Özet: BDDK tarafından hazırlanmış olan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik (“Yönetmelik”), 15.03.2020 tarihinde Resmi Gazetede yayınlanmıştır. Yönetmelik, 01.07.2020’de tarihinde yürürlüğe girecektir. Yönetmeliğin yürürlüğe girmesiyle birlikte bugüne kadar bankaların tabi olduğu Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ (İlkeler Tebliği) de yürürlükten kaldırılacaktır.

 

Söz konusu Yönetmelik, aşağıdaki başlıklarda uygulanacak süreç ve kontrolleri belirlemektedir:

  • Bilgi sistemleri ve bilgi güvenliği organizasyonu
  • Sistem ve ağ güvenliği süreçleri
  • Sistem geliştirme ve yazılım değişiklik
  • Bilgi sistemleri sürekliliği
  • Bilgi sistemleri süreçlerine ilişkin dış hizmet alımı
  • Bilgi sistemleri iç kontrol ve iç denetim fonksiyonları
  • Internet Bankacılığı
  • Mobil Bankacılık
  • Telefon Bankacılığı
  • ATM Bankacılığı

Bu Yönetmelik ile yeni ve İlkeler Tebliği ile Bankaların İç Sistemleri ve İçsel Sermaye Yeterliliği Değerlendirme Süreci Hakkında Yönetmeliğe (İç Sistemler Yönetmeliği) ek olarak getirilen hükümlerin başlıcaları aşağıda yer almaktadır: 

Bilgi Sistemleri (BS) ve Bilgi Güvenliği Organizasyonu

  • Banka bünyesinde bilgi güvenliğinin sağlanmasında nihai sorumluluk yönetim kuruluna atanmıştır. Bilgi güvenliği politikasının oluşturulması ve uygulanması faaliyetleri yönetim kurulu adına oluşturulacak olan Bilgi Güvenliği Komitesi tarafından gerçekleştirilecek olup bu komiteye belirlenen bir yönetim kurulu üyesi veya genel müdür başkanlık edecektir.
  • Banka bünyesindeki, BS organizasyonunda bağımsız olarak konumlandırılacak olan BS güvenlik fonksiyonu doğrudan yönetim kuruluna veya genel müdüre bağlı olacaktır.
  • Banka, siber olaylardan sonra bankacılık faaliyetlerini en az etkileyecek şekilde ve mümkün olan en kısa sürede BS hizmetlerini normal işleyişine döndürmek üzere siber olay yönetimi ve siber olaylara müdahale süreci oluşturacaktır.

Bilgi Sistemleri Sürekliliği

  • İç Sistemler Yönetmeliğinde de belirtildiği üzere Banka, bankacılık faaliyetlerini yürütmede kullanılan BS servislerinin sürekliliğini sağlamak üzere Yönetim Kurulu onaylı bir bilgi sistemleri süreklilik planı hazırlayacak, BS süreklilik yönetimi süreci sorumlusu atayacak ve BS Süreklilik Komitesi tesis edecektir. BS Süreklilik Komitesi, bankanın insan kaynakları, ilgili iş birimleri, BS güvenlik fonksiyonu, ilgili BS birimlerinin temsilcileri ve organizasyonda bulunması durumunda uyum ve hukuk ile ilgili birim ya da pozisyonların temsilcilerinden oluşacaktır.
  • Banka ana sistemlerinin (birincil sistemlerin) tamamen devre dışı kaldığı felaket senaryolarında dahi bankanın en geç 24 saat içerisinde faaliyetlerini yeniden sürdürebiliyor olması esastır. Planın etkinliğini ve güncelliğini temin etmek üzere yılda en az bir defa gerçek bir felaket senaryosunu sağlamaya ve yedek (ikincil) merkez üzerinden faaliyetleri sürdürmeye yönelik testler yapılacaktır.

Bilgi Sistemleri İç Kontrol ve İç Denetim Faaliyetleri

  • BS iç kontrol fonksiyonu oluşturulacak, bu alanda en az beş yıllık tecrübeye sahip bir BS iç kontrol sorumlusu atanacak ve BS iç kontrol faaliyetleri bu kişinin sorumluluğunda yürütülecektir.
  • BS iç denetim fonksiyonu oluşturulacak, bu alanda en az beş yıllık tecrübeye sahip bir BS iç denetim sorumlusu atanacak ve BS iç denetim faaliyetleri bu kişinin sorumluluğunda yürütülecektir.

Bulut Bilişim

Banka, bir dış hizmet olarak bulut bilişim hizmetlerini kullanabilecektir. Birincil (asıl) veya ikincil (yedek) sistemler için bulut hizmeti tek bir bankaya tahsis edilmiş donanım ve yazılım kaynakları üzerinden özel bulut hizmet modeliyle alınabilecektir. Donanım ve yazılım kaynaklarının fiziksel olarak paylaşıldığı ancak mantıksal olarak her bankaya özgü ayrı kaynağın atandığı topluluk bulutu hizmet modeliyle dış hizmet alınması Kurul iznine tabi olacaktır.

 

Yukarıda yer verilen açıklamalarımız, konuya ilişkin genel bilgiler içermektedir. EY ve/veya Kuzey YMM ve Bağımsız Denetim A.Ş.’ye, işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz.