ÖEBSD Nedir? Özel Entegratörler İçin Denetim Süreci Ne Anlama Gelir?
ÖEBSD (Özel Entegratör Bilgi Sistemleri Denetimi), Özel Entegratörlük sürecinin en zorlayıcı ve en belirleyici aşamalarından biridir. Çoğu aday firma için bu denetim, teknik testlerden ya da belge teslimlerinden çok daha karmaşık bir süreci ifade eder.
Çünkü ÖEBSD, bir sistemin çalışıp çalışmadığını değil; o sistemin nasıl yönetildiğini, nasıl korunduğunu ve uzun vadede nasıl sürdürüleceğini denetler.
Bu nedenle ÖEBSD, tek seferlik bir kontrol değil; Özel Entegratörlük faaliyetinin kurumsal olgunluk sınavıdır.
Not: Bu içerik, Özel Entegratörlük denetim süreçlerinde birebir yer alınarak edinilen saha deneyimlerine ve GİB tarafından yayımlanan resmî ÖEBSD kılavuzuna dayanmaktadır.
ÖEBSD GİB Açısından Ne Amaçlar?
GİB, ÖEBSD kapsamında şu temel sorulara yanıt arar:
- Bu sistem gerçekten firmanın kontrolünde mi?
- Operasyon kişilerden bağımsız mı?
- Güvenlik süreçleri kâğıt üzerinde mi, sahada mı?
- Olası bir krizde hizmet devam edebilir mi?
- Denetim izi (audit trail) üretilebiliyor mu?
Bu nedenle ÖEBSD, teknik mimariden çok yönetim yaklaşımını inceler.
Bir başka deyişle:
ÖEBSD, "iyi yazılmış bir yazılım"ı değil, iyi yönetilen bir sistemi denetler.
ÖEBSD Neyi Denetler?
Kılavuzda tanımlandığı şekliyle ÖEBSD; bilgi sistemlerinin güvenliği, sürekliliği ve yönetilebilirliği üzerine odaklanır. Uygulamada denetim aşağıdaki ana başlıklarda yoğunlaşır:
1️⃣ Bilgi Güvenliği Yönetimi
Erişim kontrolleri, kullanıcı yetkilendirmeleri, loglama, veri gizliliği ve yetkisiz erişim önlemleri bu başlık altında değerlendirilir. Burada yalnızca teknik önlemler değil, süreçlerin nasıl işletildiği önemlidir.
Bu alanın ISO/IEC 27001 yaklaşımıyla uyumlu olması beklenir.
2️⃣ Operasyonel Süreçler ve ITIL Uyumu
Sistemlerin nasıl yönetildiği, değişikliklerin nasıl yapıldığı, olay (incident) ve problem yönetiminin nasıl yürütüldüğü denetlenir.
ÖEBSD kapsamında, sistem yönetim süreçlerinin ITIL standartlarına uygun olması ve bu süreçlerin ITIL sertifikalı personel tarafından yürütülmesi açık bir beklentidir.
Bu noktada denetim, "sistemi kim açıp kapatıyor?" sorusundan çok daha fazlasını sorar:
"Bu sistem bir kişi izindeyken de aynı şekilde çalışabilir mi?"
3️⃣ İş Sürekliliği ve Felaketten Kurtarma
Felaket senaryoları, yedekleme stratejileri ve sistemin yeniden ayağa kaldırılma kabiliyeti denetimin önemli bir parçasıdır.
Bu bölüm, yalnızca teknik altyapıyı değil; organizasyonel hazırlığı da kapsar. Süreçlerin ISO 22301 İş Sürekliliği Yönetim Sistemi yaklaşımıyla uyumlu olması beklenir.
4️⃣ Denetim İzleri ve Kayıt Yönetimi
ÖEBSD, sistem üzerinde yapılan işlemlerin izlenebilirliğini de kontrol eder. Log kayıtlarının tutulması, saklanması ve gerektiğinde geriye dönük olarak sunulabilmesi kritik önemdedir.
Bu, çoğu zaman teknik olarak "yapılıyor" sanılan ama denetimde zorlanılan alanlardan biridir.
ÖEBSD Ne Zaman Yapılır ve Ne Sıklıkla Yenilenir?
ÖEBSD, Özel Entegratörlük yetkilendirme sürecinin bir parçasıdır ve iki yılda bir yenilenmesi beklenir.
Ancak önemli bir nokta vardır:
Kritik: ÖEBSD, yalnızca denetim zamanı için "hazırlanan" bir süreç değildir. Denetimde sunulan yapıların, denetim sonrası dönemde de aktif olarak işletiliyor olması gerekir.
Bu nedenle ÖEBSD, bir proje değil; sürekli yaşayan bir yönetim disiplinidir.
ÖEBSD ile BİS Raporu Arasındaki İlişki
BİS Raporu, sistemin nasıl kurgulandığını anlatır. ÖEBSD ise bu anlatımın gerçek hayatta karşılığı olup olmadığını denetler.
Pratikte şu ilişki vardır:
| Belge | Açıklama |
|---|---|
| BİS Raporu | "Biz sistemi böyle işletiyoruz" der |
| ÖEBSD | "Gerçekten böyle mi işletiyorsunuz?" diye sorar |
Bu nedenle BİS Raporu'nda yer alan her ifade, ÖEBSD denetiminde kanıtlanabilir olmalıdır.
BİS Raporu Hakkında Detaylı Bilgi
BİS Raporu'nun kapsamı, içeriği ve nasıl hazırlandığına dair detayları BİS Raporu Nedir ve Nasıl Hazırlanır? başlıklı yazıda ele aldık.
ÖEBSD Sürecinde En Çok Zorlanılan Alanlar
Saha deneyimlerine göre ÖEBSD'de en sık zorlanılan başlıklar şunlardır:
- Süreçlerin kişilere bağımlı olması
- ITIL süreçlerinin dokümante edilmemiş olması
- İş sürekliliği senaryolarının kağıt üzerinde kalması
- Log ve kayıt yönetiminin eksik olması
- Denetim izlerinin yeterince üretilmemesi
Bu zorluklar, teknik yetersizlikten çok organizasyonel hazırlık eksikliğinden kaynaklanır.
ÖEBSD: Bir Denetimden Fazlası
ÖEBSD, çoğu firma için yalnızca "geçilmesi gereken bir denetim" gibi görülür. Oysa bu süreç, Özel Entegratörlük faaliyetinin sağlam temeller üzerine oturup oturmadığını gösteren en net göstergedir.
Doğru kurgulanan bir ÖEBSD yaklaşımı:
- ✅ Denetim stresini azaltır
- ✅ Operasyonel riskleri düşürür
- ✅ Kurumsal hafıza oluşturur
- ✅ Özel Entegratörlük faaliyetini sürdürülebilir kılar
Sonuç: ÖEBSD Bir Engel Değil, Eşik
ÖEBSD, Özel Entegratörlük yolculuğunda çoğu zaman en zor aşama olarak görülür. Ancak doğru yaklaşımla ele alındığında, bu denetim bir engel değil; kurumsal olgunluğa geçiş eşiğidir.
Bu nedenle sorulması gereken temel soru şudur:
Stratejik Değerlendirme
Bu denetimi "geçmek" mi istiyoruz, yoksa bu yapıyı gerçekten işletmeye hazır mıyız?
İlgili Belgeler ve Resmî Kaynaklar
Aşağıdaki belgeler, ÖEBSD sürecinin resmî çerçevesini göstermek amacıyla paylaşılmıştır. Belgeler GİB tarafından yayımlanan kamuya açık kaynaklardır.
Resmî Kaynaklar (GİB):
- GİB – Özel Entegratör Bilgi Sistemleri Denetimi (ÖEBSD) Kılavuzu: PDF İndir
Bu belge GİB tarafından yayımlanan kamuya açık bir kaynaktır. İçeriği değiştirilmemiştir.
İlgili İçerikler
- Nasıl Özel Entegratör Olunur? Saha Tecrübesi Rehberi
- BİS Raporu Nedir ve Nasıl Hazırlanır?
- Mali Mühür Uyum Değerlendirme Süreci Neden En Zor Aşamalardan Biri?
- Özel Entegratörlük: Stratejik Bir Karar mı, Uzun Vadeli Bir Sorumluluk mu?
Son Not
Bu içerikte yer alan doküman referansları ve bağlantılar, ÖEBSD sürecinin çerçevesini göstermek amacıyla paylaşılmıştır. Her Özel Entegratör adayının altyapısı, organizasyon yapısı ve operasyonel yaklaşımı farklıdır; bu nedenle uygulama detayları firmaya özgü olarak şekillendirilmelidir.
