ISO 27001 A.5.3 Görevlerin Ayrılması
Temel Amacı
-
Tek bir kişinin hem bir işlemi gerçekleştirmesini hem de aynı işlemi kontrol etmesini engellemek.
-
Dolandırıcılık, hata ve suistimal risklerini azaltmak.
Belgeleme Şekilleri
-
Küçük/orta ölçekli firmalar: Mevcut prosedürlerde ayrı sorumluluklar belirleyerek.
-
Büyük firmalar: Ayrı bir Görevlerin Ayrılması Politikası oluşturarak.
-
Resmi belge zorunlu değil; ancak şiddetle önerilir.
Uygulama Alanları
-
Erişim yetkilendirme ve onay süreçleri
-
Finansal işlem ve ödeme onay süreçleri
-
Sistem yedekleme ve geri yükleme işlemleri
-
Bilgi varlıklarının sınıflandırılması ve erişim yetkilendirmesi
Örnek Görev Ayrımı Matrisi
| Süreç / Aktivite | İşlemi Yapan | Onaylayan | Kontrol Eden |
|---|---|---|---|
| Yeni kullanıcı hesabı oluşturma | Sistem Yöneticisi | Bilgi Güvenliği Yöneticisi | İç Denetim |
| Ödeme emri oluşturma | Muhasebe Personeli | Finans Müdürü | İç Denetim |
| Yedekleme gerçekleştirme | Sistem Yöneticisi | Bilgi Teknolojileri Müdürü | İç Denetim |
| Erişim yetkisi talebi ve düzenlemesi | Birim Yöneticisi | Bilgi Güvenliği Yöneticisi | İç Denetim |
| Değişiklik (Change) talebi onayı | Proje Yöneticisi | BT Yöneticisi | Bilgi Güvenliği Yöneticisi |
| Güvenlik ihlali bildirme | Tüm Çalışanlar | – | Bilgi Güvenliği Yöneticisi |
Açıklamalar:
-
İşlemi Yapan: İşi fiziksel olarak gerçekleştiren kişi/rol.
-
Onaylayan: İşlemin uygunluğunu kontrol eden ve onaylayan kişi/rol.
-
Kontrol Eden: Tüm süreci bağımsız olarak denetleyen kişi/rol.
Denetim Kanıtı İçin Ne Hazırlanmalı?
-
Ayrı sorumlulukların açıkça tanımlandığı prosedürler
-
Rol bazlı erişim kontrol listeleri (RBAC)
-
Görev ayrımını destekleyen sistem kayıtları (loglar)
-
Değişiklik ve erişim taleplerinin çoklu onay süreçleri
Görevlerin Ayrılması Politikası
1. Amaç
Bu politikanın amacı, [Şirket Adı] içinde bilgi güvenliği, finansal kontrol ve operasyonel süreçler dahil olmak üzere kritik iş faaliyetlerinde dolandırıcılık, hata veya yetkisiz erişim risklerini azaltmak için görevlerin ayrılmasını sağlamaktır.
2. Kapsam
Bu politika, tüm [Şirket Adı] çalışanları, taşeronları, danışmanları ve üçüncü taraf hizmet sağlayıcıları için geçerlidir.
3. Politika
-
Kritik işlemler, hiçbir bireyin tek başına işlemi hem gerçekleştirmesine, hem onaylamasına, hem de kontrol etmesine izin vermeyecek şekilde yapılandırılacaktır.
-
Tüm kritik süreçler için işlemi gerçekleştiren, onaylayan ve kontrol eden roller ayrı kişiler veya ayrı pozisyonlar tarafından yürütülmelidir.
-
Görevlerin ayrılması aşağıdaki alanlarda uygulanacaktır:
-
Bilgi Teknolojileri: Kullanıcı hesap yönetimi, sistem erişim izinleri, yedekleme ve veri kurtarma işlemleri.
-
Finans: Ödeme emirlerinin oluşturulması, onaylanması ve mutabakatı.
-
Satın Alma: Talep oluşturma, sipariş verme, ödeme onayı.
-
Değişiklik Yönetimi: Sistem değişikliklerinin talebi, onayı ve uygulanması.
-
Güvenlik Olayı Yönetimi: İhlal bildirme, inceleme ve düzeltici işlem gerçekleştirme.
-
4. Sorumluluklar
-
Birim Yöneticileri: Süreçler içinde görevlerin doğru şekilde ayrıldığından emin olmak.
-
Bilgi Güvenliği Yöneticisi: Politikanın uygulanmasını koordine etmek ve yıllık denetimlerde uygunluğunu kontrol etmek.
-
İnsan Kaynakları: İş tanımlarında görev ayrımına uygun rol ve sorumlulukları belirtmek.
-
Tüm Çalışanlar: Görevlerin ayrılması ilkesine uygun davranmak ve uygunsuzlukları bildirmek.
5. İstisnalar
Görev ayrımının uygulanamadığı durumlarda (örneğin kaynak kısıtlı küçük birimler gibi), bu durumun riski değerlendirilecek ve uygun telafi edici kontroller (örneğin ikinci bir kontrol mekanizması) uygulanacaktır. İstisnalar Bilgi Güvenliği Komitesi onayıyla belgelenmelidir.
6. Gözden Geçirme ve Güncelleme
Bu politika yılda en az bir kez veya organizasyonel değişiklikler, risk değerlendirmesi sonuçları doğrultusunda gözden geçirilecek ve güncellenecektir.
7. Yürürlük Tarihi
Bu politika, [Yürürlük Tarihi] itibarıyla yürürlüğe girer.
[Şirket Adı]
Bilgi Güvenliği Departmanı
