Bilgi Teknolojisi Hizmetleri Duzenleyici Cerceve Yaklasimi 5.0

Bilgi Teknolojisi Hizmetleri
Düzenleyici Çerçeve Yaklaşımı

Yakla
Hazırlayanlar
Mustafa ÜNVER Daire Başkanı

M.Salim KETEVANLIOĞLU
KETEVANLIO Bilişim Uzmanı
Bilgi Teknolojileri ve Koordinasyon Dairesi Başkanlığ

kanlığı
Mart 2010
Bu çalışma Bilgi Teknolojileri ve İletişim Kurumunun görüşlerini yansıtmaz. Sorumluluğu
yazarlarına aittir. Yayın ve referans olarak kullanılması durumunda Bilgi Teknolojileri ve
İletişim Kurumunun iznini gerektirmez.
Bilgi Teknolojisi Hizmetleri Düzenleyici Çerçeve Yaklaşımı i

Teşekkür
Ulusal ve uluslararası standartlar konusundaki çalışmalarından yararlanılmasına izin

veren Sayın Ayşegül İBRİŞİM’e, Standartların son durumları hakkında bilgisini
esirgemeyen Sayın Bekir ÇETİNKAYA’ya, Bilişim Sanayicileri Derneği (TÜBİSAD)
Bilgi Teknolojileri Komisyonu üyelerine, Ulusal ve uluslararası standartların
araştırılmasındaki değerli katkılarından dolayı Sayın Hüseyin Burhan ÖZKAN ve
Sayın Uğur ÖZÜDOĞRU’ya teşekkür ederiz.

İçindekiler
İÇİNDEKİLER ........................................................................................................................................... İ
ŞEKİLLER .............................................................................................................................................. İV
KISALTMALAR ....................................................................................................................................... V
1. GİRİŞ .............................................................................................................................................. 1
2. ÇALIŞMANIN AMACI..................................................................................................................... 3
3. BİLGİ TEKNOLOJİSİ BİLEŞENLERİ ............................................................................................ 3
3.1 ÜRÜNLER ...................................................................................................................................... 4
3.1.1 YAZILIM ..................................................................................................................................... 4
3.1.2 DONANIM .................................................................................................................................. 4
3.2 HİZMETLER ................................................................................................................................... 4
3.2.1 DANIŞMANLIK .......................................................................................................................... 4
3.2.1.1 EĞİTİM ................................................................................................................................... 5
3.2.1.2 SATIN ALMA ......................................................................................................................... 5
3.2.2 BAKIM/ONARIM ........................................................................................................................ 5
3.2.3 GÜVENLİK ................................................................................................................................. 5
3.2.4 FELAKET KURTARMA ............................................................................................................. 5
3.2.5 YARDIM MASASI ...................................................................................................................... 6
3.2.6 MASAÜSTÜ HİZMETLERİ......................................................................................................... 6
4. BTH AKTÖRLERİ........................................................................................................................... 6
4.1 EDİNEN .......................................................................................................................................... 6
4.2 BİLGİ TEKNOLOJİSİ HİZMETİ SAĞLAYICISI .............................................................................. 6
4.3 BELGELENDİRME KURULUŞU ................................................................................................... 7
4.4 DANIŞMANLIK ............................................................................................................................... 7
4.4.1 EĞİTİM DANIŞMALIK................................................................................................................ 7
4.4.2 ALIM DANIŞMANLIĞI ............................................................................................................... 7
4.5 POLİTİKA BELİRLEYİCİ ................................................................................................................ 7
4.6 DÜZENLEYİCİ ................................................................................................................................ 7
5. BTH STANDARTLARI ................................................................................................................... 8
5.1 SÜREÇ BAZLI STANDARTLAR ................................................................................................... 8
5.1.1 ISO 9001 ................................................................................................................................... 8
5.1.2 ISO/IEC TR 9294 ....................................................................................................................... 8
5.1.3 ISO/IEC 12207 .......................................................................................................................... 9
5.1.4 ISO/IEC 15288 .......................................................................................................................... 9
5.1.5 ISO/IEC 15026 ........................................................................................................................ 10
5.1.6 TS ISO/IEC 15504 ................................................................................................................... 10
5.1.7 ISO IEC TR 15846 ................................................................................................................... 11
5.1.8 ISO/IEC 16085 ........................................................................................................................ 11
5.1.9 ISO/IEC 16326 ........................................................................................................................ 12

5.1.10 ISO/IEC TR 18044 .............................................................................................................. 12
5.1.11 ISO 19011 ........................................................................................................................... 12
5.1.12 ISO/IEC 20000 .................................................................................................................... 13
5.1.13 ISO/IEC 21827 .................................................................................................................... 13
5.1.14 ISO/IEC 27001 ..................................................................................................................... 14
5.1.15 ISO 31000 ........................................................................................................................... 15
5.1.16 ISO/IEC 38500 .................................................................................................................... 15
5.1.17 CMMI .................................................................................................................................... 15
5.1.18 COBIT .................................................................................................................................. 16
5.1.19 ETOM ................................................................................................................................... 16
5.1.20 ITAFA ................................................................................................................................... 17
5.1.21 ITIL ....................................................................................................................................... 18
5.1.22 PMBOK / PRİNCE2 ............................................................................................................. 19
5.1.23 RISK IT................................................................................................................................. 20
5.1.24 TOGAF ................................................................................................................................. 20
5.1.25 VAL IT .................................................................................................................................. 21
5.2 ÜRÜN/HİZMET BAZLI STANDARTLAR ..................................................................................... 22
5.2.1 ISO/IEC TR 9126 ..................................................................................................................... 22
5.2.2 ISO/IEC 14598 ........................................................................................................................ 23
5.2.3 ISO/IEC 15408 ........................................................................................................................ 23
5.2.3.1 KAPSAMI ............................................................................................................................. 23
5.2.3.2 SEVİYELER ......................................................................................................................... 25
5.2.4 ISO/IEC 12119 ........................................................................................................................ 26
5.2.5 TS ISO/IEC 90003 .................................................................................................................. 26
5.3 ULUSAL DÜZENLEMELER ......................................................................................................... 27
5.3.1 TS 12788 ................................................................................................................................. 27
5.3.2 TS 12498 ............................................................................................................................... 27
5.3.3 TS 13079 ................................................................................................................................ 27
5.3.4 TS 13149 ................................................................................................................................ 27
5.3.5 TS 13242 ................................................................................................................................ 27
5.3.6 TS 13298 ................................................................................................................................. 28
5.3.7 KAMU KURUMLARI İNTERNET SİTELERİ DÜZENLEMESİ................................................. 28
6. BT VE İKLİM DEĞİŞİKLİĞİ .......................................................................................................... 29
7. DÜNYA UYGULAMALARI ........................................................................................................... 31
8. TÜRKİYE’DEKİ DURUM .............................................................................................................. 33
7.1 GENEL DURUM ........................................................................................................................... 33
7.2 BİLGİ TOPLUMU STRATEJİSİ EYLEM PLANI .......................................................................... 33
7.3 STANDARDİZASYON ÇALIŞMALARI ........................................................................................ 34
7.3.1 GENEL DURUM ....................................................................................................................... 34
7.3.2 FİNANS SEKTÖRÜ.................................................................................................................. 35
Bilgi Teknolojisi Hizmetleri Düzenleyici Çerçeve Yaklaşımı ii

7.3.3 ELEKTRONİK SERTİFİKA HİZMET SAĞLAYICILIĞI ............................................................ 35
7.3.4 ELEKTRONİK HABERLEŞME HİZMETİ İŞLETMECİLİĞİ ..................................................... 36
7.3.5 KAMU ALIMLARI ..................................................................................................................... 36
7.3.5.1 KAMU BİLGİ VE İLETİŞİM TEKNOLOJİSİ PROJELERİ HAZIRLAMA KILAVUZU ......... 36
7.3.5.2 MİLLÎ SAVUNMA BAKANLIĞI............................................................................................ 36
9. DÜZENLEYİCİ YAKLAŞIMLAR ................................................................................................... 37
10. MODEL ÖNERİSİ ......................................................................................................................... 38
11. SONUÇ ......................................................................................................................................... 40
KAYNAKÇA .......................................................................................................................................... 41
Bilgi Teknolojisi Hizmetleri Düzenleyici Çerçeve Yaklaşımı iii

Şekiller
Şekil 1. 12207 Yaşam Döngüsü ................................................................................. 9

Şekil 2. 27001 Yaşam Döngüsü ............................................................................... 14
Şekil 3. Risk IT, Val IT ve COBIT.............................................................................. 22
Şekil 4. BTH Yükümlüsü ........................................................................................... 38
Şekil 5. BTH Düzenleme Modeli ............................................................................... 39
Şekil 6. BTH Düzenleme Matrisi ............................................................................... 39
Bilgi Teknolojisi Hizmetleri Düzenleyici Çerçeve Yaklaşımı iv

Kısaltmalar
ATM (Automated Teller Machine) Para ödeme-yatırma makinası
BDDK Bankacılık Düzenleme ve Denetleme Kurumu
BT Bilgi Teknolojisi
BTH Bilgi Teknolojisi Hizmeti
BTK Bilgi Teknolojileri ve İletişim Kurumu
BTHS Bilgi Teknolojisi Hizmet Sağlayıcı
BTHY Bilgi Teknolojisi Hizmet Yükümlüsü
BTH-UKK Bilgi Teknolojisi Hizmetleri Ulusal Koordinasyon Kurulu
DPT Devlet Planlama Teşkilatı
MAM Türkiye Bilimsel ve Teknik Araştırma Kurumu, Marmara Araştırma Merkezi
NEN (Nederlands Normalisatie-instituut) Hollanda Standartlar Enstitüsü
POS (Point of Sale) Elektronik para ödeme cihazı
TBD Türkiye Bilişim Derneği
TSE Türk Standardları Enstitüsü
TÜBİSAD Bilişim Sanayicileri Derneği
YASAD Yazılım Sanayicileri Derneği
YPK Yüksek Planlama Kurulu
Bilgi Teknolojisi Hizmetleri Düzenleyici Çerçeve Yaklaşımı v

1. GİRİŞ
Günümüzde kurum ve kuruluşlar iş verimliliklerini arttırmak ve rekabet güçlerini

korumak amacıyla en son teknolojileri takip etmek ve bu teknolojileri Bilgi Teknolojisi
(BT) altyapıları ile bütünleştirmek için çalışmalar yapmaktadır. Bu çalışmaların
sonucu olarak BT altyapıları farklı teknolojileri, platformları ve uygulamaları içeren
büyük ve karmaşık yapılar halini almaktadır. Bu büyük ve karmaşık altyapıların
sorunsuz bir şekilde çalışır durumda tutulması, işletilmesi, yönetilmesi, yeni
teknolojilere uygun bir şekilde güncellenmesi için ise özel uzmanlıklara ve destek
mekanizmalarına ihtiyaç duyulmaktadır.
Bunun bilincinde olan kurum ve kuruluşlar değişen teknolojiye ayak uydurabilmek,

rekabet güçlerini koruyabilmek, maliyetlerini kontrol altında tutabilmek, risklerini
paylaşmak ve destek sürecindeki yönetim ve kontrol zorluklarını aşmak için, BT
hizmetlerini konularında uzmanlaşmış hizmet sağlayıcılardan almayı tercih
etmektedirler. Bilgi Teknolojisi (BT) dış kaynak kullanımı 500 milyar doları aşmış
durumdadır (Lancellotti et al, 20031). Artık kurumlar BT konusunda dış kaynak
kullanıp kullanmamayı düşünmeyi bırakmış dış kaynağı nasıl kullanacakları üzerinde
fikir yürütmektedirler.
Lee (20062)’ye göre bunun için üç temel sebep vardır:
1. Maliyet ve etkinlik: Uzmanlaşmış Bilgi Teknolojisi Hizmet Sağlayıcıları (BTHS)

daha düşük maliyetlerle daha geniş yelpazede daha yeni ürünler sunabiliyor. Bunun
temel sebebi rekabet, dış kaynak kullanmadan edinen kurum bünyesinde sunulan
hizmetler rekabetten uzak olduğundan yenilikçi ve verimli olma saikından yoksundur.
2. Kabiliyet: Farklı disiplindeki sektörlerle ilgilenmek zorunda kalan kurum içi
geliştiriciler BT’deki artan karmaşıklık ve hızlı değişime uygun bir hızda bilgi birikimi
yapamamaktadır.
3. Uzmanlaşma: Her geçen gün karmaşıklaşan teknoloji dar bir ihtisas alanında
uzmanlaşmayı gerektirmektedir.
1
Lancellotti, R., Schein, O., Spang, S. and Stadler, V. (2003). ICT and Operations outsourcing in banking
Hollanda Standartlar Enstitüsü’nün 2009’da yayımladığı “BT Dış Kaynak Kullanımı” başlıklı araştırmasından
yapılan alıntı (NEN, 2009)
2
Lee, J., (2006), Sustainable IT outsourcing arrangements, Delft University of Technology, Delft
NEN, 2009’dan alıntı
Bilgi Teknolojisi Hizmetleri Düzenleyici Çerçeve Yaklaşımı 1

BT’deki dış kaynak kullanımı diğer hizmetlerdeki dış kaynak kullanımına göre
farklılıklar teşkil etmektedir:
1. BT, edinen3 kurumun tüm süreçlerinde yer almaktadır.
2. BT’ye yapılan yatırımın hızla modası geçmekte ve yeni ürünler/hizmetler daha
hızlı piyasaya çıkabilmektedir.
3. Bir BT yatırımının yenilenmesinin maliyeti oldukça yüksek olabilmektedir.
Pek çok araştırma4 göstermektedir ki BT projelerinin yarısı edinen beklentilerini

karşılamaktan yoksundur, yani yılda 300 milyar dolar başarısız BT projelerine
harcanmaktadır.
BTH’yi dış kaynak kullanımı yoluyla tedarik etmek oldukça yüksek riskli bir iş
olduğundan bu riski asgariye indirmek oldukça önemlidir. BT sektöründe gerek
BTHS’ler gerekse de edinen tüm tarafların sunulacak BTH’ye güveninin
sağlanabilmesi için sektöre ilişkin düzenleme mekanizması geliştirilmesi gerektiği
düşünülmektedir.
Bu bağlamda, BT hizmetlerinin ve sektörünün gelişimi açısından büyük önem taşıyan

“Bilgi Teknolojisi Hizmetlerinde Düzenleme Mekanizmalarının Geliştirilmesi” konusu
ile ilgili çalışmalar yapmak konuyla ilgili ve istekli tüm tarafların katılımı ile Bilgi
Teknolojisi Hizmetleri Ulusal Koordinasyon Kurulu (BTH-UKK) kurulmuştur.
BTH düzenlemesi çalışmasıyla BT alanında edinenlerin riskinin asgariye indirilmesi

hedeflemiştir. Ayrıca BT sektörünün ürettiği yazılım gibi ürünlerin ve bakım, onarım
gibi hizmetlerin kalitesinin belli bir seviyenin üstünde olması ve ürün/hizmet üretim
süreçlerinin de aynı şekilde belgelendirilebilir olmasının temin edilmesi halinde
ülkemiz BT sektörünün uluslararası rekabet gücünün artacağı saikıyla hareket
edilmektedir.
3
Yürütmekte olduğu faaliyetleri daha etkin ve verimli hale getirebilmek için BT hizmeti ya da ürününü tedarik
eden taraf olup “Edinen” tabiri TS ISO/IEC 15504-1/Nisan 2007 sayfa 2’den alınmıştır.
4
Standish Group, 1995; Beenker, 2004; van Heur, 2007; Ernst &Young, 2007; (NEN, 2009’dan alıntı)

2. ÇALIŞMANIN AMACI
Bu çalışma neticesinde bir düzenleyici çerçeve taslağı oluşturulması

hedeflenmektedir. Bu çerçevede yazılım geliştirme, bakım-onarım, donanım bakım
onarım vb. BTH’lerin sunumunda hizmet sağlayıcıların ve sunulan hizmetin/ürünün
belirli standartları sağlaması ve bu durumun belgelendirilmesi gerekliliğinin yer
alması gerektiği mütalaa edilmektedir. Oluşturulacak bu düzenleyici çerçeve
taslağında, standardizasyon kuruluşunun mevcut standartlarının ve uluslararası
akreditasyon normlarına uygun bir belgelendirme rejiminin esas alınması
amaçlanmaktadır.
Bu düzenleyici çerçevenin hayata geçmesi durumunda; yukarıda zikredilen BTH

projelerindeki yüksek riskin asgariye indirilmesi, tüm tarafların BTH sunumuna
güveninin yükseltilmesi ve yerli BTHS’lerin uluslararası pazarlardaki rekabet gücünün
artırılması temel amaçlardır.
3. BİLGİ TEKNOLOJİSİ BİLEŞENLERİ
Yukarıda BT dış kaynak kullanımının diğer dış kaynak kullanımlarından farklı

olduğuna değinilmişti, MAM (2003:4) bu konuyu raporunda biraz daha derinlemesine
incelemiş ve BT’nin diğer ürün ve hizmetlerden farklı olmasının nedenleri şu şekilde
sıralamıştır:
a. Bilişim teknolojilerinin çok hızlı gelişmesi
b. Elle tutulamayan yapı olması
c. Üretim sürecinin olmaması (kopyalama)
d. Mühendislik/geliştirme aşamasının önem kazanması
e. Yazılım gereklerinin belirlenmesindeki güçlükler
f. Yazılımda nitelikli insan gücü gereksiniminin daha fazla olması
g. Ölçme ve değerlendirmedeki güçlükler
h. Yazılım güvenilirliğinin donanım güvenilirliğine göre farklılıklar içermesi
i. Maliyet yapısındaki değişiklikler (geliştirilen bir yazılımın çoğaltılmasının bir
maliyetinin olmaması, maliyetin sabit olmaması, vb.)
j. Yazılım güvenliğinin kuruluşlar için çok önemli olması
k. Fikri mülkiyet hakları

Bu nedenlerden dolayı BT ürün ve hizmetleri değerlendirilirken farklı yöntemler
izlenmelidir. Bu değerlendirmede bileşenlerin belirlenmesinin önemine istinaden
bileşenlere genel olarak aşağıda yer verilmektedir.
3.1 Ürünler
BT ürünleri, BT hizmeti sunmanın önemli bir parçasıdır. Öncelikle bu ürünlerin
kullanıcı tarafından iyi belirlenmesi gerekmektedir. İhtiyaçları tam olarak karşılaması
için ürün özelliklerinin alım aşamasında iyi detaylandırılması büyük önem
taşımaktadır.
3.1.1 Yazılım
Yazılım, çok somut bir ürün olmadığından test etme kabiliyeti düşük alıcılar
tarafından alım aşamasında önceden belirlenmiş ihtiyacı karşıladığından emin
olunması zordur. Bu nedenle yazılımın sadece ürün olarak standartlara uymasının
beklenmesinin yanında geliştirme sürecinde de yazılım üreticisinin kurumsal olarak
süreçlerle ilgili standartlarda belirlenen yapıyı takip etmesi önem kazanmıştır.
3.1.2 Donanım
BT donanımları ile ilgili pek çok standart mevcuttur. Alıcının ihtiyacı iyi belirleyip alım
kurallarında bu ihtiyaçları detaylandırması önemlidir.
3.2 Hizmetler
3.2.1 Danışmanlık
Ana çalışma konusu BT olmayan hemen tüm sektörler BT ürün ve hizmetlerini alıcı
olarak kullanmaktadır. Ancak bu konuda ürün/hizmetin detayını anlayabilecek
derinlikte bilgi birikimine sahip olma şansları olmadığı için gerek alım kurallarını
koyarken, gerek alım aşamasında gerekse de alım akabindeki hizmetlerde dış
kaynaklı danışmanlık hizmeti alma ihtiyacı hâsıl olabilmektedir.

3.2.1.1 Eğitim
BT çok yüksek bir hızla gelişen bir sektör olması nedeniyle kullanıcıların gelişen ve
değişen BT araçlarını takip etme yeteneği bu gelişme hızına yetişememektedir. Bu
nedenle araçlarla ilgili eğitim kullanıcılar için elzem hale gelmiştir.
3.2.1.2 Satın Alma

BT konusunda yetkin olmayan sektörler, BT ürün/hizmeti satın alma sürecinde
oldukça zorlanmaktadır. İhtiyacı olan ürün ya da hizmetin özelliklerinin
detaylandırılmasını kendi bünyelerinde çözebilecekleri gibi dış kaynak kullanımı ile
bu konuda daha yetkin danışmanlar marifetiyle süreci devam ettirebilmektedirler.
3.2.2 Bakım/onarım
BT ürününün satın alınması sonrasında ilgili ürünün alıcı tarafın ihtiyacı çerçevesinde
çalışırlığının sağlanması için sürekli bakım ve onarım ihtiyacı vardır. TÜBİSAD bt-
pota (TÜBİSAD, 2007) çalışmasında bir hizmetler katalogu hazırlanmış ve bakım
onarım hizmeti sağlanacak teçhizat aşağıdaki şekilde sınıflandırılmıştır:
a) Kişisel bilgisayar, sunucu ve çevre birimleri

b) ATM
c) POS
d) Network
e) Güvenlik ürünleri
f) Yazılım
3.2.3 Güvenlik
Kurumların BT sistemlerinin güvenliklerinin sağlanması için; virüs, truva atı, solucan
gibi kötücül yazılımlar (malware) ile istenmeyen e-postalar kurum sistemlerini kısmen
ya da tamamen etkileyerek çalışmaz hale getirebilmesi tehdidine karşı sürekli
izlenerek gerekli tedbirlerin alınması hizmetidir.
3.2.4 Felaket Kurtarma

Kurum sistemlerinde deprem, yangın, sel gibi doğal afetlerin yanı sıra; sabotaj, terör,
casusluk gibi insan kaynaklı saldırılar durumunda meydana gelebilecek çalışamama

hallerinde yedek bir sistemin devreye girerek asıl sistem normalleşinceye kadar bu
sistemin yürütmekte olduğu hizmetleri yürütmesi hizmetidir.
3.2.5 Yardım Masası

Yardım Masası, çağrı bazlı yürütülen/yönetilen tüm BT operasyonlarına/hizmetlerine
ilişkin çağrı alma, açma/kaydetme, belirli sınırlar dâhilinde çözüm getirme,
yönlendirme, izleme, ölçümleme, raporlama ve kapatma işlemlerinin gerçekleştirildiği
sistem ve bu sistem üzerinden verilen hizmettir. (TÜBİSAD, 2007:56)
3.2.6 Masaüstü Hizmetleri

Masaüstü Hizmetleri, en geniş anlamı ile kişisel bilgisayar, yazıcı, tarayıcı, çevre
birimleri ve bunların üzerindeki işletim sistemleri, uygulamalar vb. müşterilerin
“kullanıcı tarafındaki” ürünlerinin/sistemlerinin gereksinimlere ve gelişimlere paralel
olarak, etkin, verimli ve sorunsuz bir biçimde kullanılmasını sağlamak üzere, belirli
servis seviyelerine uygun olarak verilen destek ve yönetim hizmetleridir. (TÜBİSAD,
2007:62)
4. BTH AKTÖRLERİ
BT hizmetlerinin sunumunda ve alımında çeşitli taraflar vardır. Aşağıda bu taraflar

kısaca belirtilmektedir. Tarafların belirlenmesinde MAM raporundan (MAM, 2003:11)
faydalanılmış ve günümüz ihtiyaçlarına göre bazı güncellemeler yapılmıştır.
4.1 Edinen
Yürütmekte olduğu faaliyetleri daha etkin ve verimli hale getirebilmek için BT hizmeti
ya da ürününü tedarik eden taraftır.5
4.2 Bilgi Teknolojisi Hizmeti Sağlayıcısı

BTHS, BT hizmet ya da ürününe ihtiyaç duyan tarafların bu ihtiyacını karşılayan
taraftır.
5
“Edinen” tabiri TS ISO/IEC 15504-1/Nisan 2007 s2 den alınmıştır.

4.3 Belgelendirme Kuruluşu
Sağlanan ürün ya da hizmetin standartlar/kurallar çerçevesinde üretilip üretilmediğini
değerlendiren ve bu değerlendirme neticesinde varsa ilgili değerlendirmeye ilişkin
belge veren kuruluştur.
Belgelendirme Kuruluşu aynı zamanda BT hizmeti ya da ürünü sağlayan tarafın

(BTHS) bu hizmetin sağlanmasında ve bu ürünün üretilmesinde izlediği yöntemlerin
uygulanan süreçlerin standartlar/kurallar çerçevesinde yürütülüp yürütülmediğini
değerlendirmekte ve bu değerlendirme neticesinde varsa ilgili değerlendirmeye ilişkin
belge veremektedir.
4.4 Danışmanlık
4.4.1 Eğitim danışmalık

BT kullanıcılarının kabiliyetleri gelişen ve değişen BT araçlarını tek başlarına takip
etmeye yetmemektedir. Bu nedenle ilgili araçlar konusunda uzmanlaşmış
kurumlardan eğitim danışmanlığı alınması ihtiyacı oluşmaktadır. Bu hizmeti sunan
kuruluşlar Eğitim Danışmanı tarafıdır.
4.4.2 Alım danışmanlığı

BT konusunda yetkin olmayan sektörlere, BT ürün/hizmeti satın alma sürecinde,
ihtiyacı olan ürün ya da hizmetin özelliklerinin detaylandırılması süreçlerinde
danışmanlık hizmeti veren taraftır.
4.5 Politika Belirleyici

Ülkemizde BT alanında politika belirleyici en üst düzey makam e-dönüşüm Türkiye
icra kuruludur.
4.6 Düzenleyici
BT ürün ve hizmetleri ve bunların üretim ve sağlanması süreçleri konularında
standartları oluşturan ya da benimseyen standardizasyon kuruluşu ve BT alanında
düzenleyici diğer kuruluşlardır.

5. BTH STANDARTLARI
5.1 Süreç Bazlı Standartlar
5.1.1 ISO 9001 6

ISO 9000 Kalite Standartları Serisi: etkili bir yönetim sisteminin nasıl
kurulabileceğini, dokümante edilebileceğini ve sürdürebileceğini göz önüne
sermektedir. Bu standart Türkiye ve dünyada en yaygın kullanım alanı bulan
standartlardandır. ISO 9001 ise etkin bir kalite yönetim sistemini tanımlayan bir
standarttır. Standart, merkezi İsviçre’nin Cenevre kentinde yer alan ve 90’dan fazla
ülkenin üye olduğu ISO7 tarafından geliştirilmiştir. ISO 9001 standardı, her 5 yılda bir
ISO tarafından gözden geçirilmekte ve uygulayıcıların görüşleri ve ihtiyaçlar
doğrultusunda gerekli revizyonlar yapılarak yeniden yayımlanmaktadır. En son ISO
9001:2008 revizyonu yayımlanmıştır. Belgelendirme kuruluşları yetkilendirme yetkisi
üye ülkelerin akreditasyon kurullarına verilmiştir. Türkiye’deki akreditasyon yetkisi
TÜRKAK'a verilmiştir.8
5.1.2 ISO/IEC TR 9294 9

Yazılım dokümantasyonunun yönetimi için prensipler: Dokümantasyon yazılım iş
sürecinin bütün aşamalarında gereklidir. Bu standart yazılım üretiminde görevli
yöneticilere yazılım dokümantasyonunun yönetimi konusunda rehberlik etmektedir.
Böylece yöneticilere bağlı oldukları kurum veya kuruluşta etkin dokümantasyon
üretimini sağlamaları konusunda yardımcı olmaktadır. Verilen rehberlik en basit
programdan en karmaşık yazılım paketlerine veya yazılım sistemlerine kadar bütün
yazılım çeşitlerini hedeflemektedir. Yazılım yaşam sürecinin bütün evreleriyle ilgili
doküman çeşitleri kapsanmaktadır. Yazılım projesinin boyutu ne olursa olsun yazılım
dokümantasyon prensipleri aynıdır. Yöneticiler bu önerileri proje ihtiyaçlarına göre
değiştirebilmektedir.
6
http://www.iso.org
7
Uluslararası Standardizasyon Örgütü ( International Standardization Organization)
8
http:// www.turkak.org.tr
9
http://www.iso.org

5.1.3 ISO/IEC 12207 10
Yazılım yaşam döngüsü süreçleri: Yazılım edinme, geliştirme ve yönetimi
aşamalarının, yazılım endüstrisinde standart hale getirilmesi amacıyla hazırlanmıştır.
Yazılım yaşam döngüsü için bir çerçeve oluşturur. Standardın yapısı, süreçler ve
aralarındaki ilişkiler üzerine kuruludur. Yazılım faaliyetleri; süreçler, etkinlikler ve
görevlerden oluşur.
TSE Teknik Kurulu’nun 11 Mayıs 2001 tarihli toplantısında Türk standardı olarak
kabul edilmiştir.11
Şekil 1. 12207 Yaşam Döngüsü
5.1.4 ISO/IEC 15288 12

Sistem yaşam döngüsü süreçleri: ISO/IEC 15288 standardı süreçleri ve yaşam
döngüsü aşamalarını kapsayan bir sistem mühendisliği standardıdır. Standart
süreçleri dört bölümde tanımlar. Bunlar teknik süreçler, proje süreçleri, anlaşma
süreçleri, iş süreçleridir. Her tanım amacı, çıktıları ve aktiviteleri içerir. Dokümanda
10
http://www.iso.org
11
TÜRK STANDARDI TS ISO/IEC 12207/Haziran 2007
12
http://www.iso.org

tanımlanan örnek yaşam döngüsü süreçleri arasında konsept, geliştirme, üretim,
kullanım, destek ve hizmetten çekilme yer alır.
5.1.5 ISO/IEC 15026 13

Sistem ve yazılım entegrasyon seviyeleri: Bu standart yazılım entegrasyon
seviyeleri ve gereklilikleri ile ilgilidir. Entegrasyon seviyeleri ile ilgili kavramları
tanımlar, entegrasyon seviyelerini belirlemek için gerekli süreçleri tanımlamakta ve
her bir süreç için gereklilikler belirlemektedir. Entegrasyon seviyesi, yazılımın bir
özelliğinin sistem risklerini kabul edilebilir sınırlar içerisinde tutmak için gerekli değer
aralıklarını ifade emektedir. Bir yazılım aksaklığı tüm sistem için tehdit
oluşturmaktadır ve bu aksaklığın yaşanma ihtimali ve sıklığının bu değer aralıklarında
tutulması gerekmektedir.
5.1.6 TS ISO/IEC 15504 14

Yazılım süreç yönetimi belgelendirmesi: SPICE15, farklı yazılım süreç
değerlendirme model ve yöntemleri için ortak bir ana prensip sağlamaktır. Böylece
değerlendirmelerin sonuçlarının ortak bir bağlamda rapor edilmektedir.
Referans model iyi yazılım mühendisliği için gerekli olan temel hedefleri üst seviyede
tarif etmekte ve yazılımı elde etme, sağlama, geliştirme, işletme, tekamül ettirme ve
destek yeterliliği oluşturmayı isteyen her yazılım kuruluşuna uygulanmaktadır.
Model, belirli bir kuruluş yapısı, yönetim felsefesi, yazılım yaşam döngüsü modeli,
yazılım teknolojisi ya da geliştirme metodolojisini temel almamaktadır.
Bu referans modelin mimarisi, yazılımcının süreçleri sürekli iyileştirmesi için anlaması

ve kullanmasına yardımcı olacak şekilde düzenlemektedir.
13
http://www.iso.org
14
İbrişim A. (2007:5)
15
Software Process Improvement and Capability Determination- Yazılım Süreci İyileştirme ve Yeterlilik
Belirleme

Süreç boyutu Süreç yeterlilik boyutu
TS ISO/IEC 15504, 5 bölüm halinde Türk standardı olarak yayınlanmış olup, TSE
bünyesinde belgelendirme çalışmaları devam etmektedir.16
5.1.7 ISO IEC TR 15846 17

Konfigürasyon Yönetimi; bir projenin teknik detaylarının alıma çıkılması
aşamasından uygulamaya geçiş ve uygulamada kalış süresince, yaşam döngüsü
içinde kontrolünü ifade etmektedir. Projenin temel esaslarının değişiminin takip
edildiği yöntemi tanımlamaktadır. İşlevsel ve fiziki ihtiyaçların özelliklerinin sistem
güvenilirliğini, uyuşumu ve bekasını hedeflemesini sağlar.
TS ISO IEC 15846; Yazılım Konfigürasyon Yönetim (YGY) süreci için ihtiyaçları
kapsamaktadır. YGY, ISO/IEC 12207 standardında belirtildiği gibi bir yazılım ürünü
yaşam döngüsünü yapılandırma yönetimi yönünden desteklemektedir. YGY; işletme,
bakım ve geliştirme süreçleri boyunca sürekliliği sağlamaktadır.
5.1.8 ISO/IEC 16085 18

Risk Yönetimi
Bu standart risk yönetimi için devamlı bir süreci tanımlar. Risk yönetiminin amacı
potansiyel idari ve teknik problemleri daha ortaya çıkmadan belirlemektir. Bu sayede
bu problemlerin ortaya çıkma ihtimalini ve etkisini azaltacak veya tamamen ortadan
kaldıracak önlemler önceden alınabilmektedir. Proje planlarının uygulanabilirliğini
sürekli belirlemek, potansiyel problemlerin belirlenmesini güçlendirmek ve ürünlerin
kalite ve performansını arttırmak için kritik bir araçtır. Bu standart yazılım ve
16
Çetinkaya, B., (TSE) 28.09.2009 tarihli e-posta
17
İbrişim A. (2007:6), Türk Standardlar Enstitüsü, Standard ve Belgelendirme Konularına Genel Bakış
(Yayımlanmamış Bilgi Notu), 2007, Ankara
18
http://www.iso.org

sistemlere eşit şekilde uygulanabilmektedir. Standart sistem veya yazılım edinme,
destek, geliştirme, işletim ve bakım süreçlerinde risk yönetimi için süreci
belirlemektedir. Detaylı risk yönetimi tekniklerini sağlamaz fakat bunun yerine pek
çok teknikten birinin uygulanabileceği bir risk yönetim süreci tanımlar.
5.1.9 ISO/IEC 16326 19

Proje yönetimi: Bu standart proje yöneticilerine yazılım yoğunluklu sistemlerle ve
yazılım ürünleri ile ilgili projeleri başarılı bir şekilde yönetmelerinde yardımcı olma
amacını gütmektedir. Bu standart proje yönetim planının gerektirdiği içeriği belirler.
Bu standardın uygulanma alanı bütün yazılım veya sistem yaşam döngüsünü
kapsamakta ve proje yönetiminde yer alan herkese hitap etmektedir.
5.1.10 ISO/IEC TR 18044 20

Bilgi güvenliği olay yönetimi: Bilgi güvenliği olay yönetimi konusunda bilgi
güvenliği, bilgi sistem, hizmet ve ağ yöneticilerine tavsiye ve rehberlik sağlamaktadır.
Hiçbir tipik bilgi güvenlik politikası veya önlemi bilginin, bilgi sistemlerinin, hizmetlerin
ve ağların korunmasını garanti altına almamaktadır. Güvenlik tedbirleri alındıktan
sonra bile bilgi güvenliğini etkisiz hale getirecek ve bilgi güvenlik olaylarına imkân
tanıyacak zayıflıklar kalma ihtimali vardır. Ayrıca yeni tehditler ortaya çıkabilir. Bu
sebeple bilgi güvenliği konusunu ciddiye alan bir kurumun şunları yerine getirmesi
önemlidir:
a) Bilgi güvenliği olaylarını tespit etme, raporlama ve değerlendirme
b) Bilgi güvenliği olaylarına karşılık verme
c) Meydana gelen bilgi güvenliği olaylarından ders çıkararak bilgi güvenliği
olaylarının yönetiminde iyileştirmeler yapma
5.1.11 ISO 19011 21

Kalite ve/veya çevresel yönetim sistemleri denetimi için klavuz: Bu klavuz,
denetleme, denetleme programlarının yönetimi, kalite yönetim sistemleri denetimi,
çevresel yönetim sistem denetimi prensipleri konusunda rehberlik sağlamaktadır. Bu
rehberliğin esnek olması amaçlanmıştır. Burada belirtilen prensiplerin kullanımı
19
http://www.iso.org
20
http://www.iso.org
21
http://www.iso.org

denetlenecek kuruluşların boyut ve karmaşıklığına ve yapılacak denetimlerin amaç
ve kapsamlarına göre değişebilmektedir. Kalite veya çevresel yönetim sistemleri
konusunda iç veya dış denetim yapacak veya bir denetim programını yönetecek
bütün kuruluşlara uygulanabilmektedir.
5.1.12 ISO/IEC 20000 22

Bilgi Teknolojileri Hizmet Yönetimi: BTH yönetimi konusundaki ilk uluslararası
standart olup iki kısımdan oluşmaktadır. Yönetilen hizmetlerin etkin bir şekilde
sunulması için bütünleşik süreç yaklaşımını benimsemektedir. Bir kuruluşun etkin bir
şekilde işleyebilmesi için birbirine bağlı birçok etkinliği belirleyip yönetmesi
gerekmektedir. Hizmet yönetim süreçlerinin koordineli bir şekilde bütünleştirilmesi ve
uygulanması yüksek verimlilik ve devamlı gelişim imkânları sunmaktadır. Bu
standardın ilk kısmı bir BTHS’nin müşterilerine belirli bir kaliteyi haiz gözetimli hizmet
sunması için gereklilikleri tanımlamaktadır. İkinci kısım ise BTH yönetimi için başarılı
uygulamaları tarif etmektedir.
5.1.13 ISO/IEC 21827 23

Bilgi Teknolojisi – Güvenlik Teknikleri – Sistem Güvenlik Mühendisliği –
Yetenek Olgunluk Modeli (CMM®)
Bu standart Sistem Güvenlik Mühendisliği - Yetenek Olgunluk Modelini (SSE-CMM®)
belirlemektedir. Bu model bir sistemde veya BT güvelik alanındaki birbiriyle ilişkili
birkaç sistemde güvenliğin kurulmasını teminen gerekliliklere odaklanmış bir süreç
referans modelidir. BT güvenliğini sağlamak için kullanılan süreçlerin olgunluklarına
odaklanılmıştır. Bu standardın kapsamı şu şekildedir:
a) Güvenli bir ürün için veya güvenilir bir sistem için bütün yaşam döngüsünü
içeren sistem güvenlik mühendisliği etkinlikleri
b) Ürün geliştiriciler, güvenli sistem geliştiriciler, entegratörler, bilgisayar güvenlik
hizmetleri ve bilgisayar güvenlik mühendisliği sağlayan organizasyonlar için
gereklilikler
c) Özel sektörden kamuya ve akademiye kadar bütün güvenlik mühendisliği
organizasyon türleri ve boyutları
22
http://www.iso.org
23
http://www.iso.org

5.1.14 ISO/IEC 27001
Bilgi Güvenliğii Yönetim Sistemi
Sis Belgelendirmesi: Etkin bir bilgi güvenlik yönetim
sisteminin oluşturulması
turulması amacıyla, Bilgi Güvenliği
Güvenli Yönetim Sistemi (BGYS), ISO/IEC
kazanmıştır24. ISO/IEC 27001
27001 adıyla uluslararası bir standart olarak geçerlilik kazanmı
standardı, TS ISO/IEC 27001 başlığı
ba ı altında Türk standardı olarak yayınlanmış
yayınlanmı olup,
TSE bünyesinde eğitim
itim ve belgelendirme hizmetleri verilmektedir. Ülkemizde
güvenlik gereksinimi yüksek olan şirket
irket ve kurumlarda yaygın olarak kullanılmaktadır.
BGYS,, kurumdaki tüm bilgi varlıklarının değerlendirilmesi

de erlendirilmesi ve bu varlıkların sahip
oldukları zayıflıkları ve karşı karşıya
kar ıya oldukları tehditleri göz önüne alan bir risk analizi
yapılmasını gerektirir. Kurum kendine bir risk yönetimi metodu seçmeli ve risk işleme
i
için bir plan hazırlamalıdır.
Risk işleme
leme için standartta öngörülen kontrol hedefleri ve kontrollerden seçimler
yapılmalıı ve uygulanmalıdır. Planla, uygula, kontrol et, önlem al (PUKÖ) çevrimi
uyarınca risk yönetimi faaliyetlerini yürütmeli ve varlığın
varlı ın risk seviyesi kabul edilebilir
bir seviyeye
iyeye geriletilene kadar çalışmayı
çalı sürdürmelidir.
25
28.09.2009 itibariyle ülkemizde 14 adet kuruluş TS ISO/IEC 27001 belgesi almıştır.
almı
Ş
Şekil 2. 27001 Yaşam Döngüsü
24
http://www.iso.org
25
e
Bilgi
ilgi Teknolojisi Hizmetleri Düzenleyici Çerçeve Yaklaşımı
Yakla 14
5.1.15 ISO 31000 26
Risk Yönetimi – Prensipler ve Kılavuzlar: ISO 31000:2009 risk yönetimi
konusunda prensipler ve genel klavuz sağlamaktadır. Herhangi bir sektöre özel
değildir ve kamu veya özel her kuruluş tarafından kullanılabilmektedir. Stratejiler,
kararlar, operasyonlar, süreçler, işlevler, projeler, servisler, ürünler gibi geniş bir
etkinlik alanına uygulanabilmektedir. Her tür riske doğası ne olursa olsun
uygulanabilmektedir. Genel prensipler sağlamakla birlikte bütün kuruluşlarda risk
yönetiminin aynı olmasını desteklememektedir. Her bir kuruluş kendi yapısına özel
ihtiyaçları ve kendi hedeflerini, yapısını, işlevlerini vb. göz önünde bulundurarak risk
yönetim planlarını tasarlamalı ve uygulamalıdır. Bu standart sertifikasyon amacı
gütmemektedir.
5.1.16 ISO/IEC 38500 27

Bilgi teknolojisinin kurumsal yönetimi : ISO/IEC 38500 üst seviye, prensip temelli
bir tavsiye standardıdır. Bu standart BT’nin etkin yönetimi için bir çerçeve
sağlamaktadır. Böylece kuruluşların en üst seviyesindeki yöneticilerinin BT kullanımı
konusunda hukuki, düzenleyici ve etik yükümlülüklerini anlamaları ve yerine
getirebilmelerine yardım etmektedir. Kamu ve özel sektör dâhil büyüklüğüne veya BT
kullanım seviyesine bağlı olmadan her türlü kurum ve kuruluşa uygulanabilmektedir.
Bu standardın amacı aşağıda belirtilen yöntemlerle bütün kuruluşlarda etkin, verimli
ve kabul edilebilir şekilde BT kullanımını teşvik etmektir:
a) Paydaşlara eğer standart kullanılırsa kuruluşun birleşik BT yönetimine
güvenebileceklerini garanti etme.
b) Yöneticileri kuruluşlarında BT kullanımını idare etme konusunda bilgilendirme
ve onlara yol gösterme.
c) Kurumsal BT yönetiminin ölçümü konusunda objektif bir temel sağlama.
5.1.17 CMMI
CMMI (Capability Maturity Model Inregration - Bütünleşik Yetenek Olgunluk
Modeli): Bu model, bir veya birden çok disiplin için etkili süreçlerin gerekli
elemanlarını içeren bir modeldir. Geçici, olgunlaşmamış süreçleri; gelişmiş kalite ve
26
http://www.iso.org
27
http://www.iso.org

yararlılık ile disiplinli ve olgun süreçler haline getirmek için evrimsel gelişim yolu
tanımlamaktadır. (TBD, 2008a)
Bir sistemin kalitesi, o sistemin işleyişine ait süreçlerin kaliteli olmasıyla doğrudan
ilgilidir. CMMI modelinin genel anlayışında, bir kurumun süreçlerini iyileştirmek
yatmaktadır. Süreç alanları bazında nelerin eksik olduğunu ve nelerin olması
gerektiğini anlatmaktadır. Model, sorunlara ait çözümlerin kurumlara; hatta projelere
ait olduğunu düşünerek, eksikliklerin nasıl giderileceğine dair yöntemler
tanımlamamaktadır. (TBD, 2008a)
5.1.18 COBIT
COBIT(Control OBjectives for Information and related Technology -Bilgi ve İlgili
Teknolojiler için Kontrol Hedefleri): Bir şirkette teknolojinin kullanımından ve BT
yönetişimi28 ile kontrol geliştirmekten dolayı ortaya çıkan faydayı en üst düzeye
çıkarmak için ölçüler, göstergeler, süreçler ve en iyi uygulamalar sağlamaktadır.
Cobit BT yönetişim modeli olma vizyonuna sahiptir. Cobit sadece bir denetim aracı
değil, aynı zamanda bir yönetişim aracı olma amacını taşımaktadır. Bu nedenle
yönetimden BT personeline kadar kurum içi ve dışında, kurumun varlığı ve sağlıklı
faaliyet göstermesi konularında risk üstlenen çeşitli taraflara fayda sağlama amacını
da yerine getirmeyi hedeflemektedir. (TBD, 2008b)
BDDK’nın bilgi sistemleri denetimi hakkındaki yönetmeliğinde, bağımsız

denetçilerden denetim usullerinde Cobit’e atıf yapılmaktadır. (BDDK, 2006)
5.1.19 eTOM
eTOM(enhanced Telecom Operations Map) TM Forum tarafından oluşturulan
eTOM BT ve İletişim Sektöründe geniş alanda uygulanan ve kabul gören bir model
ve çerçevedir29. eTOM daha çok uçtan uca hizmet sunumu ve destek için
kullanılmaktadır30.
28
Governance
29
http://www.tmforum.org
30
BPTrends Ocak 2005 – “eTOM and ITIL:Should you be Bi-lingual as an IT Outsourcing Service Provider?”,
Jenny Huang

Bir İş Süreç Çerçevesi olan eTOM, süreç detaylarını çeşitli seviyelerde gösteren
hiyerarşik süreç elemanlarıyla bir hizmet sağlayıcının firma ortamının bütününü
temsil eder31. Çerçevenin, tipik firmalarda ana odak noktalarını gösteren üç ana alanı
vardır. Bunlar;
d) Planlama ve yaşam döngüsü yönetimini içeren strateji, altyapı ve ürün,

e) Operasyonel yönetimin çekirdeğini kapsayan operasyonlar,
f) Şirket veya iş destek yönetimini kapsayan firma yönetimidir32.
Çerçeve içerdiği süreçler için farklı seviyelerde gruplandırmaya sahiptir. Bunlar yatay
gruplama ve dikey gruplamadır. Dikey süreç gruplama uçtan uca etkinliklere (örn.
sigorta) odaklanır ve her bir dikey grup müşteri, destek hizmetleri, kaynaklar ve
paydaşları ilişkilendirirken; yatay süreç gruplama işlevsel olarak ilişkili alanlara
odaklanır. Dikey gruplamalar soldan sağa başlangıç stratejisinden ürün geliştirmeye
ve faturalandırmaya doğru bir yaşam döngüsü olarak düşünülebilirken, yatay
gruplamalar firma süreçlerinin, tavandan tabana, katmanlı bir görünümü olarak göz
önüne getirilebilir33. Dikey ve yatay gruplamanın nerelerde kullanılacağı ve ne kadar
detaylandırılacağı kullanıcının ihtiyaçlarına göre belirlenebilir.
eTOM süreçlerin insan veya otomasyon yardımıyla nasıl destekleneceğini

belirlemezken daha çok telefon, veri, internet, mobil gibi benzer hizmetler arasında
yüksek kalitede uçtan uca hizmet sunumu için gerekli firma süreçlerinin ortaklıklarını
belirlemeye ve dış müşterilere hizmet sunumuna odaklanır34.
5.1.20 ITAFA
ITAFA(Professional Practices Framework for IT Assurance): BT yönetimi,
kontrolü ve güvencesi konusunda dünya çapında bir organizasyon olan ISACA35
tarafından geliştirilen ITAFA çerçevesi BT güvence profesyonellerinin sürekli
ihtiyaçlarını karşılamak amacıyla BT değerlendirmelerini yapacak standart, kılavuz,
araç ve teknikleri barındıracak bir çerçeve ve referans olarak tasarlanmıştır36.
31
http://www.tmforum.org/BestPracticesStandards/BusinessProcessFramework/6637/Home.html
32
33
34
BPTrends Ocak 2005 – “eTOM and ITIL:Should you be Bi-lingual as an IT Outsourcing Service Provider?”,
Jenny Huang
35
www.isaca.org
36
”A Prelude to IT Assurance Framework”, Ravi Muthukrishnan

ITAF kapsamlı bir iyi pratikler belirleyen modeldir ve BT denetleme ve güvencelerinin
tasarım, uygulama ve raporlamasında rehberlik eder, BT güvencesine özel terim ve
kavramları tanımlar ve BT denetleme ve güvence profesyonel rollerini ve
sorumluluklarını, bilgi ve yeteneklerini, çabalarını ve raporlama gerekliliklerini hedef
alan standartları kurar.37
ITAF çeşitli bölümlerden oluşur. Bunlar;
a) BT güvence profesyonellerinin çalışma prensiplerini oluşturan genel

prensipler,
b) Planlama, denetim, risk ve gereklilik, denetim ve güvence kanıtlama gibi
ödevlerin yerine getirilmesi ile ilgilenen performans standartları,
c) Rapor tipleri, iletişim yöntemleri ve iletilecek bilgileri belirleyen raporlama
standartları; ilgililere denetleme ve güvence konusunda bilgi ve yol gösteren
rehberler,
d) Belirli metodlar, araçlar ve şablonlar konusunda bilgi sağlayan araç ve
tekniklerdir38.
5.1.21 ITIL
ITIL(Information Technology Infrastructure Library - BT Altyapı Kütüphanesi):
BTH’yi yönetmede ayrıntılı ve yapısal en iyi uygulama örnekleri serisidir. ITIL,
80′lerin sonunda İngiltere kamu satın alma makamı olan OGC (Office of Government
Commerce) tarafından geliştirilmiştir. Süreç yaklaşımı sayesinde ITIL, edinen,
tedarikçi, BT bölümü ve kullanıcıları arasında başarılı bir şekilde iletişim kurulmasını
mümkün kılmaktadır.39
ITIL BTH yönetimi kavramlarını tanımlayan, sağlanan BTH’yi en iyi şekilde

sürdürmek için rehberlik eden ve kullanıcılarına BTH sağlama süreçlerini
detaylandıran kitaplardan oluşmaktadır. ITIL benimsenerek BTH yönetiminde ortak
terminoloji kullanılabilmekte ve kurumsal süreçler tecrübe edilmiş süreç örnekleri ile
profesyonelleştirilebilmektedir. ITIL yaklaşımının BTH yönetimi süreçlerine nasıl
37
ITAF: A Professional Framework for IT Assurance Özet Dokümanı, ISACA
38
ITAF: A Professional Framework for IT Assurance Özet Dokümanı, ISACA
39
http://www.infratech.com.tr/tr/itil_danismanligi.htm

uygulanacağı her kurum tarafından kendi kültürüne, yapısına ve teknolojisine göre
belirlenmelidir.
5.1.22 PMBOK / Prince2

PMBOK (The Project Management Body of Knowledge) ve PRINCE2 (PRojects
IN Controlled Environments): PMBOK PMI40 tarafından geliştirilen bir proje yönetim
standardıdır. PMBOK uluslararası kabul gören bir standarttır, IEEE tarafından
benimsenmiştir41 ve aynı zamanda bir ANSI standardıdır42.
PMGuide43 4. sürümünde PMBOK çerçevesine ilişkin bilgiler verilmiştir. PMBOK

proje yönetim çerçevesinde 5 süreç grubu vardır ve bunlar; Başlama, Planlama,
Yürütme, İzleme ve Kontrol etme ve Kapatma şeklindedir. Proje yönetimi;
gereklilikleri belirleme, proje planlamasında ve devam ederken paydaşların görüş,
endişe ve beklentilerine yanıt verebilmeyi ve proje kısıtlamalarını dengelemeyi içerir.
PMBOK çerçevesinde;
a) Proje Entegrasyon Yönetimi

b) Proje Kapsam Yönetimi
c) Proje Zaman Yönetimi
d) Proje Maliyet Yönetimi
e) Proje Kalite Yönetimi
f) Proje İnsan Kaynağı Yönetimi
g) Proje İletişim Yönetimi
h) Proje Risk Yönetimi
i) Proje Tedarik Yönetimi
bölümlerine yer verilmiştir.
Ancak burada bilinmesi gereken şudur ki PMBOK bir metodolojiden ziyade bir
rehberdir44. İşte bu noktada bu rehberin uygulama alanına yansımış hali olan
PRINCE2 devreye girer. PRINCE2 İngiliz hükümeti tarafından geliştirilen ve
kullanılan ve hem İngiltere hem de uluslararası özel sektör tarafından kabul görmüş
40
Project Management Institute
41
IEEE Std 1490™-2003
42
ANSI/PMI 99-001-2008
43
A Guide to the Project Management Body of Knowledge
44
A Guide to the Project Management Body of Knowledge

bir proje yönetimi metodolojisidir45. Proje yönetiminde kurulmuş ve geçerliliğini
kanıtlamış en iyi uygulamaları içermektedir.
PRINCE2 proje yönetimi metodolojisi olarak iyi tanımlanmış süreçlere, proje

süresince gözetilmesi gereken prensiplere sahiptir. Bunun yanında, proje yönetimi ile
ilgili roller ve sorumluluklar tanımlanmış, proje süresince üretilecek proje yönetimi
çıktıları (risk-sorun kayıtları, durum raporları, iletişim planı vb) için de şablonlar ve
kullanım kılavuzu içermektedir46.
5.1.23 RISK IT
Risk IT çerçevesi ISACA tarafından geliştirilmiştir ve Cobıt47 çerçevesini tamamlar.
Cobıt BT ile ilgili bütün süreçlerle ilgili yönetim sağlamakla birlikte risk yönetimi
konusunda BT risklerini azaltacak kontrol kümeleri sağlayarak en iyi örnekleri
belirlerken, Risk IT son kullanıcılar için en iyi uygulamaları belirler ve şirketlere BT
riskini belirlemek ve yönetmek için bir çerçeve sağlar48.
Risk IT çerçevesi BT riskini açıklar ve kullanıcılara;
a) BT risk yönetimini kuruluşun bütün Elektronik Kaynak Yönetimine entegre

ederek risk konusunda bilinçli kararlar verme,
b) Riskin boyutu ve kuruluşun risk toleransı hakkında bilgili kararlar verme,
c) Riske nasıl karşılık verileceğini anlama
gibi olasılıklar sunar49.
Çerçevenin üç alanı Risk Yönetimi, Risk Değerlendirme ve Risklere Karşılık vermedir

50
. Risk IT BT risk yönetimiyle ilgili bütüncül olarak ortaya çıkmış ilk çerçevedir51.
5.1.24 TOGAF
Open Group52 tarafından geliştirilen TOGAF kurumsal yönetim mimarisi geliştirmek
için detaylı yöntemleri ve destek araç kümelerini içeren bir çerçevedir ve kurumsal
45
http://www.prince-officialsite.com/home/home.asp
46
http://www.ileriprojeyonetimi.com/proje_yonetimi/prince2-nedir.html
47
ISACA, CobiT 4.1, 2008, www.isaca.org
48
Enterprise risk: Identify, Govern and Manage IT Risk/ The Risk IT Framework, ISACA
49
50
51
“Risk IT overview by ISACA” sunumu, 6 Ocak 2010

mimari geliştirmek isteyen bütün organizasyonlar tarafından kendi organizasyonları
içerisinde ücretsiz kullanılabilir53.
TOGAF54 dokümanına göre kurumsal mimarinin amacı parçalanmış kurumsal
süreçleri tümleşik bir hale getirmek ve iş stratejisinin sağlanmasına destekçi ve
değişimlere karşı hassas bir yapı ortaya çıkarmaktır. Ayrıca TOGAF çerçevesini
uygulamanın faydalarından bazıları daha etkin BT işleyişi, daha iti yatırım geri
dönüşü ve gelecek yatırımlarla ilgili riskin azalması, daha hızlı, ucuz ve etkin tedarik
olarak belirtilmiştir.
5.1.25 VAL IT
Risk IT ile birlikte COBIT’i tamamlayıcı özelliktedir (Şekil 3). Val IT yol gösterici
prensiplerden ve bu prensiplere uyan ve önemli yönetim uygulama kümeleri olarak
ayrıntılı şekilde tanımlanmış belirli sayıda süreçlerden oluşan bir yönetim çerçevesidir
55
.
VAL IT COBIT’i iş ve finans perspektifinden tamamlar ve BT katma değer sağlamayla

ilgilenen herhangi bir iş veya BT profesyoneline yardımcı olabilir56. Val IT’de yer alan
bilgilere göre VAL IT çerçevesi süreçleri ve önemli yönetim uygulamalarını üç ana
başlıkta inceler, bu alanlar değer yönetimi, portföy yönetimi ve yatırım yönetimidir.
Çerçeve BT yönetimi ile ilgili ana sorulardan olan “Doğru işleri mi yapıyoruz” stratejik
sorusunu ve “Fayda sağlıyor muyuz?” katma değer sorusunu cevaplamaya çalışır.
52
http://www.opengroup.org/
53
http://www.opengroup.org/architecture/togaf9-doc/arch/ , TOGAF Version 9
54
http://www.opengroup.org/architecture/togaf9-doc/arch/ , TOGAF Version 9
55
http://www.isaca.org/Template.cfm?Section=Val_IT3&Template=/TaggedPage/TaggedPageDisplay.cfm&TPLI
D=80&ContentID=51867
56
Enterprise Value: Governance Of It Investments The Val IT Framework 2.0 Extract, ISACA

Şekil 357. Risk IT, Val IT ve COBIT
5.2 Ürün/Hizmet Bazlı Standartlar
5.2.1 ISO/IEC TR 9126 58

Yazılım Ürün Değerlendirmesi-Kalite Özellikleri ve Kullanım standardı: Yazılım
kalitesinin hesaplanabilmesi için uluslararası bir kalite standardıdır. Bu standardın
ana hedefi bir yazılım geliştirme projesinin tesliminin ve algısının insan faktörleri
tarafından kötü biçimde etkilenmesini engellemektir. Proje önceliklerini açıklığa
kavuşturup bu öncelikler üzerinde mutabakat sağladıktan sonra soyut olan öncelikleri
ölçülebilir değerlere çevirerek, ISO 9126 projenin amaçları ve hedefleri hakkında
genel bir anlayış geliştirmeye çalışmaktadır. Standart yazılım kalitesini şu ana
başlıklar altında sınıflandırmaktadır:
a) İşlevsellik
b) Güvenilirlik
c) Kullanılabilirlik
d) Verimlilik
e) Sürdürülebilirlik
f) Taşınabilirlik
57
“Risk IT overview by ISACA” sunumu, 6 Ocak 2010
58
http://www.iso.org

5.2.2 ISO/IEC 14598 59
Yazılım ürün değerlendirme standardıdır. 5 bölümden oluşur:
a) Genel görünüm
b) Planlama ve yönetim
c) Geliştiriciler için süreç
d) Temin edenler için süreç
e) Değerlendiriciler için süreç
5.2.3 ISO/IEC 15408 60

BT Güvenliği Değerlendirme Kriterleri: Ortak kriterler BT ürün ve/veya sistemleri
güvenlik seviyelerinin tespit edilmesi ve bağımsız laboratuarlarda test edilebilmesi
için geliştirilmiş olan, temelini TCSEC ve ITSEC standartlarından alan ISO’nun 1999
yılında Uluslararası BT Güvenlik Değerlendirme Standardı olarak kabul ettiği (ISO
15408) güvenlik standardıdır. Türk Standardları Enstitüsü Türkiye adına, Eylül 2003
tarihinde bu standardı kabul eden ülkelerin imzaladığı Ortak Kriterler Tanıma
Sözleşmesini imzalayarak sertifika üretici ülkelerin değerlendirmelerini kabul etmiş,
TSE Belgelendirme Merkezi bünyesinde kurulan Ortak Kriterler Belgelendirme Yapısı
çalışmalarına başlamıştır. Ortak Kriterler değerlendirmeleri TÜBİTAK Ulusal
Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE) Ortak Kriterler Test Merkezi'nde
(OKTEM) gerçekleştirilmektedir. (TSE, 2009:4)
Ulusal Ortak Kriterler Belgelendirme Makamı olarak Türk Standardları Enstitüsü

tarafından, ISO 17025 akreditasyonu almış bağımsız test laboratuarı OKTEM
sonuçları temel alınarak verilen sertifikalara sahip BT ürünleri; belirlenen tehditler için
güvenlik kriterlerinin yeterli olduğu ve bu kriterlerin doğru olarak üründe uygulandığı
konusunda temel bir garanti sağlamaktadır. (İbrişim, 2007:8-10)
5.2.3.1 Kapsamı
Ortak kriterler birbirleriyle ilişkili üç ayrı bölümden oluşmaktadır.
Birinci bölüm “Giriş ve Genel Model”dir ve bu bölüm BT güvenlik değerlendirmelerinin
temel kavram ve ilkelerini tanımlar niteliktedir ve genel bir değerlendirme modeli
sunmaktadır. Bölüm aynı zamanda BT güvenlik hedeflerinin oluşturulması, BT
59
http://www.iso.org
60
Bu bölümde genel olarak faydalanılan kaynak: İbrişim (2007)

güvenlik gereksinimlerinin seçilmesi ve tanımlanması ve ürünlerin veya sistemlerin
üst düzey spesifikasyonlarının yazılması konusunda bilgiler içermektedir
İkinci bölüm “Güvenlik Fonksiyonel Gereksinimleri” olup, değerlendirme hedefinin

güvenlik fonksiyonel gereksinimlerinin standart bir dille anlatılabilmesini sağlamak
için tanımlanmış olan güvenlik fonksiyonel bileşenleri kümesi bu bölümde şu şekilde
listelenmektedir:
a) FAU: Security audit (Güvenlik denetimi)

b) FCO:Communication (İletişim)
c) FCS: Cryptographic support (Kriptografi desteği)
d) FDP: User data protection (Kullanıcı verilerinin korunması)
e) FIA: Identification and authentication (Tanıma ve kimlik doğrulama)
f) FMT:Security management (Güvenlik yönetimi)
g) FPR: Privacy (Gizlilik)
h) FPT: Protection of the TSF (TSF' nin korunması)
i) FRU: Resource utilisation (Kaynak kullanımı)
j) FTA: TOE access (TOE erişimi)
k) FTP: Trusted path/channels (Güvenilir yollar/kanallar)
Üçüncü bölüm “Güvenlik Garanti Gereksinimleri” olup güvenlik garanti bileşenleri

kümesi bu bölümde listelenmektedir. Bu bölüm aynı zamanda Koruma Profillerinin ve
Güvenlik Hedeflerinin değerlendirme kriterlerini ve değerlendirme garanti seviyelerini
oluşturan aşağıdaki garanti bileşenlerini de içermektedir:
a) ACM: Configuration management (Konfigürasyon yönetimi)

b) ADO: Delivery and operation (Dağıtım ve işletim)
c) ADV: Development (Geliştirme)
d) AGD: Guidance documents (Kılavuz Dokümanları)
e) ALC: Life cycle support (Hayat döngüsü desteği)
f) ATE: Tests (Testler)
g) AVA: Vulnerability assessment (Açıklık değerlendirmesi)
h) AMA: Maintenance of assurance (Garantinin sürdürülmesi)

5.2.3.2 Seviyeler
Ortak Kriterler tanımlanmış, garanti seviyesi gittikçe artan ve Değerlendirme Garanti
Seviyesi (EAL) olarak bilinen yedi adet garanti paketi sağlamaktadır. Bu yedi garanti
seviyesi aşağıdaki gibidir:
EAL1 seviyesi ürünün veya sistemin doğru çalıştığına dair güvenin yeterli olduğu ve
güvenlik tehditlerinin ciddi olmadığı durumlarda kullanılmaktadır,
EAL2 seviyesinde değerlendirme yapabilmek için ürün geliştirici tasarım bilgilerini ve

test sonuçlarını değerlendirme laboratuarına iletmelidir. EAL2 değerlendirmesi,
müşteriler veya ürün geliştiriciler düşük ve orta düzey seviye arasında bir güvenlik
gereksinimi duyuyorlar ise ve ürünün geliştirme dokümanlarının tamamına
ulaşamıyorlar ise uygulanmaktadır,
EAL3 seviyesinde standart, ürün geliştiriciye tasarım sırasında azami garanti

sağlayabilmesi için yöntemler önermektedir. EAL3 değerlendirmesi üreticinin test
sonuçlarının seçilerek onaylanması ve bilinen açıklıkların üretici tarafından
incelendiğinin kanıtlanmasını içeren gri kutu testleri (grey box testing) ile
desteklenmektedir. Ayrıca geliştirme ortamı kontrolleri ve ürünün konfigürasyon
yönetimi delilleri değerlendirmeler için gerekmektedir,
EAL4 seviyesi ticari ürün geliştirme yöntemlerinden azami garanti sağlayabilmek için
ürün geliştiricilere yöntemler önermektedir. EAL4 var olan ürün geliştirme altyapısını
değiştirmeden ulaşılabilecek en yüksek garanti seviyesidir. EAL4 değerlendirmesi
ürünün alt düzey tasarımı ve uygulamanın alt kümelerinin analizi ile de desteklenen
bir süreçtir. Yapılan testler bağımsız açıklık analizleri ile desteklenir. Geliştirme
kontrolleri yaşam döngüsü desteği, tanımlama teknik ve araçları, ve otomatik
konfigürasyon yönetimi ile güçlendirilir.
EAL5 seviyesi, özel güvenlik tekniklerinin orta düzeyde uygulanması ile desteklenen,
ticari ürün geliştirme yöntemlerinden azami garanti sağlayabilmek için ürün
geliştiricilere yöntemler önermektedir. Bu seviyeye aday bir ürün seviyenin
gerektirdiği garantiyi sağlayabilecek bir şekilde tasarlanmalı ve geliştirilmelidir. Bu

seviye ürün geliştiricileri ve müşteriler yüksek seviyede güvenlik ve bağımsız bir
garanti ihtiyacı duyduklarında kullanılmaktadır.
EAL6 seviyesi yüksek değerdeki varlıkları korumakta olan ürünler için yüksek garanti
seviyesi sağlayan güvenlik teknikleri önermektedir.
EAL7 seviyesi son derece yüksek risk durumlarında veya korunan varlıkların bu
seviyenin getireceği maliyeti karşılayabileceği durumlarda uygulanabilmektedir
Ortak Kriter serisi Türk Standartları Enstitüsü tarafından TS ISO/IEC 15408 başlığı
altında 3 bölüm halinde Türk standardı olarak da yayınlanmış ve belgelendirme
çalışmalarına başlanmıştır. TSE bünyesinde belgelendirme hizmetleri verilmektedir.
5.2.4 ISO/IEC 12119 61

Yazılım paketleri kalite özellikleri ve testi: Türk standardı olarak yayınlanmış olup,
TSE bünyesinde belgelendirme hizmetleri verilmektedir. 28.09.2009 itibariyle 11
62
adet kuruluş TS ISO/IEC 12119 belgesi almıştır.
63
5.2.5 TS ISO/IEC 90003
Yazılım mühendisliği - ISO 9001:2000’in bilgisayar yazılımına uygulanması için
kılavuz
Bu standard, ISO 9001:2000’in, bilgisayar yazılımı ve ilgili destek hizmetlerinin satın
alınması, tedariği, geliştirilmesi, işletilmesi ve bakımı için uygulanmasında,
kuruluşlara kılavuzluk sağlar. 23.03.2006 tarihinde TSE tarafından kabul edilmiş
ulusal standarttır.
61
Standart Net: http://www.tse.org.tr
62
63

5.3 Ulusal Düzenlemeler
5.3.1 TS 12788 64
İnternet İş Yerleri - İnternet Evi - Genel Kurallar: Bu standart, internet evi hizmeti
veren iş yerlerinin fiziki yapı, işletmecilik, çalışanlar, bilgisayar ve çevre birimleriyle
ilgili genel kurallarını kapsar. 03.04.2008 tarihinde TSE tarafından kabul edilmiş
ulusal standarttır. 1 adet belgelendirilmiş BTHS mevcuttur.
65
5.3.2 TS 12498
Yetkili servisler - Bilgisayar ve çevre birimleri için-Kurallar
Bu standard, bilgisayar ve çevre birimleri yetkili servislerinin yapısal özellik,
işletmecilik, teknik donanım, çalışanlarının özellikleri ve belgelendirmesi ile ilgili
kurallarını kapsar. 09.03.2010 tarihinde TSE tarafından kabul edilmiş ulusal
standarttır. 140 adet belgelendirilmiş BTHS mevcuttur.
66
5.3.3 TS 13079
İnternet servis sağlayıcılığı – Terimler ve tarifler
Bu standart, internet servis sağlayıcılığında kullanılan terim ve tarifleri kapsar.
30.03.2004 tarihinde TSE tarafından kabul edilmiş ulusal standarttır.
67
5.3.4 TS 13149
İş yerleri - Yazılım hizmetleri veren - Genel kurallar
Bu standard, yazılım hizmetleri veren iş yerlerinin yapısal özellikler; yazılımın
geliştirilmesi; ürününün müşteriye sunulması; danışmanlık, destek, eğitim hizmetleri
ve çalışanlar ile ilgili genel kurallarını kapsar. Danışmanlık, destek ve eğitim
hizmetleri ile ilgili genel kurallarını kapsar. 21.04.2005 tarihinde TSE tarafından kabul
edilmiş ulusal standarttır. 146 adet belgelendirilmiş BTHS mevcuttur.
68
5.3.5 TS 13242
Yetkili servisler – Bilgisayar ağı bileşenleri ve sistemleri için – Kurallar
64
65
66
67
68

Bu standard, bilgisayar ağı bileşenleri ve sistemleri yetkili servislerinin işletmecilik,
yapısal özellik, teknik donanım, çalışanların özellikleri ve belgelendirme ile ilgili
kurallarını kapsar. 09.01.2007 tarihinde TSE tarafından kabul edilmiş ulusal
standarttır. 152 adet belgelendirilmiş BTHS mevcuttur.
5.3.6 TS 13298 69
Elektronik belge yönetimi
Bu standard, kurumlarda üretilen ve/veya üretilmesi muhtemel elektronik
dokümanların belge niteliğinin korunabilmesi için gerekli standardların belirlenmesi
amacıyla aşağıdaki konuları kapsar:
a) Elektronik belge yönetimi sistemi (EBYS) için gerekli sistem gereksinimleri,

b) EBYS için gerekli belge yönetim teknikleri ve uygulamaları,
c) Elektronik belgelerin yönetilebilmesi için gerekli gereksinimler,
d) Elektronik ortamda üretilmemiş belgelerin yönetim fonksiyonlarının
elektronik ortamda yürütülebilmesi için gerekli gereksinimler,
e) Elektronik belgelerde bulunması gereken diplomatik özellikler,
f) Elektronik belgelerin hukuki geçerliliklerinin sağlanması için alınması
gereken önlemler,
g) Güvenli elektronik imza ve mühür sistemlerinin uygulanması için gerekli
sistem alt yapısının tanımlanması.
TS 13298, 26.06.2009 tarihinde TSE tarafından kabul edilmiş ulusal standarttır. 2

adet belgelendirilmiş BTHS mevcuttur.
5.3.7 Kamu Kurumları İnternet Siteleri Düzenlemesi

Bilgi Toplumu Stratejisi Ekindeki Eylem Planında (YPK, 2006:35) bahsi geçen Kamu
İnternet Siteleri Standardizasyonu ve Barındırma Hizmeti başlıklı 27 numaralı eyleme
ilişkin olarak:
a) Kamu kurumları İnternet siteleri için görsel, hizmet kalitesi, içerik, güvenlik,
kimlik yönetimi ve kullanılabilirlik standardizasyonu sağlamak,
b) Kamu İnternet sitelerinin özürlüler tarafından da kullanılabilmesine yönelik
geliştirmeler yapmak ve
69

c) Talep eden kamu kuruluşlarının İnternet siteleri merkezi olarak barındırmak
görevleri Türksat’a verilmiştir.
Türksat (2009) Kamu İnternet Siteleri Standartları ve Önerileri Rehberi hazırlamıştır.

Bu rehberde Kamu kurum ve kuruluşları internet sitelerine ilişkin:
a) Tasarım ve geliştirme aşamasında kullanabilirlik ile ilişkili dikkat edilmesi

gereken noktalar,
b) Engelli kullanıcılar tarafından erişilebilir olması için gerekli bilgiler,
c) Tasarımların güncel yazılım ve donanımlar tarafından desteklenebilecek
şekilde yapılandırılması hakkında genel kurallar,
d) İşlevsel tasarımların üretimi ile ilgili öneriler,
e) İnternet sayfalarının ve birbirleri ile bağlantılarının kullanılabilirliğin
iyileştirilmesi çerçevesinde tasarımı,
f) Çoklu ortam öğelerinin kullanımı,
g) Yayınlama ile ilgili bilgiler,
h) İçeriklerin arşivlenmesi ve
i) Kişisel bilgilerin gizliliği ve bilgi güvenliği
konularına yer verilmektedir.
6. BT VE İKLİM DEĞİŞİKLİĞİ
Sanayi devrimi sonrasında hız kazanan iklim değişikliği olgusu dünyada sadece
insan ırkını değil tüm canlıları etkilemekte pek çok türün doğal yolların çok üstünde
bir hızla yok olmasına sebep olmaktadır. Doğal süreci kendi akışının dışına çıkaran
insanoğlu gelecek nesilleri için daha ileride kurulacak medeniyetler için bu meseleye
de çözüm bulmak zorundadır.
Elbette her sektör sera gazı emisyonunun azaltılması, yenilenebilir enerji tüketilmesi
gibi çevre dostu uygulamalara yönelmekte üstüne düşen görevi yapmalıdır ancak BT
sektöründeki son yirmi otuz yıllık büyüme bu sektörün dünyayı kirletme hızını
yükseltmiş ve karbon ayak izi olarak tabir edilen iklim değişikliğine olumsuz etki
şiddeti diğer sektörlere göre daha büyük bir hızla yükselmektedir.

Yirmi yıl önce masaların üstünde kendi halinde enerji tüketip duran bilgisayarlar,
televizyonlar ya da radyolar masum aletler gibi görünmekteydi. Artık devasa sunucu
çiftlikleri ve bunları destekleyen iklimlendirme sistemleri olan büyük şirketlerden
sadece birisinin dünya üzerindeki ortalama bir şehirden daha fazla enerji
tüketmektedir.
Öte yandan BT atık yönetimi halen daha en gelişmiş ülkelerde bile dikkate alınan bir
konu haline gelememiştir. BT’nin yaygınlaşması ve hızla değişiyor olması ortaya ciddi
bir donanım atığı çıkarmış ancak bu atığın nasıl yönetileceği konusunda henüz ciddi
bir düzenleme getirilememiştir. Diz üstü bilgisayar pilleri, BT donanımının entegre
çipleri, bunların plakaları pek çok zehirli kimyasal barındırmakta bu bilim adamları
tarafından bu kimyasalların sadece birkaç miligramının tonlarca toprağı zehirlemeye
yettiğini bildirilmektedir.
Dünyanın ciddi bir BT atık yönetimine ihtiyacı olduğu inkâr edilemez bir gerçektir. Bu
çalışma kapsamında, BT donanım tedariki hizmeti sunan hizmet sağlayıcıların
tüketicinin talep etmesi durumunda eski BT donanımlarının toplaması ve kabul
edilebilir kimyasal süreçler sonrasında bu donanımları yeniden kullanılır hale
getirmesi ile BT donanımlarının enerji tüketimine bir üst sınır getirilmesi de yine
muhtemel düzenleyici müdahaleler olarak düşünülmektedir..
BT sektörü kocaman karbon ayak izinden dolayı şiddetle eleştirilirken BT hizmetleri

sayesinde kağıtsız hale gelen ofisler, e-ticaret ve e-devlet gibi hizmetler sayesinde
yollarda benzin tüketmek zorunda kalmayan tüketiciler, bilgi toplumunun sanayi
devrimiyle hızlanan bu iklim değişikliği sürecine bir çare bulacağı konusunda ümit
vermektedir. Fosil yakıt tüketmeden güneş, rüzgâr gibi çevre dostu enerji kullanıp
daha sağlıklı besinlerden faydalanacak ilerideki medeniyete giden yolun önemli
taşlarının BT hizmetleri olduğunu söylemenin çok fazla iddialı bir ifade olmayacağı
değerlendirilmektedir.
Yukarıda bahsi geçen bu düzenleme önerilerinin BT’nin karbon ayak izini küçülteceği
ve gelecek medeniyet yolunda insan ırkına çok önemli desteği olacağı düşünülen bu
sektöre yapılan eleştirilerin de önüne geçebileceği değerlendirilmektedir.

7. DÜNYA UYGULAMALARI
BTH düzenlemesine ilişkin olarak dünya genelinde tüm BT sektörünü içerisine alacak
kapsamda bir düzenleyici ülke örneğine rastlanamamıştır. Ülkeler genellikle satın
alma makamları marifetiyle kamu BT alımlarını disipline etmeye çalışmışlar ve finans
gibi bazı diğer sektörler de buradan aldıkları ilhamla kendi BT alımlarında bu kuralları
işleme koymuşlardır.
Örneğin ABD’de Savunma Bakanlığı zamanında bitirilemeyen, çok hata içeren,

yüksek maliyetli yazılım geliştirme projeleri nedeniyle 1980'lerde Carnegie Mellon
Üniversitesi'ne70, “Yazılım Geliştirme Süreçlerinin İyileştirmesi Çalışması”nı
başlattırmış ve bugün yaygın olarak kullanılan CMMI (Capability Maturity Model
Integration – Bütünleşik Yetenek Olgunluk Modeli) ortaya çıkmıştır. (TBD, 2008:29)
Yine aynı şekilde İngiltere’de BT çalışanlarının üretkenliğinin artırılması, insandan

kaynaklanabilecek hataların azaltılması ve BT hizmetlerinden yararlanan
kullanıcıların memnuniyetinin artırılması için ITIL (Bilgi Teknolojisi Altyapı
Kütüphanesi - Information Technology Infrastructure Library) adı verilen ve en iyi
uygulamaları içeren bir doküman kütüphanesi İngiliz kamu alım makamı71 tarafından
oluşturulmuştur (TBD, 2008:27). Bu doküman daha sonraları İngiliz Standardı olan
BS 15000’e evrilmiş bunun akabinde de ISO tarafından uluslararası standart olarak
benimsenmiştir.72
Avrupa Birliğine bakıldığında ise gündemde BTH standardizasyonu konusundaki

mevcut Konsey Kararı olan 87/95’in gözden geçirilmesi yer almaktadır. Ancak
Konsey bu gözden geçirmeyi yaparken ne denli hassas davranılması gerektiğini
Avrupa Komisyonu Başkan Yardımcısı Günter VERHEUGEN’in bildirisinde
(Verheugen, 2008) yer vermektedir.
Komisyon Avrupa Standardizasyon Organizasyonlarının yanında, başta Amerikan

şirketleri olmak üzere bazı şirketlerin oluşturduğu fiili standartlara atıf yaparak
70
Carnegie Mellon University - Software Engineering Institute
71
United Kingdom's Office of Government Commerce
72
ISO/IEC 20000 Aralık 2005’de ISO tarafından yayımlanmıştır.

Avrupa’nın küresel ölçekte standart oluşturma noktasında güçlü bir etkiye sahip
olmadığını belirtmiştir.
İleride bu durumun AB’yi daha kötü etkilememesi için tüm tarafların bu tarz bir
standardizasyon çalışmalarına katılımı, standartların geniş kabul görmesi ve pazarın
ihtiyaçlarının daha iyi analiz edilmesi açısından önemli olduğu Komisyon tarafından
vurgulanmaktadır.
Verheugen’in bahsi geçen bildirisinde, Avrupa Komisyonunun, bu çalışmaların çıktısı

olacak standartların muhakkak gönüllülüğe dayalı ve sektör öncülüğünde bir girişim
olması gerektiğini düşündüğünün üstünde durmuştur.
Bu standardizasyonun
a) Mevcut başarılı standartlara atıflarda bulunması,
b) Yenilikçiliği ve rekabeti desteklemesi,
c) Pazar öncülüğündeki standardizasyondan faydalanmak ve sinerji
yaratması,
d) Kamu yararının hesaba katılmasını sağlaması,
e) Tüm tarafların katılımını sağlaması ve
f) Avrupa’nın uluslararası standart düzenlemesinde daha etkin katılımını
sağlamasının
önemine vurgu yapılmıştır.
Ayrıca Komisyon bu modelde açıklık, mutabakat, şeffaflık ve kamuoyu tarafından

erişilebilirlik gibi Dünya Ticaret Örgütü (WTO) kriterlerine uymaya devam edilmesi
gerektiğini belirtmektedir.
Komisyon bu tür bir standardizasyonun; kamu alımları, birlikte çalışabilirlik, fikri

mülkiyet hakkı gibi meselelerin dikkate alınarak çok dikkatli hazırlık yapılaması
gerektiren karmaşık bir çalışma olduğunu vurgulamaktadır.

8. TÜRKİYE’DEKİ DURUM
7.1 Genel Durum

Ülkemizde 1.600 adet yazılım firması bulunmakta ve bunların % 87,2’si KOBİ
ölçeğine sahiptir (YASAD 2009:4573). Öte yandan YASAD (2009:44) ülkemiz BT
pazarının %72’sinin donanım, %17’sinin hizmetler ve %11’inin de yazılımdan
müteşekkil olduğunu belirtmektedir. Bu rakamlardan anlaşıldığı kadarıyla bakım,
onarım ve donanım tedariki sağlayıcıları sayısı da eklendiğinde sayısı yirmi bine
yakın BTHS’si olan bir pazardan bahsedildiği anlaşılmaktadır.
Ülkemiz BTH pazarının 2010 yılında 7.3 milyar dolarlık bir büyüklüğe ulaşacağı ve
bunun ancak 950 milyon dolarlık bir kısmının donanım dışı hizmetleri kapsayacağı
tahmin edilmektedir74.
7.2 Bilgi Toplumu Stratejisi Eylem Planı

Ülkemiz Bilgi Toplumu Stratejisi kapsamında belirlenen stratejik amaç ve hedeflere
ulaşılmasını sağlamak üzere, stratejinin uygulama döneminde hayata geçirilecek
faaliyet ve projeleri içeren Bilgi Toplumu Stratejisi Eylem Planında (DPT, 2006:99
numaralı eylem) “Bilgi teknolojileri hizmetleri ve yazılım alanında kalite
standardizasyon ve sertifikasyonu desteklenecek, sektör içerisinde kalite
bilincinin hızla oluşturulması ve uygulamanın yaygınlaştırılması sağlanacaktır. Ayrıca,
bu süreç kamu alımları yoluyla teşvik edilecektir.” denilmiş ve Dış Ticaret
Müsteşarlığı sorumlu kuruluş olarak yer alırken Kamu İhale Kurumu da ilgili
kuruluşlardan birisi olarak belirlenmiştir.
Daha sonra Eylem Planı Değerlendirme Raporunda (DPT, 2009:249) bu eylem ile
ilgili yürütülen çalışmanın tüm BT sektörüne yönelik bir çalışma olmadığı75 ortaya
konulmaktadır.
73
Yayımlanmamış MAM raporundan alıntı olduğu belirtilmiştir.
74
TÜBİSAD (2007:3)’de geçen ve IDC (2007) Türkiye BT Hizmetleri Pazar Potansiyelinin Analizi’nden
alıntılanan veriler.
75
99 Numaralı Eyleme İlişkin Yapılan Çalışmalar (DPT, 2009:249):
“Yürürlükte olan 97/5 sayılı “Çevre Maliyetlerinin Desteklenmesi Hakkında Tebliğ” kapsamında“Türkiye’de
ticari ve sınai faaliyette bulunan veya tarım ya da yazılım sektörlerinde iştigal eden şirketler tarafından çevre,
kalite ve insan sağlığına yönelik teknik mevzuata uyum sağlanabilmesini teminen akredite edilmiş kurum
ve/veya kuruluşlardan alınacak kalite, çevre belgeleri ile insan, can, mal emniyeti ve güvenliğini gösterir işaretler

7.3 Standardizasyon Çalışmaları
7.3.1 Genel Durum
Son yıllarda BT sektörünün hızla gelişmesiyle birlikte ülkemizde de BT sertifikasyon
çalışmaları hız kazanmıştır. Standartlar bölümünde bahsi geçen standartlar pek çok
özel ve kamu kurum ve kuruluşu tarafından kullanılmaktadır. Özel sektörde de facto
standartların ağırlığı daha fazladır. Türk Standartlar Enstitüsü, Bilişim Teknolojileri
alanında belgelendirme gerekliliğinin üzerinde önemle durmaktadır. Bu çalışmalar
çerçevesinde; Yazılım Süreç Yönetimi Belgelendirmesi TS ISO/IEC 15504, Bilgi
Güvenliği Yönetim Sistemi Belgelendirmesi TS ISO/IEC 27001, Ortak Kriterler
Belgelendirmesi TS ISO/IEC 15408 ve Yazılım Paketleri'ne yönelik ürün
belgelendirmesi TS ISO/IEC 12119 esas alınarak yapılmaktadır. (Telepati, 2008) Öte
yandan ISO/IEC 20000 TSE iş programında yer alıp hali hazırda benimsenme
aşamasındadır ve belgelendirme için çalışmalar devam etmektedir.
Ülkemizde BT hizmetlerinin uyumla çalışabilmesi için Devlet Planlama Teşkilatı

tarafından birlikte çalışılabilirlik rehberi hazırlanmıştır. Rehber hakkında Başbakanlık
Genelgesi 5 Ağustos 2005 tarihli ve 25897 sayılı Resmi Gazete’de yayımlanmıştır.
Genelgede rehberle ilgili şu ifade yer almaktadır: (DPT, 2005)
Rehber, e-Dönüşüm Türkiye Projesi kapsamında; başta kamu

kurum ve kuruluşları olmak üzere, kamuya elektronik ortamda
hizmet sunan tüm kuruluşlar arasında birlikte çalışılabilirliğin
sağlanması ve bu çerçevede; yetki ve sorumluluklar, esas ve
prensipler, yöntem ve kriterler ile teknik standartların
belirlenmesine yöneliktir.
Bu rehberde, standartlara uyum birlikte çalışılabilirliğin temel şartlarından biri olarak

vurgulanmıştır. Rehberde kullanılması önerilen standartlar arasında ISO 15504, ISO
15288, TS ISO/IEC 12207, TS ISO/IEC 17799 standartları yer almaktadır.
ile tarım ürünlerine iliksin laboratuar analizleri ve belgelendirme işlemleriyle ilgili harcamaların belirli bir
bölümü Destekleme ve Fiyat İstikrar Fonu’ndan karşılanmaktadır.
Söz konusu destek, “İhracata Yönelik Devlet Yardımları Kapsamında Çevre Maliyetlerinin Desteklenmesi
Hakkında 97/5 sayılı Tebliğ” çerçevesinde, Türkiye’de ticari ve sınai faaliyette bulunan veya tarım ya da yazılım
sektörlerinde iştigal eden şirketler, Dış Ticaret Sermaye Şirketleri (DTSS) ile Sektörel Dış Ticaret Şirketleri
(SDS)’nin; uluslararası nitelikteki kalite, rapor, belge vs. alımına yönelik olarak yapılan belgelendirilmiş
harcamalarının (belgelendirmeye ilişkin müracaat ve doküman inceleme, belgelendirme tetkik, yıllık belge
kullanımı, test, tetkik ve analiz harcamalarının) belge ve/veya analiz basına % 50 oranında ve en fazla 50.000
ABD Doları’na kadar desteklenmesini kapsamaktadır. Kamu alımları kapsamında kalite sertifikasyonunun teşvik
edilmesi ve kalite sertifikasyonu destek mekanizmaları ile ilgili olarak sektörün bilgilendirilmesi çalışmalarına
devam edilecektir.”

7.3.2 Finans Sektörü
Birleşik Devletlerdeki Enron krizi akabinde alınan tedbirler76, ülkemizde bazı finans
kuruluşlarının BT sistemlerinde çifte kayıt bulunduğu yönündeki iddialar gibi
unsurların da etkisiyle, Bankacılık Düzenleme ve Denetleme Kurumu (BDDK, 2006)
“Bankalarda bağımsız denetim kuruluşlarınca gerçekleştirilecek bilgi sistemleri
denetimi hakkında yönetmelik” ile finans sektörünün bilgi sistemlerinde Cobit
düzenlemesini mecburi kılmıştır. Bu yönetmeliğin 19. maddesinde şöyle
denilmektedir:
MADDE 19 – (1) Bu Yönetmeliğin 14, 15, 16 ve 17 nci

maddelerinin ikinci fıkralarında yer alan süreçler kapsamında
gerçekleştirilen her bir kontrol hedefi; uygulanabilirlikleri
ölçüsünde bilgi kriterleri, teknoloji kaynakları ve yönetsel
kriterlerin birlikte dikkate alınması suretiyle Bilgi Teknolojilerine
İlişkin Kontrol Hedefleri (COBIT) çerçevesinde yer alan
yöntemlere uygun olarak değerlendirilir ve denetlenen her bir
süreç için olgunluk seviyesi belirlenir. Yönetsel kriterlerin varlığı,
uygunluğu ve bilgi sistemleri gelişimine katkıları, bu hükmün
uygulanmasında dikkate alınır.
Yönetmeliğin yürürlüğe girmesi akabinde ülkemiz finans sektörü ilgili düzenleme için
ciddi bir uyumluluk çabası içerisine girmiş olup bu düzenleme daha sonra
güncellenerek finans sektöründeki ağırlığını artırmaktadır (BDDK, 2010a; BDDK,
2010b).
7.3.3 Elektronik Sertifika Hizmet Sağlayıcılığı

Elektronik imza ile ilişkili BTK düzenlemelerinde elektronik sertifika hizmet
sağlayıcılar (ESHS) için 27001 belgesi zorunlu tutulmuştur (BTK, 2006:madde 11a).
Öte yandan güvenli elektronik imza oluşturma araçların da ISO/IEC 15408 (-1,-2,-3)’e
göre en az EAL4+ seviyesinde olması gerektiği belirtilmiştir (BTK, 2006:madde 11b).
76
2002 Sarbanes-Oxley Kanunu şirketlere sıkı denetim mecburiyeti getirmiştir.

7.3.4 Elektronik Haberleşme Hizmeti İşletmeciliği
BTK (2008:madde 11) “Elektronik Haberleşme Güvenliği Yönetmeliği”nde işletmeciler
için elektronik haberleşme güvenliğini sağlama yükümlülüğünü ISO/IEC 27001’e
uygunluğunun sağlanması şartına bağlamıştır.
7.3.5 Kamu Alımları
7.3.5.1 Kamu Bilgi ve İletişim Teknolojisi Projeleri Hazırlama Kılavuzu

Devlet Planlama Teşkilatınca hazırlanan Kamu Bilgi ve İletişim Teknolojisi Projeleri
Hazırlama Kılavuzu’nda (DPT, 2008:18) proje bedeli 5 milyon lira üzerindeki
ihalelerde CMM-I en az seviye 2 veya TS ISO IEC 15504/SPICE en az seviye 2
belgesi aranması zorunlu tutulmakta ve şöyle denilmektedir:
Bu çerçevede, 2009-2011 Döneminde yeni proje olarak Yatırım

Programında yer alacak veya henüz ihalesi yapılmamış olan ve
uygulama yazılımı geliştirme bileşeni içeren BİT projelerinde,
tahmini proje tutarı 5.000.000 YTL ve üzeri olanlar için CMM-I
seviye-2 veya eşdeğer yazılım kalite sertifikasyonları (SPICE
seviye-2, sadece ilgili süreçlerde77; AQAP 16078) aranması
zorunludur. Proje tutarı 5.000.000 YTL’nin altında olan ve
uygulama yazılımı geliştirme bileşeni içeren BİT projelerinde TS
ISO 12207 Yazılım Yaşam Döngüsü Standardının uygulanması
gerekmektedir.
Ayrıca yazılım ürünü bazında bilgi güvenliği için TS ISO/IEC 15408 standardına
uyum aranması şart getirilmiştir (DPT, 2008:18).
7.3.5.2 Millî Savunma Bakanlığı
İlk defa Millî Savunma Bakanlığı Cari Mal ve Hizmet Tedarik Dairesi Başkanlığının
22.02.2010 tarihli bakım onarım ihalesinde79 katılım şartı olarak akredite edilmiş bir
kuruluşça verilmiş ISO/IEC 20000 Bilgi Teknolojileri Hizmet Yönetim Sistemi
Belgesine sahip olma şartı getirilmiştir.
77
CMM-I Seviye-2’ye eşdeğer ISO 15504 süreçleri; Mühendislik ve Tedarik Süreç Gruplarının tamamı,
Yönetim Süreci Grubu altındaki Proje Yönetimi süreci, Destek Süreç Grubu altındaki Ortak Değerlendirme,
Denetleme, Belgeleme, Yapılandırma Yönetimi süreçlerinin 2’nci seviyesidir.
78
AQAP 160 : Akreditasyonu Milli Savunma Bakanlığı tarafından yapılan “NATO Yazılım Yaşam Döngüsü Boyunca
Bütünleşik Kalite Güvence Gereksinimleri” modeli.
79
http://www.msb.gov.tr/icdisdaireIHL/phpscr/ihaledetay.php?id=682&IID=1 son erişim 04.02.2010

9. DÜZENLEYİCİ YAKLAŞIMLAR
BTH sektörüne yönelik mevcut düzenleyici yaklaşımlara bakıldığında genel olarak

kamu alım makamlarının koydukları kurallarla dolaylı bir düzenleme yöntemi izlendiği
gözlemlenmektedir. Bilişim ve telekomünikasyon düzenleyicilerinin bu konuda tüm
BT sektörünü ilgilendiren bir yaklaşımda henüz bulunmamış olmaları ülkemiz
düzenlemeleri için bir tehdit niteliği taşısa genel düzenleme ilkeleri dâhilinde
uluslararası standartlar ve kurallar dikkate alınarak yine uluslararası akreditasyon
şebekesi içerisindeki bir belgelendirme rejimi ile çizilecek bir düzenleyici çerçevenin
sürdürülebilir olabileceği değerlendirilmektedir.
BTH düzenleyici çerçeve çizilmesi sürecindeki niteliksel zorluklara önceki bölümlerde

bahsi geçen ülkemiz BT sektör oyuncularının sayısının büyüklüğünün de eklenmesi
bu çerçevenin uygulanabilirliği açısından ne derece hassas ele alınması gerektiğini
ortaya koymaktadır.
Pazardan bağımsız olarak tüm düzenleyici yaklaşımların temel varlık sebeplerinden

birisi etkin rekabetin sağlanmasıdır. Bunu teminen düzenleyici, pazarda hakim
konumda olan veya etkin piyasa gücüne sahip oyuncular üzerine odaklanmakta ve
bu oyuncuların yapısal hareketleri ve davranışları üzerine müdahale eden araçlar
kullanmaktadır.
Düzenleyicinin diğer önemli bir varlık sebebi ise tüketici haklarının korunmasıdır. BT
pazarının sadece iş dünyası arasında sunulan hizmetlerden ibaret olmadığı ve
burada sunulan BTH’nin son kullanıcıya/tüketiciye olan etkileri göz önüne alınarak
düzenleyici müdahale gerekliliğin hâsıl olabileceği düşünülmektedir.
Gerek etkin piyasa gücüne sahip olması gerek hakim konuma sahip olması nedeniyle
pazar dinamiklerine olacak yoğun etkisi dikkate alınarak gerekse de hacimsel
büyüklüğü nedeniyle son kullanıcılar/tüketiciler üzerine olan etkileri dikkate alınarak;
yukarıda da belirtilen sayısı yirmi bine yakın BTHS kümesinden sadece belirli
kriterleri sağlayanlarına yükümlülükler getirilmesinin uygun olacağı mütalaa
edilmektedir.

Bu gerekçeler ile BTHS’ler içerisinde makul gerekçelerle düzenleyici çerçeve
içerisinde olması gerekenlere yükümlülükler getirilmelidir. Bu yükümlülükleri haiz
BTHS’yi de kavram karmaşanı
karmaş engellemek için Bilgi Teknolojisi Hizmeti Yükümlüsü
(BTHY) olarak zikretmekte
kretmekte fayda vardır.
10. MODEL ÖNERİSİ
“BTH Aktörleri” bölümünde

ünde belirlenmeye çalışılan
ılan taraflar aşağıdaki
aş modelle
ilişkilendirilmiştir. Bu modelde,
model “DÜZENLEYİCİ YAKLAŞIMLAR”” bölümde belirtilen
gerekçelerle BTHS kümesi konulacak şartları sağlayan
layan BTHY alt kümesine
indirgenmiş ve düzenleyici kapsam bu alt küme ile sınırlı tutulmu
tutulmuştur.
Şekil 4. BTH Yükümlüsü’nde
nde belirtilen alt küme alma parametrelerinin
relerinin, yani şartların,
düzenleme felsefesine uygun bir şekilde BTK tarafından belirlenmesi gerekecektir.
Bir BTHS, şartların

artların açıklanmasını müteakip belli bir süre içerisinde BTHY olma
“şartlar”ını haiz olduğunu
unu BTK’ya bildirecektir. Bu bildirim akabinde
akabi BTHY, BTH
sunumunda belirlenmiş olan “kurallar”a uymak zorunda olacaktır.
Şekil 4.. BTH Yükümlüsü
BTHY’nin hizmet sunumu esnasında iç süreçleri ve sunduğu

sundu u hizmet, düzenleyicinin
işaret ettiğii kurallara uygun olarak asgari gereklilikleri sağlamalı
sa lamalı ve bu sağlama
sa
yükümlülüğü
ü belgelendirme kuruluşunca
kurulu unca yapılan denetimlerle belgelendirilmelidir.
Bilgi
Yakla 38
Belgelendirme kuruluşunun
unun uluslararası akreditasyon şebekesine
ebekesine üye bir makamca
akredite edilmiş olması belgenin ve denetim süreçlerinin uluslararası arenada da
tanınırlığını sağlayacak
layacak ve başta
ba da belirtilen bu çalışmanın
manın temel amaçlarında olan
yerli BTHY’nin uluslararası rekabet gücünün artırılması vizyonu doğrultusunda
do
hareket edilmiş olacaktır.
Şekil 5. BTH Düzenleme Modeli
Şekil 5. BTH Düzenleme Model

Modelinde (Şekil 5) belirtilen ürün ve süreç
belgelendirilmesinin belirlenmesindeki en önemli adım BTH sınıflandırılması ve ilgili
sınıfla ilişkili kural
ral ve bu kurala tekabül eden denetim
de rejiminin ortaya konmasıdır.
konmasıdır
Buraya kadar bahsi geçen ilkeler doğrultusunda
do rultusunda düzenleyici çerçevenin çizilmesi
durumunda Şekil 6. BTH Düzenleme Matrisinin
Matrisi (Şekil 6) doldurulması
rulması çalışmanın en
önemli safhası olacaktır.
Şekil 6. BTH Düzenleme Matrisi
Bilgi
Yakla 39
11. SONUÇ
Bilgi teknolojileri geçtiğimiz yüzyıl etkisini hissettirmeye başlamasına karşın içinde

bulunduğumuz yüzyılda hemen her sektöre altyapı sağlamış ve en sıradan hayatların
bile vazgeçilmez bir parçası haline gelmiş durumdadır. Bu ölçüde yaygınlaşan bu
sektöre verilen projelerin, edinen tarafın beklentilerini karşılamaktan uzak olması ve
bilgi teknolojileri üretimi ve kullanımının çevreye yaptığı olumsuz etkiler dikkate
alındığında, kritik derecede önemi haiz BTH sunumuna, düzenleyici yaklaşımlar
getirilmesi gündeme gelmektedir.
BTH tanımının genişliği ve bu hizmetlerin her sektör tarafında kullanılıyor olması bu

çalışmanın sınırlarının belirlenmesinde temel bir güçlük olarak karşımıza çıkmaktadır.
Bu hizmetlerin sınıflandırılması ve ilgili sınıftan beklenen uyumluluk kuralları ve
seviyelerinin belirlenmesi, düzenleyici yaklaşımın en önemli bölümünü teşkil
edecektir.
Bu raporda önerilen modelde mümkün mertebe mevcut standartlar kullanılmıştır.

Düzenleyici çerçevenin uluslararası ve ulusal mevcut standartlara atıfta bulunması,
belgelendirme rejiminde belgelendirme kuruluşunun akredite olması çerçevenin kabul
görürlüğü ve düzenleme tekniği açısından önem taşımaktadır.
Öte yandan yine düzenleyici ilkeler göz önünde bulundurularak oldukça çok sayıda
BTHS bulunan bu sektörde sadece belirli şartları taşıyanların düzenlemeye tabi
olması modelin uygulanabilirliği, etkin rekabet sağlanmasının ve tüketicinin
korunmasının temini açısından önem taşımaktadır.
Yukarıda belirtilen sınıf-kural-belgeleme matrisinin oluşturulması çalışmasında

sektörel sivil toplum kuruluşları ve ülkemiz standardizasyon kuruluşu olan TSE’nin
katkılarının, çalışmanın başarısı açısından elzem olduğu düşünülmektedir.

Kaynakça
BDDK (2006), Bankacılık Düzenleme ve Denetleme Kurumu, Bankalarda bağımsız
denetim kuruluşlarınca gerçekleştirilecek bilgi sistemleri denetimi hakkında
yönetmelik, 16 Mayıs 2006 tarih ve 26170 sayılı Resmi Gazete
BDDK (2010a), Bankacılık Düzenleme ve Denetleme Kurumu, Bağımsız Denetim
Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık
Süreçlerinin Denetimi Hakkında Yönetmelik, 13 Ocak 2010 tarih ve 27461 sayılı
Resmî Gazete
BDDK (2010b), Bankacılık Düzenleme ve Denetleme Kurumu, Bağımsız Denetim
Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık
Süreçlerinin Denetimine İlişkin Rapor Hakkında Tebliğ, 13 Ocak 2010 tarih ve
27461 sayılı Resmî Gazete
BTK (2006), Telekomünikasyon Kurumu, Elektronik İmza ile İlgili Süreçlere ve Teknik
Kriterlere İlişkin Tebliğ’de Değişiklik Yapılmasına Dair Tebliğ, 20.06.2006
BTK (2008), Telekomünikasyon Kurumu, Elektronik Haberleşme Güvenliği
Yönetmeliği, 20.07.2008
DPT (2005), Devlet Planlama Teşkilatı, Birlikte Çalışabilirlik Esasları Rehberi Konulu
Genelge, 5 Ağustos 2005 tarihli ve 25897 sayılı Resmi Gazete
DPT (2006), Devlet Planlama Teşkilatı, Bilgi Toplumu Stratejisi Eylem Planı (2006-
2010)
DPT 2008, Devlet Planlama Teşkilatı, Kamu Bilgi ve İletişim Teknolojisi Projeleri
Hazırlama Kılavuzu,
DPT (2009), Devlet Planlama Teşkilatı, Bilgi Toplumu Stratejisi Eylem Planı (2006-
2010) Değerlendirme Raporu No:4, Ekim 2009
İbrişim A. (2007), Türk Standardlar Enstitüsü, Standard ve Belgelendirme Konularına
Genel Bakış (Yayımlanmamış Bilgi Notu), 2007, Ankara
MAM (2003), Türkiye Bilimsel ve Teknik Araştırma Kurumu, Marmara Araştırma
Merkezi, Yazılım Nitelik Çalıştay Etkinlikleri Sonuç Raporu, Destekleyen Kuruluş:
Savunma Sanayii Müsteşarlığı, 26/06/2003 Ankara
NEN (2009), Nederlands Normalisatie-instituut (Hollanda Standartlar Enstitüsü), IT
Outsource
TBD (2008a), Türkiye Bilişim Derneği, Kamu Bilişim Platformu, Bütünleşik Yetenek
Olgunluk Modeli, Nisan 2008

TBD (2008b), Türkiye Bilişim Derneği, Kamu Bilişim Platformu, Bilgi ve İlgili
Teknolojiler İçin Kontrol Hedefleri ( CobiT - Control Objectives For Information
And Related Technology), Nisan 2008
Telepati (2008), “Sanayi Bakanlığı'nda işler e-imza ile yürüyor…”, Telepati Aylık
Telekom Dergisi Nisan 2008 Sayı: 151
TSE (2009), Türk Standardları Enstitüsü, Ortak Kriterler Belgelendirme Sistemi,
01/09/2009
TÜBİSAD (2007), Bilişim Sanayicileri Derneği, bt-POTA, BT Hizmetleri Katalogu ve
Sertifikasyon Modeli 24/12/2007
Türksat (2009), Kamu İnternet Siteleri Standartları ve Önerileri Rehberi sürüm 1.1,
18/03/2009
Verheugen G. (2008), Keynote address of Vice-President Verheugen at the
conference on European ICT standardisation policy at a crossroads: A new
direction for global success, 12 February 2008, Brüksel
YASAD (2009), Yazilim: Ekonominin Yeni Kalkınma Gücü, Yazılım Sanayicileri
Derneği Aralık 2009, İstanbul
YPK (2006), Bilgi Toplumu Stratejisi ve Eki Eylem Planı , Yüksek Planlama Kurulu
Kararı 11/07/2006 tarih ve 2006/38 sayılı, 28/07/2006 tarih ve 26242 sayılı Resmi
Gazete

Bilgi Teknolojisi Hizmetleri Duzenleyici Cerceve Yaklasimi 5.0

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Bilgi Teknolojisi Hizmetleri Duzenleyici Cerceve Yaklasimi 5.0

Uploaded by

Copyright:

Available Formats

Bilgi Teknolojisi Hizmetleri

Düzenleyici Çerçeve Yaklaşımı

Mustafa ÜNVER Daire Başkanı

Bilgi Teknolojileri ve Koordinasyon Dairesi Başkanlığ

Bilgi Teknolojisi Hizmetleri Düzenleyici Çerçeve Yaklaşımı i

Ulusal ve uluslararası standartlar konusundaki çalışmalarından yararlanılmasına izin

Bilgi Teknolojisi Hizmetleri Düzenleyici Çerçeve Yaklaşımı i

Bilgi Teknolojisi Hizmetleri Düzenleyici Çerçeve Yaklaşımı i

Bilgi Teknolojisi Hizmetleri Düzenleyici Çerçeve Yaklaşımı ii

Bilgi Teknolojisi Hizmetleri Düzenleyici Çerçeve Yaklaşımı iii

Şekil 1. 12207 Yaşam Döngüsü ................................................................................. 9

Bilgi Teknolojisi Hizmetleri Düzenleyici Çerçeve Yaklaşımı iv

ATM (Automated Teller Machine) Para ödeme-yatırma makinası

BDDK Bankacılık Düzenleme ve Denetleme Kurumu

BTH Bilgi Teknolojisi Hizmeti

BTK Bilgi Teknolojileri ve İletişim Kurumu

BTHS Bilgi Teknolojisi Hizmet Sağlayıcı

BTHY Bilgi Teknolojisi Hizmet Yükümlüsü

BTH-UKK Bilgi Teknolojisi Hizmetleri Ulusal Koordinasyon Kurulu

DPT Devlet Planlama Teşkilatı

MAM Türkiye Bilimsel ve Teknik Araştırma Kurumu, Marmara Araştırma Merkezi

NEN (Nederlands Normalisatie-instituut) Hollanda Standartlar Enstitüsü

POS (Point of Sale) Elektronik para ödeme cihazı

TBD Türkiye Bilişim Derneği

TSE Türk Standardları Enstitüsü

TÜBİSAD Bilişim Sanayicileri Derneği

YASAD Yazılım Sanayicileri Derneği

YPK Yüksek Planlama Kurulu

Bilgi Teknolojisi Hizmetleri Düzenleyici Çerçeve Yaklaşımı v

Günümüzde kurum ve kuruluşlar iş verimliliklerini arttırmak ve rekabet güçlerini

Bunun bilincinde olan kurum ve kuruluşlar değişen teknolojiye ayak uydurabilmek,

Lee (20062)’ye göre bunun için üç temel sebep vardır:

1. Maliyet ve etkinlik: Uzmanlaşmış Bilgi Teknolojisi Hizmet Sağlayıcıları (BTHS)

Bilgi Teknolojisi Hizmetleri Düzenleyici Çerçeve Yaklaşımı 1

Pek çok araştırma4 göstermektedir ki BT projelerinin yarısı edinen beklentilerini

Bu bağlamda, BT hizmetlerinin ve sektörünün gelişimi açısından büyük önem taşıyan

BTH düzenlemesi çalışmasıyla BT alanında edinenlerin riskinin asgariye indirilmesi

Bilgi Teknolojisi Hizmetleri Düzenleyici Çerçeve Yaklaşımı 2

Bu çalışma neticesinde bir düzenleyici çerçeve taslağı oluşturulması

Bu düzenleyici çerçevenin hayata geçmesi durumunda; yukarıda zikredilen BTH

3. BİLGİ TEKNOLOJİSİ BİLEŞENLERİ

Yukarıda BT dış kaynak kullanımının diğer dış kaynak kullanımlarından farklı

Bilgi Teknolojisi Hizmetleri Düzenleyici Çerçeve Yaklaşımı 3

Bilgi Teknolojisi Hizmetleri Düzenleyici Çerçeve Yaklaşımı 4

3.2.1.2 Satın Alma

a) Kişisel bilgisayar, sunucu ve çevre birimleri

3.2.4 Felaket Kurtarma

Bilgi Teknolojisi Hizmetleri Düzenleyici Çerçeve Yaklaşımı 5

3.2.5 Yardım Masası

3.2.6 Masaüstü Hizmetleri

BT hizmetlerinin sunumunda ve alımında çeşitli taraflar vardır. Aşağıda bu taraflar

4.2 Bilgi Teknolojisi Hizmeti Sağlayıcısı

Bilgi Teknolojisi Hizmetleri Düzenleyici Çerçeve Yaklaşımı 6

Belgelendirme Kuruluşu aynı zamanda BT hizmeti ya da ürünü sağlayan tarafın

4.4.1 Eğitim danışmalık

4.4.2 Alım danışmanlığı

4.5 Politika Belirleyici

Bilgi Teknolojisi Hizmetleri Düzenleyici Çerçeve Yaklaşımı 7

5.1 Süreç Bazlı Standartlar

5.1.1 ISO 9001 6

5.1.2 ISO/IEC TR 9294 9

Bilgi Teknolojisi Hizmetleri Düzenleyici Çerçeve Yaklaşımı 8

Şekil 1. 12207 Yaşam Döngüsü

5.1.4 ISO/IEC 15288 12