimi
Süreç yönetimiSüreç yönetimi
Süreç yönetimiyıldıray erdoğan
 
Yeni TTK neler getiriyor - Etohum sunum 21.06
Yeni TTK neler getiriyor - Etohum sunum 21.06Yeni TTK neler getiriyor - Etohum sunum 21.06
Yeni TTK neler getiriyor - Etohum sunum 21.06Burak Büyükdemir
 
Süreç yönetimi1
Süreç yönetimi1Süreç yönetimi1
Süreç yönetimi111meryem11
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBGA Cyber Security
 

Weitere ähnliche Inhalte

Andere mochten auch

Best Effort Security Testing for Mobile Applications - 2015 #ISC2CONGRESS
Best Effort Security Testing for Mobile Applications - 2015 #ISC2CONGRESSBest Effort Security Testing for Mobile Applications - 2015 #ISC2CONGRESS
Best Effort Security Testing for Mobile Applications - 2015 #ISC2CONGRESSLostar
 
Medikal Bilgi Sistemlerinde Güvenlik, Mahremiyet ve Kimlik Doğrulama
Medikal Bilgi Sistemlerinde Güvenlik, Mahremiyet ve Kimlik DoğrulamaMedikal Bilgi Sistemlerinde Güvenlik, Mahremiyet ve Kimlik Doğrulama
Medikal Bilgi Sistemlerinde Güvenlik, Mahremiyet ve Kimlik DoğrulamaŞüheda Acar
 
Bilgi Güvenliğinde Sık Yapılan Hatalar
Bilgi Güvenliğinde Sık Yapılan HatalarBilgi Güvenliğinde Sık Yapılan Hatalar
Bilgi Güvenliğinde Sık Yapılan HatalarLostar
 
Herşeyin Güvenliği - Murat Lostar - 2.Bilişim Hukuku Zirvesi
Herşeyin Güvenliği - Murat Lostar - 2.Bilişim Hukuku ZirvesiHerşeyin Güvenliği - Murat Lostar - 2.Bilişim Hukuku Zirvesi
Herşeyin Güvenliği - Murat Lostar - 2.Bilişim Hukuku ZirvesiLostar
 
Bilişim Güvenliği
Bilişim GüvenliğiBilişim Güvenliği
Bilişim GüvenliğiMurat Özalp
 
BLOCKCHAIN
BLOCKCHAINBLOCKCHAIN
BLOCKCHAINLostar
 
Bilgi Güvenliği
Bilgi GüvenliğiBilgi Güvenliği
Bilgi Güvenliğisemravural
 
Dijitalleşme çağında bilgi güvenliği'nin önemli ve alınabilecek önlemler
Dijitalleşme çağında bilgi güvenliği'nin önemli ve alınabilecek önlemlerDijitalleşme çağında bilgi güvenliği'nin önemli ve alınabilecek önlemler
Dijitalleşme çağında bilgi güvenliği'nin önemli ve alınabilecek önlemlerLostar
 
Kişisel Verileri Koruma Kanunu (KVKK) - BT Uyumu
Kişisel Verileri Koruma Kanunu (KVKK) - BT UyumuKişisel Verileri Koruma Kanunu (KVKK) - BT Uyumu
Kişisel Verileri Koruma Kanunu (KVKK) - BT UyumuLostar
 
Kişisel Verilerin Korunması Kanunu
Kişisel Verilerin Korunması KanunuKişisel Verilerin Korunması Kanunu
Kişisel Verilerin Korunması KanunuMehmet Ali Köksal
 
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KocSistem_
 
Beyazsapkalihackeregitimikitap 140409071714-phpapp02
Beyazsapkalihackeregitimikitap 140409071714-phpapp02Beyazsapkalihackeregitimikitap 140409071714-phpapp02
Beyazsapkalihackeregitimikitap 140409071714-phpapp02Öncü Furkan
 
Kritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber GüvenlikKritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber GüvenlikAlper Başaran
 

Andere mochten auch (13)

Best Effort Security Testing for Mobile Applications - 2015 #ISC2CONGRESS
Best Effort Security Testing for Mobile Applications - 2015 #ISC2CONGRESSBest Effort Security Testing for Mobile Applications - 2015 #ISC2CONGRESS
Best Effort Security Testing for Mobile Applications - 2015 #ISC2CONGRESS
 
Medikal Bilgi Sistemlerinde Güvenlik, Mahremiyet ve Kimlik Doğrulama
Medikal Bilgi Sistemlerinde Güvenlik, Mahremiyet ve Kimlik DoğrulamaMedikal Bilgi Sistemlerinde Güvenlik, Mahremiyet ve Kimlik Doğrulama
Medikal Bilgi Sistemlerinde Güvenlik, Mahremiyet ve Kimlik Doğrulama
 
Bilgi Güvenliğinde Sık Yapılan Hatalar
Bilgi Güvenliğinde Sık Yapılan HatalarBilgi Güvenliğinde Sık Yapılan Hatalar
Bilgi Güvenliğinde Sık Yapılan Hatalar
 
Herşeyin Güvenliği - Murat Lostar - 2.Bilişim Hukuku Zirvesi
Herşeyin Güvenliği - Murat Lostar - 2.Bilişim Hukuku ZirvesiHerşeyin Güvenliği - Murat Lostar - 2.Bilişim Hukuku Zirvesi
Herşeyin Güvenliği - Murat Lostar - 2.Bilişim Hukuku Zirvesi
 
Bilişim Güvenliği
Bilişim GüvenliğiBilişim Güvenliği
Bilişim Güvenliği
 
BLOCKCHAIN
BLOCKCHAINBLOCKCHAIN
BLOCKCHAIN
 
Bilgi Güvenliği
Bilgi GüvenliğiBilgi Güvenliği
Bilgi Güvenliği
 
Dijitalleşme çağında bilgi güvenliği'nin önemli ve alınabilecek önlemler
Dijitalleşme çağında bilgi güvenliği'nin önemli ve alınabilecek önlemlerDijitalleşme çağında bilgi güvenliği'nin önemli ve alınabilecek önlemler
Dijitalleşme çağında bilgi güvenliği'nin önemli ve alınabilecek önlemler
 
Kişisel Verileri Koruma Kanunu (KVKK) - BT Uyumu
Kişisel Verileri Koruma Kanunu (KVKK) - BT UyumuKişisel Verileri Koruma Kanunu (KVKK) - BT Uyumu
Kişisel Verileri Koruma Kanunu (KVKK) - BT Uyumu
 
Kişisel Verilerin Korunması Kanunu
Kişisel Verilerin Korunması KanunuKişisel Verilerin Korunması Kanunu
Kişisel Verilerin Korunması Kanunu
 
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow
 
Beyazsapkalihackeregitimikitap 140409071714-phpapp02
Beyazsapkalihackeregitimikitap 140409071714-phpapp02Beyazsapkalihackeregitimikitap 140409071714-phpapp02
Beyazsapkalihackeregitimikitap 140409071714-phpapp02
 
Kritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber GüvenlikKritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber Güvenlik
 

Ähnlich wie Tedarikçi Güvenliği için Yol Haritası

Denetim - Güncel Yaklaşımlar
Denetim - Güncel YaklaşımlarDenetim - Güncel Yaklaşımlar
Denetim - Güncel YaklaşımlarSalih Islam
 
Orta ölçekli bir işletmenin verimlilik temel adımları
Orta ölçekli bir işletmenin verimlilik temel adımlarıOrta ölçekli bir işletmenin verimlilik temel adımları
Orta ölçekli bir işletmenin verimlilik temel adımlarıKenan Berkdemir
 
Süreç Madenciliği ile Süreç İyileştirme - ITSM Vaka İnceleme
Süreç Madenciliği ile Süreç İyileştirme - ITSM Vaka İncelemeSüreç Madenciliği ile Süreç İyileştirme - ITSM Vaka İnceleme
Süreç Madenciliği ile Süreç İyileştirme - ITSM Vaka İncelemeHydron Consulting Grup
 
Büyük ve Küçük Ölçekte SEO Projelerini Etkin Biçimde Yönetmek - Digitalzone'17
Büyük ve Küçük Ölçekte SEO Projelerini Etkin Biçimde Yönetmek - Digitalzone'17Büyük ve Küçük Ölçekte SEO Projelerini Etkin Biçimde Yönetmek - Digitalzone'17
Büyük ve Küçük Ölçekte SEO Projelerini Etkin Biçimde Yönetmek - Digitalzone'17Uğur Eskici
 
Yeni TTK neler getiriyor - Etohum sunum 21.06
Yeni TTK neler getiriyor - Etohum sunum 21.06Yeni TTK neler getiriyor - Etohum sunum 21.06
Yeni TTK neler getiriyor - Etohum sunum 21.06Burak Büyükdemir
 
Süreç yönetimi1
Süreç yönetimi1Süreç yönetimi1
Süreç yönetimi111meryem11
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBGA Cyber Security
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBGA Cyber Security
 
İç Denetim Faaliyeti Tanıtım Sunumu
İç Denetim Faaliyeti Tanıtım Sunumuİç Denetim Faaliyeti Tanıtım Sunumu
İç Denetim Faaliyeti Tanıtım SunumuBertan Kaya
 
Gartner EEE - PMO Buluşması: SoftTech Sunumudur.
Gartner EEE - PMO Buluşması: SoftTech Sunumudur. Gartner EEE - PMO Buluşması: SoftTech Sunumudur.
Gartner EEE - PMO Buluşması: SoftTech Sunumudur. halilaksu
 
NYP (OOP) Java Proje Raporu
NYP (OOP) Java Proje RaporuNYP (OOP) Java Proje Raporu
NYP (OOP) Java Proje RaporuMurat Azimli
 
Scrum takımlarında performans ölçüm yaklaşımı
Scrum takımlarında performans ölçüm yaklaşımıScrum takımlarında performans ölçüm yaklaşımı
Scrum takımlarında performans ölçüm yaklaşımıNecmettin Ozkan
 
Yönetim Muhasebesi - Bütçeleme
Yönetim Muhasebesi - BütçelemeYönetim Muhasebesi - Bütçeleme
Yönetim Muhasebesi - Bütçelemeemirerten
 
Etkili Bir Kalite Güvence Sürecinin Parçası Olarak Proje Seviyesindeki Deneti...
Etkili Bir Kalite Güvence Sürecinin Parçası Olarak Proje Seviyesindeki Deneti...Etkili Bir Kalite Güvence Sürecinin Parçası Olarak Proje Seviyesindeki Deneti...
Etkili Bir Kalite Güvence Sürecinin Parçası Olarak Proje Seviyesindeki Deneti...Dr. Mustafa Değerli
 
Dr. Mustafa DEĞERLİ - 2017 - Etkili bir kalite güvence sürecinin parçası olar...
Dr. Mustafa DEĞERLİ - 2017 - Etkili bir kalite güvence sürecinin parçası olar...Dr. Mustafa DEĞERLİ - 2017 - Etkili bir kalite güvence sürecinin parçası olar...
Dr. Mustafa DEĞERLİ - 2017 - Etkili bir kalite güvence sürecinin parçası olar...Dr. Mustafa Değerli
 

Ähnlich wie Tedarikçi Güvenliği için Yol Haritası (20)

Denetim - Güncel Yaklaşımlar
Denetim - Güncel YaklaşımlarDenetim - Güncel Yaklaşımlar
Denetim - Güncel Yaklaşımlar
 
1 entegrasyon yonetimi
1 entegrasyon yonetimi1 entegrasyon yonetimi
1 entegrasyon yonetimi
 
Orta ölçekli bir işletmenin verimlilik temel adımları
Orta ölçekli bir işletmenin verimlilik temel adımlarıOrta ölçekli bir işletmenin verimlilik temel adımları
Orta ölçekli bir işletmenin verimlilik temel adımları
 
Süreç Madenciliği ile Süreç İyileştirme - ITSM Vaka İnceleme
Süreç Madenciliği ile Süreç İyileştirme - ITSM Vaka İncelemeSüreç Madenciliği ile Süreç İyileştirme - ITSM Vaka İnceleme
Süreç Madenciliği ile Süreç İyileştirme - ITSM Vaka İnceleme
 
Büyük ve Küçük Ölçekte SEO Projelerini Etkin Biçimde Yönetmek - Digitalzone'17
Büyük ve Küçük Ölçekte SEO Projelerini Etkin Biçimde Yönetmek - Digitalzone'17Büyük ve Küçük Ölçekte SEO Projelerini Etkin Biçimde Yönetmek - Digitalzone'17
Büyük ve Küçük Ölçekte SEO Projelerini Etkin Biçimde Yönetmek - Digitalzone'17
 
Süreç yönetimi
Süreç yönetimiSüreç yönetimi
Süreç yönetimi
 
Yeni TTK neler getiriyor - Etohum sunum 21.06
Yeni TTK neler getiriyor - Etohum sunum 21.06Yeni TTK neler getiriyor - Etohum sunum 21.06
Yeni TTK neler getiriyor - Etohum sunum 21.06
 
Süreç yönetimi1
Süreç yönetimi1Süreç yönetimi1
Süreç yönetimi1
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma Testleri
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma Testleri
 
ANTARES DANIŞMANLIK
ANTARES DANIŞMANLIKANTARES DANIŞMANLIK
ANTARES DANIŞMANLIK
 
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMUBTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
 
İç Denetim Faaliyeti Tanıtım Sunumu
İç Denetim Faaliyeti Tanıtım Sunumuİç Denetim Faaliyeti Tanıtım Sunumu
İç Denetim Faaliyeti Tanıtım Sunumu
 
Gartner EEE - PMO Buluşması: SoftTech Sunumudur.
Gartner EEE - PMO Buluşması: SoftTech Sunumudur. Gartner EEE - PMO Buluşması: SoftTech Sunumudur.
Gartner EEE - PMO Buluşması: SoftTech Sunumudur.
 
NYP (OOP) Java Proje Raporu
NYP (OOP) Java Proje RaporuNYP (OOP) Java Proje Raporu
NYP (OOP) Java Proje Raporu
 
Mirsis Test Hizmeti
Mirsis Test Hizmeti Mirsis Test Hizmeti
Mirsis Test Hizmeti
 
Scrum takımlarında performans ölçüm yaklaşımı
Scrum takımlarında performans ölçüm yaklaşımıScrum takımlarında performans ölçüm yaklaşımı
Scrum takımlarında performans ölçüm yaklaşımı
 
Yönetim Muhasebesi - Bütçeleme
Yönetim Muhasebesi - BütçelemeYönetim Muhasebesi - Bütçeleme
Yönetim Muhasebesi - Bütçeleme
 
Etkili Bir Kalite Güvence Sürecinin Parçası Olarak Proje Seviyesindeki Deneti...
Etkili Bir Kalite Güvence Sürecinin Parçası Olarak Proje Seviyesindeki Deneti...Etkili Bir Kalite Güvence Sürecinin Parçası Olarak Proje Seviyesindeki Deneti...
Etkili Bir Kalite Güvence Sürecinin Parçası Olarak Proje Seviyesindeki Deneti...
 
Dr. Mustafa DEĞERLİ - 2017 - Etkili bir kalite güvence sürecinin parçası olar...
Dr. Mustafa DEĞERLİ - 2017 - Etkili bir kalite güvence sürecinin parçası olar...Dr. Mustafa DEĞERLİ - 2017 - Etkili bir kalite güvence sürecinin parçası olar...
Dr. Mustafa DEĞERLİ - 2017 - Etkili bir kalite güvence sürecinin parçası olar...
 

Mehr von Lostar

VERBİS'e kayıt nasıl yapılacak? KVKK - Lostar
VERBİS'e kayıt nasıl yapılacak? KVKK - LostarVERBİS'e kayıt nasıl yapılacak? KVKK - Lostar
VERBİS'e kayıt nasıl yapılacak? KVKK - LostarLostar
 
KVKK ve GDPR'a BT Uyumu
KVKK ve GDPR'a BT UyumuKVKK ve GDPR'a BT Uyumu
KVKK ve GDPR'a BT UyumuLostar
 
DDoS - Dağıtık Hizmet Engelleme Saldırıları
DDoS - Dağıtık Hizmet Engelleme SaldırılarıDDoS - Dağıtık Hizmet Engelleme Saldırıları
DDoS - Dağıtık Hizmet Engelleme SaldırılarıLostar
 
Bulut & Güvenlik - Güvence Nasıl Sağlanır?
Bulut & Güvenlik - Güvence Nasıl Sağlanır?Bulut & Güvenlik - Güvence Nasıl Sağlanır?
Bulut & Güvenlik - Güvence Nasıl Sağlanır?Lostar
 
Endüstri 4.0 Güvenliği
Endüstri 4.0 GüvenliğiEndüstri 4.0 Güvenliği
Endüstri 4.0 GüvenliğiLostar
 
IoT ve Güvenlik Ekim2017
IoT ve Güvenlik Ekim2017IoT ve Güvenlik Ekim2017
IoT ve Güvenlik Ekim2017Lostar
 
Endüstri 4.0 / Güvenlik 4.0
Endüstri 4.0 / Güvenlik 4.0Endüstri 4.0 / Güvenlik 4.0
Endüstri 4.0 / Güvenlik 4.0Lostar
 
Wannacry.Lostar
Wannacry.LostarWannacry.Lostar
Wannacry.LostarLostar
 

Mehr von Lostar (8)

VERBİS'e kayıt nasıl yapılacak? KVKK - Lostar
VERBİS'e kayıt nasıl yapılacak? KVKK - LostarVERBİS'e kayıt nasıl yapılacak? KVKK - Lostar
VERBİS'e kayıt nasıl yapılacak? KVKK - Lostar
 
KVKK ve GDPR'a BT Uyumu
KVKK ve GDPR'a BT UyumuKVKK ve GDPR'a BT Uyumu
KVKK ve GDPR'a BT Uyumu
 
DDoS - Dağıtık Hizmet Engelleme Saldırıları
DDoS - Dağıtık Hizmet Engelleme SaldırılarıDDoS - Dağıtık Hizmet Engelleme Saldırıları
DDoS - Dağıtık Hizmet Engelleme Saldırıları
 
Bulut & Güvenlik - Güvence Nasıl Sağlanır?
Bulut & Güvenlik - Güvence Nasıl Sağlanır?Bulut & Güvenlik - Güvence Nasıl Sağlanır?
Bulut & Güvenlik - Güvence Nasıl Sağlanır?
 
Endüstri 4.0 Güvenliği
Endüstri 4.0 GüvenliğiEndüstri 4.0 Güvenliği
Endüstri 4.0 Güvenliği
 
IoT ve Güvenlik Ekim2017
IoT ve Güvenlik Ekim2017IoT ve Güvenlik Ekim2017
IoT ve Güvenlik Ekim2017
 
Endüstri 4.0 / Güvenlik 4.0
Endüstri 4.0 / Güvenlik 4.0Endüstri 4.0 / Güvenlik 4.0
Endüstri 4.0 / Güvenlik 4.0
 
Wannacry.Lostar
Wannacry.LostarWannacry.Lostar
Wannacry.Lostar
 

Tedarikçi Güvenliği için Yol Haritası

  • 1. Tedarikçi güvenliği için bir yol haritası örneği Kurum içi ve dışı paydaşlar, sorumluluklar Okşan Doğan Türk Ekonomi Bankası A.Ş. Operasyonel Risk ve Bilgi Güvenliği 15 Mayıs 2012
  • 2. • Tedarikçi güvenliği denildiğinde herkes sorumluluğunun ne olduğunu biliyor mu ? ▫ Bu konu salt mevzuat veya salt bilgi teknolojileri güvenliği konusu değildir, ▫ Bu iş tek başına Satınalma Yönetimi’nin işi de değildir, ▫ Sözleşmeleri Hukuk onaylıyor diye Hukuk Departmanının işi de değildir. ▫ Konuya operasyonel risk yönetimi bakış açısı ile bütünsel yaklaşılmalıdır. • İşi firma yapıyor, sorumlusu da firmadır o zaman onlar uğraşsın mı deniyor ? • Tedarikçinin denetlenmesi söz konusu olduğunda akla gelen ilk adres iç kontrol veya teftiş ekipleri mi ?
  • 3. Yol haritası • İç ve dış mevzuatın taranması, gerekliliklerin ‘özümsenmesi’ ▫ BDDK ▫ Kurum içi düzenlemeler ▫ ( Varsa ) Yabancı ortağın politika ve prosedürleri ▫ İç/Dış raporlama formatları da bir noktada belirleyici olabilir • Hizmet alım sürecinin, mevzuat gereksinimleri de dikkate alınarak, güncellenmesi ▫ Uygulama talimatı ile akışın ve sorumlulukların belirlenmesi  Teknik yeterlilik, risk analizi, ortaklar ve üst yöneticilerin uyum dosyası, tedarikçi karşılaştırma raporları, fayda/maliyet analizi, sistem ve süreç güncellemeleri, iş sürekliliği planları
  • 4. Yol haritası • Sözleşme envanterinin oluşturulması ve destek hizmeti sözleşmelerinin filtrelenebilmesinin sağlanması ▫ Envantere hizmet alımlarına yönelik bir takım bilgi toplama özelliklerinin yerleştirilmesi - Alınan hizmetin tanınması  Satın alma envanteri tek yerde tutulmalı, her satın almacı ünite kendi envanterini tutar gibi bir kabulle bütünlük sağlamak zor
  • 5. Yol haritası • Risklerin önlenmesi adına satın alma sürecinde muhtelif kontrol istasyonlarının oluşturulması ▫ Satın alma talep aşaması  Basit soru setleri ile satın alma mahiyeti anlaşılmalıdır  Eğer yazılım satın alınıyor ise yazılımın türü, tedarikçinin yetki ve sorumlulukları anlaşılmaya çalışılmalıdır.  Satınalmacı ünite başta olmak üzere tüm gerekli üniteler erkenden uyarılmalı, bilgi sahibi olması sağlanmalıdır. ▫ Sözleşme aşaması  Sözleşmelerde güvenlik kontrol listesi - Sözleşmenin içeriğini hazırlayan ve gözden geçiren tarafların atlama yapmasını önler
  • 6. Yol haritası • Risklerin önlenmesi adına süreçte muhtelif kontrol istasyonlarının oluşturulması / devam ▫ Mevzuat , operasyonel risk, iç kontrol, bilgi güvenliği ve hukuk ekipleri proje boyunca muhtelif aşamalarda konuya dahil olmalıdır.  Bu alım bir destek hizmeti alımı mıdır  Yönetmeliğe tabi midir, Denetim komitesi onayı aranıyor mu  Sözleşmeye ne gibi unsurların eklenmesi gereklidir  Bilgi güvenliği kurallarının üzerinde ayrıca çalışılması gerekli midir  İlave kontrol noktalarının oluşturulması gerekiyor mu  Kurumun iş sürekliliği planları etkileniyor mu , firmanın iş sürekliliği planları yeterli mi  Mali mesuliyet sigortası lazım mı  Kurumun mevcut sigorta poliçelerinin kapsamadığı bir alan oluşuyor mu ?  Risk analiz raporunun doldurulmasına destek  Denetim komitesi öncesi son kontroller  Start up denetimi lazım mı
  • 7. Yol haritası • Risklerin üst yönetime raporlanması ▫ Risk yönetim programı ▫ Öz değerlendirme metodu 1. Risk analizi ( kapsamı ve güncelliği ) 2. Sözleşmeler 3. Prosedürler ( tamlığı ve güncelliği ) 4. Kontrol çerçevesi ( etkinliği ) 5. İş sürekliliği 6. Raporlama, SLA’e uyumluluk 7. Yürütme izleme ve etkinlik sorgulama 8. Kabul Süreci
  • 8. Yol haritası • Aksiyon planlarının yakından takibi • Düzenli kontrol ve denetimler ▫ Denetimlerin kapsamının doğru oluşturulması ▫ Uçtan uca süreç güvenliği yaklaşımı kurgusu ▫ Hizmeti alanların birinci seviye kontrolleri ile iç kontrol/teftiş ve bağımsız denetçi denetimlerinin amacı ve periyodunun karıştırılmaması ▫ Denetim bulgularının takibi • İzlemek ve tespitleri birbirleri ile ilişkilendirmek önemlidir ▫ SLA ▫ Müşteri şikayetleri ▫ Denetim bulguları ▫ Operasyonel risk kayıp olayları ▫ Uzaktan erişimlerin takibi ( sıklık ve yapılan iş seviyesinde takip bile anlamlı )
  • 9. Olmazsa Olmazlar ▫ Tedarikçi güvenliğinin önemini içtenlikle kavramak ve yapılanları sadece «mevzuatı memnun etmek» için yapmamak ▫ Tüm tarafların en yüksek seviyede iletişimi şart ▫ Mevzuat, Hukuk, Satın alma, Operasyonel Risk, Bilgi Güvenliği, İç kontrol, Teftiş, İş kolu, IT • Tüm bu sürecin koordinasyonundan ve gözetiminden sorumlu bir «gönüllü» !!!!