RDS-5 Planlama ve Programlama

İdareler, faaliyetlerini, amaç, hedef ve göstergelerini ve bunları gerçekleştirmek için ihtiyaç duydukları kaynakları içeren plan ve programlarını oluşturmalı ve duyurmalı, faaliyetlerinin plan ve programlara uygunluğunu sağlamalıdır. Bu standart için gerekli genel şartlar:

5.1. İdareler, misyon ve vizyonlarını oluşturmak, stratejik amaçlar ve ölçülebilir hedefler saptamak, performanslarını ölçmek, izlemek ve değerlendirmek amacıyla katılımcı yöntemlerle stratejik plan hazırlamalıdır.

5.2. İdareler, yürütecekleri program, faaliyet ve projeleri ile bunların kaynak ihtiyacını, performans hedef ve göstergelerini içeren performans programı hazırlamalıdır.

5.3. İdareler, bütçelerini stratejik planlarına ve performans programlarına uygun olarak hazırlamalıdır.

5.4. Yöneticiler, faaliyetlerin ilgili mevzuat, stratejik plan ve performans programıyla belirlenen amaç ve hedeflere uygunluğunu sağlamalıdır.

5.5. Yöneticiler, görev alanları çerçevesinde idarenin hedeflerine uygun özel hedefler belirlemeli ve personeline duyurmalıdır.

5.6. İdarenin ve birimlerinin hedefleri, spesifik, ölçülebilir, ulaşılabilir, ilgili ve süreli olmalıdır.

RDS-6 Risklerin Belirlenmesi ve Değerlendirilmesi

İdareler, sistemli bir şekilde analizler yaparak amaç ve hedeflerinin gerçekleşmesini engelleyebilecek iç ve dış riskleri tanımlayarak değerlendirmeli ve alınacak önlemleri belirlemelidir.

Bu standart için gerekli genel şartlar:

6.1. İdareler, her yıl sistemli bir şekilde amaç ve hedeflerine yönelik riskleri belirlemelidir.

6.2. Risklerin gerçekleşme olasılığı ve muhtemel etkileri yılda en az bir kez analiz edilmelidir.

6.3. Risklere karşı alınacak önlemler belirlenerek eylem planları oluşturulmalıdır.

Bilgi sistemleri değerleri, kurum için önemi olan, somut veya soyut bilgi sistemleri bileşenlerini içeren donanım, yazılım, veri, binalar, altyapı gibi ürünler, bilgi kaynakları, müşteri ilişkileri (personel-öğrenci) ve itibar sayılabilir. Bu değerlerin kaybı verilerin veya varlıkların kaybedilmesi veya zarar görmesi olabilir.

Tehdide açıklıklar, bilgi teknolojileri sisteminin tüm bölümlerinde, örneğin donanımda, yazılımda, kurumsal yapıda, altyapıda veya personelde olabilmektedir.

En belirgin tehdit/risk kaynakları şunlardır:

• Çevresel (sel, yıldırım, fırtına, deprem, yangın vb.)
• Kurumsal Yapılanmadaki Eksiklikler (tam tanımlanmamış sorumluluklar, denetim eksikliği vb.)
• İnsan Hataları (şifreleri kâğıt üzerine yazmak-korumamak-başkalarına vermek ve basit şifre vermek, yanlışlıkla dosya silme, ekranı açık bırakmak vb.)
•Teknik Hatalar (düzensiz güç kaynakları, donanım arızaları, kısa devre, sabit disk arızalanması, yedek alınmaması vb.)
• Planlanmış Eylemler (hackleme, e-dolandırıcılık, zararlı kod kullanımı, hırsızlık vb.)
• Fiziksel (erişim kontrolü olmaması, koruma ve güvenliğin yetersiz olması vb.)
• Mantıksal (Güvenlik duvarının güncel ve aktif olmaması, güvenlik yamaları veya anti virüs yazılımları olmaması vb.)
• Sistem ve Veri Hassaslığı (Yanlış veya eksik veri, lisanssız kullanım, gerekli hata veya uyarı mesajlarının verilmemesi, güncellemelerin yapılmaması, yedekleme yapılmaması..)

KFS-7 Kontrol Stratejileri ve Yöntemleri

İdareler, hedeflerine ulaşmayı amaçlayan ve riskleri karşılamaya uygun kontrol strateji ve yöntemlerini belirlemeli ve uygulamalıdır. Bu standart için gerekli genel şartlar:

7.1. Her bir faaliyet ve riskleri için uygun kontrol strateji ve yöntemleri (düzenli gözden geçirme, örnekleme yoluyla kontrol, karşılaştırma, onaylama, raporlama, koordinasyon, doğrulama, analiz etme, yetkilendirme, gözetim, inceleme, izleme v.b.) belirlenmeli ve uygulanmalıdır.

7.2. Kontroller, gerekli hallerde, işlem öncesi kontrol, süreç kontrolü ve işlem sonrası kontrolleri de kapsamalıdır.

7.3. Kontrol faaliyetleri, varlıkların dönemsel kontrolünü ve güvenliğinin sağlanmasını kapsamalıdır.

7.4. Belirlenen kontrol yönteminin maliyeti beklenen faydayı aşmamalıdır.

KFS-8 Prosedürlerin Belirlenmesi ve Belgelenmesi

İdareler, faaliyetleri ile mali karar ve işlemleri için gerekli yazılı prosedürleri ve bu alanlara ilişkin düzenlemeleri hazırlamalı, güncellemeli ve ilgili personelin erişimine sunmalıdır. Bu standart için gerekli genel şartlar:
8.1. İdareler, faaliyetleri ile mali karar ve işlemleri hakkında yazılı prosedürler belirlemelidir.
8.2. Prosedürler ve ilgili dokümanlar, faaliyet veya mali karar ve işlemin başlaması, uygulanması ve sonuçlandırılması aşamalarını kapsamalıdır.
8.3. Prosedürler ve ilgili dokümanlar, güncel, kapsamlı, mevzuata uygun ve ilgili personel tarafından anlaşılabilir ve ulaşılabilir olmalıdır
İnternet Kullanım Politikası
Lisanslı Yazılım Kullanım Talimatı
Bilişim Sistemleri Bakım Prosedürü
Ağ Kullanım Politikası
Ağ Cihazları Bakım Talimatı
Güvenlik Duvarı Cihazlarının Kullanımı
Kayıtların Kontrolü Prosedürü

KFS-9 Görevler Ayrılığı

Hata, eksiklik, yanlışlık, usulsüzlük ve yolsuzluk risklerini azaltmak için faaliyetler ile mali karar ve işlemlerin onaylanması, uygulanması, kaydedilmesi ve kontrol edilmesi görevleri personel arasında paylaştırılmalıdır. Bu standart için gerekli genel şartlar:

9.1. Her faaliyet veya mali karar ve işlemin onaylanması, uygulanması, kaydedilmesi ve kontrolü görevleri farklı kişilere verilmelidir.

9.2. Personel sayısının yetersizliği nedeniyle görevler ayrılığı ilkesinin tam olarak uygulanamadığı idarelerin yöneticileri risklerin farkında olmalı ve gerekli önlemleri almalıdır.

KFS-10 Hiyerarşik Kontroller

Yöneticiler, iş ve işlemlerin prosedürlere uygunluğunu sistemli bir şekilde kontrol etmelidir. Bu standart için gerekli genel şartlar:

10.1. Yöneticiler, prosedürlerin etkili ve sürekli bir şekilde uygulanması için gerekli kontrolleri yapmalıdır.

10.2. Yöneticiler, personelin iş ve işlemlerini izlemeli ve onaylamalı, hata ve usulsüzlüklerin giderilmesi için gerekli talimatları vermelidir.

İS-17 İç Kontrolün Değerlendirilmesi

İdareler iç kontrol sistemini yılda en az bir kez değerlendirmelidir. Bu standart için gerekli genel şartlar:

17.1. İç kontrol sistemi, sürekli izleme veya özel bir değerlendirme yapma veya bu iki yöntem birlikte kullanılarak değerlendirilmelidir.

17.2. İç kontrolün eksik yönleri ile uygun olmayan kontrol yöntemlerinin belirlenmesi, bildirilmesi ve gerekli önlemlerin alınması konusunda süreç ve yöntem belirlenmelidir.

17.3. İç kontrolün değerlendirilmesine idarenin birimlerinin katılımı sağlanmalıdır.

17.4. İç kontrolün değerlendirilmesinde, yöneticilerin görüşleri, kişi ve/veya idarelerin talep ve şikâyetleri ile iç ve dış denetim sonucunda düzenlenen raporlar dikkate alınmalıdır.

17.5. İç kontrolün değerlendirilmesi sonucunda alınması gereken önlemler belirlenmeli ve bir eylem planı çerçevesinde uygulanmalıdır.