1.AMAÇ ve KAPSAM Bu dokümanla BGYS rollerinin ve sorumluluklarının tanımlanarak BGYS sürecinin efektif şekilde yönetilmesi hedeflenmektedir. BGYS kapsam dokümanındaki tüm personeli, varlıkları ve ilişki içinde olunan 3. tarafları kapsar. 2.REFERAN SL AR ISO 27001:2013 Madde A.6.1. 3.TANIMLAR ve KISALTMALAR BGYS : Bilgi Güvenliği Yönetim Sistemi 4. SORUMLULUK ve YETKİ Görev Roller Dokümanın Hazırlanması: BGYS Ekibi Dokümanın Kontrolü: BGYS Dokümanın Onaylanması: Rektör Dokümanın Yayınlanması: BGYS /Ekibi Dokümanın Revizyonu: BGYS /Ekibi Dokümanın Uygulanması: Tüm Personel Dokümanın Yayından Kaldırılması: BGYS
5.UY GUL AMA 5.1. BGYS Organizasyon Şeması Üst Yönetim Prof. Dr. Mazhar BAĞLI-Rektör BGYS Yönetim Temsilcisi Nihat ÇAVUŞOĞLU-Genel Sekreter V. BGYS Sorumlusu BGYS Ekibi Cem ÖZTÜRK- Bilgi İşlem Daire Başkanı Mehmet AKAY-Şube Müdürü-Ekip Sorumlusu Kürşat İLHAN-Öğr. Gör. M. Akif EREN-Öğr. Gör. Fatih KOÇ-Tekniker İbrahim DOGAN-Sekreter Derya BAĞCI-Programcı Gökmen ÖZDİL-Teknik Personel 5.2. BGYS Görev Tanımları 5.2.1. Üst Yönetim 1. Kuruluşun stratejik amaçlarına uygun Bilgi Güvenliği Politikasını ve BGYS amaçlarını belirlemek. 2. BGYS kapsamındaki üst düzey dokümanları onaylamak, uygulamak ve yürürlükten kaldırmak.
3. BGYS' nin amaçlarına ulaşmak için gerekli olan tüm kaynakların ve sorumlulukların tahsislerini gerçekleştirmek, gerekirse yatırım yapmak. 4. BGYS' nin hedeflenen çıktılarına ulaşması, etkin bir BGYS kurulması, işletilmesi ve sürekli iyileştirilmesi için destek vermek. 5. Tüm çalışanları BGYS' ye katkı sağlaması için yönlendirmek. 6. Kendisine yönlendirilen karar taleplerini karara bağlamak. 5.2.2. BGYS 1. Bilgi Güvenliği Yönetim Sistemi kurulmasını, işletilmesini ve sürekli iyileştirilmesini sağlamak/liderlik etmek. 2. BGYS'nin performansını izlemek ve sonuçları üst yönetime raporlamak. 3. ISO 27001 standartlarına uygun olarak Bilgi Güvenliği politikaları ve prosedürlerinin oluşturulmasını sağlamak. 4. Bilgi Güvenliği Yönetim Sistemi'nin Bilgi Güvenliği politikası ve hedefleri doğrultusunda uygulatılmasını sağlamak. 5. Bilgi Güvenliği Yönetim Sistemi kapsamında bilgi varlıkları envanterinin hazırlatılmasını sağlamak ve güncelliğini takip etmek. 6. Bilgi Güvenliği Yönetim Sistemi kapsamında BGYS Ekibi tarafından yapılan risk analizleri sonucunda alınması gereken aksiyonları üst yönetime iletilmesini sağlamak. 7. Bilgi güvenliği performansını etkileyen çalışanların uygun yeterliliğe ulaşması için gerekli eğitimlerin alınmasını sağlamak. 8. Sorumlu olduğu BGYS dokümanlarını onaylamak, uygulatmak ve yürürlükten kaldırmak. 9. Çalışanların bilgi güvenliği farkındalıklarının artmasını sağlayacak mekanizmaların işletilmesini sağlamak.
10. Bilgi güvenliği ihlal olaylarını değerlendirmek ve takibini yapmak. 11.BGYS iç tetkikleri koordine etmek ve sonuçları değerlendirmek. 12. Üst yönetimin onaylayacağı Bilgi Güvenliği Yönetim Sistemi dokümantasyonunu kontrol etmek ve onaya sunmak. 13. Yönetim Gözden Geçirme Toplantısını organize etmek ve alınan kararların uygulatılmasını sağlamak. 14.Bilgi Güvenliği Yönetim Sistemi'nin işleyişi hakkında Üst Yönetime rapor vermek. 15. Tüm çalışmalarını ISO 27001 Standardı gerekliklerine göre hazırlanan ve yürürlüğe alınan dokümantasyonlara göre yürütmek. 16. Yasa, yönetmelik ve tüzükleri sürekli kontrol ederek ilgili değişiklikleri Üst Yönetime iletmek. 5.2.3. BGYS Ekibi 1. Bilgi Güvenliği Yönetim Sistemi'nin kurulmasında, işletilmesinde ve sürekli iyileştirilmesi çalışmalarında görev almak. 2. Yaşanan Bilgi Güvenliği olaylarının SOME Ekibine bildirilmesini sağlamak. 3. Yaşanmış ve medyaya yansımış bilgi güvenliği olaylarının, farkındalık oluşturulması amacıyla Kurum çalışanlarına duyurulmasını sağlamak. 4. Bilgi Güvenliği Yönetim Sisteminin Bilgi Güvenliği politikası ve hedefleri doğrultusunda hazırlanmak ve uygulanmasını sağlamak. 5. Bilgi Güvenliği Yönetim Sistemi kapsamında bilgi varlıkları envanterini hazırlamak ve güncellemesini yapmak. 6. Bilgi Güvenliği Yönetim Sistemi kapsamında risk analizlerinin yapılması, değerlendirilmesi ve ilgili aksiyonların alınmasını sağlamak. 7. Bilgi Güvenliği Yönetim Sistemi'nin uygulatılması için gerekli faaliyetleri planlamak ve takip etmek.
8. Yönetim Gözden Geçirme toplantı tutanaklarıyla ilgili bilgileri toplantıya katılanlara ulaştırmak ve toplantılarda alınan kararların uygulanmasını sağlamak. 9. Bilgi Güvenliği Yönetim Sistemi'nin işleyişi hakkında ne rapor vermek. 10.BGYS farkındalık eğitimlerinin planlanmasını ve gerçekleştirilmesini sağlamak. 11. Bilgi Güvenliği Yönetim Sistemi kapsamında İç Denetimleri planlamak ve gerçekleştirilmesini sağlamak. 12. Bilgi Güvenliği Yönetim Sistemi kapsamında belirlenen uygunsuzluklar için düzeltici faaliyet formu düzenlemek, ilgili birimlere iletmek ve takibini yapmak. 13. Yasa, yönetmelik ve tüzükleri sürekli kontrol ederek ilgili değişiklikleri Yönetim Temsilcine iletmek. 5.3. Bilgi Varlığı Sahipleri Bilgi varlığı ve bilgi varlığı operasyonel sahipleri,bilgi varlıklarının saklanması, işletilmesi,yönetilmesi,varlıklara erişim ve izleme kontrollerinin uygulanmasından sorumlu kişilerdir. Bilgi varlığı ve bilgi varlığı operasyonel sahipleri BGYS politika ve prosedürlerine uygun olarak aşağıdaki kontrollerin uygulandığının kontrolünden sorumludur: Fiziksel ve mantıksal (teknik) kontrollerin uygulanması. Bilgi varlıklarına erişim yetkilerinin yönetilmesi. Bilgi varlıklarına erişim yetkilerinin düzenli aralıklarla gözden geçirilmesi. Bilgi varlıklarının sürekliliğinin sağlanması için uygun süreklilik ve kurtarma kontrollerinin uygulanması. 5.4. Risk Sahipleri Risk sahibi, bir riski yönetmek için sorumluluk ve yetki verilmiş, ve riskin azaltılması için aksiyon almaktan sorumlu kişi ya da kişilerdir. Risk sahibi aşağıdaki kontrollerden sorumludur.
1. Kendilerine görev olarak verilmiş riskleri gidermek veya giderilmesi için ilgililerle iletişime geçmek. 2. Riskin giderildiğinin kontrolünü yaparak kayıt altına almak. 3. Risk Yönetimi Prosedüründe belirtilen şekilde kabul edilebilir seviyedeki riskleri ve artık riskleri değerlendirip kabul etmek. 5.5. Birim Yöneticileri/Amirleri 1. BGYS kapsamında hazırlanan politika, prosedür ve talimatların gerekliliklerinin birim çalışanları tarafından yerine getirilmesini sağlamak. 2. Birimine ait varlık envanteri ve risk analizi çalışmalarında yer almak ve sonuçları onaylamak. 3. Birimindeki çalışanların BGYS farkındalık eğitimlerini katılmasını sağlamak. 4. Biriminden ayrılan çalışanların (görev değişikliği, emeklilik, işten ayrılma vb.) fiziksel ve sistemsel erişim yetkilerinin durdurulmasını/kaldırılmasını sağlamak. 5. Kendisine bağlı birimde çalışacak üçüncü taraf bilgi sistemleri kullanıcılarının politikalardan ve prosedürlerden haberdar olmasını sağlamak. 6. Gereken durumlarda hizmet aldıkları 3.tarafların çalışanları ile bireysel gizlilik anlaşması imzalamak. 7. 3.taraflardan alınan hizmetlerin bilgi güvenliği ihtiyaçlarını değerlendirmek, bilgi güvenliğini sağlamak amacıyla kural ve şartlan belirlemek ve uygulatarak tedarik edilen ürün/hizmetin güvenli şekilde alınmasını sağlamak. 8. 3. Taraf firmalarla kurumsal gizlilik sözleşmesi imzalamak ve güncel tutmak. 9. Biriminde gerçekleşen tüm projelerin bilgi güvenliği açısından değerlendirilmesini sağlamak. 10. Görevler ayrılığı ilkesine göre çalışanların yetkilerini belirlemek.
11. İş sürekliliği ve felaketten kurtarma planlarını gözden geçirmek ve onaylamak. 5.6. Çalışanlar/Son Kullanıcılar 1. BGYS politika ve prosedürlerini bilmek ve uymak. 2. Bilgi varlıklarını bilgi varlığı sahibinin izin verdiği amaçla kullanmak. 3. Bilgi varlığı sahibi ve bilgi varlığı operasyonel sahibinin belirlediği kontrollere uymak. 4. Erişilen bilgilerin bilgi sınıfına uygun biçimde gizliliğini sağlamak. 5. Farkındalık eğitimlerine katılmak. 6. Tespit edilen bilgi güvenliği ihlal olaylarını hemen ilgili prosedüre uygun olarak bildirmek. 7. İşten ayrılma durumunda kuruluşta çalışmakta olduğu süre boyunca kullanım için kendisine verilmiş olan ve kendisinin kuruluşta çalıştığı süre boyunca ürettiği tüm varlıkları kuruluşa teslim etmek. 5.7. 3. Taraflar 1. Kuruluş ilgili BGYS politika ve prosedürlerine uygun şekilde çalışmak. 2. BGYS' nin sağlıklı işlemesi için gerekli görülen önerileri ilgilisine iletmek. 3. Bilgi Güvenliği olaylarını, açıklıklarını ve ihlal durumlarını kuruluşa bildirmek. 4. Firma kuruluşta görevli çalışanlarının iş aktinin sonra ermesi durumunda, kuruluşun bina ve sistemlerine fiziksel ve mantıksal erişim yetkisi olan çalışanlarını zaman kaybetmeden kuruluşa bildirmek ve erişim yetkilerinin durdurulmasını/ kaldırılmasını sağlamak.