Bilgi Güvenliği Politikası için tıklayınız.

Transkript

10.YNT.POL.01
Sayfa: 1/48
BİLGİ GÜVENLİĞİ POLİTİKASI
Gizlilik Derecesi: Hizmete Özel
İÇİNDEKİLER
AMAÇ:.......................................................................................................................................3
KAPSAM :..................................................................................................................................3
TANIMLAR :..............................................................................................................................4
İLGİLİ DOKÜMANLAR:..........................................................................................................5
GENEL PRENSİP VE KURALLAR:.........................................................................................5
UYGULAMA.............................................................................................................................6
1. Desmer Bilgi ve İletişim Kurumsal Güvenlik Politikası....................................................6
1.1. Şirket Güvenlik Politikası:...........................................................................................6
1.
İşletme Politikası:.....................................................................................................6
2.
Risk Yönetimi...........................................................................................................6
3.
Yönetim Sorumlulukları:..........................................................................................6
4.
İç Disiplin:................................................................................................................6
5.
Eğitim:......................................................................................................................6
6.
Uyum:.......................................................................................................................7
1.2. BT Güvenlik Sorumlulukları........................................................................................7
1.
Genel İlkeler:............................................................................................................7
2.
İstisnalar:..................................................................................................................7
3.
Genel Yönetim:.........................................................................................................7
4.
Teknoloji Müdürlüğü...............................................................................................8
5.
Son Kullanıcılar ve Tüm Personel............................................................................8
6.
Teknoloji Birim Müdürü:.........................................................................................9
7.
Teknoloji Birim Yönetmeni ve Yönetmen Yrd.:......................................................9
8.
Teknoloji Birim Uzman ve Yardımcısı:...................................................................9
9.
Bilgi Güvenliği Politikası Sorumlusu:....................................................................10
10. Bilgi Güvenliği Komitesi:......................................................................................10
11. Sistem ve Teknoloji Servisi:...................................................................................11
12. Operasyon Müdürlüğü:...........................................................................................11
13. Eğitim Birimi:.........................................................................................................11
1.3. İşletme Bilgi Güvenliği Risk Değerlendirmesi..........................................................11
1.
Genel İlkeler:..........................................................................................................11
2.
Risk Değerlendirme:...............................................................................................12
3.
Yeniden Değerlendirme:.........................................................................................12
1.4. Personel Güvenliği.....................................................................................................12
1.
Genel İlkeler:..........................................................................................................12
2.
İşe Alma:.................................................................................................................13
3.
Çalışma Sırasında:..................................................................................................13
4.
Hizmet Sözleşmeleri:..............................................................................................13
5.
Sağlık ve Güvenlik:................................................................................................13
6.
Disiplin ve Askıya Alma:........................................................................................14
7.
İşten Çıkarma:.........................................................................................................14
1.5. Fiziksel Güvenlik.......................................................................................................14
1.
Genel İlkeler:..........................................................................................................14
Hazırlayan: Yönetim
Haz.Tarihi: 29.12.2010
Revizyon No /Revizyon Tarihi: 01 / 29.01.2016
Onay:
Onay:
10.YNT.POL.01
Sayfa: 2/48
2.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
1.6.
1.
2.
3.
7.
8.
9.
10.
11.
12.
13.
15.
16.
17.
18.
19.
20.
24.
25.
28.
1.7.
1.
2.
3.
4.
1.8.
1.
2.
3.
8.
9.
18.
1.9.
1.
2.
3.
Sistem Altyapısı İnşaatı ve Yeri:.............................................................................14
Yangın ve Patlamaya Karşı Koruma:......................................................................14
Suya Karşı Koruma:...............................................................................................15
Çevresel Kontrol:....................................................................................................15
Güç kaynakları:.......................................................................................................15
Fiziksel Erişim Kontrolleri:....................................................................................15
Ziyaretçiler:............................................................................................................16
Mühendisler ve Teknik Destek Ziyaretçileri:.........................................................16
Techizat:..................................................................................................................16
Kablolar:.................................................................................................................17
Çalışma Düzeni ve Ortamı:....................................................................................17
Artık Maddelerin ve Diğer Maddelerin İmhası:.....................................................17
Bilgisayar ve İşletim Sistemi Yönetimi......................................................................18
Genel İlkeler:..........................................................................................................18
Desmer Bilgi ve İletişim Teçhizat ve Sistemlerin Kullanımı:................................18
Dokümante Edilen Prosedür ve Kayıtlar:...............................................................18
Denetleme İzleri:....................................................................................................18
Bilginin Sınıflandırılması ve Korunması İlkeleri:..................................................19
Veri Yedekleme:......................................................................................................19
Yardımcı Programların Kullanımı:.........................................................................20
Kapasite Yönetimi:.................................................................................................20
Hata Kaydı Tutma:..................................................................................................20
Güvenlik Olayı Prosedürleri:..................................................................................20
Bilgisayar Yazılımı:................................................................................................20
Virüs Kontrolleri:....................................................................................................21
Şifre Kontrollerinin Uygulanması:.........................................................................21
Şifreleme Sistemleri ve Şifre Yönetimi:.................................................................21
Ağ Yönetimi...........................................................................................................22
İnternet Bağlantıları................................................................................................22
İşletme Verilerinin Teslimi ve İletimi.....................................................................24
Mal ya da Hizmet Satın Alma Sözleşmeleri:..........................................................24
Desmer Bilgi ve İletişim Tesisleri Dışındaki Teçhizatların Korunması:................25
Değişiklik ve Problem Yönetimi................................................................................25
Genel İlkeler:..........................................................................................................25
Planlama:................................................................................................................25
Acil Değişiklik Kontrolleri:....................................................................................26
Problem Yönetimi...................................................................................................26
Bilgisayar Sistemi Erişim Kontrolü:..........................................................................26
Genel İlkeler:..........................................................................................................26
Sorumluluklar ve Görev Dağılımı:.........................................................................26
Kullanıcı Kimlikleri:...............................................................................................27
Şifreler:...................................................................................................................27
Erişim Kontrol Sistemleri.......................................................................................28
Yükleme ve Bakım Şifreleri:..................................................................................29
Sistem Geliştirme ve Bakımı......................................................................................29
Genel İlkeler:..........................................................................................................29
Faaliyetlerin Bölünmesi:........................................................................................29
Güvenlik İhtiyaçları Analizi ve Tespiti:..................................................................29
Onay:
Onay:
10.YNT.POL.01
Sayfa: 3/48
4.
Test Etme:...............................................................................................................30
5.
Proje Verileri ve Belgelerinin Güvenliği:...............................................................30
1.10.
Teknoloji Müdürlüğü Acil Durum Planlaması......................................................30
1.
Genel İlkeler:..........................................................................................................30
2.
Planlama:................................................................................................................30
7.
Plan İçerikleri:........................................................................................................31
9.
Test ve Denemeler:.................................................................................................32
1.11.
Mesaj Sistemleri.....................................................................................................32
1.
Genel İlkeler:..........................................................................................................32
2.
Telefon Sistemleri:..................................................................................................32
3.
Faks:........................................................................................................................33
4.
Elektronik Posta:.....................................................................................................33
1.12.
Yasal ve Düzenleyici Mevzuat İle Uyum...............................................................34
1.
Genel İlkeler:..........................................................................................................34
2.
Verilerin Korunması:..............................................................................................34
3.
Yazılım ve Dokümanların Telif Hakları:................................................................34
2. Bilgi Teknolojileri Politikaları..........................................................................................35
2.1. Şifre Kullanım Politikası............................................................................................35
2.2. Veri Güvenliği Politikası............................................................................................36
1.
Veri Hassasiyeti:.....................................................................................................37
2.
Verinin Kritikliği:...................................................................................................38
3.
Veri Bütünlüğü:.......................................................................................................39
2.3. Yedekleme Politikası..................................................................................................39
2.4. Erişim Politikası.........................................................................................................40
2.5. İletişim Politikası........................................................................................................42
1.
Aranma Bağlantıları:..............................................................................................42
2.
Arama Bağlantıları:................................................................................................43
3.
Erişim Kontrolleri:..................................................................................................43
4.
Erişim Yollarının Kurulumu:..................................................................................43
5.
Üçüncü Grupların Erişimi:.....................................................................................44
2.6. Kullanıcı Destek Politikası:........................................................................................44
2.7. Proje ve Kalite Yönetimi Politikası:..........................................................................45
2.8. Şifreleme Politikası:...................................................................................................45
2.9. Ürün Geliştirme Politikası:.........................................................................................46
2.10.
İnternet Güvenliği Politikası:..................................................................................47
2.11.
E-Posta Politikası:...................................................................................................48
AMAÇ:
Bu talimatın amacı; Desmer Bilgi ve İletişim A.Ş. Bilgi Güvenliği Politikalarının dokümante
edilmesidir.
KAPSAM :
Bütün Şirket Personeli, Tedarikçi, Danışman ve Denetçiler.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 4/48
TANIMLAR :
Hesap Adı/Kullanıcı Tanımı: Bilgi Teknolojileri yetkili kullanıcılarının sistemlere erişim
için ihtiyaç duydukları özgün elektronik tanımlayıcı kimlik.
Şifre
:Sistem veya sistemlere erişimi sınırlandırmak için kullanılan erişim kontrol
mekanizması.
Şirket İçi
:Yönetilen Bilgi Sistemleri ağlarına giriş izni olan tüm Desmer çalışanları,
danışmanları ve sözleşmeli personeli.
Şirket Dışı
:Yönetilen Bilgi Sistemleri ağlarına giriş izni olan tüm servis ve hizmet
sağlayıcılar ile çalışanları.
Veri
:Var olan bir gerçeğin veya objenin (kişi, kredi kartı numarası, telefon
numarası, bakiye vb.) elektronik olarak temsili.
Bilgi
:Veri topluluğu.
Yazılım
:Bir bilgisayar sisteminde çalışmak üzere tasarlanmış ve geliştirilmiş bir
uygulamaya ilişkin program, prosedür ve bunlarla ilişkili dokümandan oluşan
grup. Yazılım firması veya iç kaynak kullanılarak geliştirilebilir veya satın
alınabilir.
Yönetilen Bilgi Sistemleri: Şirketimizde kullanılan tüm bilgi sistemlerini kapsamaktadır.
Firewall
:İç kaynaklara yetkisiz erişimleri engellemek amacıyla güvenilir bir ağ ile
herkese açık bir ağ arasına yerleştirilen bir yazılım donanım çözümü.
Protokol
:Bilgisayarların internet üzerinden nasıl iletişim kuracağını belirleyen kurallar
seti.
Şifreleme
:Bilgiyi gizli bir şifre veya anahtar olmadan okunamayacak (deşifre
edilemeyecek) bir kod haline getirme işlemi.
İnternet
:TCP/IP protokolü kullanan ve 70’lerin ‘ARPANET’ inden geliştirilmiş, geniş
iç içe geçmiş ağ topluluğu.
Dışarıdan Erişim
:Ağ kaynaklarına, erişilmek istenen bilgiye fiziksel olarak farklı yerde
bulunan bir modem veya site aracılığı ile erişme süreci.
Modem
:Veriyi telefon hatları, kablolar, fiber optikler veya mikro dalgalar gibi
ortamlardan geçebilecek duruma getirmek üzere kodlayan aygıt.
Geliştirilmiş Kullanıcı Doğrulama Sistemleri: Geri arama sistemleri, kimlik kartları (akıllı
kartlar), biometrikler (parmak izi okuyucuları, göz damarı okuyucuları, ses tanıyıcılar…) ve
diğer sabit şifreleme sistemlerinden daha fazla güvenlik sağlayan onaylanmış teknolojileri
kapsarlar.
Bilgi Teknolojileri Yönetimi: Genel Müdür ve Genel Müdüre bağlı Birim Müdürlerinden
oluşur.
Bilgi Teknolojileri Çalışanları: Şirketimiz Teknoloji Biriminde çalışanlar kast edilmektedir.
Penetrasyon Testi: Bilgi Sistemlerindeki güvenlik açıklarını tespit etmek amacıyla yapılan
testi ifade etmektedir.
Bilgi Güvenliği: bilginin korunması anlamına gelir:
Onay:
Onay:
10.YNT.POL.01
Sayfa: 5/48
Gizlilik - Bilgileri sadece yetkili şahıslara ve işletme işlemleri için
açıklamak,
b) Bütünlük - Bilginin doğru ve tam olmasını sağlamak,
c) Kullanılabilirlik – Bilginin ve bilgi sistemlerinin zamanlama açısından
uygun ve gereken şekilde erişilebilirliğini ve kullanılabilirliğini sağlamak.
a)
Ayrıca teçhizat, yazılım ve diğer bilgi teknolojisi varlıklarının korunması anlamına da gelir.
İLGİLİ DOKÜMANLAR:
GENEL PRENSİP VE KURALLAR:
1.
Bilgi, diğer önemli ticari varlıklar gibi, bir kurum için değeri olan, bu nedenle uygun
olarak korunması gereken varlıktır. Bilgi güvenliği, bilgiyi, ticari sürekliliği sağlamak,
ticari kayıpları en aza indirmek ve ticari fırsatların ve yatırımların dönüşünü en üst
seviyeye çıkartmak için geniş tehlike ve tehdit alanlarından korur.
2.
Bilgi güvenliği, politikaları, uygulamaları, yöntemleri, örgütsel yapıları ve yazılım
fonksiyonları gibi bir dizi uygun denetimi gerçekleştirme aracılığıyla sağlanır. Bu
denetimler, Şirketin, belirli güvenlik hedeflerinin karşılandığını garanti altına almak için
kurulmalıdırlar.
3.
Teknik olanaklar aracılığıyla ulaşılabilen güvenlik sınırlıdır ve uygun yönetim ve
yöntemlerle desteklenmelidir. Bu amaca yönelik denetimlerin özenli bir şekilde
planlanması ve detayların dikkate ele alınması gerekmekte ve bilgi güvenliğinin
yönetimi tüm çalışanların katılımına ihtiyaç duymaktadır. Aynı zamanda tedarikçilerin,
müşterilerin ve ortakların da katılımına gereksinim duyulur.
4.
Bilgi güvenliğinin sağlanmasında kullanılması gereken unsurlar aşağıda belirtilmiştir;
4.1. İş hedeflerini yansıtan Bilgi Güvenliği Politikası,
4.2. Yönetimin katılımı ve desteği,
4.3. Bilgi güvenliği sorumluluklarının ayrılması,
4.4. Bilgi güvenliği öğretimi ve eğitimi,
4.5. Güvenliğe bağlı olayları raporlama,
4.6. İş sürekliliği planlarının geçerlilik kontrolü.
5.
Anlam karışıklıklarını önlemek amacıyla, Desmer Bilgi ve İletişim’in tümünde gerekli
olan bilgi güvenlik kontrollerini açık bir şekilde belirtmek için tüm kural koyucu
ifadelerde gereklilik kipi kullanılmıştır.
6.
Desmer Bilgi ve İletişim’de uygulanan kontrollerin, ilgili maliyet ve kaynakların
işletme riskleri ve ticari riskler ile orantısal ve uygun olması gerekmektedir. İşletme
riski ile Desmer Bilgi ve İletişim’in yönetim hedefleri arasındaki dengenin sağlanması
için bu Politika Talimatının uygulanması gerekmektedir.
7.
Bu Politika Talimatının en üst düzeyde uygulanmasının temel sorumluluğu Teknoloji
Müdürlüğü yönetimine dayanmaktadır. Bununla birlikte, bilgi güvenliği teçhizat ve
sistemlerinin kullanımından sorumlu tüm yönetim fonksiyonları, kontrolleri altındaki
kaynakların ve işlemlerin sorumluluğunu paylaşmaktadır. Bu belgede, yönetim kelimesi
genel anlamda kullanılmıştır.
8.
Bu Politika Talimatı yıllık olarak incelenmeli ve gerekli olursa yeniden
yayımlanmalıdır. Değişiklik teklifleri, gerekçeleri ile birlikte Teknoloji Müdürlüğü’ne
iletilmelidir.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 6/48
9.
10.
Desmer Bilgi ve İletişim çalışanları, sözleşmeli personel ve Desmer Bilgi ve İletişim
adına çalışma yürüten servis ve hizmet sağlayıcıları, Bilgi Güvenliği Politika Talimatını
okumalı ve uygulamalıdır.
Bu Talimatın bilinçli olarak ihlal edilmesi, uygulama bölümünde yer alan kurallara tam
olarak uyulmaması veya bu kuralların uygulanmaması durumunda Desmer Bilgi ve
İletişim çalışanları Personel Komitesi’ne sevk edilecektir.
UYGULAMA
1.
Desmer Bilgi ve İletişim Kurumsal Güvenlik Politikası
1.1. Şirket Güvenlik Politikası:
1.
İşletme Politikası:
1.
Çalışanları, müşterileri ve Şirketi BT güvenliğindeki hatalardan kaynaklanacak
zararlardan korumak amacıyla kontroller uygulanmalıdır.
Meydana gelebilecek BT hatalarının az yaşanması ve yaygın olmaması, Şirket’e
minimum etkisi olması, kısa sürmesi ve hızlı ve kalıcı olarak çözülmesi sağlanmalıdır.
2.
2.
Risk Yönetimi
1.
BT güvenlik kontrollerine yönelik kaynak harcamaları; risk altındaki bilginin ve diğer
varlıkların işletme değeriyle, muhtemel güvenlik ihlallerinden doğabilecek işletme
zararlarıyla dengeli ve bunlara uygun olmadır.
İşletme riskleri ve bilgi güvenlik kontrolleri, değişen işletme ihtiyaçlarına ve
önceliklerine göre gerektiğinde gözden geçirilmelidir.
2.
3.
Yönetim Sorumlulukları:
1.
Yönetim, BT güvenlik kontrollerine ilişkin sorumlulukları detaylı olarak tespit
etmelidir.
4.
İç Disiplin:
1.
Desmer Bilgi ve İletişim BT güvenlik standartları sürekli olarak gözlemlenmeli ve bu
konudaki herhangi bir ihlal takip edilmelidir.
5.
Eğitim:
1.
İşletme ihtiyacına bağlı olmak üzere, çalışanlar için uygun bilgi güvenliği
bilinçlendirme ve eğitim programları düzenlenmelidir. Kullanıcılar, güvenlik
yöntemlerinde ve bilgi işlem araçlarının doğru kullanımında, olası güvenlik risklerini
azaltmak için eğitilmelidirler.
Şirket’in tüm çalışanları ve ilgili yerlerde, üçüncü taraf kullanıcılar, organizasyona ait
politika talimatlarıyla ve yöntemlerle ilgili uygun eğitim almalıdırlar. Bu eğitim, bilgiye
veya hizmetlere erişimi tayin etmeden önce, güvenlik gereklerini, yasal sorumlulukları
ve iş denetimlerinin yanı sıra, oturuma giriş yöntemleri, yazılım paketlerinin kullanımı
gibi bilgi işlem araçlarının doğru kullanımını içermelidir.
2.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 7/48
6.
Uyum:
1.
Desmer Bilgi ve İletişim, Bilgi Güvenliği Politikası Talimatı, ilgili mevzuat ve
düzenlemelerle uyumlu olmalıdır. Bilgi sistemlerinin güvenlik standartları ile uyumu
izlenmelidir.
1.2. BT Güvenlik Sorumlulukları
1.
1.
2.
1.
3.
1.
Genel İlkeler:
Kişisel varlıkların korunması ve belirli güvenlik süreçlerinin yürütülmesi için
sorumluluklar açıkça tanımlanmalıdır. Tüm yöneticiler ve personel, kontrolleri altındaki
BT kaynaklarının ve varlıklarının güvenliğini kendilerine verilen yönergeler ve
eğitimler doğrultusunda koruma sorumluluğunu taşımalıdır. BT güvenlik kontrollerinin
uygulanması, işletilmesi ve idare edilmesine yönelik sorumluluklar açık bir şekilde
tanımlanmalıdır. Görevler ayrılığı ilkesine göre sorumlular, iç kontrol düzeyini kabul
edilemez bir şekilde zayıflatacak durumlarda, kendileriyle uyuşmayan görevlerden
ayrılmalıdır.
İstisnalar:
Eğer yönetim bu standartların herhangi birini uygulamamaya karar verirse:
1.1. Bunların yerini tutacak uygun kontrolleri tasarlanmalı ve uygulamalıdır.
1.2. Sonuç olarak ortaya çıkacak işletme riski artışlarını tespit etmek ve işletmenin
bunu kabul ettiğini açıkça dokümante etmek için Şirket üst düzey yönetimiyle
istişare etmelidir.
1.3. Dokümante edilen risk değerlendirmeleri de dahil olmak üzere, ilgili işletme
riskleri ışığında alınan kararları ve atılan adımları yeterli şekilde haklı çıkaracak
bilgiler dokümante edilmelidir.
Genel Yönetim:
Şirket yönetimi aşağıdakilerden sorumludur;
1.1. Kontrolü altındaki bilgisayar teçhizatlarının, sistemlerinin ve verilerinin doğru
şekilde kullanılmasını, muhafaza edilmesini ve korunmasını sağlamak,
1.2. İşletme sorumlulukları ile ilgili BT güvenlik risklerinin yeterli bir şekilde
değerlendirilmesini ve yönetilmesini sağlamak,
1.3. Bu standartlara ve dokümante edilmiş ilgili yönetmelik ve talimatlara uygun
olarak BT güvenlik kontrollerinin uygulamasını sağlanmak,
1.4. BT güvenlik sorumluluklarını, iş tanımları ile hedefler ve önlemlere gerektiği
şekilde dahil etmek;
1.5. Personel sistem erişim haklarının işletme ihtiyaçları ile uygun olmasını sağlamak;
1.6. Çalışanların günlük BT güvenlik uygulamalarının önemini kavramalarını
sağlamak ve mevzuat, düzenleme, telif hakları ve sözleşmelerin ilgili yönleri de
dahil olmak üzere, sorumlulukları ile uygun ve gerekli BT güvenlik eğitimini
alınmasını sağlamak;
1.7. Hassas görevleri ayırmak ve gerekli yerlerde ikili kontrol prosedürlerini
uygulamak;
1.8. BT güvenliğindeki önemli hataların zamanında yönetime bildirilmesini sağlamak.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 8/48
4.
1.
2.
5.
1.
Teknoloji Müdürlüğü
Teknoloji Müdürlüğü, bilgi güvenliği yönetiminin tek noktadan sağlanmasından ve
diğer birimlerle koordinasyondan sorumludur.
Teknoloji Müdürlüğü’nün Bilgi Güvenliği ile ilgili sorumlulukları aşağıdaki gibidir;
2.1.
Organizasyonun bilgi varlıklarının korunması faaliyetlerini koordine etmek,
2.2.
Desmer Bilgi ve İletişim, BT güvenlik önceliklerini belirlemek,
2.3.
Bütün Desmer Bilgi ve İletişim, Bilgi ağını şüpheli olayları tespit etmeye
yönelik takip etmek,
2.4.
Erişim hakları taleplerini Bilgi Güvenliği Politikasına uygunluğu açısından
değerlendirmek ve onaylamak,
2.5.
Bütün BT projelerinde güvenlik danışmanlığı yapmak,
2.6.
BT Risk Yönetimi faaliyetlerini gerçekleştirmek,
2.7.
Güvenlik ihiyaçlarının belirlemek,
2.8.
Desmer Bilgi ve İletişim, Bilgi Güvenliği Politikası Standartlarını geliştirmek,
incelemek ve korumak,
2.9.
BT güvenlik ürünleri ve hizmetlerinin seçiminde ve temininde tavsiyede
bulunmak,
2.10.
Bilgi Güvenliği Politikası Talimatının uygulanmasını koordine etmek,
2.11.
Diğer birimlere güvenlik stratejileri, altyapıları, politika talimatları,
prosedürleri, standartları ve ihtiyaçları hakkında yol göstermek ve gerektiğinde
yardım etmek,
2.12.
Kuruma, bilgi güvenliği ve bilinçlendirme eğitimleri vermek ve diğer
birimlerle koordinasyonlarını sağlamak,
2.13.
Gerektiğinde bilgi güvenliği ihlallerini araştırmak,
2.14.
Desmer Bilgi ve İletişim, politika talimat ve standartlarına uygun olarak BT
güvenlik testlerini yapmak,
2.15.
Gerektiğinde ve Şirket açısından haklı gerekçeler bulunduğunda, Desmer Bilgi
ve İletişim standartlarına ek olarak yerel BT güvenlik standartları geliştirmek
ve bunları uygulamak,
2.16.
BT eğitimi ile bağlantılı olarak BT güvenlik eğitimi sağlamak,
2.17.
Şirket’in risklerine uygun olarak, etkisini sürekli olarak gösterebilmesi için,
kurulan BT güvenlik kontrol sistemini takip altında tutmak,
2.18.
BT güvenlik kontrollerinin tasarımını, seçimini ve uygulanmasını sağlamak,
Son Kullanıcılar ve Tüm Personel
Son kullanıcılar ve tüm personel aşağıdakilerden sorumludur;
1.1.
Onaylanmış güvenlik talimatlarına ve prosedürlerine ve kişisel hedeflerde ve iş
tanımlarında belirtilen özel güvenlik sorumluluklarına uymak.
1.2.
Kişisel şifreleri gizli tutmak ve erişim haklarının başkaları tarafından
kullanılmasını önlemek.
1.3.
Desmer Bilgi ve İletişim, rehber ilkeleri uyarınca doğrudan kontrolleri altında
bulunan bilgisayarların, diğer teçhizatların ve işletme verilerinin güvenliğini
sağlamak.
1.4.
Şifrelerin teşhir edildiği yönündeki şüpheler de dahil olmak üzere, güvenlik
ihlali şüphelerini ve güvenlik kontrolleri ile ilgili olarak şüphelenilen
zayıflıkları birim yönetimine ya da Teknoloji Müdürlüğü’ne bildirmek.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 9/48
1.5.
6.
1.
7.
1.
8.
1.
İş devamlılığı ve olağanüstü durum planlarının uygulanmasına ve test
edilmesine yardımcı olmak.
Teknoloji Birim Müdürü:
Teknoloji Yöneticisinin sorumlulukları aşağıdaki gibidir:
1.1.
Bilgi varlıklarının güvenliklerini tehlikeye düşürecek önemli değişikliklerin
izlenmesi,
1.2.
Bilgi Güvenliğinin iyileştirilmesi için yönetime önerilerde bulunulması,
1.3.
Birim çalışmalarının yönetilmesi ve denetlenmesi,
1.4.
Bilgi Güvenliğine karşı yapılan saldırıların önceden tespit edilmesi ve acil
yardım oluşturulması için gerekli düzenlemelerin yapılması,
1.5.
Yeni / devam eden BT veya BT dışında kalan projelerin güvenlik ihtiyaçlarının
ve standartlarının karşılanmasının sağlanması,
1.6.
Kurumsal güvenliğin sağlanabilmesi için, Bilgi Güvenliği Politikası’nın ve
prosedürlerinin gözden geçirilmesi ve güncellenmesi,
1.7.
Kurumsal güvenlik stratejilerinin, politika talimatlarının, prosedürlerinin ve
ihtiyaçlarının belirlenmesi,
1.8.
Güvenlik analiz çalışmalarının koordinasyonlarının sağlanması,
Teknoloji Birim Yönetmeni ve Yönetmen Yrd.:
Teknoloji Birim Yönetmeni ve Yönetmen Yrd. sorumlulukları aşağıdaki gibidir;
1.1.
Bilgi Güvenliği Yöneticisinin aktivitelerinin desteklenmesi,
1.2.
İhtiyaç duyulan güvenlik teknolojilerinin tespit edilmesi, değerlendirilmesi ve
tavsiye edilmesi,
1.3.
Güvenlik altyapısının ve uzaktan erişim sağlayan araçların tasarlanması,
uygulanması ve test edilmesi süreçlerine katılınması,
1.4.
Kuruma alınan yazılım ve donanımların, organizasyonun güvenlik yapısına
uygun hale getirildiğinin tespit edilmesi,
1.5.
Güvenliği ilgilendiren konularda ilgili birimlere güvenlik konusunda
danışmanlık ve desteğin verilmesi,
1.6.
Teknik güvenlik çözümlerinin tasarlanması ve uygulama süreçlerine iştirak
edilmesi,
1.7.
Çağrı merkezi tarafından yapılan müşteri görüşmelerinin güvenli şekilde kayıt
altında tutulması ve gerektiğinde erişebilirliğin sağlanması.
1.8.
444 hatların sağlıklı çalışmasının sağlanması.
Teknoloji Birim Uzman ve Yardımcısı:
Teknoloji Birimi Uzman ve Yardımcılarının sorumlulukları aşağıdaki gibidir:
1.1.
Güvenlik mekanizmalarının doğru şekilde işletildiğinin temin edilmesi için
izlenmesi,
1.2.
Güvenlik mekanizmaları ( Firewalls, IPS, Database Archive Logs, vs)
konusunda bilirkişi sıfatıyla hareket edilmesi,
1.3.
Kurumsal güvenlik politika talimatlarına uyulduğunun temin edilmesi amacıyla
sistem zayıflık testlerinin yapılması ve saldırı tespit sistemlerinin (IDS/IPS)
izlenmesi,
1.4.
Kullanılan sistemlerin kurumun güvenlik politika talimatına uygun olarak
işlediğinin tespit edilmesi için güvenlik testlerinin yapılması,
Onay:
Onay:
10.YNT.POL.01
Sayfa: 10/48
1.5.
Erişim haklarının yönetilmesi, kullanıcı hakları ihlaliyle ilgili raporların
üretilmesi ve yönetimin anlayacağı hale getirilmesi,
1.6.
Bilgi güvenliği politikası talimatlarında meydana gelen ihlallerin araştırılması
için bilgi güvenliği yöneticisine raporlamaların yapılması,
1.7.
Sistem kullanıcılarına bilgi güvenliği konusunda tavsiyede bulunulması ve
destek verilmesi,
1.8. Bilgi Güvenliği Politikası doğrultusunda kullanıcı tanımlamalarının yapılması,
sistemden silinmesi, kullanıcı şifrelerinin yeniden yaratılması ve izlenmesi,
1.9.
Veri güvenliğinin sağlanması ve sınıflandırılması için gerekli kontrollerin
uygulanması,
1.10.
Sistemlerde yetkilendirme işlemlerinin gerçekleştirilmesi,
1.11.
Kullanıcı profillerinde meydana gelen değişikliklerin uygulanması.
9.
1.
10.
Bilgi Güvenliği Politikası Sorumlusu:
Bilgi Güvenliği Politikasının hazırlanması ve güncellenmesi görevi, Teknoloji Müdürü
tarafından yerine getirilir.
Bilgi Güvenliği Komitesi:
1.
Bilgi güvenliği, yönetim takımının tüm bireylerince paylaşılan bir iş sorumluluğudur.
Güvenlik öncelikleriyle ilgili açık bir yönlendirmenin ve görünür yönetim desteğinin
olduğunu garanti etmek amacıyla oluşturulmuştur. Bilgi Güvenliği Komitesi; Genel
Müdür, Teknoloji Müdürü ve Yönetmeni, Operasyon Müdürü ve Yönetmeni’nden
oluşur. Başlıca görevleri;
1.1.
Bilgi güvenliği politika talimatlarının ve tüm sorumlulukların gözden
geçirilmesi ve onaylanması;
1.2.
Büyük tehditlere karşı bilgi varlıklarının işlenmesinde önemli değişikliklerin
gözlemlenmesi;
1.3.
Bilgi güvenliğini artırmak için önceliklerin gözden geçirilmesi,
1.4.
Güvenlik stratejileri, mimarisi, politika talimatı, prosedürleri ve ihtiyaçlarının
oluşturulması için birlikte çalışılması,
1.5.
Bilgi Güvenliği ile ilgili sorumlulukların tayin edilmesi,
1.6.
Bilgi Güvenliği politika talimatı, prosedürleri, stratejileri ve ihtiyaçlarının
bölüm yöneticileriyle paylaşılması doğrultusunda bilgi güvenliği konusunda
bilinçlendirmenin teşvik edilmesi,
1.7. Bilgi Güvenliği faaliyetleriyle ilgili risklerin ve güvenlik açıklarının
değerlendirilmesi,
1.8. Riskler için kabul edilebilirlik seviyelerinin belirlenmesi,
1.9. Güvenlik açıkları ve risklerini azaltmaya yönelik çalışmalara ve projelere karar
verilmesi,
1.10.
Bilgi Güvenliği Risk haritasının onaylanması,
1.11.
Şekerbank tarafından yapılan Penetrasyon testi ve güvenlik denetimi
faaliyetlerinin takip edilmesi,
2.
Komite yılda en az iki kez toplanır.
3.
Komitenin sekreteryası Teknoloji Müdürlüğü veya Operasyon Müdürlüğü tarafından
yürütülür.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 11/48
11.
1.
12.
1.
13.
1.
Sistem ve Teknoloji Servisi:
Sistem ve Teknoloji Servisinin Bilgi Güvenliği ile ilgili sorumlulukları aşağıdaki
gibidir;
1.1.
Düzenli aralıklarla yapılan network ve sistem açıklarının tespit testleri, saldırı
tespit sistemlerinin (IDS/IPS) kurulması konularında Yönetime ve çalışanlarına
gerekli yardım ve desteğin verilmesi,
1.2.
Network güvenliğini ilgilendiren durumların tespit edilmesi ve çözülmesi
konularında destek verilmesi,
1.3.
Network donanımlarının kurumsal güvenlik politika talimatlarına ve kurulum
dokümanlarına uygun şekilde kurulmasının sağlanması,
1.4.
Verilerin yedeklenmesi, olağan üstü durum ve acil durum talimatlarının
belirlenmesi ve uygulanması,
1.5.
Güvenlik altyapısı, uzaktan erişimlerin belirlenmesi ve uygulanmasının
sağlanmasına yardım edilmesi,
1.6.
Virüslere karşı korunmak için gerekli faaliyetlerin yerine getirilmesi,
1.7.
Network yedeklemesi ve gerektiğinde yedeklerin geri alınması süreçlerinin
yönetilmesidir.
1.8.
Yazılım ve donanım güvenliğini tehlikeye atan olayların tespit edilmesi ve
çözülmesi konularında destek verilmesi,
1.9.
Servis sorumluluğunda olan yazılımların, donanımların kurumsal güvenlik
politika talimatlarına ve kurulum dokümanlarına uygun şekilde kurulmalarının
sağlaması,
1.10.
Çağrı merkezi sesli yanıt sistemi yazılımı olan Interactive Intelligence
yazılımının devamlığının sağlanması.
Operasyon Müdürlüğü:
İnsan Kaynakları Servisi’nin Bilgi Güvenliği ile ilgili sorumlulukları aşağıdaki gibidir:
1.1. Kullanıcıların sistemlerde yaratılması ve silinmesi işlerinin başlatılması,
1.2. Güvenlik kontrollerinin işe alım sürecinde başlatılması ve uygulanması,
1.3. Personelin işten çıkarılma durumunda sürecin zamanında başlatılması,
Eğitim Birimi:
Eğitim Birimi, güvenlik bilinçlendirilmesi sağlamak amacı ile organizasyonel güvenlik
eğitimleri ve benzeri çalışmaları Teknoloji Müdürlüğü ile birlikte çalışarak planlamak
ve gerçekleştirmek ile sorumludur.
1.3. İşletme Bilgi Güvenliği Risk Değerlendirmesi
1.
Genel İlkeler:
1.
Risk değerlendirmesinin hedefleri; Şirket perspektifindeki bilgi güvenliği risklerini
tanımlamak ve önceliklendirmek ve bunları işletme yönetimi için kabul edilebilir bir
düzeye indirmek için gereken eylemleri planlamaktır. Dolayısıyla, güvenlik kontrol
gerekliliklerini ve yönetim önceliklerini açıklığa kavuşturmak amacıyla, belirsizlikler
ortaya çıktığında ve mutabakat sağlanamadığında risk değerlendirmesi uygulanmalıdır.
Güvenlik kontrolleri için gerçekleştirilecek kaynak harcamaları aşağıdakilerle dengeli
ve uyumlu olmalıdır:
2.1. Önemli bir bilgi güvenlik ihlalinden doğabilecek muhtemel işletme zararı;
2.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 12/48
2.2. Ortaya çıkabilecek tehditler ile mevcut tamamlayıcı işletme kontrolleri ile teknik
kontroller dikkate alınarak hesaplanacak olan böyle bir ihlalin gerçekçi bir
olasılığı.
2. Risk Değerlendirme:
1.
2.
Uygun ve yararlı olduğu durumlarda risk yönetim teknikleri, bir bütün olarak tüm bilgi
sistemlerine ya da tek tek sistem bileşenlerine ya da hizmetlerine uygulanabilir.
Risk değerlendirme işlemi aşağıdaki hususlar dikkate alınarak gerçekleştirilmelidir:
2.1. Söz konusu bilginin, teçhizatın, yazılımın ve bilgi sistemi varlıklarının işletme
için önemi,
2.2. Söz konusu bilgi sistemleri ile desteklenen işletme faaliyetleri, ürünleri ve
hizmetleri,
2.3. İşletme bilgileri ile ilgili olarak meydana gelebilecek önemli bir ihlalin Desmer
Bilgi ve İletişim müşterileri ve ortaklarında yol açacağı muhtemel işletme zararı,
2.4. Bu zararların işletmeye muhtemel etkileri arasında mali kayıplar, Desmer Bilgi ve
İletişim’in sektör ve müşterileri arasında itibar kaybı, kötü reklam ve muhtemel
sözleşme, mevzuat ve yasa ihlalleri,
2.5. Mevcut kontroller ve ortaya çıkacak tehditler göz önüne alınarak böyle bir ihlalin
yaşanabilmesine yönelik gerçekçi olasılık, sistemin kullanıldığı ve işletildiği
ortam ve söz konusu bilginin etkili bir şekilde kullanılabileceği ömrü;
2.6. İşletme risklerini kabul edilebilir bir düzeye indirmek için gereken ek kontroller;
3.
2.7. Uygun ek kontrollerin tesis edilebilmesi ve işletilebilmesi için gereken eylemler.
Eğer yönetim bu değerlendirme sonucu tanımlanan işletme risklerinin işletme açısından
kabul edilemez olduğunu ve risklerin daha etkili yöntemler yoluyla yeterli düzeyde
önlenemeyeceğini ya da düşürülemeyeceğine karar verirse, Bilgi güvenlik iyileştirme
planları hazırlanmalıdır ve uygulanmalıdır.
3.
Yeniden Değerlendirme:
1.
Değişen işletme ihtiyaçlarını, tehditleri ve öncelikleri dikkate almak amacıyla, genel
Bilgi güvenlik riskleri yıllık olarak incelenmelidir. Bu incelemelerin sonuçları
kaydedilmeli ve kontroller ile ilgili olarak planlanan gerekli iyileştirmeler uygun bir
şekilde hazırlanmalıdır.
1.4. Personel Güvenliği
1.
Genel İlkeler:
1.
Bilgi güvenlik kontrollerinin etkin bir şekilde yapılabilmesinde personelin önemli bir
rolü vardır. Yönetim, personelin gerektiği şekilde katkıda bulunabilmesi için yeterli
derecede donatılması ve denetlenmesini sağlamalıdır.
Güvenlik sorumlulukları işe alma sırasında belirtilir, sözleşmeler içinde yer alır ve bir
kişinin işe alınma sürecinde gözlenir. Bilgi işlem araçlarının tüm kullanıcıları ve üçüncü
taraf kullanıcılar bir gizlilik anlaşması imzalamalıdırlar.
2.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 13/48
2.
İşe Alma:
1.
Dürüst olmayan Şirket personelinden kaynaklanacak riskleri en aza indirgemek için, işe
alma prosedürleri uygulanmalıdır. İş teklifinde bulunulmadan önce, söz konusu adayın
rolüne uygun olduğu ölçüde;
1.1. Referansları göz önüne alınmalıdır,
1.2. Özgeçmişi (iş deneyimi) ve nitelikleri teyit edilmelidir,
1.3. Özellikle hassas görevler için geçerli olmak üzere daha ayrıntılı teyit kontrolleri
yapılmalıdır.
Oldukça fazla yetki gerektiren pozisyonlardaki personel için bu tür kontroller belli
aralıklarla tekrarlanmalıdır.
Benzer bir eleme süreci anlaşmalı taraflarla ve geçici personel için de
gerçekleştirilmelidir. Bu elemanlar bir acente aracılığıyla sağlanıyorsa, personel için
acente ile yapılan sözleşme, acentenin sorumlulukları ve eğer eleme sonuçlandırılmazsa
veya sonuçlar şüpheye veya endişeye sebep olursa, takip edeilmesi gereken ihbar
yöntemlerini içermelidir.
2.
3.
3. Çalışma Sırasında:
1.
2.
3.
4.
5.
6.
Çalışanlar Desmer Bilgi ve İletişim, Bilgi Güvenliği Politikası’ndan haberdar olmalıdır
ve bunları anladığını kabul ettiğini imzasıyla beyan etmelidir.
İlgili durumlarda, görev tanımları özel BT güvenlik sorumluluklarını tanımlamalıdır.
Önemli kontrol işlemlerinin uygulanmasında, yönetim, belirli bireylerin bilgi ve
becerilerine aşırı güven duymaktan kaçınmalıdır.
Yönetim, çalışanların sistem erişim yetkilerini dokümante etmelidir.
Bir çalışan, bir bölümden bir başka bölüme aktarılırken, bu aktarma işini yürüten
yönetici, çalışana bağlı mevcut tüm sistem erişim haklarının ve diğer güvenlik
kontrollerinin iptal edilmesini sağlamalıdır. Yeni bölümde yeni kurallar tespit
edilmelidir.
Yönetim, hassas sistemlere erişim için yetkilendirilmiş yeni ve deneyimsiz personel için
gereken gözetimleri değerlendirmelidir. Tüm personelinin çalışmaları, kıdemli personel
tarafından belirli zaman dilimlerinde gözden geçirilmeli ve onaylama yöntemlerinden
geçirilmelidir.
4. Hizmet Sözleşmeleri:
1.
2.
Şirket mal ve hizmet temin edilmesi için sözleşme imzalayan personelin, ilgili Desmer
Bilgi ve İletişim güvenlik standartlarına ve politikalarına uyması zorunlu kılınmalıdır.
Çalışanlar işe başlamadan önce bilginin gizli veya sır olduğunun belirtilmesi için
gizlilik anlaşması imzalamalıdırlar. Geçici personel ve üçüncü taraf kullanıcılar da, bilgi
işleme araçlarına erişim verilmeden önce güvenlik anlaşması imzalamadırlar. İşe alma
veya sözleşme koşullarında değişiklik olduğunda, özellikle personel Şirket’ten ayrılmak
üzere olduğunda veya sözleşmeler sona ermek üzere olduğunda gizlilik anlaşmaları
gözden geçirilmelidir.
5. Sağlık ve Güvenlik:
1.
Yönetim, bilgisayar teçhizatlarının kullanımı nedeniyle çalışanların sağlığını ve
güvenliğini güvence altına almak için gereken özeni göstermelidir ve ilgili mevzuat
hükümlerine uymalıdır.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 14/48
6. Disiplin ve Askıya Alma:
1.
Bilgi güvenlik kontrolleri ihmal edildiğinde veya yanlış uygulandığında, Desmer Bilgi
ve İletişim disiplin prosedürleri dikkate alınmalıdır ve yönetim bu konuda İnsan
Kaynakları’na her türlü yardımı sağlamalıdır. Bir çalışana karşı disiplin prosedürleri
uygulandığında, sorun yeterince çözüme kavuşturuluncaya kadar, yönetim, sistem
erişim haklarını ve ilgili güvenlik sorumluluklarını askıya almalıdır.
7. İşten Çıkarma:
1.
2.
Her ne sebeple ya da her ne durumda olursa olsun, çalışanın işten çıkarılacağı tebliğ
edildikten sonra, yönetim, ilgili durumlarda aşağıdaki hususları dikkate almalı ve
sağlamalıdır:
1.1. Sistem erişim haklarının ve diğer Desmer Bilgi ve İletişim sistemlerinin yetkisiz
kullanımına olanak tanıyacak fırsatları ortadan kaldırmak;
1.2. Desmer Bilgi ve İletişim bilgisayar yazılımı, teçhizatı, kılavuzları ve diğer
belgeleri kullanımdan almak ve güvence sağlamak;
1.3. Personelin görevine devam etmesine izin verilen durumlarda, olağan dışı bir
eylem ve davranışa karşı gözlem altında tutmak.
Yönetim, bu gibi durumlarda denetimi arttırma ihtiyacını göz önünde bulundurmalıdır.
1.5. Fiziksel Güvenlik
1.
Genel İlkeler:
1.
3.
Önemli teçhizatları içerisinde bulunduran özel amaçlı tesisler, normal ofis tesislerinin
gerektirdiğinden daha güçlü bir korunma gerektirir.
Önemli ve hassas ticari bilgi işleme araçları güvenli bir yere yerleştirilmeli, uygun
güvenlik mekanizmaları ve giriş denetimleriyle, tanımlanmış güvenli bir çevre
aracılığıyla korunmalıdır.
Sağlanan koruma, tanımlanmış risklerle orantılı olmalıdır.
2.
Sistem Altyapısı İnşaatı ve Yeri:
1.
3.
Sistem Altyapısı tesisleri, doğal afetlerden, yakınlardaki binalardan ve diğer tehditlerden
doğacak riskleri en aza indirgeyecek bir şekilde tasarlanmalıdır ve yerleri de buna göre
seçilmelidir.
Uygun bina, yangından korunma ve güvenlik ile ilgili olarak, ilgili yasal zorunluluklar
ve uygulama ilkeleri de dahil olmak üzere, uzmanların önerileri alınmalı ve bu
tavsiyelere uyulmalıdır.
Gerektiğinde, Sistem Altyapısı aşağıdaki koşulları en az düzeye indirgeyecek bir şekilde
tasarlanmalıdır ve yerleri de buna göre seçilmelidir.
3.1. Doğrudan kamu erişimi ve doğrudan araç erişimi;
3.2. Çevreden gelebilecek diğer tehlikeler;
3.3. Tesis girişlerinin sayısı ve ayrı olarak kontrol edilen teslim, yükleme ve bekletme
alanları;
3.4. Elektrik, su ve telekomünikasyon temini ile ilgili riskler.
7.
Yangın ve Patlamaya Karşı Koruma:
1.
Yangın ve patlamaya karşı alınacak önlemler şunlardır:
2.
2.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 15/48
1.1.
1.2.
1.3.
1.4.
1.5.
Yangından korunma önlemlerini tesis planlarına daha ilk aşamalarda dahil etmek;
Teçhizat imalatçılarının ilgili tavsiyelerini uygulamak;
Gerek duyulan el araçlarının yanında, mümkün ise günün 24 saati kesin olarak
kontrol edilecek otomatik yangın tespit ve söndürme sistemleri tesis etmek;
Uzman önerilerine göre yangın uyarı sistemlerini düzenli olarak test etmek ve bu
tip testleri kayıt altına almak.
Daha önceden programlanmış bir çalışma için gerekmedikçe, kırtasiye
malzemeleri ya da kağıt çöp gibi parlayıcı maddeleri, bilgisayar ya da malzeme
odalarından ya da yangın tehlikesi bulunan diğer yerlerden uzak tutmak.
8.
Suya Karşı Koruma:
1.
Teçhizatlar, taban ve tavan düzeyinde suya dayanıklı alarm sistemleri ve uygun drenaj
sistemleri yoluyla sudan gelecek zararlara karşı korunmalıdır.
9.
Çevresel Kontrol:
1.
İçerisinde bilgisayar, iletişim teçhizatı ve veri depolama araçları barındıran tesislerdeki
sıcaklık, nem ve havalandırma gibi çevresel faktörler, teçhizat imalatçıları tarafından
belirlenen teknik standartlara uygun olmalıdır. Gerektiğinde, çevresel kalite izlenmeli ve
uygun düzeltici önlemler alınmalıdır.
10.
Güç kaynakları:
1.
Elektrik kaynakları, teçhizat üreticileri tarafından belirtilen teknik standartlara uygun
olmalıdır. Gerektiğinde, kaynak kalitesi izlenmeli ve uygun düzeltici önlemler
alınmalıdır.
Şirket için çok büyük önem taşıyan sistemler için, yedek jeneratör gibi uygun alternatif
kaynaklar ve bir kesintisiz güç kaynağı (UPS) sağlanmalıdır. Alternatif güç kaynakları
düzenli olarak test edilmelidir.
2.
11.
Fiziksel Erişim Kontrolleri:
1.
Sistem Altyapısı tesislerinin ve personelinin fiziksel güvenliği, aşağıdaki kontroller
yoluyla sağlanmalıdır;
1.1. Teçhizatlar, daima izlenen ve içerisine sadece yetkili personelin geçmesine izin
verilen güvenli bölgelerde tutulmalıdır. Bu bölgelerin güvenlik derecesi, içindeki
varlıkların taşıdığı riske göre ayarlanmalıdır ve güvenli bölge boş bile olsa
korunmalı ve izlenmelidir.
1.2. Uygulanabilen durumlarda, otomatik fiziksel erişim kontrol sistemleri
kullanılmalıdır.
1.3. Erişim kontrolleri sadece yetkili personelin güvenlik bölgelerine erişebilmesine
olanak tanımalıdır. Bu tip erişimler sadece ihtiyaç duyulduğunda
gerçekleştirilmelidir.
1.4. Erişim yetkileri her yıl gözden geçirilmeli ve daha fazla ihtiyaç duyulmadığında
hemen iptal edilmelidir.
1.5. Çalışanlar, güvenlik bölgelerinde tanıtıcı kart taşımalıdır.
1.6. Uygulandığı yerlerde, dijital kilit şifreleri gizli tutulmalıdır ve periyodik olarak
değiştirilmelidir.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 16/48
12.
Ziyaretçiler:
1.
Tüm ziyaretçilerin Sistem Altyapısı bölgelerine ya da ofislerine gelişlerinde ve
karşılanmalarında uygulanacak prosedür şu şekilde olmalıdır;
1.1. Kontrol noktaları tek yerde oluşturulmalıdır.
1.2. Ziyaretçi karşılama işlemi, ziyaretçiler Sistem Altyapı tesislerine girmeden önce
1.3. Ziyaretçilerin kimlikleri, temsil ettikleri kuruluşlar ve ziyaret amaçları, kabul
edilmeden önce kesinlikle doğrulanmalı ve kaydedilmelidir.
1.4. Geliş ve ayrılış tarihleri ve saatleri kaydedilmelidir.
1.5. Ziyaret boyunca takılması zorunlu olacak farklı ziyaretçi yaka kartları sağlanmalı
ve yangın durumunda sığınılacak bölge ve güvenlik talimatları bildirilmelidir.
1.6. İşletme riskleri dolayısıyla, ziyaretçiler, ziyaretleri boyunca gözlenmeli ve kontrol
edilmelidir.
1.7. Güvenlik bölgelerine ziyaretçi girişi en az düzeye indirgenmelidir.
13.
Mühendisler ve Teknik Destek Ziyaretçileri:
1.
Mühendislik hizmeti ya da diğer teknik yardımı sağlayan ziyaretçiler için ilave önlemler
alınmalıdır. Yönetim, aşağıdaki hususların kontrolü yönündeki ihtiyacı göz önünde
bulundurmalıdır;
1.1. Bireyleri ve temsil ettikleri kuruluşları kapsayan uygun gizlilik anlaşmaları
imzalatılmalıdır. Mühendislerin gizli bilgilere erişimi mutlak derecede en düşük
düzeyde tutulmalıdır.
1.2. Mühendislik hizmeti amaçlı ziyaret prosedürleri, beklenen ziyaretçinin gideceği
bölgeye önceden bildirim yapılmasını da içermelidir.
1.3. Gerekirse, sistemlere ya da teçhizatlara mühendislerin erişiminden önce işletme
verileri yedeklenmelidir.
1.4. Mühendislik çalışmasının tamamlanmasının ardından, aşağıdaki durumları teyit
etmek amacıyla, gereken durumlarda, uygun kontroller yapılmalıdır;
1.4.1. Yetki verilen çalışmanın başarıyla tamamlanması.
1.4.2. Desmer Bilgi ve İletişim ile ilgili olmayan veri artıklarının kalmaması.
1.4.3. Yetkisiz sistem erişiminin meydana gelmemesi.
1.4.4. Desmer Bilgi ve İletişim verilerinin ve yazılımlarının çalışmadan önceki
durumda olması ya da tekrar aynı duruma getirilmesi.
1.4.5. PC teçhizatlarında virüs bulunmaması.
1.4.6. Tüm mühendislik sistemi erişim şifrelerinin değiştirilip iptal edilmesi.
1.5. Gizli işletme bilgileri içeren manyetik araçlar aşağıdaki koşul sağlanmadıkça
Desmer Bilgi ve İletişim’den çıkarılmamalıdır:
1.5.1. Öncelikle okunamaz hale getirilmelidir ya da Onaylı bir hizmet
kuruluşunun yetkili bir temsilcisine yazılı bir gizlilik anlaşması ile
verilmelidir.
14.
Techizat:
1.
Teçhizatların güvenliği, aşağıdaki genel önlemler yoluyla korunmalıdır;
1.1. Denetim dışı bırakıldığında kilitlenmeli ve güvence altına alınmalıdır. Veri
şifreleme cihazı gibi güvenlik teçhizatları daima güvenli kabinler içerisine
yerleştirilmelidir.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 17/48
1.2.
1.3.
1.4.
1.5.
Teçhizatlar, güvenlik bölgelerine gereksiz personel erişimini en aza indirgeyecek
şekilde konumlandırılmalıdır.
Ekran ve yazıcılar pencere yakınlarına yerleştirilmemeli ya da dışarıdan kolayca
görülebilecek yerlere konulmamalıdır.
Teçhizat odalarında yiyecek yeme, sıvı içilmesi ve sigara içilmesi
yasaklanmalıdır.
Prosedürler,
teçhizat
bakımının
üretici
tavsiyeleri
doğrultusunda
gerçekleştirilmesini sağlamalıdır.
15.
Kablolar:
1.
Mümkün olduğunda;
1.1. Elektrik ve telekomünikasyon kabloları tesislere yer altından ulaşmalıdır ve
alternatif tesislere de farklı bir rotadan ulaşan ayrı bir kaynak sağlanmalıdır.
1.2. Kablolar parazitleri ve kaza yolu ile veya kasıtlı olarak meydana gelebilecek
hasarları önleyecek şekildeki bir rotadan döşenmelidir.
16. Çalışma Düzeni ve Ortamı:
1.
Genel ofis bölgelerinin güvenliğinin sağlanması için aşağıdaki önlemler alınmalıdır;
1.1. Teçhizatlar kullanılmadığı zamanlarda, örneğin mesai sonunda, kapatılmalıdır ve
yetkisiz kullanıma karşı korunmalıdır.
1.2. Masaların, dolapların, kasaların ve diğer depolama araçlarının anahtarlarının
güvenli bir şekilde saklanması sağlanmalıdır. Dijital kilit kombinasyonlarının
kayıtları ve benzeri hassas bilgiler güvenli bir şekilde saklanmalıdır. Anahtarların
kullanımı ve güvenli bir şekilde kullanılması için ilgili prosedürler
uygulanmalıdır.
1.3. Belgeler, kağıtlar, disketler, tüm depolama aygıtları (CD, DVD, usb bellek, bellek
kartı) taşınabilir bilgisayar teçhizatları, mobil telefonlar ve benzeri kalemler mesai
saatlerinin dışında ve kullanılmadığında kilitli çekmecelerde veya dolaplarda
saklanmalıdır.
1.4. Acil durumlarda personelin binadan boşaltılması sırasında personel için
doğabilecek riskleri azaltmak ve şüpheli paketlerin aranması sırasında kolaylık
sağlanması için yerlerde kutular, koliler, kullanılmayan teçhizatlar, vs.
bulunmamalıdır.
1.5. Hassas ve sınıflandırılmış bilgi basıldığında yazıcıdan hemen temizlemelidir.
1.6. Kişisel bilgisayarlar ve bilgisayar terminalleri ve kritik yazıcılar, başıboş
olduklarında kullanıma açık olarak bırakılmamalıdırlar.
1.7. Gizli haberleşme kayıtları, gün sonu gerçekleştirilen toplama işleminden sonra
çöp kutularına atılmamalıdır. Gelen ve giden gizli bilgiler, gelişi güzel ya da
güvenli olmayan bir şekilde faks makineleri üzerinde bırakılmamalıdır.
17. Artık Maddelerin ve Diğer Maddelerin İmhası:
1.
Atık maddeler ve fazla teçhizatlar, Desmer Bilgi ve İletişim’in politika talimat ve
prosedürlerine uygun olarak güvenli bir şekilde yok edilmelidir. Özellikle;
1.1. Desmer Bilgi ve İletişim antetli kağıtlar ve şirket bilgileri içeren kağıtlar
(bilgisayar listeleme kağıdı da dahil olmak üzere) tesislerin dışında müsvedde
kağıt olarak kullanılmamalıdır.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 18/48
1.2. PC’ler, disketler ve CD ve DVD’ler de dahil olmak üzere, teçhizatlarda ve veri
saklama cihazlarında bulunan tüm kullanılmayan işletme verileri ve yazılımları
Desmer Bilgi ve İletişim tarafından silinmelidir. Gerekli görüldüğünde depolama
cihazları da fiziksel olarak imha edilmelidir.
1.3. İmha işleminden önce tüm Desmer Bilgi ve İletişim logoları ve antetleri
teçhizatlardan ve veri depolama cihazlarından silinmelidir.
1.6. Bilgisayar ve İşletim Sistemi Yönetimi
1.
1.
2.
3.
4.
5.
2.
1.
3.
1.
7.
1.
Genel İlkeler:
Desmer Bilgi ve İletişim’in bilgi sistemlerinin güvenli bir şekilde işlemesi, Şirket’in
varlıklarının korunması ve işletme başarısı için temel teşkil eder. Dolayısıyla, yönetim,
teçhizatların ve yazılımların doğru bir şekilde ve sadece yetki verilen işlemlerde
kullanılmasını temin etmelidir.
Bu standart, veri ve ses telekomünikasyon cihazları, sunucular, PC’ler ve diğer çalışma
cihazları gibi her türlü sistem ve uygulama için geçerlidir.
Desmer Bilgi ve İletişim çalışanları ve kullanıcıları, Teknoloji Müdürlüğü’nden izin
alınmadığı sürece, yönetilen bilgi sistemlerinde güvenlik araştırmaları yapmamalı ve
güvenlik mekanizmasını bozmaya çalışmamalıdır.
Şekerbanktaki Domain Controller'dan saat bilgisi alınarak eşzamanlılık sağlanır
Kullanıcıların kendi kod ve şifrelerinin kullanılmasından ya da kullanıcı kod ve
şifrelerinin başkası tarafından ısrarla istenmesinden şüphelenmeleri gibi ağ güvenliğini
tehlikeye atacak durumlarda derhal Teknoloji Müdürlüğü haberdar edilmelidir.
Desmer Bilgi ve İletişim Teçhizat ve Sistemlerin Kullanımı:
Desmer Bilgi ve İletişim teçhizatları ve sistemleri yetki verilen işletme amaçları için
kullanılmalıdır ve güncel envanterlere kaydedilmelidir.
Dokümante Edilen Prosedür ve Kayıtlar:
Tüm bilgisayar ve iletişim sistemlerinin işletimi ile ilgili prosedürler dokümante
edilmeli ve aşağıdaki hususları içermelidir;
1.1. Sistem açılışı ve kapanışı,
1.2. Sistem bakımı, temizliği ve teknik desteği,
1.3. Çalışma programları ve işletme,
1.4. Gizli bilgilerin korunması da dahil olmak üzere, dosya, veri ve çıktıların kullanım
listesi ve temel işletme veri dosyalarının bir envanterinin tutulması,
1.5. Veri yedekleme ve acil durum planları,
1.6. Hata giderme,
1.7. Güvenli atık imhası,
1.8. Tüm teçhizatların kullanımının ve işletiminin kaydı ve bağımsız bir şekilde
izlenmesi,
1.9. Belgelerin güvenli bir şekilde saklanması ve gizli olarak ele alınması,
Denetleme İzleri:
Gerektiğinde bir risk değerlendirmesi yapılarak, tüm önemli işletme olayları için
otomatik denetleme izleri tutulmalıdır. Denetleme izleri;
Onay:
Onay:
10.YNT.POL.01
Sayfa: 19/48
1.1.
1.2.
1.3.
1.4.
8.
1.
9.
1.
Gerektiğinde kullanıcı kimliklerini, tarihleri ve saatleri ve ilgili işletme verilerini
içermelidir.
Yetkisiz erişim ve işlemlere karşı korunmalıdır.
İşletme riskleri esas alınarak ve düzenleyici tarafından uygulanan, sözleşmeden
doğan ve diğer dış denetim mekanizmaları tarafından getirilen kontrol
zorunlulukları dikkate alınarak tespit edilen asgari bir süre boyunca korunmalıdır.
Muhtemel tehditler, yönetimin düzeltici girişimlerde bulunabilmesi için yeterli bir
süre tespit etmek amacıyla, risk değerlendirmesi yoluyla saptanan planlı bir esasa
göre izlenmelidir.
Bilginin Sınıflandırılması ve Korunması İlkeleri:
Desmer Bilgi ve İletişim bilgisayar sistemleri kullanılarak üretilen verilerin sınıflanması
ve korunması için dikkat edilecek hususlar, aşağıdaki gibidir;
1.1. Şirketin bilgisayar ortamlarında Şirket elemanları tarafından doğrudan girilen
veriler, işlem yapıldıkça otomatik olarak oluşan veriler, Şirket dışı kurumlardan
manyetik kayıt ortamlarında (teyp, disket, cd gibi) ve diğer depolama aygıtlarında
alınan veriler, Şirket dışı kurumlardan iletişim hatları aracılığıyla (internet) gibi
alınan verilerden oluşan bilgiler, Şirket’e aittir ve kullanıcılar tarafından gizlilik
derecesine bağlı olarak korunması önem taşır. Şirketin bilgileri önem derecesine
göre 5 ayrı grupta tanımlanmaktadır.
1.1.1. Yalnızca belirli yetkili elemanlar tarafından girişi, güncellemesi ve
görüntülemesi yapılabilen çok gizli bilgiler,
1.1.2. Yalnızca uygulamanın yürürlükte olduğu birim tarafından girişi,
güncellenmesi ve görüntülenmesi yapılabilen gizli bilgiler,
1.1.3. Girişi ve güncellenmesi belirli bir birim tarafından yapılabilen, ancak
Şirketin tüm birimleri tarafından görüntülenebilen kurum içine açık,
kurum dışına gizli bilgiler,
1.1.4. Girişi, güncellemesi, ve görüntülenmesi Şirketin tüm birimleri tarafından
yapılabilen ve Şirketin içinde herhangi bir gizlilik taşımayan kurum
dışına açık bilgiler,
1.1.5. Şirket çalışanlarının kendi kişisel bilgileri, Şirket için gizlilik derecesi
olmayan bilgilerdir.
1.2. Şirket’te üretilen bilgilerin Şirket izni olmaksızın başka yerlerde kullanılmaması
ve dağıtımının yapılmaması sağlanmalıdır.
1.3. Şirket’e ait gizli bilgilerin bulunduğu kaynaklar (çıktı, teyp, disket, CD gibi)
ihtiyaç sonrası faydalanılamaz şekilde imha edilmelidir.
Veri Yedekleme:
Yedekleme prosedürleri hazırlanırken aşağıdaki hususlar dikkate alınmalıdır;
1.1. Şirket faaliyetlerini ve acil durum planlarını desteklemek için tüm veri ve
yazılımlar zamanında hazırlanmalıdır.
1.2. Yedek veri ve yazılımların tüm nüshalarının doğru olarak dokümante edilmesini
ve acil bir durumda güvenilebilmeleri için düzenli olarak test edilmelerini
sağlamalıdır.
1.3. İlgili iş sürekliliği planları ve iş acil durum planları ile bütünleşmiş olmalıdır.
1.4. Yedeklenen bilgileri, uzaktaki bir güvenli depolama yerine anında ve güvenli bir
şekilde ulaştırmalıdır.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 20/48
1.5. Gerekli olan işletme zorunlulukları, yasal ve düzenleyici zorunluluklar için,
yedeklenen verilerin yeterli miktarda geçmişini saklamalıdır.
10.
1.
11.
1.
12.
1.
2.
13.
1.
15.
1.
Yardımcı Programların Kullanımı:
Bilgisayar sistemlerine kalıcı olarak yüklenen genel amaçlı yardımcı programlar en
düşük düzeyde tutulmalıdır. Sistem yardımcı programlarının kullanımı, sistem erişim
kontrolleri yoluyla kontrol edilmelidir.
Kapasite Yönetimi:
Yetersiz bilgisayar ya da iletişim sistemi kapasitesinden kaynaklanan hataların önüne
geçmek için, kapasite ihtiyaçları planlanmalı ve izlenmelidir.
Hata Kaydı Tutma:
Bilgisayar ve iletişim sistemlerindeki tüm teknik hatalar servis formlarında ve maillerde
yer almaktadır . Rapor olarak Teknoloji Müdür’üne gönderilmektedir. Hata kayıtları;
tüm hataların saptanabilmesi ve çözülebilmesi için yönetim tarafından incelenmelidir.
Güvenlik kontrollerinden fedakarlık yapılmamasını ve yapılan girişimin yetki dahilinde
olmasını sağlamak için, düzeltici önlemler incelenmelidir.
Güvenlik Olayı Prosedürleri:
Bir Bilgi güvenlik olayı, Desmer Bilgi ve İletişim’e maddi, mali, itibari, vb. zararlar
doğuran ya da doğurabilecek bilgi gizliliği, bütünlüğü ve erişilebilirliği ile ilgili bir
hatadır. Önemli bir Bilgi güvenlik hatası/vakası durumunda, yönetim, aşağıdakileri
yapmalıdır;
1.1. Hata ile ilgili tüm kanıtları kaydetmeli ve dokümante etmelidir.
1.2. Tüm acil durum ve işletme hata giderme planlarını ayrıntılı olarak dokümante
etmelidir.
1.3. Hatanın tekrar meydana gelmesini önlemek için, Bilgi güvenlik kontrollerini
hemen gözden geçirmeli ve güçlendirmelidir.
1.4. Dahili problem analizi, dışarıdaki taraflarla tazminat müzakereleri veya yasal
işlemler için gereken ilgili denetim izlerini ve diğer belgeleri sağlamalıdır.
1.5. Gerekli olduğunda, alınacak önlemleri daha üst düzeydeki yönetime bırakmalı ve
işletmeye olabilecek etkilerini en alt düzeye indirgemek için işletme acil durum
planlarını harekete geçirmelidir.
Bilgisayar Yazılımı:
Tüm yazılım kullanımları yetkili olmalıdır ve gerekli olduğunda geçerli lisanslar ile
uyumlu olmalıdır;
1.1. Yönetim tarafından yetki verilmedikçe ve onaylanmadıkça, çalışanlar hiçbir
yazılımı yazmamalı, tanıtmamalı veya kullanmamalıdırlar.
1.2. Belirli durumlar için yönetim tarafından açık bir şekilde yetki verilmedikçe,
şüpheli durumların önlenmesi amacıyla aşağıdaki yazılımların kullanımı yasak
olmalıdır;
1.2.1. Yetkili paket yazılımlar tarafından sağlananlar da dahil olmak üzere, her
tür oyun ve eğlence yazılımı,
1.2.2. İnternetten elde edilen her tür yetkisiz yazılım,
1.2.3. Herhangi bir kaynaktan talep edilmeden sağlanan yazılımlar,
Onay:
Onay:
10.YNT.POL.01
Sayfa: 21/48
1.3.
1.4.
1.5.
1.6.
16.
1.
17.
1.
2.
18.
1.
1.2.4. Basın kanalı ile ücretsiz olarak dağıtılan yazılımlar ,
1.2.5. Yetki verilen yazılımların lisanssız kopyaları,
Satın alınan yazılımların her türlü kullanımı ve yönetimi, ilgili lisans ve telif hakkı
anlaşmaları ile uyumlu olmalıdır;
Bilgisayar yazılımlarının ana kopyaları ve ilgili lisanslar güvenli bir şekilde
saklanmalı ve gerektiğinde denetime açık olmalıdır;
Değişiklik yönetimi, yazılım yayımı ve problem yönetimini kapsayan işlemsel
kontroller yoluyla, yazılımlar yetkisiz erişime ve değişikliğe karşı korunmalıdır;
Yönetim, Desmer Bilgi ve İletişim işlemlerine tahsis edilmeden önce yazılımın
yeterince test edilmesini sağlamalıdır.
Virüs Kontrolleri:
Aşağıdaki amaçlar için, tüm PC ve yerel ağ (LAN) sistemlerinde standart bir virüs
tarama sistemi kullanılmalıdır;
1.1. Elektronik posta, disket ya da internet gibi diğer dış kaynaklar yoluyla Desmer
Bilgi ve İletişim bilgisayar ortamına giren tüm dosyaları, bilgisayar virüslerini en
kısa ve en kolay şekilde tespit etmek, bildirmek ve gerektiğinde yok etmek
amacıyla taramak.
1.2. Desmer Bilgi ve İletişim tarafından e-posta yoluyla ya da başka yollarla
müşterilerine, tedarikçilerine ve diğer harici taraflara gönderilen dosyaları,
Desmer Bilgi ve İletişim’in kasıtsız olarak virüs yaymasını önlemek için taramak
ve gerektiğinde düzeltmek.
Şifre Kontrollerinin Uygulanması:
Yönetim, işletme riskinde arzu edilen düşüşün etkili ve etkin bir şekilde elde
edilebilmesini sağlamak için, şifre kontrollerinin dikkatli bir şekilde tasarlanmasını,
uygulanmasını, işletilmesini ve devam ettirilmesini sağlamalıdır. Tüm şifre kontrol
uygulamaları belirli bir risk değerlendirmesi esasına dayanan bir gerekçeye sahip
olmalıdır ve bu kontroller ile ilgili işletim maliyetlerini de dikkate almalıdır.
Yönetim, aşağıdaki hususların kullanımını dikkate almalıdır;
2.1.
Otomatik işletme verilerinin yetkisiz bir şekilde değiştirilmesinin Desmer Bilgi
ve İletişim’in kabul edilemez işletme risklerine maruz bırakacağı durumlarda,
mesaj onay kodları.
2.2.
Otomatik verilerin teşhir edilmesinin Desmer Bilgi ve İletişim’i kabul edilemez
işletme risklerine maruz bırakacağı durumlarda, veri şifreleme.
2.3.
Otomatik işletme verilerinin alındığının ya da gönderildiğinin ispat
edilememesinin şirketi kabul edilemez işletme risklerine maruz bırakacağı
durumlarda, dijital imzalar.
Şifreleme Sistemleri ve Şifre Yönetimi:
Mümkün olduğunda, şifre yönetim ve dağıtım yöntemleri kullanılmalıdır. Yönetim
aşağıdaki hususları sağlamalıdır;
1.1. Uygun durumlarda, şifre değerleri açık bir şekilde gösterilmeden, güvenli ve
bozulmaya karşı dayanıklı teçhizatlarda şifreleme işlemi uygulanmalı, yazılım
şifreleme işleminin kullanımından kaçınılmalıdır.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 22/48
1.2.
1.3.
1.4.
1.5.
1.6.
19.
1.
20.
21.
1.
2.
3.
Veri şifreleme mekanizmaları, iki yönlü kontrol altında, hiçbir zaman herhangi bir
bireye ait tam şifreler olmayacak şekilde üretilmelidir, kaydedilmelidir,
saklanmalıdır, kullanılmalıdır ve şifreleme cihazlarına girilmelidir.
Eski şifre değerleri güvenli yöntemler yoluyla anında imha edilmelidir.
Şifreleme, ilgili kamu ya da mali hizmetler standart algoritmaları ve teknikleri
kullanılarak gerçekleştirilmelidir. Eğer bunlar yoksa, uygulanacak politika
Teknoloji
Müdürlüğü rehberliğinde belirlenecek uygun algoritmalar
kullanılmalıdır.
Birden fazla şifreleme amacını desteklemek için aynı şifreleme anahtarı
kullanılmamalı ve anahtar değerleri güvenli yöntemler yoluyla periyodik olarak
değiştirilmelidir.
Şifreleme kontrollerinin her geçici veya kalıcı olarak geçersiz kılma işlemi
yönetim tarafından yetkilendirilmelidir. Geçici olarak geçersiz kılma işlemi
izlenmelidir ve kontroller hemen başlatılmalıdır.
Ağ Yönetimi
İletişim teçhizatlar ve sistemler ile aynı güvenlik standartlarına tabidir. İletişim ağlarına
bağlı teçhizatlar üzerinde uygulanacak kontrolleri tamamlamak için, iletişim ağı erişimi
ve mesaj yönetim kontrolleri uygulanmalıdır. Özellikle;
1.1. Yerel ağ ve çevirmeli bağlantılar da dahil olmak üzere, Desmer Bilgi ve İletişim
sistemleri ile dış hizmetler arasındaki tüm bağlantılar, işletme yönetimi tarafından
tek tek yetkilendirilmelidir.
Desmer Bilgi ve İletişim dahili ağlarına doğrudan bağlanmak için çevirmeli hatların
kullanımı asgari düzeyde tutulmalıdır ve sadece Desmer Bilgi ve İletişim ağlarını
kullanırken pratik alternatiflerin mevcut ya da maliyet etkili olmadığı durumlarda
kullanılmalıdır.
İnternet Bağlantıları
Yapısı itibariyle, internet küresel ve açıktır. Desmer Bilgi ve İletişim internet
güvenliğinden emin olamaz ve bu sebeple işletme ile ilgili olarak internet yoluyla
gerçekleştirilen haberleşmelerin güvenliğini korumak için eksiksiz ve kapsamlı bir dizi
kontrol uygulamalıdır. Bu standart internet protokolü (IP) yoluyla gerçekleşen tüm dış
hizmetler için geçerlidir.
Desmer Bilgi ve İletişim, interneti, iş süreçlerini etkileyecek teknolojik ve hukuksal
bilgilerden anında haberdar olmak ve müşterilere erişerek kendi tanıtımını yapmak
amacıyla kullanmalıdır.
Diğer tüm Desmer Bilgi ve İletişim kontrol standartları ve ilkeleri, özellikle aşağıdakiler
olmak üzere, internet uygulamaları için de eşit derecede geçerlidir;
3.1. Desmer Bilgi ve İletişim çalışanları, danışmanları, sözleşmeli personeli, servis
ve hizmet sağlayıcıları yönetimce kendilerine verilen yetkiler çerçevesinde
interneti kullanabilirler.
3.2. Desmer Bilgi ve İletişim bilgisayarlarından internet hizmetlerine yapılan tüm
bağlantılar şirket açısından belirli sebeplere dayandırılmalıdır, Şekerbank ve
Teknoloji yönetimi tarafından onaylanmalıdır ve onay verilen amaçlar için
gerçekleştirilecek bağlantılar sadece yetkili kişiler ile sınırlanmalıdır.
3.3. Yönetim tarafından açık bir şekilde izin verilmeyen internet hizmetlerinin
kullanımı gerçekleştirilmemelidir.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 23/48
3.4.
3.5.
3.6.
3.7.
3.8.
3.9.
3.10.
3.11.
3.12.
3.13.
3.14.
3.15.
3.16.
3.17.
3.18.
3.19.
3.20.
3.21.
3.22.
PDA, Akıllı telefon, iPhone gibi WiFi modem özelliği olan cihaz ve mobil
aygıtlar, şirket içerisine getirilmemeli ve kesinlikle aktif olarak
kullanılmamalıdır.
İnternet hizmetlerine bağlı Desmer Bilgi ve İletişim teçhizatları güvensiz bir
ortamda bırakılmalı veya yeterli kontrol ile uyumlu olarak sayısı asgari düzeyde
tutulacak onaylanmış bir firewall yoluyla bağlanmalıdır.
Firewall kontrollerinin işleyişi düzenli testlere ve otomatik izlemeye tabi
olmalıdır.
Desmer Bilgi ve İletişim BT güvenliğini tehdit edebilecek çalıştırılabilir
yazılımların internetten alımını önlemek amacıyla otomatik araçlar
kullanılmalıdır.
Desmer Bilgi ve İletişim’in yönettiği bilgi sistemleri dahilindeki tüm kullanıcılar
Bilgi ve İletişim Kaynakları Kullanım talimatını okumalı ve uygulamalıdır.
İnternet vasıtasıyla, telif hakkı bulunan - Desmer Bilgi ve İletişim’in yönettiği
bilgi sistemlerinde kullandığı yazılımlar ve diğerleri de dahil olarak –
yazılımların yetkisiz bir şekilde çoğaltılması ve dağıtılması yasaktır.
Desmer Bilgi ve İletişi, iletişim sistemlerini kullanarak yönetimce yasaklanmış
olan adreslere girmek, materyallere ulaşmak ve dağıtmak yasaktır.
Desmer Bilgi ve İletişim yönetimince erişimi yasaklanmış sistem veya dosyalara
giriş yapılamaz.
Desmer Bilgi ve İletişim’in zamanını ve kaynaklarını kişisel kazanç için
kullanmak yasaktır.
Desmer Bilgi ve İletişim’in iletişim kaynakları, hizmet verilen sektörlerdeki iş
süreçlerinin geliştirilmesi ve iyileştirilmesi amacıyla kullanılabilir, fakat bu
süreçlerin aksamasına etki edebilecek şekilde yoğun iş saatlerinde kullanılamaz.
Desmer Bilgi ve İletişim, çalışanlarının kişisel gelişimine katkıda bulunmak
amacıyla internet kullanımını teşvik eder, ancak kişisel gelişimi arttırıcı
araştırma ve geliştirme faaliyetleri iş zamanında değil, kişisel zamanlarda
maliyetler ve iş süreçleri de göz önüne alınarak yapılmalıdır.
Desmer Bilgi ve İletişim çalışanları, internetin sağladığı tartışma, haber panoları
ve sohbet odalarına kurumsal kimliklerini göz önüne alarak (fikirlerin kendi
fikirleri olduğu, şirket fikirlerini yansıtmadığı gibi) katılabilirler. Hiçbir şekilde
kurumsal kimliği zedeleyici herhangi bir girişimde bulunulamaz.
Desmer Bilgi ve İletişim çalışanları, yönetilen bilgi sistemlerindeki müşterilerin
hassas bilgilerini iletişim araçları veya internet vasıtası ile yayınlayamazlar.
Kullanıcılar interneti kullanmadan önce uygun bir yöntem ile doğrulanmalıdır.
Hassas bilgilerin internet üzerinden taşınması gerektiğinde bu bilgiler kesinlikle
ek şifreleme mekanizmaları ile korunmalıdır.
Desmer Bilgi ve İletişim tarafından yönetilen bilgi sistemleri üzerinde internet
erişimi sağlayabilen donanımlar, fiziksel ve mantıksal güvenliği sağlanarak
kontrol altında tutulmalıdır.
Firewall işlerliği hizmet alınan Şekerbank tarafından düzenli testler ve otomatik
izleme / uyarı sistemleri ile takip edilmelidir.
Desmer Bilgi ve İletişim, iş sürekliliğinin devamlılığını tehdit edecek herhangi
bir bilgiyi (sistem kullanım şifreleri, güvenlik parametreleri vb. gibi) internet
üzerinden şifrelemeden, okunabilecek bir şekilde göndermemelidir.
Desmer Bilgi ve İletişim, yönettiği bilgi sistemleri üzerinde müşterilerinin iş
süreçlerinin devamlılığı için üçüncü taraf şirketler ile hiçbir yazılı anlaşma
Onay:
Onay:
10.YNT.POL.01
Sayfa: 24/48
olmadan internet üzerinden veri veya yazılım transferini gerçekleştiremez. Böyle
bir anlaşma, bilginin içeriğini, güvenlik koşullarını ve transfer mekanizmasını da
içermelidir.
3.23. Desmer Bilgi ve İletişim yönetimi, çalışanlarının internette yaptıkları hareketleri
izlemeyi sağlayacak mekanizmayı kurmalı ve aktivitelerin raporlanmasını takip
etmelidir. Bu konunun varlığı konusunda çalışanlar bilgilendirilmelidir.
3.24. Desmer Bilgi ve İletişim, yönettiği bilgi sistemleri üzerinde uygun internet
kullanımını garanti altına almak ve yetkisiz kullanıma karşı korumak amacıyla
gerekli gördüğü zamanlarda inceleme, denetim ve kaydetme fonksiyonlarını
saklı tutar.
25.
1.
İşletme Verilerinin Teslimi ve İletimi
İşletme verileri, dahili ya da harici olarak iletişim ağları üzerinden veya fiziksel yollarla
gönderildiği zaman, tüm tarafların güvenlik sorunları ile karşılaşmasını önlemek için
gerekecek kontrol gereksinimlerini saptamaya yönelik bir risk değerlendirmesi
yapılmalıdır. Bu gereksinimler arasında aşağıdakiler bulunmaktadır:
25.1. Veri içeriğini ve kaynak ve alınış noktalarını korumak ve onaylamak;
25.2. İletilen verilerin gizliliğini korumak;
2.
3.
26.
1.
25.3. Bir denetleme izinde uygun ayrıntıları kaydetmek.
Fiziksel veri depolama araçlarını korumak için güvenli paketler kullanılmalıdır.
Güvenli teslim yöntemleri kullanılmalıdır. Gizli verileri korumak için, bir gönderiyi
birden fazla teslimata bölmek düşünülmelidir.
Yönetim, dış kuruluşlarla gerçekleştirilen veri alışverişinde herhangi bir güvenlik
sorununun olup olmadığını gösteren kanıtları araştırmalıdır.
Mal ya da Hizmet Satın Alma Sözleşmeleri:
Yönetim, Desmer Bilgi ve İletişim’in doğrudan kontrolü dışında, başka kuruluşlar
tarafından kontrol edilen Desmer Bilgi ve İletişim veri ve sistemlerini korumak için,
ürünlere yönelik sözleşmelerde ve satın alma siparişlerinde güvenlik yükümlülüklerini
zorunlu kılmayı sağlamalıdır. Ürün seçme ve satın alma süreçlerinin bir parçası olarak
ürün belirtimlerine güvenlik zorunlulukları dahil edilmelidir. Bir risk değerlendirmesi
esasına dayanarak, bu konuda dikkate alınacak hususlar şunlardır:
1.1. Diğer kuruluşlara emanet edilen Desmer Bilgi ve İletişim verilerine uygulanacak
güvenlik standartları; Gerektiğinde, hizmet sözleşmelerine kamu güvenlik
standartları dahil edilebilir.
1.2. Kayıp, gecikme ya da hata ile ilgili sorumluluklar da dahil olmak üzere,
işletmenin, verilerin gönderilişi ve kabulü ile ilgili koşulları.
1.3. Desmer Bilgi ve İletişim ve dış denetim kuruluşlarının yerinde kontrol
değerlendirmeleri yapabilme hakları.
1.4. Bilgi gizlilik anlaşmaları.
1.5. Desmer Bilgi ve İletişim fikri mülkiyet haklarının korunması.
1.6. Tedarikçinin, veri koruma, bilgisayar yanlış kullanımı ve benzeri yasal ve
düzenleyici zorunluluklar ile ilgili olarak Desmer Bilgi ve İletişim’e karşı
sorumlulukları.
1.7. Güvenlik hatalarının bildirimi ve yönetimi ile ilgili prosedürler.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 25/48
29.
1.
2.
Desmer Bilgi ve İletişim Tesisleri Dışındaki Teçhizatların Korunması:
Taşınabilir PC’ler de dahil olmak üzere Desmer Bilgi ve İletişim tesisleri dışına
çıkarılan Desmer Bilgi ve İletişim teçhizatları hırsızlığa ve kaybolmaya karşı daima
korunmalıdır. Teknoloji Müdürlüğü ile üzerinde anlaşılan veri şifreleme kontrolleri
yoluyla, Desmer Bilgi ve İletişim işletme verileri korunmalıdır. Desmer Bilgi ve İletişim
teçhizatlarının Desmer Bilgi ve İletişim tesisleri dışına götürülebilmesi ve
kullanılabilmesi için, ilgili riskler de değerlendirilerek Yönetim tarafından yetki
verilmelidir.
Tesis dışında kullanılan Desmer Bilgi ve İletişim teçhizatlarından sorumlu çalışanların
sorumlulukları şunlardır:
2.1. Teçhizatın fiziksel güvenliği açısından, üreticinin, teçhizatın korunması ve
kullanımı ile ilgili tavsiyelerini gözlemek.
2.2. Teçhizatın sadece yetkili kişilerce ve yetki verilen amaçlar için kullanımını
sağlamak.
2.3. İşletme verilerinin gizliliğini korumak.
2.4. Fiziksel kilitler ve dosya şifreleme sistemleri gibi ürünle birlikte sağlanan
güvenlik kontrollerinden yararlanmak.
2.5. Çıkarılabilen manyetik araçları, kullanımda olmadığı zamanlarda güvenli bir
şekilde saklamak.
2.6. Kullanımda olmadığı zamanlarda, teçhizatın telekomünikasyon şebekesi ile
bağlantısını kesmek.
1.7. Değişiklik ve Problem Yönetimi
1.
Genel İlkeler:
1.
Yetersiz değişiklik kontrolü, sistem ve güvenlik hatalarının temel sebebidir. Bilgisayar
yazılımı, teçhizat, tesis ve ana hizmetler de dahil olmak üzere üretim sistemlerinde
yapılacak her türlü değişikliği kapsayacak yönetim prosedürleri dokümante edilmelidir.
2.
Planlama:
1.
Sistem değişikliklerinin dikkatli bir şekilde planlanması ve aşağıdaki hususları içermesi
gerekmektedir:
1.1. Tüm önemli değişikliklerin tanımlanması ve dokümante edilmesi ve bunların
uygulanabilmesi için gerekli olan görevler.
1.2.
Tüm görev sorumluluklarının tahsisi.
1.3.
Planlanan değişiklikler sırasında ya da sonrasında doğabilecek olası sorunların
değerlendirilmesi ve bunların önlenmesi ya da en aza indirgenmesi için alınması
gereken önlemler.
1.4.
Tüm değişikliklerin yönetim tarafından belgelenmiş onayı.
1.5.
Değişiklik ile ilgili ayrıntıların ilgili tüm şahıslara önceden bildirilmesi.
1.6.
Tercihen tüm üretim işlemlerinden açık bir şekilde ayrı bir ortamda, test
uygulaması.
1.7.
Uygulama sonrası değişikliklerin gözlenmesi.
1.8.
Başarısızlıkla sonuçlanan değişikliklerin zararlarının giderilmesine yönelik
prosedürler ve sorumluluklar.
1.9. Her bir değişikliğin tamamlanması.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 26/48
3.
1.
2.
Acil Değişiklik Kontrolleri:
Üretim sistemlerinde ve verilerinde gerçekleştirilen acil değişiklikler tek tek
yetkilendirilmeli, kaydedilmeli ve alınan önlemleri doğrulamak için bağımsız olarak
kontrol edilmelidir.
Acil değişiklik prosedürleri normal yetkili değişiklik prosedürlerinin yerini almamalıdır.
Hatalara karşı gerçekleştirilecek kalıcı düzeltmeler mümkün olan en kısa zaman
içerisinde yetkili prosedürlere uygun olarak uygulanmalıdır.
4.
Problem Yönetimi
1.
Problem yönetimi, aşağıdaki temel görevleri içermelidir;
1.1. Problem saptama – problemi tanımlama ve probleme sebep olabilecek daha
önceki ilgili değişikliklerin ayrıntıları da dahil olmak üzere bilgi toplama.
1.2. Problem teşhis.
1.3. Problemden kaynaklanan işletme etkilerini en aza indirgemek için işletme
zararını giderme.
1.4. Problem çözme.
1.5. Problemin başarıyla çözüldüğünden emin olmak için çözümü gözleme.
1.8. Bilgisayar Sistemi Erişim Kontrolü:
1.
Genel İlkeler:
1.
Önemli sistemlere ve işletme bilgilerine erişim sadece yetkili personelle sınırlanmalıdır,
geçerli işletme ihtiyaçlarına dayandırılmalıdır ve kullanıcı kimlikleri takip
edilebilmelidir.
Sistem erişimi, kullanıcı kimlikleri ve yetkilici kullanıcılara verilen gizli şifreler yoluyla
kontrol edilmelidir. Ortak şifreler istisnai olmalıdır ve yönetim tarafından durum esasına
göre yetkilendirilmelidir.
Güvenlik yazılımı yetkisiz erişim ya da değişikliğe karşı yeterli derecede korunmalıdır.
Bu standart, veri ve ses telekomünikasyon cihazları, sunucular, PC’ler ve diğer ofis
cihazları da dahil olmak üzere her türlü sistem ve uygulama için geçerlidir.
2.
3.
4.
2.
Sorumluluklar ve Görev Dağılımı:
1.
Yönetim aşağıdakileri sağlamalıdır;
1.1. Sistem erişim kontrolleri uygulama sorumluluğu, güvenlik kontrollerini kabul
edilemez düzeyde zayıflatacak uyumsuz görevlerden ayrılmalıdır. Bu tip görevlere
örnek olarak sistem işletimi, teknik destek, sistem geliştirme ve işletme kullanımı
gösterilebilir.
1.2. Sistem kullanıcı erişim hakları ile ilgili tüm oluşturma, değiştirme ve silme
talepleri mail ile yapılmalı ve kullanıcının yönetimi tarafından
yetkilendirilmelidir. İşletme bilgisi veya ilgili sistemlerden sorumlu diğer işletme
fonksiyonlarının gerekli görmesi halinde, başvurulmak üzere en az 6 ay boyunca
saklanmalıdır.
1.3. Prosedürler, teçhizat bakımı ve üretim sistemi, sorun gidermeye yönelik bir
defalık şifreler gibi özellikle yüksek riskli yükümlülükler için ilave kontroller
uygulamalıdır.
1.4. Kullanıcı kimliği bilgileri ve şifreler sistem kullanıcılarına güvenli yollarla
ulaştırılmalıdır.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 27/48
1.5. Sistem erişim hakları düzenli olarak gözden geçirilmeli ve kullanıcının daha fazla
ihtiyaç duymaması halinde iptal edilmelidir. Ortak şifrelerin gözden geçirilmesi ve
korunması için özel bir sorumluluk yüklenmelidir.
1.6. Kontrollerin işletme riskine bağlı olarak yeterli düzeyde olmasını, doğru ve tutarlı
bir şekilde uygulanmasını sağlamak için, idari prosedürler gözlemlenmelidir.
3.
Kullanıcı Kimlikleri:
1.
Tüm kullanıcılar (işlemciler, ağ yöneticileri, sistem programcıları ve veritabanı
yöneticileri gibi teknik destek personelleri dahil), yapılan işlemlerin sonradan sorumlu
bireyler kapsamında izlenebilmesi için, kişisel ve tek kullanımlara ilişkin özel bir
tanımlayıcıya (kullanıcı kimliği) sahip olmalıdır. Kullanıcı kimlikleri kullanıcının
ayrıcalıklı düzeyiyle ilgili, örneğin yönetici, uzman, hiçbir belirti vermemelidir.
Kullanıcı kimlikleri;
2.1. Bireysel kullanıcıları bireye özel şekilde tanımlamalıdır;
2.2. Bir kullanıcıya verilen özel sistem erişim haklarını tanımlamamalıdır ya da
kullanıcının şifresi veya ilgili sistem ile ilgili bilgi sağlamamalıdır.
İstisnai olarak, belirli işletme amaçlarına yönelik olarak, bilinen kullanıcı gruplarına
yönetim tarafından genel kimlikler verilebilir.
2.
3.
8. Şifreler:
1.
Kullanıcılara verilen ilk şifreler belirtilen şekilde yaratılmalı, sistemler kullanımların
veya ekipmanların boş şifre ile kullanılmasına izin verilmeyecek şekilde ayarlanmalıdır.
Şifreler boşluksuz en an 8 karakter, harf ve rakam karışık şekilde olacaktır. Şifreler
kolaylıkla tahmin edilemeyecek şekilde seçilmelidir ve özellikle kullanıcı ile aşağıda
belirtilen şekillerde bağlantısı olmamalıdır:
1.1. Soyadları ve isimler;
1.2. Şirket isimleri, künyeleri ve referansları;
1.3. Taşıt plakaları;
1.4. Yılın ayları, haftanın günleri ya da diğer tarih unsurları;
1.5. Telefon numaraları;
1.6. Kullanıcı kimliği, kullanıcı adı, grup kimliği ya da sistem künyesi.
1.7. Şifreler, kullanıcılara şifre taahütnamesi imzalatıldıktan sonra sistemde
yaratılmalıdır.
2.
Şifreler, Desmer Bilgi ve İletişim’in bilgisayar ve ağ güvenlik sistemlerinin temel
unsurlarıdır. Bu sistemlerin tasarlanan işi yaptıklarından emin olmak için, kullanıcılar
tarafından tahmini zor olan şifreler seçilmelidir. Bu demektir ki şifreler, şifre sahibinin
işiyle veya kişisel yaşamıyla ilgili olmamalıdır.
3.
Kullanıcılar, seçtikleri şifrelerin kolay hatırlanabilir olmasıyla birlikte yetkisiz kişiler
tarafından tahmin edilmesi zor olmasına dikkat etmeliler.
4.
Kullanıcılar, tarih veya tahmin edilebilir bir faktöre dayalı olarak kısmen değiştirilen
basit karakterler serisinden oluşan şifreler oluşturmamalılar. Örneğin, kullanıcılar,
ocakta “X34OCA” ve şubatta “X34SUB” gibi şifreler kullanmamalılar. Ayrıca,
kullanıcılar, daha önce kullandıkları şifrelerin aynısını veya bir benzerini
kullanmamalılar.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 28/48
5.
Bir şifrenin uzun vadede kötüye kullanılmadığından emin olmak için, şifreler her
doksan günde bir veya daha sık aralıklarla değiştirilmelidir.
6.
Şifreler okunabilir biçimde olan dosyalarda, makrolarda, erişim kontrol sistemleri
olmayan bilgisayarlarda veya yetkisiz kişilerin bulabileceği diğer yerlerde
saklanmamalıdır. Aynı şekilde, şifreler, yetkisiz kişilerin ulaşabileceği bir yere yazılıp
bırakılmamalıdır. İlk şifre atama ve şifrenin yeniden kurulumu dışında, başkası
tarafından bilindiğine dair bir şüphe varsa, şifre derhal değiştirilmelidir.
7.
Ne olursa olsun, şifreler yetkili kişinin dışında herhangi biriyle asla paylaşılmamalı veya
herhangi birine gösterilmemelidir. Böyle yapmak diğer kişi tarafından yapılanların
sorumluluğunu yetkili kullanıcıya yükler. Eğer kullanıcılar yerel bilgisayar verilerini
paylaşmak istiyorlarsa, e-mail, yerel alan ağ sunucularında herkese açık dizinleri ve
diğer mekanizmaları kullanmalılar.
8.
Sadece tahmini zor şifrenin kullanıldığından emin olmak için, şifre gücü, sorumlu
kimseler tarafından her altı ayda bir veya daha sık aralıklarla test edilmelidir. Zayıf şifre
sahibi kullanıcılar bu konuda uyarılmalıdır.
9. Erişim Kontrol Sistemleri
1.
Uygulanabilen durumlarda, erişim kontrol sistemleri aşağıdaki koşulları sağlamalıdır:
1.1. 8 karakterlik boşluksuz, harf-rakam karışık minimum şifre uzunluğunu otomatik
olarak uygulamalı ve mümkün olduğunca Şifre Standartlarına uyumu kontrol
etmelidir;
1.2. Kolay ele geçirilebilmesini önlemek için şifreler, bilgisayarlarda tek yönlü şifreli
şekilde saklanmalıdır;
1.3. Kullanıcıların kendi şifrelerini değiştirebilmelerine olanak tanınmalıdır. Bunu, ilk
şifrelerini aldıklarında hemen gerçekleştirmeleri sağlanmalıdır. “Sadece bir defalık”
şifreler de dahil olmak üzere, daha sık gerçekleşen şifre değişiklikleri özellikle ödeme
sistemleri ve üretim sistemine erişim sorun giderme gibi hassas uygulamalar için
düşünülmelidir.
1.4. Makul derecede düzenli bir şifre değişimi sağlamak için, kullanıcıların daha önce
kullanılan şifreleri seçmeleri önlemelidir;
1.5. Sisteme sadece yetkili kullanıcıların erişebileceği, yetkisiz erişimin yasalara göre suç
teşkil ettiği yönünde bir uyarı mesajı gösterilmelidir (giriş ekranı);
1.6. Bilgisayar terminallerine ya da yazıcılara yetkisiz erişime yardımda bulunacak
şifreler ve diğer bilgiler gösterilmemelidir;
1.7. Ardarda belli sayıda (en az 3-en fazla 8) başarısız giriş denemesinden sonra, oturum
kapatılmalı ve kullanıcı erişim hakları dondurulmalıdır;
1.8. 90 gün boyunca kullanılmayan kullanıcı erişim hakları askıya alınmalıdır;
1.9. Bir risk değerlendirmesi sonucu, önemli sistemlerde tespit edilecek başarısız giriş
denemelerinin bir denetleme izi kaydı tutulmalıdır;
1.10.
Terminal azami süreden daha fazla faaliyet dışı kalmış ise, terminal, oturuma
kapatılmalıdır;
1.11.
Yüksek risk altındaki yerleşim yerlerinde olan, örneğin terminaller yetkisiz
kişiler tarafından sağlanacak erişimi engellemek için, tanımlanmış belirli bir
çalışmazlık süresinden sonra kapanmaktadır.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 29/48
18.
1.
Yükleme ve Bakım Şifreleri:
Yazılım bayileri tarafından yükleme, bakım ve mühendislik amaçlarıyla kullanılmak
üzere verilen ilk şifreler genellikle yaygın olarak bilinmektedir ve etkilidir. Bu şifreler,
daha fazla ihtiyaç duyulmadığı anda değiştirilmeli ya da iptal edilmelidir.
1.9. Sistem Geliştirme ve Bakımı
1.
Genel İlkeler:
1.
Güvenlik kontrollerinin etkililiğini ve maliyetini en iyi derecede gerçekleştirebilmek
amacıyla, uygulama sistemi güvenlik ihtiyaçları, tüm sistem geliştirme süreci boyunca,
diğer işletme ihtiyaçlarının bir parçası olarak yönetilmelidir.
2.
Faaliyetlerin Bölünmesi:
2.
Uygulama sistemleri geliştirme ve bunların bakımlarını yürütme sorumlulukları ve
olanakları, üretim sistemleri işletim sorumluluklarından ve olanaklarından ayrılmalıdır.
3.
Güvenlik İhtiyaçları Analizi ve Tespiti:
3.
Yönetim, temel Bilgi güvenlik kontrollerinin yanı sıra, uygulamaya özel kontrol
ihtiyaçlarını da dikkate almalı ve karşılamalıdır. Belgelenmiş bir risk değerlendirmesi
esas alınarak, işletme güvenlik ihtiyaçlarının bir analizi gerçekleştirilmelidir. Satın
alınan yazılım paketlerini uygulayan projeler, ürün seçimi ve satın alma süreçlerinde
güvenlik ihtiyaçlarını da dikkate almalıdır. Sistem tasarımı, aşağıdaki uygulama
hususları göz önünde bulundurularak gerçekleştirilmelidir;
3.1. Sistem şifrelerine ve kullanıcı kimliklerine, erişim kontrol tokens (secure id)’ a,
işlem değerine bağlı kontrollere ve uygulama menülerinin yapısına ve sunumuna
dayalı uygulamaya özel erişim kontrolleri.
3.2. Veri koruma ve gizliliği, kara para aklama, dolandırıcılığın tespiti ve önlenmesi ile
ilgili mevzuat ve düzenlemeler ve kullanıcı giriş zamanında terminal
göstergelerinin kullanımı (giriş ekranı) gibi diğer mali hizmet düzenlemeleri de
dahil olmak üzere ilgili mevzuat ve düzenlemelere uyum.
3.3. Özel uygulama sistemleri için geçerli olan teknik standartlara (ISO Standartları
gibi) uyum.
3.4. İşletme kontrol ve soruşturma ihtiyaçları dikkate alınarak gerçekleştirilen
denetleme izleri.
3.5. Aşağıdaki işletme ihtiyaçları da dahil olmak üzere, hata önleme ve tespit etmeye
yönelik uygulama kontrolleri ve acil durum kontrolleri;
3.5.1. Çevrim dışı ve çevrim içi veri girişi için veri bütünlüğü kontrolleri.
3.5.2. Otomatik veri beslemeleri ve veri kütükleri.
3.5.3. Müşteri ya da karşı taraf tanımlama ve onaylama.
3.5.4. İşlem yetkisi.
3.5.5. Elektronik bankacılık ve self-servis sistemleri için gereken özel
ihtiyaçlar.
3.5.6. Otomatik kontrolleri tamamlayıcı nitelikte bağımsız işlem kontrolleri ve
diğer işletme kontrolleri.
3.5.7. İç ve dış denetim ihtiyaçları.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 30/48
4.
4.
5.
Test Etme:
Uygulamaya özel güvenlik kontrolleri proje test planlarının ayrılmaz bir parçası olarak
test edilmelidir ve diğer sistem ihtiyaçları ile aynı esasta dokümante edilmiş işletme
kabulüne tabi olmalıdır.
Uygulanabilir durumlarda, canlı işletme verileri test ve eğitim amaçları için
kullanılmamalıdır. Eğer kullanılacaksa;
5.1. İlgili işletme riskleri, üretim sistemleri için kabul edilen risk düzeyinden daha
yüksek olmamalıdır.
5.2. Şirket yönetiminin önceden onayı alınmalıdır.
5.
Proje Verileri ve Belgelerinin Güvenliği:
6.
Tüm geliştirme süreci boyunca;
6.1. Sistem geliştirme yazılımları, verileri ve belgeleri gizli olarak kabul edilmelidir.
6.2. Proje verilerine ve belgelerine uygun değişiklik yönetimi ve erişim kontrolleri
uygulanmalıdır.
Dokümante edilen konfigürasyon ve değişiklik yönetim süreçleri, geliştirme sürecinden
ürün işletimine geçişte de uygulanmalıdır.
7.
1.10. Teknoloji Müdürlüğü Acil Durum Planlaması
1.
Genel İlkeler:
1.
Ciddi güvenlik aksaklıklarının (yani, bilgi gizliliğinin, bütünlüğünün ve
erişilebilirliğinin aksaklığa uğraması) süresini ve işletmeye olan etkisini en aza
indirgemek için, acil durum planları daima hazır bulundurulmalıdır. En azından, ana
sistemler erişilemez ve işlemez hale geldiğinde kabul edilebilir bir süre zarfında
alternatif tesisleri kullanan gerekli sistemleri kurtarmak için acil durum planları
hazırlanmalıdır. Teknoloji acil durum planları diğer ilgili işletme devamlılık planları ile
eşgüdüm halinde olmalıdır.
Sistem geliştirme sırasında, işletme riskleri değerlendirmesi esasına dayandırılarak,
asgari kabul edilebilir acil durum plan süreleri ve hizmet seviyeleri için işletme
ihtiyaçları dikkate alınmalıdır.
Yönetim, işletme ihtiyaçları ve öncelikleri ile bağlantılı olarak Teknoloji acil durum
planlarını düzenli olarak gözlemelidir ve gerektiğinde iyileştirmeler yapılmalıdır.
Gerekli sistemlerin kaybı da dahil olmak üzere, ciddi Bilgi güvenlik aksaklıklarının yol
açtığı zararları düşürmek için sigorta göz önünde bulundurulmalıdır.
2.
3.
2.
Planlama:
4.
Acil durum planları, işletmenin gerekli faaliyetlerinin asgari düzeyde aksamaya
uğrayarak devam edebilmesine olanak sağlamak için, önemli bilgisayar güvenlik
aksaklıkları öncesindeki, sırasındaki ve sonrasındaki olanakları, sorumlulukları ve
prosedürleri içermelidir. Acil durum planları, önemli sistem hatalarının yol açabileceği
riskleri asgari düzeye indirgemek için tasarlanan diğer güvenlik kontrollerini
tamamlayıcı nitelikte olmalıdır.
Acil durum planlaması, tüm hizmetler ve uygulamaları için düşünülmelidir ve aşağıdaki
anahtar görevler esasına dayandırılmalıdır:
5.1. Aşağıda belirtilen hususları da dikkate alarak, ciddi Bilgi güvenlik aksaklıklarının
işletme üzerindeki olası finansal ve finansal olmayan etkilerini değerlendirmelidir;
5.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 31/48
5.1.1.
Yatırımcılar ve müşteriler arasında Desmer Bilgi ve İletişim itibarına
gelecek zarar;
5.1.2.
Müşteri hizmet kaybı;
5.1.3.
Kötü reklam;
5.1.4. Sözleşme, yönetmelik ve yasaların olası ihlali.
Bu değerlendirme üzerinde işletme kullanıcıları da mutabık olmalıdır ve tüm
işletme verilerini, teçhizatlarını ve yazılımlarını dikkate almalıdır.
5.2. İlgili tehditler ve mevcut kontroller de dikkate alınarak, önemli aksaklıkların nispî
olasılığını değerlendirmek.
5.3. Acil durum planlarında yatırım konusunda Teknoloji hizmetlerine öncelik vermek.
5.4. Maliyet yönünden en etkili acil durum düzenlemelerini tespit etmek amacıyla,
gerekli işletme işlemlerini desteklemeye yönelik seçenekleri tanımlamak ve
değerlendirmek.
5.5. Acil durum planının tasarımını hazırlamak ve uygulama maliyetlerini işletme
açısından haklı çıkarmak.
5.6. Teknik prosedürleri ve yönetim prosedürlerini uygulama, test etme gerektiğinde
bu planları geliştirme.
5.7. Değişen koşulları ve işletme ihtiyaçlarını ortaya çıkarmak amacıyla, acil durum
planlarını en azından yıllık olarak gözden geçirme.
6.
Plan İçerikleri:
7.
Acil durum planları, genel bir kılavuz olarak, aşağıdaki hususları içermelidir;
7.1. Planın devreye gireceği koşullar.
7.2. Planı harekete geçirme ve yönetme sorumlulukları ve aday gösterilen sorumlular.
7.3. İnsan kaynakları ihtiyaçları.
7.4. Acil durum servisleri, çalışanlar, müşteriler, teçhizat ve yazılım tedarikçileri ve
ilgili diğer taraflarla iletişim kurulmasını sağlayacak düzenlemeler ve telefon
numaraları.
7.5. Acil durum sığınaklarının ve Sistem Altyapı tesislerinin ve teçhizatlarının
ayrıntıları ve gerektiğinde bunlara erişim ve yerleşim düzenlemeleri.
7.6. Acil durumlarda ulaşım ve benzeri idari düzenlemeler.
7.7. Yedek yazılım, veri kütükleri ve belgelerin yerleri.
7.8. Acil durum işletim yönergeleri, programları, öncelikleri ve hizmet düzeyi
hedefleri.
7.9. Acil durum planının işletilmesi sırasında işletme risklerini yönetmek için gereken
güvenlik kontrolleri ve diğer işletme kontrolleri.
7.10. Basın, düzenleyiciler, müşteriler ve personel ile iletişim kurma prosedürleri.
7.11. Normal üretim hizmetlerine dönüş ile ilgili rehber bilgiler.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 32/48
8.
Test ve Denemeler:
9.
Acil durum planları, işletme riskleri ile uygun olarak düzenli bir şekilde test edilmeli ve
denenmelidir ve aşağıdaki koşulların sağlanması için gerekli iyileştirmeler
gerçekleştirilmelidir;
9.1. Planların tam ve etkili olmaya devam etmesi ve öncelikli işletme ihtiyaçlarına
hitap etmesi.
9.2. Çalışanların yeterli düzeyde eğitilmesi ve acil durum planlarından haberdar
edilmesi.
1.11. Mesaj Sistemleri
1.
Genel İlkeler:
1.
Desmer Bilgi ve İletişim mesaj sistemleri, kurum-içi iletişimin yanısıra, müşteriler,
tedarikçiler ve diğer organizasyonlar ile iletişim kurulması için de kullanılmaktadır.
Mesaj sistemlerinde saklanan veriler, Desmer Bilgi ve İletişim işletme kayıtlarının
önemli bir bileşenini oluşturmaktadır. Bu nedenle, mesaj sistemlerinde tutulan bilgilerin
güvenliğinin düzenli kontroller vasıtasıyla takip edilmesi gereklidir.
2.
Telefon Sistemleri:
2.
Telefon sistemleri ve ilgili bağlantılar temel olarak bilgisayar sistemlerinden
oluşmaktadır ve buna uygun olarak korunmalıdırlar. Özellikle dikkat edilmesi gereken
konular arasında gizli nitelikteki müşteri bilgilerinin ve diğer kişisel bilgilerin
korunması yer almaktadır.
2.1. Telefon kontrol ekipmanı, fiziksel erişim kontrolleri ile korunmalıdır.
2.2. Bakım ve idari destek için şifre erişim kontrolleri uygulanmalıdır ve uygun olduğu
durumlarda, şebekeler üzerindeki bakım işlemleri için uygun iletişim
kontrollerinin uygulanması gereklidir.
2.3. Tüm bakım ve idari erişim işlemlerinin denetim izlerinin tutulması gereklidir.
2.4. Dokümante edilmiş yazılım ve ekipman değişim kontrol prosedürleri
uygulanmalıdır.
2.5. Gizli nitelikteki bilgiler için mobil telefonlar kullanılmamalıdır.
2.6. Dijital mobil telefonlar, analog sistemlere kıyasla daha güvenilir oldukları için,
tercih edilmelidirler.
2.7. Kod sözcükler ve sistem erişim detayları gibi güvenlik kontrol verileri, mobil
telefonlarda kesinlikle açıkça ifade edilmemelidir.
2.8. Telefon üzerinden yapılan işlemlerin kayıt edildiği durumlarda, bu kayıtların yasal
zaman sınırları dahilinde saklanması ve veri yedekleri ile aynı güvenlik
standartlarına tabi olması gereklidir.
2.9. Temel telefon hizmetlerinin, işletme süreklilik planları kapsamında yer alması
gereklidir.
3.
Faks:
3.
Yönetimin, faks sistemlerini korumak için gerekli güvenlik kontrollerini de uygulaması
gereklidir. Bu alanda dikkat edilmesi gereken konular arasında aşağıdakiler yer alabilir;
3.1. Programlı faks numaralarının kontrolü.
3.2. Faks ile iletilen ve alınan işletme yönergelerinin teyidi.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 33/48
3.3.
3.4.
3.5.
3.6.
3.7.
3.8.
Tüm faks belgeleri başlık sayfası kullanılarak gönderilmelidir. Bu başlık
sayfasında faksı gönderen kişinin ve alıcının ismi, faksı gönderen ve alan
lokasyonların telefon ve faks numaraları, faks tarih ve zamanı ile gönderilen
toplam sayfa sayısı yer almalıdır.
Faks başlık sayfasında, Desmer Bilgi ve İletişim Bilgi Güvenliği Politikası
talimatı uyarınca belirlenen disclaimer metninin yer alması gereklidir.
Desmer Bilgi ve İletişim’e ait lokasyonlardan gizli nitelikte bilgi iletilirken;
3.5.1. İletiden önce alıcı bilgilendirilmeli ve mümkünse gönderiyi almak için
hazır beklemesi sağlanmalıdır.
3.5.2. İletide yaşanan gecikmelerin anında araştırılması gereklidir.
3.5.3. İletilen bilginin alındı belgesi teyid edilmelidir.
3.5.4. Mümkün olduğu durumlarda, Desmer Bilgi ve İletişim personeli, Şirket’e
gönderilen gizli bilgilerin alınması için faks makinalarının bulunduğu
alanda hazır olmalıdırlar.
Gerekli olduğu durumlarda, alınan faks iletilerinin kaynak ve içerikleri bağımsız
olarak teyid edilmelidir.
Bazı faks kağıtları zaman içerisinde ya da bazı tür mürekkep kullanıldığı zaman
soldukları için, kaynak doküman olarak kullanılacak önemli faks işlemlerinin,
fotokopi gibi kalıcı formlarda kayıt edilmesi gereklidir.
İş sürekliliği planlarının, temel faks sistemlerini de kapsaması gereklidir.
4.
Elektronik Posta:
4.
E-posta mesajları ve ekleri, aşağılayıcı, saldırgan ya da müstehcen bilgiler
içermemelidir. E-posta sistemlerinin sadece izin verilen işletme amaçları için
kullanılması gereklidir.
Tüm giden e-posta mesajlarının sonunda aşağıdaki standart disclaimer metninin yer
alması gereklidir:
“Bu mesaj ve ekleri, gönderilen e-posta adresinin kullanıcısına ait gizli bilgi
niteliğindedir. Mesajın gönderildiği kişi siz değilseniz, bu mesajın ya da eklerinin
tamamını ya da bir kısmını kopyalamak, başkalarına iletmek ya da kullanmak
hakkında sahip değilsiniz. Bu mesajı bir hata sonucu almış olmanız durumunda, bu
durumu göndericinin adresine hemen bildiriniz ve bu mesajı sisteminizden siliniz.
Gönderilen bilginin kesintiye uğraması, bozulması, kaybolması, geç iletilmesi ya
da virüs içermesi ihtimaline bağlı olarak, Internet üzerinden iletişim tamamen
güvenli ya da hatasız olduğu garanti edilemez. Bu nedenle, mesajı gönderen kişi,
İnternet iletisinin sonucunda ortaya çıkabilecek her türlü hata ya da eksiklik için
sorumluluk kabul etmemektedir. Bu mesajda yer alan tüm görüşler, mesaj
bünyesinde aksi açıkça ifade edilmedikçe, mesajı yazan kişinin görüşleridir ve
kesinlikle mesajın gönderildiği Şekerbank’ın görüşlerini yansıtmamaktadır.”
Tüm gelen e-posta mesajlarında aşağıdaki standart feragat metninin yer alması
gereklidir:
“Bu mesaj, İnternet üzerinden gönderilmiştir. Mesajı gönderen kişi, belirtilen kişi
olmayabilir ve mesajda ya da eklerinde yer alan bilgiler doğru olmayabilir.”
5.
6.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 34/48
1.12. Yasal ve Düzenleyici Mevzuat İle Uyum
1.
Genel İlkeler:
1.
Desmer Bilgi ve İletişim politikaları, Şirket operasyonları ile ilgili tüm yasal mevzuat ve
düzenlemeler ile uyumlu olmalıdır. Bu konular arasında aşağıdakiler yer alabilir:
1.1. Mahremiyet ve verilerin korunması;
1.2. Bilgisayarların yanlış amaçlar için kullanılması ve bilgisayar kullanılarak işlenen
suçlar;
1.3. Yazılım telif hakları;
1.4. İşletme kayıtlarının tutulması ve yasal raporlama gereksinimleri;
1.5. Veri transferi;
1.6. Düzenleyici kurum tarafından getirilen teknik ve yönetim standartları.
2.
Verilerin Korunması:
2.
Veri koruma gereksinimi olarak aşağıdaki genel ilkeler uygulanabilir;
2.1. Kişisel bilgilerin, bireylerin kişisel hakları dikkate alınarak adil ve yasal şekilde
işlemlere tabi olması gereklidir.
2.2. Kişisel bilgilerin bir ya da daha fazla yasal amaç için elde edilmesi ve bu amaç ya
da amaçlar ile uyumlu olmayan şekilde kullanılmaması gereklidir.
2.3. Kişisel bilgilerin, ilgili işlemin amaçlarını karşılayacak seviyede olması gereklidir.
2.4. Kişisel bilgilerin doğru ve gerekli olduğu durumlarda, güncel olması gereklidir.
2.5. Belirli bir amaç ya da amaçlar için kullanılan kişisel bilgilerin, bu amaç ya da
amaçlar için gerekli olduğundan daha uzun süreler için saklanmaması gereklidir.
2.6. Kişisel bilgilerin, yetkisiz kişilerce ya da illegal şekilde işleme tabi olması ya da
kaybı ve zararı hallerine karşın uygun teknik ve örgütsel önlemler alınmalıdır.
3.
Yazılım ve Dokümanların Telif Hakları:
3.
Bilgisayar yazılımları telif hakları, tasarım ve patent ile ilgili kanun hükümlerine tabidir.
Telif hakları açısından, bilgisayar yazılımları sanat eseri olarak kabul edilmekte ve
mülkiyet ve telif hakları yükümlülükleri geçerli olmaktadır.
Şirket bünyesindeki istihdam süreleri zarfında Desmer Bilgi ve İletişim personeli
tarafından geliştirilen tüm yazılım ve programların mülkiyeti Desmer Bilgi ve İletişim’e
aittir ve bu programların kodlarında uygun telif hakları ifadelerine yer verilmelidir;
4.1. “Tüm hakları saklıdır. Bu yazılım, sadece belirlenen amaçlar doğrultusunda
kullanılmalıdır. Desmer Bilgi ve İletişim’in yazılı mutabakatı olmaksızın, bu
yazılımın hiç bir kısmı çoğaltılamaz, parçalara ayrılarak kullanılamaz,
saklanamaz.”
4.2. Yazılım, lisans koşulları ile çelişecek şekilde çoğaltılamaz, değiştirilemez ya da
kullanılamaz.
Sistem dokümantasyonunda aşağıdaki telif yazısına yer verilmesi gereklidir:
5.1. “Tüm hakları saklıdır. Desmer Bilgi ve İletişim’in yazılı mutabakatı olmaksızın,
bu dokümanın hiç bir kısmı elektronik, mekanik, fotokopi, kayıt ve diğer
şekillerde çoğaltılamaz, saklanamaz ve iletilemez.”
4.
5.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 35/48
1.13. Düzenleyici – Önleyici Faaliyetler
Kurum içinde gözlenen uygunsuzlukların giderilmesine yönelik düzeltici ve önleyici tedbirler
alınır. Bu kapsamda;
1.Önleyici Faaliyet : Henüz gerçekleşmemiş bir riskin giderilmesi ve tehditin gelmesi
durumunda zarar vermemesi amacıyla alınacak önlemlerdir.
2.Düzeltici Faaliyet : Gerçekleşmiş bir risk için kök neden analizi yapıldıktan sonra bu
zafiyeti ortadan kaldırmaya yönelik alınacak önlemlerdir.
2.
Bilgi Teknolojileri Politikaları
2.1. Şifre Kullanım Politikası
1.
Teknoloji Yönetimi, iş süreçlerindeki riskleri etkili ve etkin bir şekilde indirgemek için
şifreleme kontrollerinin dikkatli bir şekilde tasarlanmasını, uygulanmasını ve
sürekliliğini belirli bir risk değerlendirmesi esasına dayanarak ve ilgili işletim
maliyetlerini de göz önüne alarak gerçekleştirmelidir.
2.
Yönetilen Bilgi Sistemleri üzerinde çalışan kullanıcılar kendi şifrelerini seçerken
aşağıda belitilen önerileri göz önüne almakla yükümlüdür.
3.
Şifreler kişiye özel ve yalnızca o kişi tarafından bilinmesi gereken tanımlayıcı
kimliklerdir. Bu tanımlayıcı kimliklerin güvenliğinden ve sorumluluğundan kesinlikle
kullanıcı sorumlu tutulmalıdır.
4.
Yönetilen Bilgi Sistemleri üzerindeki yetkili kullanıcılar, kendi kullanıcı kodu ve
şifrelerinin kullanılmasından veya başkaları tarafından ısrarla istenmesinden
şüphelenmeleri gibi ağ ve işlem güvenliğini tehlikeye atacak durumlarda derhal
Teknoloji Müdürlüğü’nü haberdar etmelidir.
5.
Yönetilen Bilgi Sistemleri üzerindeki yetkili kullanıcılar şifrelerini oluştururken,
tanımlanan kurallar çerçevesinde, şifrelerini tahmin edilmesi güç, sözlükte veya
konuşmada bulunmayan karakter ve sayı kombinasyonları şeklinde seçmelidirler.
6.
Kullanıcılar, daha önce kullandıkları şifrelere benzeyen veya aynı olan şifreleri
kullanmamalıdır. Kullanılan sistemler tarafından bu tür değişiklik talepleri otomatik
olarak engellenmelidir.
7.
Bilgi Sistemleri kullanıcıları basit bir karakter sırasıyla hazırlanmış daha sonra ise tarih
veya başka tahmin edilebilir bir faktör bazında kısmen değiştirilmiş şifreler
kullanmamaları yönünde uyarılmalıdır.
8.
Bilgi Sistemleri kullanıcıları şifrelerini yetkisiz kişilerin bulunabileceği mekanlarda
yazılı bir şekilde bırakmamalıdır. Kullanıcıya verilen ilk şifre ile birlikte kullanıcı
hemen şifre değişikliğini gerçekleştirmelidir. İlk değişiklikten sonra şifrenin başka
kullanıcılar tarafından bilinmesi veya bundan şüphe duyulması durumunda, şifre,
kullanıcı tarafından derhal değiştirilmelidir. Değişikliği gerçekleştiremediği durumlarda
derhal Teknoloji Müdürlüğü’ne haber vermelidir.
9.
Şartlar ne olursa olsun, kullanıcı şifreleri diğer kullanıcılar ile paylaşılmamalıdır. Böyle
bir davranış şifrenin sahibi olan yetkili kullanıcıyı, şifreyi öğrenmiş olan kişilerin
yaptıklarından sorumlu tutacaktır.
10. Yönetilen Bilgi Sistemleri ağı üzerinde geçici veya sürekli bağlı olan tüm donanımlar
için şifre erişim kontrolleri olmalıdır. Çok kullanıcılı sistemler üzerinde kişiye özel
Onay:
Onay:
10.YNT.POL.01
Sayfa: 36/48
11.
12.
13.
14.
15.
16.
17.
18.
kullanıcı tanımları ve kullanıcı ayrıcalıklarını kısıtlayıcı mekanizmalar kullanılmalıdır.
Ağa bağlı sistemler, belirli bir periyot sonunda hareketsizlik sonucu devreye girecek
ekran koruyucuları veya yazılımları ile korunmalıdır.
Yönetilen Bilgi Sistemleri üzerinde donanım ve iletişim sistemlerine erişim, her yetkili
kullanıcıya özel olan şifrelerle yapılmalıdır. Dosyalara, uygulamalara, veritabanlarına,
bilgisayarlara, ağlara ve diğer sistem kaynaklarına paylaşılmış şifrelerle (grup şifreleri)
erişilmesine izin verilmemelidir. Paylaşılmış kullanıcı tanımları ve şifreleri bir sistem
sürecinin birden çok kişinin sorumluluğunda olması durumunda kullanılabilir.
Yönetilen Bilgi Sistemleri üzerindeki kullanıcı şifreleri belirlenmiş bir algoritma
yardımı ile şifrelendirilerek elektronik olarak saklanmalıdır.
Yönetilen Bilgi Sistemleri üzerinde yeni kullanıcıya verilen şifre sadece ilk kaydolduğu
oturum için geçerli olmalı, kullanıcı yeni bir şifre yaratmaya zorlanmalıdır. Aynı
prosedür şifrelerin unutulma sonucu sıfırlanması için de uygulanmalıdır.
Servis ve Hizmet sağlayacılar tarafından sağlanan donanım ve iletişim cihazlarının ilk
kurulum aşamasında verilen şifreler, ekipmanlar Bilgi Sistemleri üzerinde kullanılmaya
başlanmadan önce mutlaka değiştirilmelidir.
Kullanılan şifreler okunabilir formatta, otomatik erişim sağlayacak şekilde, fonksiyon
tuşlarına bağlı olarak saklanmamalıdır.
Kullanıcılar belli aralıklarla şifrelerini değiştirmeleri konusunda uyarılmalı veya
kullanılan sistemler aracılığı ile otomatik olarak kullanıcıyı zorlamalıdır.
Yönetilen Bilgi Sistemlerinin güvenliğinden şüpheye düşen ilgili sorumlular derhal
şifreleri değiştirmeli ve bir sonraki erişimde değiştirilmesini sağlamalıdır.
Kritik sistemler üzerindeki şifreler 2 bölümden oluşturulmalı, iki yetkili kullanıcı
tarafından ortak olarak girilmelidir.
2.2. Veri Güvenliği Politikası
1.
Desmer Bilgi ve İletişim bilgi sistemlerinde tutulan hassas bilgiler Çok Gizli, Gizli,
Hizmete Özel ve Özel verilerdir.
Çok Gizli:
2.
Açığa çıktığı takdirde, Desmer Bilgi ve İletişim ve müşterilerine ciddi stratejik ve
finansal zararlar verebilecek bilgileri kapsar. Bu tür bilgilere ulaşım sadece yetkili
kişilere ve sadece kişinin yaptığı iş bu bilgileri gerektiriyorsa sağlanmalıdır. Bilgilere
erişim kayıtları tutulmalı ve gözden geçirilmelidir.
3.
Bu tür bilgiler Yedekleme Politikası Maddesinde ve Desmer Bilgi ve İletişim Kurumsal
Güvenlik Politikası Talimatının Fiziksel Güvenlik bölümünde belirtilen şekillerde
yedeklenmeli ve saklanmalıdır. Bu tür bilgilerin taşıma ve aktarım işlemleri son derece
güvenli (şifrelenmiş, sınırlandırılmış telefonlar vb.) bir şekilde ve iç kurye kullanılarak
kontrollü ortamlarda gerçekleştirilmelidir.
4.
Bu bilgiler üzerinde yüksek seviye denetim ve kontrol olmalıdır.
Gizli:
5.
Yönetimin isteği dışında açığa çıkması halinde Desmer Bilgi ve İletişim müşterilerine
ciddi zarar verebilecek bilgileri kapsar. Çoğu finansal işlemler bu kategoridedir. Bu tür
işlemlerde ikinci kişi onayı gerekir. Yedekleme Politikası Maddesi kapsamında
yedeklenmeli ve saklanmalıdır.
6.
Gizli veri örnekleri aşağıdaki gibidir;
6.1. Yönetim Kurulu Kararları, Satınalma Kararları
6.2. Müşteri İletişim ve Kimlik Bilgileri
Onay:
Onay:
10.YNT.POL.01
Sayfa: 37/48
6.3. İç sirküler
Hizmete Özel (Sadece İç Kullanım):
7.
Bu grup bilgiler, izinsiz açığa çıkmaları durumunda ciddi sorunlara yol açmayacak olsa
bile, yönetimin şirket içinde kalmasını tercih ettiği bilgileri kapsar. Bu bilgilere erişim,
grup veya iş tanımı bazında verilmelidir.
8.
Yedekleme Politika Maddesi kapsamında yedeklenmeli ve saklanmalıdır.
9.
Hizmete Özel veri örnekleri aşağıdaki gibidir;
9.1. Duyurular, Genelgeler
9.2. Eğitim Dokümanları
9.3. Banka içinde kullanılan tüm bilgiler
Düşünsel Mülk Hakları:
10. Çalışanlar, danışmanlar ve sözleşmeli personel, görevlerini yerine getirdikleri sürece,
Desmer Bilgi ve İletişim yararına üretmiş oldukları veya geliştirdikleri her türlü
dokümantasyon, program, patent, telif hakkı veya diğer düşünsel mülk haklarının
Desmer Bilgi ve İletişim’e ait olduğunu kabul eder. Yönetim bu materyallerin
edinilmesinden önce çalışanları, danışmanları ve sözleşmeli personeli ile bu yönde bir
anlaşma imzalamalıdır.
11. İş akitleri sona eren çalışanlar, danışmanlar ve sözleşmeli personel, kullandıkları ve
Desmer Bilgi ve İletişim’e ait olan tüm dokümantasyon, donanım, yazılım, çalışılan
materyaller ve gizli bilgileri geri teslim etmekle yükümlüdür.
12. Diğer firmalardan sağlanan destek ve servis hizmetleri anlaşmaları belirlenen kurallar
çerçevesinde gerçekleştirilmeli ve periyodik olarak Desmer Bilgi ve İletişim yararına
gözden geçirilmelidir.
1.
Veri Hassasiyeti:
17.
Yönetilen Bilgi Sistemleri üzerinden gönderilen tüm mesajlar Desmer Bilgi ve
İletişim’e ait ve Teknoloji Müdürlüğü koruması altındadır.
Teknoloji Müdürlüğü gerekli görülen durumlarda ve yazılı onay ile bu sistemlerce
transfer edilen veya saklanan tüm verileri inceleme hakkını saklı tutar. Yönetilen bilgi
ve iletişim sistemleri sadece iş amaçlı kullanılacağından, çalışanların bu sistemler
üzerinden gönderdikleri veya sakladıkları bilgiyle ilgili bir mahremiyet beklentisi
olmamalıdır.
Yönetilen Bilgi Sistemlerindeki bilgilerin zamanında, doğru, tam ve kötü kullanıma
karşı yeterli önlemler alınarak, planlandığı şekilde kullanılması için gerekli çabayı
gösterilmelidir.
Şirket, Yönetilen Bilgi Sistemleri üzerinde bir işlemin tamamlanması amacı ile
müşteriye ait kişisel bilgileri, müşterinin yazılı onayı olmadan tedarik etmeye
çalışmamalıdır.
Yönetilen Bilgi Sistemlerindeki tüm müşteri kişisel bilgileri, sadece sağlanan hizmet
dahilinde kullanılmalıdır. Kanuni zorunluluklar veya müşterinin yazılı onayı dışında bu
bilgilerin dışarı çıkarılması söz konusu değildir. Kanuni zorunluluk nedeniyle kişisel
bilgilerin dışarı çıkarıldığı durumlarda yapılan işlem kayıtlarda tutulmalıdır.
18.
19.
20.
21.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 38/48
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
Müşterilerin, kişisel bilgilerinin Yönetilen Bilgi Sistemlerinde saklandığını teyit ettirme
hakkı vardır. Bu bilgiler Teknoloji
Müdürlüğü tarafından sağlanmalı, eğer
sağlanamıyorsa neden sağlanamadığına dair açıklaması yapılmalıdır.
Desmer Bilgi ve İletişim, Yönetilen Bilgi Sistemleri üzerinde geçmişe yönelik
yedeklenmiş olarak saklanan bilgileri istediği zaman ve periyotta inceleme hakkını saklı
tutar.
Desmer Bilgi ve İletişim, müşteri kayıtlarından elde edilen istatistiki bilgileri, müşteri
memnuniyeti zedelenmediği, müşterilerin kimlikleri açığa çıkarılmadığı ve müşteriler
bilgilendirildiği sürece üçüncü kişilere verebilir.
Desmer Bilgi ve İletişim, Yönetilen Bilgi Sistemleri ve acil durum merkezi dışında,
kendisi ve müşteri için hassas bilgileri içeren herhangi bir veritabanını veya kişisel
dosyayı tutmamalıdır.
Hassas bilgi, Yönetilen Bilgi Sistemlerindeki yüksek gizliliğe sahip, gizli, kişisel ve iç
kullanım için olan verileri kapsar.
Yönetilen Bilgi Sistemleri içinde kullanılan tüm veriler hassas bilgi olarak kabul
edilmelidir.
Yönetilen Bilgi Sistemlerinde kullanımda olan kontroller ve bu kontrollerin nasıl
gerçekleştirildiği gizli bilgi olarak kabul edilir.
Kontratlarda aksi belirtilmediği sürece, diğer bir firma tarafından teslim edilen tüm gizli
bilgilerin, kendi gizli bilgisi gibi işlem göreceğini garanti eder.
Çalışanlar, danışmanlar ve sözleşmeli personel, Yönetilen Bilgi Sistemlerinde bulunan
verileri sadece ilgili bilgi sahibinin ve Desmer Bilgi ve İletişim yönetiminin izin verdiği
işlerde kullanabilir.
Şİrket çalışanları, danışmanları, sözleşmeli personeli ve hizmet ve kaynak sağlayıcılar
çalışmaya başlamadan önce bir güvenilirlik ve gizlilik anlaşması imzalamalıdırlar.
Yönetilen Bilgi Sistemlerindeki tüm bilgiler üçüncü kişilere kapalı olmalıdır. Üçüncü
kişiler, iç bilgilerine güvenilirlik ve gizlilik anlaşması imzaladıktan sonra sadece okuma
amaçlı olarak ve yönetimin yazılı izniyle ulaşabilmelidirler.
Yönetilen Bilgi Sistemlerinde herhangi bir şekilde hassas bilgilerin silinmesi,
kaybolması, üçüncü şahıslara izinsiz gösterimi veya bu durumlardan şüphe duyulması
halinde hemen ilgili kişi Teknoloji Müdürlüğü ve ilgili birim yöneticisine haber
verilmelidir.
Şirket çalışanları, danışmanları ve sözleşmeli personeli, Yönetilen Bilgi Sistemlerinde
belirlenen eksikliklerle ilgili bilgileri şirket dışına çıkarmamalı ve hemen çözüme
kavuşturmaya çalışmalıdır.
Desmer Bilgi ve İletişim, Yönetilen Bilgi Sistemleri üzerinde yedekleme
prosedürlerinin dışında alınan hassas bilgi yedeklerini yapılacak işlemin sonuçlanması
durumunda hazırlanmış prosedürler çerçevesinde imha etmeli/edilmesini sağlamalı veya
içindeki bilgileri bir daha okunamayacak şekilde silmeli/silinmesini sağlamalıdır.
Şirket çalışanları, danışmanları ve sözleşmeli personeli, hassas bilgilerin Yedekleme
Politikası kapsamında belirtilen kurallar çerçevesinde güvenliğinden sorumludur.
Hassas bilginin dışarı çıkarılması gerekiyorsa, tarih, söz konusu bilgi ve bilgiye sahip
olan kişilere ilişkin kayıtlar tutulmalıdır.
Çalışma saatleri bitiminde tüm çalışanlar, masalarında hiçbir hassas veya değerli bilgi
bulunmayacak ve bilgilerin güvenli olarak saklandığından emin olacak şekilde çalışma
ortamlarını düzenlemelidirler.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 39/48
39.
Kullanıcıların bilgisayarlarında sakladıkları herhangi bir veriyi paylaşmaları
gerektiğinde, yerel ağda bulunan herkese açık klasörleri veya diğer güvenli
mekanizmaları kullanmalıdırlar.
2.
Verinin Kritikliği:
41.
Yönetilen Bilgi Sistemlerinin iyileştirilmesine yönelik veya iş süreçlerini aksatacak
işlemler, yoğunluğun en az yaşandığı günlerde ve saatlerde gerçekleştirmelidir.
Yönetilen Bilgi Sistemlerindeki donanımların periyodik bakımları düzenli olarak
gerçekleştirmelidir.
Yönetilen Bilgi Sistemlerinde herhangi bir probleme karşı yapılacaklar, acil durum
planlamasındaki öncelikler dikkate alınarak gerçekleştirilmeli, Bilgi Sistemleri belirli
periyotlarda iş sürekliliği açısından test edilmeli ve sonuçların raporlandığından emin
olunmalıdır.
Yönetilen Bilgi Sistemlerinin sürekliliğinin sağlanması amacıyla tüm Şirket
çalışanlarının herhangi bir durumda ulaşılabilecek tüm telefon numaraları kaydedilmeli
ve güncel tutulmalıdır. Bu politika talimatı gerektiğinde tüm personelin herhangi bir
problem anında çözüm konusunda hazır bulunmasını gerekli kılar.
Yönetilen Bilgi Sistemlerindeki donanımın, kişisel bilgisayarlar da dahil olmak kaydıyla
yönetimce onaylanmış kesintisiz güç kaynakları ile desteklenmesi sağlanmalıdır.
42.
43.
44.
45.
3.
Veri Bütünlüğü:
46.
Şirket yönetimi, Yönetilen Bilgi Sistemleri ile ilgili karar vermede zamanında, doğruluk
ve bütünlük kavramları göz önüne alınarak bilgilendirilmelidir.
Herhangi bir şekilde veri bütünlüğünü sağlayan kontroller bozulduğunda,
bozulduklarından şüphelenildiğinde veya eksikliklerinde üst düzey yönetime bu durum
hemen bildirilmelidir.
Yönetilen Bilgi Sistemleri üzerinde sürekliliği sağlayıcı otomatik olmayan herhangi bir
düzeltme yapılması gerektiğinde, bu düzeltmenin yönetimce izin verilen kişilerce
gerçekleştirildiğinden ve doğru olarak yapıldığından emin olunmasını sağlayacak
mekanizmalar kurulmalıdır.
Şirket, Yönetilen Bilgi Sistemlerinde yanlış veya kanunsuz olarak görülen ve Desmer
Bilgi ve İletişim stratejik planlarını ve hedeflerini riske edeceğini düşündüğü herhangi
bir işlemi, sistem kayıtlarından ilgili birim yöneticilerinden yazılı onay alarak çıkarma
hakkını saklı tutar.
47.
48.
49.
2.3. Yedekleme Politikası
1.
Şekerbank tarafından sağlanan sistemler için Şekerbank yedekleme politikası
uygulanmaktadır.
2.
Desmer Bilgi ve İletişim bünyesinde çağrı hizmetleri için kullanılan sistemler yedekli
olarak çalışmakta olup , sistemde oluşacak bir aksaklık durumunda yedekli sistem
otomatik olarak devreye girmektedir..
3.
Yönetilen Bilgi Sistemleri üzerindeki donanıma yönelik sistem yazılımlarına müdahale
edileceği durumlarda, iş sürekliliğini ve hassas bilgilerin kaybını göz önüne alarak,
gereken durumlarda verileri ve sistem yazılımlarını yedeklemek ve yapılacak
değişikliklerden kaynaklanan yedekleme prosedür güncellemelerini sistem değişikliği
devreye alınmadan önce gerçekleştirmek ile ilgili birimler yükümlüdür.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 40/48
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
Yönetilen Bilgi Sistemlerinde veri temizliği yapma kararı aldığında, silme işlemi
öncesinde bütün verilerin yedeklemesini prosedürler kapsamında yapmak ve saklamakla
ilgili birimler yükümlüdür.
Yönetilen Bilgi Sistemlerinde bulunan tüm hassas bilgilerin yedeklemelerini,
yedekleme prosedürlerince belirlenemediği durumlarda en az ayda bir kez olmak
kaydıyla periyodik olarak yedeklemeli ve/veya yedeklendiğini ilgili birimler takip
etmelidir.
Yönetilen Bilgi Sistemleri üzerinde alınan yedekler, yedekleme prosedürlerince
belirlenen standartlarda Teknoloji
Müdürlüğü tarafından isimlendirilmelidir.
İsimlendirmede; kimin için alındığı, tarih, zaman, versiyon numarası ve içeriği gibi
tanımlar olmalıdır. Bu bilgiler yedekleme ortamı (kartuş, tape, cd, disket, vb.) üzerine
etiketlenmeli ve ilgili yedekleme rehberi indisinde yer almalıdır.
Teknoloji Müdürlüğü, Yönetilen Bilgi Sistemlerinde bulunan tüm hassas bilgilerin
tutarlılığını, yedekleme prosedürleri çerçevesinde belirlenen zamanda ve periyotlarda
kontrol ve test etmekle yükümlüdür.
Yönetilen Bilgi Sistemlerinde bulunan tüm hassas bilgilerin yedekleri, yedekleme
prosedürlerince belirlenemediği durumlarda, en az yılda bir kez bilginin geri
kazanılabilir olup olmadığını kontrol amacıyla Teknoloji Yönetimi koordinasyonunda
alınmalı ve test edilmelidir.
Teknoloji Yönetimi, Yönetilen Bilgi Sistemlerinde bulunan tüm hassas bilgilerin
yedeklerini, yetkisiz kişiler tarafından kullanımını engellemek amacıyla, yedekleme
prosedürlerince tarif edilen ve fiziksel güvenlik politikası ile belirtilen güvenli
ortamlarda saklanmasını sağlamalıdır.
Yönetilen Bilgi Sistemlerindeki kişisel bilgisayarlarda ve iş istasyonlarında saklanılan
hassas bilgilerin yedeklenmesi tamamen kullanıcıların kendi sorumluluğundadır.
Yönetilen Bilgi Sistemlerindeki kişisel bilgisayarlarda ve iş istasyonlarında bulunan
hassas bilgilerin yedeklenmesi, kullanıcılar tarafından arşivlendiğinden emin olunan
ortak bir ağ dizinine taşınması halinde ilgili ilgili birimlerinin sorumluluğu altındadır.
Herhangi bir şekilde alınan yedekten emin olunamaması veya tek kopya olması
durumunda başka bir yedekleme kopyası alınmalı ve ancak bundan sonra geri kazanım
amacıyla kullanılmalıdır.
Yönetilen Bilgi Sistemlerinde bulunan hassas bilgilerin yedeklendiği ortamlar (kaset,
disket, CD vb.) kalite ve kayıt yapma fonksiyonalitesinin sürekliliğinden emin olmak
amacıyla test edilmelidir. Emin olunamayan, kullanılmış ve artık güvenilir şekilde bilgi
saklayamayan ortamlar yedekleme işleminde kullanılmamalı ve imha edilmelidir.
Ayrıca her bir ortam için en çok kullanım süreleri tanımlanmalı ve bu sürelere uygunluk
Yönetilen Bilgi Sistemlerinde bulunan hassas bilgilerin yedekleri, yedekleme
prosedürlerince belirlenmiş bilgi hassasiyet derecesi ve sektörün kanuni saklama
yükümlülüklerini de göz önüne alarak ilgili birimlerce saklanmalıdır.
2.4. Erişim Politikası
1.
Yönetilen Bilgi Sistemlerine erişim sadece geçerli ve yetkili kullanıcılar tarafından
2.
Yönetilen Bilgi Sistemleri üzerinde yetkili kullanıcı erişimleri görev tanımlarında
belirtilen sorumlulukları gerçekleştirebilecek düzeyde olmalıdır.
3.
Yönetilen Bilgi Sistemlerine giriş izni verilmesi, yetki sınırlandırması, yetkilerin
kaldırılması bu talimatta belirtilen kurallar çerçevesinde düzenlenmelidir.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 41/48
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
Kullanıcıların yönetilen Bilgi Sistemlerine erişimi, kişiye özel kullanıcı ve şifre tanımı
yapıldıktan sonra mümkündür.
Yönetilen Bilgi Sistemleri içerisine yerel ağ dışından bir bağlantının kurulması ancak
Teknoloji Yönetiminin onayı ve güvenilir teknikler kullanılarak gerçekleştirilmelidir.
Yönetilen Bilgi Sistemleri üzerindeki yazılımların izin verdiği ölçüde; ilk giriş
ekranlarında; sistemin sadece yetkili kullanıcılar tarafından kullanılması, sistemin
kullanılmaya devam edildiği sürece kullanıcının yetkili kullanıcı olarak
değerlendirileceği, yerel ağ üzerindeki tüm teçhizat ayarlarının Erişim ve Şifreleme
Politikaları’na göre yapılması gerektiği belirtilmelidir.
Yönetilen Bilgi Sistemlerine ilk giriş sürecinde tüm kullanıcılar bir kullanıcı kodu ve
şifre soran ilk giriş ekranı sayesinde sistemleri kullanmaya başlamalıdır. Sistem
yöneticileri, bir kullanıcının sisteme girişi gerçekleştikten sonra doğru uygulamalarda
yetkisi dahilinde işlem yapabilmesini, yetkisi dahilinde kritik bilgilere erişimini
sağlamakla yükümlüdür.
Yönetimce belirlenmiş süreler dahilinde iş istasyonları veya terminaller üzerinde
herhangi bir aktivite olmadığı takdirde açılmış olan oturum otomatik olarak bekleme
moduna alınmalı, herhangi bir aktivite yapılmak istediğinde kullanıcının ilk giriş süreci
tekrar başlatılmalıdır. Kullanıcılar kendi istekleri doğrultusunda ekran koruyucularını
devreye alabilmeli fakat tekrar kullanmaya başlamaları ancak yetkili kullanıcı kodu ve
şifre ile mümkün olmalıdır.
Yönetilen Bilgi Sistemleri ağlarına misafir kullanıcı kodu ile girilmesi engellenmelidir.
Kullanıcılar yönetici kullanıcı kodu ile girebileceği her sisteme önce kendi kullanıcı
kodu ile girmeli daha sonra yönetici yetkisi ile kaydolmalıdır. Gerçekleştirilen her
kullanıcı değişikliği aynı sistem üzerinde kesinlikle kaydedilmelidir.
Bilgi Sistemlerine erişim mümkün olduğu ölçüde aşağıda belirtilen şekilde
sınırlandırılmalıdır.
10.1. Fiziksel Ağ Erişimi : Sadece bilinen ve kayıtlı cihazlar ve/veya kartlar yerel ağ
omurgasına bağlanmalıdır. Ağ ekipmanı, ağa bağlanmaya çalışan yabancı ağ
aygıtlarını tanımlayabilecek şekilde düzenlenmelidir.
10.2. Mantıksal Ağ Erişimi : Bilgi Sistemleri üzerindeki tanımlı tüm kullanıcılar ağda
bulunan kaynaklara erişim izni kazanmadan önce ağ seviyesinde doğrulanmalıdır.
10.3. İşletim Sistemi Erişimi : Sadece etkileşimli sistem erişimine ihtiyacı olan
kullanıcıların direkt olarak ağ sunucularına bağlanmalarına izin verilmelidir.
10.4. Uygulama Erişimi : Tüm kullanıcılar kendilerine tanımlı işlerin yapılabilmesi
için gereken uygulamaları kullanmadan önce doğrulanmalıdırlar.
Bilgi Sistemleri, yeni kullanıcı kimliği tanımlanması ve/veya değiştirilen
yetkilendirmeler için Teknoloji Müdürlüğü’ne yapılan başvurular yazılı olarak
yapılmalı ve kullanıcının bağlı olduğu müdür tarafından onaylanmalıdır. Bu tür talepler
yönetimin belirlemiş olduğu sürece saklanmalıdır. Servis ve hizmet sağlayıcıları ve
danışmanlar için ise Birim Müdürü onayı olmadan kullanıcı tanımı ve yetkilendirme
gerçekleştirilemez.
Servis ve hizmet sağlayıcılar ile danışmanlar için verilen ayrıcalıkların süresi
gerçekleştirilen işlerin süresi ile sınırlı olmalıdır. Erişim yetkileri, sadece yapılacak olan
işlemin gerektirdiği ölçüde tanımlanmalıdır.
Servis ve hizmet sağlayıcılar ile danışmanlardan, yürürlükte olan Bilgi Güvenliği
Politikaları Maddesine uygun biçimde hareket edeceklerini kabul ettiğine dair imza
alınmalıdır.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 42/48
14.
15.
16.
17.
18.
19.
20.
21.
22.
Özel sistem ayrıcalıkları, sadece sistem yöneticileri ve sistem güvenliğinden sorumlu
kişilerce, gerekli sayıda sınırlandırılmalıdır.
Yönetimce belirlenmiş hareketsizlik periyodu sonunda o kullanıcı kimliği için tüm
yetkilendirme ve ayrıcalıklar iptal edilmelidir.
Yönetilen Bilgi Sistemleri üzerinde erişim kontrol alt sistemi düzgün olarak
çalışmıyorsa, kullanıcılara verilen ayrıcalıklar kaldırılmalıdır. Eğer erişim kontrol alt
sistemleri yanlış çalışıyorsa, destek verdikleri sistemler problem düzeltilinceye kadar
kullanım dışı bırakılmalıdır.
Kullanıcılar, MIS ve Teknoloji Müdürlüğü Birim Müdürünün yazılı izni olmaksızın,
yönetilen Bilgi Sistemlerinin güvenlik kurallarını test etmemelidirler. İzinsiz sistem
kırma denemeleri, şifre kırma denemeleri, lisanssız ve onaysız yazılım kopyalama veya
güvenlik kurallarını aşmaya yönelik diğer izinsiz girişimler Bilgi Güvenliği Politikaları
Maddesinin ihlali olarak kabul edilir. Güvenlik mekanizmalarının denenmesine yönelik
istek, Teknoloji Müdürlüğü Birim Müdürünün yazılı onayı ile gerçekleştirilir.
Kullanıcılara verilen sistem erişim yetkilendirmeleri ve ayrıcalıkları altı (6) aylık
periyotlar halinde yönetimce gözden geçirilmelidir. Kullanılmayan kullanıcı ve yetki
tanımlarını sistem üzerinden kaldırmalıdır.
Bilgi Sistemleri kullanıcılarının yetki talep ve değişiklikleri, mail aracılığı ile bağlı
olunan birim yöneticilerince Teknoloji Müdürlüğü’ne iletilmelidir.
Herhangi bir kullanıcının işten çıkarılma veya ayrılması Teknoloji Müdürlüğü’ne
derhal iletilmeli, Teknoloji Müdürlüğü tarafından kullanıcının sahip olduğu tüm erişim
yetkileri kaldırılmalıdır.
Yönetilen Bilgi Sistemlerine erişimi olan servis ve hizmet sağlayıcılar ile danışmanların
işten çıkarılmaları bağlı oldukları kurumca Teknoloj, ve MIS Müdürlüğü’ne derhal
bildirilmelidir.
Yönetilen Bilgi Sistemleri üzerindeki tanımlı kullanıcıların erişim yetkileri sadece
yapacakları işin tanımı ile ilgili olarak, kullanılacak sistem, iletişim cihazları ve
dosyalar ile kısıtlı olmalıdır.
2.5. İletişim Politikası
1.
Aranma Bağlantıları:
1.
Tüm aranma bağlantıları Teknoloji Müdürlüğü tarafından tanımlanan ve onaylanan
prosedürler çerçevesinde merkezi olarak yönetilen uzaktan erişim araçları (modem gibi)
üzerinden gerçekleşmelidir.
Yönetilen Bilgi Sistemlerine dışarıdan erişmeye çalışan kullanıcılar bu isteklerini
gerçekleştirmeden önce güvenlik seviye ayarları daha önceden tanımlanmış, denenmiş
ve Teknoloji Müdürlüğü tarafından onaylanmış ek bir güvenlik katmanı (firewall)
üzerinden geçerek gerçekleştirmelidir.
Çalışanlar, danışmanlar, sözleşmeli personel ile servis ve hizmet sağlayıcılar yönetimin
iznini almadan mevcut yerel ağlara dışarıdan erişim bağlantısı kuramazlar.
Yönetilen Bilgi Sistemlerindeki donanımlar üzerinde, servis ve hizmet sağlayıcılar
tarafından dışarıdan erişilerek acil olarak yapılması gereken düzenlemeler olduğunda;
sistemler üzerindeki dışarıdan erişim noktaları aktif edilmeli, işlem sonlandığında ise
hemen kapatılmalıdır.
Yönetilen Bilgi Sistemleri üzerinde dışarıdan erişime ilişkin her türlü bilgi hassas olarak
nitelendirilir. (Dışarıdan erişimi karşılayan telefon numaraları gibi). Bu bilgiler herhangi
bir şekilde ilgili personel dışında açığa çıkarılamaz ve ifşa edilemez.
2.
3.
4.
5.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 43/48
6.
7.
8.
9.
10.
11.
12.
Yukarıdaki madde kapsamında kullanılan bu gizli bilgiler periyodik olarak ilgili yönetici
tarafından değiştirilmelidir.
Bilgi Sistemlerine ağ dışından gelen tüm aramalar geliştirilmiş ve güvenliği kabul
edilmiş kullanıcı doğrulama sistemleri tarafından korunmalıdır. Bu tip sistemler geri
arama araçları, akıllı kartlar gibi geleneksel şifreleme sisteminden daha fazla güvenlik
sağlayan teknolojileri içermelidir.
Yönetilen Bilgi Sistemlerine dışarıdan erişim kurallarına ve standartlarına uygunluk, her
yeni eklenen modem için kontrol edilmelidir.
Yönetilen Bilgi Sistemlerine bağlantı kurmak isteyen kullanıcı, doğru şifreyi 3(üç)
ardışık deneme ile sağlayamadıysa, bağlantı imkanı otomatik olarak kesilmelidir.
Tüm dış kullanıcı arama erişimleri Şifreleme Politikası Maddesinde belirtilen kurallara
uygun ve kontrol altında olmalıdır.
Tüm erişim kontrolleri Erişim Politikası Maddesinde belirtilen kurallara ve kontrollere
uygun olmalıdır.
Kullanıcıların kendi kullandıkları modemler ile ağa erişimlerine izin verilmemelidir.
Kullanıcılar kendi kişisel bilgisayarlarına bağlı modemleri otomatik cevaplama
modunda bırakmamalıdır.
2.
Arama Bağlantıları:
13.
14.
Yönetilen Bilgi Sistemlerine ilişkin hassas bilgiler şifrelendirilme mekanizması
olmadan herhangi bir iletişim aracı ile ağ dışına çıkarılamaz.
Yönetilen Bilgi Sistemleri içinden yapılacak arama bağlantıları belirli kurallar ve
standartlar çerçevesinde gerçekleştirilmeli ve mutlaka yerel ağ bağlantısı kesilmiş
olarak gerçekleştirilmelidir.
3.
Erişim Kontrolleri:
15.
Yönetilen Bilgi Sistemleri, Teknoloji Müdürlüğü tarafından onaylanan erişim kontrol
sistemleri aktif hale getirildikten sonra, diğer ağ bağlantıları (internet, dış erişim hatları
gibi) için etkin hale getirilmelidir.
Dışarıdan servis ve hizmet sağlayıcıları aracılığı ile yönetilen bilgi sistemlerine
dışarıdan erişim için verilecek haklar, Teknoloji Müdürlüğü tarafından onaylandıktan,
erişimler denetlendikten, kısıtlı süreler dahilinde gerçekleştirildikten ve bu kuralların
kabul edildiğini gösteren yazılı onay alındıktan sonra verilmelidir ve gerekli güvenlik
düzenlemeleri (şifre verme, şifre iptali, sürekli beraber çalışma, vb.) yapılmalıdır.
Sahip olunan tüm hassas verinin saklanması ve iletilmesi Şifreleme Politikası’na uygun
olarak gerçekleştirilmelidir.
16.
17.
4.
Erişim Yollarının Kurulumu:
18.
Yönetilen Bilgi Sistemleri iç ağlarındaki değişiklikler (yeni yazılım yükleme, ağ adresi
değişimi, router konfigurasyonu, yeni dial up bağlantı eklenmesi gibi) standart bir form
aracılığı ile talep edilmeli ve Bilgi Teknolojileri ilgili birimleri tarafından
onaylanmalıdır.
Yönetilen Bilgi Sistemleri iç ağlarındaki acil durum değişiklikleri sadece Teknoloji
birimince yetkilendirilmiş kişilerce yapılmalıdır.
Tüm kullanıcılar Teknoloji Yönetiminin spesifik izni olmadan bilgi iletişimi amacıyla
elektronik panolara, yerel ağlara ve diğer çok kullanıcılı sistemlere modem bağlantısı
kurmamalıdır. Aynı şekilde, gerekli izin alınmadan, yönetilen bilgi sistemleri içerisinde
19.
20.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 44/48
21.
22.
iki ya da daha fazla bilgisayar sistemi arasında yeni gerçek zamanlı bağlantı türleri
kurulmamalıdır.
Yönetilen Bilgi Sistemleri üzerinden aralıklı veya sürekli olarak iç veya dış ağa bağlı
olan tüm donanımlar üzerine şifre bazlı erişim kontrolleri konmalı ve kullanılmalıdır.
Yönetilen Bilgi sistemleri iç ağlarına bağlı çevirmeli hatlarla ve/veya çok kullanıcılı
bilgisayar sistemleri ile katılan kullanıcılar (kurumsal bağlantılar, iştirakler, vb.) Desmer
Bilgi ve İletişim iç ağına bir erişim kontrol noktasından (firewall gibi) geçtikten sonra
ulaşabilmelidir.
5.
Üçüncü Grupların Erişimi:
23.
24.
25.
Üçüncü gruplar tarafından gerçekleştirilmeye çalışılan tüm bağlantılar doğrulanmalıdır.
Tüm bağlantılar uygun bir ağ güvenliği aygıtı üzerinden geçirilmelidir. (firewall gibi)
Tüm bağlantıların, önceden belirlenmiş erişim kontrollerinden geçirildikten sonra ve
doğrulama ekranı ile iç kaynaklara erişimine izin verilmelidir.
Kabul edilen bağlantılar üzerinden başka kaynaklara erişim router, gateway veya diğer
ağ bileşenleri ile kısıtlanmalıdır.
26.
2.6. Kullanıcı Destek Politikası:
27. Kullanıcı talepleri veya problemleri Şirket tarafından belirlenmiş süreler içerisinde
gerçekleştirilmeli verilecek destek ise yine Şirket tarafından belirlenmiş süreler
içerisinde sağlanmalıdır.
28. Kullanıcı talepleri veya problemleri sözlü, yazılı veya elektronik ortamlarda
oluşturulmalı, hızlı ve etkin bir şekilde çözümünün sağlanması amacı ile Sistem ve
Teknoloji Servisi’ne iletilmelidir.
29. Sistem ve Teknoloji Servisine yardım almak için başvuran kullanıcılar, telefon veya
mail aracılığı ile problem sahibinin sicil numarası, problemin yaşandığı bilgisayarın
envanter numarası, problem sahibi ile iletişim ( e-mail, telefon no ) bilgileri ve
problemin net tarifini iletmelidir.
30. Kullanıcılardan gelen talepler veya problemler Sistem ve Teknoloji servisi tarafından
belirlenen süre içinde sınıflandırılarak (Network, Yazılım, Donanım, Eğitim İhtiyacı
gibi) önceliklendirilmeli (çok acil, yüksek, orta, düşük gibi) ve kullanıcılar tahmini
çözüm süreleri ile ilgili bilgilendirilmelidir.
31. Kullanımda olan uygulamalara ait kullanıcı el kitapları oluşturulmalı ve belirlenen
periyotlarda güncellenmelidir.
32. Kullanılmakta olan Bilgi Sistemleri problemlerinin çözümü için Teknoloji Müdürlüğü
tarafından hazırlanan prosedürlere uyulmalıdır.
33. Kullanıcı problemleri ile ilgili analizler periyodik olarak yapılmalı ve sonuçları
Yönetime periyodik olarak sunulmalıdır.
34. Sistem ve Teknoloji Operasyon Servisi karşılaştığı sorunların analizi sonucunda, ilgili
proje grupları tarafından iyileştirme çalışmaları planlanmalıdır.
35. Kullanıcıların büyük bir çoğunluğunu etkileyen problemler oluştuğu anda tüm
kullanıcılara duyurulmalıdır. Aynı şekilde çözümün gerçekleşmesini takiben problemin
çözüldüğü bilgisi tüm kullanıcılara duyurulmalıdır.
36. Bilgi Sistemleri üzerinde gerçekleştirilecek olan değişikliklerden veya yeniliklerden
Sistem ve Teknoloji Servisi önceden haberdar edilmelidir.
37. Kullanıcı anketleri ile kullanıcıların eğitim ve destek hizmetleri konusundaki
memnuniyeti takip edilmelidir.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 45/48
2.7. Proje ve Kalite Yönetimi Politikası:
1.
Yönetilen Bilgi Sistemleri üzerinde gerçekleştirilmesi öngörülen projeler hizmet
edeceği amaca baz olacak şekilde detaylı olarak tanımlanmalı ve sınıflandırılmalıdır.
2.
Tanımlanan ve sınıflandırılan projeler, hedefler, kapsam, katılımcılar, kaynak
gereklilikleri tanımlanarak detaylı bir şekilde analiz edilmeli, fizibilite çalışması
3.
Yönetilen Bilgi Sistemleri üzerinde gerçekleştirilmesi öngörülen projelerle ilgili iş
dağılımı, iletişim ve fonksiyonalite bazında detaylandırılmış proje planları
oluşturulmalıdır.
4.
Hazırlanan detaylı proje planları doğrultusunda uygulama süreci gerçekleştirilmelidir.
5.
Güvenilir bir proje yönetimi fonksiyonu geliştirilmeli, hayata geçirilmeli ve proje
yönetimi yaklaşımında standardizasyon sağlanmalıdır.
6.
Yönetilen Bilgi Sistemlerinde ürün geliştirme süreci içerisine kalite yönetimi özellikleri
dahil edilmelidir.
7.
Tüm platformlar üzerinde gerçekleştirilen ürün geliştirme çalışmaları için tutarlı ve
standart bir metod geliştirilmelidir.
8.
Teknoloji Müdürlüğü standart, talimat, prosedür ve süreçlerin etkin ve etkili olması için
uygun risk yönetimi ve kontrolleri çerçevesinde Kalite Yönetimi uygulanmalıdır.
9.
Proje ve Kalite Yönetimi, Teknoloji Müdürlüğü standart, prosedür ve talimatların
geliştirilmesinde görev almalıdır.
10. Şirket yönetimi mevcut tüm işleri; talimat, prosedür ve standartlar ile yönetsel
düzenlemelere uygun olarak gerçekleştirmeli, riskleri kontrol altında tutmalı ve en aza
indirgemeye çalışmalıdır.
11. Yönetilen Bilgi Sistemleri içerisinde varolan standart, talimat, prosedür ve süreçlerin
etkinliği, değer ve kalite güvencesi açılarından incelenmeli, eksik olan standart, talimat,
prosedür ve süreçler belirlenmeli ve tanımlanmalıdır.
12. Yönetilen Bilgi Sistemleri içerisinde proje durum ve ilerleme değerlendirmeleri
yapılmalı, projelerin metodoloji ve standartlara uygunluğu değerlendirilmelidir.
13. Yönetilen Bilgi Sistemleri içerisinde proje durum ve ilerleme değerlendirmeleri
yapılarak yüksek riskli veya sorunlu projeler belirlenmeli ve izlenmelidir.
14. Şirket personeli ve Yönetilen Bilgi Sistemleri içerisindeki kullanıcılar belirlenmiş
standart, talimat ve prosedürler konusunda eğitilmelidir.
2.8. Şifreleme Politikası:
1.
Yönetilen Bilgi Sistemlerinde bulunan tüm hassas bilgiler herhangi bir iletişim ağı
üzerinden iletildiğinde şifrelenmiş olarak gönderilmelidir. Hassas bilgi aktif olarak
kullanılmadığı durumda güvenli bir şekilde saklanmalıdır. “Çok gizli” sınıfındaki
bilgiler bulundukları ortamda şifrelenmiş olarak saklanmalıdır.
2.
Yönetilen Bilgi Sistemleri üzerindeki şifrelemeler Bilgi Teknolojilerince kabul edilmiş
profesyonel ürünler kullanılarak gerçekleştirilmelidir.
3.
Yönetilen Bilgi Sistemleri üzerindeki şifreleme anahtarları hassas bilgi olarak
nitelendirilir ve bu anahtarlara erişim sadece sınırlı ve yetkili personel tarafından
gerçekleştirilmelidir. Teknoloji
Müdürü’nün yazılı izni olmadan bu anahtarlar
danışmanlara ve servis ve hizmet sağlayıcılara verilmemelidir.
4.
Şifrelemede genel kabul görmüş standartlar ve uygulamalar kullanılmalıdır.
5.
Yönetilen Bilgi Sistemleri ağı içerisindeki bilginin korunması için manuel yerine
otomatik şifreleme kullanılmalıdır.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 46/48
6.
7.
8.
9.
10.
Yönetilen Bilgi Sistemleri üzerindeki şifreleme anahtarları, tek bir kişinin bilgisi
dahilinde olmamalı, kritiklik seviyesine göre en az iki veya üzeri personelin, gerektiği
durumda ulaşabileceği, ancak koruma altında saklanacak şekilde olmalıdır.
Şifreleme anahtar yönetiminin sorumluluğu, Teknoloji Müdürü tarafından geçmişi
incelenmiş, operasyonel güvenlik denetiminden geçmiş ve gizlilik anlaşması
imzalanmış bir gruba verilebilir.
Şifreleme yapıldığında o şifreleme ile ilgili anahtar, farklı bir iletişim mekanizması ile
kopyalanamayacak ve tahmin edilemeyecek bir şekilde karşı tarafa iletilmelidir.
Yönetilen Bilgi Sistemleri üzerinde şifreleme yapıldığında şifre anahtarları oluşumunda
kullanılan hiçbir tür doküman açıkta bırakılmamalı ve tamamı kontrol altında
tutulmalıdır.
Şifreleme, hassas veriyi şifrelemek için kullanıldığında, verinin sahibi şifreleme anahtar
yönetimi ile ilgili sorumluluğu almalıdır.
2.9. Ürün Geliştirme Politikası:
1.
Yönetilen Bilgi Sistemleri üzerinde gerçekleştirilecek ürün geliştirme, yeni bir yazılım
alımı ve değişiklik fonksiyonları öncesi güvenlik ihtiyaçları açık ve net bir şekilde
belirlenmelidir. Bu kapsamda güvenlik ve diğer konularda (kullanım kolaylığı,
operasyonel basitlik, güncelleme kolaylığı, uygun maliyet gibi) uygun bir denge
kurulabilmesi amaçlı olarak, ilgili Sistem Geliştirme fonksiyonlarını yerine getirecek
personel ve/veya servis ve hizmet sağlayıcılar ile birlikte diğer alternatif çözümler
değerlendirilmelidir.
2.
Yönetilen Bilgi Sistemleri üzerinde tüm ürün geliştirme ve bakım hizmetlerinin yerine
getirilmesinde Ürün Geliştirme Politikası’na uygun olarak hareket edildiği üst düzey
yönetimce kontrol edilmelidir.
3.
Yönetilen Bilgi Sistemleri üzerinde uygulamaya alınmış bir ürün, istenilen ve gerekli
olan sonuçların alınmasında başarısız olduğunda, kullanıcılar, hata mesajı ve/veya
bilgilendirme mesajı ile uyarılmalıdır.
4.
Yönetilen Bilgi Sistemleri üzerinde geliştirilen hassas, değerli ve kritik verileri işleyen
tüm uygulamaların, belirlenmiş standartlarda teknik ve fonksiyonel spesifikasyonları;
yazılı olarak dokümante edilmeli ve standartlara uygunluğu Teknoloji yönetimince
5.
Yönetilen Bilgi Sistemleri üzerinde geliştirilen uygulamaların üretim ortamına alınması
ile birlikte; yazılım uzmanlarının ve teknik personelin geliştirme aşamasında ihtiyaç
duydukları ve kullandıkları tüm erişim hakları ve sistem ayrıcalıkları kaldırılmalı ve
6.
Teknoloji Yönetiminin aksini ifade etmediği sürece tüm uygulama geliştirme
aşamalarında yönetimce onaylanmış uygulama geliştirme platformları, araçları ve
teknikleri kullanılmalıdır.
7.
Yönetilen Bilgi Sistemleri üzerinde geliştirilen tüm uygulamalar Yazılım Geliştirme
kodlama standartları ve veritabanı isimlendirme standartlarına uygun olarak
geliştirilmelidir.
8.
Yönetilen Bilgi Sistemleri üzerinde geliştirilen denetim, eğitim, test vb. üretim ortamı
ile doğrudan ilgisi olmayan yazılımlar, herhangi bir hatalı veri güncellenmesine karşı
üretim ortamından ayrı olarak sınıflandırılmalı ve saklanmalıdır.
9.
Yönetilen Bilgi Sistemleri üzerinde geliştirilen uygulamaların test edilme aşamasında
gerekli test donanım ve yazılımları sadece Teknoloji Yönetimince yetkili kılınan
personel tarafından ve BT Yönetiminin kontrolü altında kullanılmalıdır.
Onay:
Onay:
10.YNT.POL.01
Sayfa: 47/48
10.
11.
12.
13.
14.
15.
16.
17.
Ürün Geliştirme servislerine yönetimce yetkilendirilmiş ve güvenilir kişilerin erişmesi
sağlanmalı, yapılan tüm işlemler izlenebilmeli ve gerçekleştirilen faaliyetler yönetimce
Üretim ve geliştirme ortamları uygun koşullar sağlandığı takdirde fiziksel olarak
kesinlikle birbirlerinden ayrılmalı, eğer mevcut ortam bu ayrıma müsait değil ise erişim
ve güvenliği sıkı olarak kontrol edilen ayrı dizinler halinde saklanmalıdır.
Proje Yönetimi çalışanlarına hiçbir şekilde üretim ortamı verilerine erişim hakkı
tanınmamalıdır. Bu kurala getirilecek istisnalar sadece Teknoloji Müdürlüğü’nün onayı
ve gözetimi ile geçici bir süre için gerçekleştirilmelidir.
Yazılım Geliştirme sürecinde çalışanlar, geliştirilen uygulamaların test edilmesinde ve
uygulamanın operasyonel sürecinde bifiil yer almamalı, testler ve operasyonel işlemler
diğer bağımsız birimler tarafından gerçekleştirilmelidir.
Yazılım Geliştirme sürecinde çalışanlar, üretim ortamı taşımalarını standart ve
prosedürlerde belirlenen kurallar çerçevesinde yerine getirmelidir.
Her bir proje bileşeninin tamamlanması için gerekli olan kaynakların belirlenmesi
sırasında gerçekçi tahminler yapılmalı ve daha sonra, onaylanan bütçe ve proje planı
çerçevesinde projenin tamamlanması için gerekli çaba gösterilmelidir.
Yönetilen Bilgi Sistemleri üzerinde Yazılım Geliştirme sürecinde kaydedilen
gelişmelerden iş birimleri ve yönetim belirlenen periyotlarda haberdar edilmeli, süreci
etkileyecek risk taşıyan sorunlar ortaya çıktığında derhal iş birimleri ve yönetim
bilgilendirilmelidir.
Boyutu ne olursa olsun gerçekleştirilen tüm Bilgi Teknolojileri projelerinde, proje
gelişiminin takip edilebildiği ve proje risklerinin kontrol altında tutulabildiği düzgün bir
çerçeve oluşturmak amacıyla, Yazılım Geliştirme Süreci Metodolojisi kullanılmalıdır.
2.10. İnternet Güvenliği Politikası:
1.
Yönetilen Bilgi Sistemleri dahilindeki tüm kullanıcılar İnternet Güvenlik Politikası’nı
okumalı ve uygulamalıdır.
2.
Çalışanlar, danışmanlar, sözleşmeli personel, servis ve hizmet sağlayıcılar yönetimce
kendilerine verilen yetkiler çerçevesinde interneti kullanabilirler.
3.
Desmer Bilgi ve İletişim’ın iletişim kaynakları, hizmet verilen sektörlerdeki işler, iş
süreçlerinin geliştirilmesi ve iyileştirilmesi amacıyla kullanılabilir. Bu süreçlerin
aksaması, kullanıcının görev tanımlarında belirtilen işleri yerine getirememesi veya
diğer kullanıcıların performanslarını etkilemesi durumunda iletişim kaynaklarının
kullanımı kısıtlanır.
4.
Kullanıcılar interneti kullanmadan önce ‘Firewall’ veya ‘Proxy’ gibi bir güvenlik
yazılımı/donanımı ile doğrulanmalıdır.
5.
Hassas bilgilerin internet üzerinden taşınması gerektiğinde bu bilgiler kesinlikle ek
şifreleme mekanizmaları ile korunmalıdır.
6.
Yönetilen Bilgi Sistemleri üzerinde internet erişimi sağlayabilen donanımlar, fiziksel ve
mantıksal güvenliği sağlanarak kontrol altında tutulmalıdır.
7.
Firewall işlerliği düzenli testler ve otomatik izleme/uyarı sistemleri ile takip edilmelidir.
8.
İş sürekliliğinin devamlılığını tehdit edecek herhangi bir bilgi (sistem kullanım şifreleri,
güvenlik parametreleri vb.) internet üzerinden şifrelenmeden, okunabilecek bir şekilde
gönderilmemelidir.
9.
Yönetilen Bilgi Sistemleri üzerinde, iş süreçlerinin devamlılığı için; üçüncü taraf
şirketler ile hiçbir yazılı anlaşma olmadan internet üzerinden veri veya yazılım
Onay:
Onay:
10.YNT.POL.01
Sayfa: 48/48
10.
11.
12.
transferini gerçekleştirilemez. Yapılacak anlaşma bilginin içeriğini, güvenlik koşullarını
ve transfer mekanizmasını da içermelidir.
Yönetim, çalışanlarının internette yaptıkları hareketleri izlemeyi sağlayacak
mekanizmayı kurmalı ve aktivitelerin raporlanmasını takip etmelidir. Bu konunun
varlığı konusunda çalışanlar bilgilendirilmelidir.
Desmer Bilgi ve İletişim, Yönetilen Bilgi Sistemleri üzerinde uygun internet kullanımını
garanti altına almak ve yetkisiz kullanıma karşı korumak amacıyla gerekli gördüğü
zamanlarda inceleme, denetim ve kaydetme fonksiyonlarını saklı tutar.
Yönetilen Bilgi Sistemleri donanımları doğrudan internet tarafından erişilebilen bir ağ
yapısı içinde korumasız olarak yer almamalıdır.
2.11. E-Posta Politikası:
1.
Yönetilen Bilgi Sistemlerinde verimliliği arttırıcı etkisinden dolayı iş amaçlı elektronik
iletişim kullanılmalıdır. Tüm elektronik iletişim sistemleri, bu sistemlerce iş amaçlı
üretilen veya yönlendirilen tüm mesajlar Desmer Bilgi ve İletişim’nin malıdır.
2.
Elektronik iletişim sistemleri, değişik kullanıcıların gerçekleştirdikleri aktiviteleri ayırt
edebilecek bir düzeyde konfigüre edilmelidir.
3.
Yetkisiz kullanıcıların elektronik iletişim sistemlerine erişememesi için seçilen şifreler
Şifre Politikası Maddesi’nde belirtilen kriterlerde olmalıdır.
4.
Yönetilen Bilgi Sistemlerine gelen bir elektronik posta, Teknoloji Müdürlüğü’nün izni
olmadan Yönetilen Bilgi Sistemleri dışına otomatik olarak yönlendirilmemeli ve
iletilmemelidir.
5.
Elektronik iletişim aracılığı ile Yönetilen Bilgi Sistemlerinde hassas bilgi transferinin
yapılacağı durumlarda uluslar arası standartlarda, Teknoloji Müdürlüğü’nce onaylanmış
güvenlik mekanizmaları kullanılarak iletişim sağlanmalıdır.
6.
Elektronik iletişimlerin incelenmesi, herhangi bir çalışanın iletişim bilgilerini kişisel
merak veya yetkisiz bir kişiden alınan yazılı onay ile gerçekleşemez. Böyle bir işlem,
ilgili iş birimi yöneticisinin ve Teknoloji Müdürlüğünün yazılı onayı ve bu isteğin kayıt
altına alınması ile mümkündür.
7.
Çalışanlar yönetimin onayı olmadan elektronik iletişimde Desmer Bilgi ve İletişi’ı
temsil etmemeli ve adına konuşmamalıdır. Gönderilen elektronik postalar ile Desmer
Bilgi ve İletşim’ın bir bağlantısı olmadığı postaların sonuna otomatik olarak
eklenmelidir ve karşı taraf bilgilendirilmelidir.
8.
Yönetilen Bilgi Sistemleri üzerinden, Desmer Bilgi ve İletişim’ın kurumsal kimliğine
zarar verecek konularda elektronik posta yollanması yasaktır.
9.
Elektronik posta kullanımında fonksiyonaliteyi ve izinsiz kullanıma karşı korumayı
garantilemek amacıyla izleme, kaydetme ve periyodik olarak denetleme yapılabilir.
Buna ek olarak Desmer Bilgi ve İletişim, kullanıcı bilgisayar hesaplarına veya
iletişimlerine erişme hakkına sahiptir. Böyle bir denetim sonucu elde edilen bilgi,
gerekli üçüncü kurumlara ve kanun uygulayıcılarına açık edilebilir.
10. İş amaçları açısından gerekliliği kalmayan mesajlar ve şahsi mesajlar kullanıcılar
tarafından elektronik mesaj saklama alanlarından silinmelidir. Belirli bir periyod
sonunda (genelde altı ay) kaset, disk, CD, DVD gibi veri saklama ortamlarındaki
elektronik mesajlar otomatik olarak silinmelidir.
Onay:
Onay:

Bilgi Güvenliği Politikası için tıklayınız.

Transkript

Benzer belgeler

Emir Gerçekleştirme Politikaları