Bilgi sistemleri denetimi sürecinde bir bilgi sistemleri denetçisinin gerçekleştirmesi gereken birden çok görevi mevcuttur.
| Görev Kapsamı | Görev Adı | Görev Detayı |
| Denetim planını hazırlamak | Denetimin kapsamını oluşturmak | Denetim ihtiyacı denetim organizasyonu tarafından belirleniyorsa denetimi planlanan sistemin risk analizini yapar. |
| Denetim ihtiyacı denetlenen veya denetleten tarafından belirleniyorsa ihtiyacı karşılayacak denetim hedeflerini belirler. | ||
| Denetim hedeflerini denetim prosedürlerine uygun şekilde dokümante eder. | ||
| Denetim hedeflerine uygun denetim kapsamını altyapı, süreç ve organizasyon bazında belirleyerek dokümante eder. | ||
| Denetim hedef ve kapsamını denetim hizmetini talep eden organizasyon yönetimine onaylatır. | ||
| Denetim bir soruşturma niteliği içermiyorsa denetim hedef ve kapsamını denetlenecek organizasyon yönetimi ile paylaşır. | ||
| Denetim prosedürlerini tanımlamak | Denetim hedefleri ve kapsamı ile genel kabul görmüş BT ve bilgi güvenliği kontrol çerçeve ve standartlarını (ör: COBIT, ISO27002) ilişkilendirir. | |
| Denetim hedeflerine uygun denetlenecek kontrol faaliyetlerini belirler. | ||
| Belirlenen kontrol faaliyetlerine uygun denetim tekniklerini içeren mülakat, doküman inceleme, teknik testler, gözlem gibi denetim prosedürlerini hazırlar. | ||
| Denetim prosedürlerini yerine getirmek için gerekli olacak yatırım veya harcama ihtiyacını belirler. | ||
| Denetim prosedürlerini yerine getirmek için belirlediği yatırım veya harcama ihtiyacını bütçelendirir. | ||
| Denetim prosedürlerinin denetim hedeflerine uygunluğunu kontrol eder. | ||
| Denetim için gerekli araç tedarigi için denetim organizasyonu yönetiminin onayını alır. | ||
| Denetim planını oluşturmak | Denetim planını denetim prosedürlerinin gerçekleştirilebilmesi için yeterli süreyi içerecek biçimde takvimlendirir. | |
| Denetim planını denetçi ve kapsam/hedef/denetim prosedürü alanı başlıklarında hazırlar. | ||
| Denetim sırasında katılımı gereken denetlenecek organizasyon birimleri ve diğer teknik denetim gereksinimleri hakkında planlama yapar. | ||
| Denetim planını denetim organizasyonu yönetimine onaylatır. | ||
| Denetim bir soruşturma niteliği içermiyorsa denetim planını denetlenecek organizasyon yönetimi ile paylaşarak görüş ve önerilerini alır. | ||
| Denetlenecek organizasyonun önerilerini denetim açısından değerlendirerek uygun bulduklarını içerecek şekilde denetim planında değişiklikler yapar. | ||
| Denetim faaliyetini gerçekleştirmek | Açılış toplantısını gerçekleştirmek | Açılış toplantısını denetlenecek organizasyon yönetimi yardımıyla tertipler. |
| Denetim hedefleri ve kapsamını denetlenecek organizasyon yönetimi ile paylaşır. | ||
| Denetim sırasında katılımı gereken denetlenecek organizasyon birimleri ve diğer teknik denetim gereksinimleri hakkında bilgilendirme yapar. | ||
| Denetim prosedürlerini uygulamak | Gerçekleştirdiği denetim prosedürlerini ilgili denetim kapsamı, hedefi, faaliyetleri, denetime katılan kişi, denetim yeri ve zamanı bilgileri ile denetim kanıt referans ve bilgilerini içerecek biçimde dokümante ederek çalışma kağıtlarını oluşturur. | |
| Denetim planında belirlenen prosedürü uygulayarak bilgi güvenliği yönetim sistemi süreçlerini denetler. | ||
| Denetim planında belirlenen prosedürü uygulayarak organizasyonel bilgi güvenliğini denetler. | ||
| Denetim planında belirlenen prosedürü uygulayarak fiziksel ve çevresel denetimi yapar. | ||
| Denetim planında belirlenen prosedürü uygulayarak ağ erişimini denetler. | ||
| Denetim planında belirlenen prosedürü uygulayarak uygulama erişimini denetler. | ||
| Denetim planında belirlenen prosedürü uygulayarak veri güvenliğini denetler. | ||
| Denetim planında belirlenen prosedürü uygulayarak ağ cihazları yapılandırmalarını denetler. | ||
| Denetim planında belirlenen prosedürü uygulayarak sistem yapılandırmalarını denetler. | ||
| Denetim planında belirlenen prosedürü uygulayarak bilgi teknolojileri ve bilgi güvenliği sürecini denetler. | ||
| Ağ sızma testlerinin yapıldığını doğrular. | ||
| Yapılan sızma testleri sonucu oluşan açıkların giderilip giderilmediğini denetler. | ||
| Denetim bir soruşturma niteliğinde ise veya kontrol faaliyetine denetimi desteklemek amacıyla ihtiyaç duyuluyorsa iç kayıtlarını güvenlik olaylarının tespiti amacıyla inceler. | ||
| Denetim bir soruşturma niteliğinde ise veya kontrol faaliyetlerinin denetimi desteklemek amacıyla ağ trafiğini güvenlik olaylarının tespiti amacıyla izleyerek kaydeder. | ||
| Denetim bir soruşturma niteliğinde ise veya kontrol faaliyetlerini desteklemek amacıyla kapsam içindeki sistem ve bilgisayarlar için adli bilişim teknikleri uygulayarak disk üzerindeki verileri inceler. | ||
| Denetim kapsamı ile ilgili bilgi teknolojileri ve bilgi güvenliği sektörel ve ulusal düzenlemelerin uygunluğunu denetler. | ||
| Belirlenen diğer denetim prosedürlerini uygulayarak denetim kapsamındaki kontrol faaliyetlerini denetler. | ||
| Gerçekleştirdiği tüm denetim işlemlerini ilgili çalışma kağıtları üzerine raporlar. | ||
| Kapanış toplantısını gerçekleştirmek | Kapanış toplantısını denetlenen organizasyon yönetimi yardımıyla tertipler. | |
| Denetim bulgularını hatalı bulgu olma ihtimaline karşı denetlenen organizasyon yönetimi ile paylaşır. | ||
| Varsa denetlenen organizasyon yönetimi tarafından, eksik denetim prosedürü uygulanması veya denetlenen organizasyon yönetiminin yanlış bilgilendirmesi nedeniyle, hatalı olarak belirlendiği iddia edilen bulgulara dair ek denetim prosedürü uygulayarak bulgu varlığını netleştirir. | ||
| Denetim belgelerini arşivlemek | Gerçekleştirdiği denetime ait denetim belgelerini denetim organizasyon kurallarına uygun biçimde saklar. | |
| Denetim belgelerini denetim organizasyon kurallarına uygun güvenliklerini sağlayarak arşivler. | ||
| Denetim raporlamasını yapmak | Denetim raporunu hazırlamak | Denetim raporunda yönetici özeti bölümünü hazırlar. |
| Denetim raporunda denetim hedef(ler)i ve kapsamını belirtir. | ||
| Denetim bulgularını raporu okuyacak hedef kitleye uygun teknik seviye ve detayda raporlar. | ||
| Her bulgu için bulguya ilişkin açıklama ve ilgili riski belirtir. | ||
| Denetçi bulguların önceliklerinin daha iyi anlaşılabilmesi için kritiklik seviyesini belirtir. | ||
| Denetçi bulguların ortadan kaldırılabilmesi için öneride bulunur. | ||
| Bulgu açıklamasında gerek duyuluyorsa çalışma kağıtlarında bulunan referanslar veya kanıtları kanıt referansları olarak verir. | ||
| Denetim raporundaki düzeltici faaliyetler için taahhüt almak | Denetim raporunu dağıtım listesine ve bilmesi gereken prensibine uygun olarak güvenli biçimde ilgili görevlilere iletir. | |
| Denetim raporunu ihtiyaç duyuluyorsa denetlenen ve/veya denetleten organizasyon yönetimine bir toplantı ile sunar. | ||
| Denetlenen ve/veya denetleten organizasyon yönetiminden her bulgu için sorumlu, düzeltici faaliyet planı ve hedeflenen tarih taahhütlerini alır. | ||
| Denetlenen ve/veya denetleten organizasyon yönetiminden aldığı her bulgu için sorumlu, düzeltici faaliyet planı ve hedeflenen tarih taahhütlerini rapora veya takip listesine not eder. | ||
| Bulgu takibini gerçekleştirmek | Bulguları izlemek | Bulgulara ilişkin denetlenen ve/veya denetleten organizasyonun verdiği taahhütler doğrultusunda takip listesi hazırlar. |
| Bulguları hazırladığı takip listesi aracılığı ile bulgu kapatma taahhüdüne göre izler. | ||
| İzlediği bulguların denetimini gerçekleştirmek | Denetlenen ve/veya denetleten organizasyondan takip listesindeki bulguların kapatılma durumu hakkında bilgi alır. | |
| Kapatıldığı belirtilen bulguların kritikliğine uygun olarak takip denetimi yapar. | ||
| Kapatıldığı belirtilen bulguların kritikliğine uygun olarak sonraki olağan denetim kapsamında kapatılıp kapatılmadığını denetler. | ||
| Takip denetim sonuçlarını denetim organizasyonu yönetimine ve denetlenen organizasyon yönetimine raporlar. |
Kaynaklar
Mesleki Yeterlilik Kurumu. (2013). Bilgi güvenlik denetmeni (Seviye 7) ulusal meslek standardı (13UMS0292-7). Resmî Gazete (Mükerrer), 28571.