| ÖZET: XXXX Yılı Sayıştay Denetim Raporu’nda büyükşehir bağlı idaresinde bilgi güvenliği yönetiminin eksikliklerinin tespit edildiği belirtilmektedir. İdareden yazılı bir bilgi güvenliği politikası bulunmadığı, bilgi sistemlerinin yönetimine ilişkin prosedürlerin yazılı olarak belirlenmediği ve bilgi işlem çalışanlarının görev, sorumluluk ve yetkinliklerinin yazılı hale getirilmediği anlaşılmıştır. Bu durum, Kamu İç Kontrol Standartları Tebliği’nin XX No’lu standardı ile Ulusal Siber Güvenlik Stratejisi’nin X’ncı ana eylem maddesi ile ISO/IEC XXXXX standardının “X. Bilgi Güvenliği Politikaları” başlıklı standardına aykırıdır. İdarenin cevabında, görev tanım formlarının hazırlanmış olduğu ancak yazılı bir bilgi güvenliği politikasının oluşturulmaması ve bilgi işlem çalışanlarının yetkinliklerinin tanımlanmaması belirtilmektedir. |
