SPK Bilgi Sistemleri Mevzuatı Bağımsız Denetim, Sızma Testi ve Yönetim Beyanı
Sermaye Piyasası Kurulu’nun yayımladığı Bilgi Sistemleri Yönetimi Tebliği ile Bilgi Sistemleri Bağımsız Denetim Tebliği, Türkiye’de sermaye piyasası kurumlarının bilgi sistemleri yönetimi, güvenliği ve bağımsız denetim süreçlerine ilişkin çerçeveyi belirler. Bu rehber; kapsam, denetim sözleşmesi, SPK bilgi sistemleri denetimi, SPK sızma testi yükümlülüğü, yönetim beyanı ve denetim periyotlarını kurumsal, sade ve uygulanabilir bir dille özetler.
SPK Bilgi Sistemleri Bağımsız Denetim Lisansı’na sahip ekipler, bilgi sistemleri denetimi, SPK uyumlu sızma testi (pentest) ve yönetim beyanı süreçlerini mevzuata uygun şekilde tasarlayıp yürüterek, kurumların İstanbul ve Türkiye genelinde regülasyonlara uyumunu destekler.
1.Neden SPK Bilgi Sistemleri Mevzuatı Kritik?
Sermaye piyasası kurumları; yüksek hacimli işlem sistemleri, çok sayıda yatırımcı verisi ve kesintisiz hizmet beklentisiyle çalışan, Türkiye’nin en kritik finansal altyapı bileşenlerindendir. Bu nedenle SPK Bilgi Sistemleri Yönetimi Tebliği ile Bilgi Sistemleri Bağımsız Denetim Tebliği, yalnızca BT departmanını değil, yönetim kurulundan iç denetime kadar uzanan kapsamlı bir yükümlülük seti getirir.
Rehber, resmi metinlerin yerine geçmez; ancak SPK bilgi sistemleri mevzuatına uyum sürecinde sık sorulan “Kim kapsamdadır, ne sıklıkla denetim yapılmalı, sızma testi nasıl konumlanmalı, yönetim beyanı nasıl hazırlanır?” sorularına pratik ve kurumsal cevaplar sunar.
Önemli Not: Uygulamada; SPK düzenlemeleri, KVKK ve BDDK/BTS gibi diğer düzenleyici otoritelerin gereklilikleriyle birlikte ele alınmalı; mümkün olduğunca entegre bilgi güvenliği uyum programı kurgulanmalıdır.
2. Mevzuatın Kapsamı: Hangi Kurumlar, Hangi Yükümlülükler?
SPK Bilgi Sistemleri Yönetimi ve Bağımsız Denetim tebliğleri, Türkiye’de sermaye piyasasında faaliyet gösteren pek çok kurum için bilgi sistemleri yönetişimi, risk yönetimi, iç kontrol ve bağımsız denetim çerçevesi çizer.
2.1 Yönetim İlkeleri
- Bilgi Sistemleri Yönetişimi: Yönetim kurulu seviyesinde sahiplik; bilgi sistemleri stratejisinin, iş stratejisiyle uyumlu ve risk temelli yönetimi.
- Risk Yönetimi ve İç Kontrol: Bilgi sistemleri risklerinin tanımlanması, ölçülmesi, izlenmesi ve raporlanması için yapılandırılmış bir çerçeve.
- Operasyonel Süreklilik: İş sürekliliği ve felaket kurtarma planlarının hazırlanması, test edilmesi ve dokümante edilmesi.
- Erişim Yönetimi & Veri Güvenliği: Yetki matrisi, rol bazlı erişim kontrolleri, loglama, veri sınıflandırma ve şifreleme politikaları.
- Kayıt Yönetimi: İşlem kayıtlarının, logların ve kanıtların mevzuatla uyumlu süre ve bütünlükte saklanması.
2.2 Denetim İlkeleri
- Bağımsızlık: Denetimin, SPK tarafından yetkilendirilmiş bağımsız denetim kuruluşları veya lisanslı ekiplerce yürütülmesi.
- Planlı Denetim: Yıllık veya çok yıllı planlara göre risk odaklı denetim programı hazırlanması.
- Kapsamlı Kanıt Yönetimi: Denetim bulgularının, loglar, konfigürasyon çıktıları, sözleşme ve politika dokümanlarıyla desteklenmesi.
- İyileştirme Odaklı Raporlama: Tespit edilen eksiklikler için aksiyon planı, termin ve sorumlu birimlerin tanımlanması.
- Sızma Testi ve Yönetim Beyanı Entegrasyonu: Bilgi sistemleri denetim raporunun; sızma testi sonuçları ve yönetim beyanı ile bütüncül değerlendirilmesi.
3. Bilgi Sistemleri Bağımsız Denetim Sözleşmesi & Takvim
SPK tebliğine göre, bilgi sistemleri bağımsız denetimi için yapılacak sözleşmenin denetim döneminin ilk 4 ayı içerisinde imzalanması esastır. İlgili süre içinde sözleşme imzalanmaması veya imzalanamaması halinde durumun ilk iş gününde Kurul’a bildirilmesi gerekir.
3.1 Zorunlu Bildirimler
- Sözleşme İmzalanması: Bilgi sistemleri bağımsız denetim sözleşmesi, imza tarihinden itibaren 6 iş günü içinde SPK’ya elektronik ortamda bildirilmelidir.
- İmzalanamaması: Kurum; sözleşmenin imzalanamamasına ilişkin gerekçeleri ile birlikte SPK’ya resmi bildirimde bulunmakla yükümlüdür.
3.2 Sözleşmede Önerilen Asgari Unsurlar
- Denetim kapsamı (sistemler, lokasyonlar, süreçler, üçüncü taraflar),
- Kullanılacak denetim metodolojisi ve referans çerçeveler (COBIT, ISO 27001 vb.),
- Sızma testi (pentest) kapsamı, yöntemi, frekansı ve raporlama modeli,
- Örneklem yaklaşımı, kanıt toplama teknikleri ve dokümantasyon standardı,
- Yönetim beyanının nasıl, ne zaman ve hangi formatta doğrulanacağı,
- Raporlama takvimi, ara raporlar ve kapanış toplantıları,
- Çıkar çatışmasını önleyici hükümler ve bağımsızlık beyanları.
Kurumların; özellikle İstanbul başta olmak üzere Türkiye genelinde farklı lokasyonlara yayılmış veri merkezleri ve şubeleri varsa, denetim takvimi bu dağılımı dikkate alacak şekilde gerçekçi planlanmalıdır.
4. Denetim Dönemi & Raporlama
SPK bilgi sistemleri bağımsız denetimi, kural olarak bir takvim yılını kapsar. Çoğu kurum için 1 Ocak – 31 Aralık dönemi esas alınır ve denetim raporu bu dönemdeki kontrolleri baz alır.
4.1 Denetim Raporunun Ana Bileşenleri
- Genel Bilgiler: Kurumun unvanı, kapsam, denetim dönemi, referans alınan tebliğler ve standartlar.
- Metodoloji: Kullanılan denetim yaklaşımları, örneklem metodu, saha çalışması tarihleri, kullanılan araçlar.
- Kontrol Hedefleri Bazında Bulgular: Bilgi güvenliği, iş sürekliliği, erişim yönetimi, değişiklik yönetimi, veri bütünlüğü vb. başlıklar için ayrı ayrı bulgular.
- Risk & Etki Analizi: Her bir bulgu için olasılık, etki ve önerilen risk seviyesi (yüksek/orta/düşük).
- Düzeltici & Önleyici Faaliyetler: Kök neden analizi, sorumlu birim ve hedef kapanış tarihi içeren aksiyon planı.
- Sonuç ve Görüş: Genel kontrol ortamına ilişkin profesyonel kanaat; kritik açıkların iş sürekliliği, veri güvenliği ve uyum üzerindeki etkisi.
4.2 Sızma Testi Raporundan Ayrışma
Tebliğ uyarınca, sızma testi raporu bilgi sistemleri denetim raporundan ayrı ve bağımsız bir doküman olarak hazırlanır. Bilgi sistemleri denetim raporunda; sızma testi sonuçlarına atıf yapılabilir ancak teknik detaylar, ayrı pentest raporunda yer alır.
5. Sızma Testi (Pentest): SPK Perspektifinden Beklentiler
SPK Bilgi Sistemleri Yönetimi ve Bağımsız Denetim tebliğleri; bilgi sistemleri güvenliğinin test edilmesi için sızma testlerini (penetrasyon testleri) zorunlu bir kontrol mekanizması olarak konumlandırır.
5.1 Yükümlülük ve Yetkinlik
- Sızma testleri; ulusal/uluslararası sertifikalara sahip (OSCP, OSCE, CEH, GPEN vb.) yetkin kişi veya kuruluşlar tarafından gerçekleştirilmelidir.
- Çalışmalar, “Bilgi Sistemleri Sızma Testleri Usul ve Esasları” ile uyumlu olmalı; test öncesi onay, kapsam, zamanlama ve kesinti yönetimi planlanmalıdır.
- İçerik; dış ağ, iç ağ, web uygulamaları, mobil uygulamalar, kablosuz ağlar ve kritik altyapı bileşenlerini kapsayacak şekilde risk temelli belirlenmelidir.
5.2 Raporlama Beklentileri
- Kapsam, kullanılan araçlar ve metodoloji (OWASP, PTES vb.),
- Tespit edilen zafiyetlerin teknik detayı ve istismar senaryoları,
- Her bulgu için risk skoru, iş etkisi ve olası senaryolar,
- Kök neden analizi ve önceliklendirilmiş iyileştirme önerileri,
- Kritik bulgular için yeniden test (re-test) ve kapanış doğrulaması.
Sızma testleri, yalnızca “check-list” değil; gerçek saldırgan bakış açısıyla yürütülen senaryo bazlı çalışmalar olmalıdır. Özellikle İstanbul gibi finans merkezlerinde faaliyet gösteren kurumlar için bu testler, kurumsal siber dayanıklılık programının temel bileşenidir.
6. Yönetim Beyanı: Kurumsal Güvence Mekanizması
SPK mevzuatına göre, ilgili kurumun yönetimi; bilgi sistemlerine ilişkin iç kontroller hakkında güvence veren ve yönetim kurulu onaylı bir yönetim beyanı hazırlamakla yükümlüdür. Bu beyan, bağımsız denetim kapsamında denetçiye sunulur ve denetçi tarafından değerlendirilir.
6.1 Yönetim Beyanının Tipik İçeriği
- Kontrol Ortamı: Bilgi sistemleri yönetişim yapısı, sorumluluklar, komiteler, politika ve prosedürler.
- Risk Yönetimi: Bilgi sistemleri risk envanteri, risk iştahı, risk azaltma stratejileri.
- İş Sürekliliği: Felaket kurtarma merkezleri, yedeklilik yapıları, test sonuçları ve iyileştirme planları.
- Erişim Yönetimi: Parola politikaları, MFA kullanımı, yetki gözden geçirmeleri, ayrım prensipleri.
- Veri Güvenliği & Gizlilik: Veri sınıflandırma, şifreleme, KVKK ve kişisel veri süreçleriyle entegrasyon.
- Uyum ve Politika Yönetimi: SPK, KVKK, uluslararası standartlar ve iç politika uyumu.
Yönetim beyanı, yalnızca hukuki bir formalite değil; yönetim kurulunun bilgi sistemleri risklerini sahiplenmesini ve kurumsal hesap verebilirliği ortaya koyan kritik bir dokümandır.
7. Denetim Periyotları ve Başlangıç Tarihleri
SPK tebliği, farklı kurum grupları için farklı denetim periyotları öngörür. Aşağıdaki özet tablo, kurumların kendi konumlarını hızlıca değerlendirebilmeleri için hazırlanmıştır:
| Kurum, Kuruluş ve Ortaklıklar | Denetim Periyodu | Denetim Başlangıç Tarihi |
|---|---|---|
| Borsa İstanbul A.Ş., Takasbank, MKK, borsalar/piyasa işleticileri, teşkilatlanmış diğer pazar yerleri, merkezi takas ve saklama kuruluşları, veri depolama kuruluşları | Her yıl | 2018 |
| Kısmî & geniş yetkili aracı kurumlar, asgari özsermayesi 5 milyon TL’nin üzerinde olan portföy yönetim şirketleri | 2 yılda bir | 2019 |
| Asgari özsermayesi 5 milyon TL ve altında olan portföy yönetim şirketleri, SPL A.Ş. | 3 yılda bir | 2020 |
| Dar yetkili aracı kurumlar, varlık kiralama ve ipotek finansmanı kuruluşları, TSPB, TDUB, bağımsız denetim/derecelendirme/değerleme kuruluşları, halka açık ortaklıklar, fonlar | Periyodik denetim zorunluluğu yok | — |
Kurumların; kendi kategori ve yükümlülüklerini teyit etmek için güncel SPK düzenlemeleri, ilke kararları ve duyurularını düzenli olarak takip etmesi gerekmektedir.
8. SPK Bilgi Sistemleri Mevzuatına Uyum Yol Haritası
SPK bilgi sistemleri mevzuatı, tek seferlik bir “proje” değil; sürekli iyileştirme gerektiren bir yönetim çerçevesi sunar. Kurumlar için pratik bir yol haritası aşağıdaki başlıklarda özetlenebilir:
8.1 Mevcut Durum Analizi
- SPK tebliğleri, KVKK ve diğer düzenlemeler bazında uyum boşluk analizi (gap analysis),
- Bilgi sistemleri envanteri, kritik süreçler ve üçüncü taraf bağımlılıklarının çıkarılması,
- İş etki analizi (BIA) ve risk matrisi oluşturulması.
8.2 Kurumsal Çerçeve ve Dokümantasyon
- Bilgi güvenliği politikaları, prosedürler ve talimatların güncellenmesi,
- İş sürekliliği ve felaket kurtarma dokümanlarının SPK beklentileriyle uyumlu hale getirilmesi,
- Bilgi sistemleri organizasyon şemasının görev ve sorumluluklarla netleştirilmesi.
8.3 Teknik Sertleştirme ve Kontroller
- Ağ segmentasyonu, erişim yönetimi, log yönetimi ve yedekleme kontrollerinin güçlendirilmesi,
- Güvenlik duvarı, IDS/IPS, WAF, DLP ve benzeri güvenlik katmanlarının gözden geçirilmesi,
- Yıllık SPK uyumlu sızma testi ve periyodik zafiyet taramalarının programa bağlanması.
8.4 Denetim, Sızma Testi ve Yönetim Beyanı Entegrasyonu
- Bağımsız denetim sözleşmesi, kapsam ve takvimin netleştirilmesi,
- Sızma testi raporlarının, yönetim beyanı ve iç denetim bulgularıyla birlikte değerlendirilmesi,
- Üst yönetime düzenli SPK bilgi sistemleri uyum raporları sunulması.
Sık Sorulan Sorular: SPK Bilgi Sistemleri Mevzuatı ve Denetim
SPK Bilgi Sistemleri Yönetimi Tebliği kimleri kapsar?
Tebliğ; Borsa İstanbul, Takasbank, MKK, aracı kurumlar, portföy yönetim şirketleri ve belirli sermaye piyasası kuruluşları da dâhil olmak üzere geniş bir kurum yelpazesini kapsar. Kurumun türü ve yetki seviyesi, denetim periyodu ve yükümlülüklerin detayını belirler.
Bilgi sistemleri bağımsız denetimi ile sızma testi aynı şey midir?
Hayır. Bilgi sistemleri bağımsız denetimi yönetim, süreç, kontrol ve uyum boyutlarını kapsayan geniş bir çerçevedir. Sızma testi (pentest) ise bu çerçevenin teknik güvenlik testlerine odaklanan alt bileşenidir ve ayrı bir raporla dokümante edilir.
SPK sızma testleri ne sıklıkla yapılmalıdır?
Tebliğe göre, sızma testleri asgari olarak yılda bir gerçekleştirilmelidir. Ancak önemli mimari değişiklikler, yeni uygulama devreye alımları veya ciddi güvenlik olayları sonrası ilave testler yapılması iyi uygulama olarak kabul edilir.
Yönetim beyanı pratikte nasıl hazırlanır?
Yönetim beyanı; iç denetim, bilgi teknolojileri, bilgi güvenliği ve risk yönetimi birimlerinden gelen geri bildirimlerle hazırlanır, yönetim kurulunda görüşülür ve onaylanır. Denetçi, bu beyanı denetim bulguları ile karşılaştırarak tutarlılığını değerlendirir.
SPK bilgi sistemleri denetimi KVKK ile nasıl ilişkilidir?
SPK düzenlemeleri, bilgi sistemleri güvenliği ve sürekliliğine odaklanırken, KVKK kişisel veri özelinde yükümlülükler getirir. Sermaye piyasası kurumları için pratikte iki alan iç içedir; log yönetimi, veri maskeleme, erişim yönetimi ve iş sürekliliği gibi başlıklar her iki düzenleme açısından da kritik önemdedir.
Türkiye’de SPK bilgi sistemleri denetimi için lisans zorunlu mu?
Evet. Bilgi sistemleri bağımsız denetimleri, SPK tarafından yetkilendirilmiş ve ilgili lisansa sahip kuruluşlarca yürütülmelidir. Kurumlar, sözleşme öncesinde ilgili denetim firmasının veya ekibin SPK lisans durumunu mutlaka teyit etmelidir.
9.SPK Bilgi Sistemleri Mevzuatı Bir Uyum Kutucuğu Değil, Yönetim Gündemidir
SPK Bilgi Sistemleri mevzuatına uyum; yalnızca teknik bir gereklilik değil, aynı zamanda kurumsal güven, şeffaflık ve operasyonel süreklilik açısından stratejik bir zorunluluktur. Bilgi sistemleri denetimi, sızma testleri ve yönetim beyanı süreçlerinin planlı, kanıta dayalı ve bütüncül yürütülmesi; Türkiye sermaye piyasasının dayanıklılığı için kritik önemdedir.
Yönetim kurulları, iç denetim ve BT ekipleri aynı masada buluşarak:
- SPK mevzuatına uyum durumunu şeffaf şekilde görmeli,
- Denetim ve sızma testi bulgularını aksiyon planına dönüştürmeli,
- Uyumun ötesinde, siber dayanıklılığı kurumsal hedef haline getirmelidir.
Böylece SPK bilgi sistemleri denetimi, yılda bir yapılan “zorunlu görev” olmaktan çıkıp; kurumun dijital dönüşüm ve güvenlik stratejisinin ayrılmaz parçası haline gelir.
İlgili hizmet: penetrasyon testi hizmetimiz hakkında detaylı bilgi almak için sayfamızı inceleyebilirsiniz.
