Ana Sayfa /

Sürdürülebilir Operasyonel Dayanıklılık

Sürdürülebilir Operasyonel Dayanıklılık

Bir uzmanla konuşun

+90 (212) 951 0703
İLETİŞİM
İLETİŞİM

Sürdürülebilir Operasyonel Dayanıklılık

DORA ve Yönetim Sistemi Standartları

Finans sektörünün dijital omurgası, küçük bir kesintide bile büyük aksamalara neden olabiliyor. Avrupa Birliği’nin yürürlüğe koyduğu Dijital Operasyonel Dayanıklılık Yasası (DORA), bu kırılganlığı yönetilebilir hale getirmek amacıyla finansal kuruluşlara kapsamlı bir sorumluluk yüklüyor. Operasyonel riskten veri güvenliğine, hizmet sürekliliğinden dış kaynak yönetimine kadar birçok alanda dayanıklı yapılar kurulmasını zorunlu kılıyor. Bu yapının kalıcı ve uygulanabilir olması ise uluslararası standartlarla mümkün. ISO 27001, 22301, 27035, 31000 ve 22316 gibi standartlar, DORA’nın teknik ve yönetsel gerekliliklerine doğrudan karşılık geliyor.

Bu içerikte, DORA kapsamındaki önemli gereksinimlere uyum sağlamak için hangi yönetim sistemi standartlarının entegre edilmesi gerektiği ele alınacaktır.

1. ISO/IEC 27001 – Bilgi Güvenliği Yönetim Sistemi (BGYS)

Bu standart, bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini korumaya yönelik risk temelli kontrollerin tanımlanmasını, uygulanmasını ve sürekli izlenmesini sağlar. Sistem; güvenlik politikalarının yazılı hale getirilmesi, erişim denetimlerinin uygulanması, olay raporlama prosedürlerinin tanımlanması ve düzenli iç denetim mekanizmalarının yürütülmesini içerir. Otomatikleştirilmiş izleme sistemleri, tehdit istihbarat kaynaklarıyla entegre çalışarak saldırı olasılıklarının erken tespitine olanak tanır. Bilgi güvenliği ihlallerinin teknik olarak izlenmesi, raporlanması ve kontrol altına alınması süreçleri ISO 27001 içinde detaylandırılmıştır.

Bu yapı, DORA’nın 24 saat içinde olay bildirimi ve sürekli izleme gereklilikleriyle doğrudan uyumludur.

2. ISO 22301 – İş Sürekliliği Yönetim Sistemi (İSYS)

Bu standart, kesintiye neden olabilecek olaylara karşı hazırlık yapılmasını, müdahale planlarının oluşturulmasını ve hizmet sürekliliğinin garanti altına alınmasını sağlar. İş Etki Analizi (İEA), felaket senaryoları, hizmet kurtarma süreleri (RTO/RPO) ve düzenli tatbikatlar bu sistemin temel unsurlarıdır. Kuruluş; operasyonel hizmetlerde oluşabilecek fiziksel veya dijital kesintilere karşı sürdürülebilirliği hedefler.

DORA’nın dijital hizmetlerin sürekli erişilebilir olması ve kurtarma planlarının tanımlı ve test edilmiş olması gereklilikleri, ISO 22301’in süreçleriyle doğrudan örtüşmektedir.

3. ISO 20000-1 BT Hizmet Yönetim Sistemi

ISO 20000-1, BT hizmetlerinin planlı, izlenebilir ve tekrarlanabilir süreçlerle yürütülmesini sağlar. Bu sayede sistemsel kesintiler, veri kayıpları gibi riskler minimuma iner. Bankacılık ve finans kuruluşları; BDDK, MASAK, KVKK, SPK gibi birçok düzenleyici kurumun denetimi altındadır. ISO 20000-1, bu tür regülasyonlara uyumu kolaylaştıran süreçler barındırır, özellikle hizmet seviyeleri, değişiklik yönetimi ve olay yönetimi süreçlerinde yüksek izlenebilirlik sağlar. Finans sektörü sürekli dijitalleşmekte, Mobil bankacılık, yapay zeka destekli müşteri hizmetleri, API tabanlı açık bankacılık gibi gelişmeler, sağlam bir BT hizmet yönetimi altyapısı gerektirir. ISO 20000-1 bu dijital dönüşüm süreçlerinde bir “altyapı iskeleti” görevi görebilir.

4. ISO 27701 – Kişisel Veri Yönetim Sistemi

Finans sektörü, büyük ölçekte bireysel müşteri verisi (TC kimlik no, finansal geçmiş, kredi notu, harcama alışkanlıkları vb.) işler. ISO 27701 ile bu verilerin hangi süreçlerde işlendiği, kimlerle paylaşıldığı, ne kadar süre tutulduğu gibi sorulara yanıt verilebilir. Bu da KVKK, GDPR gibi düzenlemeler karşısında kurumu güçlendirir.

DORA Gerekliliği

ISO 27701 Katkısı

Veri Koruma Uyumu

GDPR/KVKK ile uyumlu süreçler

Operasyonel Dayanıklılık

Veri işleme riskleri ve etkilerinin analizi

Tedarikçi Yönetimi

3. taraflarla veri paylaşımı politikaları ve denetimleri

Olay Raporlama ve İyileştirme

Veri ihlali yönetimi süreci ve kayıtları

Hesap verebilirlik ve Şeffaflık

KVYS kapsamındaki rollere dayalı sorumluluk belirleme

5. NIST Siber Güvenlik Çerçevesi

NIST (American National Institute of Standards and Technology) Siber Güvenlik Çerçevesi, kurumların siber riskleri tanımlaması, yönetmesi ve azaltmasına yardımcı olan bir yapıdır. AB dışında geliştirilmiş olmasına rağmen, NIST Siber Güvenlik Çerçevesi, DORA gereksinimleri ile önemli ölçülerde uyumludur. Beş temel fonksiyondan oluşur: Tanımla (Identify), Koruma (Protect), Tespit Et (Detect), Yanıt Ver (Respond), İyileştir (Recover)

Finans kurumları, risk bazlı güvenlik kontrolleri oluşturmak zorundadır. NIST “Tanımla” ve “Koruma” fonksiyonları, risk envanteri, iş etki analizleri ve kontrol stratejileri açısından güçlü bir temel sunar. NIST ISO 27001, PCI-DSS, FFIEC gibi düzenlemelerle örtüşmekte olup bu yönüyle regülasyonları karşılamada rehber niteliği taşır. “Yanıt Ver” ve “İyileştir” fonksiyonları, BT servis sürekliliği ve kriz yönetimi protokolleri açısından kritik öneme sahiptir — özellikle finansal hizmetlerde faaliyet kesintisinin yüksek maliyeti göz önüne alındığında bu çok önemli bir roldür. NIST aynı zamanda, tedarikçi değerlendirme süreçleri için de bir çerçeve sunar. Finans kurumları, dış hizmet sağlayıcılarının güvenliğini de değerlendirmek zorundadır.

6. COBIT – BT Yönetim ve Denetim Çerçevesi

COBIT, ISACA tarafından geliştirilen bir BT yönetişim ve yönetim çerçevesidir. Kurumların BT kaynaklarını iş hedeflerine uygun, etkili ve kontrollü bir şekilde kullanmasını sağlamayı amaçlar.

COBIT 2019, beş yönetişim ilkesi ve 40’a yakın yönetim hedefi (Governance & Management Objectives) ile detaylı bir yapı sunar. Bu yapı, aşağıdaki iki ana boyuta ayrılır:

  • Governance Objectives (GOV): Kurumsal BT yönetişimi
  • Management Objectives (MAN): BT’nin işletilmesi ve yönetilmesi

DORA, sadece teknik değil aynı zamanda yönetişim seviyesinde de dayanıklılık ister. COBIT, bu seviyede işin sorumluluklarını, karar alma süreçlerini ve yönetişim yapılarını tanımlamaktadır. COBIT, performans ölçümü ve sürekli gelişim için çerçeve sunar. Bu durum DORA’nın gerektirdiği “ölçülebilir operasyonel dayanıklılık” beklentisiyle örtüşür. DORA kapsamında “sorumluluk ataması” kritik önemdedir. COBIT’in RACI tabanlı yaklaşımı, BT yönetişimi içinde rollerin net biçimde tanımlanmasına yardımcı olur.

7. ISO/IEC 27035 – Bilgi Güvenliği Olay Yönetimi (BGOYS)

Bu standart, bilgi güvenliği olaylarının yaşam döngüsünü yönetmek için teknik ve yönetsel süreçleri tanımlar. Olayların önceden belirlenmesi, sınıflandırılması, müdahale akışlarının yapılandırılması ve iyileştirme adımlarının sistematik olarak yürütülmesini sağlar. Siber olay bildirim zincirleri hem iç kaynaklarla hem de dış düzenleyici kurumlarla uyumlu şekilde oluşturulabilir.

DORA’nın olay bildirim zorunluluğu, olay sınıflandırma sistematiği ve iyileştirici tedbirlerin döngüsel uygulanması gereklilikleri ISO/IEC 27035 kapsamında ayrıntılı olarak açıklanmıştır.

8. ISO 31000 – Risk Yönetimi (RYS)

Bu standart, tüm organizasyonel seviyelerde risklerin sistematik biçimde tanımlanmasını, değerlendirilmesini ve izlenmesini sağlar. Kurumun risk iştahına uygun yanıt planları, sürekli izleme ve gözden geçirme süreçleriyle desteklenir. Stratejik, operasyonel ve teknolojik riskleri bütüncül biçimde ele alır.

DORA’nın dijital altyapılarla ilgili operasyonel risklerin yönetilmesi ve denetim süreçlerinin yapılandırılması açısından ISO 31000 temel bir yapı sunar.

9. ISO 22316 – Kurumsal Dayanıklılık

Bu standart, organizasyonların içsel ve dışsal değişimlere karşı stratejik ve kültürel dayanıklılığını artırmaya yönelik bir yönetişim yaklaşımı sunar. Kaynak kullanımı, liderlik, iç iletişim, kurumsal öğrenme ve çeviklik gibi unsurlar bu kapsamda değerlendirilir. Bu sistem, teknolojik altyapının ötesine geçerek kurumu bütüncül olarak hazırlar.

DORA’nın dijital dayanıklılık vizyonunun temelinde, sürekli değişen tehdit ortamına uyum sağlama yeteneği yer alır; bu da ISO 22316’nın katkısıyla mümkün hale gelir.

Finansal ve teknolojik altyapıların her geçen gün daha karmaşık hale geldiği bir dünyada, kurumsal sistemlerin kesintisiz ve güvenli şekilde işlemesi temel bir gereklilik haline gelmiştir. ISO/IEC 27001, ISO/IEC 27035, ISO 22301, ISO 31000 ve ISO 22316 gibi uluslararası standartlar, dijital operasyonlarınızı yapılandırılmış şekilde yönetmenizi sağlar. Bu standartlar bir arada uygulandığında; kuruluşunuzu bilgi varlıklarını koruyacak, olaylara hazırlıklı kılacak ve operasyonel kesintilere karşı sürdürülebilir bir yapıya kavuşturacak bir sisteme dönüştürebilirsiniz. DORA uyumluluğu için bu beş standart, teknik gereklilikleri ve kurum kültürünü dijital risk yönetimi odağında yeniden inşa etmenize destek olur.

DORA hakkında eğitim, Gap Analizi ve kurumunuza uyumlu yönetim sistemi çözümleri hakkında sales@cfecert.co.uk adresinden bizlere ulaşabilirsiniz.

ISO 9001 KYS

ISO 9001, kuruluşların bir Kalite Yönetim Sistemi (QMS) uygulamasına yardımcı olmak için tasarlanmış uluslararası standarttır.

 Daha Fazla Bilgi Alın
Hakkımızda Belgelendirme Hizmetler Süreç Etkinlikler UKAS Accreditation IAS Accreditation CPD Accreditation Bize Ulaşın
cfe cert linkedin
iso 27001 certification iso 22301 certification iso 37001 certification iso 20000 certification bs 10012 certification gdpr certification
© 2021 - CFECERT | Tüm hakları saklıdır
Çerez Politikası Gizlilik Sözleşmesi Şartlar ve Koşullar
Hakkımızda Belgelendirme Hizmetler Süreç Etkinlikler UKAS Accreditation IAS Accreditation CPD Accreditation Bize Ulaşın Çerez Politikası Gizlilik Sözleşmesi Şartlar ve Koşullar
cfe cert linkedin
© 2021 - CFECERT | Tüm hakları saklıdır
iso 27001 certification iso 22301 certification iso 37001 certification
iso 20000 certification bs 10012 certification gdpr certification