KKTC MERKEZ BANKASI. BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ



Benzer belgeler
BİLGİ GÜVENLİĞİ POLİTİKASI OLUŞTURMA KILAVUZU

T. C. KAMU İHALE KURUMU

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği

DOK-004 BGYS Politikası

UE.18 Rev.Tar/No: /03 SAYFA 1 / 5

İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ

T. C. KAMU İHALE KURUMU

Madde 7 - İlişki süreçleri

ÇELİKEL A.Ş. Bilgi Güvenliği Politikası

EN ISO/IEC PERSONEL BELGELENDİREN KURULUŞLAR İÇİN GENEL ŞARTLAR

BİLGİ GÜVENLİĞİ POLİTİKASI

KAMUYU AYDINLATMA PROSEDÜRÜ

Kamunun Bilgilendirilmesi Rehber Dokümanı

HAKKARİ DEFTERDARLIĞI İÇ KONTROL EYLEM PLANI 1- KONTROL ORTAMI

ANET Bilgi Güvenliği Yönetimi ve ISO Ertuğrul AKBAS [ANET YAZILIM]

KKTC MERKEZ BANKASI. SIZMA TESTLERİ GENELGESİ (Genelge No: 2015/01) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ

No : P.02 : 1 / 7 : : 0

POL.01 Rev.Tar/No: /1.0 HĠZMETE ÖZEL

VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI 3-4 MART 2016

BAKIŞ MEVZUAT BAŞLIK. Sayı 2018/27

BİLGİ GÜVENLİĞİ POLİTİKASI

KOCAELİ BÜYÜKŞEHİR BELEDİYESİ

BATMAN ÜNİVERSİTESİ İÇ KONTROL SİSTEMİ İZLEME GÖZDEN GEÇİRME VE DEĞERLENDİRME YÖNERGESİ

ÇIKAR ÇATIŞMASI POLİTİKALARI v1

Değerlendirme Süreci Kuralları

BGYS-PL-01 BİLGİ GÜVENLİĞİ POLİTİKASI

İlk Basamağı: İyi bir dokümantasyona sahip olmaktır!

Bilgi Güvenliği Politikası. Arvato Bertelsmann İstanbul, Türkiye. Versiyon 2016_1. Arvato Türkiye. Yayınlayan

SİRKÜLER NO: POZ-2018 / 27 İST,

SÜREÇ YÖNETİMİ KAPSAMINDA PROSEDÜR HAZIRLAMA

3- KONTROL FAALİYETLERİ

OHSAS İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMLERİ

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Planlama - Destek

İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI

İç Kontrol Bileşeni: KONTROL ORTAMI EL KİTABI. Strateji Geliştirme Daire Başkanlığı

Bilgi Sistemleri Risk Yönetim Politikası

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001

ISO 13485:2016 TIBBİ CİHAZLAR KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

5. Merkez Bankası kendisine verilen görevleri teşkilatında yer alan aşağıdaki birimler ile şube vasıtası ile yerine getirir;

ANKARA ANONİM TÜRK SİGORTA ŞİRKETİ

HASTANELERDE KALİTE YÖNETİMİ VE UYGULAMALARI ERCİYES ÜNİVERSİTESİ SAĞLIK UYGULAMA VE ARAŞTIRMA MERKEZİ KALİTE YÖNETİM BİRİMİ

1- Neden İç Kontrol? 2- İç Kontrol Nedir?

MerSis. Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri

Raporlama Standardı (Tfrs 15) Hakkında Tebliğ (Sıra No: 54) bilgilerin finansal tablo kullanıcılarına raporlanmasında işletmenin

Bilgi Güvenliği Yönetim Sistemi

3- KONTROL FAALİYETLERİ

10 SORUDA İÇ KONTROL

ANALİZE DAYALI KADEME UYGULAMALARINA İLİŞKİN REHBER

ETİK KURALLAR KLAVUZU TOKKDER TÜM OTO KİRALAMA KURULUŞLARI DERNEĞİ ETİK KURALLARI

İŞLETME RİSK YÖNETİMİ. Yrd. Doç. Dr. Tülay Korkusuz Polat 1/30

MEHMET ŞİRİN DENETİM STANDARTLARI DAİRESİ BAŞKANI

3- KONTROL FAALİYETLERİ

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kapsam - Terimler

Sirküler No : Sirküler Tarihi : : Döviz Pozisyonuna İlişkin Bildirim

Sibergüvenlik Faaliyetleri

Sirküler Rapor Mevzuat /86-1

ISO/IEC Özdeğerlendirme Soru Listesi

BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

Bilişim Teknolojileri Test ve Belgelendirme Hizmetleri. Mustafa YILMAZ

YÖNETİM SİSTEMLERİ. Yönetim Sistemi Modelleri: Deming tarafından geliştirilen, Planla Uygula Kontrol Et Önlem Al

DENEY VEYA KALİBRASYON LABORATUVARLARININ TS EN ISO/IEC 17025:2005 STANDARDINA GÖRE DENETİMİ VE AKREDİTASYONU

ÜNİVERSİTELERDE AR-GE STRATEJİ BELGESİ HAZIRLATILMASI VE UYGULATILMASI ÇAĞRISI BAŞVURU FORMU

ISO 9001:2015 GEÇİŞ KILAVUZU

T.C. UŞAK ÜNİVERSİTESİ

İSG Hizmet Yönetim Rehberi

T.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı

T.C. ADANA BİLİM VE TEKNOLOJİ ÜNİVERSİTESİ Strateji Geliştirme Daire Başkanlığı SORU VE CEVAPLARLA KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI

YÖNETMELİK. MADDE 1 (1) Bu Yönetmeliğin amacı; çalışanlara verilecek iş sağlığı ve güvenliği eğitimlerinin usul ve esaslarını düzenlemektir.

BÜSİAD Makinelerin AB Direktifine Uyumu ve Teşvikler Konulu Paneli. CE ve İSG GEREKLİLİKLERİ SORUMLULUKLAR

Geçici veya Belirli Süreli İşlerde İş Sağlığı ve Güvenliği Hakkında Yönetmelik Resmi Gazete Yayım Tarih ve Sayısı :

T.C. TUŞBA BELEDİYESİ

ZİRAAT HAYAT VE EMEKLİLİK A.Ş YILI KURUMSAL YÖNETİM İLKELERİ NE UYUM RAPORU

SARAYÖNÜ MESLEK YÜKSEKOKULU DOKÜMANTE EDİLMİŞ BİLGİNİN KONTROLÜ PROSEDÜRÜ

FK YEMİNLİ MALİ MÜŞAVİRLİK LTD. ŞTİ.

(41/2001 Sayılı Yasa) Madde 51 (1) A Altında Tebliğ. 1- Bu Tebliğ, Merkez Bankası İdare, Teşkilat ve Hizmetleri Tebliği olarak isimlendirilir.

Yapı ve Kredi Bankası A. Ş. İş Sağlığı ve Güvenliği Politikası

T.C. BAŞBAKANLIK Basın- Yayın ve Enformasyon Genel Müdürlüğü ELEKTRONİK BELGE YÖNETİM SİSTEMİ UYGULAMA YÖNERGESİ BİRİNCİ BÖLÜM


SPK Bilgi Sistemleri Tebliğleri

YÖNETİM SİSTEMLERİ. TS EN ISO Kalite Yönetim Sistemi TS EN ISO Çevre Yönetim Sistemi TS (OHSAS) İSG Yönetim Sistemi

FEF LİSANS PROGRAMLARI DEĞERLENDİRME ÖLÇÜTLERİ

Çalışanların İş Sağlığı ve Güvenliği Eğitimlerinin Usul ve Esasları Hakkında Yönetmelik Resmi Gazete Yayım Tarih ve Sayısı :

T. C. KAMU İHALE KURUMU

PLANLAMA, KONTROL ve EĞİTİM İŞLERİ TALİMATI

GİRİŞ. A. İç Kontrolün Tanımı, Özellikleri ve Genel Esasları:

Notice Belgelendirme Muayene ve Denetim Hiz. A.Ş Onaylanmış Kuruluş 2764

Söz konusu yönetmelikte;

HÜRRİYET GAZETECİLİK VE MATBAACILIK A.Ş. KURUMSAL YÖNETİM KOMİTESİ GÖREV VE ÇALIŞMA ESASLARI

SPK Bilgi Sistemleri Tebliğleri Uyum Yol Haritası

Çalışanların İş Sağlığı Ve Güvenliği Eğitimlerinin Usul Ve Esasları Hakkında Yönetmelik

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

TÜRK AKREDİTASYON KURUMU R20.08

DOĞAN ŞİRKETLER GRUBU HOLDİNG A.Ş. KURUMSAL YÖNETİM KOMİTESİ GÖREV ve ÇALIŞMA ESASLARI

ULAKNET KULLANIM POLİTİKASI

Kontrol: Gökhan BİRBİL

KOCAELİ BÜYÜKŞEHİR BELEDİYESİ İÇ KONTROL EYLEM PLANI (2011)

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Canlı Hizmetteki Sunucu Sistemlerine Erişim Politikası

DOKÜMAN KOTROLÜ. Çeviri: Elif KILIÇ, Gıda Müh. Düzenleme: Fırat ÖZEL, Gıda Müh.

Transkript:

KKTC MERKEZ BANKASI BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ

İçindekiler Giriş... 1 1 Amaç... 1 2 Bilgi Güvenliği Politikaları... 1 3 Bilgi Güvenliği Politikasının Bileşenleri... 2 3.1 Bilgi Güvenliğinin Tanımı.... 2 3.2 Bilgi Güvenliği İhtiyacı ve Bilgi Güvenliği Kapsamı... 2 3.3 Bilgi Güvenliği Hedefleri... 3 3.4 Risk Yönetim Çerçevesi... 3 3.5 Yönetimin Bilgi Güvenliği Sağlama Sözü ve Politika Dokümanının Onayı... 3 3.6 Bilgi Güvenliği İlkeleri... 3 3.7 Roller/Görevler ve Sorumluluklar... 3 3.8 Politikanın İhlali ve Yaptırımlar... 3 3.9 Atıflar (Diğer Politika, Prosedür, Talimat ve Yönetmeliklere Atıflar)... 3 3.10 Bilgi Güvenliği Politikası Gözden Geçirme Kuralları... 4 3.11 Bilgi Güvenliği Politikasına Erişim... 4 4 Bilgi Güvenliği Politikasının Merkez Bankasına İletilmesi... 4 KKTC MERKEZ BANKASI - Bankacılık Düzenleme ve Gözetim Müdürlüğü i

Giriş BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) İşbu Genelge, 39/2001 Sayılı Bankalar Yasasının 15 inci maddesinin (3) üncü fıkrası altında 18 Aralık 2014 tarih ve 258 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Bankalarda İç Denetim, Risk Yönetimi, İç Kontrol ve Yönetim Sistemleri Tebliği nin 11 inci maddesinin (3) üncü fıkrası (E) bendi (b) alt bendi uyarınca düzenlenmiş olup, Bankamız Yönetim Kurulunun 30 Mart 2015 tarih ve 902 sayılı kararı ile onaylanmıştır. 2015/02 sayılı Genelge 8 Nisan 2015 tarihinde yürürlüğe girer. 1 Amaç Bilgi güvenliğini etkin bir şekilde sağlamak amacıyla uygulanan kurallar ve metotlar, bankanın tehdit ve açıklarını analiz ederek, risklerini farkına varmasından, teknik güvenlik çözümlerini sisteme entegre etmesine, sözleşmelerde bilgi güvenliğini de ele alan düzenlemeler yapmasından, kullanıcıların bilgi güvenliği farkındalığını arttırmaya kadar çok çeşitli alanlarda uygulanabilir. Bu metotlardan en önemlisi, bankanın bilgi güvenliği hedefini ve bu hedefe ulaşmak için uygulanacak kural ve metotların çerçevesini çizen bilgi güvenliği politikalarının oluşturulması ve uygulanmasıdır. Bu dokümanın amacı ISO/IEC 27001 standardına uygun olarak bankaların Bilgi Güvenliği Politikası oluşturması ve bu politikanın uygulanması ile ilgili usul ve esaslar açıklamaktır. 2 Bilgi Güvenliği Politikaları Bilgi güvenliği politikaları, bir bankanın değerli bilgilerinin yönetimini, korunmasını, dağıtımını ve önemli işlevlerinin korunmasını düzenleyen kurallar ve uygulamalar bütünüdür. Bu kural ve uygulamaları tanımlayan politikalar çeşitli seviyelerde yazılabilir. Politikalar, genel bir Bilgi Güvenliği Politikası ve belirli alanlara ait politikalardan (Erişim Kontrol Politikası, Bilgisayar Ağları Güvenlik Politikası, Sistem Erişim ve Doğrulama Politikası, Sistem Yönetim ve İşletim Politikası vb.) oluşur ve uygulamaları tanımlayan prosedür ve talimatlarla tamamlanır. Her seviyedeki politikanın tek bir dokümanda bulunması yerine, en üst seviyede temel ilkeleri barındıran bir Bilgi Güvenliği Politikasının oluşturulması ve bu dokümanla diğer ayrıntılı politikaların ilişkilendirilmesi gerekmektedir. Bilgi güvenliği politikası, bu politikalar doğrultusunda uygulanacak prosedürlerin amaçlarını tanımlayan en üst düzey doküman olmalıdır. KKTC MERKEZ BANKASI - Bankacılık Düzenleme ve Gözetim Müdürlüğü 1

3 Bilgi Güvenliği Politikasının Bileşenleri Bilgi Güvenliği Politikası, bankanın bilgi güvenliği ihtiyacını ve bilgi güvenliği kavramını bankanın bilgi kaynaklarını kullanan her kişiye anlatma amacıyla hazırlanmalıdır. Bankanın bilgi güvenliği ihtiyacı ile ilgili iş gerekleri ve yasal zorunluluklar bu dokümanda net bir biçimde ortaya konmalıdır. Bilgi güvenliği politikası, banka yönetiminin bilgi güvenliğine dair sözünü ve desteğini göstermeli ve bilgi güvenliğinin, bankanın belirlemiş olduğu misyonuna ulaşabilmesindeki destekleyici rolünü tanımlamalıdır. Bilgi Güvenliği Politikasında asgari aşağıdaki hususlar yer almalıdır: a. Bilgi güvenliğinin tanımı, genel kapsamı ve hedefi, b. Bilgi güvenliğinin banka için önemi, bilgi güvenliği sağlanmasının amacı ve bilgi güvenliği ilkeleri, bu amaç ve ilkeler için yönetim desteği, c. Kontrol hedefleri ve kontrollerin seçimi için risk değerlendirmesi ve risk yönetimini de içeren bir çerçevenin ortaya konulması, d. Güvenlik politikaları, ilkeleri, standartları ve uyum gereksinimlerinin özet bir açıklaması, e. Bilgi güvenliği ile ilgili tüm görev ve sorumlulukların tanımı, f. Diğer ayrıntılı politikalar ve belirli bilgi sistemleri için prosedürler veya kullanıcıların uyması gereken kurallar gibi politikayı destekleyen dokümanlara atıflar. 3.1 Bilgi Güvenliğinin Tanımı Bilgi güvenliği politikası bankanın geneline hitap etmektedir. Banka içinde farklı görevlerde birçok çalışan olduğundan dolayı bilgi güvenliği kavramı bazı çalışanlar için yabancı veya yeni bir kavram olabilir. Bilgi güvenliği dendiğinde herkes tarafından aynı kavramın anlaşılmasını sağlamak için, politikada bilgi güvenliğinin açık ve anlaşılır bir tanımının bulunması gereklidir. 3.2 Bilgi Güvenliği İhtiyacı ve Bilgi Güvenliği Kapsamı Bankanın bilgiye, dolayısıyla bilgi güvenliğine olan bağımlılığını vurgulayan bir ifadeden oluşmalıdır. Bir bankada neden bilgi güvenliği politikasına ihtiyaç duyulduğu sorusunun temelini oluşturmalıdır. Bilgi güvenliği kapsamı ile bankada hangi yönetimsel birimlerin ve aktivitelerin bilgi güvenliği yapısı içinde değerlendirileceği belirtilmelidir. KKTC MERKEZ BANKASI - Bankacılık Düzenleme ve Gözetim Müdürlüğü 2

3.3 Bilgi Güvenliği Hedefleri Bilgi güvenliği hedefleri, bilgi güvenliğinin yönetimi ile ulaşılacak amaç hakkında okuyucuyu bilgilendirmek için özet olarak tanımlanmalıdır. Bu hedefler bankanın iş gerekleri ve stratejileri ile ilişkilendirilmelidir. 3.4 Risk Yönetim Çerçevesi Banka, bankanın bilgi güvenliği risklerini nasıl yönettiğine dair bir çerçeve ortaya koymalıdır. Bankanın bilgi güvenliğini sağlamak için uygulayacağı kontroller ve bu kontrollerin hangi risklerle ilintili olarak uyguladığını ortaya koyduğu bir metodolojisi bulunmalıdır. 3.5 Yönetimin Bilgi Güvenliği Sağlama Sözü ve Politika Dokümanının Onayı Banka yönetiminin, bankada bilgi güvenliğini sağlama niyeti, politikada bulunması gereken en önemli ifadedir. Yönetim, bu söz ile bilgi güvenliği amaçlarına ulaşma konusunda kararlılığını ve bu iş için gereken desteği sağlayacağını ifade ederken, banka çalışanlarının bilgi güvenliğine önem vermesini de sağlamalıdır. Onay imzası, bankada bilgi güvenliğinin sağlanmasının desteklendiğini gösterir ve bankadaki en yüksek makam tarafından imzalanmalıdır. 3.6 Bilgi Güvenliği İlkeleri Bilgi güvenliği ilkeleri, bankadaki bilgi güvenliği ile ilgili genel kuralları koymalı ve bu ilkeler kullanıcılara çeşitli konu ve kavramlarla ilintili beklenen davranışları tanımlamalıdır. 3.7 Roller/Görevler ve Sorumluluklar Bu kısım, bankada bilgi güvenliği ile ilgili, tam olarak ne beklendiğini anlatır. Görev ve sorumluluklar, bankanın bilgi kaynaklarını kullanan tüm tarafların sorumluluklarını ve bilgi güvenliğinin her alanını kapsamalıdır. 3.8 Politikanın İhlali ve Yaptırımlar Bir kullanıcının politikaya uymadığı ve politikayı ihlal ettiği durumlarda o kullanıcıya yaptırım uygulanabileceğini belirten ifadedir. Bankanın genel disiplin politikasıyla ilişkilendirilmelidir. 3.9 Atıflar (Diğer Politika, Prosedür, Talimat ve Yönetmeliklere Atıflar) Bilgi güvenliği politikası tek başına bir doküman değildir. Bilgi güvenliği amaçlarının gerçekleşmesi için hazırlanan başka ilgili politikalar, prosedürler, talimat ve yönetmeliklerle desteklenmelidir. Ayrıca, yasa, mevzuat vb. ile belirtilmiş, bankanın uygulaması gereken belirli kontrol ve önlemler varsa, bu kontrol ve önlemlere politikada referans verilmelidir. KKTC MERKEZ BANKASI - Bankacılık Düzenleme ve Gözetim Müdürlüğü 3

3.10 Bilgi Güvenliği Politikası Gözden Geçirme Kuralları Bankada bilgi güvenliğinin sağlanması için, uygulamaya konulan kurallar ve alınan önlemlerin uygulanabilirlik ve etkinlik açılarından kontrol edilmesi ve gerekli gözden geçirme ve güncellemelerin yapılması gerekmektedir. Politika düzenli olarak en az yılda bir defa gözden geçirilmelidir. Politika ile ilgili gözden geçirme, geliştirme ve değerlendirmelerin kimin tarafından, hangi aralıklarla yapılacağı belirlenmeli ve dokümanda yer almalıdır. Bunun dışında, bilgi güvenliği uygulama süreçlerindeki değişiklikler, ortaya çıkabilecek yeni yasal düzenlemeler ve teknik değişikliklere göre de politikanın düzenlenmesi gerekmektedir. Her iki durumda da, yapılan gözden geçirme ve güncellemelerin kayıtlarının tutulması ve geliştirilen politikanın Banka Yönetimi tarafından tekrar onaylanıp, yürürlüğe konması gerekmektedir. Dokümanda politikanın gözden geçirme ve yayınlanma tarihleri bulunmalıdır. 3.11 Bilgi Güvenliği Politikasına Erişim Bilgi Güvenliği Politikası bankada bilgi güvenliğine yön veren temel doküman olduğundan dolayı bankanın tüm paydaşları tarafından kolayca erişilebilen ve bilinen bir doküman olmalıdır. Banka Yönetimi, bunu sağlamak için gereken tedbirleri almalı, çalışanlarının bankadaki bilgi güvenliği varlıklarının korunmasındaki sorumluluklarını bilmeleri ve anımsayabilmeleri amacıyla çalışanlara yönelik olarak bilgilendirme ve farkındalık eğitimleri düzenlemelidir. Bilgi güvenliği politikasının banka çalışanları tarafından uygulanması beklendiğinden dolayı tüm kullanıcılar tarafından anlaşılabilir ve net olmalıdır. 4 Bilgi Güvenliği Politikasının Merkez Bankasına İletilmesi Banka Yönetimi, Bilgi Güvenliği Politikasını yönetim kurulunda onaylandıktan sonra, yedi iş günü içinde Merkez Bankasına hem elektronik ortamda hem de matbu olarak bildirilmelidir. Politika her değiştirildiğinde aynı süreç tekrarlanmalıdır. KKTC MERKEZ BANKASI - Bankacılık Düzenleme ve Gözetim Müdürlüğü 4

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim