Sermaye Piyasası Kurulu bilgi sistemleri yönetim ve denetimine ilişkin usul ve esasları açıkladı. Bilgi sistemlerine ilişkin düzenlemeler halka açık ortaklıklar, portföy saklayıcı kuruluşlar, emeklilik yatırım fonları dâhil olmak üzere çeşitli sermaye piyasası kuruluşları açısından uygulanacaktır. Düzenlemeler ile bilgi sistemlerinin güvenliği, denetimi ve yönetimine ilişkin kurallar belirlenmiş, yönetim kurulu tarafından onaylanacak bilgi güvenliği politikası gibi zorunluluklar getirilmiştir.
Bilgi Sistemleri Yönetimi Tebliği (VII-128.9) ve Bilgi Sistemleri Bağımsız Denetim Tebliği (III-62.2) 5 Ocak 2018 tarih 30292 sayılı Resmi Gazete’de yayımlanmış ve yayımı tarihinde yürürlüğe girmiştir.
Aşağıda yer alan kurumlar, kuruluş ve ortaklıklar Bilgi Sistemleri Yönetimi Tebliği’nde düzenlenen kurallara uymakla yükümlüdür:
- Halka açık ortaklıklar,
- Emeklilik yatırım fonları,
- Portföy saklayıcısı kuruluşlar,
- Sermaye piyasası kurumları,
- BORSA İstanbul A.Ş.,
- Borsalar, piyasa işleticileri ve teşkilatlanmış diğer pazar yerleri,
- İstanbul Takas ve Saklama Bankası A.Ş.,
- Merkezi Kayıt Kuruluşu,
- Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu
- Türkiye Sermaye Piyasaları Birliği,
- Türkiye Değerleme Uzmanları Birliği.
Bilgi Sistemleri Yönetimi Tebliği ile söz konusu kurum, kuruluş ve ortaklıklara aşağıdaki yükümlülükler getirilmiştir:
- Bilgi sistemleri stratejilerini iş hedefleriyle uyumlu hale getirerek sistemin etkinliğini ve sürekliliğini sağlamak,
- Bilgi sistemlerinin güvenliğini sağlamak,
- Sızma testinin yanı sıra, yılda en az bir kez risk analizi gerçekleştirmek,
- Bilgi sistemleri aracılığıyla edindiği veya sakladığı müşteri bilgilerinin gizliliğini sağlamaya yönelik kontrolleri tesis etmesi,
- Faaliyetlerini destekleyen bilgi sistemlerinin sürekliliğini sağlamak üzere bilgi sistemleri süreklilik planını hazırlaması ve bu çerçevede ikincil sistemlerini tesis etmesi, birincil ve ikincil sistemlerini yurt içinde bulundurması.
Ek olarak, Bilgi Sistemleri Yönetimi Tebliği uyarınca, kurum, kuruluş ve ortaklıkların yönetim kurulu tarafından onaylanacak bir bilgi güvenliği politikası olması zorunludur. Bilgi güvenliği politikasının uygulanması üst yönetimin sorumluluğundadır. Söz konusu Tebliğ ile Üst Yönetim’in görevleri aşağıdaki gibi belirlenmiştir:
- Yeni bilgi sistemlerinin uygulanabilirliğine ilişkin kritik projelerin değerlendirilmesi ve sürece ilişkin gerekli kaynakların tahsis edilmesi,
- Bilgi güvenliği politikalarının her yıl incelenerek onaylanması,
- Bilgi güvenliği ihlallerinin incelenerek yıllık değerlendirme yapılması,
- Bilgi sistemlerine ilişkin risklerin tespiti, risklerin azaltılmasına yönelik risk yönetimi faaliyetlerinin gerçekleştirilmesi,
- Dış kaynak yoluyla alınacak hizmetlere yönelik gözetim mekanizması oluşturulması.
Bilgi Sistemleri Bağımsız Denetim Tebliği ile, bilgi sistemlerinin bağımsız bir denetçi tarafından düzenli olarak denetlenmesi zorunlu tutulmuştur. Kapsam dahilindeki kurum, kuruluş ve ortaklıklar için farklı periyodlarda denetim yükümlülüğü getirilmiştir:
Bilgi Sistemleri Bağımsız Denetim Tebliği’ne tabi diğer kurum ve kuruluşlar için ise bilgi sistemleri yönetim ilkelerine uyum öngörülmekle birlikte, bilgi sistemlerine ilişkin periyodik bağımsız denetim yaptırma zorunluluğu getirilmemiştir.
5 Ocak 2018 tarih 30292 sayılı Resmi Gazete’de yayımlanan ve yayımı tarihinde yürürlüğe giren ilgili Tebliğlerin tam metnine: