Bilgi Teknolojisi–Bilgi Güvenliği Yönetim Sistemi Belgesi, uygulamada çoğunlukla ISO/IEC 27001 / TS EN ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Belgesi ile ISO/IEC 20000 Bilgi Teknolojileri Hizmet Yönetim Sistemi Belgesi türündeki yönetim sistemi belgelerini ifade eder. 

ISO/IEC 27001; kurumun bilgi varlıklarını korumak için bilgi güvenliği yönetim sistemi kurduğunu, uyguladığını, sürdürdüğünü ve sürekli iyileştirdiğini gösteren standarttır. TSE de Bilgi Güvenliği Yönetim Sistemini; kurumun hassas bilgilerini yönetmek, gizli ve kritik bilgileri korumak amacıyla çalışanları, iş süreçlerini ve bilgi teknolojileri sistemlerini kapsayan sistematik yaklaşım olarak açıklamaktadır. (Bk: https://www.iso.org/standard/27001?utm_source=chatgpt.com )
Bilgi Teknolojisi–Bilgi Güvenliği Yönetim Sistemi Belgesi, isteklinin bilgi güvenliği, veri gizliliği, erişim kontrolü, risk analizi, siber güvenlik, olay yönetimi ve bilgi varlıklarının korunması süreçlerini belirli bir yönetim sistemi içinde yürüttüğünü gösteren kalite ve standarda ilişkin belgedir. Bu belge, doğrudan sunulan hizmetin kendisini değil; hizmeti sunan kuruluşun bilgi güvenliği yönetim altyapısını ve kurumsal süreçlerini belgelendirir.

Ancak hizmet alımı ihalelerinde “Bilgi Teknolojisi–Bilgi Güvenliği Yönetim Sistemi” gibi kalite ve standarda ilişkin belgeler ve sertifikalar istenemez. Bu nedenle idareler hizmet alımlarında bu belgeyi genel yeterlik şartı yapmak yerine; gerekiyorsa veri gizliliği, erişim yetkileri, log kayıtları, siber güvenlik tedbirleri, kişisel verilerin korunması ve idare verilerinin korunmasına ilişkin somut teknik/işletim yükümlülüklerini teknik şartnamede düzenleyebilirler. (Bk: Kamu İhale Genel Tebliği, 74.4.)

Detaylı bilgi için KILIÇ HUKUK VE DANIŞMANLIK OFİSİ ile iletişime geçiniz: https://www.kilichukuk.org/iletisim