T.C. KUZEY ANADOLU KALKINMA AJANSI. Bilgi Güvenliği Politikası ve Bilişim Yönergesi

Transkript

1 T.C. KUZEY ANADOLU KALKINMA AJANSI Bilgi Güvenliği Politikası ve Bilişim Yönergesi Mart 2015

2 İÇİNDEKİLER BİRİNCİ BÖLÜM... 1 Amaç, Kapsam, Tanımlar ve Hukuki Dayanak... 1 Amaç... 1 Kapsam... 1 Tanımlar... 1 Hukuki Dayanak... 1 İKİNCİ BÖLÜM... 2 Uygulama ve Genel Esaslar... 2 Bilgi Teknolojilerin Güvenliği... 2 Bilgi Teknolojileri Güvenliği Hedefleri... 2 Bilgi Güvenliği İlkeleri... 2 Sorumluluklar... 2 Politikanın İhlali ve Yaptırımlar... 3 ÜÇÜNCÜ BÖLÜM... 4 Uygulama... 4 Aktif Dizin Hizmetleri... 4 Şifre Politikası... 4 Temiz Ekran Politikası... 5 E-Posta Hizmetleri... 5 Dosya Sunucusu Hizmetleri... 7 Elektronik Belge Yönetim Sistemi (EBYS) Hizmetleri ve Elektronik İmza Kullanımı... 8 Personelin Program/DONANIM Yükleme/KURULUM İstekleri... 9 Anti Virüs Politikası Güvenlik Duvarı ve İçerik Filtreleme Politikası Ağ ve İnternet Kullanımı Arıza ve Bakım Görev Değişimi, Bitimi ve Zimmet Yedekleme Bilişim Altyapısına İlişkin Testler Sistem Odası Bilgi Talebi ve Raporlama Yetkilendirme ve Sınırlandırma Eğitim Bilgi Teknolojileri Kullanım Sözleşmesi Yardım Masası DÖRDÜNCÜ BÖLÜM Son Hükümler Yürürlük Yürütme i

3 BİRİNCİ BÖLÜM AMAÇ, KAPSAM, TANIMLAR VE HUKUKİ DAYANAK AMAÇ MADDE 1 - (1) Bu yönergenin amacı Kuzey Anadolu Kalkınma Ajansı envanterin de kayıtlı bilişim kaynaklarını kullanma yetkisi olan personel ile Ajansın sahip olduğu altyapı ile internete bağlanan ya da Ajans internet sitesi üzerinden hizmet alan ziyaretçilerin bu kaynaklardan faydalanmalarına ilişkin esas ve usulleri düzenlemektir. KAPSAM MADDE 2 - (1) Bu yönerge, Ajans Bilgi İşlem altyapısını kullanarak veya doğrudan kurumsal bilgiye erişen tüm personeli, üçüncü taraf olarak bilgi sistemlerine erişen kullanıcıları ve bilgi sistemlerine teknik destek sağlamakta olan hizmet, yazılım veya donanım sağlayıcılarını kapsamaktadır. TANIMLAR MADDE 3 - (1) Bu Yönergede geçen; a) Ajans: T.C. Kuzey Anadolu Kalkınma Ajansı nı, b) Son Kullanıcı: Bilgi İşlem Bünyesinde Olmayan Tüm Personel, c) Donanım: Bilgisayar, Yazıcı, Tarayıcı vb., d) Aktif Dizin: LDAP, e) Bilgi İşlem Personeli: Ajans Teşkilat Görev ve Yönergesi nde tanımlanan bilgi işlem görev ve yetkilerine sahip Ajans personeli. ifade eder. HUKUKİ DAYANAK MADDE 4 - (1) Bu Yönerge, 5449 sayılı Kalkınma Ajanslarının Kuruluşu, Koordinasyonu ve Görevleri Hakkında Kanun ve ilgili yönetmeliklere dayanılarak hazırlanmıştır. 1

4 İKİNCİ BÖLÜM UYGULAMA VE GENEL ESASLAR BİLGİ TEKNOLOJİLERİN GÜVENLİĞİ MADDE 5 - (1) Ajansın bilgi teknolojilerin güvenliği: a) Gizlilik: Bilginin sadece yetkili kişiler tarafından erişilebilir olması, b) Bütünlük: Bilginin yetkisiz değiştirmelerden korunması ve değiştirildiğinde farkına varılması, c) Kullanılabilirlik: Bilginin yetkili kullanıcılar tarafından gerek duyulduğu an kullanılabilir olması, özelliklerinin korunması olarak tanımlanır. BİLGİ TEKNOLOJİLERİ GÜVENLİĞİ HEDEFLERİ MADDE 6 - (1) Ajans; güvenilirliğini ve imajını korumak, Ajansın temel iş faaliyetlerinin en az kesinti ile devam etmesini sağlamak amacıyla bilişim hizmetlerinin gerçekleştirilmesinde kullanılan tüm fiziksel ve elektronik bilgi varlıklarının bilgi güvenliğini sağlamayı hedefler. BİLGİ GÜVENLİĞİ İLKELERİ MADDE 7 - (1) Ajansı bilgi işlem altyapısını kullanan ve bilgi kaynaklarına erişen herkes: a) Kişisel ve elektronik iletişimde ve üçüncü taraflarla yapılan bilgi alışverişlerinde kuruma ait bilginin gizliliğini sağlamalı, b) Kritiklik düzeylerine göre işlediği bilgiyi yedeklemeli, c) Risk düzeylerine göre belirlenen güvenlik önlemlerini almalı, d) Bilgi güvenliği ihlal olaylarını Bilgi İşlem Sorumlusuna bildirmeli ve Bilgi İşlem Sorumlusunun bilgi güvenliği ihlallerini engelleyecek önlemleri almasını sağlamalı, e) Ajans içi bilgi kaynakları yetkisiz olarak üçüncü kişilere iletmemeli, f) Ajans bilişim kaynakları, kanunlara ve ilgili mevzuata aykırı faaliyetler amacıyla kullanmamalıdır. SORUMLULUKLAR MADDE 8 - (1) Bilgi İşlem personeli bu yönergede belirtilen kurallara uygun olarak ve kullanıcının kişilik hakları saklı kalmak koşulu ile yönergede belirtilen hizmetlerin kullanımını kontrol eder. Ayrıca Ajans çatısı altında faaliyet gösteren tüm personel, bu yönerge ve ilgili prosedür ve talimatlara uymakla yükümlüdür. 2

5 POLİTİKANIN İHLALİ VE YAPTIRIMLAR MADDE 9 - (1) Bu yönergenin prosedür ve talimatlarına uyulmaması halinde, gerçekleştirilen eylemin yoğunluğuna, kaynaklara veya verilen zararın boyutuna, tekrarına göre Ajans Disiplin Yönergesi gereğince yaptırımlar uygulanabilir. 3

6 ÜÇÜNCÜ BÖLÜM UYGULAMA AKTİF DİZİN HİZMETLERİ MADDE 10 - (1) Ajans ta işe başlayan her personel için bir adet aktif dizin kullanıcı hesabı İnsan Kaynaklarının Bilgi İşlem Personeline, personelin göreve başladığı birimi ve unvanını içeren bilgileri bildirmesi ile açılır. Açılan hesaba ait kullanıcı adı ve şifre bilgileri personelin kendisine doğrudan bildirilir. Personele şifresi ilk girişte değiştirilmesi zorunlu hale getirilecek şekilde geçici olarak verilir. (2) Personel kullanımı için İnsan Kaynaklarının dışından gelen herhangi bir aktif dizin kullanıcı hesabı talebi karşılanmaz. (3) Personelin kullanımı dışında aktif dizin kullanıcı hesabına ihtiyaç duyan uygulamalar için ilgili uygulamanın kullanılacağı birim başkanının talebi ve Bilgi İşlem Personelinin onayına istinaden ilgili hesap açılabilir. Bu durumda hesaba ait kullanıcı adı ve şifre talep eden birim başkanına teslim edilir. İlgili hesabın amacı dışında kullanılmasının ve bu hesaptan doğabilecek zararların sorumluluğu hesabı talep eden birim başkanına aittir. (4) Aktif dizin hesabı açılırken ç, ş, ı, ö, ü, ğ gibi Türkçe karakterler kullanılmaz. ŞİFRE POLİTİKASI MADDE 11 - (1) Personel Ajans ta kullanılan ve belirli bir şifre ile girilmesi zorunlu olan her türlü uygulamadaki şifrelerini aşağıdaki kriterlere göre kullanacaktır. a) Şifreler en az 6 karakter olacaktır. b) Şifreler kompleks yapıda olacaktır (harf, rakam ve simge karışık olmalıdır). c) Şifreler yılda bir mutlaka değiştirilecektir. d) Kullanılan şifre bir sonraki değişimde tekrardan kullanılamaz. e) Yanlış şifre denemeleri 3 deneme ile sınırlı olacaktır. Hatalı girilen şifreler sonucu kullanıcı hesabı kilitli konuma gelecektir. Belli bir süre (30 dakika) sonra kilit otomatik olarak açılır. f) Şifre herhangi bir kişi ile herhangi bir şekilde paylaşılmayacak ve herhangi bir yere yazılmayacaktır. 4

7 TEMİZ EKRAN POLİTİKASI MADDE 12 - (1) Personel, bilgisayarlarında bulunan kritik dosyaları masa üstünde tutmamalıdır. (2) Personel, masa başından kısa süreli ayrılmalar dâhil ctrl+alt+delete tuşlarına aynı anda bastıktan sonra, kilitle seçeneğini seçerek bilgisayarını kilitlemelidir. (3) Personel, masa başından ayrıldığında kilitle seçeneğini seçmez ise, altmış (60) dakika sonra bilgisayarı, şifre ile oturum açmasını gerektirecek şekilde kilitlenmelidir. E-POSTA HİZMETLERİ MADDE 13 - (1) Personele sağlanan eposta hizmeti için bu hizmetten nasıl faydalanacağına dair bilgiler aşağıda belirlenmiştir. a) E-Posta Kotaları I. E-posta kutusu kapasitesi, gönderme sınırı (kişi sayısı), ekli dosya büyüklüğü sınırı gibi hususlar ihtiyaç duyulması halinde sınırlandırılabilir. II. E-postalar personel tarafından arşivlenir. b) E-Posta Kullanım Kriterleri I. E-posta kullanıcı adı ve şifre bilgisi aktif dizinden alınmakta olup şifre politikası yukarıda açıklandığı gibidir. II. Gönderilen elektronik postaların sonuna, otomatik olarak eklenecek ve göndereni tanımlayacak Ad Soyad - Birim - Unvan - Telefon bilgilerinin bulunduğu formatı Ajans Dış İlişkilerinden sorumlu birim tarafından belirlenen Kurumsal E- Posta İmzası eklenmelidir. III. Gönderilen e-postaların sonunda aşağıdaki gibi bir açıklama olmalıdır. Bu e-posta iletisi yalnızca belirtilen kişiye gönderilmiş olup; kişiye özel, gizli ya da başka bir biçimde korunan bilgiler içerebilir. Bu iletinin bir hata sonucu size ulaştığını düşünüyorsanız, lütfen göndereni uyarıp iletiyi siliniz. Açıklama ihtiyaca göre Ajans Dış İlişkilerinden sorumlu birim tarafından değiştirilebilir. IV. Gönderilen elektronik postalara eklenilecek dosyalar uygun boyutlu olmalıdır. V. Alınan ve gönderilen elektronik posta eklentileri virüs taramasından geçirilmelidir. VI. Zincir e-postalar ve kaynağı bilinmeyen e-posta ekinde gelen her türlü çalıştırılabilir dosyalar alındığında kesinlikle açılmamalı, hemen silinmeli, yanıt verilmemeli ve kesinlikle başkalarına iletilmemelidir. VII. Elektronik postaların, konu kısmı boş bırakılmamalıdır. 5

8 VIII. Elektronik postalar imlâ ve yazım kuralları ile genel ahlâk kurallarına uygun olmalıdır. IX. Çok sayıda kişiye toplu olarak gönderilen iletilerin, alıcıların birbirlerinin adreslerini görmemesi için, Bilgi (CC (Carbon Copy)) ile değil Gizli (BCC (Blind Carbon Copy)) ile gönderilir. X. Kurum dışında güvenliğinden emin olunmayan bir bilgisayardan web posta sistemi kullanılmamalıdır. XI. Elektronik posta iletilerine kredi kartı numarası, herhangi bir şifre gibi özel bilgiler yazılmamalıdır. XII. Kişisel kullanım için internetteki listelere üye olunması durumunda kurum e-posta adresleri kullanılmamalıdır. XIII. E-postaların sık sık gözden geçirilmeli, gereksiz mesajlar uzun süreli olarak elektronik posta sunucusunda bırakılmamalıdır. c) E-posta adresine sahip kullanıcı herhangi bir sebepten birim değiştirir, emekli olur ya da işten ayrılır ise değişiklik ile ilgili olarak İnsan Kaynakları Bilgi İşlem personeline en geç 15 gün içinde bildirimde bulunması gerekmektedir. d) Elektronik posta hesabına sahip tüm personel, bu esaslara uymakla yükümlüdür. e) Kullanıcı, elektronik posta kullanımı sırasında: I. Üçüncü kişilere, sistem geneline zarar verecek veya Ajansın başka kişi ya da kuruluşlarla hukuki anlaşmazlığa sokacak herhangi bir yazılım veya materyal bulundurmaz ve paylaşmaz. II. Diğer kullanıcıların kullanımını etkileyecek şekilde davranmaz, bilgisayarındaki bilgilere ya da yazılıma zarar verecek bilgi veya programlar göndermez. III. Harici kişi ve kuruluşlara gönderilen elektronik postalarda, işin gereği ile ilgili bilgilerin dışında, Ajansın güvenliği ile ilgili bilgi verilmez. f) Personelin kullanımına tahsis edilen eposta adresleri Ajans iş ilişkilerinde kullanılması amacıyla verilmiş olan adresler olup bu adresler ile herhangi bir özel/kişisel mesajlaşma yapılmamalı, g) Kullanıcı, elektronik posta kullanımı sebebiyle; I. Kişisel şifrenin sadece kendisi tarafından bilinmesi ve korunmasından, II. Kullanıcının şifresini paylaşması halinde şifreyi öğrenen kişinin, kendisi adına yapacaklarından, III. Elektronik posta kullanarak ileri sürdüğü kişisel düşünce, ifade ve eklediği dosyalardan, 6

9 IV. Elektronik posta kullanılarak elde edilen her türlü kayıt veya malzeme kendi rızasıyla edinilmiş sayılacağından, bilgisayarında yaratacağı arızalar, bilgi kaybı ve diğer kayıplardan sorumludur. DOSYA SUNUCUSU HİZMETLERİ MADDE 14 - (1) Ajans içi ortak dosya paylaşımı ve Ajans bilgilerinin yedeklenmesi için dosya sunucusu hizmeti verilmektedir. Dosya sunucusunda erişimler ortak kullanım alanları için kullanıcı/kullanıcı birimi bazında yetkilendirme yapmak sureti ile yönetilmektedir. Paylaşımdaki klasörlere erişim izinleri her birimin kendisine ait klasörüne Birim Başkanı tarafından istenen özelliklere göre (okuma/yazma gibi) ayarlanarak klasörün yönetimi birim yöneticisine devredilir. Buna göre birim yöneticisi kendi birimine ait klasör yetkilendirmelerini istediği gibi yapabilir/yaptırabilir. (2) Ayrıca her personele dosya sunucusu üzerinde bir adet kendi ismine ait dosya dizini tahsis edilmiş olup bu dizine sadece yedekleme amaçlı iş ile ilgili dokümanlarını (Word, Excel, Power Point, Pdf uzantılı dokümanlar gibi) koyabilirler. (3) Yukarıda belirtilenlerin dışındaki dokümanlar (eğlence ve kişisel her türlü dosya ve dokümanlar, jpeg gibi çeşitli formatlarda resimler-fotoğraflar, çeşitli formatlarda filmler-videolar ve çeşitli programlara ait kurulum gibi) bu alanda saklanamaz. (4) Personele tahsis edilmiş dosya dizin(ler)i personelin kendisi, birim başkanı ve yedekleme amaçlı Bilgi İşlem Personelinin klasöre erişebilecek şekilde yapılandırılmıştır. (5) Birimde ortak kullanılan ve birimin dosya sunucusu üzerindeki ortak klasöründe saklanan verilerin ayrıca personele tahsis edilmiş dosya klasöründe saklanması gereksiz disk, personel, zaman gibi iş yükü kayıplarına neden olacağından dosya klasörüne eklenmemesi gerekmektedir. (6) Yukarıdaki kurallar dâhilinde kullanılması amaçlanan dosya sunucusu hizmetinin daha aktif ve amacına uygun kullanılabilmesi için, Bilgi İşlem Personeli sistemin periyodik olarak otomatik kontroller yapmasını sağlamak ve amacı dışında kullanımları rapor etmekle yükümlüdür. Bu alana amacı dışında eklenildiği tespit edilen veriler, Bilgi İşlem Personeli tarafından raporlanacak ve silinecektir. (7) Dosya sunucusuna erişim hakkı bulunan personel herhangi bir sebepten birim değiştirir, emekli olur ya da işten ayrılır ise değişiklik ile ilgili olarak İnsan Kaynakları, Bilgi İşlem Personeline en geç 15 gün içinde bildirimde bulunması gerekmektedir. 7

10 ELEKTRONİK BELGE YÖNETİM SİSTEMİ (EBYS) HİZMETLERİ VE ELEKTRONİK İMZA KULLANIMI MADDE 15 - (1) Elektronik Belge Yönetim Sistemi (EBYS), Ajans bünyesindeki sunucuda kurularak hizmet vermektedir. EBYS ile hazırlanan belgeler TUBİTAK tarafından personele temin edilen Elektronik İmza ile zaman damgalı olarak imzalanmaktadır. Elektronik Belge Yönetim Sistemine erişimler kullanıcı/kullanıcı birimi bazında yetkilendirme yapmak sureti ile yönetilmektedir. (2) Elektronik İmza Kullanım Kriterleri a) Ajans ta işe başlayan her personel için İnsan Kaynaklarının e-posta yolu ile Bilgi İşlem Personeline, personelin göreve başladığı birimi ve unvanını içeren bilgileri bildirmesi ile Kurum Yetkilisi tarafından elektronik imza temini için TUBİTAK a Nitelikli Elektronik Sertifika Başvuru Tablosu ile bildirilir. Ardından TUBİTAK ile ilgili personel arasında geçen form doldurma süreçlerinden sonra Kamu SM Nitelikli Elektronik Sertifika Sahibi Taahhütnamesi ilgili personel tarafından imzalanarak TUBİTAK Kamu SM ye iletilir. Süreçler sonunda TUBİTAK Kişiye Özel olarak Elektronik İmza Sertifikasını ve Aracını ilgili personele kurye ile göndermektedir. b) Ajans tan ayrılan personel için İnsan Kaynaklarının Bilgi İşlem Personeline bildirmesi ile Kurum Yetkilisi tarafından ilgili personelin EBYS kullanıcı bilgileri kaldırılır. c) İmza oluşturma verisini ve güvenli elektronik imza oluşturma aracını başkasına kullandırmaz, bu konuda gerekli tedbirleri alır. d) Nitelikli elektronik sertifikasını kullanma hak ve yükümlülüklerini bir başka kişi veya kuruma devredemez. e) İmza oluşturma verisini, güvenli elektronik imza oluşturma amacı dışında kullanamaz. f) Adına düzenlenen güvenli elektronik imza oluşturma aracı ve erişim verisini şahsen teslim alır. g) Güvenli elektronik imza oluşturma aracı erişim verisini korumakla ilgili her türlü tedbiri alır. h) İmza oluşturma verisinin ve/veya güvenli elektronik imza oluşturma aracının kayıp, açığa çıkma, değişime uğrama ve üçüncü kişilerin yetkisiz kullanımı durumlarında nitelikle elektronik sertifikanın iptalini sağlamak üzere derhal Kamu SM'ye ve Kurum Yetkilisine bilgi verir. i) Kullanım süresi dolmuş veya iptal olmuş nitelikli elektronik sertifika ile ilişkili imza oluşturma verisini herhangi bir amaç için kullanmaz. j) Nitelikli elektronik sertifika başvurusu sırasında ve nitelikli elektronik sertifikanın geçerlilik süresi boyunca kimliğini belgeleme ve doğrulama amacıyla gerek duyulabilecek kişisel bilgi ve belgelerini tam ve doğru olarak beyan eder. 8

11 k) Nitelikli elektronik sertifika başvurusu sırasında ve nitelikli elektronik sertifikanın geçerlilik süresi boyunca beyan ettiği bilgilerde meydana gelen değişiklikleri derhal Kamu SM'ye bildirir. l) Güvenli elektronik imzanın, elle atılan imza ile aynı hukuki sonucu doğurduğu konusunda bilgi sahibidir ve kendisine ait imza oluşturma verisini bu şartlarda kullanmayı kabul eder. m) İnternet veya çağrı merkezi üzerinden sertifika işlemlerini yapabilmesi için kullandığı parolaları korumakla ilgili her türlü tedbiri alır. (3) Elektronik Belge Yönetim Sistemi Kullanım Kriterleri a) Ajans ta şe başlayan her personel için İnsan Kaynaklarının Bilgi İşlem Personeline, personelin göreve başladığı birimi ve unvanını içeren bilgileri bildirmesi ile Elektronik Belge Yönetim Sisteminde kullanıcı tanımlamaları yapılır. b) Ajanstan ayrılan personel için İnsan Kaynaklarının Bilgi İşlem Personeline bildirmesi ile Bilgi İşlem Personeli tarafından hesabı pasif olarak düzenlenir ve sisteme erişimi kapanır. c) EBYS sistemine, adresi ile internet ortamında erişim sağlanmaktadır. d) EBYS sistemine giriş için her personelin sistemde Ajans Şifre Politikasına uygun bir şifre belirlemeli ve bilgilerini sistemden kontrol etmelidir. Bu konuda problem yaşadığında Bilgi İşlem Personeline haber vermelidir. e) EBYS sistemi ile elektronik imza altına alınmış bir belgenin kontrolü, belgenin altından yazan kodlarının adresindeki alanlara girilmesi ile mümkündür. PERSONELİN PROGRAM/DONANIM YÜKLEME/KURULUM İSTEKLERİ MADDE 16 - (1) Personelin görevlerini yerine getirebilmesi için kendisine tahsis edilen bilgisayarda yüklü olan programlar (yazılımlar) haricinde bir program yüklememesi esastır. (2) Eğer kullanıcının bilgisayarında tüm Ajans personelinin kullandığı standart programlardan herhangi biri eksik ise onay gerekmeksizin istek yaparak Bilgi İşlem Personelinin ilgili programı kurmasını sağlayabilir. (3) Personelin bilgisayarında bulunan programlar haricinde bir program yükleme ihtiyacı oluşursa, personelin kendi Birim Başkanı nın da onayı ile ihtiyaç oluşan programı kullanım sebebini de belirterek Yardım Masası ndan talepte bulunur. Kurulum Bilgi İşlem Personeli tarafından yapılır. (4) Personelin bilgisayarında yukarıdaki belirtilenler haricinde program bulunması halinde sorumluluk personelin kendine aittir. 9

12 ANTİ VİRÜS POLİTİKASI MADDE 17 - (1) Kurumun tüm bilgisayarları anti virüs yazılımına sahip olmalıdır. Anti virüs yazılımı olmayan bilgisayar ortak ağa bağlanmamalıdır. (2) Anti virüs güncellemeleri bu iş için adanmış sunucu vasıtası ile yapılmaktadır. Sunucu internet bağlantısına bağlı olup otomatik olarak veri tabanlarını güncellemektedir. Personel tarafından kullanılan bilgisayarlar sunucudan otomatik olarak güncellemesini yapmaktadır. (3) Zararlı programları (virüs, spam, mail bombaları vb.) kurum bünyesinde oluşturulmamalı ve dağıtılmamalıdır. (4) Hiçbir kullanıcı herhangi bir sebepten dolayı anti-virüs programını sisteminden kaldırmamalı ya da pasif konuma getirmemelidir. (5) Bilgisayara yüklenen her türlü dosya virüs taramasından geçirilmelidir. GÜVENLİK DUVARI VE İÇERİK FİLTRELEME POLİTİKASI MADDE 18 - (1) Ajansın bilgisayar ağı erişim ve içerik denetimi yapan bir güvenlik duvarı (firewall) üzerinden internete çıkmaktadır. Ağ güvenlik duvarı (firewall), kurumun ağı ile dış ağlar arasında bir geçit olarak görev yapan ve internet bağlantısında kurumun karşılaşabileceği sorunları önlemek üzere tasarlanan bir cihazdır. Güvenlik duvarı aşağıda belirtilen hizmetlerle birlikte çalışarak ağ güvenliğini sağlayabilmelidir. a) İçerik filtreleme sistemleri kullanılmaktadır. İstenilmeyen siteler (pornografik, kumar, şiddet içeren vs.) yasaklanmaktadır. b) Çalışma saatleri içerisinde aşırı bir şekilde iş ile ilgili olmayan sitelere erişimin belirlenmesi durumunda erişim engellenebilir. c) İnternetle ilgili erişim izinleri ve kısıtlamalar Genel Sekreter tarafından belirlenir. d) Erişim izinleri ve kısıtlamalar veya sorunlara ilişkin çözüm isteyen personel öncelikle isteğini nedenleriyle birlikte Bilgi İşlem Personeli ne iletir. Talebin Genel Sekreter tarafından onayı ile gerekli tanımlar yapılabilir. e) Saldırı Tespit ve Önleme Sistemleri kullanılmaktadır. f) Personelin peer-to-peer bağlantı yoluyla internetteki servisleri kullanması engellenebilir. AĞ VE İNTERNET KULLANIMI MADDE 19 - (1) 5237 sayılı Türk Ceza Kanununun ilgili hükümleri, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ile bilişim suçları alanında düzenlenen diğer mevzuat gereği, her kullanıcı interneti 10

13 bilinçli bir şekilde kullanmak, başkalarının hakkını ihlal edici ve bilişim sisteminin işleyişini engelleyici, bozucu faaliyetlerde bulunmamakla yükümlüdür. (2) Ajans bünyesindeki bilgisayar ağı ve internet aşağıdaki amaçlar için kullanılmaz. a) Ajans ağına ve haricindeki bir sisteme, ağ kaynağına veya servisine saldırı niteliğinde girişimlerde bulunmak, b) Diğer kullanıcılara ait verileri bozmak ya da zarar vermek, gizlilik hakkını ihlal etmek, c) Başka bir kullanıcının elektronik posta adresini, o kullanıcının izni olmadan kullanmak, d) Başkalarının telif haklarını ihlal edici konumda olan yazı, makale, kitap, film, müzik eserleri gibi materyali iletmek, yayınlamak, dağıtmak, e) Bilgisayarları veya hizmetleri kasıtlı olarak yetkisiz kullanmak, f) Lisansı alınmamış ve telif hakları ile korunan herhangi bir yazılımı veya ücretsiz lisans gerektirmeyen bir yazılım olsa bile Bilgi İşlem Personeli tarafından kullanımı onaylanmayan yazılımları kullanmak. (3) Bilgisayarlara tahsis edilen IP numarası ve ağ arabiriminin donanım adresi (MAC adresi) ile BIOS ayarları Bilgi İşlem Personeli dışında değiştirilemez. (4) Ağ domain kontrol (DC) yapısı içerisinde bulunmayan bilgisayarların internete erişimi engellenir. Misafir kullanıcıların internete erişim Bilgi İşlem Personeli tarafından sağlanır. ARIZA VE BAKIM MADDE 20 - (1) Son kullanıcılar, bilişim olanakları bünyesindeki tüm arızalarını veya isteklerini, Bilgi İşlem Personeline Yardım Masası aracılığıyla iletmek zorundadır. (2) Personelin hizmetine sunulan tüm cihaz ve kaynaklarda, Bilgi İşlem Personeli tarafından çözülemeyen kullanıcı hatalarından dolayı oluşan arızalarda, cihazın garanti kapsamı dışındaki tamir bedelleri (dizüstü bilgisayar üstüne sıvı dökülmesi, bilgisayara yanlış güç verilmesi gibi) kullanıcı tarafından ödenir. (3) Kayıp ve Çalıntı. Kullanıcılara sunulan bilişim olanaklarının kaybolması veya çalınması durumunda personelin, kolluk kuvvetleri tarafından onaylı olarak gösterdikleri çalıntı bildirimi olduğu ve yeni olanak temini talebi yapıldığı takdirde talebi yerine getirilir. Ancak, çalınan bilişim olanağı için kolluk kuvveti tarafından verilen bildirim dokümanından, olanağın, çalınmaya müsait şekilde ortada bırakıldığı veya hiçbir koruyucu önlemin alınmadığı anlaşılır ise çalıntı bildirimi yokmuş gibi hareket edilir. Belirtilen çalıntı bildirimi olmayan durumlarda ise kullanıcı, ilgili olanağın yerine aynısını veya muadilini koymakla yükümlüdür. 11

14 GÖREV DEĞİŞİMİ, BİTİMİ VE ZİMMET MADDE 21 - (1) Bilgi İşleme ilişkin cihazların tümü, Taşınır Mal Sorumlusu tarafından kullanıcıya zimmetlenir. a) Birimlere genel kullanım amacı ile teslim edilen bilişim olanakları ise ilgili birim başkanına/koordinatöre zimmetlenir. Kullanıcı, işten ayrılma veya görev değişikliği esnasında bu zimmet fişine göre Bilgi İşlem Personeli tarafından sorgulanır ve tüm bilişim olanağını teslim ettiği onayı Bilgi İşlem Personeli tarafından verilir. b) Görev değiştiren personelin tüm bilişim olanakları kendisinden, Bilgi İşlem bünyesine, geri alınır ve yeni görev yerindeki ilgili birim yöneticisi tarafından yapılacak talebe ve Bilgi İşlem Personeli onayına istinaden yeni talep işleme alınır. c) Kullanıcı kaydetme ve kayıttan çıkarma politikası. Personelin işe başlaması, görev değişikliği ve görevden ayrılması halinde personel ile ilgili erişim yetkileri gibi eklenmesi/düzenlenmesi/kaldırılması gereken işlemler (Active Directory ve Domain Controller Hizmetleri, Dosya sunucusuna uzak erişim, bilgisayardaki bilgilerinin güvenliği ve ulaşımı, personel takip sistemi, veri güvenliği açısından çalışmakta olduğu elektronik ortamda ki çalışmalarının izlenerek güvenli bir şekilde kendilerine aktarılması/aktarılmaması) İnsan Kaynakları tarafından Bilgi İşlem sorumlusuna bildirilmesine müteakip gerçekleştirir. YEDEKLEME MADDE 22 - (1) Ajans sistem odasında bulunan sunucularda toplanan veriler bilişim kaynaklarının bakım ve yönetiminden sorumlu birim tarafından belirli periyotlar ile yedeklenerek bir kopyası Ajans dışında bir sunucu/hard disk te veya Çankırı ve/veya Sinop Yatırım Destek Ofisleri bünyesinde yedekleme üniteleri ile tutulur. Ajans tarafından personelin kullanımına sunulan bilgisayarlardaki veriler dosya sunucusunda ya da ikincil depolama alanlarında (USB drive, harici HDD) yedeklenecektir. Bu şekilde yedeklenmemiş verilerin kaybedilmesinden personelin kendisi sorumludur. (2) Yedekleme ile ilgili aşağıdaki uygulamalar yapılarak tamamlanmaktadır. a) Yedekleme sıklığı: günlük, anlık ve saatlik şeklinde yedekleme yapılır. b) Yedekleme tipi: tam yedekleme ve artımlı yedekleme otomatik olarak uygulanır. Veri tipi ayrımı yapmadan verilerin tamamı yedeklenir. c) Yedekleme ortamı tipi: tip olarak fiziksel sunucu/hard diskler üzerine yapılır. d) Yedekleme izleri: yedekleme ile ilgili log izleri istendiği zaman alınmakta ve sürekli günlük olarak kontrol edilir. 12

15 e) Önemli son kullanıcı verileri: son kullanıcıların verileri sanal dosya sunucu üzerinden çalıştıkları ve kayıt yaptıkları sürece korunur ve yedeklenir. f) Veri kaynaklarının fiziksel ve mantıksal yerleri: veri yedekleme üniteleri sistem odasında sunucu/hard diskler ile gerekli yazılımlar aracılığıyla yedeklenir. g) Güvenlik ve yetkiler: Veri güvenliğinden, Bilgi İşlem personeli, ilgili birim başkanı ve Genel Sekreter sorumludur. h) Şifreleme ihtiyaçları: administrator şifreleri, Bilgi İşlem Personeli tarafından her ayın ilk haftası değiştirilerek random şekilde belirlenir. Bilgi İşlem Personeli müdahalenin gerekli olduğu durumlarda kullanılması için şifreleri, değişikliğin olduğu gün ilgili Birim Başkanı ve Genel Sekreter e iletir. (3) Ajans bünyesinde kullanılan yazılımların Bilgi İşlem Personeli veya yazılımı kullanan personel eliyle mümkün olduğu sürece Ajans sunucularında yedeklenmesi esastır. BİLİŞİM ALTYAPISINA İLİŞKİN TESTLER MADDE 23 - (1) Bilgi İşlem personeline bilişim altyapısına ilişkin testlerin yapılabilmesi için gerekli eğitim aldırılır. Bu kapsamda, sızma testleri, kritik bilgi sistemleri zafiyetleri vb. testler Bilgi İşlem personeli tarafından belirli periyotlarda yapılır ya da hizmet alınır. Yedeklerin geri yüklenebilirliği ve okunabilirliği belli zaman aralıklarında sanal sunucular üzerinden Bilgi İşlem Personeli tarafından test edilir ve Genel Sekretere raporlanır. SİSTEM ODASI MADDE 24 - (1) Ajansa ait sunucular ile ups ve network cihazları, Ajans binasında yer alan, ancak yetkilendirilmiş personel tarafından girilebilen bir sistem odasında bulundurulur. Cihazların ısınmasını engellemek amacıyla gerekli ise oda klima ile soğutulmalıdır. Çevresel tehditleri (nem, yangın, sıcaklık) tespit edecek izleme mekanizmaları bulundurulmalıdır. BİLGİ TALEBİ VE RAPORLAMA MADDE 25 - (1) Bilgi işlem altyapısına ilişkin tüm kayıtlar, izler (log) ve raporlar, Genel Sekreter oluruna istinaden ilgili Birim Başkanına iletilir. YETKİLENDİRME VE SINIRLANDIRMA MADDE 26 - (1) Yetkilendirme ve Sınırlandırmaya yönelik uygulamaları Genel Sekreter belirler. 13

16 EĞİTİM MADDE 27 - (1) Bilgi İşlem Personeline güncel uygulamalara yönelik gerekli eğitimler aldırılır. Son Kullanıcılara yönelik eğitimler, Bilgi İşlem Personeli eliyle veya hizmet alımı yoluyla gerçekleştirilir. BİLGİ TEKNOLOJİLERİ KULLANIM SÖZLEŞMESİ MADDE 28 - (1) Ajans çatısı altında faaliyet gösteren tüm personel, Ek-1 de sunulan Bilgi Teknolojileri Kullanım Sözleşmesi ni imzalamakla yükümlüdür. YARDIM MASASI MADDE 29 - (1) Personel taleplerini EBYS de bulunan Yardım Masası aracılığıyla Bilgi İşlem Personeline iletir. 14

17 DÖRDÜNCÜ BÖLÜM SON HÜKÜMLER YÜRÜRLÜK MADDE 30 - (1) Bu Yönerge, Ajans Genel Sekreteri tarafından personele tebliğ edildiği tarihte yürürlüğe girer. YÜRÜTME MADDE 31 - (1) Bu yönerge hükümleri Genel Sekreter tarafından yürütülür. EKLER - EK-1: Bilgi Teknolojileri Kullanım Sözleşmesi (2 sayfa). YÖNERGE GEÇMİŞİ Sürüm No Yönetim Kurulu Karar No ve Tarihi

18 BİLGİ TEKNOLOJİLERİ KULLANIM SÖZLEŞMESİ Sözleşmenin Tarafları 1. Kuzey Anadolu Kalkınma Ajansı (Bundan sonra Ajans olarak anılacaktır.) (Bundan sonra Kullanıcı olarak anılacaktır.) Sözleşmenin Konusu ve Kapsamı İşbu sözleşme, Ajans ve Kullanıcı arasında akdedilmiş olup Kullanıcının Ajans bilişim ekipmanlarını ve alt yapısını kullanması usul ve esaslarını ile yükümlülüklerini kapsar. Genel Hükümler a) Kullanıcı, kendilerine sağlanan bilgi ve iletişim araçlarını Ajans görev, yetki, sorumluluk ve hedefleri ile uyumlu olacak şekilde kullanmakla yükümlüdür. b) Kullanıcı, bilişim ekipmanlarının kullanımında, tasarruf ilkesine azami riayet eder. c) Kullanıcı, bilişim kaynaklarını Türkiye Cumhuriyeti yasalarına, Kalkınma Ajansları yönetmeliklerine, Ajans ile imzaladığı iş akdi ve etik sözleşmesi hükümlerine aykırı faaliyette bulunmak amacıyla kullanamaz. d) Bilgi İşlem Personelinin izin ve bilgisi haricinde hiçbir şekilde etki alanı (domain) veya kullanıcı ismi açılamaz. e) Kullanıcıların şifreleri gizlidir ve kişiye özel olup, hiç kimse ile paylaşılmaması gereklidir. Kişilere verilen kullanıcı adı ve şifrelerle yapılan her işlem kullanıcının sorumluluğundadır. f) Kullanıcı, Ajans Bilgisayar Ağında kayıtlı bulunan bilgisayarlar ve bunlara ait bileşenlerin (Örnek, yazıcı, tarayıcı v.b.) arıza, güvenlik açığı, teknik destek ihtiyacı v.b. talep ve bildirimlerini Bilgi İşlem Personeline bildirir. g) Ajans Bilgisayar Ağına kayıtlı olmayan bilgisayarlara hiçbir şekilde destek verilmez ve internet erişimi engellenir. h) Kullanıcı, kurumsal bilgi ve iletişim araçlarını yürürlükte bulunan ilgili mevzuata aykırı bir biçimde kullanamaz. i) Kullanıcı, lisanssız ve kanun dışı yazılımların kullanım ve kurulumunu yapamaz. j) Kullanıcı, başkasının şifresini kırmaya veya ele geçirmeye teşebbüs edemez (Örnek; sniffer, keylogger, spyware, trojan ve benzeri amaçlı programların kurulumu). k) Kullanıcı, başkalarının kişilik haklarını ihlal edici, hakaret içeren ve toplum ahlakına aykırı materyaller gönderemez, bu tür materyaller bilinçli olarak saklayamaz ve depolayamaz. 1

19 l) Kullanıcı, telif hakları yasasına aykırı olarak dosya transferi, kopyalaması ve dağıtımı yapamaz. noktadan noktaya ( peer to peer ) dosya paylaşım programları, telif hakları ve lisansları ihlal etmenin yanı sıra, yüksek bant genişliği tüketerek birincil amaçlar için ağ kullanımına kaynak bırakmamasından, hiçbir "peer to peer" dosya paylaşım araçlarını kullanamaz. m) Kullanıcı, yetkilendirilen personel haricinde, ağ üzerindeki paketleri yakalamaya ve izlemeye teşebbüs edemez. n) Kullanıcı, kullanıcı adı ve şifresini birim zamanda birden çok bilgisayarda kullanamaz. o) Kullanıcı, genel ahlak anlayışına aykırı internet sitelerine giremez ve dosya indirimi yapamaz. Kullanıcı, Yürürlükteki Bilgi Güvenliği Politikası ve Bilişim Yönergesi ile Bilgi Teknolojileri Kullanım Sözleşmesi hükümleri doğrultusunda hareket etmeyi taahhüt eder. İşbu sözleşme, / / tarihinde taraflarca 2 nüsha olarak düzenlenip imzalanmıştır. KULLANICI KUZEY ANADOLU KALKINMA AJANSI Adı-Soyadı: İmzası: Genel Sekreter 2