Bunlardan bazıları;
- BS Strateji planının yıllık yönetim kurulu tarafından onaylanması
- Görev tanımları ve çalışma esasları yazılı hale getirilmiş yönetim kurulu tarafından onaylı BS strateji komitesi ve BS Yönlendirme (steering) komitesi
- BS strateji planına uygun planlanmış yatırımların gerçekleştirilmesi,
- Bankanın iş hedefleri ile BS hedeflerinin uyumluluğunun gözetilmesi,
- Yönetim kuruluna bu konuda düzenli raporlar yapılması,
- BS strateji planını gerekli durumlarda revize etmek ve revize edilmiş halini yönetim kuruluna sunulması,
- BS yönlendirme komitesinin faaliyetlerinin gözetilmesi,
- BS strateji komitesi içerisinde en az bir YK üyesinin olması gerekmektedir. BS'den sorumlu en üst düzey yöneticiye ek olarak iş birimlerinde
- görevli üst düzey yöneticilerin de komitede yer alması. Yılda en az iki defa toplanır ve en az bir defa yönetim kuruluna raporlama yapar.
- BS strateji komitesi ve üst düzey yönetime yardımcı olmak maksadıyla bir BS Yönlendirme Komitesi kurulur. BS yatırımlarının ve projelerinin önceliklendirilmesi,
- devam eden BS projelerinin takibini gerçekleştirmek, BS mimarisinin ve BS projelerinin mevzuata uygun yürütülmesi ve işletilmesini sağlamak.
- BS Yönlendirme komitesinde BS, İK, hukuk, uyum ve bankanın iş temsilcilerinin bulunması esastır.Yılda en az iki defa toplanır, en az bir kere YK'ya raporlar.
- BS ile ilgili bütün birimlerin görev ve sorumlulukları ile BS birimlerinde görevli BS personelinin görev tanımları açık ve net bir şekilde yazılı hale getirilmelidir.
- YK ya da YK'nın yetki devir ettiği üst düzey yöneticiler tarafından onaylanır ve güncellikleri sağlanır.
Bütün bunlara ek olarak yönetmelik kapsamında özetle aşağıdaki bazı hükümler ele alınmaktadır.
- Teftiş Kurullarında BS faaliyetlerini denetlemekten sorumlu olan yapı direkt iç denetimin başındaki yöneticiye bağlanmakta, yetkinlik ve yeterlilik anlamında bahsedilen ekibin başında olacak personele yönelik tanımlar yapılmaktadır.
- Aynı tanımlar İç Kontrol Başkanlığında BS'ye yönelik İç Kontrol faaliyetlerini gerçekleştirecek bir yapı için de yapılmakta.
- Her iki ekibin başında yer alacak personel için de ilgili sertifikalara sahip olmak, minimum 7 yıl BS yönetişim, siber güvenlik gibi alanlarda tecrübe sahibi olmak gibi kıstaslar getirilmiş durumda.
- Bilgi güvenliği organizasyonu, roller ve sorumluluklara yönelik tanımlar mevcut; özellikle güvenlik ürünlerinin yönetiminden sorumlu ekibin Bilgi Güvenliği Sorumlusuna bağlı olması ve Bilgi Güvenliği Sorumlusunun da ilgili GMY'ye bağlı olması gerektiği belirtiliyor. Diğer bir deyişle bağımsızlığı güçlendirmek adına güvenlik fonksiyonu diğer bt operasyon ekiplerinden ayrı bir şekilde konuşlandırılıyor.
- Denetim komitesinde BS denetim ve iç kontrol faaliyetleriyle ilgili tecrübesi olan bir üye olması gerekliliği ise bir diğer önemli husus.
- Varlık envanterinin oluşturulması ve veri sınıflandırma çalışmasının yapılması
- Kişisel verilerin korunması kanununa uyuma yönelik maddeler de mevcut. KVKK yönetmeliğin içerisinde kendisini çok açık hissettiriyor.
- Bulut Bilişim kullanıma belirli kıstaslarla izin verildiği görülüyor.
Bu ve benzeri yenilikleri BDDK tarafından yayınlanan taslak yönetmelikte bulabilirsiniz.
Gelecek vadede yönetmelikle ilgili daha detaylı notlarımı diğer yazılarda ele almayı planlıyorum.
