yayın tarihi İlgİ gÜvenlİĞİ polİtİkasi revizyon …egesoft.com.tr/egesoft_bgp.pdf3.4 bgys...
TRANSCRIPT
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 1/30 Page 1 20/01/2017
1
1.Bilgi Güvenliği Politikası İçeriği
1.1 Giriş
1.1 Amaç
1.2 Kapsam
1.3 Tanımlar
2. Bilgi güvenliği Hedefleri ve Prensipleri
3. Bilgi Güvenliği Organizasyonu ve Altyapısı
3.1 BGYS Takımı ve yetkileri
3.2 BGYS uygulamalarına katılım
3.3 BGYS Forumları
3.4 BGYS YGG Toplantısı
4. Risk Analizi ve Yönetim Stratejisi
4.1 Risk değerlendirme metodolojisi
4.2 Risk işleme metodolojisi
4.3 SOA – Uygulanabilirlik İfadesi
5. Bilgi hassasiyeti ve riskler
5.1 Bilgi varlıklarımız
5.2 Varlık sınıflandırması
5.3 Kritik varlıklar
6.Bilgi güvenliği politika, prosedür ve rehberleri
6.1 Bilgi Güvenliği Politikası ve Rehberi
6.2 Bilgi Güvenliği Prosedürleri
6.3 Bilgi Güvenliği Rehberleri
6.4 Bilgi güvenliği Sözleşmeleri
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 2/30 Page 2 20/01/2017
2
7.Bilgi Güvenliği Eğitimleri
8.Doküman ve Kayıtların Kontrolü
9.Bilgi Güvenliği İç Denetimleri
10.Sürekli İyileştirme ve Düzeltici – Önleyici Faaliyetler
11.Üçüncü Taraf Gizlilik Politikası
12.Kurumsal Bilgi Güvenliği Politikası
13.Kullanıcı Sorumluluk Politikası
14.Varlıklara Yönelik Sorumluluk Politikası
15.Kabul Edilebilir Kullanım Politikası
16.Bilgi Sınıflandırma Politikası
17.Ekipman Güvenliği Politikası
18.Zararlı Yazılımlara Karşı Güvenlik Politikası
19.Ağ Erişim Politikası
20.Bilgi ve Yazılım Alışveriş Politikası
21.Bilgi Koruma Politikası
22.Sunucu Güvenliği Politikası
23.Parola Koruma Politikası
24.Uzaktan Bağlantı Politikası
25.Yazılım Geliştirme Politikası
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 3/30 Page 3 20/01/2017
3
1. Giriş
BGYS politikası, kurum bünyesinde yürütülen bilgi güvenliği yönetim sistemi çalışmalarının
kapsamını, içeriğini, yöntemini, mensuplarını, görev ve sorumlulukları, uyulması gereken
kuralları içeren bir rehberdir. Bu politikada tüm çalışanları ilgilendiren maddeler olduğu gibi
sadece bazı bölümleri ilgilendiren maddeler de bulunmaktadır.
1.1 Amaç
Bilgi güvenliği yönetim sisteminin amacı tüm bilgi varlıklarımızın gizliliği, bütünlüğü ve
gerektiğinde yetkili kişilerce erişilebilirliğini sağlamaktır. Bilgi diğer kıymetli varlıklarımızın
içinde en çok ihmal edilen fakat kurum açısından en önemli varlıklardan biridir. Bilgi güvenliği
yönetim sistemimiz ISO 27001:2013 standardına uygun olarak kurulmuş ve bu standardın
gerekliliklerini karşılayacak şekilde PUKÖ (Planla, Uygula, Kontrol et, Önlem al) sürekli iyileştirme
döngüsü çerçevesinde bir süreç olarak uygulanmaktadır.
Bilgi güvenliği sadece bilgi teknolojileri çalışanlarının sorumluluğunda değil eksiksiz tüm
çalışanların katılımı ve riayeti ile başarılabilecek bir iştir. Ayrıca bilgi güvenliği sadece bilgi
teknolojileri ile ilgili teknik önlemlerden ibaret de değildir. Fiziksel ve çevresel güvenlikten,
insan kaynakları güvenliğine, iletişim ve haberleşme güvenliğinden, bilgi teknolojileri
güvenliğine birçok konuda çeşitli kontrollerin risk yönetimi metoduyla seçilmesi uygulanması
ve sürekli ölçülmesi demek olan bilgi güvenliği yönetim sistemi çalışmalarımızın genel özeti
bu politikada verilmektedir. Uygulama detay bilgileri için sistem dokümantasyonuna, ilgili
prosedürlere, rehberlere, planlara ve raporlara bakılmalıdır.
Bu politika bilgi güvenliği politikası ve detaylı kullanım politikalarını da kapsayan bir üst
dokümandır.
Yönetim tarafından onaylanmış ve yayınlanmıştır. Yönetim tarafından düzenli olarak gözden
geçirilmektedir.
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 4/30 Page 4 20/01/2017
4
1.2 Kapsam
Firmamızın BGYS kapsamı; EK01 BGYS El Kitabında belirtilmiştir. olarak ifade edilmektedir. Kuruluşumuz; bünyesinde yer alan yazılım faaliyetlerini yürüten firmadır.
1.3 Tanımlar
BGYS: Bilgi Güvenliği Yönetim Sistemi
Risk Yönetimi: Bilgi güvenliği risklerinin analizi, değerlendirilmesi, işlenmesi ve sürekli
iyileştirilmesi amacıyla yürütülen yönetimsel faaliyetler.
Risk Analizi: Tehdit ve iş etkisinin çarpımı olan risk puanının bulunması amacıyla her bir bilgi
varlığı için zayıflıkların, tehditlerin, iş etkilerinin bulunması ve hesaplanması çalışması.
Risk Değerlendirme: Risk analizi sonucunda bulunan değerlerin yorumlanması ve
derecelendirilmesi
Risk İşleme: Risk değerlendirme sonuçlarına bağlı olarak kaçınma, kabul, kontrol, transfer
seçeneklerinden birinin seçilmesi ve uygulama planı.
Artık Risk: Risklerin işlemeden sonra kalan miktarı.
2. Bilgi Güvenliği Hedefleri ve Prensipleri
Bilgi güvenliği yönetimi kapsamına alınan tüm süreçlerde ve varlıklarda gizlilik, bütünlük ve
erişilebilirlik prensiplerine uyacak önlemler almak amacıyla aşağıda detayları belirtilen risk
yönetimi faaliyetleri yürütülmektedir. Her bir varlık için risk seviyesinin kabul edilebilir risk
seviyesinin altında tutmak hedeflenmektedir.
Risk yönetimi ve kontrollerin uygulanması sürekli bir faaliyettir ve kabul edilebilir risk
seviyesinin altına inen riskler için de iyileştirme yapılması hedeflenmektedir.
Kontrol amaçları ise her bir kontrolün içerisinde aşağıda tanımlanmıştır.
3. Bilgi Güvenliği Organizasyonu ve Altyapısı
3.1 BGYS Takımı ve Yetkileri
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 5/30 Page 5 20/01/2017
5
BGYS Sponsoru : İrfan DÜZEN
BGYS Yöneticisi : Sevim MIRIK
BG Sponsoru Görev, Yetki ve Sorumlulukları:
Kaynakları sağlamak
Takımın sunduğu kontrol seçimlerine onay vermek
Yatırım ve değişimler için onay vermek
Düzenli BGYS Gözden Geçirme toplantılarına başkanlık etmek
Kurum çalışanlarının katılımı için teşvik edici faaliyetler
BGYS yöneticisini ve takımını atamak ve yetkilendirmek
BGYS risk kabul kriterlerini belirlemek, kabul edilecek riskleri onaylamak
BGYS Takım Yöneticisi Görev, Yetki ve Sorumluluklar:
BGYS hazırlık, işletme, süreklilik ve iyileştirme faaliyetlerinin yönetimi
BGYS politikası ve prosedürlerinin hazırlanması, revizyonu
Kayıt sisteminin kurulması ve BGYS’nin gerektirdiği kayıtların tutulması
Risk yönetimi faaliyetlerinin sürekli ve düzgün yapılmasını sağlamak
Kontrollerin etkinliğini ölçmek
Tehdit ve zayıflık veritabanını güncel tutup değişen riski yönetmek
Tetkik ve İç tetkik planlama ve uygulamalarını yönetmek
Değişim ve konfigürasyon yönetimi faaliyetlerini sağlamak
Acil durum müdahale ekibinin başında bulunmak
YGG toplantılarını organize etmek
BGYS Takım Üyesi Görev, Yetki ve Sorumluluklar:
BGYS iç tetkiklerine katılmak ve görev almak.
BGYS kontrol uygulamalarını hayata geçirmek ve izlemek
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 6/30 Page 6 20/01/2017
6
Acil durum ekibinde yer almak
Planlama ve raporlama için BG yöneticisine yardımcı olmak
3.2 BGYS Uygulamalarına Katılım
Çalışanların tamamı bu politikada belirtilen şartlara ve kurallara uymalıdır. Bilgi güvenliği
takımının görevlerini yerine getirmesinde yardımcı olmalıdır. Her çalışan yönetimce
yayınlanan bu politikada belirtilen amaçlara ulaşmak için yürütülen risk yönetimi
çalışmalarına ve bilgi güvenliği rehberinde belirtilen kurallara uymakla soruludur. Talimatlara
ve kontrollere uymayanlara aşağıda belirtilen disiplin sürecine göre işlem yapılacaktır.
Her çalışan kendisinin kontrolünde ve yönetiminde olan bilgi varlıklarının kontrolü ve
gizliliğinden sorumludur. Bu varlıklara yönelik olarak kurumumuzun risk yönetimi
metodolojisi çerçevesinde gerekli analizlerin yapılmasında ve kontrollerin uygulanmasında
her çalışana görev düşmektedir.
Uygulanan kontrollerin yeterliliğini ve verimliliğini izlemek ve güvenlik ihlal olaylarını ve ihlale
yol açabilecek tehdit ve zayıflıkları aşağıda belirtilen ihlal olayı prosedürüne göre gecikmeden
raporlamak zorundadır.
Bilgi güvenliği yöneticilerinin bilgisi olmadan bilgi varlıkları ile ilgili donanımsal, yazılımsal ve
fiziksel herhangi bir değişiklik yapılmamalıdır. Yapılması gereken değişiklikler ile ilgili BGYS
takımı yöneticisine mutlaka haber verilmeli ve değişiklik için aşağıda belirtilen değişim
yönetimi prosedürüne uygun kayıt tutulmalı ve konfigürasyon yönetimi prosedüründe
belirtilen varlık özelliklerinin değiştirilmesi ile ilgili kayıt mutlaka tutulmaldır.
3.3 BGYS Formları
BGYS takımı düzenli olarak altı ayda (6) bir; bir araya gelerek BGYS Forum toplantısı
yapmaktadır. Bu forum toplantıları ile bilgi güvenliği ihlal olayları, risk analizindeki gelişmeler,
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 7/30 Page 7 20/01/2017
7
risk işleme planındaki değişiklikler, seçilen kontrollerin tartışılması ve uygulanan kontrollerin
istenen sonucu verip vermediği, varlıkların son durum risk ölçümleri ve artık risk durumları
değerlendirilmektedir.
Formlarda Risk değerlendirme raporu ve risk işleme planı mutlaka gözden geçirilir.
3.4 BGYS Yönetim Gözden Geçirme (YGG) Toplantıları
BGYS takımından katılımcıların da yer aldığı ve üst yönetimin bilgi güvenliğinin uygunluğunu,
verimliliğini, risk yönetiminin işlevselliğini, tetkik sonuçlarını, düzeltici ve önleyici faaliyetleri
ele aldığı yılda en az bir defa düzenlenen bir toplantıdır. Bu toplantıda yönetim risk kabul
kriterlerini ve kaynak ihtiyaçlarını değerlendirir. Çalışmaların ve risk değerlendirme ve işleme
faaliyetlerinin verimliliğini inceler.
Bu toplantılarda standarda göre girdi ve çıktılar BGYS YGG Toplantı Tutanağı Formu
kullanılarak kayıt altına alınmaktadır.
4. Risk Analizi ve Yönetim Stratejisi
Risk analizi için aşağıdaki metot uygulanmaktadır. Bu faaliyetle ilgili kayıtlar risk
değerlendirme raporunda tutulmaktadır.
Kapsam dâhilindeki ve bilgi ile ilişkisi olan her varlığın tespiti için varlık keşif çalışması yapılır.
Varlık bildirim formları ile her kullanıcının sahip olduğu (kullandığı ve yönettiği) varlıklar tespit edilir
ve varlıkların sorumluları atanır.
Varlık değerlendirmesi Varlık Değeri Kriterlerine göre yapılır.
Her varlık için zayıflıklar ve tehditler tanımlanır. Varlıkların her biri için İş Etkisi Kriterlerinden
uygun olan değer atanır. Risk hesaplama formülü kullanılarak her bir varlık için var olan risk
değeri hesaplanır. Risk takip tablosunda tanımlanan her bir risk için aylık (daha sık veya seyrek
periyotlar seçilebilir) risk durum değerlendirmeleri yapılarak son durum hesaplanır. Risk değerleri
için Risk Değerlerine Göre İşleme Seçeneklerinden uygun olanı seçilir. Kontroller ISO
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 8/30 Page 8 20/01/2017
8
27001:2013’in Ek-A maddesinden seçilerek uygun olanlar her bir riske atfedilir. Kontrolün
nasıl uygulanacağı, kim tarafından uygulanacağı Risk İşleme Takip Tablosunda izlenir. Aylık
periyotlarla risk işleme faaliyetlerinin durumu varlık sahiplerinin de katıldığı BGYS
forumlarında (dokümante ve düzenli toplantı) değerlendirilir. Gerekli yeni önlem varsa planlanabilir.
4.1 Risk Değerlendirme Metodolojisi
İş etkisi değerlendirilirken varlığın iş üzerindeki kesinti etkisi, yerine koyma maliyeti, bilginin
gizliliği, imaja olan etkisi, yasal ve hukuki yükümlülükler bakımından yaratacağı zarar (müşteriye
ait bilgi gibi) konuları ele alınmalıdır.
Olasılık aralığı tespit edilirken zayıflıkların çokluğu ve var olan kontrollerin bu zayıflıkları ne
kadar kapatabildiği, saldırgan motivasyonu, tehdit biçiminin uygulanma kolaylığı, bilginin
rakipler için cazibesi, personelin psikolojisi, uygulamanın hassas ve kontrol edilemeyen
(politikaya uymama-kuralın etrafından dolaşma) çalışan davranışı gibi unsurlar değerlendirilmelidir.
Bulunan iş etki değeri ile risk puanı yüksek orta ve düşük seviyelerde yukarıda verilen aralıkta
puanlanır. Bu iki değerin çarpımı risk puanını verir. Bulunan risk puanı için yukarıda verilen
aralıklarda düşük orta veya yüksek seviyelerden hangisine denk düştüğü tespit edilir. 0-19
puan arası düşük, 20-40 puan arası orta, 41-100 puan arası yüksek risk seviyesini ifade eder.
Amaç risk seviyesini tüm varlıklar için kabul edilebilir risk seviyesi olan "düşük" seviyeye
çekmektir.
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 9/30 Page 9 20/01/2017
9
İş E
tkis
i
Yüks
ek
10 10 20 30 40 50 60 70 80 90 100
9 9 18 27 36 45 54 63 72 81 90
8 8 16 24 32 40 48 56 64 72 80
7 7 14 21 28 35 42 49 56 63 70
Ort
a
6 6 12 18 24 30 36 42 48 54 60
5 5 10 15 20 25 30 35 40 45 50
4 4 8 12 16 20 24 28 32 36 40
Dü
şük
3 3 6 9 12 15 18 21 24 27 30
2 2 4 6 8 10 12 14 16 18 20
1 1 2 3 4 5 6 7 8 9 10
1 2 3 4 5 6 7 8 9 10
Düşük Orta Yüksek
Tehdit Olasılığı
İş Etkisi * Tehdit Olasılığı = Risk Puanı
İş Etkisi Aralığı Olasılık Aralığı
Yüksek 10 -- 7 10 -- 7 Yüksek
Orta 6 -- 4 6 -- 4 Orta
Düşük 3 -- 1 3 -- 1 Düşük
Risk Puanı
Risk
Seviyesi
41--100 Yüksek
20--40 Orta
1--19 Düşük
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 10/30 Page 10 20/01/2017
10
4.2 Risk İşleme Metodolojisi
Risk değerlendirme sonucunda tüm varlıklarla ilgili risk değerleri tespit edilir. Bu
değerlendirme sürekli olarak yapısal, organizasyonel ve uygulama değişiklikleri çerçevesinde
izlenir ve değişken risk sürekli yeniden hesaplanır. Risk işleme seçenekleri şunlardır: Risk
kabul, riskten kaçınma, riski azaltma ve kontrol etme, riskin transferi.
Kabul edilebilir risk seviyesi yönetim tarafından 0-19 puan arası riskler olarak tanımlanmıştır.
Tüm varlıklar için hedefimiz riskleri bu seviyeye çekmektir.
Aksi belirtilmedikçe bütün risklerin azaltılması ve kontrol edilmesi birincil aksiyondur.
Bazı riskler bu seviyeye çekilemediğinde bunların göze alınması ve riskin kabulü yönetim
tarafından yapılabilir.
Uygulama düzeyinde riski azaltamadığımız ve yönetimce kabul edilemez riskler için riskten
kaçınma opsiyonu geçerlidir. Riske neden olan uygulamadan vazgeçilmesi ve iş sürecinin ve
prosedürünün farklılaştırılması risk işleme seçeneklerinden biridir.
Riskin kurumumuz kontrollerini aştığı durumlarda (yangın, deprem, sabotaj, afet, soygun vb) emniyet
güçleri, kamu acil durum kurumları, sigorta kurumlarına risk transfer edilir.
Risk işlemede birincil aksiyon kontrollerin seçilmesidir. Kontroller;
Uygulayıcısının ve bu uygulamayı izleyip ölçecek ilgili amirin görüşlerinin alınması, konuyla
ilgili teknik iç-dış uzmanların ve danışmanların görüşlerinin alınması ile seçilir. Seçilen
kontroller ISO 27001 Standardının EK-A bölümündeki 11 başlıktan ve 133 alt maddeden
seçilmeye çalışılır. Burada kontrol amaçları ve kontrollerin ifadesi yer alır. Bu kontrollerin
teknik düzeyde nasıl uygulanacağı konu uzmanları ve kontrolü uygulayacak kişilerin seçimiyle
oluşturulur. Seçilen en uygun kontrolün maliyeti tespit edilir ve riski azaltılacak varlıkla ilgili
yapılan varlık değerlemesi ve iş etkisinden dolayı potansiyel mali zararla kıyaslaması yapılır.
Maliyet fayda analizi sonucu seçilen kontrolün uygulanabilir (feasible) olup olmadığına karar
verilir. Uygulanabilir kontroller hayata geçirilir. Uygulanabilir olmayan kontroller için tekrar
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 11/30 Page 11 20/01/2017
11
gözden geçirme yapılarak maliyet fayda dengesi sağlanana kadar araştırma süreci devam
eder.
Uygulanan kontrol ile ilgili kayıtlar risk işleme planında belirtilir. Maliyetler ve alınan sonuçlar
BGYS forumlarında görüşülür ve riskin yeni durumda ölçüm sonucu risk işleme planındaki
ilgili yere yazılır.
Risk puanı kabul edilebilir seviyeye çekilene kadar gerekiyorsa yeni kontroller uygulanır ve
ölçümlere devam edilir.
Riskin son durumu yönetime onaylatılır ve yönetim tarafından kabul edilen riskler için risk
işleme faaliyeti tamamlanmış olur.
Risk işleme sonrası hangi periyotta riskin takip edileceği belirlenir. Bir risk hiç biri zaman
tamamen ortadan kalkmaz. Varlık üzerindeki tehditler devamlı değişir ve varlığın iş etkisi de
zamanla değişebilir. Bu nedenle periyodik yeniden gözden geçirmeler yapılarak riskin son
durumu sürekli ölçümlenir.
4.3 SOA - Uygulanabilirlik İfadesi
Risk işleme seçenekleri standardın EK-A bölümünde verilen A.5’den A.15’e 11 kontrol ailesi,
39 farklı başlık ve 133 farklı kontrol olarak verilen listeden seçilebilir. Seçilen kontrollerin her
birinin seçilme amacı, kontrolün içeriği, kontrolün uygulanma biçimi ve uygulanmıyorsa
nedeni kısa adı SOA (Statement of Applicability) olan dokümanda belirtilmektedir. SOA Gizli bilgi
sınıfındadır ve yalnızca BGYS takımının erişimine açıktır.
Bilgi güvenliği amaçları ve uygulamaları SOA’da detaylandırılmıştır. Risk İşlem Planı ve SOA
paralel dokümanlardır. Risk işleme planında seçilen kontrollerin isimleri veya EK-A’dan
seçilmişlerse A.X.X şeklinde kontrol numarasına atıf yapılırken SOA’da kontrol
detaylandırılmıştır.
Uygulanan ve uygulanacak tüm kontroller SOA’da kaydedilir. Bu doküman Risk işleme planı
ile bir çapraz kontrol sağlayarak herhangi bir kontrolün atlanmamasını saplamaktadır.
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 12/30 Page 12 20/01/2017
12
5 Bilgi Hassasiyeti ve Riskler
5.1 Bilgi Varlıklarımız
Masa üstü bilgisayarlar, laptoplar, CD ve DVD ortamındaki veriler, evraklar, klasör ve evrak
dolapları, sunucular gibi elektronik veya yazılı-baskılı ortamda bulunan veya iletim ortamında
(internet,email,telefon vb.) yer alan tüm veriler kurumumuz için bilgi varlığı olarak tanımlanmıştır.
5.2 Varlık Sınıflandırması
BİLGİ SINIFLANDIRMA KILAVUZU
Saklanma Yeri
Sunucu
(PC kullanıcıları için)
Saklanma
Yeri Laptop
Saklanma
Yeri Dolap
Gizli
En kritik bilgilerdir, sadece
yönetim kadrosunun erişimi
vardır. Bu tür bilgilerin yetkisiz
erişilmemesi, ifşa edilmemesi veya
paylaşılmaması kurum açısından
çok önemlidir. Gizlilik ön
plandadır.
Harici Disk
Klasörleri Gizli
bölümü
Harici Disk
Klasörleri
Gizli
bölümü
Sekreterler
tarafından
kontrol
edilen ve
kapalı
odalarda
bulunan
kilitli
dolaplar
İç Kullanım
Sadece departmanlara özel
bilgilerdir. Departman çalışanları
dışında hiçbir 3. taraf kurumun
veya kişinin görmemesi gereken
bilgilerdir. Gizlilik ön plandadır.
Harici Disk
departman
klasörleri
Harici Disk
departman
klasörleri
Departmanın
kilitli
dolapları
Kişisel
Departman çalışanlarının kişisel
çalışmaları ile ilgili bilgilerdir.
Şirket işlevleri için yapılan kişisel
çalışmalar burada tutulabilir. PC,
Harici Disk PC harddisk
Çalışma
masalarının
kilitli
çekmeceleri
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 13/30 Page 13 20/01/2017
13
Laptop veya Dolaplarda işle ilgili
olmayan diğer kişisel bilgiler
tutulamaz. Erişilebilirlik ön
plandadır.
Şirkete Açık
Bu bilgiler şirket çalışanlarının
kullanımı içindir. Erişilebilirlik ve
bütünlük ön plandadır.
Departmanların kendi aralarında
paylaştıkları bilgiler bu sınıfa girer.
Harici Disk
Ortak Dosyalar
Klasörü
Harici Disk
Ortak
Dosyalar
Klasörü
Departmanın
kilitli ortak
dolapları
Halka Açık
Bu bilgiler müşterilere, iş
ortaklarına, tedarikçilere ve halka
açık bilgilerdir. Bu bilgilerin
erişilebilirliği önemlidir.
Hosting Server
Public
Dokümanlar
Klasörü ve Web
sitesi
Hosting
Server (web
sayfası)
Dolaplar
Kurum içinde her çalışan bu sınıflandırma çerçevesinde kendi kullanımında olan veya kendi
ürettiği bilgileri sınıflandırmalıdır. Bu sınıflandırmaya göre halka açık dokümanlar web
sitesinde yayınlanan ve işlem için müşterilere verilen kağıt veya elektronik ortamdaki
başvuru formu, şartname vb. bilgilerdir. Şirkete açık bilgiler, şirket içinde sadece çalışanlara
açık olan bilgilerdir. Kurum dışından yetkisiz kişilerce erişilmemesi gereken bilgilerdir. İç
kullanım bilgileri departman içinde kullanım içindir. Gerekmedikçe diğer departmanlarla
paylaşılmaması gerekmektedir. Gizli bilgiler en kıymetli ve bütünlüğü gizliliği en kritik olan
bilgilerdir. Bu bilgilerin korunması hem iş sürekliliği açısından hem de yasal gereksinimler
bakımından önemlidir.
5.3 Kritik Varlıklar
Çalışanlar, sunucular, masaüstü ve dizüstü bilgisayarlar, evrak dolapları ile şirkete ait plan,
çizim, rapor, geliştirilen yazılım uygulamaları gibi bilgiler kritik varlıklar olarak
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 14/30 Page 14 20/01/2017
14
değerlendirilmektedir. Bu varlıklar risk yönetiminde ve kontrol seçiminde öncelik verilecek
olanlardır. Bu varlıkların içerdiği bilgiler “Gizli” olarak kabul edilmektedir.
6. Bilgi Güvenliği Politika, Prosedür ve Rehberleri
BGYS Politikası kurumumuzca yayınlanan bir çok farklı politika, prosedür, talimat ve rehberi
kontrol ve risk yönetimi amaçları çerçevesinde adresler.
6.1 Bilgi Güvenliği Politikası ve Rehberi
Bilgi sistemleri tarafından yayınlanan bu dokümanda genel bilgi güvenliği kuralları
tanımlanmıştır.
Her çalışan bu dokümanda belirtilen kurallara uymakla sorumludur.
6.2 Bilgi Güvenliği Prosedürleri ve Planları
Bilgi yedekleme, ihlal olayı müdahale, iç denetim, doküman ve kayıtların kontrolü, kullanıcı
tanımlama, iş sürekliliği planı, acil durum eylem planı, risk işleme planı gibi prosedür ve
planlarda sistemin işleyişi anlatılmaktadır. İlgili çalışanlar yönetimce tanımlanan ve
yayınlanan bu prosedür ve planlara uygun hareket etmelidirler.
6.3 Bilgi Güvenliği Kitaplığı
Kurum bünyesinde tüm çalışanların genel olarak uyması gereken kurallar kitapçık olarak
hazırlanıp tüm personele dijital ortam da dağıtılmıştır. Çalışanlar bu kitapçıkta önerilen
uygulamaları takip etmeli ve zayıflık ve tehditlere karşı uyanık olmalıdırlar. Bu kitapçıkta
tanımlanan bilgi güvenliği ihlallerini yapmamalı ve bu ihlalleri gözlemlediğinde mutlaka BGYS
takımına bildirmelidirler.
6.4 Bilgi Güvenliği Sözleşmeleri
Kullanıcılar kurumumuzca tanımlanmış ve yayınlanmış gizlilik sözleşmelerini imzalayarak
kurum politikalarına uyacaklarını taahhüt ederler. Taahhütname ve kurallar farklı
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 15/30 Page 15 20/01/2017
15
dokümanlardır. Personel Bilgi Güvenliği Sözleşmesi (Taahhütnamesi) işe alınan her çalışanın (PC
kullansın kullanmasın, kadrolu veya sözleşmeli tüm personel) imzaladığı bir belgedir.
7. Bilgi Güvenliği Eğitimleri
Tüm kurum çalışanlarına bilgi güvenliği bilinçlendirme eğitimleri düzenlenmiştir. Yönetim
çalışanların tamamına bilgi güvenliği yönetim sistemimin gerekliliklerini, amaçlarını,
kurallarını ve yaptırımlarını öğretmiş ve bilinçliliği sağlamıştır. İşe yeni giren tüm çalışanlara
adaptasyon eğitimleri kapsamında bilgi güvenliği eğitimleri verilmesi sağlanmıştır.
BGYS takımı üyelerine bilgi güvenliği yönetim sistemi kurulumu ve risk yönetimi eğitimi
verilmiştir.
Yönetim, BGYS takımı ve çalışanların bilgi güvenliği konusunda bilinçliliği ve eğitimi için
gerekli kaynakları tahsis etmektedir.
8. Doküman ve Kayıtların Kontrolü
BGYS ile ilgili dokümanların hazırlanması, yayınlanmadan önce onaylanması, değişikliklerinin-
revizyonlarının takibi, gerekli noktalarda doğu versiyonun ulaşılabilir olması amaçlarını yerine
getirecek dokümante bir Doküman Kontrolü Prosedürü hazırlanmıştır. Dokümanların
kontrolü bu prosedüre uygun olarak yapılmaktadır.
Kayıtların kontrolü, saklanması, yedeklenmesi, gerektiğinde tekrar elde edilebilmesini
sağlamak amacıyla kayıtların kontrolü prosedürü hazırlanmış ve uygulanmaktadır.
9. Bilgi Güvenliği İç Denetimleri
Kurulan bilgi güvenliği yönetim sisteminin standarda ve tanımlanan politika ve prosedürlere
uygunluğunun tespiti için düzenli olarak gerçekleştirilecek iç tetkikler planlanmıştır. İç
tetkiklerin nasıl gerçekleştirileceği İç Tetkik Prosedüründe tanımlanmıştır ve bu prosedüre
uygun olarak düzenli iç tetkikler yapılarak sistemdeki uygunsuzluklar tespit edilmektedir.
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 16/30 Page 16 20/01/2017
16
10. Sürekli İyileştirme ve Düzeltici – Önleyici Faaliyetler
İç tetkiklerde, ihlal olaylarıyla veya çalışanların kendi gözlemleriyle tespit ettikleri
uygunsuzlukların tespitinde ve standarda, politikalarımıza, prosedür ve kurallarımıza
uymayan durumların tespitinde ortaya çıkan uygunsuzluğun nasıl giderileceği ve potansiyel
uygunsuzlukların henüz ortaya çıkmadan önce nasıl önleneceğine ilişkin Düzeltici ve Önleyici
Faaliyetler Prosedürü hazırlanmış ve uygulanmaktadır. Tüm personel düzeltici ve önleyici
faaliyetlere katılmakla sorumludur.
11. Üçüncü Taraf Gizlilik Politikası
a) Tedarikçilerin finansal durumu senelik olarak gözden geçirilmelidir. Bazı sektörlerde, iflas, batak, dolandırıcılık gibi olaylar çok sık gerçekleşmektedir.
b) Kurum dışından gelen bakım ve tamir çalışanları, diğer tedarikçilerde de olduğu gibi, kurum içinde olduğu süre boyunca bir gizlilik anlaşması imzalamalıdır.
c) Kurum içinde kullanılan telefon rehberleri üçüncü tarafların eline geçmemelidir. Üçüncü taraflar kendi şirketlerine transfer olabilecek çalışanlarımızı görmemelidir.
d) Sadece uygun yetkileri almış olan çalışanların organizasyonun bilgi veya iletişim sistemlerine erişimi vardır.
e) Üçüncü taraflarla herhangi bilgi alışverişi yapılmadan önce bir gizlilik anlaşması yapılmalıdır.
f) Üçüncü taraflara kurumun ağına erişim izni verilmeden önce bilgisayarlarını güvenliğe almaları gerekir. Kurum, üçüncü taraflara herhangi bir uyarıda bulunmadan ağa olan erişimlerini kesebilir.
g) Anlaşma sona erdiğinde, tarafların, birbirlerindeki dokümanları geri vermesi gerekir. h) Kurumun isminin halka yayınlanacak dokümanlarda kullanılabilmesi için üçüncü
tarafların uygun kişiler tarafından yetkilendirilmesi gerekir. i) Sadece yetkilendirilmiş tedarikçiler, kurumla çalışmakta olduklarını veya yapmakta
oldukları işin doğasını halka yayabilirler. j) Tedarikçiler kuruluşun sistemlerine erişmeden önce koşulların tanımlanmakta olduğu
bir anlaşma imzalanmalıdır. k) Gizli bilgilerin dağıtımını içeren kurallar belirlenmeli ve üçüncü taraflara bu bilgiler
iletilmeden önce taraflarla bu kurallar hakkında anlaşılmalıdır.
Eğer bir gizlilik politikası, kurumun dezavantajlı olmasına neden oluyorsa, kurum bu
dezavantajdan kurtulmak için bir üçüncü taraf kurumla anlaşma yapmamalıdır.
12.Kurumsal Bilgi Güvenliği Politikası
a) Firmamızın Bilgi Güvenliğini oluşturan tüm politikalar
BS7799/ISO27001/TSE27001 standartlarına uymalıdır.
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 17/30 Page 17 20/01/2017
17
b) Bilgi güvenliğinden bütün Firma personeli sorumludur.
c) Şirket kaynak ve bilgilerine erişimde, erişilen kaynak ve bilgi hakkında daha
önceden bilgi sahibi olunmalıdır. Hakkında bilgi sahibi olunmayan verilere
erişilmemelidir. Bilgisi hakkında tereddütte düşülen konularda bilgi sahiplerine
danışılmalıdır.
d) Güvenliği yönetmek ve yönlendirmek için Firmamız Bilgi Güvenlik Kurulu
oluşturulmuştur. BGYS kurulu düzenli olarak en geç her 6 ayda bir toplanacak
olup, birimlerini temsil eden birim yöneticileri ile Bilgi Güvenlik Kurulu
Yöneticisinden oluşur.
e) Bilgi Güvenliğinde; bilgi işlenirken, iletilirken ve muhafaza edilirken Gizlilik,
Bütünlük ve Erişilebilirlik esas alınacaktır.
f) Şirketin tüm kritik bilgi varlıkları (donanım, yazılım, cihaz, veri) tanımlanacak ve uygun
şekilde koruma altına alınacaktır.
g) Şirketin tüm bilgi varlıklarının envanteri çıkarılacaktır. Tüm bilgi varlıkları uygun
şekilde sınıflanıp şirketin iş ihtiyaçları göz önüne alınarak kayıtları tutulacak,
fiziksel varlıklar kategorilerine göre etiketlendirilecektir.
h) Personelin, yetkisinin olmadığı bilgi varlıklarına erişimi yasaktır.
i) Bilgi varlıkları, iletilirken ve taşınırken güvenliği için gerekli tüm önlemler
alınacaktır.
j) Şirket içinde kullanılacak tüm yazılımlar, gerçek ortama taşınmadan önce uygun
güvenlik denetimine tabi tutulacaktır.
k) Şirketin yönetimi, kullanılan ortama bakılmaksızın tüm bilgi trafiğini izlemeye
yetkilidir.
l) Bilişim ağının sınırları Firmamız’ca uygun donanım ve yazılım kullanılarak koruma
altına alınıp, periyodik olarak izlenecektir.
m) Bilişim ağına karşı yapılacak saldırılardan korunmak için uygun güvenlik önlemleri
alınacaktır.
n) Elektronik ortamda oluşan tüm güvenlik ihlalleri, Firmamız Bilgi BGYS Sponsorune
bildirilmek zorundadır. Bilgi BGYS Sponsoru, bu güvenlik ihlallerinin gelecekte
tekrar oluşmaması ve kısa zamanda çözümlenmesi için gerekli tedbirleri alacaktır.
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 18/30 Page 18 20/01/2017
18
o) İş Sürekliliğinin sağlanması için gerekli önlemler alınacaktır.
p) Bilgi Güvenlik Kurulu tarafından şirket çalışanları için uygun Güvenlik
Bilinçlendirme eğitimleri planlanacak ve uygulatılacaktır.
q) Şirket bilgileri, sadece yönetimin onayladığı amaç için kullanılacaktır.
r) İş kritik bölgeler için uygun ve detaylı prosedürler uygulamaya konulacaktır.
s) Fiziksel Güvenliğe önem verilecektir. Bu nedenle, giriş çıkış kapıları, ofis odaları ve
ürün teslim alma/verme alanları (depolar, giriş kapıları vb) güvenli konuma getirilecek
ve ilgili prosedürler oluşturulacaktır.
t) Bilgi Güvenlik Politika ve Prosedürleri, özel durumlar haricinde her yıl gözden
geçirilecektir.
u) Şirket içinde beklenmedik güvenlik olaylarını yönetmek için BGYS Kurulu
gerektiğinde “Güvenlik Kriz Masası” oluşturacaktır.
v) Şirkete ait gizli bilgilerin umuma açık mekânlarda tartışılması, kimliği
doğrulanamayan şüpheli kişilere verilmesi ve aktarılması yasaktır.
w) Toplantılar sona erdiğinde kullanılan yazı tahtası temizlenecek, ilgili belge ve not
kâğıtları masadan kaldırılacaktır. Toplantı odalarına Firmamız personeli harici
kişilerin Firmamız personeli refakati olmaksızın girmemesi sağlanacak, kurallar
açıkça görünür şekilde yayınlanacaktır.
x) Çalışanların gizli bilgi, dosya ve kâğıtları açıkta bırakmaları yasaktır.
y) Bilgisayar sistemlerinin Güvenlik Denetimi her yıl BS7799/ISO27001
standartlarına uygun olarak yapılacaktır.
z) Hiçbir Firmamız çalışanı, T.C. Devletinin kabul ettiği bilgi güvenliği ile ilgili ulusal
ve uluslararası kanunların dışındaki bir aktivitede bulunamaz.
13.Kullanıcı Sorumlulukları Politikası
a) Kullanıcıların tahmin edilebilir parolalar veya kurumun herkes tarafından kullanılmakta olan terimlerinden oluşan parolaların kullanılması engellenmelidir. Parola kalitesinin sağlanmakta olduğundan emin olabilmek için bir sistem oluşturulmalıdır.
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 19/30 Page 19 20/01/2017
19
b) Parolalar şifrelenmelidir. Parolalar kişilerin bulabilecekleri yerlerde şifrelenmeden bulunmamalıdır.
c) Çalışanlar her bir kullandıkları sistemde farklı bir parola kullanmalıdır. d) Parolalar kullanılmakta olan sistemlerden uzak bir yerde tutulmalıdır. Kullanıcıların
parolalarını kâğıda yazması engellenmelidir. e) Güvenliği sağlanmış olan kaynakların etrafında, parola generator’lar gözetimsiz bir
biçimde bırakılmamalıdır. Bu generator’lar güvenlik kontrolünün artırılması için kullanılmaktadır.
f) Yazılımların otomatik parola hatırlama uygulamaları çalıştırılmamalıdır. g) Çalışanlar kendi kullanıcı isimlerinden sorumludurlar, Kişiler sadece kendilerine sistem
yöneticisi tarafından atanmış olan kullanıcı isimlerini kullanabilirler. h) Kullanıcı hesapları, isimleri ve parolaları, sahipleri dışında başka kimselerce
kullanılmamalıdır. i) Mail kutusunun parolası, çalışanın telefon numarası, dahili kodu, çalışan numarası gibi
mantıken tahmin edilebilecek numaralardan oluşmamalıdır.
14.Varlıklara Yönelik Sorumluluk Politikası a) Her sene bir bilgi sistemleri envanteri yapılmalı ve bu konuda görevlendirilmiş kişiye
bu liste verilmelidir. Bu çalışmanın amacı şirketin varlıklarını tespit etmek ve bu varlıkların kaybedilmesinin engellenmesini sağlamaktır.
b) Her bir bilgi sistemleri bileşenine okunabilir ve eşi olmayan bir kimlik numarası verilmelidir.
c) Rekabet avantajı sağlayabilmek için, şirket içinde geliştirilmiş sistem ve yazılımların da bu listeye eklenmesi gerekir. Bu liste her sene gözden geçirilecektir.
d) Herhangi bir yeni yaratılmış bilgi, her sene yenilenmekte olan veri bankasına girilmelidir.
e) Yeni üretilen bilginin bir sahibinin belirlenmesi ve bu bilginin uygun biçimde sınıflandırılması gerekir.
f) Organizasyonun sahip olduğu tüm sistemleri yönetebilecek, kullanıcı ayrıcalıklarını takip edecek ve erişim kontrol log’unu izleyecek bir BGYS Sponsoru belirlenmelidir. BGYS Sponspru şirkette bulunamayacağı durumlarda, bu görevi yerine getirebilmesi için bir çalışanın yetiştirilmesi gerekir.
g) Satın alınacak herhangi bir yazılım veya donanımın ilgili departman aracılığı ile satın alınması ve bilgi güvenliği standartları ile uyumlu olması gerekir.
15.Kabul Edilebilir Kullanım Politikası a) Güvenlikten, Firmamız personeli, Firmamız’ın iş yerlerinde Firmamız’a iş yapan
Yüklenici firmalar her gün sorumludur. İlgili tüm personel, kendi alanlarına ait Güvenlik Politikalarına uymak zorundadır.
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 20/30 Page 20 20/01/2017
20
b) Firmamız şirket ortamında tutulan ve iletilen tüm bilgiler; şirketin malıdır ve Firmamız bu bilgileri izleme ve denetleme hakkına sahiptir.
c) d) Firmamız’ın Gizli olarak belirlediği tüm bilgilerin gizliliğine sıkı bir şekilde uyulacaktır.
Şirketin iş gereksinimi dışında bu bilgilerin kopya edilmesi ve iletilmesi yasaktır. e) f) Firmamız personeli, kendilerine tahsis edilmiş tüm bilgisayar erişim bilgilerini ve
kendisine verilmiş güvenlik cihazlarını korumaktan sorumludur. Erişim bilgileri herhangi birine söylenemez ve bu bilgiler başkaları ile paylaşılamaz.
g) h) Hiçbir personel, bilgisayarlarından anti virüs koruma yazılımını devre dışı bırakamaz. i) j) Kaynağı belli olmayan ve üretici firma tarafından kopya edilmesi yasaklanmış bir
bilgisayar yazılımını kopyalamak yasaktır. k) l) Hiç bir personel izin almadan kendi PC’ sinden veya başka bir kaynak kullanarak,
Firmamız’ın Bilişim Ağını tarayamaz, izleyemez veya dinleyemez. m) n) Hiç bir personel, şirket içinde kendilerine tahsis edilen bilgisayar yetkilerinin dışına
çıkamaz ve bu konuda yetki aşma işlemine girişemez.
16.Bilgi Sınıflandırma Politikası
a) Tüketicilere veya kuruluşun personeline yönelik tehlike arz eden herhangi bir ürün
veya hizmet, bu tehlikenin doğasını açıklayacak biçimde işar etlendirilmelidir. b) Tüm bilgiler, aksi onaylanmadığı veya etiketlenmediği sürece gizli bilgi olarak
nitelendirilmelidir. c) Her bilginin türünü gösteren işaretlemeler kullanılmalıdır. Bu işaretleme dili sadece
ilgili personel tarafından bilinmelidir. d) Bir depolama ortamının çeşitli seviyelerde gizlilik içermesi durumunda, en yüksek
gizlilik seviyesi içeren bilgiler öncelikli olarak kabul edilir. e) Bilginin gizliliği hangi seviyede olursa olsun, yöneticilerin bu bilgiye ulaşımı mutlaka
olmalıdır. f) Ticari sırların neler olduğunu belirleyecek olan kişi mali müşavirdir. g) Her bir bilgi parçası için bir elden çıkartma tarihi belirlenmeli ve bu tarih arşiv
görevlisine bildirilmelidir. Gerekirse bu tarihin uzatılması söz konusu olabilir. h) Bilgiye atanan gizlilik seviye sınıflandırması senede en az bir defa gözden
geçirilmelidir. Tüm elden çıkartılma süreçleri mümkün olduğu kadar çabuk yapılmalıdır.
i) Kullanılan çeşitli dosya tiplerinin birbirlerinden ayırt edilebilmesi için dosya isimlendirme hakkında bir sistem oluşturulmalıdır.
j) Tüm veri sınıflandırma etiketleri, tüm şirketin etiketleme sistemi ile uyumlu olmalıdır.
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 21/30 Page 21 20/01/2017
21
k) Kullanıcılar, sunucuda belirlenmiş olan dosyalara kendi bilgisayarlarının yedeklerini kayıt etmelidir.
l) Kağıt olarak kopyası saklanan ve sınıflandırılmış olan her sır, gizli bilginin sayfa düzeninde sağ üst köşede, gizlilik seviyesi hakkında gerekli bilgileri içermesi gerekir.
m) Gizlilik içeren bilgilerin iletişimi hakkındaki her türlü bilgi taahhütlü yollanmalıdır. Tüm bilgisayar sistemleri, alıcıya bizzat teslim edilmelidir.
n) Alıcılar, gizli bir bilgi alır almaz kendilerine bu konuda bilgi veren bir yazı iletilmelidir. o) Gizli bilgiler ele alınarak yapılan bir eleme, organizasyon tarafından belirlenen çeşitli
yöntem ve prosedürlere bağlıdır. p) Organizasyonun ağına bağlı olan her bir bileşene, organizasyon dışındaki kişiler için
herhangi bir anlam taşımayacak biçimde isimlendirilmelidir. q) Şirketin tüm bilgileri aşağıdaki dört sınıflandırma kategorisine ayrılmalıdır: saklı, gizli,
özel veya gizli değil. Her bir kategoriye kimlerin ulaşabileceği belirlenmelidir. r) Organizasyon veya güvenilir olmayan üçüncü taraflar tarafından üretilen bilgiler üç
kategoriye ayrılır: gizli, iç kullanım ve toplu kullanım. s) Dış kaynaklardan elde edilen tüm bilgiler, bilgisayar depolama ortamı dahil, uygun
biçimde tüm kurumda kullanılan sınıflandırma sistemi göz önünde bulundurularak etiketlenmelidir.
t) Bir bilginin gizli olduğuna karar verilirse, bilginin gizlilik seviyesine göre görünebilir bir yerine uygun etiketler konulmalıdır.
u) Gizli bilgiler içeren bir dokümanın içeriğini değiştiren kişi, uygun sınıflandırma etiketlemesini kullanmalıdır.
v) Gizli bilgiler, sadece yetkili bilgi sahibi tarafından kopyalanmalı ve bu kopyalama log book’ta belirtilmelidir. Kopyalama işlemini yürüten kullanıcı, fotokopide bırakmış olduğu dokümanlardan sorumludur.
w) Üçüncü taraflara açıklanan bilgileri içeren herhangi bir gizli belge gelecekte kopyalanmasını engelleyebilecek özel bir kağıt türüne basılmalıdır.
x) Kişiler tarafından yazılmış herhangi bir resmi dokümanın silinmez mürekkeple yazılması ve uygun şekilde işaretlenmesi gerekir. Yapılacak herhangi bir değişikliğin altı çizilmeli, tarihlenmeli ve yeniden onaylanmalıdır.
y) Gizli dokümanların tüm sayfaları numaralandırılmalıdır. z) Tüm gizli bilgilerin numaralandırılması gerekir.
17. Ekipman Güvenliği Politikası a) Bilgi sistemlerinin üretimine ilişkin tüm tesis ve ekipmanların çevresel koşulları
kontrol altında olan güvenli ortamlara yerleştirilmesi gerekir. b) Bilgisayar ve iletişim araçları gibi ekipmanların, üçüncü tarafların erişebileceği
noktalardan uzak tutulması gerekir.
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 22/30 Page 22 20/01/2017
22
c) Elektrik kablolarının ve iletişim hatlarının montajı ve bakımı yetkili ve sertifikalı kişiler tarafından yapılmalıdır.
d) Bilgi sistemlerinin bakımını yapacak tedarikçiler hakkında gelen öneriler değerlendirilmelidir. Tamir ve bakım faaliyetleri yetkili kişiler tarafından yapılmalıdır. Yetkisi olmayan çalışanların bu tip faaliyetleri yürütmesi yasaktır.
e) Depolanmış verileri içeren yazılım ve donanım ürünleri uygun biçimde muhafaza edilmesi ve çalışır halde kalması için uygun biçimde saklanmalı, konfigürasyonu yapılmalıdır.
f) Organizasyon dışından ekipman getirmek isteyen çalışanların öncelikle yöneticilerinden izin alması gerekir.
g) Çeşitli bileşenler bilgi sisteminden çıkartılmadan önce, bileşenlerdeki kayıtlı bilgilerin yedeklenmesi, depoya kaldırılması veya imha edilecek bileşenden silinmesi gerekir.
h) Önemli bilgi işlem uygulamaları, çevresel risklerin (yangın, sel, fırtına) azaltıldığı noktalara yerleştirilmesi gerekir. Veri işleme ekipmanlarının yer seviyesinden yukarıda ve nehir, ırmak, kanalizasyon, su rezervuarı ve su borularından uzak bir noktaya yerleştirilmesi gerekir.
i) Elektronik alım satım ve finansal sistemlerin güvenli bir şekilde izole edilmiş olması istenir.
j) Bilgi işlem merkezlerinin yangın, sudan gelebilecek zararlar ve izinsiz girme gibi durumlardan korunabilmesi için yeterli güvenlik sistemlerine ihtiyacı vardır. Meydana gelen tüm olayların kayıt edildiği bir alarm ve bir raporlama sistemi bulunmalıdır.
18.Zararlı Yazılımlara Karşı Korunma Politikası a) Bir virüsün varlığından şüphelenen bir kullanıcı;
1- İlgili bilgisayarı kapatmalı, 2-Bilgisayarın ağ bağlantısını kesmeli, 3-Bu bilgiyi bilgi güvenliği yöneticisine iletmelidir.
b) Her iş istasyonuna antivirus programı yüklenmelidir. Böylece;
1-Antivirusler daha hızlı gözlemlenebilecek, 2-Şifrelenmiş virüs tanımlamaları, bir önceki kontrolde tanımlanacak, 3-Antivirus başarısızlıkları tesadüfi olacaktır.
c) Dış kaynaklı dokümanlar, diğer dokümanların bulunduğu ortama aktarılmadan önce en güncel virus tanımlamalarını içeren bir anti virus programı ile taranmalıdır. Eğer doküman şifrelendirilmişse, doğrulanmadan önce şifresi kaldırılmalıdır.
d) Yedek alınan dokümanların kopyası bir iş istasyonuna veya server’a kopyalanmadan önce bir antivirus programı ile taranmalıdır.
e) Dosyalar bir üçüncü tarafa gönderilmeden önce virus taramasından geçirilmelidir. f) Kullanıcılar, mevcut bilgi sistemlerinin normal işleyişine zarar verebilecek,
kopyalanmasına neden olacak kodlar yazmamalı, yaymamalı veya yönetmemelidir. g) Kuruluşa ait olmayan sitelerden hiçbir yazılım indirilmemelidir. Dış bir kaynak
aracılığı ile indirilen bu tip programlar, yazılım uyuşmazlığına, diskteki boş alanın
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 23/30 Page 23 20/01/2017
23
kaybına, çalışan verimliliğinin azalmasına, bilgisayarlara virus, worm veya Trojan Horse bulaşmasına neden olabilir.
h) Dış kuruluşlardan elde edilen yazılımlar, kullanılmadan önce ağa bağlı olmayan bir bilgisayarda güncel bir antivirus programı ile taranmalıdır.
19.Ağ Erişim Politikası a) Daha fazla güvenlik gerektiren sistemler otonom bir ağda tutulmalı ve bağımsız
güvenlik sistemlerine sahip olmalıdır. b) Tüm ağ bileşenlerinin konfigürasyonu tanımlanmalı ve uygun filtreleme programları
kullanılmalıdır. c) Şirket içi ağlar, organizasyonun güvenli bölgelerine göre bölünmelidir. d) İnternet erişimi olan server’lar firewall ile korunmalıdır. e) Sadece kuruluş tarafından yetkilendirilmiş bilgisayarların, kurum içi ağa giriş izni
vardır. f) Sadece işini yapabilmesi için internet erişimine ihtiyaç duyan çalışanların internet
erişimi bulunmalıdır. g) Organizasyon, çalışanların sadece işlerine ilişkin internet uygulamalarını kullanmakta
olduklarından emin olabilmek için çeşitli sistem kontrolleri kurulmalıdır. h) Organizasyon çalışanlarının Internetten doküman indirmelerine izin verilmez, bu
durum organizasyonun bağlantısının yavaşlamasına neden olabilir. i) Çalışanlar telif haklarına saygı göstermeli ve bir başka organizasyonların
uygulamalarını kullanmadan önce ilgili yerlerden izin almalıdır. Organizasyonun web sitesinin içeriği de yayınlanmadan önce onaylanmalıdır.
j) Network’e bağlı bir iş istasyonu, sadece bilgi güvenliği yöneticilerinin belirlediği gerekliliklerin karşılanması durumunda dış ağlarla iletişim kurabilir.
k) Organizasyonun ağına bağlı bir iş istasyonundan, dial – up modem ile internete bağlanmak yasaktır.
l) Bir remote workstation’dan şirket içi ağa bağlanılmak istendiğinde iki farklı onay yöntemi kullanılmalıdır. Böylece güvenlik seviyesi artırılmış olur.
m) Organizasyonun networkune bağlı iş istasyonlarına erişim, kullanıcı adı ve parolanın girilmesi ile kontrol altına alınmalıdır.
n) Bir sistem yöneticisine uzaktan bağlanabilmek için tek bir kullanım parolası gerekir. o) Uzaktan bağlantı kurmuş kullanıcıları onaylamanın bir yolu da internet kullanımı
yoluyladır. p) Çalışanlar, dial – up hatlardan çağrılar alabilecekleri biçimde çeşitli sistemler
yaratmamalıdır. q) Diagnostic Portlara erişebilmek için onay gereklidir. r) Ziyaretçilerin yanlarında getirdikleri taşınabilir sistemler, organizasyonun iç ağı ile hiç
bir ilişkisi olmayan bir sub – network aracılığı ile internete bağlanabilir 20.Bilgi ve Yazılım Alışveriş Politikası
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 24/30 Page 24 20/01/2017
24
a) Organizasyon, elektronik transferlere yönelik muhasebe kayıtlarının tutulmakta olduğundan emin olmalıdır. Böylece şirketin kayıtları güncel olacaktır.
b) Organizasyonun yazılımlarını veya verilerini kullanmakta olan üçüncü taraflar, gerekli koruma ölçütlerini içeren bir yazılı sözleşme imzalamalıdır. Böylece üçüncü tarafların söz konusu bilgiyi izinsiz kullanması, değiştirmesi veya çoğaltması engellenmiş olacaktır.
c) Elektronik ortamda sözleşmenin yapıldığı üçüncü taraflarla, kağıt üzerinde de anlaşma yapılmalıdır. Yazılı sözleşmeler en güvenli sözleşme biçimidir.
d) Bilgi ve veri alışverişinden önce dış tarafların kimliklerinin tespit edilmesi gerekir. e) Üçüncü tarafa açılan tm gizli bilgilerin kesinlikle şifrelenmesi gerekir. f) Üçüncü taraflara yollanan bilgisayar ortamı yeni olmalı veya herhangi bir bilgi
içermemelidir. g) Organizasyonun sahasında kullanılan şifreleme yöntemleri ve güvenlik sertifikaları
standarda uyum sağlamalı ve finansal kurumların gerekliliklerini karşılamalıdır. h) Yetkisi olmayan çalışanlar tarafından gönderilen e – mailler, organizasyonu bağlamaz. i) İş iletişiminin sağlanması için sadece organizasyon tarafından yetkilendirilen
çalışanların E-posta adresleri kullanılmalıdır. j) Organizasyon, yeni ürünler ile ilgilenmeyen müşterilerinin bir listesini tutmalıdır.
Buradaki amaç organizasyonun müşterileri ile iyi ilişkiler kurmasının sağlanmasıdır. k) Tüm ödeme bilgileri, bilgisayar sistemine kayıt edilmeden önce şifrelenmelidir. l) Müşteriden gelen ödeme hakkındaki bilgiler müşterilere tam olarak yollanmamalıdır.
Bilgi yollanırken hesap numarası v.b. bilgilerin belirli bir kısmını yollamak daha doğru olacaktır.
m) Organizasyonun müşterileri, organizasyonun mailleşme listesinden isimlerini çıkartabilmek için ne yapmaları gerektiğini bilmelidir.
n) Organizasyon, müşterilerini mail listesine eklemeden önce onlardan izin almalıdır. o) Organizasyon, müşterilerine, yapılan hesaplardaki doğruluğu gösterebilmek için
yeterli bilgiyi vermelidir. p) Müşterilerin hesaplarında herhangi bir değişiklik olması durumunda bir müşterilerden
onay talebi istenmelidir. q) E – posta ile gönderilen her türlü hassas bilgi şifrelenmelidir. r) Gizli bilgiler sadece uygun data server’larda kayıt altına alınmalıdır. s) Yazılım yükleme veya yazılım güncellemelerini yapma ve sistem bakımını
gerçekleştirme yetkisi sadece sistem yöneticilerinindir. t) Kritik bir dosyada çeşitli değişikliklerin yapılması durumunda, dosyanın en az iki
yedeği alınmalıdır. u) Organizasyon bir e – mail’in içeriğinde herhangi bir değişiklik yapılmasını
yasaklamalıdır. v) Organizasyonda bilgi sistemleri aracılığı ile gönderilen mesajlar, saldırgan veya
ayrımcılık içeren bildiriler içermemelidir. Organizasyonun bilgi sistemi sadece iş gereklilikleri için kullanılmalıdır.
w) Bir E-posta’ya gizlilik içermekte olduğuna dair bir not eklendiğinde, bu mesajı sadece E-posta gönderildiği kişinin maili aldığından emin olunmalıdır.
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 25/30 Page 25 20/01/2017
25
x) Organizasyonun çalışanları çeşitli tartışma gruplarına katılmamalıdır. y) E – posta yoluyla gönderilen bilgiler, bu bilginin kimden gelmekte olduğunu
içermelidir. z) E – posta yoluyla gönderilen bilgiler, spesifik bir geri dönüş adresi içermelidir. aa) Faks yoluyla gönderilen gizlilik içeren herhangi bir bilginin şifrelenmiş ve bir kapak
sayfası ile kapatılmış olması gerekir. Bunlara ek olarak, alıcıların kendilerine bir faks gönderilmiş olduğu hakkında bilgilendirilmiş olması gerekir.
bb) Gizlilik içeren bilgiler, handsfree telefonlarda görüşülmemelidir. cc) Organizasyon, bilgi sistemi vasıtasıyla gönderilmiş herhangi bir bilgiyi algılayabilmeli
veya zararlı olabileceğini düşündüğü herhangi bir veriyi silme hakkında sahiptir. Böylece kuruluşun itibarını zedeleyebilecek illegal malzemenin transfer edilmesi veya depolanması engellenmiş olur.
dd) Bilgi sistemleri verilerini içeren tüm girdi/çıktı araçlarının, gizli bilgilerin akışını engelleyebilmek için departmanı tarafından korunması gerekir.
ee) Çalışanlar gizlilik içeren bilgileri telesekreterlere veya sesli mesajlaşma sistemlerine kayıt etmemelidir.
ff) Toplantılarda yapılan video konferanslar, yönetim veya katılımcılar tarafından izin verilmedikçe kayıt edilmemelidir.
gg) İşle ilgili tüm aramalar şirket telefonları kullanımı ile yapılmalıdır. hh) Gizlilik içeren bilgilerin umumi yerlerde konuşulmaması gerekir. ii) Organizasyona ait kredi kartı numaraları varsa, bu numaralar sadece şirket telefonu
kullanıldığında, telefon aracılığı ile iletilebilir. jj) Posta aracılığı ile gönderilen gizli bilgiler iki zarf içinde yollanmalıdır. Dış zarfta,
içerideki bilginin hassaslığı ile ilgili hiç bir bilgi yazmamalı, ancak iç zarfta bilginin gizli olduğu belirtilmelidir.
kk) Kağıt üzerindeki gizli bilgilerin gönderilmesi durumunda, bilgilerin taahhütlü yollanması gerekir.
ll) İç dokümanlardaki herhangi bir değişiklik talebi, değişikliği talep eden kişinin kim olduğunu göstermelidir.
mm) Bilgi sistemleri sadece iş için kullanılmalıdır. nn) Kablosuz bağlantı ile gönderilen bilgilerin yollanmadan önce şifrelenmesi gerekir. oo) Gizli bilgilerin bir toplantıda tartışılması durumunda, toplantı süresince, bu bilginin
gizli olduğu ve dinleyenlerin bu bilginin gizliliğini korumaları gerektiği belirtilmelidir. pp) Kuruluşun intranetine yerleştirilen her bilgi veya uygulama daha önceden yetkili
kişiler tarafından onaylanmalı ve kuruluşun malı olarak kalmaya devam etmelidir. Bu bilgiler şirketin bilgileri olarak saklı tutulacaktır.
qq) Şirket içindeki donanım malzemelerin yerini değiştirmek için ilgili kişilerden izin alınmalıdır.
21. Bilgi Koruma Politikası
a) Her bilgi için Verinin Sahibi tanımlanmalıdır.
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 26/30 Page 26 20/01/2017
26
b) Veri Sahibi, o bilgiyi hazırlayan ve üreten birimdir.
c) Veri Sahibi; elektronik ortamdaki verileri için, Kurumsal Gelişim Direktörlüğü Bilgi Sistemleri Müdürlüğüne, verinin hassasiyeti, önemi, güvenlik ve izleme ihtiyaçları konusunda bilgi verecektir.
d) Veri Sahibinin izni olmadan; Kurumsal Gelişim Direktörlüğü Bilgi Sistemleri Müdürlüğü, sahibi olmadığı elektronik ortamdaki veri üzerinde herhangi bir aksiyon ve işlem gerçekleştiremez.
e) Bilgisayar Sunucularındaki kritik verilerin bilgisayarda yedeklenmesi, geri yüklenmesi, güvenli bir ortamda muhafaza edilmesi, Veri Sahibi tarafından öngörülen bilgi erişim hakları için gerekli kontrol ve önlemlerinin alınmasından Bilgi Sistemleri Müdürlüğü sorumludur.
f) Kritik sunuculardaki veri ve yazılımların şirket dışı mahallere yedeklenmesi gerçekleştirilmelidir.
g) Hiçbir personel yasa dışı ve yasak yazılımı şirket içinde kullanamaz.
h) Firma dışından yazılım satın alma yetkisi Bilgi Sistemleri Müdürlüğü’ ndedir. Satın alınan herhangi bir yazılım; Bilgi Sistemleri Müdürlüğünce test edilmeden ve kullanıcının yöneticisinin izni olmadan bilgisayarlara yüklenemez. (Şirketin genel kullanım için alacağı yazılımlar için kullanıcı bölüm yöneticisinin iznine gerek yoktur). Güvenlik ihlaline sebep olduğu anlaşılan izinsiz programın sorumluluğu kullanıcıya aittir, bu konudaki yaptırımlar kullanıcıya uygulanır.
i) Gerçek ortama taşınmadan önce tüm uygulama ve sistem yazılımları test ortamlarında teste tabi tutulacaktır.
j) Tüm personel, kendilerine tahsis edilen yetki çerçevesinde bilgilere erişerek ve kullanacaktır.
k) Herkese açık bir sistemde kullanılabilir yapılmış bilginin bütünlüğü yetkisiz değiştirmeyi önlemek için korunmalıdır
22. Sunucu Güvenliği Politikası
a) Sunucular, fiziksel olarak güvenli ortamlarda tutulacaktır. Sistem odalarına yetkisiz
girişler engellenmelidir. Sistem odalarına giriş ve çıkışlar erişim kontrollü olmalı ve kayıt altına alınmalıdır.
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 27/30 Page 27 20/01/2017
27
b) Sunuculara ait tüm konfigürasyon bilgileri belgelenmiş olacak ve bu bilgiler Bilgi Sistemleri Müdürlüğü tarafından onaylanmış olacaktır.
c) Her sunucunun, konfigürasyon, işletim sistemi versiyonu, yüklü yama listesi, yedekleme ve geri yükleme prosedürleri belgelenmiş ve güncel olacaktır.
d) Sunuculara, kullanım amacına yönelik olarak işletim sistemi ve diğer yazılımlar kurulmalıdır. Gereksiz yazılım ya da bileşenleri kaldırılmalıdır.
e) Sunucu üzerinde çalışan işletim sistemlerinin, sistem yazılımlarının ve güvenlik amaçlı yazılımların sürekli güncellenmesi sağlanmalıdır. Mümkünse, yama ve anti virüs güncellemeleri otomatik olarak yazılımlar tarafından yapılmalı, ancak değişiklik yönetimi kuralları çerçevesinde bir onay ve test mekanizmasından geçirildikten sonra uygulanmalıdır.
f) Kurumsal Değişim Yönetim Politikaları, sunucular için de uygulanacaktır.
g) Sunucu üzerinde kullanılmayan servisler kapatılacaktır.
h) Kritik ve önemli sunucular için aynı özellikte yedekleri tutulmalı, bir acil durum yaşanması durumunda bu yedek sunucu hemen devreye alınmalıdır. Mümkünse yedek sunucu, asıl sunucunun devre dışı kaldığını otomatik olarak anlayarak anında onun yerine geçebilmelidir.
i) Firmamız Bilişim Ağ ve Sistem Yöneticisi tarafından belirlendiği üzere, sunucu günlükleri düzenli aralıklarla denetim ve izlemeye tabi tutulacaktır.
j) Üzerinde çalıştığı uygulamaların başarısı kanıtlandıktan sonra, tüm sunucu güvenlik yamaları yüklenecektir.
k) Sunucuların uzaktan yönetimi gerekiyor ise; yönetim konsolu ve sunucu arasındaki haberleşme güvenli kanal ve tekniklerle gerçekleştirilecektir.
l) Firmamızın şuan itibariyle sistem odası bulunmamaktadır.
23. Parola Koruma Politikası a) Herhangi bir parola, “Çok Gizli” bilgi olarak muhafaza altına alınacak ve iş arkadaşı
veya başka bir kişiye söylenemez. b) Bilgisayar sistemlerine ve tüm şifre gerektiren uygulamalara boş parola ile erişmek
mümkün olmayacaktır.
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 28/30 Page 28 20/01/2017
28
c) Hiç bir kullanıcı, adını ve kullanıcı ile ilgili bir bilgiyi (doğum tarihi, telefon numarası, anne adı vs) parola olarak kullanamaz.
d) Herhangi bir parola bilgisayar sistem dosyalarında düz metin olarak tutulmamalıdır.
e) Acil durumlarda, Yetkili Sistem Yöneticilerinin olmaması durumunda, parolalar Firmamız Bilgi BGYS Sponsorunden temin edilir.
f) Tüm varsayılan parolalar, sistem kullanılmaya başlamadan önce kullanıcı ve/ya sistem/ağ yöneticileri tarafından değiştirilecektir. Bilgisayarlara ilk tanımı yapılan kullanıcı için; kullanıcı ilk sisteme logon olduğunda parolasını değiştirmesi sağlanacaktır.
g) Kullanıcıya bildirilecek parolalar güvenli bir ortamda iletilmelidir.
h) Parolalar telefon veya uzak iletişim ortamlarından herhangi bir kişiye
söylenmemelidir.
i) Parolalar hatırlanmak maksadı ile kâğıt ortamına yazılmamalı ve görülecek mekânlara ve açık bir şekilde masalara, monitör üstlerine konulmamalıdır.
j) Parolalar belli aralıkla değiştirilmek zorundadır.
k) Parolaların unutulması durumunda ilgili Bilişim Sistem Yöneticisine başvurulmalıdır.
l) Parola en az 8 karakter, en az bir sayı ve en az bir harften (büyük harf ve küçük harf) oluşmalıdır. Ardışık parolalar (abc123, 12345a vs) kullanılmamalıdır.
m) Etkin olmayan oturumlar 15 dakikalık hareketsizlik süresinden sonra kapatılmalıdır. 24. Uzak Bağlantı Politikası
a) Kurum dışına yapılan tüm kritik bağlantılar güvenli hatlar üzerinden yapılmalıdır.
Kritik bağlantıların ne olduğuna Firmamız Bilgi BGYS Sponsoru karar verecektir.
b) Firmamız ağına Uzaktan Erişim sadece iş amacı için kullanılacaktır.
c) Uzaktan şirket ağına bağlantısında şirketin iç ağına uygulanan güvenlik politikaları geçerli olacaktır.
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 29/30 Page 29 20/01/2017
29
d) Uzak bağlantılar, Firmamız Bilgi BGYS Sponsorunin belirleyeceği güçlü kimlik denetimi ile gerçekleştirilecektir.
e) Uzak bağlantılarda yapılan tüm dosya yüklemelerinde anti virüs taramasından
geçirilecektir. f) Uzak Bağlantı gerekliliği Bilgi BGYS Sponsoru tarafından tespit edilecek ve Bilgi
Sistemleri Müdürü tarafından onaylanacaktır. 25.Yazılım Geliştirme Politikası
a) Geliştirilmesi planlanan yazılımın fizibilitesinden, yazılımın sona erdirilmesine kadar geçen sürede yazılımın güvenlik gereksinimleri ve bu gereksinimlerin karşılanması için gerekli tüm kontrollar göz önüne alınacaktır.
b) Gerçek ortam ve yazılım geliştirme test ortamı birbirinden ayrılmış ve izole edilmiş
olacaktır.
c) Geliştirilen yazılım gerçek ortama taşınmadan önce, yazılımın tüm dokümanları hazır edilecektir.
d) Yönetim tarafından onaylanmış olanların dışında, gerçek ortamda herhangi bir deneme, beta versiyonu ve bedava yazılım kullanılamaz.
e) Tüm geliştirilen bilgisayar program, aplet ve dokümantasyonlarında izinsiz kopyalanmaya karşı alınacak hukuki önlemleri içeren bilgi yer alacaktır.
f) Tüm geliştirilen yazılımlara erişim, “Bilmek Gerekliliği (Need To Know)” prensibine göre olacaktır.
g) Firma, tüm geliştirilmiş yazılımların kaynak koduna sahip olacak veya dışarı bir firmaya yaptırılmış ise kaynak kod sağlayan firmanın ileride piyasadan çekilmesi tehlikesine karşı bağımsız kuruluşlar devreye alınarak güvence sağlanacaktır.
h) Geliştirilen veya değiştirilen tüm yazılımlar gerçek ortamlarına taşınmadan önce test ortamlarında detaylı testlere tabi tutulacaktır.
i) Geliştirilmiş hiç bir yazılım, “Kullanıcı Kabül Testi” gerçekleşmeden gerçek ortama taşınmayacaktır.
j) Önemli bilgi transfer eden web sayfalarında parola ve kullanıcı kimliğinin korunması için SSL protokolü kullanılacaktır.
BİLGİ GÜVENLİĞİ POLİTİKASI
Doküman No PL01
Yayın Tarihi 12.09.2016
Revizyon No 0
Sayfa No 30/30 Page 30 20/01/2017
30
k) Uygulama yazılımlarına istemci ve kullanıcılar tarafından girilen değerlerin işlem öncesi doğrulaması yapılacaktır.
l) Uygulama yazılımlarının çalışmalarının doğruluğunu sağlayıcı gerekli süreç kontrolleri uygulanacaktır.
m) Uygulama yazılımlarının rapor ve çıktılarının doğruluğunu sağlayıcı gerekli çıktı kontrolleri uygulanacaktır.
n) Hatalardan kurtarmak için uygun programlar kullanılarak verilerin doğru işlendiği garanti edilmelidir.
o) Programı kütüphanelerine yapılan tüm güncellemelerle ilgili izleme günlük kayıtları tutulmalıdır.
p) Kaynak kod kütüphanelerine erişim kesinlikle kontrol edilmelidir.
q) Program kaynak kütüphanelerine erişimlerin izlenmesi için günlük tutulmalıdır.
r) Tüm yazılım güncellemelerinin sürüm kontrolleri yapılmalıdır.