3. Denetim için Gereksinimler
• İş kolunun firmayı tanıması,
• Firma ile kurum arasındaki bilgi akışı
• Firma ile ne tür bilgiler paylaşılıyor?
• İş etki analizi
15 Mayıs 2012, Tedarikçi Denetimleri Semineri
4. İş Kolu / Süreç Kaynaklı Sıkıntılar
• İş kolunun firmayı iyi tanımaması,
• Tedarikçi firmanın kuruma verdiği hizmetin iş
gereksinimlerinin iş kolları tarafından
anlaşılmaması
• Kurumun İş kolları ile BT, Bilgi Güvenliği
departmanları arasında iletişim yetersizliği,
firmanın sağladığı BT fonksiyonlarının doğru
aktarılamaması
15 Mayıs 2012, Tedarikçi Denetimleri Semineri
5. Tedarikçiden Kaynaklanan Bulgular
• Tedarikçinin tedarikçisi ile sözleşmelerin ve
denetimlerin yetersizliği
• Freelance / serbest çalışan personelle gizlilik
anlaşmaları yapılmaması
• Güvenlik politikasının olmaması
• Paylaşılan bilginin güvenli olmayan sunucularda,
ortamlarda işlenmesi /saklanması
15 Mayıs 2012, Tedarikçi Denetimleri Semineri
6. Tedarikçiden Kaynaklanan Bulgular
• Sunucu odaları, bina fiziksel güvenliği
yetersizliği, genel kabul görmüş güvenlik
kriterlerine uyulmaması
• Kurum ile tedarikçi firma arasındaki bilgi
aktarımının güvenli ortamdan yapılmaması
• Bilgilerin anlaşılan method dışında bir yöntemle
aktarılıyor olması
15 Mayıs 2012, Tedarikçi Denetimleri Semineri
7. Tedarikçiden Kaynaklanan Bulgular
• Verilerin iş için gerekli yasal saklama süresi
boyunca saklanmaması
• Sızma penetrasyon testleri yaptırılmayışı
• Kalite belgelerinin süresinin bitmiş olması…
Aug 2011, Issue 3
İş kollarının hizmet, proje desteği aldığı yüzlerce firma var. Kuruluşları ile çalıştıkları firmalar arasında akan bilgilerin açığa çıkması, yetkisiz kişilerce ele geçirilmesi sonucu işlerine etkilerinin ne olacağının ve etki seviyesinin farkında olmaları gerekiyor. Firma ile ne tür bilgiler paylaşılıyor? tüketici/müşteri/çalışan bilgileri, kredi, çek, mevduat hesap no, hesap hareket detayları, kredi bilgileri, vs.Kuruma özel bilgiler (Stratejik bilgiler, iş karar modelleri, market pozisyonları)Kredi Kartı bilgileriBilgilerin açığa çıkması ile oluşacak iş zararı ne kadar olur? Firma ile paylaşılan bilgiler yetkisiz kişiler tarafından görülürse mal veya fonlarda dolandırıcılığa neden olur mu? Yasal yaptırımla sonuçlanır mı?Yönetim kararları etkilenir mi, genel imaj ve itibar zedelenir mi?
İş kollarının hizmet, proje desteği aldığı yüzlerce firma var. Kuruluşları ile çalıştıkları firmalar arasında akan bilgilerin açığa çıkması, yetkisiz kişilerce ele geçirilmesi sonucu işlerine etkileri iş kolları tarafından biliniyor olmalı. Firma ile yapılan sözleşmeler, firmanın o hizmeti sağlamak için başka bir taşeron firma ile işbirliği yapıp yapmadığı bilinmeli.
Tedarikçi firmanın anlaşmalı kuruma hizmet sağlayabilmek için başka bir firmadan dış kaynak hizmeti alması (tedarikçinin tedarikçisi) ancak sözleşme yapmamasıFirmanın hizmeti sağlamak için serbest çalışan kişilerle anlaşması ancak müşteri bilgilerinin gizliliği için bir gizlilik anlaşması yapmaması
Tedarikçi firmanın anlaşmalı kuruma hizmet sağlayabilmek için başka bir firmadan dış kaynak hizmeti alması (tedarikçinin tedarikçisi) ancak sözleşme yapmamasıFirmanın hizmeti sağlamak için serbest çalışan kişilerle anlaşması ancak müşteri bilgilerinin gizliliği için bir gizlilik anlaşması yapmaması