Bilgi Güvenliği
Tüm önemli bilgiler için bilgi güvenliğinin sağlanması işletme yönetiminin sorumluluğundadır. İç. Denetim ise bilgi güvenliğinin sağlanmasındaki riskleri değerlendirir. İç denetim yöneticisinin bilgi güvenliği konusundaki iç ve dış riskleri analiz etmek üzere yeterli denetim kaynağına sahip olması sağlanmalıdır.
Yönetim, iç denetimi bilgi güvenliğine yönelen mevcut tehditler konusunda uygun şekilde bilgilendirmelidir. İç denetim, geçmiş ve gelecekteki saldırılara karşı etkinliği ölçerek değerlendirmelidir. Konuyla ilgili yönetici birimler uygun şekilde bilgilendirilmelidir.
İç denetçiler aynı zamanda bilgi güvenliği uygulamalarını belirli aralıklarla değerlendirmelidirler. Bu değerlendirmelere istinaden yeni veya geliştirilmiş kontroller önerilir ve denetim sonuçlarıyla ilgili raporlar düzenlenir.
İşletmenin Bilgi Güvenliği Yapısının İncelenmesi
Özel bilgilerin saklanması konusu çoğu ülkede yasal düzenlemelere bağlanmıştır. Kişisel bilgilerin saklanması;
a) kişisel mahremiyet,
b) mekanın mahremiyeti,
c) iletişim mahremiyeti
d) bilgilerin mahremiyeti konularını kapsamına alır.
Kişisel bilgilerin ve mahremiyetin korunmasında yapılacak hatalar işletme için önemli yasal neticeler doğurabilir.
İşletme yönetimi bilgi güvenliği altyapısını oluşturarak ve gözlemleyerek kişisel bilgilerin güvenliğinin sağlanmasından birinci derece sorumludur. İç denetçiler mevcut yapıyı değerlendirir, riskleri tanımlar ve düzeltici öneriler geliştirir. Bunu yaparken iç denetçilerin kanunları, düzenlemeleri, uygulamaları, hukuk biriminin görüşlerini ve IT bölümünün güvenlik uygulamalarını değerlendirmesi gerekir. İç denetçinin bu süreçteki rolü, programın yürütülmesi, risklerin ortaya konması ve denetim çalışmalarını kapsayabilir. Ancak faaliyetle ilgili sorumluluk yüklenilmesi bağımsızlığa zarar verebilir.
İç denetçi şu konularda bilgi toplamalıdır; a) toplanan kişisel bilgiler, b) bilgileri toplama yöntemleri, c) bu bilgiyi kullanma amaçları ve d) ilgi yasal düzenlemeler.
İç denetçi bilgi güvenliği yapısını değerlendirebilecek bilgi ve kapasiteye sahip olmalıdır.
Denetim Çalışmasında Kişisel Bilgilerin Kullanılması
Bilgi teknolojilerindeki gelişmeyle birlikte kişisel bilgilere erişimle ilgili risklerde artış olmuştur. Bu sebeple kanunlarda kişisel bilgilerin güvenliğinin sağlanmasına ilişkin düzenlemelere yer verilmeye başlanmıştır.Kişisel bilgiler bir kişinin kendine has özel bilgilerini kapsar.
Denetçi uygulamadaki tüm yasal düzenlemelere uygun davranmalıdır. Bazı görevlerde kişisel bilgilerin kullanılması veya bu bilgilere erişilmesi yasal veya uygun olmayan durumlar yaratabilir.
