BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar
Amaç
(1) Bu Tebliğin amacı, 2 nci maddede sayılan Kurum, Kuruluş ve Ortaklıkların bilgi sistemlerinin yönetimine ilişkin usul ve esasları belirlemektir.
Kapsam
(1) Aşağıdaki Kurum, Kuruluş ve Ortaklıklar, bu Tebliğ hükümlerine uymakla yükümlüdürler:
a) Borsa İstanbul A.Ş.,
b) Borsalar ve piyasa işleticileri ile teşkilatlanmış diğer pazar yerleri,
c) Emeklilik yatırım fonları,
ç) İstanbul Takas ve Saklama Bankası A.Ş.,
d) Merkezi Kayıt Kuruluşu A.Ş.,
e) Portföy saklayıcısı kuruluşlar,
f) Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş.,
g) Sermaye piyasası kurumları,
ğ) Halka açık ortaklıklar,
h) Türkiye Sermaye Piyasaları Birliği,
ı) Türkiye Değerleme Uzmanları Birliği.
(2) Birinci fıkrada sayılan Kurum, Kuruluş ve Ortaklıklardan, 6/12/2012 tarihli ve 6362 sayılı Sermaye Piyasası Kanununun 136 ncı maddesi uyarınca banka ve sigorta şirketleri ile 21/11/2012 tarihli ve 6361 sayılı Finansal Kiralama, Faktoring ve Finansman Şirketleri Kanunu uyarınca finansal kiralama, faktoring ve finansman şirketlerinin bilgi sistemlerinin, kendi özel mevzuatlarında belirlenen ilkeler çerçevesinde yönetilmesi, bu Tebliğde öngörülen yükümlülüklerin yerine getirilmesi hükmündedir.
Dayanak
(1) Bu Tebliğ, 6362 sayılı Kanunun 128 inci maddesinin birinci fıkrasının (h) bendine dayanılarak hazırlanmıştır.
Tanımlar ve kısaltmalar
(1) Bu Tebliğde geçen,
a) Birincil sistemler: Kurum, Kuruluş ve Ortaklıkların Kanundan ve Kanuna ilişkin alt düzenlemelerden kaynaklanan görevlerini yerine getirmeleri için gerekli bilgilerin elektronik ortamda güvenli ve istenildiği an erişime imkan sağlayacak şekilde kaydedilmesini ve kullanılmasını sağlayan altyapı, donanım, yazılım ve veriden oluşan sistemin tamamını,
b) Bütünlük: Bilginin doğruluğu ve tamlığını koruma özelliğini,
c) Denetim izi: Finansal ya da operasyonel işlemler ile bilgi güvenliği ihlal olaylarının başlangıcından bitimine kadar adım adım takip edilmesini sağlayacak kayıtlar ile bu kayıtlar üzerinde yapılan işlemleri gösteren kayıtları,
ç) Düzeltici faaliyet: Bilgi sistemlerinde yaşanan herhangi bir acil durum, hata, arıza veya kötüye kullanım sonrasında olayın etkilerini azaltmak için yerine getirilen faaliyeti,
d) Erişilebilirlik: Bilginin yetkili kullanıcı, uygulama veya sistem tarafından talep edildiğinde erişilebilir ve kullanılabilir olma özelliğini,
e) Gizlilik: Bilgi sistemlerine ve bilgiye sadece yetkili kullanıcı, uygulama veya sistem tarafından erişilebilmesini,
f) Güvenli alan: Bilgi işleme, iletişim ve depolama donanımlarını barındıran alanı,
g) İkincil sistemler: Birincil sistemler aracılığı ile yürütülen faaliyetlerde bir kesinti olması halinde, bu faaliyetlerin iş sürekliliği planında belirlenen kabul edilebilir kesinti süreleri içerisinde sürdürülür hale getirilmesini ve Kanunda ve Kanuna ilişkin alt düzenlemelerde Kurum, Kuruluş ve Ortaklıklar için tanımlanan sorumlulukların yerine getirilmesi açısından gerekli olan bütün bilgilere kesintisiz ve istenildiği an erişilmesini sağlayan birincil sistem yedeklerini,
ğ) Kanun: 6362 sayılı Kanunu,
h) Kontrol: Bilgi sistemleri süreçleriyle ilgili olarak gerçekleştirilen ve iş hedeflerinin gerçekleştirilmesi, istenmeyen olayların belirlenmesi, engellenmesi ve düzeltilmesine ilişkin yeterli derecede güvenceyi oluşturmayı hedefleyen politikalar, prosedürler, uygulamalar ve organizasyonel yapıların tamamını,
ı) Kurul: Sermaye Piyasası Kurulunu,
i) Kurum, Kuruluş ve Ortaklıklar: 2 nci maddede sayılan kurum, kuruluş ve ortaklıkları,
j) Politika: Kurum, Kuruluş ve Ortaklıkların hedef ve ilkelerini ortaya koyan ve üst yönetimi tarafından onaylanmış dokümanı,
k) Prosedür: Süreçlere ilişkin işlem ve eylemleri tanımlayan dokümanı,
l) Sermaye piyasası kurumları: Kanunun 35 inci maddesinde sayılan kurumları,
m) Süreç: Bir işin yapılış ve üretiliş biçimini oluşturan sürekli işlem ve eylemleri,
n) Üçüncü taraf: Kurum, Kuruluş ve Ortaklıklar ile müşteriler dışında kalan gerçek veya tüzel kişileri,
o) Üst yönetim: Yönetim kurulu tarafından belirlenen kişi ya da grubu, yönetim kurulu tarafından belirleme yapılmadığı durumlarda ise Kurum, Kuruluş ve Ortaklıkların en üst yetkilisini,
ifade eder.
İKİNCİ BÖLÜM
Bilgi Sistemlerinin Yönetilmesi
Bilgi sistemleri yönetiminin oluşturulması ve hayata geçirilmesi
(1) Bilgi sistemlerinin yönetimi, kurumsal yönetim uygulamalarının bir parçası olarak ele alınır. Kurum, Kuruluş ve Ortaklıkların operasyonlarını istikrarlı, rekabetçi, gelişen ve güvenli bir çizgide sürdürebilmesi için bilgi sistemlerine ilişkin stratejilerinin iş hedefleri ile uyumlu olması sağlanır, bilgi sistemleri yönetimine ilişkin unsurlar yönetsel hiyerarşi içerisinde yer alır ve bilgi sistemlerinin güvenlik, performans, etkinlik, doğruluk ve sürekliliğini hedefleyerek doğru yönetimi için gerekli finansman ve insan kaynağı tahsis edilir.
EN
TR
Salt metin olarak göster (Kelime işlemcilere uygun görünüm)
