Professional Documents
Culture Documents
Bilgi Teknolojisi Hizmetleri Duzenleyici Cerceve Yaklasimi 5.0
Bilgi Teknolojisi Hizmetleri Duzenleyici Cerceve Yaklasimi 5.0
Hazırlayanlar
İÇİNDEKİLER ........................................................................................................................................... İ
ŞEKİLLER .............................................................................................................................................. İV
KISALTMALAR ....................................................................................................................................... V
1. GİRİŞ .............................................................................................................................................. 1
2. ÇALIŞMANIN AMACI..................................................................................................................... 3
3. BİLGİ TEKNOLOJİSİ BİLEŞENLERİ ............................................................................................ 3
3.1 ÜRÜNLER ...................................................................................................................................... 4
3.1.1 YAZILIM ..................................................................................................................................... 4
3.1.2 DONANIM .................................................................................................................................. 4
3.2 HİZMETLER ................................................................................................................................... 4
3.2.1 DANIŞMANLIK .......................................................................................................................... 4
3.2.1.1 EĞİTİM ................................................................................................................................... 5
3.2.1.2 SATIN ALMA ......................................................................................................................... 5
3.2.2 BAKIM/ONARIM ........................................................................................................................ 5
3.2.3 GÜVENLİK ................................................................................................................................. 5
3.2.4 FELAKET KURTARMA ............................................................................................................. 5
3.2.5 YARDIM MASASI ...................................................................................................................... 6
3.2.6 MASAÜSTÜ HİZMETLERİ......................................................................................................... 6
4. BTH AKTÖRLERİ........................................................................................................................... 6
4.1 EDİNEN .......................................................................................................................................... 6
4.2 BİLGİ TEKNOLOJİSİ HİZMETİ SAĞLAYICISI .............................................................................. 6
4.3 BELGELENDİRME KURULUŞU ................................................................................................... 7
4.4 DANIŞMANLIK ............................................................................................................................... 7
4.4.1 EĞİTİM DANIŞMALIK................................................................................................................ 7
4.4.2 ALIM DANIŞMANLIĞI ............................................................................................................... 7
4.5 POLİTİKA BELİRLEYİCİ ................................................................................................................ 7
4.6 DÜZENLEYİCİ ................................................................................................................................ 7
5. BTH STANDARTLARI ................................................................................................................... 8
5.1 SÜREÇ BAZLI STANDARTLAR ................................................................................................... 8
5.1.1 ISO 9001 ................................................................................................................................... 8
5.1.2 ISO/IEC TR 9294 ....................................................................................................................... 8
5.1.3 ISO/IEC 12207 .......................................................................................................................... 9
5.1.4 ISO/IEC 15288 .......................................................................................................................... 9
5.1.5 ISO/IEC 15026 ........................................................................................................................ 10
5.1.6 TS ISO/IEC 15504 ................................................................................................................... 10
5.1.7 ISO IEC TR 15846 ................................................................................................................... 11
5.1.8 ISO/IEC 16085 ........................................................................................................................ 11
5.1.9 ISO/IEC 16326 ........................................................................................................................ 12
BT Bilgi Teknolojisi
1
Lancellotti, R., Schein, O., Spang, S. and Stadler, V. (2003). ICT and Operations outsourcing in banking
Hollanda Standartlar Enstitüsü’nün 2009’da yayımladığı “BT Dış Kaynak Kullanımı” başlıklı araştırmasından
yapılan alıntı (NEN, 2009)
2
Lee, J., (2006), Sustainable IT outsourcing arrangements, Delft University of Technology, Delft
NEN, 2009’dan alıntı
BTH’yi dış kaynak kullanımı yoluyla tedarik etmek oldukça yüksek riskli bir iş
olduğundan bu riski asgariye indirmek oldukça önemlidir. BT sektöründe gerek
BTHS’ler gerekse de edinen tüm tarafların sunulacak BTH’ye güveninin
sağlanabilmesi için sektöre ilişkin düzenleme mekanizması geliştirilmesi gerektiği
düşünülmektedir.
3
Yürütmekte olduğu faaliyetleri daha etkin ve verimli hale getirebilmek için BT hizmeti ya da ürününü tedarik
eden taraf olup “Edinen” tabiri TS ISO/IEC 15504-1/Nisan 2007 sayfa 2’den alınmıştır.
4
Standish Group, 1995; Beenker, 2004; van Heur, 2007; Ernst &Young, 2007; (NEN, 2009’dan alıntı)
3.1 Ürünler
BT ürünleri, BT hizmeti sunmanın önemli bir parçasıdır. Öncelikle bu ürünlerin
kullanıcı tarafından iyi belirlenmesi gerekmektedir. İhtiyaçları tam olarak karşılaması
için ürün özelliklerinin alım aşamasında iyi detaylandırılması büyük önem
taşımaktadır.
3.1.1 Yazılım
Yazılım, çok somut bir ürün olmadığından test etme kabiliyeti düşük alıcılar
tarafından alım aşamasında önceden belirlenmiş ihtiyacı karşıladığından emin
olunması zordur. Bu nedenle yazılımın sadece ürün olarak standartlara uymasının
beklenmesinin yanında geliştirme sürecinde de yazılım üreticisinin kurumsal olarak
süreçlerle ilgili standartlarda belirlenen yapıyı takip etmesi önem kazanmıştır.
3.1.2 Donanım
BT donanımları ile ilgili pek çok standart mevcuttur. Alıcının ihtiyacı iyi belirleyip alım
kurallarında bu ihtiyaçları detaylandırması önemlidir.
3.2 Hizmetler
3.2.1 Danışmanlık
Ana çalışma konusu BT olmayan hemen tüm sektörler BT ürün ve hizmetlerini alıcı
olarak kullanmaktadır. Ancak bu konuda ürün/hizmetin detayını anlayabilecek
derinlikte bilgi birikimine sahip olma şansları olmadığı için gerek alım kurallarını
koyarken, gerek alım aşamasında gerekse de alım akabindeki hizmetlerde dış
kaynaklı danışmanlık hizmeti alma ihtiyacı hâsıl olabilmektedir.
3.2.2 Bakım/onarım
BT ürününün satın alınması sonrasında ilgili ürünün alıcı tarafın ihtiyacı çerçevesinde
çalışırlığının sağlanması için sürekli bakım ve onarım ihtiyacı vardır. TÜBİSAD bt-
pota (TÜBİSAD, 2007) çalışmasında bir hizmetler katalogu hazırlanmış ve bakım
onarım hizmeti sağlanacak teçhizat aşağıdaki şekilde sınıflandırılmıştır:
3.2.3 Güvenlik
Kurumların BT sistemlerinin güvenliklerinin sağlanması için; virüs, truva atı, solucan
gibi kötücül yazılımlar (malware) ile istenmeyen e-postalar kurum sistemlerini kısmen
ya da tamamen etkileyerek çalışmaz hale getirebilmesi tehdidine karşı sürekli
izlenerek gerekli tedbirlerin alınması hizmetidir.
4. BTH AKTÖRLERİ
4.1 Edinen
Yürütmekte olduğu faaliyetleri daha etkin ve verimli hale getirebilmek için BT hizmeti
ya da ürününü tedarik eden taraftır.5
5
“Edinen” tabiri TS ISO/IEC 15504-1/Nisan 2007 s2 den alınmıştır.
4.4 Danışmanlık
4.6 Düzenleyici
BT ürün ve hizmetleri ve bunların üretim ve sağlanması süreçleri konularında
standartları oluşturan ya da benimseyen standardizasyon kuruluşu ve BT alanında
düzenleyici diğer kuruluşlardır.
6
http://www.iso.org
7
Uluslararası Standardizasyon Örgütü ( International Standardization Organization)
8
http:// www.turkak.org.tr
9
http://www.iso.org
10
http://www.iso.org
11
TÜRK STANDARDI TS ISO/IEC 12207/Haziran 2007
12
http://www.iso.org
Referans model iyi yazılım mühendisliği için gerekli olan temel hedefleri üst seviyede
tarif etmekte ve yazılımı elde etme, sağlama, geliştirme, işletme, tekamül ettirme ve
destek yeterliliği oluşturmayı isteyen her yazılım kuruluşuna uygulanmaktadır.
Model, belirli bir kuruluş yapısı, yönetim felsefesi, yazılım yaşam döngüsü modeli,
yazılım teknolojisi ya da geliştirme metodolojisini temel almamaktadır.
13
http://www.iso.org
14
İbrişim A. (2007:5)
15
Software Process Improvement and Capability Determination- Yazılım Süreci İyileştirme ve Yeterlilik
Belirleme
TS ISO/IEC 15504, 5 bölüm halinde Türk standardı olarak yayınlanmış olup, TSE
bünyesinde belgelendirme çalışmaları devam etmektedir.16
TS ISO IEC 15846; Yazılım Konfigürasyon Yönetim (YGY) süreci için ihtiyaçları
kapsamaktadır. YGY, ISO/IEC 12207 standardında belirtildiği gibi bir yazılım ürünü
yaşam döngüsünü yapılandırma yönetimi yönünden desteklemektedir. YGY; işletme,
bakım ve geliştirme süreçleri boyunca sürekliliği sağlamaktadır.
16
Çetinkaya, B., (TSE) 28.09.2009 tarihli e-posta
17
İbrişim A. (2007:6), Türk Standardlar Enstitüsü, Standard ve Belgelendirme Konularına Genel Bakış
(Yayımlanmamış Bilgi Notu), 2007, Ankara
18
http://www.iso.org
19
http://www.iso.org
20
http://www.iso.org
21
http://www.iso.org
22
http://www.iso.org
23
http://www.iso.org
Risk işleme
leme için standartta öngörülen kontrol hedefleri ve kontrollerden seçimler
yapılmalıı ve uygulanmalıdır. Planla, uygula, kontrol et, önlem al (PUKÖ) çevrimi
uyarınca risk yönetimi faaliyetlerini yürütmeli ve varlığın
varlı ın risk seviyesi kabul edilebilir
bir seviyeye
iyeye geriletilene kadar çalışmayı
çalı sürdürmelidir.
25
28.09.2009 itibariyle ülkemizde 14 adet kuruluş TS ISO/IEC 27001 belgesi almıştır.
almı
Ş
Şekil 2. 27001 Yaşam Döngüsü
24
http://www.iso.org
25
Çetinkaya, B., (TSE) 28.09.2009 tarihli e-posta
e
Bilgi
ilgi Teknolojisi Hizmetleri Düzenleyici Çerçeve Yaklaşımı
Yakla 14
5.1.15 ISO 31000 26
Risk Yönetimi – Prensipler ve Kılavuzlar: ISO 31000:2009 risk yönetimi
konusunda prensipler ve genel klavuz sağlamaktadır. Herhangi bir sektöre özel
değildir ve kamu veya özel her kuruluş tarafından kullanılabilmektedir. Stratejiler,
kararlar, operasyonlar, süreçler, işlevler, projeler, servisler, ürünler gibi geniş bir
etkinlik alanına uygulanabilmektedir. Her tür riske doğası ne olursa olsun
uygulanabilmektedir. Genel prensipler sağlamakla birlikte bütün kuruluşlarda risk
yönetiminin aynı olmasını desteklememektedir. Her bir kuruluş kendi yapısına özel
ihtiyaçları ve kendi hedeflerini, yapısını, işlevlerini vb. göz önünde bulundurarak risk
yönetim planlarını tasarlamalı ve uygulamalıdır. Bu standart sertifikasyon amacı
gütmemektedir.
5.1.17 CMMI
CMMI (Capability Maturity Model Inregration - Bütünleşik Yetenek Olgunluk
Modeli): Bu model, bir veya birden çok disiplin için etkili süreçlerin gerekli
elemanlarını içeren bir modeldir. Geçici, olgunlaşmamış süreçleri; gelişmiş kalite ve
26
http://www.iso.org
27
http://www.iso.org
Bir sistemin kalitesi, o sistemin işleyişine ait süreçlerin kaliteli olmasıyla doğrudan
ilgilidir. CMMI modelinin genel anlayışında, bir kurumun süreçlerini iyileştirmek
yatmaktadır. Süreç alanları bazında nelerin eksik olduğunu ve nelerin olması
gerektiğini anlatmaktadır. Model, sorunlara ait çözümlerin kurumlara; hatta projelere
ait olduğunu düşünerek, eksikliklerin nasıl giderileceğine dair yöntemler
tanımlamamaktadır. (TBD, 2008a)
5.1.18 COBIT
COBIT(Control OBjectives for Information and related Technology -Bilgi ve İlgili
Teknolojiler için Kontrol Hedefleri): Bir şirkette teknolojinin kullanımından ve BT
yönetişimi28 ile kontrol geliştirmekten dolayı ortaya çıkan faydayı en üst düzeye
çıkarmak için ölçüler, göstergeler, süreçler ve en iyi uygulamalar sağlamaktadır.
Cobit BT yönetişim modeli olma vizyonuna sahiptir. Cobit sadece bir denetim aracı
değil, aynı zamanda bir yönetişim aracı olma amacını taşımaktadır. Bu nedenle
yönetimden BT personeline kadar kurum içi ve dışında, kurumun varlığı ve sağlıklı
faaliyet göstermesi konularında risk üstlenen çeşitli taraflara fayda sağlama amacını
da yerine getirmeyi hedeflemektedir. (TBD, 2008b)
5.1.19 eTOM
eTOM(enhanced Telecom Operations Map) TM Forum tarafından oluşturulan
eTOM BT ve İletişim Sektöründe geniş alanda uygulanan ve kabul gören bir model
ve çerçevedir29. eTOM daha çok uçtan uca hizmet sunumu ve destek için
kullanılmaktadır30.
28
Governance
29
http://www.tmforum.org
30
BPTrends Ocak 2005 – “eTOM and ITIL:Should you be Bi-lingual as an IT Outsourcing Service Provider?”,
Jenny Huang
Çerçeve içerdiği süreçler için farklı seviyelerde gruplandırmaya sahiptir. Bunlar yatay
gruplama ve dikey gruplamadır. Dikey süreç gruplama uçtan uca etkinliklere (örn.
sigorta) odaklanır ve her bir dikey grup müşteri, destek hizmetleri, kaynaklar ve
paydaşları ilişkilendirirken; yatay süreç gruplama işlevsel olarak ilişkili alanlara
odaklanır. Dikey gruplamalar soldan sağa başlangıç stratejisinden ürün geliştirmeye
ve faturalandırmaya doğru bir yaşam döngüsü olarak düşünülebilirken, yatay
gruplamalar firma süreçlerinin, tavandan tabana, katmanlı bir görünümü olarak göz
önüne getirilebilir33. Dikey ve yatay gruplamanın nerelerde kullanılacağı ve ne kadar
detaylandırılacağı kullanıcının ihtiyaçlarına göre belirlenebilir.
5.1.20 ITAFA
ITAFA(Professional Practices Framework for IT Assurance): BT yönetimi,
kontrolü ve güvencesi konusunda dünya çapında bir organizasyon olan ISACA35
tarafından geliştirilen ITAFA çerçevesi BT güvence profesyonellerinin sürekli
ihtiyaçlarını karşılamak amacıyla BT değerlendirmelerini yapacak standart, kılavuz,
araç ve teknikleri barındıracak bir çerçeve ve referans olarak tasarlanmıştır36.
31
http://www.tmforum.org/BestPracticesStandards/BusinessProcessFramework/6637/Home.html
32
http://www.tmforum.org/BestPracticesStandards/BusinessProcessFramework/6637/Home.html
33
http://www.tmforum.org/BestPracticesStandards/BusinessProcessFramework/6637/Home.html
34
BPTrends Ocak 2005 – “eTOM and ITIL:Should you be Bi-lingual as an IT Outsourcing Service Provider?”,
Jenny Huang
35
www.isaca.org
36
”A Prelude to IT Assurance Framework”, Ravi Muthukrishnan
5.1.21 ITIL
ITIL(Information Technology Infrastructure Library - BT Altyapı Kütüphanesi):
BTH’yi yönetmede ayrıntılı ve yapısal en iyi uygulama örnekleri serisidir. ITIL,
80′lerin sonunda İngiltere kamu satın alma makamı olan OGC (Office of Government
Commerce) tarafından geliştirilmiştir. Süreç yaklaşımı sayesinde ITIL, edinen,
tedarikçi, BT bölümü ve kullanıcıları arasında başarılı bir şekilde iletişim kurulmasını
mümkün kılmaktadır.39
37
ITAF: A Professional Framework for IT Assurance Özet Dokümanı, ISACA
38
ITAF: A Professional Framework for IT Assurance Özet Dokümanı, ISACA
39
http://www.infratech.com.tr/tr/itil_danismanligi.htm
Ancak burada bilinmesi gereken şudur ki PMBOK bir metodolojiden ziyade bir
rehberdir44. İşte bu noktada bu rehberin uygulama alanına yansımış hali olan
PRINCE2 devreye girer. PRINCE2 İngiliz hükümeti tarafından geliştirilen ve
kullanılan ve hem İngiltere hem de uluslararası özel sektör tarafından kabul görmüş
40
Project Management Institute
41
IEEE Std 1490™-2003
42
ANSI/PMI 99-001-2008
43
A Guide to the Project Management Body of Knowledge
44
A Guide to the Project Management Body of Knowledge
5.1.23 RISK IT
Risk IT çerçevesi ISACA tarafından geliştirilmiştir ve Cobıt47 çerçevesini tamamlar.
Cobıt BT ile ilgili bütün süreçlerle ilgili yönetim sağlamakla birlikte risk yönetimi
konusunda BT risklerini azaltacak kontrol kümeleri sağlayarak en iyi örnekleri
belirlerken, Risk IT son kullanıcılar için en iyi uygulamaları belirler ve şirketlere BT
riskini belirlemek ve yönetmek için bir çerçeve sağlar48.
5.1.24 TOGAF
Open Group52 tarafından geliştirilen TOGAF kurumsal yönetim mimarisi geliştirmek
için detaylı yöntemleri ve destek araç kümelerini içeren bir çerçevedir ve kurumsal
45
http://www.prince-officialsite.com/home/home.asp
46
http://www.ileriprojeyonetimi.com/proje_yonetimi/prince2-nedir.html
47
ISACA, CobiT 4.1, 2008, www.isaca.org
48
Enterprise risk: Identify, Govern and Manage IT Risk/ The Risk IT Framework, ISACA
49
Enterprise risk: Identify, Govern and Manage IT Risk/ The Risk IT Framework, ISACA
50
Enterprise risk: Identify, Govern and Manage IT Risk/ The Risk IT Framework, ISACA
51
“Risk IT overview by ISACA” sunumu, 6 Ocak 2010
5.1.25 VAL IT
Risk IT ile birlikte COBIT’i tamamlayıcı özelliktedir (Şekil 3). Val IT yol gösterici
prensiplerden ve bu prensiplere uyan ve önemli yönetim uygulama kümeleri olarak
ayrıntılı şekilde tanımlanmış belirli sayıda süreçlerden oluşan bir yönetim çerçevesidir
55
.
52
http://www.opengroup.org/
53
http://www.opengroup.org/architecture/togaf9-doc/arch/ , TOGAF Version 9
54
http://www.opengroup.org/architecture/togaf9-doc/arch/ , TOGAF Version 9
55
http://www.isaca.org/Template.cfm?Section=Val_IT3&Template=/TaggedPage/TaggedPageDisplay.cfm&TPLI
D=80&ContentID=51867
56
Enterprise Value: Governance Of It Investments The Val IT Framework 2.0 Extract, ISACA
57
“Risk IT overview by ISACA” sunumu, 6 Ocak 2010
58
http://www.iso.org
5.2.3.1 Kapsamı
Ortak kriterler birbirleriyle ilişkili üç ayrı bölümden oluşmaktadır.
Birinci bölüm “Giriş ve Genel Model”dir ve bu bölüm BT güvenlik değerlendirmelerinin
temel kavram ve ilkelerini tanımlar niteliktedir ve genel bir değerlendirme modeli
sunmaktadır. Bölüm aynı zamanda BT güvenlik hedeflerinin oluşturulması, BT
59
http://www.iso.org
60
Bu bölümde genel olarak faydalanılan kaynak: İbrişim (2007)
EAL1 seviyesi ürünün veya sistemin doğru çalıştığına dair güvenin yeterli olduğu ve
güvenlik tehditlerinin ciddi olmadığı durumlarda kullanılmaktadır,
EAL4 seviyesi ticari ürün geliştirme yöntemlerinden azami garanti sağlayabilmek için
ürün geliştiricilere yöntemler önermektedir. EAL4 var olan ürün geliştirme altyapısını
değiştirmeden ulaşılabilecek en yüksek garanti seviyesidir. EAL4 değerlendirmesi
ürünün alt düzey tasarımı ve uygulamanın alt kümelerinin analizi ile de desteklenen
bir süreçtir. Yapılan testler bağımsız açıklık analizleri ile desteklenir. Geliştirme
kontrolleri yaşam döngüsü desteği, tanımlama teknik ve araçları, ve otomatik
konfigürasyon yönetimi ile güçlendirilir.
EAL5 seviyesi, özel güvenlik tekniklerinin orta düzeyde uygulanması ile desteklenen,
ticari ürün geliştirme yöntemlerinden azami garanti sağlayabilmek için ürün
geliştiricilere yöntemler önermektedir. Bu seviyeye aday bir ürün seviyenin
gerektirdiği garantiyi sağlayabilecek bir şekilde tasarlanmalı ve geliştirilmelidir. Bu
EAL6 seviyesi yüksek değerdeki varlıkları korumakta olan ürünler için yüksek garanti
seviyesi sağlayan güvenlik teknikleri önermektedir.
EAL7 seviyesi son derece yüksek risk durumlarında veya korunan varlıkların bu
seviyenin getireceği maliyeti karşılayabileceği durumlarda uygulanabilmektedir
Ortak Kriter serisi Türk Standartları Enstitüsü tarafından TS ISO/IEC 15408 başlığı
altında 3 bölüm halinde Türk standardı olarak da yayınlanmış ve belgelendirme
çalışmalarına başlanmıştır. TSE bünyesinde belgelendirme hizmetleri verilmektedir.
63
5.2.5 TS ISO/IEC 90003
Yazılım mühendisliği - ISO 9001:2000’in bilgisayar yazılımına uygulanması için
kılavuz
Bu standard, ISO 9001:2000’in, bilgisayar yazılımı ve ilgili destek hizmetlerinin satın
alınması, tedariği, geliştirilmesi, işletilmesi ve bakımı için uygulanmasında,
kuruluşlara kılavuzluk sağlar. 23.03.2006 tarihinde TSE tarafından kabul edilmiş
ulusal standarttır.
61
Standart Net: http://www.tse.org.tr
62
Çetinkaya, B., (TSE) 28.09.2009 tarihli e-posta
63
Standart Net: http://www.tse.org.tr
5.3.1 TS 12788 64
İnternet İş Yerleri - İnternet Evi - Genel Kurallar: Bu standart, internet evi hizmeti
veren iş yerlerinin fiziki yapı, işletmecilik, çalışanlar, bilgisayar ve çevre birimleriyle
ilgili genel kurallarını kapsar. 03.04.2008 tarihinde TSE tarafından kabul edilmiş
ulusal standarttır. 1 adet belgelendirilmiş BTHS mevcuttur.
65
5.3.2 TS 12498
Yetkili servisler - Bilgisayar ve çevre birimleri için-Kurallar
Bu standard, bilgisayar ve çevre birimleri yetkili servislerinin yapısal özellik,
işletmecilik, teknik donanım, çalışanlarının özellikleri ve belgelendirmesi ile ilgili
kurallarını kapsar. 09.03.2010 tarihinde TSE tarafından kabul edilmiş ulusal
standarttır. 140 adet belgelendirilmiş BTHS mevcuttur.
66
5.3.3 TS 13079
İnternet servis sağlayıcılığı – Terimler ve tarifler
Bu standart, internet servis sağlayıcılığında kullanılan terim ve tarifleri kapsar.
30.03.2004 tarihinde TSE tarafından kabul edilmiş ulusal standarttır.
67
5.3.4 TS 13149
İş yerleri - Yazılım hizmetleri veren - Genel kurallar
Bu standard, yazılım hizmetleri veren iş yerlerinin yapısal özellikler; yazılımın
geliştirilmesi; ürününün müşteriye sunulması; danışmanlık, destek, eğitim hizmetleri
ve çalışanlar ile ilgili genel kurallarını kapsar. Danışmanlık, destek ve eğitim
hizmetleri ile ilgili genel kurallarını kapsar. 21.04.2005 tarihinde TSE tarafından kabul
edilmiş ulusal standarttır. 146 adet belgelendirilmiş BTHS mevcuttur.
68
5.3.5 TS 13242
Yetkili servisler – Bilgisayar ağı bileşenleri ve sistemleri için – Kurallar
64
Standart Net: http://www.tse.org.tr
65
Standart Net: http://www.tse.org.tr
66
Standart Net: http://www.tse.org.tr
67
Standart Net: http://www.tse.org.tr
68
Standart Net: http://www.tse.org.tr
5.3.6 TS 13298 69
Elektronik belge yönetimi
Bu standard, kurumlarda üretilen ve/veya üretilmesi muhtemel elektronik
dokümanların belge niteliğinin korunabilmesi için gerekli standardların belirlenmesi
amacıyla aşağıdaki konuları kapsar:
69
Standart Net: http://www.tse.org.tr
6. BT VE İKLİM DEĞİŞİKLİĞİ
Sanayi devrimi sonrasında hız kazanan iklim değişikliği olgusu dünyada sadece
insan ırkını değil tüm canlıları etkilemekte pek çok türün doğal yolların çok üstünde
bir hızla yok olmasına sebep olmaktadır. Doğal süreci kendi akışının dışına çıkaran
insanoğlu gelecek nesilleri için daha ileride kurulacak medeniyetler için bu meseleye
de çözüm bulmak zorundadır.
Elbette her sektör sera gazı emisyonunun azaltılması, yenilenebilir enerji tüketilmesi
gibi çevre dostu uygulamalara yönelmekte üstüne düşen görevi yapmalıdır ancak BT
sektöründeki son yirmi otuz yıllık büyüme bu sektörün dünyayı kirletme hızını
yükseltmiş ve karbon ayak izi olarak tabir edilen iklim değişikliğine olumsuz etki
şiddeti diğer sektörlere göre daha büyük bir hızla yükselmektedir.
Öte yandan BT atık yönetimi halen daha en gelişmiş ülkelerde bile dikkate alınan bir
konu haline gelememiştir. BT’nin yaygınlaşması ve hızla değişiyor olması ortaya ciddi
bir donanım atığı çıkarmış ancak bu atığın nasıl yönetileceği konusunda henüz ciddi
bir düzenleme getirilememiştir. Diz üstü bilgisayar pilleri, BT donanımının entegre
çipleri, bunların plakaları pek çok zehirli kimyasal barındırmakta bu bilim adamları
tarafından bu kimyasalların sadece birkaç miligramının tonlarca toprağı zehirlemeye
yettiğini bildirilmektedir.
Dünyanın ciddi bir BT atık yönetimine ihtiyacı olduğu inkâr edilemez bir gerçektir. Bu
çalışma kapsamında, BT donanım tedariki hizmeti sunan hizmet sağlayıcıların
tüketicinin talep etmesi durumunda eski BT donanımlarının toplaması ve kabul
edilebilir kimyasal süreçler sonrasında bu donanımları yeniden kullanılır hale
getirmesi ile BT donanımlarının enerji tüketimine bir üst sınır getirilmesi de yine
muhtemel düzenleyici müdahaleler olarak düşünülmektedir..
Yukarıda bahsi geçen bu düzenleme önerilerinin BT’nin karbon ayak izini küçülteceği
ve gelecek medeniyet yolunda insan ırkına çok önemli desteği olacağı düşünülen bu
sektöre yapılan eleştirilerin de önüne geçebileceği değerlendirilmektedir.
BTH düzenlemesine ilişkin olarak dünya genelinde tüm BT sektörünü içerisine alacak
kapsamda bir düzenleyici ülke örneğine rastlanamamıştır. Ülkeler genellikle satın
alma makamları marifetiyle kamu BT alımlarını disipline etmeye çalışmışlar ve finans
gibi bazı diğer sektörler de buradan aldıkları ilhamla kendi BT alımlarında bu kuralları
işleme koymuşlardır.
70
Carnegie Mellon University - Software Engineering Institute
71
United Kingdom's Office of Government Commerce
72
ISO/IEC 20000 Aralık 2005’de ISO tarafından yayımlanmıştır.
İleride bu durumun AB’yi daha kötü etkilememesi için tüm tarafların bu tarz bir
standardizasyon çalışmalarına katılımı, standartların geniş kabul görmesi ve pazarın
ihtiyaçlarının daha iyi analiz edilmesi açısından önemli olduğu Komisyon tarafından
vurgulanmaktadır.
Bu standardizasyonun
a) Mevcut başarılı standartlara atıflarda bulunması,
b) Yenilikçiliği ve rekabeti desteklemesi,
c) Pazar öncülüğündeki standardizasyondan faydalanmak ve sinerji
yaratması,
d) Kamu yararının hesaba katılmasını sağlaması,
e) Tüm tarafların katılımını sağlaması ve
f) Avrupa’nın uluslararası standart düzenlemesinde daha etkin katılımını
sağlamasının
Ülkemiz BTH pazarının 2010 yılında 7.3 milyar dolarlık bir büyüklüğe ulaşacağı ve
bunun ancak 950 milyon dolarlık bir kısmının donanım dışı hizmetleri kapsayacağı
tahmin edilmektedir74.
Daha sonra Eylem Planı Değerlendirme Raporunda (DPT, 2009:249) bu eylem ile
ilgili yürütülen çalışmanın tüm BT sektörüne yönelik bir çalışma olmadığı75 ortaya
konulmaktadır.
73
Yayımlanmamış MAM raporundan alıntı olduğu belirtilmiştir.
74
TÜBİSAD (2007:3)’de geçen ve IDC (2007) Türkiye BT Hizmetleri Pazar Potansiyelinin Analizi’nden
alıntılanan veriler.
75
99 Numaralı Eyleme İlişkin Yapılan Çalışmalar (DPT, 2009:249):
“Yürürlükte olan 97/5 sayılı “Çevre Maliyetlerinin Desteklenmesi Hakkında Tebliğ” kapsamında“Türkiye’de
ticari ve sınai faaliyette bulunan veya tarım ya da yazılım sektörlerinde iştigal eden şirketler tarafından çevre,
kalite ve insan sağlığına yönelik teknik mevzuata uyum sağlanabilmesini teminen akredite edilmiş kurum
ve/veya kuruluşlardan alınacak kalite, çevre belgeleri ile insan, can, mal emniyeti ve güvenliğini gösterir işaretler
ile tarım ürünlerine iliksin laboratuar analizleri ve belgelendirme işlemleriyle ilgili harcamaların belirli bir
bölümü Destekleme ve Fiyat İstikrar Fonu’ndan karşılanmaktadır.
Söz konusu destek, “İhracata Yönelik Devlet Yardımları Kapsamında Çevre Maliyetlerinin Desteklenmesi
Hakkında 97/5 sayılı Tebliğ” çerçevesinde, Türkiye’de ticari ve sınai faaliyette bulunan veya tarım ya da yazılım
sektörlerinde iştigal eden şirketler, Dış Ticaret Sermaye Şirketleri (DTSS) ile Sektörel Dış Ticaret Şirketleri
(SDS)’nin; uluslararası nitelikteki kalite, rapor, belge vs. alımına yönelik olarak yapılan belgelendirilmiş
harcamalarının (belgelendirmeye ilişkin müracaat ve doküman inceleme, belgelendirme tetkik, yıllık belge
kullanımı, test, tetkik ve analiz harcamalarının) belge ve/veya analiz basına % 50 oranında ve en fazla 50.000
ABD Doları’na kadar desteklenmesini kapsamaktadır. Kamu alımları kapsamında kalite sertifikasyonunun teşvik
edilmesi ve kalite sertifikasyonu destek mekanizmaları ile ilgili olarak sektörün bilgilendirilmesi çalışmalarına
devam edilecektir.”
Yönetmeliğin yürürlüğe girmesi akabinde ülkemiz finans sektörü ilgili düzenleme için
ciddi bir uyumluluk çabası içerisine girmiş olup bu düzenleme daha sonra
güncellenerek finans sektöründeki ağırlığını artırmaktadır (BDDK, 2010a; BDDK,
2010b).
76
2002 Sarbanes-Oxley Kanunu şirketlere sıkı denetim mecburiyeti getirmiştir.
Ayrıca yazılım ürünü bazında bilgi güvenliği için TS ISO/IEC 15408 standardına
uyum aranması şart getirilmiştir (DPT, 2008:18).
İlk defa Millî Savunma Bakanlığı Cari Mal ve Hizmet Tedarik Dairesi Başkanlığının
22.02.2010 tarihli bakım onarım ihalesinde79 katılım şartı olarak akredite edilmiş bir
kuruluşça verilmiş ISO/IEC 20000 Bilgi Teknolojileri Hizmet Yönetim Sistemi
Belgesine sahip olma şartı getirilmiştir.
77
CMM-I Seviye-2’ye eşdeğer ISO 15504 süreçleri; Mühendislik ve Tedarik Süreç Gruplarının tamamı,
Yönetim Süreci Grubu altındaki Proje Yönetimi süreci, Destek Süreç Grubu altındaki Ortak Değerlendirme,
Denetleme, Belgeleme, Yapılandırma Yönetimi süreçlerinin 2’nci seviyesidir.
78
AQAP 160 : Akreditasyonu Milli Savunma Bakanlığı tarafından yapılan “NATO Yazılım Yaşam Döngüsü Boyunca
Bütünleşik Kalite Güvence Gereksinimleri” modeli.
79
http://www.msb.gov.tr/icdisdaireIHL/phpscr/ihaledetay.php?id=682&IID=1 son erişim 04.02.2010
Düzenleyicinin diğer önemli bir varlık sebebi ise tüketici haklarının korunmasıdır. BT
pazarının sadece iş dünyası arasında sunulan hizmetlerden ibaret olmadığı ve
burada sunulan BTH’nin son kullanıcıya/tüketiciye olan etkileri göz önüne alınarak
düzenleyici müdahale gerekliliğin hâsıl olabileceği düşünülmektedir.
Gerek etkin piyasa gücüne sahip olması gerek hakim konuma sahip olması nedeniyle
pazar dinamiklerine olacak yoğun etkisi dikkate alınarak gerekse de hacimsel
büyüklüğü nedeniyle son kullanıcılar/tüketiciler üzerine olan etkileri dikkate alınarak;
yukarıda da belirtilen sayısı yirmi bine yakın BTHS kümesinden sadece belirli
kriterleri sağlayanlarına yükümlülükler getirilmesinin uygun olacağı mütalaa
edilmektedir.
Bilgi
ilgi Teknolojisi Hizmetleri Düzenleyici Çerçeve Yaklaşımı
Yakla 38
Belgelendirme kuruluşunun
unun uluslararası akreditasyon şebekesine
ebekesine üye bir makamca
akredite edilmiş olması belgenin ve denetim süreçlerinin uluslararası arenada da
tanınırlığını sağlayacak
layacak ve başta
ba da belirtilen bu çalışmanın
manın temel amaçlarında olan
yerli BTHY’nin uluslararası rekabet gücünün artırılması vizyonu doğrultusunda
do
hareket edilmiş olacaktır.
Bilgi
ilgi Teknolojisi Hizmetleri Düzenleyici Çerçeve Yaklaşımı
Yakla 39
11. SONUÇ
Öte yandan yine düzenleyici ilkeler göz önünde bulundurularak oldukça çok sayıda
BTHS bulunan bu sektörde sadece belirli şartları taşıyanların düzenlemeye tabi
olması modelin uygulanabilirliği, etkin rekabet sağlanmasının ve tüketicinin
korunmasının temini açısından önem taşımaktadır.