Bilgi Güvenliği Yönetim Sistemi

Benzer belgeler
BGYS-PL-01 BİLGİ GÜVENLİĞİ POLİTİKASI

ÇELİKEL A.Ş. Bilgi Güvenliği Politikası

BİLGİ GÜVENLİĞİ POLİTİKASI

T. C. KAMU İHALE KURUMU

UE.18 Rev.Tar/No: /03 SAYFA 1 / 5

DOK-004 BGYS Politikası

RGN İLETİŞİM HİZMETLERİ A.Ş BİLGİ GÜVENLİĞİ POLİTİKASI

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği

POL.01 Rev.Tar/No: /1.0 HĠZMETE ÖZEL

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

HATAY KHB BILGI İŞLEM BİRİMİ

BİLGİ GÜVENLİĞİ POLİTİKASI

BİLGİ GÜVENLİĞİ POLİTİKASI

Sibergüvenlik Faaliyetleri

DOKÜMAN KODU YAYINLANMA TARİHİ REVİZYON NO REVİZYON TARİHİ SAYFA NO. BG-RH Sayfa 1 / 6

BİLGİ GÜVENLİĞİ POLİTİKASI

ISO-BGYS-PL-02 Bilgi Güvenliği Politikası

BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ

RİZE HALK SAĞLIĞI MÜDÜRLÜĞÜ

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI

Bu dokümanla BGYS rollerinin ve sorumluluklarının tanımlanarak BGYS sürecinin efektif şekilde yönetilmesi hedeflenmektedir.

T. C. KAMU İHALE KURUMU

Bilgi Güvenliği Politikası. Arvato Bertelsmann İstanbul, Türkiye. Versiyon 2016_1. Arvato Türkiye. Yayınlayan

Veri(Data), sayısal veya mantıksal her değer bir veridir. Bilgi(Information), verinin işlenmiş, anlamlı hale gelmişşekline bilgi denir.

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

ISO Kurumsal Bilgi Güvenliği Standardı. Şenol Şen

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

ISO/IEC Özdeğerlendirme Soru Listesi

Özel Nitelikli Kişisel Veri İşleme Prosedürü

Bilişim Teknolojileri Test ve Belgelendirme Hizmetleri. Mustafa YILMAZ

ISO/27001 EK-A MADDELERİ

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR.

ISO 13485:2016 TIBBİ CİHAZLAR KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

BİLGİ GÜVENLİĞİ VE FARKINDALIK WEB SİTESİ KULLANIM KILAVUZU

Bilgi Güvenliği Eğitim/Öğretimi

T.C. UŞAK ÜNİVERSİTESİ

ELEKTRONİK İMZADA GÜVENLİK VE STANDARTLAR

ANET Bilgi Güvenliği Yönetimi ve ISO Ertuğrul AKBAS [ANET YAZILIM]

AHİ EVRAN ÜNİVERSİTESİ DOKÜMAN VERİ PROSEDÜRÜ

DOĞAN GRUBU İŞ SAĞLIĞI VE GÜVENLİĞİ POLİTİKASI

Yöneticilere Odaklı ISO Bilgilendirme TÜBİTAK BİLGEM Siber Güvenlik Enstitüsü

KİŞİSEL VERİLERİ KORUMA KURULU İLKE KARARLARI

Bilgi Güvenliği Farkındalık Eğitimi

İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ

ÇIKAR ÇATIŞMASI POLİTİKALARI v1

İŞ SÜREKLİLİĞİ POLİTİKASI

T.C. TORBALI BELEDİYESİ BİLGİ İŞLEM MÜDÜRLÜĞÜ TEŞKİLAT YAPISI VE ÇALIŞMA ESASLARINA DAİR YÖNERGE

ABANT İZZET BAYSAL ÜNİVERSİTESİ DOKÜMAN VERİ PROSEDÜRÜ

BİLGİ GÜVENLİĞİ VE BİLGİ İŞLEM PROSEDÜRÜ

BİLGİ GÜVENLİĞİ. Bu bolümde;

KALİTE EL KİTABI PERSONEL BELGELENDİRME

No : P.02 : 1 / 7 : : 0

RÜŞVET VE YOLSUZLUKLA MÜCADELE POLİTİKASI

KYK BELGEM TARAFSIZLIĞIN YÖNETİMİ PROSEDÜRÜ

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ

BİLGİ GÜVENLİĞİ. Temel Kavramlar

SÖKTAŞ TEKSTİL SANAYİ VE TİCARET A.Ş. Riskin Erken Saptanması Komitesi Yönetmeliği

TODAİE edevlet MERKEZİ UYGULAMALI E-İMZA SEMİNERİ KASIM E-imza Teknolojisi. TODAİE Sunumu

Dijital platformlar ile SPK BS mevzuatına uyumu kolaylaştırma. Barış Bağcı, Bilgi Sistemleri Başdenetçisi

EN ISO/IEC PERSONEL BELGELENDİREN KURULUŞLAR İÇİN GENEL ŞARTLAR

Doküman No 09.ORG.PL.0056 Sayfa No 1/7 Dış Taraf Bilgi Güvenliği Politikası. 1. Amaç Kapsam Tanımlar Sorumluluklar...

T.C. BAŞBAKANLIK Basın- Yayın ve Enformasyon Genel Müdürlüğü ELEKTRONİK BELGE YÖNETİM SİSTEMİ UYGULAMA YÖNERGESİ BİRİNCİ BÖLÜM

SPK Bilgi Sistemleri Tebliğleri

TÜRKĠYE BĠLĠMSEL VE TEKNOLOJĠK ARAġTIRMA KURUMU BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI ÇALIġMA USUL VE ESASLARI

TARİH :06/08/2007 REVİZYON NO: 3. KALİTE EL KİTABI : YÖNETİM TEMSİLCİSİ. Sayfa 1 / 6

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ POLİTİKASI

İŞ YATIRIM MENKUL DEĞERLER A.Ş. İŞ SÜREKLİLİĞİ PLANLAMASI A. AMAÇ

BİLGİ GÜVENLİK TALİMATI

KASTAMONU HALK SAĞLIĞI MÜDÜRLÜĞÜ BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ POLİTİKASI. Kodu Yayınlama Tarihi Revizyon Tarihi Revizyon No Sayfa

SEÇKİN ONUR. Doküman No: Rev.Tarihi Yayın Tarihi Revizyon No 01 OGP 09 SEÇKİN ONUR BİLGİ GÜVENLİĞİ POLİTİKASI

ISO EĞİTİM TALİMATI

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ POLİTİKASI

e-kuruma DÖNÜŞÜM PROJESİ

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kapsam - Terimler

Cahide ÜNAL Mart 2011

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

ARŞİV BİRİMİNİN İŞLEYİŞİNE YÖNELİK PROSEDÜR

çelebi eğitim danışmanlık mühendislik dış ticaret çelebi EĞİTİM DANIŞMANLIK MÜHENDİSLİK DIŞ TİCARET LTD. ŞTİ. GİZLİLİK İLKESİ

Prosedür. Kalite Yönetim Sisteminde Neden gerçekleştirilecek?

SAMSUN İLİ KAMU HASTANELERİ BİRLİĞİ GENEL SEKRETERLİĞİ GAZİ DEVLET HASTANESİ BİRLİK

Notice Belgelendirme Muayene ve Denetim Hiz. A.Ş Onaylanmış Kuruluş 2764

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kontrol Amaçları ve Kontroller

SPK Bilgi Sistemleri Tebliğleri

2. KAPSAM OMÜ Mühendislik Fakültesi bünyesinde kullanılan Kalite Yönetim Sistemi dökümanlarını kapsar.

UYGUN OLMAYAN ÜRÜN KONTROLÜ PROSEDÜRÜ

Tedarikçi risklerini yönetebilmek

HATAY SAĞLIK MÜDÜRLÜĞÜ HATAY SAĞLIK MÜDÜRLÜĞÜ RİSK DEĞERLENDİRME PROSEDÜRÜ

SPK Bilgi Sistemleri Tebliğleri Uyum Yol Haritası

T.C. KONAK BELEDİYESİ SAĞLIK İŞLERİ MÜDÜRLÜĞÜ ÖRGÜTLENME, GÖREV VE ÇALIŞMA ESASLARI HAKKINDA YÖNETMELİK BİRİNCİ BÖLÜM

İmza. İmza. İmza. İmza. İmza

Doküman No.: P501 Revizyon No: 06 Yürürlük Tarihi:

EKLER EK 12UY0106-5/A4-1:

T. C. KAMU İHALE KURUMU

KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

BİLGİ GÜVENLİĞİ POLİTİKALARI KILAVUZU

TRUSTEE TM Doküman ve İş Akış Yönetimi.

MÜŞTERİ EMRİ GERÇEKLEŞTİRME POLİTİKASI

Kurum Personeli için Kablosuz İnternet Erişimi (Wi-Fi) Kullanım Kılavuzu

ELEKTRONİK NÜSHA. BASILMIŞ HALİ KONTROLSUZ KOPYADIR

Transkript:

Bursa Teknik Üniversitesi Bilgi Güvenliği Yönetim Sistemi Bilgi Güvenliği Alt Politikaları KURUMA ÖZEL

BGYS-PL-02 0 / - 1 / 4 İÇİNDEKİLER 1. Amaç...2 2. Kapsam...2 3. Kayıtları...2 4. Tanımlamalar ve Kısaltmalar...2 5. Uygulama...2 5.1. Erişim Kontrol Politikası...2 5.2. Varlıkların Kabul Edilebilir Kullanımı...3 5.3. İnsan Kaynakları Disiplin Kuralları...3 5.4. Parola Politikası...3 5.5. Temiz Masa Temiz Ekran Politikası...3 5.6. Güvenli Geliştirme Politikası...3 5.7. Mobil Cihaz Kullanımı Politikası...4 5.8. Bilgi Transfer Politikaları...4 5.9. Tedarikçi İlişkileri Bilgi Güvenliği Politikası...4 6. İlgili Dokümanlar...4 6.1. İç Kaynaklı Dokümanlar...4 6.2. Dış Kaynaklı Dokümanlar...4

BGYS-PL-02 0 / - 2 / 4 1. Amaç Bu doküman, Kapsam Analizi Dokümanında belirtilen birimlerde tüm bilgi varlıklarının güvenliğinin sağlanması, BGYS nin kurulması, işletilmesi, sürdürülmesi ve sürekli iyileştirilmesi için yönetimin yönlendirmesi ve desteğinin belirlenmesi amacı ile oluşturulmuştur. 2. Kapsam Bu doküman, kapsamdaki tüm bilgi varlıklarını ve bilgi varlıklarının güvenliğini kapsamaktadır. 3. Kayıtları No Tarih Nedeni Sayfa No Revize Edilen Bölüm 4. Tanımlamalar ve Kısaltmalar Bu dokümandaki kısaltma ve tanımlar, Kısaltmalar ve Tanımlar Kılavuzunda açıklanmaktadır. 5. Uygulama 5.1. Erişim Kontrol Politikası Bilgi güvenliğini sağlamanın en temel yolu, bilgi varlığına yetkisiz kişilerin erişimlerini engellemek ve yetkisi olan kişilerin erişimlerini de ihtiyaca göre kısıtlamaktır. Bu erişimler,

BGYS-PL-02 0 / - 3 / 4 fiziksel ve mantıksal erişim olarak iki şekilde denetlenir. Erişim kontrollerinde yasal gereksinimler göz önünde bulundurulur ve varlık sınıflandırmasına uygun yetkilendirmeler yapılır. Gerektiği kadar bilme prensibi ve açıkça izin verilmedikçe her şey yasaktır kuralı Kurum erişim yönetiminin temelini oluşturur. 5.2. Varlıkların Kabul Edilebilir Kullanımı Kurum iş süreçlerinin yürütülmesinde yalnızca kurum bilişim kaynakları kullanılır. Bu kaynakların kullanımında esas, Bursa Teknik Üniversitesi nin eğitim, öğretim, araştırma, geliştirme, toplumsal hizmet ve idari/yönetimsel faaliyetleri ile doğrudan ilişkili olan kullanımdır. Kurum kaynaklarının kullanımı, mevzuata ve Kurum politika ve prosedürlerine aykırı olamaz. Varlıkların kullanımında yasal gereksinimler, gizlilik, bütünlük ve erişilebilirlik kavramları göz önünde bulundurularak güvenlik riskleri incelenir ve önlemler alınır. 5.3. İnsan Kaynakları Disiplin Kuralları Tüm personele mevzuat gereği ve Kurum Bilgi Güvenliği politika, prosedür, talimat, taahhütname vb şartlarına uymadığında ilgili disiplin süreci başlatılır. 5.4. Parola Politikası Kurumda kullanılan tüm parolalar uluslararası standartlara uygun güvenlik seviyeleri göz önünde bulundurularak belirlenir ve kullanılır. Belirlenen bu seviye tüm parola gerektiren sistemlerde uygulanır. Parolanın kişiye özel olduğu paylaşılmaması ve tahmin edilemez olması kullanıcıların sorumluluğundadır. 5.5. Temiz Masa Temiz Ekran Politikası Gizli ve üzeri bilgi sınıfındaki evraklar, parolalar, taşınabilir depolama ortamları, bilgi ve belgeler masa üzerinde, yazıcı veya faks gibi cihazlarda ya da kolayca ulaşılabilir yerlerde bırakılmaz. Tüm çalışanlar kendi masalarının temizliği ve düzeninden sorumludur. Kullanımı biten basılı evraklar kırpma makinesi ile kırpılarak imha edilir. Terk edilmiş masaların üzerinde not kağıtları, kişisel ajandalar ve işle ilgili dokümanlar bırakılmamlıdır. Bilgisayar ekranlarında kuruma ait çalışma dosyaları, klasörler, herhangi bir formatta bilgi içeren dosyalar ve bunlara ait kısa yollar bulundurulmamalıdır. Personelin kullandığı masaüstü veya dizüstü bilgisayarların iş sonunda ya da masa terkedilecekse ekran kilitlenerek çalışma ortamlarında veri güvenliği şartlarını kontrol etmek personel sorumluluğundadır. Şifre, parola gibi kimseye söylenmemesi gereken gizli bilgiler hiçbir suretle masa üzerindeki bir dosyaya yazılmamalı, ekranın üzerine not şeklinde yapıştırılmamalıdır. 5.6. Güvenli Geliştirme Politikası Kurumda kullanılacak uygulamaların ve sistemlerin seçiminde ve geliştirmesinde dünya çapında kabul görmüş standartların uygulanması ya da bu standartlara uygun olan uygulama ve sistemlerin temini sağlanır. Bu bağlamda; Geliştirme yaşam döngüsü içerisindeki sistem değişikliklerinin kontrolü, işletim platformu değişikliklerinin kontrolü, yazılım paketlerindeki değişikliklerin kontrolü, güvenli sitem mühendisliği prensipleri, Güvenli geliştirme ortamı, sistem güvenlik testleri, sistem kabul testleri, test verisinin güvenliği kontrolleri uygulanır.

BGYS-PL-02 0 / - 4 / 4 5.7. Mobil Cihaz Kullanımı Politikası Mobil cihazların kullanımından kaynaklanan risklerin yönetimi için fiziksel ve mantıksal erişime uygun güvenlik önlemleri alınır. Mobil cihazlar mümkün olduğunca halka açık alanlarda kullanılmaz. Yetkisiz erişim ve bilgi ifşasını engelleyecek kontroller uygulanır. Bu kontroller kriptografik önlemler, kimlik doğrulama mekanizmaları ve fiziksel muhafazadır. 5.8. Bilgi Transfer Politikaları Bilgi transferinde varlık sınıflarına uygun olarak güvenli paylaşım yöntemleri kullanılır. Şifahi olarak gizlilik dereceli bilgilerin kurum içinde ve dışında aktarımı söz konusu olamaz. Kurumsal verilerin paylaşımı sadece Kurum kaynakları kullanılarak yapılır. Kurum içi ve dışı veri paylaşımı için mevzuat ya da sözleşme ile paylaşım gereksinimlerinin belirlenmiş olması gerekir. 5.9. Tedarikçi İlişkileri Bilgi Güvenliği Politikası Kurum, iş süreçlerinin işleyişini, devamlılığını ve kalitesini arttırmak için tedarikçiler ile çalışmalar yapmaktadır. Yapılan bu çalışmalar esnasında çalışma şartlarının belirlenmesi ve dokümante edilmesi hem Kurumun hem de tedarikçinin sorumluluğundadır. Tedarikçi ilişkilerini yönetmek için, alınan mal ya da hizmetler bilgi güvenliğini etkileyecek türde ise, her birim kendi risk eğilimine ve çalışacağı tedarikçinin türüne göre tedarik sürecini planlar. Süreç dâhilinde bilgi varlıklarına erişim türünü belirler, verilen erişim izinlerini izler, Kurum politika ve prosedürlerine uyumu sağlar ve bilgi güvenliği farkındalığını arttırmak için gerekli uygulamaları gerçekleştirir. Tedarikçi anlaşmaları ile Kurum ve tedarikçi arasında yanlış anlama olasılığının ortadan kaldırılmasını sağlamak ve bilgi güvenliği gereksinimlerini yerine getirmek için her iki tarafın da yükümlülüklerine ilişkin dokümante edilmiş belge oluşturulur ve saklanır. 6. İlgili Dokümanlar 6.1. İç Kaynaklı Dokümanlar 1. Kapsam Analizi Dokümanı 2. Kısaltmalar ve Tanımlar Kılavuzu 6.2. Dış Kaynaklı Dokümanlar 1. TS EN ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Standardı

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim