2021 yılı Sayıştay Denetim Raporları |
İdarede iş sürekliliği ve yedekleme yönetimine ilişkin yazılı bir plan bulunmadığı, hangi uygulamaların/sistemlerin yedeklerinin hangi sıklıkla ve yöntemle alınacağına ilişkin bir çalışma olmadığı, alınan yedeklerin düzenli olarak test edilmediği anlaşılmıştır. Bilgi sistemlerinde karşılaşılan güvenlik risklerinin azaltılmasına ilişkin bilgi ve iletişim güvenliği tedbirlerini içeren, 06.07.2019 tarih ve 30823 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 2019/12 sayılı Cumhurbaşkanlığı Genelgesi kapsamında Dijital Dönüşüm Ofisi Başkanlığı tarafından hazırlanan Bilgi ve İletişim Güvenliği Rehberi’nin; 3.1.13.7 İş Sürekliliği Planlarının Hazırlanması tedbirine göre; “Kapsam dâhilinde yer alan hizmetler, birimler ve lokasyonlar göz önünde bulundurularak iş sürekliliği planları hazırlanmalı ve belirli aralıklarla gözden geçirilmelidir.” 3.1.13.1 Yedekleme Planı Oluşturulması tedbirine göre; “Kurum bünyesinde iş süreçlerinde kullanılan ve iş süreçlerini destekleyen tüm sistemler göz önünde bulundurularak yedekleme ihtiyacı olan sistemler tespit edilmeli ve dokümante edilmiş bir yedekleme planı üzerinden yedekleme yönetimi yapılmalıdır. Yedekleme planı en az aşağıdaki başlıkları içerecek şekilde oluşturulmalıdır: • Yedeği alınan sistemler • Yedekleme işleminin adı • Yedekleme işlemi başlangıç tarih ve saat bilgisi • Yedekleme tipi • Yedekleme periyodu • Yedekleme süreçlerinde versiyonlama” 3.1.13.2 Yedekleme Planın Periyodik Olarak Gözden Geçirilmesi tedbirine göre; “Yedekleme planı, yedekleme ihtiyaçları göz önünde bulundurularak yılda en az bir kere gözden geçirilmelidir. Bu gözden geçirme kapsamında iş birimleri ile de görüşülerek yedekleme ihtiyacı ortadan kalkan sistemler tespit edilmeli, yedekleme işleminden çıkarılmalı ve yedekleme işleminde olmayan fakat dâhil edilmesi gereken sistemler tespit edilerek yedekleme işlemine dâhil edilmelidir.” 3.1.13.4 Yedekten Geri Dönüş Testleri tedbirine göre; “Yedekleme ortamlarının çalıştığından ve geri dönülebilir olduğundan emin olmak adına; kapsamdaki sistemlerin, uygulamaların ve verinin yedekleri düzenli olarak geri dönüş testlerine tabi tutulmalı ve gerçekleştirilen geri dönüş testlerine yönelik kayıtlar oluşturulmalıdır.” Yapılan incelemelerde; İdarede iş sürekliliğine ilişkin hazırlanan bir plan bulunmadığı, yazılı bir yedekleme planı olmadığı ve iş süreçlerinde kullanılan sistemlerden yedeklenme ihtiyacı olanlara ilişkin olarak herhangi bir tespit yapılmadığı, yedeklerin düzenli olarak geri dönüş testlerine tabi tutulmadığı görülmüştür. Kamu idaresi cevabında; İdarede yedeklemeye ilişkin süreçlerin işletildiğinden bahsediyor olmakla birlikte, bu süreç, yedekleme ihtiyacı olan sistemlere ilişkin bir tespit çalışması yapılarak ve dokümante edilmiş bir yedekleme planı üzerinden yedekleme yönetimi yapılması suretiyle işlememektedir. Ayrıca, kapsam dâhilinde yer alan hizmetler, birimler ve lokasyonlar göz önünde bulundurularak iş sürekliliği planları hazırlanmamaktadır. İdarenin kritik iş süreçlerinin devamlılığını sağlamak veya kesinti durumunda yeniden çalışır hale getirmek için gerçekleştirilen iş sürekliliğini temin etmek amacıyla hizmetler, birimler ve lokasyonlar göz önünde bulundurularak iş sürekliliği planları hazırlanmalı, yedekleme ihtiyacı olan sistemler tespit edilmeli ve yedekleme yönetimi dokümante edilmeli, iş sürekliliği planlarının gereksinimlerinin karşılanacağından emin olmak üzere sistem yedekleri düzenli olarak test edilmelidir. |