Bilgi Güvenliği Politikası

İş hedeflerimize ulaşmak için kurumun değerli bilgi birikimini oluşturan ve paydaşlarımıza katma değer sağlayan bilgi varlıkları çeşitli ortamlarda üretilmekte, paylaşılmakta ve saklanmaktadır. İş süreçlerimiz büyük ölçüde bu bilgilerin işlendiği bilgi ve iletişim sistemlerine bağımlıdır.

Bilgi güvenliğinin genel olarak amacı, ilgili yasalar ve sözleşmeler çerçevesinde tüm ilgili tarafların bilgi güvenliği farkındalığı arttırılarak hassas kurum bilgilerinin, gizliliğini, bütünlüğünü ve bu bilgileri barındıran veya bilgilerin işlenmesinde kullanılan bilgi ve iletişim sistemlerinin erişilebilirliğini uygun düzeyde sağlamaktır. Bu düzey, mevcut bilgi güvenliği tehditler göz önünde bulundurularak kurum bilgi varlıkları ve hizmetleri açısından riskler ve önlemler arasında uygun bir denge sağlayan bilgi güvenliği risk yönetimiyle belirlenir.

Temel BGYS Prensipleri 

  • Personel ve üçüncü taraflarla kurumun gizlilik ihtiyaçlarını güvence altına almayı amaçlayan gizlilik anlaşmaları yapılır.
  • Dış kaynak kullanım durumlarında oluşabilecek güvenlik gereksinimleri analiz edilerek güvenlik şart ve kontrolleri şartname ve sözleşmelerde ifade edilir.
  • Bilgi varlıklarının envanteri bilgi güvenliği yönetim ihtiyaçları doğrultusunda oluşturulur ve varlık sahiplikleri atanır.
  • Kurumsal veriler sınıflandırılır ve her sınıftaki verilerin güvenlik ihtiyaçları ve kullanım kuralları belirlenir.
  • İşe alım, görev değişikliği ve işten ayrılma süreçlerinde uygulanacak bilgi güvenliği kontrolleri belirlenir ve uygulanır.
  • Güvenli alanlarda saklanan varlıkların ihtiyaçlarına paralel fiziksel güvenlik kontrolleri uygulanır.
  • Bilgi güvenliği rolleri ve sorumlulukları görevlerin ayrılığı ilkesine göre belirlenir.
  • Proje türüne bakılmaksınız tüm projelerde bilgi güvenliği esasları göz önünde bulundurulur.
  • Bilgi güvenliğinin sağlanması için otoriteler ve özel ilgi grupları ile iletişim düzenli olarak sağlanır.
  • Kurum varlıkları sadece varlık sahibinin belirlediği amaçlar ile yasalar ve sözleşmelere uygun olarak kullanılır.
  • İstihdam koşulları ve çalışma esnasındaki değişikliler yasalar ve prosedürler ile belirlenen şekilde yapılır.
  • Tedarikçi ilişkilerinde bilgi güvenliği ve iş sürekliliği için prosedürler kapsamında testler ve değerlendirmeler yaparak kontrol altında tutulur.
  • Uzaktan çalışma esasları için teknik ve fiziksel koruma önlemleri kurumsal riskler göz önünde bulundurularak oluşturulur.
  • Kuruma ait bilgi varlıkları için kurum içinde ve dışında maruz kalabilecekleri fiziksel tehditlere karşı gerekli kontrol ve politikalar geliştirilir ve uygulanır.
  • Kapasite yönetimi, üçüncü taraflarla ilişkiler, yedekleme, sistem kabulü ve diğer güvenlik süreçlerine ilişkin prosedür ve talimatlar geliştirilir ve uygulanır.
  • Ağ cihazları, işletim sistemleri, sunucular ve uygulamalar için denetim kaydı üretme konfigürasyonları ilgili sistemlerin güvenlik ihtiyaçlarına paralel biçimde ayarlanır. Denetim kayıtlarının yetkisiz erişime karşı korunması sağlanır.
  • Erişim hakları ihtiyaç nispetinde atanır. Erişim kontrolü için mümkün olan en güvenli teknoloji ve teknikler kullanılır.
  • Sistem temini ve geliştirilmesinde güvenlik gereksinimleri belirlenir, sistem kabulü veya testlerinde güvenlik gereksinimlerinin karşılanıp karşılanmadığı kontrol edilir.
  • Bilgi güvenliği ihlal olayları ve zayıflıklarının raporlanması için gerekli altyapı oluşturulur. İhlal olay kayıtları tutulur, gerekli düzeltici ve iyileştirici faaliyetler uygulanır ve düzenlenen farkındalık eğitimleri vasıtasıyla güvenlik olaylarından öğrenme sağlanır.
  • Kritik altyapı için süreklilik planları hazırlanır, bakımı ve tatbikatı yapılır.
  • Yasalara, iç politika ve prosedürlere, teknik güvenlik standartlarına uyum için gerekli süreçler tasarlanır, sürekli ve periyodik olarak yapılacak gözetim ve denetim faaliyetleri ile uyum güvencesi sağlanır.
  • Yönetimin Gözden Geçirmesi toplantıları “Yönetimin Gözden Geçirmesi Prosedürü” ne göre yapılır.
  • Uyulması gereken varlıkların kabul edilebilir kullanım kuralları BGYS kapsamında hazırlanan politika ve prosedürler ile tanımlanmıştır. BGYS kapsamı dâhilinde yer alan tüm personel ve 3. Taraflar hazırlanan politika ve prosedürlerde belirtilen kurallara uymak zorundadır.
  • Taşınabilir cihazların ve ortamların güvenliği için teknik ve fiziksel koruma önlemleri kurumsal riskler göz önünde bulundurularak oluşturulur.
  • Kurum iş süreçlerinde kullanılan cihazların bakımları cihaz üreticilerinin önerdiği koşullara göre yapılır.
  • Kullanıcı gizli kimlik bilgilerinin önemi göz önünde bulundurularak, gizli bilginin korunması için nitelikli parola kullanımı ve kimlik bilgi girişlerinin şifreli iletimleri sağlanır.
  • Ağlar çalışma yapılarına göre ayrılarak (Kablosuz ağ, DMZ ağı) erişim izinleri ihtiyacı kadar prensibine göre yapılandırılır.
  • Kötü niyetli yazılımlardan korumak için teknik açıklıkların kontrolü, yama yönetimi, zararlı yazılım tespit ürünlerinin kullanımı yanında kullanıcılarında duyarlılığı koruma sisteminin bütünlüğünü sağlayan bir unsur olarak kabul edilir.
    Yasalar ve güvenlik önlemleri gerekliliği olarak iz kayıtları saklanır ve düzenli olarak incelenir.


Kimlik Doğrulama Politikası
Kullanıcı Erişim Yönetimi

Yetkili kullanıcı erişimini temin etmek ve sistem ve hizmetlere yetkisiz erişimi engellemek için dikkate alınması gereken hususlar aşağıda belirtildiği gibidir.

Kullanıcılara Ait Gizli Kimlik Doğrulama Bilgilerinin Yönetimi

  1. Kullanıcılara “Kurumsal Kullanıcı Taahhütnamesi” ile gizli kimlik bilgilerini muhafaza etmesi gerektiğine dair bilgilendirme yapılır.
  2. Kullanıcıların ilk oturum açtıklarında parolalarını değiştirmesi zorunludur.
  3. Her kullanıcı için farklı geçici parola oluşturulur.
  4. Kurulum sırasında oluşan varsayılan kimlik bilgileri değiştirilerek kullanılmalıdır.

Kullanıcı Sorumlulukları
Gizli Kimlik Doğrulama Bilgisinin Kullanımı

  1. Kimlik bilgileri kesinlikle paylaşılmamalıdır.
  2. Kimlik bilgilerini korunmalıdır buna 3. taraflara verilen geçici / kalıcı kimlikler dâhildir.
  3. Gizli kimlik bilgileri için kayıt tutmaktan kaçınılmalı. Kayıt tutulması gerekli durumlar için kayıtlar şifreli olarak saklanmalıdır.
  4. Kimlik bilgilerinin ifşa olabileceği durumlarda hemen gerekli değişiklikler yapılmalıdır.
  5. Geçici parolaları ilk sisteme girişte değiştirilmeli
  6. Gizli kimlik bilgilerinin uygulamalar tarafından hatırlanmaması sağlanmalıdır.
  7. Kurumsal parolalar kurum dışında kullanılmamalıdır. (özel e-posta hesabı, sosyal medya hesapları)
  8. Bilgisayar kullanımına ara veren kullanıcılar bilgisayarlarının başından ayrılırken ekranlarını kilitlemekle sorumludurlar.
  9. Kullanıcılar şifrelerinin çalındığından kuşkulandıklarında yetkili birimlere haber vermeli, gereken önlemleri almalı ve bilgi güvenliği ihlal olayı kaydı açmalıdır.
  10. Kullanıcılar, bilgisayarlarını veya terminal oturumlarını kapatmadan (logout olmak) kullanılır durumda bırakmamalıdırlar.

 

Güncelleme Tarihi: 27 Temmuz 2021