yayın tarihi İlgİ gÜvenlİĞİ polİtİkasi revizyon …egesoft.com.tr/egesoft_bgp.pdf3.4 bgys...

BİLGİ GÜVENLİĞİ POLİTİKASI

Doküman No PL01

Yayın Tarihi 12.09.2016

Revizyon No 0

Sayfa No 1/30 20/01/2017

1

1.Bilgi Güvenliği Politikası İçeriği

1.1 Giriş

1.1 Amaç

1.2 Kapsam

1.3 Tanımlar

2. Bilgi güvenliği Hedefleri ve Prensipleri

3. Bilgi Güvenliği Organizasyonu ve Altyapısı

3.1 BGYS Takımı ve yetkileri

3.2 BGYS uygulamalarına katılım

3.3 BGYS Forumları

3.4 BGYS YGG Toplantısı

4. Risk Analizi ve Yönetim Stratejisi

4.1 Risk değerlendirme metodolojisi

4.2 Risk işleme metodolojisi

4.3 SOA – Uygulanabilirlik İfadesi

5. Bilgi hassasiyeti ve riskler

5.1 Bilgi varlıklarımız

5.2 Varlık sınıflandırması

5.3 Kritik varlıklar

6.Bilgi güvenliği politika, prosedür ve rehberleri

6.1 Bilgi Güvenliği Politikası ve Rehberi

6.2 Bilgi Güvenliği Prosedürleri

6.3 Bilgi Güvenliği Rehberleri

6.4 Bilgi güvenliği Sözleşmeleri


Doküman No PL01


Revizyon No 0

Sayfa No 2/30 20/01/2017

2

7.Bilgi Güvenliği Eğitimleri

8.Doküman ve Kayıtların Kontrolü

9.Bilgi Güvenliği İç Denetimleri

10.Sürekli İyileştirme ve Düzeltici – Önleyici Faaliyetler

11.Üçüncü Taraf Gizlilik Politikası

12.Kurumsal Bilgi Güvenliği Politikası

13.Kullanıcı Sorumluluk Politikası

14.Varlıklara Yönelik Sorumluluk Politikası

15.Kabul Edilebilir Kullanım Politikası

16.Bilgi Sınıflandırma Politikası

17.Ekipman Güvenliği Politikası

18.Zararlı Yazılımlara Karşı Güvenlik Politikası

19.Ağ Erişim Politikası

20.Bilgi ve Yazılım Alışveriş Politikası

21.Bilgi Koruma Politikası

22.Sunucu Güvenliği Politikası

23.Parola Koruma Politikası

24.Uzaktan Bağlantı Politikası

25.Yazılım Geliştirme Politikası


Doküman No PL01


Revizyon No 0

Sayfa No 3/30 20/01/2017

3

1. Giriş

BGYS politikası, kurum bünyesinde yürütülen bilgi güvenliği yönetim sistemi çalışmalarının

kapsamını, içeriğini, yöntemini, mensuplarını, görev ve sorumlulukları, uyulması gereken

kuralları içeren bir rehberdir. Bu politikada tüm çalışanları ilgilendiren maddeler olduğu gibi

sadece bazı bölümleri ilgilendiren maddeler de bulunmaktadır.

1.1 Amaç

Bilgi güvenliği yönetim sisteminin amacı tüm bilgi varlıklarımızın gizliliği, bütünlüğü ve

gerektiğinde yetkili kişilerce erişilebilirliğini sağlamaktır. Bilgi diğer kıymetli varlıklarımızın

içinde en çok ihmal edilen fakat kurum açısından en önemli varlıklardan biridir. Bilgi güvenliği

yönetim sistemimiz ISO 27001:2013 standardına uygun olarak kurulmuş ve bu standardın

gerekliliklerini karşılayacak şekilde PUKÖ (Planla, Uygula, Kontrol et, Önlem al) sürekli iyileştirme

döngüsü çerçevesinde bir süreç olarak uygulanmaktadır.

Bilgi güvenliği sadece bilgi teknolojileri çalışanlarının sorumluluğunda değil eksiksiz tüm

çalışanların katılımı ve riayeti ile başarılabilecek bir iştir. Ayrıca bilgi güvenliği sadece bilgi

teknolojileri ile ilgili teknik önlemlerden ibaret de değildir. Fiziksel ve çevresel güvenlikten,

insan kaynakları güvenliğine, iletişim ve haberleşme güvenliğinden, bilgi teknolojileri

güvenliğine birçok konuda çeşitli kontrollerin risk yönetimi metoduyla seçilmesi uygulanması

ve sürekli ölçülmesi demek olan bilgi güvenliği yönetim sistemi çalışmalarımızın genel özeti

bu politikada verilmektedir. Uygulama detay bilgileri için sistem dokümantasyonuna, ilgili

prosedürlere, rehberlere, planlara ve raporlara bakılmalıdır.

Bu politika bilgi güvenliği politikası ve detaylı kullanım politikalarını da kapsayan bir üst

dokümandır.

Yönetim tarafından onaylanmış ve yayınlanmıştır. Yönetim tarafından düzenli olarak gözden

geçirilmektedir.


Doküman No PL01


Revizyon No 0

Sayfa No 4/30 20/01/2017

4

1.2 Kapsam

Firmamızın BGYS kapsamı; EK01 BGYS El Kitabında belirtilmiştir. olarak ifade edilmektedir. Kuruluşumuz; bünyesinde yer alan yazılım faaliyetlerini yürüten firmadır.

1.3 Tanımlar

BGYS: Bilgi Güvenliği Yönetim Sistemi

Risk Yönetimi: Bilgi güvenliği risklerinin analizi, değerlendirilmesi, işlenmesi ve sürekli

iyileştirilmesi amacıyla yürütülen yönetimsel faaliyetler.

Risk Analizi: Tehdit ve iş etkisinin çarpımı olan risk puanının bulunması amacıyla her bir bilgi

varlığı için zayıflıkların, tehditlerin, iş etkilerinin bulunması ve hesaplanması çalışması.

Risk Değerlendirme: Risk analizi sonucunda bulunan değerlerin yorumlanması ve

derecelendirilmesi

Risk İşleme: Risk değerlendirme sonuçlarına bağlı olarak kaçınma, kabul, kontrol, transfer

seçeneklerinden birinin seçilmesi ve uygulama planı.

Artık Risk: Risklerin işlemeden sonra kalan miktarı.

2. Bilgi Güvenliği Hedefleri ve Prensipleri

Bilgi güvenliği yönetimi kapsamına alınan tüm süreçlerde ve varlıklarda gizlilik, bütünlük ve

erişilebilirlik prensiplerine uyacak önlemler almak amacıyla aşağıda detayları belirtilen risk

yönetimi faaliyetleri yürütülmektedir. Her bir varlık için risk seviyesinin kabul edilebilir risk

seviyesinin altında tutmak hedeflenmektedir.

Risk yönetimi ve kontrollerin uygulanması sürekli bir faaliyettir ve kabul edilebilir risk

seviyesinin altına inen riskler için de iyileştirme yapılması hedeflenmektedir.

Kontrol amaçları ise her bir kontrolün içerisinde aşağıda tanımlanmıştır.

3. Bilgi Güvenliği Organizasyonu ve Altyapısı

3.1 BGYS Takımı ve Yetkileri


Doküman No PL01


Revizyon No 0

Sayfa No 5/30 20/01/2017

5

BGYS Sponsoru : İrfan DÜZEN

BGYS Yöneticisi : Sevim MIRIK

BG Sponsoru Görev, Yetki ve Sorumlulukları:

Kaynakları sağlamak

Takımın sunduğu kontrol seçimlerine onay vermek

Yatırım ve değişimler için onay vermek

Düzenli BGYS Gözden Geçirme toplantılarına başkanlık etmek

Kurum çalışanlarının katılımı için teşvik edici faaliyetler

BGYS yöneticisini ve takımını atamak ve yetkilendirmek

BGYS risk kabul kriterlerini belirlemek, kabul edilecek riskleri onaylamak

BGYS Takım Yöneticisi Görev, Yetki ve Sorumluluklar:

BGYS hazırlık, işletme, süreklilik ve iyileştirme faaliyetlerinin yönetimi

BGYS politikası ve prosedürlerinin hazırlanması, revizyonu

Kayıt sisteminin kurulması ve BGYS’nin gerektirdiği kayıtların tutulması

Risk yönetimi faaliyetlerinin sürekli ve düzgün yapılmasını sağlamak

Kontrollerin etkinliğini ölçmek

Tehdit ve zayıflık veritabanını güncel tutup değişen riski yönetmek

Tetkik ve İç tetkik planlama ve uygulamalarını yönetmek

Değişim ve konfigürasyon yönetimi faaliyetlerini sağlamak

Acil durum müdahale ekibinin başında bulunmak

YGG toplantılarını organize etmek

BGYS Takım Üyesi Görev, Yetki ve Sorumluluklar:

BGYS iç tetkiklerine katılmak ve görev almak.

BGYS kontrol uygulamalarını hayata geçirmek ve izlemek


Doküman No PL01


Revizyon No 0

Sayfa No 6/30 20/01/2017

6

Acil durum ekibinde yer almak

Planlama ve raporlama için BG yöneticisine yardımcı olmak

3.2 BGYS Uygulamalarına Katılım

Çalışanların tamamı bu politikada belirtilen şartlara ve kurallara uymalıdır. Bilgi güvenliği

takımının görevlerini yerine getirmesinde yardımcı olmalıdır. Her çalışan yönetimce

yayınlanan bu politikada belirtilen amaçlara ulaşmak için yürütülen risk yönetimi

çalışmalarına ve bilgi güvenliği rehberinde belirtilen kurallara uymakla soruludur. Talimatlara

ve kontrollere uymayanlara aşağıda belirtilen disiplin sürecine göre işlem yapılacaktır.

Her çalışan kendisinin kontrolünde ve yönetiminde olan bilgi varlıklarının kontrolü ve

gizliliğinden sorumludur. Bu varlıklara yönelik olarak kurumumuzun risk yönetimi

metodolojisi çerçevesinde gerekli analizlerin yapılmasında ve kontrollerin uygulanmasında

her çalışana görev düşmektedir.

Uygulanan kontrollerin yeterliliğini ve verimliliğini izlemek ve güvenlik ihlal olaylarını ve ihlale

yol açabilecek tehdit ve zayıflıkları aşağıda belirtilen ihlal olayı prosedürüne göre gecikmeden

raporlamak zorundadır.

Bilgi güvenliği yöneticilerinin bilgisi olmadan bilgi varlıkları ile ilgili donanımsal, yazılımsal ve

fiziksel herhangi bir değişiklik yapılmamalıdır. Yapılması gereken değişiklikler ile ilgili BGYS

takımı yöneticisine mutlaka haber verilmeli ve değişiklik için aşağıda belirtilen değişim

yönetimi prosedürüne uygun kayıt tutulmalı ve konfigürasyon yönetimi prosedüründe

belirtilen varlık özelliklerinin değiştirilmesi ile ilgili kayıt mutlaka tutulmaldır.

3.3 BGYS Formları

BGYS takımı düzenli olarak altı ayda (6) bir; bir araya gelerek BGYS Forum toplantısı

yapmaktadır. Bu forum toplantıları ile bilgi güvenliği ihlal olayları, risk analizindeki gelişmeler,


Doküman No PL01


Revizyon No 0

Sayfa No 7/30 20/01/2017

7

risk işleme planındaki değişiklikler, seçilen kontrollerin tartışılması ve uygulanan kontrollerin

istenen sonucu verip vermediği, varlıkların son durum risk ölçümleri ve artık risk durumları

değerlendirilmektedir.

Formlarda Risk değerlendirme raporu ve risk işleme planı mutlaka gözden geçirilir.

3.4 BGYS Yönetim Gözden Geçirme (YGG) Toplantıları

BGYS takımından katılımcıların da yer aldığı ve üst yönetimin bilgi güvenliğinin uygunluğunu,

verimliliğini, risk yönetiminin işlevselliğini, tetkik sonuçlarını, düzeltici ve önleyici faaliyetleri

ele aldığı yılda en az bir defa düzenlenen bir toplantıdır. Bu toplantıda yönetim risk kabul

kriterlerini ve kaynak ihtiyaçlarını değerlendirir. Çalışmaların ve risk değerlendirme ve işleme

faaliyetlerinin verimliliğini inceler.

Bu toplantılarda standarda göre girdi ve çıktılar BGYS YGG Toplantı Tutanağı Formu

kullanılarak kayıt altına alınmaktadır.

4. Risk Analizi ve Yönetim Stratejisi

Risk analizi için aşağıdaki metot uygulanmaktadır. Bu faaliyetle ilgili kayıtlar risk

değerlendirme raporunda tutulmaktadır.

Kapsam dâhilindeki ve bilgi ile ilişkisi olan her varlığın tespiti için varlık keşif çalışması yapılır.

Varlık bildirim formları ile her kullanıcının sahip olduğu (kullandığı ve yönettiği) varlıklar tespit edilir

ve varlıkların sorumluları atanır.

Varlık değerlendirmesi Varlık Değeri Kriterlerine göre yapılır.

Her varlık için zayıflıklar ve tehditler tanımlanır. Varlıkların her biri için İş Etkisi Kriterlerinden

uygun olan değer atanır. Risk hesaplama formülü kullanılarak her bir varlık için var olan risk

değeri hesaplanır. Risk takip tablosunda tanımlanan her bir risk için aylık (daha sık veya seyrek

periyotlar seçilebilir) risk durum değerlendirmeleri yapılarak son durum hesaplanır. Risk değerleri

için Risk Değerlerine Göre İşleme Seçeneklerinden uygun olanı seçilir. Kontroller ISO


Doküman No PL01


Revizyon No 0

Sayfa No 8/30 20/01/2017

8

27001:2013’in Ek-A maddesinden seçilerek uygun olanlar her bir riske atfedilir. Kontrolün

nasıl uygulanacağı, kim tarafından uygulanacağı Risk İşleme Takip Tablosunda izlenir. Aylık

periyotlarla risk işleme faaliyetlerinin durumu varlık sahiplerinin de katıldığı BGYS

forumlarında (dokümante ve düzenli toplantı) değerlendirilir. Gerekli yeni önlem varsa planlanabilir.

4.1 Risk Değerlendirme Metodolojisi

İş etkisi değerlendirilirken varlığın iş üzerindeki kesinti etkisi, yerine koyma maliyeti, bilginin

gizliliği, imaja olan etkisi, yasal ve hukuki yükümlülükler bakımından yaratacağı zarar (müşteriye

ait bilgi gibi) konuları ele alınmalıdır.

Olasılık aralığı tespit edilirken zayıflıkların çokluğu ve var olan kontrollerin bu zayıflıkları ne

kadar kapatabildiği, saldırgan motivasyonu, tehdit biçiminin uygulanma kolaylığı, bilginin

rakipler için cazibesi, personelin psikolojisi, uygulamanın hassas ve kontrol edilemeyen

(politikaya uymama-kuralın etrafından dolaşma) çalışan davranışı gibi unsurlar değerlendirilmelidir.

Bulunan iş etki değeri ile risk puanı yüksek orta ve düşük seviyelerde yukarıda verilen aralıkta

puanlanır. Bu iki değerin çarpımı risk puanını verir. Bulunan risk puanı için yukarıda verilen

aralıklarda düşük orta veya yüksek seviyelerden hangisine denk düştüğü tespit edilir. 0-19

puan arası düşük, 20-40 puan arası orta, 41-100 puan arası yüksek risk seviyesini ifade eder.

Amaç risk seviyesini tüm varlıklar için kabul edilebilir risk seviyesi olan "düşük" seviyeye

çekmektir.


Doküman No PL01


Revizyon No 0

Sayfa No 9/30 20/01/2017

9

İş E

tkis

i

Yüks

ek

10 10 20 30 40 50 60 70 80 90 100

9 9 18 27 36 45 54 63 72 81 90

8 8 16 24 32 40 48 56 64 72 80

7 7 14 21 28 35 42 49 56 63 70

Ort

a

6 6 12 18 24 30 36 42 48 54 60

5 5 10 15 20 25 30 35 40 45 50

4 4 8 12 16 20 24 28 32 36 40

Dü

şük

3 3 6 9 12 15 18 21 24 27 30

2 2 4 6 8 10 12 14 16 18 20

1 1 2 3 4 5 6 7 8 9 10

1 2 3 4 5 6 7 8 9 10

Düşük Orta Yüksek

Tehdit Olasılığı

İş Etkisi * Tehdit Olasılığı = Risk Puanı

İş Etkisi Aralığı Olasılık Aralığı

Yüksek 10 -- 7 10 -- 7 Yüksek

Orta 6 -- 4 6 -- 4 Orta

Düşük 3 -- 1 3 -- 1 Düşük

Risk Puanı

Risk

Seviyesi

41--100 Yüksek

20--40 Orta

1--19 Düşük


Doküman No PL01


Revizyon No 0

Sayfa No 10/30 20/01/2017

10

4.2 Risk İşleme Metodolojisi

Risk değerlendirme sonucunda tüm varlıklarla ilgili risk değerleri tespit edilir. Bu

değerlendirme sürekli olarak yapısal, organizasyonel ve uygulama değişiklikleri çerçevesinde

izlenir ve değişken risk sürekli yeniden hesaplanır. Risk işleme seçenekleri şunlardır: Risk

kabul, riskten kaçınma, riski azaltma ve kontrol etme, riskin transferi.

Kabul edilebilir risk seviyesi yönetim tarafından 0-19 puan arası riskler olarak tanımlanmıştır.

Tüm varlıklar için hedefimiz riskleri bu seviyeye çekmektir.

Aksi belirtilmedikçe bütün risklerin azaltılması ve kontrol edilmesi birincil aksiyondur.

Bazı riskler bu seviyeye çekilemediğinde bunların göze alınması ve riskin kabulü yönetim

tarafından yapılabilir.

Uygulama düzeyinde riski azaltamadığımız ve yönetimce kabul edilemez riskler için riskten

kaçınma opsiyonu geçerlidir. Riske neden olan uygulamadan vazgeçilmesi ve iş sürecinin ve

prosedürünün farklılaştırılması risk işleme seçeneklerinden biridir.

Riskin kurumumuz kontrollerini aştığı durumlarda (yangın, deprem, sabotaj, afet, soygun vb) emniyet

güçleri, kamu acil durum kurumları, sigorta kurumlarına risk transfer edilir.

Risk işlemede birincil aksiyon kontrollerin seçilmesidir. Kontroller;

Uygulayıcısının ve bu uygulamayı izleyip ölçecek ilgili amirin görüşlerinin alınması, konuyla

ilgili teknik iç-dış uzmanların ve danışmanların görüşlerinin alınması ile seçilir. Seçilen

kontroller ISO 27001 Standardının EK-A bölümündeki 11 başlıktan ve 133 alt maddeden

seçilmeye çalışılır. Burada kontrol amaçları ve kontrollerin ifadesi yer alır. Bu kontrollerin

teknik düzeyde nasıl uygulanacağı konu uzmanları ve kontrolü uygulayacak kişilerin seçimiyle

oluşturulur. Seçilen en uygun kontrolün maliyeti tespit edilir ve riski azaltılacak varlıkla ilgili

yapılan varlık değerlemesi ve iş etkisinden dolayı potansiyel mali zararla kıyaslaması yapılır.

Maliyet fayda analizi sonucu seçilen kontrolün uygulanabilir (feasible) olup olmadığına karar

verilir. Uygulanabilir kontroller hayata geçirilir. Uygulanabilir olmayan kontroller için tekrar


Doküman No PL01


Revizyon No 0

Sayfa No 11/30 20/01/2017

11

gözden geçirme yapılarak maliyet fayda dengesi sağlanana kadar araştırma süreci devam

eder.

Uygulanan kontrol ile ilgili kayıtlar risk işleme planında belirtilir. Maliyetler ve alınan sonuçlar

BGYS forumlarında görüşülür ve riskin yeni durumda ölçüm sonucu risk işleme planındaki

ilgili yere yazılır.

Risk puanı kabul edilebilir seviyeye çekilene kadar gerekiyorsa yeni kontroller uygulanır ve

ölçümlere devam edilir.

Riskin son durumu yönetime onaylatılır ve yönetim tarafından kabul edilen riskler için risk

işleme faaliyeti tamamlanmış olur.

Risk işleme sonrası hangi periyotta riskin takip edileceği belirlenir. Bir risk hiç biri zaman

tamamen ortadan kalkmaz. Varlık üzerindeki tehditler devamlı değişir ve varlığın iş etkisi de

zamanla değişebilir. Bu nedenle periyodik yeniden gözden geçirmeler yapılarak riskin son

durumu sürekli ölçümlenir.

4.3 SOA - Uygulanabilirlik İfadesi

Risk işleme seçenekleri standardın EK-A bölümünde verilen A.5’den A.15’e 11 kontrol ailesi,

39 farklı başlık ve 133 farklı kontrol olarak verilen listeden seçilebilir. Seçilen kontrollerin her

birinin seçilme amacı, kontrolün içeriği, kontrolün uygulanma biçimi ve uygulanmıyorsa

nedeni kısa adı SOA (Statement of Applicability) olan dokümanda belirtilmektedir. SOA Gizli bilgi

sınıfındadır ve yalnızca BGYS takımının erişimine açıktır.

Bilgi güvenliği amaçları ve uygulamaları SOA’da detaylandırılmıştır. Risk İşlem Planı ve SOA

paralel dokümanlardır. Risk işleme planında seçilen kontrollerin isimleri veya EK-A’dan

seçilmişlerse A.X.X şeklinde kontrol numarasına atıf yapılırken SOA’da kontrol

detaylandırılmıştır.

Uygulanan ve uygulanacak tüm kontroller SOA’da kaydedilir. Bu doküman Risk işleme planı

ile bir çapraz kontrol sağlayarak herhangi bir kontrolün atlanmamasını saplamaktadır.


Doküman No PL01


Revizyon No 0

Sayfa No 12/30 20/01/2017

12

5 Bilgi Hassasiyeti ve Riskler

5.1 Bilgi Varlıklarımız

Masa üstü bilgisayarlar, laptoplar, CD ve DVD ortamındaki veriler, evraklar, klasör ve evrak

dolapları, sunucular gibi elektronik veya yazılı-baskılı ortamda bulunan veya iletim ortamında

(internet,email,telefon vb.) yer alan tüm veriler kurumumuz için bilgi varlığı olarak tanımlanmıştır.

5.2 Varlık Sınıflandırması

BİLGİ SINIFLANDIRMA KILAVUZU

Saklanma Yeri

Sunucu

(PC kullanıcıları için)

Saklanma

Yeri Laptop

Saklanma

Yeri Dolap

Gizli

En kritik bilgilerdir, sadece

yönetim kadrosunun erişimi

vardır. Bu tür bilgilerin yetkisiz

erişilmemesi, ifşa edilmemesi veya

paylaşılmaması kurum açısından

çok önemlidir. Gizlilik ön

plandadır.

Harici Disk

Klasörleri Gizli

bölümü

Harici Disk

Klasörleri

Gizli

bölümü

Sekreterler

tarafından

kontrol

edilen ve

kapalı

odalarda

bulunan

kilitli

dolaplar

İç Kullanım

Sadece departmanlara özel

bilgilerdir. Departman çalışanları

dışında hiçbir 3. taraf kurumun

veya kişinin görmemesi gereken

bilgilerdir. Gizlilik ön plandadır.

Harici Disk

departman

klasörleri

Harici Disk

departman

klasörleri

Departmanın

kilitli

dolapları

Kişisel

Departman çalışanlarının kişisel

çalışmaları ile ilgili bilgilerdir.

Şirket işlevleri için yapılan kişisel

çalışmalar burada tutulabilir. PC,

Harici Disk PC harddisk

Çalışma

masalarının

kilitli

çekmeceleri


Doküman No PL01


Revizyon No 0

Sayfa No 13/30 20/01/2017

13

Laptop veya Dolaplarda işle ilgili

olmayan diğer kişisel bilgiler

tutulamaz. Erişilebilirlik ön

plandadır.

Şirkete Açık

Bu bilgiler şirket çalışanlarının

kullanımı içindir. Erişilebilirlik ve

bütünlük ön plandadır.

Departmanların kendi aralarında

paylaştıkları bilgiler bu sınıfa girer.

Harici Disk

Ortak Dosyalar

Klasörü

Harici Disk

Ortak

Dosyalar

Klasörü

Departmanın

kilitli ortak

dolapları

Halka Açık

Bu bilgiler müşterilere, iş

ortaklarına, tedarikçilere ve halka

açık bilgilerdir. Bu bilgilerin

erişilebilirliği önemlidir.

Hosting Server

Public

Dokümanlar

Klasörü ve Web

sitesi

Hosting

Server (web

sayfası)

Dolaplar

Kurum içinde her çalışan bu sınıflandırma çerçevesinde kendi kullanımında olan veya kendi

ürettiği bilgileri sınıflandırmalıdır. Bu sınıflandırmaya göre halka açık dokümanlar web

sitesinde yayınlanan ve işlem için müşterilere verilen kağıt veya elektronik ortamdaki

başvuru formu, şartname vb. bilgilerdir. Şirkete açık bilgiler, şirket içinde sadece çalışanlara

açık olan bilgilerdir. Kurum dışından yetkisiz kişilerce erişilmemesi gereken bilgilerdir. İç

kullanım bilgileri departman içinde kullanım içindir. Gerekmedikçe diğer departmanlarla

paylaşılmaması gerekmektedir. Gizli bilgiler en kıymetli ve bütünlüğü gizliliği en kritik olan

bilgilerdir. Bu bilgilerin korunması hem iş sürekliliği açısından hem de yasal gereksinimler

bakımından önemlidir.

5.3 Kritik Varlıklar

Çalışanlar, sunucular, masaüstü ve dizüstü bilgisayarlar, evrak dolapları ile şirkete ait plan,

çizim, rapor, geliştirilen yazılım uygulamaları gibi bilgiler kritik varlıklar olarak


Doküman No PL01


Revizyon No 0

Sayfa No 14/30 20/01/2017

14

değerlendirilmektedir. Bu varlıklar risk yönetiminde ve kontrol seçiminde öncelik verilecek

olanlardır. Bu varlıkların içerdiği bilgiler “Gizli” olarak kabul edilmektedir.

6. Bilgi Güvenliği Politika, Prosedür ve Rehberleri

BGYS Politikası kurumumuzca yayınlanan bir çok farklı politika, prosedür, talimat ve rehberi

kontrol ve risk yönetimi amaçları çerçevesinde adresler.

6.1 Bilgi Güvenliği Politikası ve Rehberi

Bilgi sistemleri tarafından yayınlanan bu dokümanda genel bilgi güvenliği kuralları

tanımlanmıştır.

Her çalışan bu dokümanda belirtilen kurallara uymakla sorumludur.

6.2 Bilgi Güvenliği Prosedürleri ve Planları

Bilgi yedekleme, ihlal olayı müdahale, iç denetim, doküman ve kayıtların kontrolü, kullanıcı

tanımlama, iş sürekliliği planı, acil durum eylem planı, risk işleme planı gibi prosedür ve

planlarda sistemin işleyişi anlatılmaktadır. İlgili çalışanlar yönetimce tanımlanan ve

yayınlanan bu prosedür ve planlara uygun hareket etmelidirler.

6.3 Bilgi Güvenliği Kitaplığı

Kurum bünyesinde tüm çalışanların genel olarak uyması gereken kurallar kitapçık olarak

hazırlanıp tüm personele dijital ortam da dağıtılmıştır. Çalışanlar bu kitapçıkta önerilen

uygulamaları takip etmeli ve zayıflık ve tehditlere karşı uyanık olmalıdırlar. Bu kitapçıkta

tanımlanan bilgi güvenliği ihlallerini yapmamalı ve bu ihlalleri gözlemlediğinde mutlaka BGYS

takımına bildirmelidirler.

6.4 Bilgi Güvenliği Sözleşmeleri

Kullanıcılar kurumumuzca tanımlanmış ve yayınlanmış gizlilik sözleşmelerini imzalayarak

kurum politikalarına uyacaklarını taahhüt ederler. Taahhütname ve kurallar farklı


Doküman No PL01


Revizyon No 0

Sayfa No 15/30 20/01/2017

15

dokümanlardır. Personel Bilgi Güvenliği Sözleşmesi (Taahhütnamesi) işe alınan her çalışanın (PC

kullansın kullanmasın, kadrolu veya sözleşmeli tüm personel) imzaladığı bir belgedir.

7. Bilgi Güvenliği Eğitimleri

Tüm kurum çalışanlarına bilgi güvenliği bilinçlendirme eğitimleri düzenlenmiştir. Yönetim

çalışanların tamamına bilgi güvenliği yönetim sistemimin gerekliliklerini, amaçlarını,

kurallarını ve yaptırımlarını öğretmiş ve bilinçliliği sağlamıştır. İşe yeni giren tüm çalışanlara

adaptasyon eğitimleri kapsamında bilgi güvenliği eğitimleri verilmesi sağlanmıştır.

BGYS takımı üyelerine bilgi güvenliği yönetim sistemi kurulumu ve risk yönetimi eğitimi

verilmiştir.

Yönetim, BGYS takımı ve çalışanların bilgi güvenliği konusunda bilinçliliği ve eğitimi için

gerekli kaynakları tahsis etmektedir.

8. Doküman ve Kayıtların Kontrolü

BGYS ile ilgili dokümanların hazırlanması, yayınlanmadan önce onaylanması, değişikliklerinin-

revizyonlarının takibi, gerekli noktalarda doğu versiyonun ulaşılabilir olması amaçlarını yerine

getirecek dokümante bir Doküman Kontrolü Prosedürü hazırlanmıştır. Dokümanların

kontrolü bu prosedüre uygun olarak yapılmaktadır.

Kayıtların kontrolü, saklanması, yedeklenmesi, gerektiğinde tekrar elde edilebilmesini

sağlamak amacıyla kayıtların kontrolü prosedürü hazırlanmış ve uygulanmaktadır.

9. Bilgi Güvenliği İç Denetimleri

Kurulan bilgi güvenliği yönetim sisteminin standarda ve tanımlanan politika ve prosedürlere

uygunluğunun tespiti için düzenli olarak gerçekleştirilecek iç tetkikler planlanmıştır. İç

tetkiklerin nasıl gerçekleştirileceği İç Tetkik Prosedüründe tanımlanmıştır ve bu prosedüre

uygun olarak düzenli iç tetkikler yapılarak sistemdeki uygunsuzluklar tespit edilmektedir.


Doküman No PL01


Revizyon No 0

Sayfa No 16/30 20/01/2017

16

10. Sürekli İyileştirme ve Düzeltici – Önleyici Faaliyetler

İç tetkiklerde, ihlal olaylarıyla veya çalışanların kendi gözlemleriyle tespit ettikleri

uygunsuzlukların tespitinde ve standarda, politikalarımıza, prosedür ve kurallarımıza

uymayan durumların tespitinde ortaya çıkan uygunsuzluğun nasıl giderileceği ve potansiyel

uygunsuzlukların henüz ortaya çıkmadan önce nasıl önleneceğine ilişkin Düzeltici ve Önleyici

Faaliyetler Prosedürü hazırlanmış ve uygulanmaktadır. Tüm personel düzeltici ve önleyici

faaliyetlere katılmakla sorumludur.

11. Üçüncü Taraf Gizlilik Politikası

a) Tedarikçilerin finansal durumu senelik olarak gözden geçirilmelidir. Bazı sektörlerde, iflas, batak, dolandırıcılık gibi olaylar çok sık gerçekleşmektedir.

b) Kurum dışından gelen bakım ve tamir çalışanları, diğer tedarikçilerde de olduğu gibi, kurum içinde olduğu süre boyunca bir gizlilik anlaşması imzalamalıdır.

c) Kurum içinde kullanılan telefon rehberleri üçüncü tarafların eline geçmemelidir. Üçüncü taraflar kendi şirketlerine transfer olabilecek çalışanlarımızı görmemelidir.

d) Sadece uygun yetkileri almış olan çalışanların organizasyonun bilgi veya iletişim sistemlerine erişimi vardır.

e) Üçüncü taraflarla herhangi bilgi alışverişi yapılmadan önce bir gizlilik anlaşması yapılmalıdır.

f) Üçüncü taraflara kurumun ağına erişim izni verilmeden önce bilgisayarlarını güvenliğe almaları gerekir. Kurum, üçüncü taraflara herhangi bir uyarıda bulunmadan ağa olan erişimlerini kesebilir.

g) Anlaşma sona erdiğinde, tarafların, birbirlerindeki dokümanları geri vermesi gerekir. h) Kurumun isminin halka yayınlanacak dokümanlarda kullanılabilmesi için üçüncü

tarafların uygun kişiler tarafından yetkilendirilmesi gerekir. i) Sadece yetkilendirilmiş tedarikçiler, kurumla çalışmakta olduklarını veya yapmakta

oldukları işin doğasını halka yayabilirler. j) Tedarikçiler kuruluşun sistemlerine erişmeden önce koşulların tanımlanmakta olduğu

bir anlaşma imzalanmalıdır. k) Gizli bilgilerin dağıtımını içeren kurallar belirlenmeli ve üçüncü taraflara bu bilgiler

iletilmeden önce taraflarla bu kurallar hakkında anlaşılmalıdır.

Eğer bir gizlilik politikası, kurumun dezavantajlı olmasına neden oluyorsa, kurum bu

dezavantajdan kurtulmak için bir üçüncü taraf kurumla anlaşma yapmamalıdır.

12.Kurumsal Bilgi Güvenliği Politikası

a) Firmamızın Bilgi Güvenliğini oluşturan tüm politikalar

BS7799/ISO27001/TSE27001 standartlarına uymalıdır.


Doküman No PL01


Revizyon No 0

Sayfa No 17/30 20/01/2017

17

b) Bilgi güvenliğinden bütün Firma personeli sorumludur.

c) Şirket kaynak ve bilgilerine erişimde, erişilen kaynak ve bilgi hakkında daha

önceden bilgi sahibi olunmalıdır. Hakkında bilgi sahibi olunmayan verilere

erişilmemelidir. Bilgisi hakkında tereddütte düşülen konularda bilgi sahiplerine

danışılmalıdır.

d) Güvenliği yönetmek ve yönlendirmek için Firmamız Bilgi Güvenlik Kurulu

oluşturulmuştur. BGYS kurulu düzenli olarak en geç her 6 ayda bir toplanacak

olup, birimlerini temsil eden birim yöneticileri ile Bilgi Güvenlik Kurulu

Yöneticisinden oluşur.

e) Bilgi Güvenliğinde; bilgi işlenirken, iletilirken ve muhafaza edilirken Gizlilik,

Bütünlük ve Erişilebilirlik esas alınacaktır.

f) Şirketin tüm kritik bilgi varlıkları (donanım, yazılım, cihaz, veri) tanımlanacak ve uygun

şekilde koruma altına alınacaktır.

g) Şirketin tüm bilgi varlıklarının envanteri çıkarılacaktır. Tüm bilgi varlıkları uygun

şekilde sınıflanıp şirketin iş ihtiyaçları göz önüne alınarak kayıtları tutulacak,

fiziksel varlıklar kategorilerine göre etiketlendirilecektir.

h) Personelin, yetkisinin olmadığı bilgi varlıklarına erişimi yasaktır.

i) Bilgi varlıkları, iletilirken ve taşınırken güvenliği için gerekli tüm önlemler

alınacaktır.

j) Şirket içinde kullanılacak tüm yazılımlar, gerçek ortama taşınmadan önce uygun

güvenlik denetimine tabi tutulacaktır.

k) Şirketin yönetimi, kullanılan ortama bakılmaksızın tüm bilgi trafiğini izlemeye

yetkilidir.

l) Bilişim ağının sınırları Firmamız’ca uygun donanım ve yazılım kullanılarak koruma

altına alınıp, periyodik olarak izlenecektir.

m) Bilişim ağına karşı yapılacak saldırılardan korunmak için uygun güvenlik önlemleri

alınacaktır.

n) Elektronik ortamda oluşan tüm güvenlik ihlalleri, Firmamız Bilgi BGYS Sponsorune

bildirilmek zorundadır. Bilgi BGYS Sponsoru, bu güvenlik ihlallerinin gelecekte

tekrar oluşmaması ve kısa zamanda çözümlenmesi için gerekli tedbirleri alacaktır.


Doküman No PL01


Revizyon No 0

Sayfa No 18/30 20/01/2017

18

o) İş Sürekliliğinin sağlanması için gerekli önlemler alınacaktır.

p) Bilgi Güvenlik Kurulu tarafından şirket çalışanları için uygun Güvenlik

Bilinçlendirme eğitimleri planlanacak ve uygulatılacaktır.

q) Şirket bilgileri, sadece yönetimin onayladığı amaç için kullanılacaktır.

r) İş kritik bölgeler için uygun ve detaylı prosedürler uygulamaya konulacaktır.

s) Fiziksel Güvenliğe önem verilecektir. Bu nedenle, giriş çıkış kapıları, ofis odaları ve

ürün teslim alma/verme alanları (depolar, giriş kapıları vb) güvenli konuma getirilecek

ve ilgili prosedürler oluşturulacaktır.

t) Bilgi Güvenlik Politika ve Prosedürleri, özel durumlar haricinde her yıl gözden

geçirilecektir.

u) Şirket içinde beklenmedik güvenlik olaylarını yönetmek için BGYS Kurulu

gerektiğinde “Güvenlik Kriz Masası” oluşturacaktır.

v) Şirkete ait gizli bilgilerin umuma açık mekânlarda tartışılması, kimliği

doğrulanamayan şüpheli kişilere verilmesi ve aktarılması yasaktır.

w) Toplantılar sona erdiğinde kullanılan yazı tahtası temizlenecek, ilgili belge ve not

kâğıtları masadan kaldırılacaktır. Toplantı odalarına Firmamız personeli harici

kişilerin Firmamız personeli refakati olmaksızın girmemesi sağlanacak, kurallar

açıkça görünür şekilde yayınlanacaktır.

x) Çalışanların gizli bilgi, dosya ve kâğıtları açıkta bırakmaları yasaktır.

y) Bilgisayar sistemlerinin Güvenlik Denetimi her yıl BS7799/ISO27001

standartlarına uygun olarak yapılacaktır.

z) Hiçbir Firmamız çalışanı, T.C. Devletinin kabul ettiği bilgi güvenliği ile ilgili ulusal

ve uluslararası kanunların dışındaki bir aktivitede bulunamaz.

13.Kullanıcı Sorumlulukları Politikası

a) Kullanıcıların tahmin edilebilir parolalar veya kurumun herkes tarafından kullanılmakta olan terimlerinden oluşan parolaların kullanılması engellenmelidir. Parola kalitesinin sağlanmakta olduğundan emin olabilmek için bir sistem oluşturulmalıdır.


Doküman No PL01


Revizyon No 0

Sayfa No 19/30 20/01/2017

19

b) Parolalar şifrelenmelidir. Parolalar kişilerin bulabilecekleri yerlerde şifrelenmeden bulunmamalıdır.

c) Çalışanlar her bir kullandıkları sistemde farklı bir parola kullanmalıdır. d) Parolalar kullanılmakta olan sistemlerden uzak bir yerde tutulmalıdır. Kullanıcıların

parolalarını kâğıda yazması engellenmelidir. e) Güvenliği sağlanmış olan kaynakların etrafında, parola generator’lar gözetimsiz bir

biçimde bırakılmamalıdır. Bu generator’lar güvenlik kontrolünün artırılması için kullanılmaktadır.

f) Yazılımların otomatik parola hatırlama uygulamaları çalıştırılmamalıdır. g) Çalışanlar kendi kullanıcı isimlerinden sorumludurlar, Kişiler sadece kendilerine sistem

yöneticisi tarafından atanmış olan kullanıcı isimlerini kullanabilirler. h) Kullanıcı hesapları, isimleri ve parolaları, sahipleri dışında başka kimselerce

kullanılmamalıdır. i) Mail kutusunun parolası, çalışanın telefon numarası, dahili kodu, çalışan numarası gibi

mantıken tahmin edilebilecek numaralardan oluşmamalıdır.

14.Varlıklara Yönelik Sorumluluk Politikası a) Her sene bir bilgi sistemleri envanteri yapılmalı ve bu konuda görevlendirilmiş kişiye

bu liste verilmelidir. Bu çalışmanın amacı şirketin varlıklarını tespit etmek ve bu varlıkların kaybedilmesinin engellenmesini sağlamaktır.

b) Her bir bilgi sistemleri bileşenine okunabilir ve eşi olmayan bir kimlik numarası verilmelidir.

c) Rekabet avantajı sağlayabilmek için, şirket içinde geliştirilmiş sistem ve yazılımların da bu listeye eklenmesi gerekir. Bu liste her sene gözden geçirilecektir.

d) Herhangi bir yeni yaratılmış bilgi, her sene yenilenmekte olan veri bankasına girilmelidir.

e) Yeni üretilen bilginin bir sahibinin belirlenmesi ve bu bilginin uygun biçimde sınıflandırılması gerekir.

f) Organizasyonun sahip olduğu tüm sistemleri yönetebilecek, kullanıcı ayrıcalıklarını takip edecek ve erişim kontrol log’unu izleyecek bir BGYS Sponsoru belirlenmelidir. BGYS Sponspru şirkette bulunamayacağı durumlarda, bu görevi yerine getirebilmesi için bir çalışanın yetiştirilmesi gerekir.

g) Satın alınacak herhangi bir yazılım veya donanımın ilgili departman aracılığı ile satın alınması ve bilgi güvenliği standartları ile uyumlu olması gerekir.

15.Kabul Edilebilir Kullanım Politikası a) Güvenlikten, Firmamız personeli, Firmamız’ın iş yerlerinde Firmamız’a iş yapan

Yüklenici firmalar her gün sorumludur. İlgili tüm personel, kendi alanlarına ait Güvenlik Politikalarına uymak zorundadır.


Doküman No PL01


Revizyon No 0

Sayfa No 20/30 20/01/2017

20

b) Firmamız şirket ortamında tutulan ve iletilen tüm bilgiler; şirketin malıdır ve Firmamız bu bilgileri izleme ve denetleme hakkına sahiptir.

c) d) Firmamız’ın Gizli olarak belirlediği tüm bilgilerin gizliliğine sıkı bir şekilde uyulacaktır.

Şirketin iş gereksinimi dışında bu bilgilerin kopya edilmesi ve iletilmesi yasaktır. e) f) Firmamız personeli, kendilerine tahsis edilmiş tüm bilgisayar erişim bilgilerini ve

kendisine verilmiş güvenlik cihazlarını korumaktan sorumludur. Erişim bilgileri herhangi birine söylenemez ve bu bilgiler başkaları ile paylaşılamaz.

g) h) Hiçbir personel, bilgisayarlarından anti virüs koruma yazılımını devre dışı bırakamaz. i) j) Kaynağı belli olmayan ve üretici firma tarafından kopya edilmesi yasaklanmış bir

bilgisayar yazılımını kopyalamak yasaktır. k) l) Hiç bir personel izin almadan kendi PC’ sinden veya başka bir kaynak kullanarak,

Firmamız’ın Bilişim Ağını tarayamaz, izleyemez veya dinleyemez. m) n) Hiç bir personel, şirket içinde kendilerine tahsis edilen bilgisayar yetkilerinin dışına

çıkamaz ve bu konuda yetki aşma işlemine girişemez.

16.Bilgi Sınıflandırma Politikası

a) Tüketicilere veya kuruluşun personeline yönelik tehlike arz eden herhangi bir ürün

veya hizmet, bu tehlikenin doğasını açıklayacak biçimde işar etlendirilmelidir. b) Tüm bilgiler, aksi onaylanmadığı veya etiketlenmediği sürece gizli bilgi olarak

nitelendirilmelidir. c) Her bilginin türünü gösteren işaretlemeler kullanılmalıdır. Bu işaretleme dili sadece

ilgili personel tarafından bilinmelidir. d) Bir depolama ortamının çeşitli seviyelerde gizlilik içermesi durumunda, en yüksek

gizlilik seviyesi içeren bilgiler öncelikli olarak kabul edilir. e) Bilginin gizliliği hangi seviyede olursa olsun, yöneticilerin bu bilgiye ulaşımı mutlaka

olmalıdır. f) Ticari sırların neler olduğunu belirleyecek olan kişi mali müşavirdir. g) Her bir bilgi parçası için bir elden çıkartma tarihi belirlenmeli ve bu tarih arşiv

görevlisine bildirilmelidir. Gerekirse bu tarihin uzatılması söz konusu olabilir. h) Bilgiye atanan gizlilik seviye sınıflandırması senede en az bir defa gözden

geçirilmelidir. Tüm elden çıkartılma süreçleri mümkün olduğu kadar çabuk yapılmalıdır.

i) Kullanılan çeşitli dosya tiplerinin birbirlerinden ayırt edilebilmesi için dosya isimlendirme hakkında bir sistem oluşturulmalıdır.

j) Tüm veri sınıflandırma etiketleri, tüm şirketin etiketleme sistemi ile uyumlu olmalıdır.


Doküman No PL01


Revizyon No 0

Sayfa No 21/30 20/01/2017

21

k) Kullanıcılar, sunucuda belirlenmiş olan dosyalara kendi bilgisayarlarının yedeklerini kayıt etmelidir.

l) Kağıt olarak kopyası saklanan ve sınıflandırılmış olan her sır, gizli bilginin sayfa düzeninde sağ üst köşede, gizlilik seviyesi hakkında gerekli bilgileri içermesi gerekir.

m) Gizlilik içeren bilgilerin iletişimi hakkındaki her türlü bilgi taahhütlü yollanmalıdır. Tüm bilgisayar sistemleri, alıcıya bizzat teslim edilmelidir.

n) Alıcılar, gizli bir bilgi alır almaz kendilerine bu konuda bilgi veren bir yazı iletilmelidir. o) Gizli bilgiler ele alınarak yapılan bir eleme, organizasyon tarafından belirlenen çeşitli

yöntem ve prosedürlere bağlıdır. p) Organizasyonun ağına bağlı olan her bir bileşene, organizasyon dışındaki kişiler için

herhangi bir anlam taşımayacak biçimde isimlendirilmelidir. q) Şirketin tüm bilgileri aşağıdaki dört sınıflandırma kategorisine ayrılmalıdır: saklı, gizli,

özel veya gizli değil. Her bir kategoriye kimlerin ulaşabileceği belirlenmelidir. r) Organizasyon veya güvenilir olmayan üçüncü taraflar tarafından üretilen bilgiler üç

kategoriye ayrılır: gizli, iç kullanım ve toplu kullanım. s) Dış kaynaklardan elde edilen tüm bilgiler, bilgisayar depolama ortamı dahil, uygun

biçimde tüm kurumda kullanılan sınıflandırma sistemi göz önünde bulundurularak etiketlenmelidir.

t) Bir bilginin gizli olduğuna karar verilirse, bilginin gizlilik seviyesine göre görünebilir bir yerine uygun etiketler konulmalıdır.

u) Gizli bilgiler içeren bir dokümanın içeriğini değiştiren kişi, uygun sınıflandırma etiketlemesini kullanmalıdır.

v) Gizli bilgiler, sadece yetkili bilgi sahibi tarafından kopyalanmalı ve bu kopyalama log book’ta belirtilmelidir. Kopyalama işlemini yürüten kullanıcı, fotokopide bırakmış olduğu dokümanlardan sorumludur.

w) Üçüncü taraflara açıklanan bilgileri içeren herhangi bir gizli belge gelecekte kopyalanmasını engelleyebilecek özel bir kağıt türüne basılmalıdır.

x) Kişiler tarafından yazılmış herhangi bir resmi dokümanın silinmez mürekkeple yazılması ve uygun şekilde işaretlenmesi gerekir. Yapılacak herhangi bir değişikliğin altı çizilmeli, tarihlenmeli ve yeniden onaylanmalıdır.

y) Gizli dokümanların tüm sayfaları numaralandırılmalıdır. z) Tüm gizli bilgilerin numaralandırılması gerekir.

17. Ekipman Güvenliği Politikası a) Bilgi sistemlerinin üretimine ilişkin tüm tesis ve ekipmanların çevresel koşulları

kontrol altında olan güvenli ortamlara yerleştirilmesi gerekir. b) Bilgisayar ve iletişim araçları gibi ekipmanların, üçüncü tarafların erişebileceği

noktalardan uzak tutulması gerekir.


Doküman No PL01


Revizyon No 0

Sayfa No 22/30 20/01/2017

22

c) Elektrik kablolarının ve iletişim hatlarının montajı ve bakımı yetkili ve sertifikalı kişiler tarafından yapılmalıdır.

d) Bilgi sistemlerinin bakımını yapacak tedarikçiler hakkında gelen öneriler değerlendirilmelidir. Tamir ve bakım faaliyetleri yetkili kişiler tarafından yapılmalıdır. Yetkisi olmayan çalışanların bu tip faaliyetleri yürütmesi yasaktır.

e) Depolanmış verileri içeren yazılım ve donanım ürünleri uygun biçimde muhafaza edilmesi ve çalışır halde kalması için uygun biçimde saklanmalı, konfigürasyonu yapılmalıdır.

f) Organizasyon dışından ekipman getirmek isteyen çalışanların öncelikle yöneticilerinden izin alması gerekir.

g) Çeşitli bileşenler bilgi sisteminden çıkartılmadan önce, bileşenlerdeki kayıtlı bilgilerin yedeklenmesi, depoya kaldırılması veya imha edilecek bileşenden silinmesi gerekir.

h) Önemli bilgi işlem uygulamaları, çevresel risklerin (yangın, sel, fırtına) azaltıldığı noktalara yerleştirilmesi gerekir. Veri işleme ekipmanlarının yer seviyesinden yukarıda ve nehir, ırmak, kanalizasyon, su rezervuarı ve su borularından uzak bir noktaya yerleştirilmesi gerekir.

i) Elektronik alım satım ve finansal sistemlerin güvenli bir şekilde izole edilmiş olması istenir.

j) Bilgi işlem merkezlerinin yangın, sudan gelebilecek zararlar ve izinsiz girme gibi durumlardan korunabilmesi için yeterli güvenlik sistemlerine ihtiyacı vardır. Meydana gelen tüm olayların kayıt edildiği bir alarm ve bir raporlama sistemi bulunmalıdır.

18.Zararlı Yazılımlara Karşı Korunma Politikası a) Bir virüsün varlığından şüphelenen bir kullanıcı;

1- İlgili bilgisayarı kapatmalı, 2-Bilgisayarın ağ bağlantısını kesmeli, 3-Bu bilgiyi bilgi güvenliği yöneticisine iletmelidir.

b) Her iş istasyonuna antivirus programı yüklenmelidir. Böylece;

1-Antivirusler daha hızlı gözlemlenebilecek, 2-Şifrelenmiş virüs tanımlamaları, bir önceki kontrolde tanımlanacak, 3-Antivirus başarısızlıkları tesadüfi olacaktır.

c) Dış kaynaklı dokümanlar, diğer dokümanların bulunduğu ortama aktarılmadan önce en güncel virus tanımlamalarını içeren bir anti virus programı ile taranmalıdır. Eğer doküman şifrelendirilmişse, doğrulanmadan önce şifresi kaldırılmalıdır.

d) Yedek alınan dokümanların kopyası bir iş istasyonuna veya server’a kopyalanmadan önce bir antivirus programı ile taranmalıdır.

e) Dosyalar bir üçüncü tarafa gönderilmeden önce virus taramasından geçirilmelidir. f) Kullanıcılar, mevcut bilgi sistemlerinin normal işleyişine zarar verebilecek,

kopyalanmasına neden olacak kodlar yazmamalı, yaymamalı veya yönetmemelidir. g) Kuruluşa ait olmayan sitelerden hiçbir yazılım indirilmemelidir. Dış bir kaynak

aracılığı ile indirilen bu tip programlar, yazılım uyuşmazlığına, diskteki boş alanın


Doküman No PL01


Revizyon No 0

Sayfa No 23/30 20/01/2017

23

kaybına, çalışan verimliliğinin azalmasına, bilgisayarlara virus, worm veya Trojan Horse bulaşmasına neden olabilir.

h) Dış kuruluşlardan elde edilen yazılımlar, kullanılmadan önce ağa bağlı olmayan bir bilgisayarda güncel bir antivirus programı ile taranmalıdır.

19.Ağ Erişim Politikası a) Daha fazla güvenlik gerektiren sistemler otonom bir ağda tutulmalı ve bağımsız

güvenlik sistemlerine sahip olmalıdır. b) Tüm ağ bileşenlerinin konfigürasyonu tanımlanmalı ve uygun filtreleme programları

kullanılmalıdır. c) Şirket içi ağlar, organizasyonun güvenli bölgelerine göre bölünmelidir. d) İnternet erişimi olan server’lar firewall ile korunmalıdır. e) Sadece kuruluş tarafından yetkilendirilmiş bilgisayarların, kurum içi ağa giriş izni

vardır. f) Sadece işini yapabilmesi için internet erişimine ihtiyaç duyan çalışanların internet

erişimi bulunmalıdır. g) Organizasyon, çalışanların sadece işlerine ilişkin internet uygulamalarını kullanmakta

olduklarından emin olabilmek için çeşitli sistem kontrolleri kurulmalıdır. h) Organizasyon çalışanlarının Internetten doküman indirmelerine izin verilmez, bu

durum organizasyonun bağlantısının yavaşlamasına neden olabilir. i) Çalışanlar telif haklarına saygı göstermeli ve bir başka organizasyonların

uygulamalarını kullanmadan önce ilgili yerlerden izin almalıdır. Organizasyonun web sitesinin içeriği de yayınlanmadan önce onaylanmalıdır.

j) Network’e bağlı bir iş istasyonu, sadece bilgi güvenliği yöneticilerinin belirlediği gerekliliklerin karşılanması durumunda dış ağlarla iletişim kurabilir.

k) Organizasyonun ağına bağlı bir iş istasyonundan, dial – up modem ile internete bağlanmak yasaktır.

l) Bir remote workstation’dan şirket içi ağa bağlanılmak istendiğinde iki farklı onay yöntemi kullanılmalıdır. Böylece güvenlik seviyesi artırılmış olur.

m) Organizasyonun networkune bağlı iş istasyonlarına erişim, kullanıcı adı ve parolanın girilmesi ile kontrol altına alınmalıdır.

n) Bir sistem yöneticisine uzaktan bağlanabilmek için tek bir kullanım parolası gerekir. o) Uzaktan bağlantı kurmuş kullanıcıları onaylamanın bir yolu da internet kullanımı

yoluyladır. p) Çalışanlar, dial – up hatlardan çağrılar alabilecekleri biçimde çeşitli sistemler

yaratmamalıdır. q) Diagnostic Portlara erişebilmek için onay gereklidir. r) Ziyaretçilerin yanlarında getirdikleri taşınabilir sistemler, organizasyonun iç ağı ile hiç

bir ilişkisi olmayan bir sub – network aracılığı ile internete bağlanabilir 20.Bilgi ve Yazılım Alışveriş Politikası


Doküman No PL01


Revizyon No 0

Sayfa No 24/30 20/01/2017

24

a) Organizasyon, elektronik transferlere yönelik muhasebe kayıtlarının tutulmakta olduğundan emin olmalıdır. Böylece şirketin kayıtları güncel olacaktır.

b) Organizasyonun yazılımlarını veya verilerini kullanmakta olan üçüncü taraflar, gerekli koruma ölçütlerini içeren bir yazılı sözleşme imzalamalıdır. Böylece üçüncü tarafların söz konusu bilgiyi izinsiz kullanması, değiştirmesi veya çoğaltması engellenmiş olacaktır.

c) Elektronik ortamda sözleşmenin yapıldığı üçüncü taraflarla, kağıt üzerinde de anlaşma yapılmalıdır. Yazılı sözleşmeler en güvenli sözleşme biçimidir.

d) Bilgi ve veri alışverişinden önce dış tarafların kimliklerinin tespit edilmesi gerekir. e) Üçüncü tarafa açılan tm gizli bilgilerin kesinlikle şifrelenmesi gerekir. f) Üçüncü taraflara yollanan bilgisayar ortamı yeni olmalı veya herhangi bir bilgi

içermemelidir. g) Organizasyonun sahasında kullanılan şifreleme yöntemleri ve güvenlik sertifikaları

standarda uyum sağlamalı ve finansal kurumların gerekliliklerini karşılamalıdır. h) Yetkisi olmayan çalışanlar tarafından gönderilen e – mailler, organizasyonu bağlamaz. i) İş iletişiminin sağlanması için sadece organizasyon tarafından yetkilendirilen

çalışanların E-posta adresleri kullanılmalıdır. j) Organizasyon, yeni ürünler ile ilgilenmeyen müşterilerinin bir listesini tutmalıdır.

Buradaki amaç organizasyonun müşterileri ile iyi ilişkiler kurmasının sağlanmasıdır. k) Tüm ödeme bilgileri, bilgisayar sistemine kayıt edilmeden önce şifrelenmelidir. l) Müşteriden gelen ödeme hakkındaki bilgiler müşterilere tam olarak yollanmamalıdır.

Bilgi yollanırken hesap numarası v.b. bilgilerin belirli bir kısmını yollamak daha doğru olacaktır.

m) Organizasyonun müşterileri, organizasyonun mailleşme listesinden isimlerini çıkartabilmek için ne yapmaları gerektiğini bilmelidir.

n) Organizasyon, müşterilerini mail listesine eklemeden önce onlardan izin almalıdır. o) Organizasyon, müşterilerine, yapılan hesaplardaki doğruluğu gösterebilmek için

yeterli bilgiyi vermelidir. p) Müşterilerin hesaplarında herhangi bir değişiklik olması durumunda bir müşterilerden

onay talebi istenmelidir. q) E – posta ile gönderilen her türlü hassas bilgi şifrelenmelidir. r) Gizli bilgiler sadece uygun data server’larda kayıt altına alınmalıdır. s) Yazılım yükleme veya yazılım güncellemelerini yapma ve sistem bakımını

gerçekleştirme yetkisi sadece sistem yöneticilerinindir. t) Kritik bir dosyada çeşitli değişikliklerin yapılması durumunda, dosyanın en az iki

yedeği alınmalıdır. u) Organizasyon bir e – mail’in içeriğinde herhangi bir değişiklik yapılmasını

yasaklamalıdır. v) Organizasyonda bilgi sistemleri aracılığı ile gönderilen mesajlar, saldırgan veya

ayrımcılık içeren bildiriler içermemelidir. Organizasyonun bilgi sistemi sadece iş gereklilikleri için kullanılmalıdır.

w) Bir E-posta’ya gizlilik içermekte olduğuna dair bir not eklendiğinde, bu mesajı sadece E-posta gönderildiği kişinin maili aldığından emin olunmalıdır.


Doküman No PL01


Revizyon No 0

Sayfa No 25/30 20/01/2017

25

x) Organizasyonun çalışanları çeşitli tartışma gruplarına katılmamalıdır. y) E – posta yoluyla gönderilen bilgiler, bu bilginin kimden gelmekte olduğunu

içermelidir. z) E – posta yoluyla gönderilen bilgiler, spesifik bir geri dönüş adresi içermelidir. aa) Faks yoluyla gönderilen gizlilik içeren herhangi bir bilginin şifrelenmiş ve bir kapak

sayfası ile kapatılmış olması gerekir. Bunlara ek olarak, alıcıların kendilerine bir faks gönderilmiş olduğu hakkında bilgilendirilmiş olması gerekir.

bb) Gizlilik içeren bilgiler, handsfree telefonlarda görüşülmemelidir. cc) Organizasyon, bilgi sistemi vasıtasıyla gönderilmiş herhangi bir bilgiyi algılayabilmeli

veya zararlı olabileceğini düşündüğü herhangi bir veriyi silme hakkında sahiptir. Böylece kuruluşun itibarını zedeleyebilecek illegal malzemenin transfer edilmesi veya depolanması engellenmiş olur.

dd) Bilgi sistemleri verilerini içeren tüm girdi/çıktı araçlarının, gizli bilgilerin akışını engelleyebilmek için departmanı tarafından korunması gerekir.

ee) Çalışanlar gizlilik içeren bilgileri telesekreterlere veya sesli mesajlaşma sistemlerine kayıt etmemelidir.

ff) Toplantılarda yapılan video konferanslar, yönetim veya katılımcılar tarafından izin verilmedikçe kayıt edilmemelidir.

gg) İşle ilgili tüm aramalar şirket telefonları kullanımı ile yapılmalıdır. hh) Gizlilik içeren bilgilerin umumi yerlerde konuşulmaması gerekir. ii) Organizasyona ait kredi kartı numaraları varsa, bu numaralar sadece şirket telefonu

kullanıldığında, telefon aracılığı ile iletilebilir. jj) Posta aracılığı ile gönderilen gizli bilgiler iki zarf içinde yollanmalıdır. Dış zarfta,

içerideki bilginin hassaslığı ile ilgili hiç bir bilgi yazmamalı, ancak iç zarfta bilginin gizli olduğu belirtilmelidir.

kk) Kağıt üzerindeki gizli bilgilerin gönderilmesi durumunda, bilgilerin taahhütlü yollanması gerekir.

ll) İç dokümanlardaki herhangi bir değişiklik talebi, değişikliği talep eden kişinin kim olduğunu göstermelidir.

mm) Bilgi sistemleri sadece iş için kullanılmalıdır. nn) Kablosuz bağlantı ile gönderilen bilgilerin yollanmadan önce şifrelenmesi gerekir. oo) Gizli bilgilerin bir toplantıda tartışılması durumunda, toplantı süresince, bu bilginin

gizli olduğu ve dinleyenlerin bu bilginin gizliliğini korumaları gerektiği belirtilmelidir. pp) Kuruluşun intranetine yerleştirilen her bilgi veya uygulama daha önceden yetkili

kişiler tarafından onaylanmalı ve kuruluşun malı olarak kalmaya devam etmelidir. Bu bilgiler şirketin bilgileri olarak saklı tutulacaktır.

qq) Şirket içindeki donanım malzemelerin yerini değiştirmek için ilgili kişilerden izin alınmalıdır.

21. Bilgi Koruma Politikası

a) Her bilgi için Verinin Sahibi tanımlanmalıdır.


Doküman No PL01


Revizyon No 0

Sayfa No 26/30 20/01/2017

26

b) Veri Sahibi, o bilgiyi hazırlayan ve üreten birimdir.

c) Veri Sahibi; elektronik ortamdaki verileri için, Kurumsal Gelişim Direktörlüğü Bilgi Sistemleri Müdürlüğüne, verinin hassasiyeti, önemi, güvenlik ve izleme ihtiyaçları konusunda bilgi verecektir.

d) Veri Sahibinin izni olmadan; Kurumsal Gelişim Direktörlüğü Bilgi Sistemleri Müdürlüğü, sahibi olmadığı elektronik ortamdaki veri üzerinde herhangi bir aksiyon ve işlem gerçekleştiremez.

e) Bilgisayar Sunucularındaki kritik verilerin bilgisayarda yedeklenmesi, geri yüklenmesi, güvenli bir ortamda muhafaza edilmesi, Veri Sahibi tarafından öngörülen bilgi erişim hakları için gerekli kontrol ve önlemlerinin alınmasından Bilgi Sistemleri Müdürlüğü sorumludur.

f) Kritik sunuculardaki veri ve yazılımların şirket dışı mahallere yedeklenmesi gerçekleştirilmelidir.

g) Hiçbir personel yasa dışı ve yasak yazılımı şirket içinde kullanamaz.

h) Firma dışından yazılım satın alma yetkisi Bilgi Sistemleri Müdürlüğü’ ndedir. Satın alınan herhangi bir yazılım; Bilgi Sistemleri Müdürlüğünce test edilmeden ve kullanıcının yöneticisinin izni olmadan bilgisayarlara yüklenemez. (Şirketin genel kullanım için alacağı yazılımlar için kullanıcı bölüm yöneticisinin iznine gerek yoktur). Güvenlik ihlaline sebep olduğu anlaşılan izinsiz programın sorumluluğu kullanıcıya aittir, bu konudaki yaptırımlar kullanıcıya uygulanır.

i) Gerçek ortama taşınmadan önce tüm uygulama ve sistem yazılımları test ortamlarında teste tabi tutulacaktır.

j) Tüm personel, kendilerine tahsis edilen yetki çerçevesinde bilgilere erişerek ve kullanacaktır.

k) Herkese açık bir sistemde kullanılabilir yapılmış bilginin bütünlüğü yetkisiz değiştirmeyi önlemek için korunmalıdır

22. Sunucu Güvenliği Politikası

a) Sunucular, fiziksel olarak güvenli ortamlarda tutulacaktır. Sistem odalarına yetkisiz

girişler engellenmelidir. Sistem odalarına giriş ve çıkışlar erişim kontrollü olmalı ve kayıt altına alınmalıdır.


Doküman No PL01


Revizyon No 0

Sayfa No 27/30 20/01/2017

27

b) Sunuculara ait tüm konfigürasyon bilgileri belgelenmiş olacak ve bu bilgiler Bilgi Sistemleri Müdürlüğü tarafından onaylanmış olacaktır.

c) Her sunucunun, konfigürasyon, işletim sistemi versiyonu, yüklü yama listesi, yedekleme ve geri yükleme prosedürleri belgelenmiş ve güncel olacaktır.

d) Sunuculara, kullanım amacına yönelik olarak işletim sistemi ve diğer yazılımlar kurulmalıdır. Gereksiz yazılım ya da bileşenleri kaldırılmalıdır.

e) Sunucu üzerinde çalışan işletim sistemlerinin, sistem yazılımlarının ve güvenlik amaçlı yazılımların sürekli güncellenmesi sağlanmalıdır. Mümkünse, yama ve anti virüs güncellemeleri otomatik olarak yazılımlar tarafından yapılmalı, ancak değişiklik yönetimi kuralları çerçevesinde bir onay ve test mekanizmasından geçirildikten sonra uygulanmalıdır.

f) Kurumsal Değişim Yönetim Politikaları, sunucular için de uygulanacaktır.

g) Sunucu üzerinde kullanılmayan servisler kapatılacaktır.

h) Kritik ve önemli sunucular için aynı özellikte yedekleri tutulmalı, bir acil durum yaşanması durumunda bu yedek sunucu hemen devreye alınmalıdır. Mümkünse yedek sunucu, asıl sunucunun devre dışı kaldığını otomatik olarak anlayarak anında onun yerine geçebilmelidir.

i) Firmamız Bilişim Ağ ve Sistem Yöneticisi tarafından belirlendiği üzere, sunucu günlükleri düzenli aralıklarla denetim ve izlemeye tabi tutulacaktır.

j) Üzerinde çalıştığı uygulamaların başarısı kanıtlandıktan sonra, tüm sunucu güvenlik yamaları yüklenecektir.

k) Sunucuların uzaktan yönetimi gerekiyor ise; yönetim konsolu ve sunucu arasındaki haberleşme güvenli kanal ve tekniklerle gerçekleştirilecektir.

l) Firmamızın şuan itibariyle sistem odası bulunmamaktadır.

23. Parola Koruma Politikası a) Herhangi bir parola, “Çok Gizli” bilgi olarak muhafaza altına alınacak ve iş arkadaşı

veya başka bir kişiye söylenemez. b) Bilgisayar sistemlerine ve tüm şifre gerektiren uygulamalara boş parola ile erişmek

mümkün olmayacaktır.


Doküman No PL01


Revizyon No 0

Sayfa No 28/30 20/01/2017

28

c) Hiç bir kullanıcı, adını ve kullanıcı ile ilgili bir bilgiyi (doğum tarihi, telefon numarası, anne adı vs) parola olarak kullanamaz.

d) Herhangi bir parola bilgisayar sistem dosyalarında düz metin olarak tutulmamalıdır.

e) Acil durumlarda, Yetkili Sistem Yöneticilerinin olmaması durumunda, parolalar Firmamız Bilgi BGYS Sponsorunden temin edilir.

f) Tüm varsayılan parolalar, sistem kullanılmaya başlamadan önce kullanıcı ve/ya sistem/ağ yöneticileri tarafından değiştirilecektir. Bilgisayarlara ilk tanımı yapılan kullanıcı için; kullanıcı ilk sisteme logon olduğunda parolasını değiştirmesi sağlanacaktır.

g) Kullanıcıya bildirilecek parolalar güvenli bir ortamda iletilmelidir.

h) Parolalar telefon veya uzak iletişim ortamlarından herhangi bir kişiye

söylenmemelidir.

i) Parolalar hatırlanmak maksadı ile kâğıt ortamına yazılmamalı ve görülecek mekânlara ve açık bir şekilde masalara, monitör üstlerine konulmamalıdır.

j) Parolalar belli aralıkla değiştirilmek zorundadır.

k) Parolaların unutulması durumunda ilgili Bilişim Sistem Yöneticisine başvurulmalıdır.

l) Parola en az 8 karakter, en az bir sayı ve en az bir harften (büyük harf ve küçük harf) oluşmalıdır. Ardışık parolalar (abc123, 12345a vs) kullanılmamalıdır.

m) Etkin olmayan oturumlar 15 dakikalık hareketsizlik süresinden sonra kapatılmalıdır. 24. Uzak Bağlantı Politikası

a) Kurum dışına yapılan tüm kritik bağlantılar güvenli hatlar üzerinden yapılmalıdır.

Kritik bağlantıların ne olduğuna Firmamız Bilgi BGYS Sponsoru karar verecektir.

b) Firmamız ağına Uzaktan Erişim sadece iş amacı için kullanılacaktır.

c) Uzaktan şirket ağına bağlantısında şirketin iç ağına uygulanan güvenlik politikaları geçerli olacaktır.


Doküman No PL01


Revizyon No 0

Sayfa No 29/30 20/01/2017

29

d) Uzak bağlantılar, Firmamız Bilgi BGYS Sponsorunin belirleyeceği güçlü kimlik denetimi ile gerçekleştirilecektir.

e) Uzak bağlantılarda yapılan tüm dosya yüklemelerinde anti virüs taramasından

geçirilecektir. f) Uzak Bağlantı gerekliliği Bilgi BGYS Sponsoru tarafından tespit edilecek ve Bilgi

Sistemleri Müdürü tarafından onaylanacaktır. 25.Yazılım Geliştirme Politikası

a) Geliştirilmesi planlanan yazılımın fizibilitesinden, yazılımın sona erdirilmesine kadar geçen sürede yazılımın güvenlik gereksinimleri ve bu gereksinimlerin karşılanması için gerekli tüm kontrollar göz önüne alınacaktır.

b) Gerçek ortam ve yazılım geliştirme test ortamı birbirinden ayrılmış ve izole edilmiş

olacaktır.

c) Geliştirilen yazılım gerçek ortama taşınmadan önce, yazılımın tüm dokümanları hazır edilecektir.

d) Yönetim tarafından onaylanmış olanların dışında, gerçek ortamda herhangi bir deneme, beta versiyonu ve bedava yazılım kullanılamaz.

e) Tüm geliştirilen bilgisayar program, aplet ve dokümantasyonlarında izinsiz kopyalanmaya karşı alınacak hukuki önlemleri içeren bilgi yer alacaktır.

f) Tüm geliştirilen yazılımlara erişim, “Bilmek Gerekliliği (Need To Know)” prensibine göre olacaktır.

g) Firma, tüm geliştirilmiş yazılımların kaynak koduna sahip olacak veya dışarı bir firmaya yaptırılmış ise kaynak kod sağlayan firmanın ileride piyasadan çekilmesi tehlikesine karşı bağımsız kuruluşlar devreye alınarak güvence sağlanacaktır.

h) Geliştirilen veya değiştirilen tüm yazılımlar gerçek ortamlarına taşınmadan önce test ortamlarında detaylı testlere tabi tutulacaktır.

i) Geliştirilmiş hiç bir yazılım, “Kullanıcı Kabül Testi” gerçekleşmeden gerçek ortama taşınmayacaktır.

j) Önemli bilgi transfer eden web sayfalarında parola ve kullanıcı kimliğinin korunması için SSL protokolü kullanılacaktır.


Doküman No PL01


Revizyon No 0

Sayfa No 30/30 20/01/2017

30

k) Uygulama yazılımlarına istemci ve kullanıcılar tarafından girilen değerlerin işlem öncesi doğrulaması yapılacaktır.

l) Uygulama yazılımlarının çalışmalarının doğruluğunu sağlayıcı gerekli süreç kontrolleri uygulanacaktır.

m) Uygulama yazılımlarının rapor ve çıktılarının doğruluğunu sağlayıcı gerekli çıktı kontrolleri uygulanacaktır.

n) Hatalardan kurtarmak için uygun programlar kullanılarak verilerin doğru işlendiği garanti edilmelidir.

o) Programı kütüphanelerine yapılan tüm güncellemelerle ilgili izleme günlük kayıtları tutulmalıdır.

p) Kaynak kod kütüphanelerine erişim kesinlikle kontrol edilmelidir.

q) Program kaynak kütüphanelerine erişimlerin izlenmesi için günlük tutulmalıdır.

r) Tüm yazılım güncellemelerinin sürüm kontrolleri yapılmalıdır.

yayın tarihi İlgİ gÜvenlİĞİ polİtİkasi revizyon …egesoft.com.tr/egesoft_bgp.pdf3.4 bgys...

Documents