BİS Raporu Nedir ve Nasıl Hazırlanır?
BİS Raporu (Bilgi İşlem Sistemi Raporu), Özel Entegratörlük sürecinde GİB'in aday firmalardan talep ettiği en kritik dokümanlardan biridir. Ancak bu rapor, çoğu zaman yalnızca "başvuru için gerekli bir belge" olarak görülür. Oysa BİS Raporu, teknik bir formdan çok daha fazlasını ifade eder.
BİS Raporu; bir firmanın teknik altyapısını, bilgi güvenliği yaklaşımını, iş sürekliliği planlarını ve operasyonel organizasyon yapısını bütüncül şekilde ortaya koyar. GİB açısından bu rapor, "sistem çalışıyor mu?" sorusundan önce, "bu sistem sürdürülebilir mi?" sorusuna yanıt verir.
Not: Bu içerik, gerçek Özel Entegratör başvuru ve denetim süreçlerinde hazırlanan BİS raporlarından elde edilen saha deneyimlerine dayanır.
BİS Raporu GİB Açısından Ne Anlama Gelir?
GİB, BİS Raporu üzerinden yalnızca teknik yeterliliği değil, risk yönetimi ve operasyonel olgunluğu değerlendirmeyi hedefler. Raporda özellikle şu sorulara yanıt aranır:
- Sistemler tek bir bileşene ya da kişiye bağımlı mı?
- Veri güvenliği nasıl sağlanıyor?
- Felaket senaryolarında hizmet nasıl devam edecek?
- Yetkilendirme ve erişim kontrolleri nasıl yönetiliyor?
- Operasyonel süreçler sürdürülebilir mi?
Bu nedenle BİS Raporu, yalnızca mevcut durumu değil; firmanın uzun vadede aynı hizmeti verip veremeyeceğini de anlatır.
BİS Raporu Bir Şablon Doldurma Dokümanı Değildir
GİB tarafından yayımlanan BİS Raporu şablonu ve içerik kontrol tablosu, raporda hangi başlıkların yer alması gerektiğini net biçimde tanımlar. Ancak bu dokümanlar, nasıl yazılacağını değil, ne anlatılması gerektiğini gösterir.
Sahada sık karşılaşılan yaklaşım şudur:
"Şablondaki başlıkları dolduralım, yeter."
Bu yöntem, raporu biçimsel olarak tamamlayabilir; ancak denetim aşamasında ciddi riskler doğurur. Çünkü GİB, tek tek başlıklardan çok başlıklar arasındaki tutarlılığı ve anlatılan yapının sahada gerçekten karşılığı olup olmadığını inceler.
Resmî Kaynak
GİB – BİS Raporu İçerik Kontrol Tablosu: PDF İndir
BİS Raporu Hangi Ana Bölümlerden Oluşur?
Uygulamada BİS Raporu aşağıdaki ana yapı etrafında şekillenir.
1️⃣ Teknik Mimari ve Altyapı Yapısı
Bu bölümde sistemlerin nerede çalıştığı, nasıl konumlandığı ve hangi bileşenlerden oluştuğu anlatılır. Sunucu mimarisi, ağ yapısı, veri tabanı katmanı ve entegrasyon noktaları açık ve tutarlı şekilde ifade edilmelidir.
Burada önemli olan kullanılan teknoloji markaları değil, neden bu mimarinin tercih edildiğidir.
2️⃣ Bilgi Güvenliği Yaklaşımı
BİS Raporu'nun en kritik bölümlerinden biridir. Erişim yetkileri, kullanıcı yönetimi, loglama, veri şifreleme ve yetkilendirme süreçleri yalnızca teknik olarak değil, süreç bazlı ele alınmalıdır.
Bu yaklaşımın, ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi ile uyumlu olması beklenir.
3️⃣ İş Sürekliliği ve Felaketten Kurtarma
Hizmetin kesintiye uğraması durumunda ne olacağı bu bölümde netleşir. Yedekleme politikaları, felaket kurtarma senaryoları ve hizmetin yeniden ayağa kaldırılma süreleri açıkça tanımlanmalıdır.
Bu anlatım, ISO 22301 İş Sürekliliği Yönetim Sistemi yaklaşımıyla örtüşmelidir.
4️⃣ Operasyonel Yönetim ve İnsan Kaynağı
GİB açısından sistemin kim tarafından ve nasıl işletildiği kritik bir konudur. Operasyonun tek bir kişiye bağlı olmaması, görev ve sorumlulukların net şekilde tanımlanması beklenir.
Bu bölümde, sistem yönetim süreçlerinin ITIL uyumlu olduğu ve bu süreçlerin ITIL sertifikasına sahip personel tarafından yürütüldüğü açıkça belirtilmelidir.
5️⃣ Güvenlik Testleri ve Denetim Yaklaşımı
BİS Raporu, güvenliği tek seferlik bir önlem olarak değil, sürekli test edilen bir süreç olarak ele almalıdır. Sızma testleri, güvenlik kontrolleri ve izleme mekanizmaları bu bölümde tanımlanır.
Bu noktada kritik bir gerçek vardır:
Kritik: BİS Raporu yalnızca başvuru anını değil, yetkilendirme sonrasındaki sürekliliği de kapsar.
BİS Raporu ile ÖEBSD ve Diğer Denetimler Arasındaki İlişki
BİS Raporu, izole bir doküman değildir. Aksine;
- Özel Entegratör Bilgi Sistemleri Denetimi (ÖEBSD)
- Sızma testleri (yıllık olarak)
- ISO denetimleri
gibi süreçlerin tamamı, BİS Raporu'nda anlatılan yapının sahada gerçekten uygulanıp uygulanmadığını doğrular.
Bu nedenle BİS Raporu'nda yer alan her ifade, ilerleyen denetimlerde karşılığı olan bir uygulamaya dayanmalıdır.
Resmî Kaynak
GİB – Özel Entegratör Bilgi Sistemleri Denetimi (ÖEBSD) Kılavuzu: PDF İndir
BİS Raporu Hazırlarken En Sık Yapılan Hatalar
Saha tecrübelerine göre en sık karşılaşılan hatalar şunlardır:
- Şablonu birebir doldurup firmanın gerçek yapısını yansıtmamak
- Teknik detaylara odaklanıp operasyonel boyutu ihmal etmek
- Güvenlik ve iş sürekliliğini yüzeysel geçmek
- İnsan kaynağı ve süreç yönetimini zayıf bırakmak
- BİS Raporu'nu statik bir belge olarak görmek
Bu hatalar, başvuru sürecinde ya da denetim aşamasında ciddi geri dönüşlere neden olabilir.
Sonuç: BİS Raporu Bir Belge Değil, Bir Yaklaşımın Özeti
BİS Raporu, Özel Entegratörlük sürecinde yalnızca teslim edilen bir doküman değildir. Firmanın teknik, operasyonel ve organizasyonel yaklaşımının yazılı bir özetidir.
Doğru kurgulanmış bir BİS Raporu:
- Denetim süreçlerini kolaylaştırır
- Teknik ekip ile yönetim arasında ortak bir dil oluşturur
- Özel Entegratörlük faaliyetinin sürdürülebilirliğini destekler
Bu nedenle BİS Raporu hazırlanırken sorulması gereken temel soru şudur:
Stratejik Değerlendirme
Bu rapor, yalnızca başvuru için mi yazılıyor; yoksa gerçekten işletilen yapıyı mı anlatıyor?
İlgili Belgeler ve Resmî Kaynaklar
Aşağıdaki belgeler, Özel Entegratörlük sürecinin resmî çerçevesini göstermek amacıyla paylaşılmıştır. Belgeler GİB tarafından yayımlanan kamuya açık kaynaklardır.
Resmî Kaynaklar (GİB):
- GİB – BİS Raporu İçerik Kontrol Tablosu: PDF İndir
- GİB – BİS Raporu Şablonu: ZIP İndir (e-Fatura Paketi içinde)
- GİB – ÖEBSD Kılavuzu: PDF İndir
Bu belgelerin içerikleri değiştirilmemiştir. Gerçek BİS raporları ve denetim çıktıları kamuya açık değildir.
