GÜV.03 — Görevler Ayrılığı Standartları
Açıklama
Görevler ayrılığı; hata, eksiklik, yanlışlık, usulsüzlük ve yolsuzluk risklerini azaltmak için faaliyetler ile karar ve işlemlerin onaylanması, uygulanması, kaydedilmesi ve kontrol edilmesi görevlerinin çalışanlar arasında paylaştırılmasıdır.
Görevler ayrılığı ilkesi, şirketin diğer birim ve süreçlerinde de geçerli olmakla birlikte; bu standardın kapsamında sadece Bilgi Teknolojileri süreçleri ve organizasyonları ele alınmıştır. Görevler ayrılığı ilkesinin gerekleri, tüm bilgi teknolojileri kaynaklarını kapsamaktadır.
Standartlar
Temel Prensipler
- Görevler ayrılığı ilkesinin uygulanması için her faaliyet, karar veya işlemin onaylanması, uygulanması, kaydedilmesi ve kontrolü görevleri farklı kişilere verilmelidir.
Uygulama Geliştirme
- Uygulama geliştirenler, test ve canlı ortama erişemezler; sadece geliştirme ortamında çalışabilirler.
- Yazılım, uygulama geliştirenler dışında bir çalışan tarafından test ve canlı ortama aktarılır. Bu görevi varsa sürüm yöneticisi üstlenir; yoksa bir sistem yöneticisi belirlenerek bu görev yerine getirilir.
- Sürüm yöneticileri ve sistem yöneticileri; uygulama geliştiremez, uygulamalar üzerinde değişiklik yapamaz, canlı ortamdaki bilgiye müdahale edemez ve veri tabanı yönetim araçlarına sahip olamaz.
Veri Tabanı Yönetimi
- Veri tabanı yöneticileri; uygulama geliştiremez, uygulamalar üzerinde değişiklik yapamaz, uygulamaları test ve canlı ortama aktaramaz ve bu ortamlardaki bilgiye müdahale edemez.
Sistem ve Ağ Yönetimi
- Operatörler, uygulama ve sistem programlarına müdahale edemezler; canlı ortamdaki bilgiye ulaşamazlar.
- Test, geliştirme ve canlı ortamda verilecek kullanıcı yetkileri güvenlik yöneticisi onayıyla verilir.
İstisnalar
Herhangi bir acil veya mücbir durumda; geçici bir süreyle, Bilgi Teknolojileri Yöneticisi ve Bilgi/Sistem Sahibinin onayı ile bu matrisin dışına çıkılarak bir çalışan, asıl sorumlu çalışanın görevini üstlenebilir. Ancak bu durumda aşağıdaki unsurlar bulundurulur:
- Yazılı yönetim onayı,
- Uygulama ve veriler için yeterli ve uygun ek güvenlik önlemleri,
- Görev üstlenen çalışanın yaptığı işlerin kontrol edilebileceği log kayıtları.
Referanslar
- Kamu İç Kontrol Standartları Tebliği — resmigazete.gov.tr