Kocaeli Üniversitesi’nin kurum dışından aldığı bilişim hizmetlerinde bilgi güvenliği olmadığı ortaya çıktı. Sayıştay denetçileri üniversitenin dış hizmet alımlarında sözleşmede bilgi güvenliği ile ilgili herhangi bir maddeye yer vermediğini tespit etti. Sayıştay’ın 2021 yılı raporlarında “Dış Tedarikle Yürütülen Bilişim Hizmetlerine İlişkin Sözleşmelerin Bilgi Güvenliği Yönünden Yetersiz Olması” başlığıyla belirtilen eksiklik için şu ifadeler kullanıldı: “Kurumda hizmet alımı yöntemiyle tedarik edilen bilişim hizmetlerine ilişkin olarak imzalanan sözleşmelerde yer verilen hükümlerin bilgi güvenliğini temin etmek için yeterli olmadığı tespit edilmiştir.
ÖZEL HÜKÜM KONULMASI GEREKİYOR
Bilgi işlem varlıklarını ilgilendiren ve dış tedarik yoluyla alınan hizmetlerde, yükleniciler tarafından erişilebilen kurumsal bilgi varlıklarının korunması büyük önem taşımaktadır. Kurum, kendi birimleri tarafından yürütülen hizmetlerde, bilgi varlıklarını korumak amacıyla kurallar koyabilmekte ve uygulamayı izleyerek denetleyebilmektedir. Bu hizmetlerin yükleniciler tarafından yerine getirilmesi durumunda ise aynı güvenceleri sağlayabilmek için bu faaliyetler üzerinde özel kontroller tesis edilmesi, bu amaçla da sözleşmelere özel hükümler konması gerekmektedir.
NASIL HAZIRLANACAĞINA DAİR REHBER VAR
Bu hususlar ilgili mevzuat ve standartlarda tanımlanmıştır. a. Sözleşmelerde bilgi güvenliğine ilişkin hususların tanımlanmaması Kurum tarafından yapılan sözleşmelerin, ilgili mevzuatta öngörülen, kurum bilgi varlıklarını güvence altına almak için gereken hükümleri içermediği görülmüştür. 2019/12 sayılı, ‘Bilgi ve İletişim Güvenliği Tedbirleri’ konulu Cumhurbaşkanlığı Genelgesi ve Genelge çerçevesinde kamu kurumları tarafından uygulanması gereken hususları tanzim eden Bilgi ve İletişim Güvenliği Rehberi, bilişime ilişkin sözleşmelerin nasıl hazırlanması gerektiğini açıklamıştır.”
