SEÇKİN ONUR. Doküman No: Rev.Tarihi Yayın Tarihi Revizyon No 01 OGP 09 SEÇKİN ONUR BİLGİ GÜVENLİĞİ POLİTİKASI

Transkript

1 Tanım: Bilgi güvenliği, kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çaplı tehditlerden korunmasını sağlar. Bilgi güvenliği temelde aşağıdaki üç unsuru hedefler: 1. Gizlilik 2. Bütünlük 3. Kullanılabilirlik Bu kavramları şu anlama gelirler, 1. Gizlilik: Bilginin yetkisiz kişilerin erişimine kapalı olması şeklinde tanımlanabilir. Bir diğer tarif ile gizlilik bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesidir. 2. Bütünlük: Bilginin yetkisiz kişilerce değiştirilmesi, silinmesi ya da herhangi bir şekilde tahrip edilmesi tehditlerine karşı içeriğinin korunmasıdır. Bütünlük için kısaca kazara veya kasıtlı olarak bilginin bozulmaması diyebiliriz. 3. Kullanılabilirlik: Bilginin her ihtiyaç duyulduğunda kullanıma hazır durumda olması demektir. Herhangi bir sorun ya da problem çıkması durumunda bile bilginin erişilebilir olması kullanılabilirlik özelliğinin bir gereğidir. Bu erişim kullanıcının hakları çerçevesinde olmalıdır. Kullanılabilirlik ilkesince her kullanıcı erişim hakkının bulunduğu bilgi kaynağına, yetkili olduğu zaman diliminde mutlaka erişebilmelidir.

2 1. Amaç: Kurumun bilgi sistemleri kaynakları üzerindeki tüm bilgilerin yönetimini, korunmasını, dağıtımını ve önemli işlevlerinin korunmasını düzenleyen kuralları ve uygulamaları belirlemeyi amaçlar. 2. Kapsam: Bu talimat, kurum Bilgi Sistemleri altyapısını kullanmakta olan tüm birimleri, üçüncü taraf olarak bilgi sistemlerine erişen kullanıcıları ve bilgi sistemlerine teknik destek sağlamakta olan hizmet, yazılım veya donanım sağlayıcılarını kapsamaktadır. 3. Sorumlular: Genel Müdür Yardımcısı Bilgi Sistemleri Müdürü Bilgi Sistemleri Çalışanları Seçkin Onur Bilgi Sistemleri Alt Yapısına ve Bilgi Kaynaklarına Erişenler ve Kullananlar 4. Uygulama: 4.1 Kurum bilgi sistemleri kaynakları, T.C. yasalarına ve kurum menfaatlerine aykırı faaliyetler amacıyla kullanılamaz. 4.2 Kurum içi bilgi kaynakları (e-posta, duyuru, doküman, her türden raporlar, basılı halde her türden bilgi vs.) yetkisiz olarak üçüncü kişilere iletilemez. 4.3 Kurum içi bilgi kaynakları (e-posta, duyuru, doküman, her türden raporlar vs.) yetkisiz olarak taşınabilir yada sabit disk ortamına, ağ üzerindeki paylaşım ortamlarına yada internet üzerindeki paylaşım ortamlarına kopyalayamaz yada taşıyamaz. 4.4 Kişisel ve elektronik iletişimde ve üçüncü taraflarla yapılan bilgi alışverişlerinde kuruma ait bilginin gizliliğini sağlamak zorundadır. 4.5 Kurumun güvenlik sistemleri kişilere makul seviyede mahremiyet sağlasa da kurumun bünyesinde oluşturulan tüm veriler kurumun mülkiyetindedir.

3 4.6 Bilgi Sistemleri sorumluları güvenlik ve ağ bakımı için cihazları, sistemleri ve ağ trafiğini gözlemleyebilirler. 4.7 Kurum, bu madde 4.5 de belirtilen çerçevede ağları ve sistemleri periyodik olarak denetleme ve her türden değişiklik yapma hakkına sahiptir. 4.8 Sisteme erişim kontrolü, bağlı olduğu Genel Müdür Yardımcısı ve Bilgi Sistemleri Müdürü ortak onayı tarafından kişilerin yetki ve sorumlulukları dikkate alınarak düzenlenir. Bu şartlar uzaktan erişim için de geçerlidir. 4.9 Kurum bilgi işlem altyapısını kullanan ve bilgi kaynaklarına erişen herkes; kendilerine tanımlanan domain kullanıcı hesap bilgileri, bilgisayar giriş bilgileri, cihaz giriş bilgileri, e-posta hesap bilgileri ve otomasyon programlarında kullanılan şifreleri güvenli şekilde saklar, görünür şekilde kağıt yada şifrelenmemiş elektronik dosya(lar)da tutamaz ve Bilgi Sistemleri sorumluları haricinde başkalarıyla paylaşamaz Kullanıcı şifrelerini en geç 42 günde bir değiştirmek zorundadır. Kullanıcı şifreleri belirlerken basit şifreler yerine şifre verme politikasına uygun olarak şifreler; en az 7 karakter, bir adet büyük harf, bir adet küçük harf, bir adet sayı ve bir adet özel karakter içermek zorundadır Yerel ağa bağlı tüm bilgisayarlar 10 dakika içerisinde şifre kilitli ekran korumasına geçecek şekilde ayarlanır Otomasyon sistemleri haricinde kritiklik düzeylerine göre işlediği bilgiyi günlük olarak yedeklemek zorundadır Otomasyon sistemleri haricinde kritiklik düzeylerine göre işlenen verilerin kaybından personel sorumludur Kurum içinde kullanılan cep telefonu ve PDA cihazlarını şifre korumaları aktif halde olmalı, kullanılmadıkları durumlarda kablosuz erişim özellikleri aktif halde olmamalıdır.

4 4.14 Bilgiler dijital ortamlarda yada basılı halde ve cihazlar ve yazılımlar kurum dışına çıkarılamaz Bağlı olunan Genel Müdür Yardımcısı ve Bilgi Sistemleri Müdürü onayı dışında, Mobil bilgisayarlar ve cihazlar haricindeki bilgisayarlarda ve cihazlarda bulunan yazılımlar ve veriler izinsiz olarak kurum dışına taşınamaz yada elektronik olarak kopyalanamaz Bilgi güvenliği ihlal olaylarını Bilgi Sistemleri Departmanına ivedilikle bildirilmek zorundadır Domaine bağlı olmayan bilgisayarlar yada cihazlar hiçbir surette kullanılamaz. Bu durumda olduğu görülen bilgisayarlar yada cihazlar Bilgi Sistemleri Departmanına bildirilir Bilgi Sistemleri Müdürünün onayı alınmaksızın yetki verilmeyen ağlara, sistemlere, paylaşımlara ve otomasyon sistemlerine giriş yapılamaz Bilgi Sistemleri sorumluları bilgisi dışında bilgisayarlar üzerindeki ağ ayarları, kullanıcı tanımları, kaynak profilleri, virüs koruma uygulaması ayarları, uzaktan bağlantı uygulamaları ayarları, kurulu uygulamalar vb. gibi ayarlarda mevcut yapılan düzenlemeler hiçbir suretle değiştirilemez yada kullanımdan kaldırılamaz Virüs koruma uygulaması olan bilgisayarların ve ilgili cihazların otomatik güncelleştirmelere açık olarak çalışması sağlanır ve ayarlarında değişiklik yapılamaz Virüs koruma uygulaması olmayan bilgisayarlarda ve cihazlarda Bilgi Sistemleri sorumlularının izni olmaksızın herhangi bir çalışma yapılmaz Virüs koruma uygulaması olmayan bilgisayarları ve cihazları Bilgi Sistemleri sorumlularına ivedilikle bildirir E-posta yoluyla gelen istenmeyen (spam) e-postalar açılamaz yada bir başkasına gönderilemez.

5 4.24 Kurum dışından yada içinden gelen herhangi bir disk ortamını bilgisayara bağlamadan önce virüs korumasından geçirir Virüs içerdiği tespit edilen yada güvenli olmayan disk, ağ paylaşım ve internet ortamlarına bağlanamaz ve dosya alışverişi yapamaz Şirket bilgisayar ağına bağlı olunmasına bakılmaksızın, internet görüntüleyici (web browser) programlarla yasaklı sitelere yada erişime izin verilmeyen siteler haricinde giriş yapılamaz Bilgi Sistemleri Departmanı, iş kaybının önlenmesi için çalışanların internet kullanımı hakkında gözlemleme ve istatistik yapabilir. Gerekli durumlarda internet üzerinde kısıtlamalar yapabilir. Bu işlemin yapılması itiraz edilemez ve engellenemez İnternet erişimlerini kısıtlayıcı tedbirler getiren internet kullanım profillerine uyulması zorunludur Hiçbir kullanıcı internet üzerinden işin zorunlulukları haricinde video, mp3 vb. gibi eğlence içerikli programları indiremez ve canlı olarak web üzerinden takip edemez Hiçbir kullanıcı internet üzerinden program kurulum dosyası vb. gibi büyük boyutlu dosyaları indiremez ve canlı olarak web üzerinden takip edemez. Zorunlu hallerde Bilgi Sistemleri Departmanından destek talep eder İnternet üzerinden kurum tarafından onaylanmamış yazılımlar indirilemez ve kurum sistemleri üzerine bu yazılımlar kurulamaz ve kullanılamaz. Bilgisayarlar üzerinden genel ahlak anlayışına aykırı internet sitelerine giremez ve bu türden dosyaları indiremez ve canlı olarak web üzerinden takip edemez Çalışma saatleri içerisinde aşırı bir şekilde iş ile ilgili olmayan sitelerde gezinemez, paylaşımda bulunamaz ve kullanamaz. Buna yönelik alınan tedbirlere ve kararlara itiraz edilemez.

6 4.33 E-posta adresine ve sistemlere giriş izinlerine sahip kullanıcı herhangi bir sebepten birim değiştirme ya da işten ayrılma nedeniyle oluşan değişikliğin İnsan Kaynakları tarafından Bilgi Sistemleri Departmanına en kısa sürede bildirir Kullanıcılar kendilerine ait e-posta adresi ve/veya sistemlere giriş şifre(ler)sinin güvenliğinden sorumludurlar. Böyle bir durumda Bilgi Sistemleri Departmanına ivedilikle bilgi vermek zorundadırlar Bağlı olduğu Genel Müdür Yardımcısı bilgisi dışında, sosyal paylaşım ağlarında kurum hakkında özel ya da genel nitelikte bilgi ve görsel paylaşımında bulunulamaz Kurumun bilgi sistemleri alt yapı kaynaklarına ve her türden bilgi kaynaklarına erişim ve kullanım öncesinde, Seçkin Onur personeli olsun ya da olmasın herkes bu dokümanda yazılı politika ve ilkeler kabul etmiş ve onaylamış sayılır. Bu dokümanı kabul eden ve onaylayan kişi, bu politika ve ilkelere aykırı davranışları sonucunda doğacak zararları karşılamayı ve hukuki ve idari ceza ve yaptırımları kabul eder.