Bilgi Güvenliği Politikası için tıklayınız.
Transkript
Bilgi Güvenliği Politikası için tıklayınız.
10.YNT.POL.01 Sayfa: 1/48 BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel İÇİNDEKİLER AMAÇ:.......................................................................................................................................3 KAPSAM :..................................................................................................................................3 TANIMLAR :..............................................................................................................................4 İLGİLİ DOKÜMANLAR:..........................................................................................................5 GENEL PRENSİP VE KURALLAR:.........................................................................................5 UYGULAMA.............................................................................................................................6 1. Desmer Bilgi ve İletişim Kurumsal Güvenlik Politikası....................................................6 1.1. Şirket Güvenlik Politikası:...........................................................................................6 1. İşletme Politikası:.....................................................................................................6 2. Risk Yönetimi...........................................................................................................6 3. Yönetim Sorumlulukları:..........................................................................................6 4. İç Disiplin:................................................................................................................6 5. Eğitim:......................................................................................................................6 6. Uyum:.......................................................................................................................7 1.2. BT Güvenlik Sorumlulukları........................................................................................7 1. Genel İlkeler:............................................................................................................7 2. İstisnalar:..................................................................................................................7 3. Genel Yönetim:.........................................................................................................7 4. Teknoloji Müdürlüğü...............................................................................................8 5. Son Kullanıcılar ve Tüm Personel............................................................................8 6. Teknoloji Birim Müdürü:.........................................................................................9 7. Teknoloji Birim Yönetmeni ve Yönetmen Yrd.:......................................................9 8. Teknoloji Birim Uzman ve Yardımcısı:...................................................................9 9. Bilgi Güvenliği Politikası Sorumlusu:....................................................................10 10. Bilgi Güvenliği Komitesi:......................................................................................10 11. Sistem ve Teknoloji Servisi:...................................................................................11 12. Operasyon Müdürlüğü:...........................................................................................11 13. Eğitim Birimi:.........................................................................................................11 1.3. İşletme Bilgi Güvenliği Risk Değerlendirmesi..........................................................11 1. Genel İlkeler:..........................................................................................................11 2. Risk Değerlendirme:...............................................................................................12 3. Yeniden Değerlendirme:.........................................................................................12 1.4. Personel Güvenliği.....................................................................................................12 1. Genel İlkeler:..........................................................................................................12 2. İşe Alma:.................................................................................................................13 3. Çalışma Sırasında:..................................................................................................13 4. Hizmet Sözleşmeleri:..............................................................................................13 5. Sağlık ve Güvenlik:................................................................................................13 6. Disiplin ve Askıya Alma:........................................................................................14 7. İşten Çıkarma:.........................................................................................................14 1.5. Fiziksel Güvenlik.......................................................................................................14 1. Genel İlkeler:..........................................................................................................14 Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 2/48 2. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 1.6. 1. 2. 3. 7. 8. 9. 10. 11. 12. 13. 15. 16. 17. 18. 19. 20. 24. 25. 28. 1.7. 1. 2. 3. 4. 1.8. 1. 2. 3. 8. 9. 18. 1.9. 1. 2. 3. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel Sistem Altyapısı İnşaatı ve Yeri:.............................................................................14 Yangın ve Patlamaya Karşı Koruma:......................................................................14 Suya Karşı Koruma:...............................................................................................15 Çevresel Kontrol:....................................................................................................15 Güç kaynakları:.......................................................................................................15 Fiziksel Erişim Kontrolleri:....................................................................................15 Ziyaretçiler:............................................................................................................16 Mühendisler ve Teknik Destek Ziyaretçileri:.........................................................16 Techizat:..................................................................................................................16 Kablolar:.................................................................................................................17 Çalışma Düzeni ve Ortamı:....................................................................................17 Artık Maddelerin ve Diğer Maddelerin İmhası:.....................................................17 Bilgisayar ve İşletim Sistemi Yönetimi......................................................................18 Genel İlkeler:..........................................................................................................18 Desmer Bilgi ve İletişim Teçhizat ve Sistemlerin Kullanımı:................................18 Dokümante Edilen Prosedür ve Kayıtlar:...............................................................18 Denetleme İzleri:....................................................................................................18 Bilginin Sınıflandırılması ve Korunması İlkeleri:..................................................19 Veri Yedekleme:......................................................................................................19 Yardımcı Programların Kullanımı:.........................................................................20 Kapasite Yönetimi:.................................................................................................20 Hata Kaydı Tutma:..................................................................................................20 Güvenlik Olayı Prosedürleri:..................................................................................20 Bilgisayar Yazılımı:................................................................................................20 Virüs Kontrolleri:....................................................................................................21 Şifre Kontrollerinin Uygulanması:.........................................................................21 Şifreleme Sistemleri ve Şifre Yönetimi:.................................................................21 Ağ Yönetimi...........................................................................................................22 İnternet Bağlantıları................................................................................................22 İşletme Verilerinin Teslimi ve İletimi.....................................................................24 Mal ya da Hizmet Satın Alma Sözleşmeleri:..........................................................24 Desmer Bilgi ve İletişim Tesisleri Dışındaki Teçhizatların Korunması:................25 Değişiklik ve Problem Yönetimi................................................................................25 Genel İlkeler:..........................................................................................................25 Planlama:................................................................................................................25 Acil Değişiklik Kontrolleri:....................................................................................26 Problem Yönetimi...................................................................................................26 Bilgisayar Sistemi Erişim Kontrolü:..........................................................................26 Genel İlkeler:..........................................................................................................26 Sorumluluklar ve Görev Dağılımı:.........................................................................26 Kullanıcı Kimlikleri:...............................................................................................27 Şifreler:...................................................................................................................27 Erişim Kontrol Sistemleri.......................................................................................28 Yükleme ve Bakım Şifreleri:..................................................................................29 Sistem Geliştirme ve Bakımı......................................................................................29 Genel İlkeler:..........................................................................................................29 Faaliyetlerin Bölünmesi:........................................................................................29 Güvenlik İhtiyaçları Analizi ve Tespiti:..................................................................29 Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 3/48 BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel 4. Test Etme:...............................................................................................................30 5. Proje Verileri ve Belgelerinin Güvenliği:...............................................................30 1.10. Teknoloji Müdürlüğü Acil Durum Planlaması......................................................30 1. Genel İlkeler:..........................................................................................................30 2. Planlama:................................................................................................................30 7. Plan İçerikleri:........................................................................................................31 9. Test ve Denemeler:.................................................................................................32 1.11. Mesaj Sistemleri.....................................................................................................32 1. Genel İlkeler:..........................................................................................................32 2. Telefon Sistemleri:..................................................................................................32 3. Faks:........................................................................................................................33 4. Elektronik Posta:.....................................................................................................33 1.12. Yasal ve Düzenleyici Mevzuat İle Uyum...............................................................34 1. Genel İlkeler:..........................................................................................................34 2. Verilerin Korunması:..............................................................................................34 3. Yazılım ve Dokümanların Telif Hakları:................................................................34 2. Bilgi Teknolojileri Politikaları..........................................................................................35 2.1. Şifre Kullanım Politikası............................................................................................35 2.2. Veri Güvenliği Politikası............................................................................................36 1. Veri Hassasiyeti:.....................................................................................................37 2. Verinin Kritikliği:...................................................................................................38 3. Veri Bütünlüğü:.......................................................................................................39 2.3. Yedekleme Politikası..................................................................................................39 2.4. Erişim Politikası.........................................................................................................40 2.5. İletişim Politikası........................................................................................................42 1. Aranma Bağlantıları:..............................................................................................42 2. Arama Bağlantıları:................................................................................................43 3. Erişim Kontrolleri:..................................................................................................43 4. Erişim Yollarının Kurulumu:..................................................................................43 5. Üçüncü Grupların Erişimi:.....................................................................................44 2.6. Kullanıcı Destek Politikası:........................................................................................44 2.7. Proje ve Kalite Yönetimi Politikası:..........................................................................45 2.8. Şifreleme Politikası:...................................................................................................45 2.9. Ürün Geliştirme Politikası:.........................................................................................46 2.10. İnternet Güvenliği Politikası:..................................................................................47 2.11. E-Posta Politikası:...................................................................................................48 AMAÇ: Bu talimatın amacı; Desmer Bilgi ve İletişim A.Ş. Bilgi Güvenliği Politikalarının dokümante edilmesidir. KAPSAM : Bütün Şirket Personeli, Tedarikçi, Danışman ve Denetçiler. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 4/48 BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel TANIMLAR : Hesap Adı/Kullanıcı Tanımı: Bilgi Teknolojileri yetkili kullanıcılarının sistemlere erişim için ihtiyaç duydukları özgün elektronik tanımlayıcı kimlik. Şifre :Sistem veya sistemlere erişimi sınırlandırmak için kullanılan erişim kontrol mekanizması. Şirket İçi :Yönetilen Bilgi Sistemleri ağlarına giriş izni olan tüm Desmer çalışanları, danışmanları ve sözleşmeli personeli. Şirket Dışı :Yönetilen Bilgi Sistemleri ağlarına giriş izni olan tüm servis ve hizmet sağlayıcılar ile çalışanları. Veri :Var olan bir gerçeğin veya objenin (kişi, kredi kartı numarası, telefon numarası, bakiye vb.) elektronik olarak temsili. Bilgi :Veri topluluğu. Yazılım :Bir bilgisayar sisteminde çalışmak üzere tasarlanmış ve geliştirilmiş bir uygulamaya ilişkin program, prosedür ve bunlarla ilişkili dokümandan oluşan grup. Yazılım firması veya iç kaynak kullanılarak geliştirilebilir veya satın alınabilir. Yönetilen Bilgi Sistemleri: Şirketimizde kullanılan tüm bilgi sistemlerini kapsamaktadır. Firewall :İç kaynaklara yetkisiz erişimleri engellemek amacıyla güvenilir bir ağ ile herkese açık bir ağ arasına yerleştirilen bir yazılım donanım çözümü. Protokol :Bilgisayarların internet üzerinden nasıl iletişim kuracağını belirleyen kurallar seti. Şifreleme :Bilgiyi gizli bir şifre veya anahtar olmadan okunamayacak (deşifre edilemeyecek) bir kod haline getirme işlemi. İnternet :TCP/IP protokolü kullanan ve 70’lerin ‘ARPANET’ inden geliştirilmiş, geniş iç içe geçmiş ağ topluluğu. Dışarıdan Erişim :Ağ kaynaklarına, erişilmek istenen bilgiye fiziksel olarak farklı yerde bulunan bir modem veya site aracılığı ile erişme süreci. Modem :Veriyi telefon hatları, kablolar, fiber optikler veya mikro dalgalar gibi ortamlardan geçebilecek duruma getirmek üzere kodlayan aygıt. Geliştirilmiş Kullanıcı Doğrulama Sistemleri: Geri arama sistemleri, kimlik kartları (akıllı kartlar), biometrikler (parmak izi okuyucuları, göz damarı okuyucuları, ses tanıyıcılar…) ve diğer sabit şifreleme sistemlerinden daha fazla güvenlik sağlayan onaylanmış teknolojileri kapsarlar. Bilgi Teknolojileri Yönetimi: Genel Müdür ve Genel Müdüre bağlı Birim Müdürlerinden oluşur. Bilgi Teknolojileri Çalışanları: Şirketimiz Teknoloji Biriminde çalışanlar kast edilmektedir. Penetrasyon Testi: Bilgi Sistemlerindeki güvenlik açıklarını tespit etmek amacıyla yapılan testi ifade etmektedir. Bilgi Güvenliği: bilginin korunması anlamına gelir: Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 5/48 BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel Gizlilik - Bilgileri sadece yetkili şahıslara ve işletme işlemleri için açıklamak, b) Bütünlük - Bilginin doğru ve tam olmasını sağlamak, c) Kullanılabilirlik – Bilginin ve bilgi sistemlerinin zamanlama açısından uygun ve gereken şekilde erişilebilirliğini ve kullanılabilirliğini sağlamak. a) Ayrıca teçhizat, yazılım ve diğer bilgi teknolojisi varlıklarının korunması anlamına da gelir. İLGİLİ DOKÜMANLAR: GENEL PRENSİP VE KURALLAR: 1. Bilgi, diğer önemli ticari varlıklar gibi, bir kurum için değeri olan, bu nedenle uygun olarak korunması gereken varlıktır. Bilgi güvenliği, bilgiyi, ticari sürekliliği sağlamak, ticari kayıpları en aza indirmek ve ticari fırsatların ve yatırımların dönüşünü en üst seviyeye çıkartmak için geniş tehlike ve tehdit alanlarından korur. 2. Bilgi güvenliği, politikaları, uygulamaları, yöntemleri, örgütsel yapıları ve yazılım fonksiyonları gibi bir dizi uygun denetimi gerçekleştirme aracılığıyla sağlanır. Bu denetimler, Şirketin, belirli güvenlik hedeflerinin karşılandığını garanti altına almak için kurulmalıdırlar. 3. Teknik olanaklar aracılığıyla ulaşılabilen güvenlik sınırlıdır ve uygun yönetim ve yöntemlerle desteklenmelidir. Bu amaca yönelik denetimlerin özenli bir şekilde planlanması ve detayların dikkate ele alınması gerekmekte ve bilgi güvenliğinin yönetimi tüm çalışanların katılımına ihtiyaç duymaktadır. Aynı zamanda tedarikçilerin, müşterilerin ve ortakların da katılımına gereksinim duyulur. 4. Bilgi güvenliğinin sağlanmasında kullanılması gereken unsurlar aşağıda belirtilmiştir; 4.1. İş hedeflerini yansıtan Bilgi Güvenliği Politikası, 4.2. Yönetimin katılımı ve desteği, 4.3. Bilgi güvenliği sorumluluklarının ayrılması, 4.4. Bilgi güvenliği öğretimi ve eğitimi, 4.5. Güvenliğe bağlı olayları raporlama, 4.6. İş sürekliliği planlarının geçerlilik kontrolü. 5. Anlam karışıklıklarını önlemek amacıyla, Desmer Bilgi ve İletişim’in tümünde gerekli olan bilgi güvenlik kontrollerini açık bir şekilde belirtmek için tüm kural koyucu ifadelerde gereklilik kipi kullanılmıştır. 6. Desmer Bilgi ve İletişim’de uygulanan kontrollerin, ilgili maliyet ve kaynakların işletme riskleri ve ticari riskler ile orantısal ve uygun olması gerekmektedir. İşletme riski ile Desmer Bilgi ve İletişim’in yönetim hedefleri arasındaki dengenin sağlanması için bu Politika Talimatının uygulanması gerekmektedir. 7. Bu Politika Talimatının en üst düzeyde uygulanmasının temel sorumluluğu Teknoloji Müdürlüğü yönetimine dayanmaktadır. Bununla birlikte, bilgi güvenliği teçhizat ve sistemlerinin kullanımından sorumlu tüm yönetim fonksiyonları, kontrolleri altındaki kaynakların ve işlemlerin sorumluluğunu paylaşmaktadır. Bu belgede, yönetim kelimesi genel anlamda kullanılmıştır. 8. Bu Politika Talimatı yıllık olarak incelenmeli ve gerekli olursa yeniden yayımlanmalıdır. Değişiklik teklifleri, gerekçeleri ile birlikte Teknoloji Müdürlüğü’ne iletilmelidir. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 6/48 9. 10. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel Desmer Bilgi ve İletişim çalışanları, sözleşmeli personel ve Desmer Bilgi ve İletişim adına çalışma yürüten servis ve hizmet sağlayıcıları, Bilgi Güvenliği Politika Talimatını okumalı ve uygulamalıdır. Bu Talimatın bilinçli olarak ihlal edilmesi, uygulama bölümünde yer alan kurallara tam olarak uyulmaması veya bu kuralların uygulanmaması durumunda Desmer Bilgi ve İletişim çalışanları Personel Komitesi’ne sevk edilecektir. UYGULAMA 1. Desmer Bilgi ve İletişim Kurumsal Güvenlik Politikası 1.1. Şirket Güvenlik Politikası: 1. İşletme Politikası: 1. Çalışanları, müşterileri ve Şirketi BT güvenliğindeki hatalardan kaynaklanacak zararlardan korumak amacıyla kontroller uygulanmalıdır. Meydana gelebilecek BT hatalarının az yaşanması ve yaygın olmaması, Şirket’e minimum etkisi olması, kısa sürmesi ve hızlı ve kalıcı olarak çözülmesi sağlanmalıdır. 2. 2. Risk Yönetimi 1. BT güvenlik kontrollerine yönelik kaynak harcamaları; risk altındaki bilginin ve diğer varlıkların işletme değeriyle, muhtemel güvenlik ihlallerinden doğabilecek işletme zararlarıyla dengeli ve bunlara uygun olmadır. İşletme riskleri ve bilgi güvenlik kontrolleri, değişen işletme ihtiyaçlarına ve önceliklerine göre gerektiğinde gözden geçirilmelidir. 2. 3. Yönetim Sorumlulukları: 1. Yönetim, BT güvenlik kontrollerine ilişkin sorumlulukları detaylı olarak tespit etmelidir. 4. İç Disiplin: 1. Desmer Bilgi ve İletişim BT güvenlik standartları sürekli olarak gözlemlenmeli ve bu konudaki herhangi bir ihlal takip edilmelidir. 5. Eğitim: 1. İşletme ihtiyacına bağlı olmak üzere, çalışanlar için uygun bilgi güvenliği bilinçlendirme ve eğitim programları düzenlenmelidir. Kullanıcılar, güvenlik yöntemlerinde ve bilgi işlem araçlarının doğru kullanımında, olası güvenlik risklerini azaltmak için eğitilmelidirler. Şirket’in tüm çalışanları ve ilgili yerlerde, üçüncü taraf kullanıcılar, organizasyona ait politika talimatlarıyla ve yöntemlerle ilgili uygun eğitim almalıdırlar. Bu eğitim, bilgiye veya hizmetlere erişimi tayin etmeden önce, güvenlik gereklerini, yasal sorumlulukları ve iş denetimlerinin yanı sıra, oturuma giriş yöntemleri, yazılım paketlerinin kullanımı gibi bilgi işlem araçlarının doğru kullanımını içermelidir. 2. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 7/48 BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel 6. Uyum: 1. Desmer Bilgi ve İletişim, Bilgi Güvenliği Politikası Talimatı, ilgili mevzuat ve düzenlemelerle uyumlu olmalıdır. Bilgi sistemlerinin güvenlik standartları ile uyumu izlenmelidir. 1.2. BT Güvenlik Sorumlulukları 1. 1. 2. 1. 3. 1. Genel İlkeler: Kişisel varlıkların korunması ve belirli güvenlik süreçlerinin yürütülmesi için sorumluluklar açıkça tanımlanmalıdır. Tüm yöneticiler ve personel, kontrolleri altındaki BT kaynaklarının ve varlıklarının güvenliğini kendilerine verilen yönergeler ve eğitimler doğrultusunda koruma sorumluluğunu taşımalıdır. BT güvenlik kontrollerinin uygulanması, işletilmesi ve idare edilmesine yönelik sorumluluklar açık bir şekilde tanımlanmalıdır. Görevler ayrılığı ilkesine göre sorumlular, iç kontrol düzeyini kabul edilemez bir şekilde zayıflatacak durumlarda, kendileriyle uyuşmayan görevlerden ayrılmalıdır. İstisnalar: Eğer yönetim bu standartların herhangi birini uygulamamaya karar verirse: 1.1. Bunların yerini tutacak uygun kontrolleri tasarlanmalı ve uygulamalıdır. 1.2. Sonuç olarak ortaya çıkacak işletme riski artışlarını tespit etmek ve işletmenin bunu kabul ettiğini açıkça dokümante etmek için Şirket üst düzey yönetimiyle istişare etmelidir. 1.3. Dokümante edilen risk değerlendirmeleri de dahil olmak üzere, ilgili işletme riskleri ışığında alınan kararları ve atılan adımları yeterli şekilde haklı çıkaracak bilgiler dokümante edilmelidir. Genel Yönetim: Şirket yönetimi aşağıdakilerden sorumludur; 1.1. Kontrolü altındaki bilgisayar teçhizatlarının, sistemlerinin ve verilerinin doğru şekilde kullanılmasını, muhafaza edilmesini ve korunmasını sağlamak, 1.2. İşletme sorumlulukları ile ilgili BT güvenlik risklerinin yeterli bir şekilde değerlendirilmesini ve yönetilmesini sağlamak, 1.3. Bu standartlara ve dokümante edilmiş ilgili yönetmelik ve talimatlara uygun olarak BT güvenlik kontrollerinin uygulamasını sağlanmak, 1.4. BT güvenlik sorumluluklarını, iş tanımları ile hedefler ve önlemlere gerektiği şekilde dahil etmek; 1.5. Personel sistem erişim haklarının işletme ihtiyaçları ile uygun olmasını sağlamak; 1.6. Çalışanların günlük BT güvenlik uygulamalarının önemini kavramalarını sağlamak ve mevzuat, düzenleme, telif hakları ve sözleşmelerin ilgili yönleri de dahil olmak üzere, sorumlulukları ile uygun ve gerekli BT güvenlik eğitimini alınmasını sağlamak; 1.7. Hassas görevleri ayırmak ve gerekli yerlerde ikili kontrol prosedürlerini uygulamak; 1.8. BT güvenliğindeki önemli hataların zamanında yönetime bildirilmesini sağlamak. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 8/48 4. 1. 2. 5. 1. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel Teknoloji Müdürlüğü Teknoloji Müdürlüğü, bilgi güvenliği yönetiminin tek noktadan sağlanmasından ve diğer birimlerle koordinasyondan sorumludur. Teknoloji Müdürlüğü’nün Bilgi Güvenliği ile ilgili sorumlulukları aşağıdaki gibidir; 2.1. Organizasyonun bilgi varlıklarının korunması faaliyetlerini koordine etmek, 2.2. Desmer Bilgi ve İletişim, BT güvenlik önceliklerini belirlemek, 2.3. Bütün Desmer Bilgi ve İletişim, Bilgi ağını şüpheli olayları tespit etmeye yönelik takip etmek, 2.4. Erişim hakları taleplerini Bilgi Güvenliği Politikasına uygunluğu açısından değerlendirmek ve onaylamak, 2.5. Bütün BT projelerinde güvenlik danışmanlığı yapmak, 2.6. BT Risk Yönetimi faaliyetlerini gerçekleştirmek, 2.7. Güvenlik ihiyaçlarının belirlemek, 2.8. Desmer Bilgi ve İletişim, Bilgi Güvenliği Politikası Standartlarını geliştirmek, incelemek ve korumak, 2.9. BT güvenlik ürünleri ve hizmetlerinin seçiminde ve temininde tavsiyede bulunmak, 2.10. Bilgi Güvenliği Politikası Talimatının uygulanmasını koordine etmek, 2.11. Diğer birimlere güvenlik stratejileri, altyapıları, politika talimatları, prosedürleri, standartları ve ihtiyaçları hakkında yol göstermek ve gerektiğinde yardım etmek, 2.12. Kuruma, bilgi güvenliği ve bilinçlendirme eğitimleri vermek ve diğer birimlerle koordinasyonlarını sağlamak, 2.13. Gerektiğinde bilgi güvenliği ihlallerini araştırmak, 2.14. Desmer Bilgi ve İletişim, politika talimat ve standartlarına uygun olarak BT güvenlik testlerini yapmak, 2.15. Gerektiğinde ve Şirket açısından haklı gerekçeler bulunduğunda, Desmer Bilgi ve İletişim standartlarına ek olarak yerel BT güvenlik standartları geliştirmek ve bunları uygulamak, 2.16. BT eğitimi ile bağlantılı olarak BT güvenlik eğitimi sağlamak, 2.17. Şirket’in risklerine uygun olarak, etkisini sürekli olarak gösterebilmesi için, kurulan BT güvenlik kontrol sistemini takip altında tutmak, 2.18. BT güvenlik kontrollerinin tasarımını, seçimini ve uygulanmasını sağlamak, Son Kullanıcılar ve Tüm Personel Son kullanıcılar ve tüm personel aşağıdakilerden sorumludur; 1.1. Onaylanmış güvenlik talimatlarına ve prosedürlerine ve kişisel hedeflerde ve iş tanımlarında belirtilen özel güvenlik sorumluluklarına uymak. 1.2. Kişisel şifreleri gizli tutmak ve erişim haklarının başkaları tarafından kullanılmasını önlemek. 1.3. Desmer Bilgi ve İletişim, rehber ilkeleri uyarınca doğrudan kontrolleri altında bulunan bilgisayarların, diğer teçhizatların ve işletme verilerinin güvenliğini sağlamak. 1.4. Şifrelerin teşhir edildiği yönündeki şüpheler de dahil olmak üzere, güvenlik ihlali şüphelerini ve güvenlik kontrolleri ile ilgili olarak şüphelenilen zayıflıkları birim yönetimine ya da Teknoloji Müdürlüğü’ne bildirmek. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 9/48 1.5. 6. 1. 7. 1. 8. 1. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel İş devamlılığı ve olağanüstü durum planlarının uygulanmasına ve test edilmesine yardımcı olmak. Teknoloji Birim Müdürü: Teknoloji Yöneticisinin sorumlulukları aşağıdaki gibidir: 1.1. Bilgi varlıklarının güvenliklerini tehlikeye düşürecek önemli değişikliklerin izlenmesi, 1.2. Bilgi Güvenliğinin iyileştirilmesi için yönetime önerilerde bulunulması, 1.3. Birim çalışmalarının yönetilmesi ve denetlenmesi, 1.4. Bilgi Güvenliğine karşı yapılan saldırıların önceden tespit edilmesi ve acil yardım oluşturulması için gerekli düzenlemelerin yapılması, 1.5. Yeni / devam eden BT veya BT dışında kalan projelerin güvenlik ihtiyaçlarının ve standartlarının karşılanmasının sağlanması, 1.6. Kurumsal güvenliğin sağlanabilmesi için, Bilgi Güvenliği Politikası’nın ve prosedürlerinin gözden geçirilmesi ve güncellenmesi, 1.7. Kurumsal güvenlik stratejilerinin, politika talimatlarının, prosedürlerinin ve ihtiyaçlarının belirlenmesi, 1.8. Güvenlik analiz çalışmalarının koordinasyonlarının sağlanması, Teknoloji Birim Yönetmeni ve Yönetmen Yrd.: Teknoloji Birim Yönetmeni ve Yönetmen Yrd. sorumlulukları aşağıdaki gibidir; 1.1. Bilgi Güvenliği Yöneticisinin aktivitelerinin desteklenmesi, 1.2. İhtiyaç duyulan güvenlik teknolojilerinin tespit edilmesi, değerlendirilmesi ve tavsiye edilmesi, 1.3. Güvenlik altyapısının ve uzaktan erişim sağlayan araçların tasarlanması, uygulanması ve test edilmesi süreçlerine katılınması, 1.4. Kuruma alınan yazılım ve donanımların, organizasyonun güvenlik yapısına uygun hale getirildiğinin tespit edilmesi, 1.5. Güvenliği ilgilendiren konularda ilgili birimlere güvenlik konusunda danışmanlık ve desteğin verilmesi, 1.6. Teknik güvenlik çözümlerinin tasarlanması ve uygulama süreçlerine iştirak edilmesi, 1.7. Çağrı merkezi tarafından yapılan müşteri görüşmelerinin güvenli şekilde kayıt altında tutulması ve gerektiğinde erişebilirliğin sağlanması. 1.8. 444 hatların sağlıklı çalışmasının sağlanması. Teknoloji Birim Uzman ve Yardımcısı: Teknoloji Birimi Uzman ve Yardımcılarının sorumlulukları aşağıdaki gibidir: 1.1. Güvenlik mekanizmalarının doğru şekilde işletildiğinin temin edilmesi için izlenmesi, 1.2. Güvenlik mekanizmaları ( Firewalls, IPS, Database Archive Logs, vs) konusunda bilirkişi sıfatıyla hareket edilmesi, 1.3. Kurumsal güvenlik politika talimatlarına uyulduğunun temin edilmesi amacıyla sistem zayıflık testlerinin yapılması ve saldırı tespit sistemlerinin (IDS/IPS) izlenmesi, 1.4. Kullanılan sistemlerin kurumun güvenlik politika talimatına uygun olarak işlediğinin tespit edilmesi için güvenlik testlerinin yapılması, Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 10/48 BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel 1.5. Erişim haklarının yönetilmesi, kullanıcı hakları ihlaliyle ilgili raporların üretilmesi ve yönetimin anlayacağı hale getirilmesi, 1.6. Bilgi güvenliği politikası talimatlarında meydana gelen ihlallerin araştırılması için bilgi güvenliği yöneticisine raporlamaların yapılması, 1.7. Sistem kullanıcılarına bilgi güvenliği konusunda tavsiyede bulunulması ve destek verilmesi, 1.8. Bilgi Güvenliği Politikası doğrultusunda kullanıcı tanımlamalarının yapılması, sistemden silinmesi, kullanıcı şifrelerinin yeniden yaratılması ve izlenmesi, 1.9. Veri güvenliğinin sağlanması ve sınıflandırılması için gerekli kontrollerin uygulanması, 1.10. Sistemlerde yetkilendirme işlemlerinin gerçekleştirilmesi, 1.11. Kullanıcı profillerinde meydana gelen değişikliklerin uygulanması. 9. 1. 10. Bilgi Güvenliği Politikası Sorumlusu: Bilgi Güvenliği Politikasının hazırlanması ve güncellenmesi görevi, Teknoloji Müdürü tarafından yerine getirilir. Bilgi Güvenliği Komitesi: 1. Bilgi güvenliği, yönetim takımının tüm bireylerince paylaşılan bir iş sorumluluğudur. Güvenlik öncelikleriyle ilgili açık bir yönlendirmenin ve görünür yönetim desteğinin olduğunu garanti etmek amacıyla oluşturulmuştur. Bilgi Güvenliği Komitesi; Genel Müdür, Teknoloji Müdürü ve Yönetmeni, Operasyon Müdürü ve Yönetmeni’nden oluşur. Başlıca görevleri; 1.1. Bilgi güvenliği politika talimatlarının ve tüm sorumlulukların gözden geçirilmesi ve onaylanması; 1.2. Büyük tehditlere karşı bilgi varlıklarının işlenmesinde önemli değişikliklerin gözlemlenmesi; 1.3. Bilgi güvenliğini artırmak için önceliklerin gözden geçirilmesi, 1.4. Güvenlik stratejileri, mimarisi, politika talimatı, prosedürleri ve ihtiyaçlarının oluşturulması için birlikte çalışılması, 1.5. Bilgi Güvenliği ile ilgili sorumlulukların tayin edilmesi, 1.6. Bilgi Güvenliği politika talimatı, prosedürleri, stratejileri ve ihtiyaçlarının bölüm yöneticileriyle paylaşılması doğrultusunda bilgi güvenliği konusunda bilinçlendirmenin teşvik edilmesi, 1.7. Bilgi Güvenliği faaliyetleriyle ilgili risklerin ve güvenlik açıklarının değerlendirilmesi, 1.8. Riskler için kabul edilebilirlik seviyelerinin belirlenmesi, 1.9. Güvenlik açıkları ve risklerini azaltmaya yönelik çalışmalara ve projelere karar verilmesi, 1.10. Bilgi Güvenliği Risk haritasının onaylanması, 1.11. Şekerbank tarafından yapılan Penetrasyon testi ve güvenlik denetimi faaliyetlerinin takip edilmesi, 2. Komite yılda en az iki kez toplanır. 3. Komitenin sekreteryası Teknoloji Müdürlüğü veya Operasyon Müdürlüğü tarafından yürütülür. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 11/48 11. 1. 12. 1. 13. 1. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel Sistem ve Teknoloji Servisi: Sistem ve Teknoloji Servisinin Bilgi Güvenliği ile ilgili sorumlulukları aşağıdaki gibidir; 1.1. Düzenli aralıklarla yapılan network ve sistem açıklarının tespit testleri, saldırı tespit sistemlerinin (IDS/IPS) kurulması konularında Yönetime ve çalışanlarına gerekli yardım ve desteğin verilmesi, 1.2. Network güvenliğini ilgilendiren durumların tespit edilmesi ve çözülmesi konularında destek verilmesi, 1.3. Network donanımlarının kurumsal güvenlik politika talimatlarına ve kurulum dokümanlarına uygun şekilde kurulmasının sağlanması, 1.4. Verilerin yedeklenmesi, olağan üstü durum ve acil durum talimatlarının belirlenmesi ve uygulanması, 1.5. Güvenlik altyapısı, uzaktan erişimlerin belirlenmesi ve uygulanmasının sağlanmasına yardım edilmesi, 1.6. Virüslere karşı korunmak için gerekli faaliyetlerin yerine getirilmesi, 1.7. Network yedeklemesi ve gerektiğinde yedeklerin geri alınması süreçlerinin yönetilmesidir. 1.8. Yazılım ve donanım güvenliğini tehlikeye atan olayların tespit edilmesi ve çözülmesi konularında destek verilmesi, 1.9. Servis sorumluluğunda olan yazılımların, donanımların kurumsal güvenlik politika talimatlarına ve kurulum dokümanlarına uygun şekilde kurulmalarının sağlaması, 1.10. Çağrı merkezi sesli yanıt sistemi yazılımı olan Interactive Intelligence yazılımının devamlığının sağlanması. Operasyon Müdürlüğü: İnsan Kaynakları Servisi’nin Bilgi Güvenliği ile ilgili sorumlulukları aşağıdaki gibidir: 1.1. Kullanıcıların sistemlerde yaratılması ve silinmesi işlerinin başlatılması, 1.2. Güvenlik kontrollerinin işe alım sürecinde başlatılması ve uygulanması, 1.3. Personelin işten çıkarılma durumunda sürecin zamanında başlatılması, Eğitim Birimi: Eğitim Birimi, güvenlik bilinçlendirilmesi sağlamak amacı ile organizasyonel güvenlik eğitimleri ve benzeri çalışmaları Teknoloji Müdürlüğü ile birlikte çalışarak planlamak ve gerçekleştirmek ile sorumludur. 1.3. İşletme Bilgi Güvenliği Risk Değerlendirmesi 1. Genel İlkeler: 1. Risk değerlendirmesinin hedefleri; Şirket perspektifindeki bilgi güvenliği risklerini tanımlamak ve önceliklendirmek ve bunları işletme yönetimi için kabul edilebilir bir düzeye indirmek için gereken eylemleri planlamaktır. Dolayısıyla, güvenlik kontrol gerekliliklerini ve yönetim önceliklerini açıklığa kavuşturmak amacıyla, belirsizlikler ortaya çıktığında ve mutabakat sağlanamadığında risk değerlendirmesi uygulanmalıdır. Güvenlik kontrolleri için gerçekleştirilecek kaynak harcamaları aşağıdakilerle dengeli ve uyumlu olmalıdır: 2.1. Önemli bir bilgi güvenlik ihlalinden doğabilecek muhtemel işletme zararı; 2. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 12/48 BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel 2.2. Ortaya çıkabilecek tehditler ile mevcut tamamlayıcı işletme kontrolleri ile teknik kontroller dikkate alınarak hesaplanacak olan böyle bir ihlalin gerçekçi bir olasılığı. 2. Risk Değerlendirme: 1. 2. Uygun ve yararlı olduğu durumlarda risk yönetim teknikleri, bir bütün olarak tüm bilgi sistemlerine ya da tek tek sistem bileşenlerine ya da hizmetlerine uygulanabilir. Risk değerlendirme işlemi aşağıdaki hususlar dikkate alınarak gerçekleştirilmelidir: 2.1. Söz konusu bilginin, teçhizatın, yazılımın ve bilgi sistemi varlıklarının işletme için önemi, 2.2. Söz konusu bilgi sistemleri ile desteklenen işletme faaliyetleri, ürünleri ve hizmetleri, 2.3. İşletme bilgileri ile ilgili olarak meydana gelebilecek önemli bir ihlalin Desmer Bilgi ve İletişim müşterileri ve ortaklarında yol açacağı muhtemel işletme zararı, 2.4. Bu zararların işletmeye muhtemel etkileri arasında mali kayıplar, Desmer Bilgi ve İletişim’in sektör ve müşterileri arasında itibar kaybı, kötü reklam ve muhtemel sözleşme, mevzuat ve yasa ihlalleri, 2.5. Mevcut kontroller ve ortaya çıkacak tehditler göz önüne alınarak böyle bir ihlalin yaşanabilmesine yönelik gerçekçi olasılık, sistemin kullanıldığı ve işletildiği ortam ve söz konusu bilginin etkili bir şekilde kullanılabileceği ömrü; 2.6. İşletme risklerini kabul edilebilir bir düzeye indirmek için gereken ek kontroller; 3. 2.7. Uygun ek kontrollerin tesis edilebilmesi ve işletilebilmesi için gereken eylemler. Eğer yönetim bu değerlendirme sonucu tanımlanan işletme risklerinin işletme açısından kabul edilemez olduğunu ve risklerin daha etkili yöntemler yoluyla yeterli düzeyde önlenemeyeceğini ya da düşürülemeyeceğine karar verirse, Bilgi güvenlik iyileştirme planları hazırlanmalıdır ve uygulanmalıdır. 3. Yeniden Değerlendirme: 1. Değişen işletme ihtiyaçlarını, tehditleri ve öncelikleri dikkate almak amacıyla, genel Bilgi güvenlik riskleri yıllık olarak incelenmelidir. Bu incelemelerin sonuçları kaydedilmeli ve kontroller ile ilgili olarak planlanan gerekli iyileştirmeler uygun bir şekilde hazırlanmalıdır. 1.4. Personel Güvenliği 1. Genel İlkeler: 1. Bilgi güvenlik kontrollerinin etkin bir şekilde yapılabilmesinde personelin önemli bir rolü vardır. Yönetim, personelin gerektiği şekilde katkıda bulunabilmesi için yeterli derecede donatılması ve denetlenmesini sağlamalıdır. Güvenlik sorumlulukları işe alma sırasında belirtilir, sözleşmeler içinde yer alır ve bir kişinin işe alınma sürecinde gözlenir. Bilgi işlem araçlarının tüm kullanıcıları ve üçüncü taraf kullanıcılar bir gizlilik anlaşması imzalamalıdırlar. 2. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 13/48 BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel 2. İşe Alma: 1. Dürüst olmayan Şirket personelinden kaynaklanacak riskleri en aza indirgemek için, işe alma prosedürleri uygulanmalıdır. İş teklifinde bulunulmadan önce, söz konusu adayın rolüne uygun olduğu ölçüde; 1.1. Referansları göz önüne alınmalıdır, 1.2. Özgeçmişi (iş deneyimi) ve nitelikleri teyit edilmelidir, 1.3. Özellikle hassas görevler için geçerli olmak üzere daha ayrıntılı teyit kontrolleri yapılmalıdır. Oldukça fazla yetki gerektiren pozisyonlardaki personel için bu tür kontroller belli aralıklarla tekrarlanmalıdır. Benzer bir eleme süreci anlaşmalı taraflarla ve geçici personel için de gerçekleştirilmelidir. Bu elemanlar bir acente aracılığıyla sağlanıyorsa, personel için acente ile yapılan sözleşme, acentenin sorumlulukları ve eğer eleme sonuçlandırılmazsa veya sonuçlar şüpheye veya endişeye sebep olursa, takip edeilmesi gereken ihbar yöntemlerini içermelidir. 2. 3. 3. Çalışma Sırasında: 1. 2. 3. 4. 5. 6. Çalışanlar Desmer Bilgi ve İletişim, Bilgi Güvenliği Politikası’ndan haberdar olmalıdır ve bunları anladığını kabul ettiğini imzasıyla beyan etmelidir. İlgili durumlarda, görev tanımları özel BT güvenlik sorumluluklarını tanımlamalıdır. Önemli kontrol işlemlerinin uygulanmasında, yönetim, belirli bireylerin bilgi ve becerilerine aşırı güven duymaktan kaçınmalıdır. Yönetim, çalışanların sistem erişim yetkilerini dokümante etmelidir. Bir çalışan, bir bölümden bir başka bölüme aktarılırken, bu aktarma işini yürüten yönetici, çalışana bağlı mevcut tüm sistem erişim haklarının ve diğer güvenlik kontrollerinin iptal edilmesini sağlamalıdır. Yeni bölümde yeni kurallar tespit edilmelidir. Yönetim, hassas sistemlere erişim için yetkilendirilmiş yeni ve deneyimsiz personel için gereken gözetimleri değerlendirmelidir. Tüm personelinin çalışmaları, kıdemli personel tarafından belirli zaman dilimlerinde gözden geçirilmeli ve onaylama yöntemlerinden geçirilmelidir. 4. Hizmet Sözleşmeleri: 1. 2. Şirket mal ve hizmet temin edilmesi için sözleşme imzalayan personelin, ilgili Desmer Bilgi ve İletişim güvenlik standartlarına ve politikalarına uyması zorunlu kılınmalıdır. Çalışanlar işe başlamadan önce bilginin gizli veya sır olduğunun belirtilmesi için gizlilik anlaşması imzalamalıdırlar. Geçici personel ve üçüncü taraf kullanıcılar da, bilgi işleme araçlarına erişim verilmeden önce güvenlik anlaşması imzalamadırlar. İşe alma veya sözleşme koşullarında değişiklik olduğunda, özellikle personel Şirket’ten ayrılmak üzere olduğunda veya sözleşmeler sona ermek üzere olduğunda gizlilik anlaşmaları gözden geçirilmelidir. 5. Sağlık ve Güvenlik: 1. Yönetim, bilgisayar teçhizatlarının kullanımı nedeniyle çalışanların sağlığını ve güvenliğini güvence altına almak için gereken özeni göstermelidir ve ilgili mevzuat hükümlerine uymalıdır. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 14/48 BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel 6. Disiplin ve Askıya Alma: 1. Bilgi güvenlik kontrolleri ihmal edildiğinde veya yanlış uygulandığında, Desmer Bilgi ve İletişim disiplin prosedürleri dikkate alınmalıdır ve yönetim bu konuda İnsan Kaynakları’na her türlü yardımı sağlamalıdır. Bir çalışana karşı disiplin prosedürleri uygulandığında, sorun yeterince çözüme kavuşturuluncaya kadar, yönetim, sistem erişim haklarını ve ilgili güvenlik sorumluluklarını askıya almalıdır. 7. İşten Çıkarma: 1. 2. Her ne sebeple ya da her ne durumda olursa olsun, çalışanın işten çıkarılacağı tebliğ edildikten sonra, yönetim, ilgili durumlarda aşağıdaki hususları dikkate almalı ve sağlamalıdır: 1.1. Sistem erişim haklarının ve diğer Desmer Bilgi ve İletişim sistemlerinin yetkisiz kullanımına olanak tanıyacak fırsatları ortadan kaldırmak; 1.2. Desmer Bilgi ve İletişim bilgisayar yazılımı, teçhizatı, kılavuzları ve diğer belgeleri kullanımdan almak ve güvence sağlamak; 1.3. Personelin görevine devam etmesine izin verilen durumlarda, olağan dışı bir eylem ve davranışa karşı gözlem altında tutmak. Yönetim, bu gibi durumlarda denetimi arttırma ihtiyacını göz önünde bulundurmalıdır. 1.5. Fiziksel Güvenlik 1. Genel İlkeler: 1. 3. Önemli teçhizatları içerisinde bulunduran özel amaçlı tesisler, normal ofis tesislerinin gerektirdiğinden daha güçlü bir korunma gerektirir. Önemli ve hassas ticari bilgi işleme araçları güvenli bir yere yerleştirilmeli, uygun güvenlik mekanizmaları ve giriş denetimleriyle, tanımlanmış güvenli bir çevre aracılığıyla korunmalıdır. Sağlanan koruma, tanımlanmış risklerle orantılı olmalıdır. 2. Sistem Altyapısı İnşaatı ve Yeri: 1. 3. Sistem Altyapısı tesisleri, doğal afetlerden, yakınlardaki binalardan ve diğer tehditlerden doğacak riskleri en aza indirgeyecek bir şekilde tasarlanmalıdır ve yerleri de buna göre seçilmelidir. Uygun bina, yangından korunma ve güvenlik ile ilgili olarak, ilgili yasal zorunluluklar ve uygulama ilkeleri de dahil olmak üzere, uzmanların önerileri alınmalı ve bu tavsiyelere uyulmalıdır. Gerektiğinde, Sistem Altyapısı aşağıdaki koşulları en az düzeye indirgeyecek bir şekilde tasarlanmalıdır ve yerleri de buna göre seçilmelidir. 3.1. Doğrudan kamu erişimi ve doğrudan araç erişimi; 3.2. Çevreden gelebilecek diğer tehlikeler; 3.3. Tesis girişlerinin sayısı ve ayrı olarak kontrol edilen teslim, yükleme ve bekletme alanları; 3.4. Elektrik, su ve telekomünikasyon temini ile ilgili riskler. 7. Yangın ve Patlamaya Karşı Koruma: 1. Yangın ve patlamaya karşı alınacak önlemler şunlardır: 2. 2. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 15/48 1.1. 1.2. 1.3. 1.4. 1.5. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel Yangından korunma önlemlerini tesis planlarına daha ilk aşamalarda dahil etmek; Teçhizat imalatçılarının ilgili tavsiyelerini uygulamak; Gerek duyulan el araçlarının yanında, mümkün ise günün 24 saati kesin olarak kontrol edilecek otomatik yangın tespit ve söndürme sistemleri tesis etmek; Uzman önerilerine göre yangın uyarı sistemlerini düzenli olarak test etmek ve bu tip testleri kayıt altına almak. Daha önceden programlanmış bir çalışma için gerekmedikçe, kırtasiye malzemeleri ya da kağıt çöp gibi parlayıcı maddeleri, bilgisayar ya da malzeme odalarından ya da yangın tehlikesi bulunan diğer yerlerden uzak tutmak. 8. Suya Karşı Koruma: 1. Teçhizatlar, taban ve tavan düzeyinde suya dayanıklı alarm sistemleri ve uygun drenaj sistemleri yoluyla sudan gelecek zararlara karşı korunmalıdır. 9. Çevresel Kontrol: 1. İçerisinde bilgisayar, iletişim teçhizatı ve veri depolama araçları barındıran tesislerdeki sıcaklık, nem ve havalandırma gibi çevresel faktörler, teçhizat imalatçıları tarafından belirlenen teknik standartlara uygun olmalıdır. Gerektiğinde, çevresel kalite izlenmeli ve uygun düzeltici önlemler alınmalıdır. 10. Güç kaynakları: 1. Elektrik kaynakları, teçhizat üreticileri tarafından belirtilen teknik standartlara uygun olmalıdır. Gerektiğinde, kaynak kalitesi izlenmeli ve uygun düzeltici önlemler alınmalıdır. Şirket için çok büyük önem taşıyan sistemler için, yedek jeneratör gibi uygun alternatif kaynaklar ve bir kesintisiz güç kaynağı (UPS) sağlanmalıdır. Alternatif güç kaynakları düzenli olarak test edilmelidir. 2. 11. Fiziksel Erişim Kontrolleri: 1. Sistem Altyapısı tesislerinin ve personelinin fiziksel güvenliği, aşağıdaki kontroller yoluyla sağlanmalıdır; 1.1. Teçhizatlar, daima izlenen ve içerisine sadece yetkili personelin geçmesine izin verilen güvenli bölgelerde tutulmalıdır. Bu bölgelerin güvenlik derecesi, içindeki varlıkların taşıdığı riske göre ayarlanmalıdır ve güvenli bölge boş bile olsa korunmalı ve izlenmelidir. 1.2. Uygulanabilen durumlarda, otomatik fiziksel erişim kontrol sistemleri kullanılmalıdır. 1.3. Erişim kontrolleri sadece yetkili personelin güvenlik bölgelerine erişebilmesine olanak tanımalıdır. Bu tip erişimler sadece ihtiyaç duyulduğunda gerçekleştirilmelidir. 1.4. Erişim yetkileri her yıl gözden geçirilmeli ve daha fazla ihtiyaç duyulmadığında hemen iptal edilmelidir. 1.5. Çalışanlar, güvenlik bölgelerinde tanıtıcı kart taşımalıdır. 1.6. Uygulandığı yerlerde, dijital kilit şifreleri gizli tutulmalıdır ve periyodik olarak değiştirilmelidir. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 16/48 BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel 12. Ziyaretçiler: 1. Tüm ziyaretçilerin Sistem Altyapısı bölgelerine ya da ofislerine gelişlerinde ve karşılanmalarında uygulanacak prosedür şu şekilde olmalıdır; 1.1. Kontrol noktaları tek yerde oluşturulmalıdır. 1.2. Ziyaretçi karşılama işlemi, ziyaretçiler Sistem Altyapı tesislerine girmeden önce gerçekleştirilmelidir. 1.3. Ziyaretçilerin kimlikleri, temsil ettikleri kuruluşlar ve ziyaret amaçları, kabul edilmeden önce kesinlikle doğrulanmalı ve kaydedilmelidir. 1.4. Geliş ve ayrılış tarihleri ve saatleri kaydedilmelidir. 1.5. Ziyaret boyunca takılması zorunlu olacak farklı ziyaretçi yaka kartları sağlanmalı ve yangın durumunda sığınılacak bölge ve güvenlik talimatları bildirilmelidir. 1.6. İşletme riskleri dolayısıyla, ziyaretçiler, ziyaretleri boyunca gözlenmeli ve kontrol edilmelidir. 1.7. Güvenlik bölgelerine ziyaretçi girişi en az düzeye indirgenmelidir. 13. Mühendisler ve Teknik Destek Ziyaretçileri: 1. Mühendislik hizmeti ya da diğer teknik yardımı sağlayan ziyaretçiler için ilave önlemler alınmalıdır. Yönetim, aşağıdaki hususların kontrolü yönündeki ihtiyacı göz önünde bulundurmalıdır; 1.1. Bireyleri ve temsil ettikleri kuruluşları kapsayan uygun gizlilik anlaşmaları imzalatılmalıdır. Mühendislerin gizli bilgilere erişimi mutlak derecede en düşük düzeyde tutulmalıdır. 1.2. Mühendislik hizmeti amaçlı ziyaret prosedürleri, beklenen ziyaretçinin gideceği bölgeye önceden bildirim yapılmasını da içermelidir. 1.3. Gerekirse, sistemlere ya da teçhizatlara mühendislerin erişiminden önce işletme verileri yedeklenmelidir. 1.4. Mühendislik çalışmasının tamamlanmasının ardından, aşağıdaki durumları teyit etmek amacıyla, gereken durumlarda, uygun kontroller yapılmalıdır; 1.4.1. Yetki verilen çalışmanın başarıyla tamamlanması. 1.4.2. Desmer Bilgi ve İletişim ile ilgili olmayan veri artıklarının kalmaması. 1.4.3. Yetkisiz sistem erişiminin meydana gelmemesi. 1.4.4. Desmer Bilgi ve İletişim verilerinin ve yazılımlarının çalışmadan önceki durumda olması ya da tekrar aynı duruma getirilmesi. 1.4.5. PC teçhizatlarında virüs bulunmaması. 1.4.6. Tüm mühendislik sistemi erişim şifrelerinin değiştirilip iptal edilmesi. 1.5. Gizli işletme bilgileri içeren manyetik araçlar aşağıdaki koşul sağlanmadıkça Desmer Bilgi ve İletişim’den çıkarılmamalıdır: 1.5.1. Öncelikle okunamaz hale getirilmelidir ya da Onaylı bir hizmet kuruluşunun yetkili bir temsilcisine yazılı bir gizlilik anlaşması ile verilmelidir. 14. Techizat: 1. Teçhizatların güvenliği, aşağıdaki genel önlemler yoluyla korunmalıdır; 1.1. Denetim dışı bırakıldığında kilitlenmeli ve güvence altına alınmalıdır. Veri şifreleme cihazı gibi güvenlik teçhizatları daima güvenli kabinler içerisine yerleştirilmelidir. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 17/48 1.2. 1.3. 1.4. 1.5. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel Teçhizatlar, güvenlik bölgelerine gereksiz personel erişimini en aza indirgeyecek şekilde konumlandırılmalıdır. Ekran ve yazıcılar pencere yakınlarına yerleştirilmemeli ya da dışarıdan kolayca görülebilecek yerlere konulmamalıdır. Teçhizat odalarında yiyecek yeme, sıvı içilmesi ve sigara içilmesi yasaklanmalıdır. Prosedürler, teçhizat bakımının üretici tavsiyeleri doğrultusunda gerçekleştirilmesini sağlamalıdır. 15. Kablolar: 1. Mümkün olduğunda; 1.1. Elektrik ve telekomünikasyon kabloları tesislere yer altından ulaşmalıdır ve alternatif tesislere de farklı bir rotadan ulaşan ayrı bir kaynak sağlanmalıdır. 1.2. Kablolar parazitleri ve kaza yolu ile veya kasıtlı olarak meydana gelebilecek hasarları önleyecek şekildeki bir rotadan döşenmelidir. 16. Çalışma Düzeni ve Ortamı: 1. Genel ofis bölgelerinin güvenliğinin sağlanması için aşağıdaki önlemler alınmalıdır; 1.1. Teçhizatlar kullanılmadığı zamanlarda, örneğin mesai sonunda, kapatılmalıdır ve yetkisiz kullanıma karşı korunmalıdır. 1.2. Masaların, dolapların, kasaların ve diğer depolama araçlarının anahtarlarının güvenli bir şekilde saklanması sağlanmalıdır. Dijital kilit kombinasyonlarının kayıtları ve benzeri hassas bilgiler güvenli bir şekilde saklanmalıdır. Anahtarların kullanımı ve güvenli bir şekilde kullanılması için ilgili prosedürler uygulanmalıdır. 1.3. Belgeler, kağıtlar, disketler, tüm depolama aygıtları (CD, DVD, usb bellek, bellek kartı) taşınabilir bilgisayar teçhizatları, mobil telefonlar ve benzeri kalemler mesai saatlerinin dışında ve kullanılmadığında kilitli çekmecelerde veya dolaplarda saklanmalıdır. 1.4. Acil durumlarda personelin binadan boşaltılması sırasında personel için doğabilecek riskleri azaltmak ve şüpheli paketlerin aranması sırasında kolaylık sağlanması için yerlerde kutular, koliler, kullanılmayan teçhizatlar, vs. bulunmamalıdır. 1.5. Hassas ve sınıflandırılmış bilgi basıldığında yazıcıdan hemen temizlemelidir. 1.6. Kişisel bilgisayarlar ve bilgisayar terminalleri ve kritik yazıcılar, başıboş olduklarında kullanıma açık olarak bırakılmamalıdırlar. 1.7. Gizli haberleşme kayıtları, gün sonu gerçekleştirilen toplama işleminden sonra çöp kutularına atılmamalıdır. Gelen ve giden gizli bilgiler, gelişi güzel ya da güvenli olmayan bir şekilde faks makineleri üzerinde bırakılmamalıdır. 17. Artık Maddelerin ve Diğer Maddelerin İmhası: 1. Atık maddeler ve fazla teçhizatlar, Desmer Bilgi ve İletişim’in politika talimat ve prosedürlerine uygun olarak güvenli bir şekilde yok edilmelidir. Özellikle; 1.1. Desmer Bilgi ve İletişim antetli kağıtlar ve şirket bilgileri içeren kağıtlar (bilgisayar listeleme kağıdı da dahil olmak üzere) tesislerin dışında müsvedde kağıt olarak kullanılmamalıdır. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 18/48 BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel 1.2. PC’ler, disketler ve CD ve DVD’ler de dahil olmak üzere, teçhizatlarda ve veri saklama cihazlarında bulunan tüm kullanılmayan işletme verileri ve yazılımları Desmer Bilgi ve İletişim tarafından silinmelidir. Gerekli görüldüğünde depolama cihazları da fiziksel olarak imha edilmelidir. 1.3. İmha işleminden önce tüm Desmer Bilgi ve İletişim logoları ve antetleri teçhizatlardan ve veri depolama cihazlarından silinmelidir. 1.6. Bilgisayar ve İşletim Sistemi Yönetimi 1. 1. 2. 3. 4. 5. 2. 1. 3. 1. 7. 1. Genel İlkeler: Desmer Bilgi ve İletişim’in bilgi sistemlerinin güvenli bir şekilde işlemesi, Şirket’in varlıklarının korunması ve işletme başarısı için temel teşkil eder. Dolayısıyla, yönetim, teçhizatların ve yazılımların doğru bir şekilde ve sadece yetki verilen işlemlerde kullanılmasını temin etmelidir. Bu standart, veri ve ses telekomünikasyon cihazları, sunucular, PC’ler ve diğer çalışma cihazları gibi her türlü sistem ve uygulama için geçerlidir. Desmer Bilgi ve İletişim çalışanları ve kullanıcıları, Teknoloji Müdürlüğü’nden izin alınmadığı sürece, yönetilen bilgi sistemlerinde güvenlik araştırmaları yapmamalı ve güvenlik mekanizmasını bozmaya çalışmamalıdır. Şekerbanktaki Domain Controller'dan saat bilgisi alınarak eşzamanlılık sağlanır Kullanıcıların kendi kod ve şifrelerinin kullanılmasından ya da kullanıcı kod ve şifrelerinin başkası tarafından ısrarla istenmesinden şüphelenmeleri gibi ağ güvenliğini tehlikeye atacak durumlarda derhal Teknoloji Müdürlüğü haberdar edilmelidir. Desmer Bilgi ve İletişim Teçhizat ve Sistemlerin Kullanımı: Desmer Bilgi ve İletişim teçhizatları ve sistemleri yetki verilen işletme amaçları için kullanılmalıdır ve güncel envanterlere kaydedilmelidir. Dokümante Edilen Prosedür ve Kayıtlar: Tüm bilgisayar ve iletişim sistemlerinin işletimi ile ilgili prosedürler dokümante edilmeli ve aşağıdaki hususları içermelidir; 1.1. Sistem açılışı ve kapanışı, 1.2. Sistem bakımı, temizliği ve teknik desteği, 1.3. Çalışma programları ve işletme, 1.4. Gizli bilgilerin korunması da dahil olmak üzere, dosya, veri ve çıktıların kullanım listesi ve temel işletme veri dosyalarının bir envanterinin tutulması, 1.5. Veri yedekleme ve acil durum planları, 1.6. Hata giderme, 1.7. Güvenli atık imhası, 1.8. Tüm teçhizatların kullanımının ve işletiminin kaydı ve bağımsız bir şekilde izlenmesi, 1.9. Belgelerin güvenli bir şekilde saklanması ve gizli olarak ele alınması, Denetleme İzleri: Gerektiğinde bir risk değerlendirmesi yapılarak, tüm önemli işletme olayları için otomatik denetleme izleri tutulmalıdır. Denetleme izleri; Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 19/48 1.1. 1.2. 1.3. 1.4. 8. 1. 9. 1. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel Gerektiğinde kullanıcı kimliklerini, tarihleri ve saatleri ve ilgili işletme verilerini içermelidir. Yetkisiz erişim ve işlemlere karşı korunmalıdır. İşletme riskleri esas alınarak ve düzenleyici tarafından uygulanan, sözleşmeden doğan ve diğer dış denetim mekanizmaları tarafından getirilen kontrol zorunlulukları dikkate alınarak tespit edilen asgari bir süre boyunca korunmalıdır. Muhtemel tehditler, yönetimin düzeltici girişimlerde bulunabilmesi için yeterli bir süre tespit etmek amacıyla, risk değerlendirmesi yoluyla saptanan planlı bir esasa göre izlenmelidir. Bilginin Sınıflandırılması ve Korunması İlkeleri: Desmer Bilgi ve İletişim bilgisayar sistemleri kullanılarak üretilen verilerin sınıflanması ve korunması için dikkat edilecek hususlar, aşağıdaki gibidir; 1.1. Şirketin bilgisayar ortamlarında Şirket elemanları tarafından doğrudan girilen veriler, işlem yapıldıkça otomatik olarak oluşan veriler, Şirket dışı kurumlardan manyetik kayıt ortamlarında (teyp, disket, cd gibi) ve diğer depolama aygıtlarında alınan veriler, Şirket dışı kurumlardan iletişim hatları aracılığıyla (internet) gibi alınan verilerden oluşan bilgiler, Şirket’e aittir ve kullanıcılar tarafından gizlilik derecesine bağlı olarak korunması önem taşır. Şirketin bilgileri önem derecesine göre 5 ayrı grupta tanımlanmaktadır. 1.1.1. Yalnızca belirli yetkili elemanlar tarafından girişi, güncellemesi ve görüntülemesi yapılabilen çok gizli bilgiler, 1.1.2. Yalnızca uygulamanın yürürlükte olduğu birim tarafından girişi, güncellenmesi ve görüntülenmesi yapılabilen gizli bilgiler, 1.1.3. Girişi ve güncellenmesi belirli bir birim tarafından yapılabilen, ancak Şirketin tüm birimleri tarafından görüntülenebilen kurum içine açık, kurum dışına gizli bilgiler, 1.1.4. Girişi, güncellemesi, ve görüntülenmesi Şirketin tüm birimleri tarafından yapılabilen ve Şirketin içinde herhangi bir gizlilik taşımayan kurum dışına açık bilgiler, 1.1.5. Şirket çalışanlarının kendi kişisel bilgileri, Şirket için gizlilik derecesi olmayan bilgilerdir. 1.2. Şirket’te üretilen bilgilerin Şirket izni olmaksızın başka yerlerde kullanılmaması ve dağıtımının yapılmaması sağlanmalıdır. 1.3. Şirket’e ait gizli bilgilerin bulunduğu kaynaklar (çıktı, teyp, disket, CD gibi) ihtiyaç sonrası faydalanılamaz şekilde imha edilmelidir. Veri Yedekleme: Yedekleme prosedürleri hazırlanırken aşağıdaki hususlar dikkate alınmalıdır; 1.1. Şirket faaliyetlerini ve acil durum planlarını desteklemek için tüm veri ve yazılımlar zamanında hazırlanmalıdır. 1.2. Yedek veri ve yazılımların tüm nüshalarının doğru olarak dokümante edilmesini ve acil bir durumda güvenilebilmeleri için düzenli olarak test edilmelerini sağlamalıdır. 1.3. İlgili iş sürekliliği planları ve iş acil durum planları ile bütünleşmiş olmalıdır. 1.4. Yedeklenen bilgileri, uzaktaki bir güvenli depolama yerine anında ve güvenli bir şekilde ulaştırmalıdır. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 20/48 BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel 1.5. Gerekli olan işletme zorunlulukları, yasal ve düzenleyici zorunluluklar için, yedeklenen verilerin yeterli miktarda geçmişini saklamalıdır. 10. 1. 11. 1. 12. 1. 2. 13. 1. 15. 1. Yardımcı Programların Kullanımı: Bilgisayar sistemlerine kalıcı olarak yüklenen genel amaçlı yardımcı programlar en düşük düzeyde tutulmalıdır. Sistem yardımcı programlarının kullanımı, sistem erişim kontrolleri yoluyla kontrol edilmelidir. Kapasite Yönetimi: Yetersiz bilgisayar ya da iletişim sistemi kapasitesinden kaynaklanan hataların önüne geçmek için, kapasite ihtiyaçları planlanmalı ve izlenmelidir. Hata Kaydı Tutma: Bilgisayar ve iletişim sistemlerindeki tüm teknik hatalar servis formlarında ve maillerde yer almaktadır . Rapor olarak Teknoloji Müdür’üne gönderilmektedir. Hata kayıtları; tüm hataların saptanabilmesi ve çözülebilmesi için yönetim tarafından incelenmelidir. Güvenlik kontrollerinden fedakarlık yapılmamasını ve yapılan girişimin yetki dahilinde olmasını sağlamak için, düzeltici önlemler incelenmelidir. Güvenlik Olayı Prosedürleri: Bir Bilgi güvenlik olayı, Desmer Bilgi ve İletişim’e maddi, mali, itibari, vb. zararlar doğuran ya da doğurabilecek bilgi gizliliği, bütünlüğü ve erişilebilirliği ile ilgili bir hatadır. Önemli bir Bilgi güvenlik hatası/vakası durumunda, yönetim, aşağıdakileri yapmalıdır; 1.1. Hata ile ilgili tüm kanıtları kaydetmeli ve dokümante etmelidir. 1.2. Tüm acil durum ve işletme hata giderme planlarını ayrıntılı olarak dokümante etmelidir. 1.3. Hatanın tekrar meydana gelmesini önlemek için, Bilgi güvenlik kontrollerini hemen gözden geçirmeli ve güçlendirmelidir. 1.4. Dahili problem analizi, dışarıdaki taraflarla tazminat müzakereleri veya yasal işlemler için gereken ilgili denetim izlerini ve diğer belgeleri sağlamalıdır. 1.5. Gerekli olduğunda, alınacak önlemleri daha üst düzeydeki yönetime bırakmalı ve işletmeye olabilecek etkilerini en alt düzeye indirgemek için işletme acil durum planlarını harekete geçirmelidir. Bilgisayar Yazılımı: Tüm yazılım kullanımları yetkili olmalıdır ve gerekli olduğunda geçerli lisanslar ile uyumlu olmalıdır; 1.1. Yönetim tarafından yetki verilmedikçe ve onaylanmadıkça, çalışanlar hiçbir yazılımı yazmamalı, tanıtmamalı veya kullanmamalıdırlar. 1.2. Belirli durumlar için yönetim tarafından açık bir şekilde yetki verilmedikçe, şüpheli durumların önlenmesi amacıyla aşağıdaki yazılımların kullanımı yasak olmalıdır; 1.2.1. Yetkili paket yazılımlar tarafından sağlananlar da dahil olmak üzere, her tür oyun ve eğlence yazılımı, 1.2.2. İnternetten elde edilen her tür yetkisiz yazılım, 1.2.3. Herhangi bir kaynaktan talep edilmeden sağlanan yazılımlar, Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 21/48 1.3. 1.4. 1.5. 1.6. 16. 1. 17. 1. 2. 18. 1. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel 1.2.4. Basın kanalı ile ücretsiz olarak dağıtılan yazılımlar , 1.2.5. Yetki verilen yazılımların lisanssız kopyaları, Satın alınan yazılımların her türlü kullanımı ve yönetimi, ilgili lisans ve telif hakkı anlaşmaları ile uyumlu olmalıdır; Bilgisayar yazılımlarının ana kopyaları ve ilgili lisanslar güvenli bir şekilde saklanmalı ve gerektiğinde denetime açık olmalıdır; Değişiklik yönetimi, yazılım yayımı ve problem yönetimini kapsayan işlemsel kontroller yoluyla, yazılımlar yetkisiz erişime ve değişikliğe karşı korunmalıdır; Yönetim, Desmer Bilgi ve İletişim işlemlerine tahsis edilmeden önce yazılımın yeterince test edilmesini sağlamalıdır. Virüs Kontrolleri: Aşağıdaki amaçlar için, tüm PC ve yerel ağ (LAN) sistemlerinde standart bir virüs tarama sistemi kullanılmalıdır; 1.1. Elektronik posta, disket ya da internet gibi diğer dış kaynaklar yoluyla Desmer Bilgi ve İletişim bilgisayar ortamına giren tüm dosyaları, bilgisayar virüslerini en kısa ve en kolay şekilde tespit etmek, bildirmek ve gerektiğinde yok etmek amacıyla taramak. 1.2. Desmer Bilgi ve İletişim tarafından e-posta yoluyla ya da başka yollarla müşterilerine, tedarikçilerine ve diğer harici taraflara gönderilen dosyaları, Desmer Bilgi ve İletişim’in kasıtsız olarak virüs yaymasını önlemek için taramak ve gerektiğinde düzeltmek. Şifre Kontrollerinin Uygulanması: Yönetim, işletme riskinde arzu edilen düşüşün etkili ve etkin bir şekilde elde edilebilmesini sağlamak için, şifre kontrollerinin dikkatli bir şekilde tasarlanmasını, uygulanmasını, işletilmesini ve devam ettirilmesini sağlamalıdır. Tüm şifre kontrol uygulamaları belirli bir risk değerlendirmesi esasına dayanan bir gerekçeye sahip olmalıdır ve bu kontroller ile ilgili işletim maliyetlerini de dikkate almalıdır. Yönetim, aşağıdaki hususların kullanımını dikkate almalıdır; 2.1. Otomatik işletme verilerinin yetkisiz bir şekilde değiştirilmesinin Desmer Bilgi ve İletişim’in kabul edilemez işletme risklerine maruz bırakacağı durumlarda, mesaj onay kodları. 2.2. Otomatik verilerin teşhir edilmesinin Desmer Bilgi ve İletişim’i kabul edilemez işletme risklerine maruz bırakacağı durumlarda, veri şifreleme. 2.3. Otomatik işletme verilerinin alındığının ya da gönderildiğinin ispat edilememesinin şirketi kabul edilemez işletme risklerine maruz bırakacağı durumlarda, dijital imzalar. Şifreleme Sistemleri ve Şifre Yönetimi: Mümkün olduğunda, şifre yönetim ve dağıtım yöntemleri kullanılmalıdır. Yönetim aşağıdaki hususları sağlamalıdır; 1.1. Uygun durumlarda, şifre değerleri açık bir şekilde gösterilmeden, güvenli ve bozulmaya karşı dayanıklı teçhizatlarda şifreleme işlemi uygulanmalı, yazılım şifreleme işleminin kullanımından kaçınılmalıdır. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 22/48 1.2. 1.3. 1.4. 1.5. 1.6. 19. 1. 20. 21. 1. 2. 3. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel Veri şifreleme mekanizmaları, iki yönlü kontrol altında, hiçbir zaman herhangi bir bireye ait tam şifreler olmayacak şekilde üretilmelidir, kaydedilmelidir, saklanmalıdır, kullanılmalıdır ve şifreleme cihazlarına girilmelidir. Eski şifre değerleri güvenli yöntemler yoluyla anında imha edilmelidir. Şifreleme, ilgili kamu ya da mali hizmetler standart algoritmaları ve teknikleri kullanılarak gerçekleştirilmelidir. Eğer bunlar yoksa, uygulanacak politika Teknoloji Müdürlüğü rehberliğinde belirlenecek uygun algoritmalar kullanılmalıdır. Birden fazla şifreleme amacını desteklemek için aynı şifreleme anahtarı kullanılmamalı ve anahtar değerleri güvenli yöntemler yoluyla periyodik olarak değiştirilmelidir. Şifreleme kontrollerinin her geçici veya kalıcı olarak geçersiz kılma işlemi yönetim tarafından yetkilendirilmelidir. Geçici olarak geçersiz kılma işlemi izlenmelidir ve kontroller hemen başlatılmalıdır. Ağ Yönetimi İletişim teçhizatlar ve sistemler ile aynı güvenlik standartlarına tabidir. İletişim ağlarına bağlı teçhizatlar üzerinde uygulanacak kontrolleri tamamlamak için, iletişim ağı erişimi ve mesaj yönetim kontrolleri uygulanmalıdır. Özellikle; 1.1. Yerel ağ ve çevirmeli bağlantılar da dahil olmak üzere, Desmer Bilgi ve İletişim sistemleri ile dış hizmetler arasındaki tüm bağlantılar, işletme yönetimi tarafından tek tek yetkilendirilmelidir. Desmer Bilgi ve İletişim dahili ağlarına doğrudan bağlanmak için çevirmeli hatların kullanımı asgari düzeyde tutulmalıdır ve sadece Desmer Bilgi ve İletişim ağlarını kullanırken pratik alternatiflerin mevcut ya da maliyet etkili olmadığı durumlarda kullanılmalıdır. İnternet Bağlantıları Yapısı itibariyle, internet küresel ve açıktır. Desmer Bilgi ve İletişim internet güvenliğinden emin olamaz ve bu sebeple işletme ile ilgili olarak internet yoluyla gerçekleştirilen haberleşmelerin güvenliğini korumak için eksiksiz ve kapsamlı bir dizi kontrol uygulamalıdır. Bu standart internet protokolü (IP) yoluyla gerçekleşen tüm dış hizmetler için geçerlidir. Desmer Bilgi ve İletişim, interneti, iş süreçlerini etkileyecek teknolojik ve hukuksal bilgilerden anında haberdar olmak ve müşterilere erişerek kendi tanıtımını yapmak amacıyla kullanmalıdır. Diğer tüm Desmer Bilgi ve İletişim kontrol standartları ve ilkeleri, özellikle aşağıdakiler olmak üzere, internet uygulamaları için de eşit derecede geçerlidir; 3.1. Desmer Bilgi ve İletişim çalışanları, danışmanları, sözleşmeli personeli, servis ve hizmet sağlayıcıları yönetimce kendilerine verilen yetkiler çerçevesinde interneti kullanabilirler. 3.2. Desmer Bilgi ve İletişim bilgisayarlarından internet hizmetlerine yapılan tüm bağlantılar şirket açısından belirli sebeplere dayandırılmalıdır, Şekerbank ve Teknoloji yönetimi tarafından onaylanmalıdır ve onay verilen amaçlar için gerçekleştirilecek bağlantılar sadece yetkili kişiler ile sınırlanmalıdır. 3.3. Yönetim tarafından açık bir şekilde izin verilmeyen internet hizmetlerinin kullanımı gerçekleştirilmemelidir. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 23/48 3.4. 3.5. 3.6. 3.7. 3.8. 3.9. 3.10. 3.11. 3.12. 3.13. 3.14. 3.15. 3.16. 3.17. 3.18. 3.19. 3.20. 3.21. 3.22. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel PDA, Akıllı telefon, iPhone gibi WiFi modem özelliği olan cihaz ve mobil aygıtlar, şirket içerisine getirilmemeli ve kesinlikle aktif olarak kullanılmamalıdır. İnternet hizmetlerine bağlı Desmer Bilgi ve İletişim teçhizatları güvensiz bir ortamda bırakılmalı veya yeterli kontrol ile uyumlu olarak sayısı asgari düzeyde tutulacak onaylanmış bir firewall yoluyla bağlanmalıdır. Firewall kontrollerinin işleyişi düzenli testlere ve otomatik izlemeye tabi olmalıdır. Desmer Bilgi ve İletişim BT güvenliğini tehdit edebilecek çalıştırılabilir yazılımların internetten alımını önlemek amacıyla otomatik araçlar kullanılmalıdır. Desmer Bilgi ve İletişim’in yönettiği bilgi sistemleri dahilindeki tüm kullanıcılar Bilgi ve İletişim Kaynakları Kullanım talimatını okumalı ve uygulamalıdır. İnternet vasıtasıyla, telif hakkı bulunan - Desmer Bilgi ve İletişim’in yönettiği bilgi sistemlerinde kullandığı yazılımlar ve diğerleri de dahil olarak – yazılımların yetkisiz bir şekilde çoğaltılması ve dağıtılması yasaktır. Desmer Bilgi ve İletişi, iletişim sistemlerini kullanarak yönetimce yasaklanmış olan adreslere girmek, materyallere ulaşmak ve dağıtmak yasaktır. Desmer Bilgi ve İletişim yönetimince erişimi yasaklanmış sistem veya dosyalara giriş yapılamaz. Desmer Bilgi ve İletişim’in zamanını ve kaynaklarını kişisel kazanç için kullanmak yasaktır. Desmer Bilgi ve İletişim’in iletişim kaynakları, hizmet verilen sektörlerdeki iş süreçlerinin geliştirilmesi ve iyileştirilmesi amacıyla kullanılabilir, fakat bu süreçlerin aksamasına etki edebilecek şekilde yoğun iş saatlerinde kullanılamaz. Desmer Bilgi ve İletişim, çalışanlarının kişisel gelişimine katkıda bulunmak amacıyla internet kullanımını teşvik eder, ancak kişisel gelişimi arttırıcı araştırma ve geliştirme faaliyetleri iş zamanında değil, kişisel zamanlarda maliyetler ve iş süreçleri de göz önüne alınarak yapılmalıdır. Desmer Bilgi ve İletişim çalışanları, internetin sağladığı tartışma, haber panoları ve sohbet odalarına kurumsal kimliklerini göz önüne alarak (fikirlerin kendi fikirleri olduğu, şirket fikirlerini yansıtmadığı gibi) katılabilirler. Hiçbir şekilde kurumsal kimliği zedeleyici herhangi bir girişimde bulunulamaz. Desmer Bilgi ve İletişim çalışanları, yönetilen bilgi sistemlerindeki müşterilerin hassas bilgilerini iletişim araçları veya internet vasıtası ile yayınlayamazlar. Kullanıcılar interneti kullanmadan önce uygun bir yöntem ile doğrulanmalıdır. Hassas bilgilerin internet üzerinden taşınması gerektiğinde bu bilgiler kesinlikle ek şifreleme mekanizmaları ile korunmalıdır. Desmer Bilgi ve İletişim tarafından yönetilen bilgi sistemleri üzerinde internet erişimi sağlayabilen donanımlar, fiziksel ve mantıksal güvenliği sağlanarak kontrol altında tutulmalıdır. Firewall işlerliği hizmet alınan Şekerbank tarafından düzenli testler ve otomatik izleme / uyarı sistemleri ile takip edilmelidir. Desmer Bilgi ve İletişim, iş sürekliliğinin devamlılığını tehdit edecek herhangi bir bilgiyi (sistem kullanım şifreleri, güvenlik parametreleri vb. gibi) internet üzerinden şifrelemeden, okunabilecek bir şekilde göndermemelidir. Desmer Bilgi ve İletişim, yönettiği bilgi sistemleri üzerinde müşterilerinin iş süreçlerinin devamlılığı için üçüncü taraf şirketler ile hiçbir yazılı anlaşma Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 24/48 BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel olmadan internet üzerinden veri veya yazılım transferini gerçekleştiremez. Böyle bir anlaşma, bilginin içeriğini, güvenlik koşullarını ve transfer mekanizmasını da içermelidir. 3.23. Desmer Bilgi ve İletişim yönetimi, çalışanlarının internette yaptıkları hareketleri izlemeyi sağlayacak mekanizmayı kurmalı ve aktivitelerin raporlanmasını takip etmelidir. Bu konunun varlığı konusunda çalışanlar bilgilendirilmelidir. 3.24. Desmer Bilgi ve İletişim, yönettiği bilgi sistemleri üzerinde uygun internet kullanımını garanti altına almak ve yetkisiz kullanıma karşı korumak amacıyla gerekli gördüğü zamanlarda inceleme, denetim ve kaydetme fonksiyonlarını saklı tutar. 25. 1. İşletme Verilerinin Teslimi ve İletimi İşletme verileri, dahili ya da harici olarak iletişim ağları üzerinden veya fiziksel yollarla gönderildiği zaman, tüm tarafların güvenlik sorunları ile karşılaşmasını önlemek için gerekecek kontrol gereksinimlerini saptamaya yönelik bir risk değerlendirmesi yapılmalıdır. Bu gereksinimler arasında aşağıdakiler bulunmaktadır: 25.1. Veri içeriğini ve kaynak ve alınış noktalarını korumak ve onaylamak; 25.2. İletilen verilerin gizliliğini korumak; 2. 3. 26. 1. 25.3. Bir denetleme izinde uygun ayrıntıları kaydetmek. Fiziksel veri depolama araçlarını korumak için güvenli paketler kullanılmalıdır. Güvenli teslim yöntemleri kullanılmalıdır. Gizli verileri korumak için, bir gönderiyi birden fazla teslimata bölmek düşünülmelidir. Yönetim, dış kuruluşlarla gerçekleştirilen veri alışverişinde herhangi bir güvenlik sorununun olup olmadığını gösteren kanıtları araştırmalıdır. Mal ya da Hizmet Satın Alma Sözleşmeleri: Yönetim, Desmer Bilgi ve İletişim’in doğrudan kontrolü dışında, başka kuruluşlar tarafından kontrol edilen Desmer Bilgi ve İletişim veri ve sistemlerini korumak için, ürünlere yönelik sözleşmelerde ve satın alma siparişlerinde güvenlik yükümlülüklerini zorunlu kılmayı sağlamalıdır. Ürün seçme ve satın alma süreçlerinin bir parçası olarak ürün belirtimlerine güvenlik zorunlulukları dahil edilmelidir. Bir risk değerlendirmesi esasına dayanarak, bu konuda dikkate alınacak hususlar şunlardır: 1.1. Diğer kuruluşlara emanet edilen Desmer Bilgi ve İletişim verilerine uygulanacak güvenlik standartları; Gerektiğinde, hizmet sözleşmelerine kamu güvenlik standartları dahil edilebilir. 1.2. Kayıp, gecikme ya da hata ile ilgili sorumluluklar da dahil olmak üzere, işletmenin, verilerin gönderilişi ve kabulü ile ilgili koşulları. 1.3. Desmer Bilgi ve İletişim ve dış denetim kuruluşlarının yerinde kontrol değerlendirmeleri yapabilme hakları. 1.4. Bilgi gizlilik anlaşmaları. 1.5. Desmer Bilgi ve İletişim fikri mülkiyet haklarının korunması. 1.6. Tedarikçinin, veri koruma, bilgisayar yanlış kullanımı ve benzeri yasal ve düzenleyici zorunluluklar ile ilgili olarak Desmer Bilgi ve İletişim’e karşı sorumlulukları. 1.7. Güvenlik hatalarının bildirimi ve yönetimi ile ilgili prosedürler. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 25/48 29. 1. 2. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel Desmer Bilgi ve İletişim Tesisleri Dışındaki Teçhizatların Korunması: Taşınabilir PC’ler de dahil olmak üzere Desmer Bilgi ve İletişim tesisleri dışına çıkarılan Desmer Bilgi ve İletişim teçhizatları hırsızlığa ve kaybolmaya karşı daima korunmalıdır. Teknoloji Müdürlüğü ile üzerinde anlaşılan veri şifreleme kontrolleri yoluyla, Desmer Bilgi ve İletişim işletme verileri korunmalıdır. Desmer Bilgi ve İletişim teçhizatlarının Desmer Bilgi ve İletişim tesisleri dışına götürülebilmesi ve kullanılabilmesi için, ilgili riskler de değerlendirilerek Yönetim tarafından yetki verilmelidir. Tesis dışında kullanılan Desmer Bilgi ve İletişim teçhizatlarından sorumlu çalışanların sorumlulukları şunlardır: 2.1. Teçhizatın fiziksel güvenliği açısından, üreticinin, teçhizatın korunması ve kullanımı ile ilgili tavsiyelerini gözlemek. 2.2. Teçhizatın sadece yetkili kişilerce ve yetki verilen amaçlar için kullanımını sağlamak. 2.3. İşletme verilerinin gizliliğini korumak. 2.4. Fiziksel kilitler ve dosya şifreleme sistemleri gibi ürünle birlikte sağlanan güvenlik kontrollerinden yararlanmak. 2.5. Çıkarılabilen manyetik araçları, kullanımda olmadığı zamanlarda güvenli bir şekilde saklamak. 2.6. Kullanımda olmadığı zamanlarda, teçhizatın telekomünikasyon şebekesi ile bağlantısını kesmek. 1.7. Değişiklik ve Problem Yönetimi 1. Genel İlkeler: 1. Yetersiz değişiklik kontrolü, sistem ve güvenlik hatalarının temel sebebidir. Bilgisayar yazılımı, teçhizat, tesis ve ana hizmetler de dahil olmak üzere üretim sistemlerinde yapılacak her türlü değişikliği kapsayacak yönetim prosedürleri dokümante edilmelidir. 2. Planlama: 1. Sistem değişikliklerinin dikkatli bir şekilde planlanması ve aşağıdaki hususları içermesi gerekmektedir: 1.1. Tüm önemli değişikliklerin tanımlanması ve dokümante edilmesi ve bunların uygulanabilmesi için gerekli olan görevler. 1.2. Tüm görev sorumluluklarının tahsisi. 1.3. Planlanan değişiklikler sırasında ya da sonrasında doğabilecek olası sorunların değerlendirilmesi ve bunların önlenmesi ya da en aza indirgenmesi için alınması gereken önlemler. 1.4. Tüm değişikliklerin yönetim tarafından belgelenmiş onayı. 1.5. Değişiklik ile ilgili ayrıntıların ilgili tüm şahıslara önceden bildirilmesi. 1.6. Tercihen tüm üretim işlemlerinden açık bir şekilde ayrı bir ortamda, test uygulaması. 1.7. Uygulama sonrası değişikliklerin gözlenmesi. 1.8. Başarısızlıkla sonuçlanan değişikliklerin zararlarının giderilmesine yönelik prosedürler ve sorumluluklar. 1.9. Her bir değişikliğin tamamlanması. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 26/48 3. 1. 2. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel Acil Değişiklik Kontrolleri: Üretim sistemlerinde ve verilerinde gerçekleştirilen acil değişiklikler tek tek yetkilendirilmeli, kaydedilmeli ve alınan önlemleri doğrulamak için bağımsız olarak kontrol edilmelidir. Acil değişiklik prosedürleri normal yetkili değişiklik prosedürlerinin yerini almamalıdır. Hatalara karşı gerçekleştirilecek kalıcı düzeltmeler mümkün olan en kısa zaman içerisinde yetkili prosedürlere uygun olarak uygulanmalıdır. 4. Problem Yönetimi 1. Problem yönetimi, aşağıdaki temel görevleri içermelidir; 1.1. Problem saptama – problemi tanımlama ve probleme sebep olabilecek daha önceki ilgili değişikliklerin ayrıntıları da dahil olmak üzere bilgi toplama. 1.2. Problem teşhis. 1.3. Problemden kaynaklanan işletme etkilerini en aza indirgemek için işletme zararını giderme. 1.4. Problem çözme. 1.5. Problemin başarıyla çözüldüğünden emin olmak için çözümü gözleme. 1.8. Bilgisayar Sistemi Erişim Kontrolü: 1. Genel İlkeler: 1. Önemli sistemlere ve işletme bilgilerine erişim sadece yetkili personelle sınırlanmalıdır, geçerli işletme ihtiyaçlarına dayandırılmalıdır ve kullanıcı kimlikleri takip edilebilmelidir. Sistem erişimi, kullanıcı kimlikleri ve yetkilici kullanıcılara verilen gizli şifreler yoluyla kontrol edilmelidir. Ortak şifreler istisnai olmalıdır ve yönetim tarafından durum esasına göre yetkilendirilmelidir. Güvenlik yazılımı yetkisiz erişim ya da değişikliğe karşı yeterli derecede korunmalıdır. Bu standart, veri ve ses telekomünikasyon cihazları, sunucular, PC’ler ve diğer ofis cihazları da dahil olmak üzere her türlü sistem ve uygulama için geçerlidir. 2. 3. 4. 2. Sorumluluklar ve Görev Dağılımı: 1. Yönetim aşağıdakileri sağlamalıdır; 1.1. Sistem erişim kontrolleri uygulama sorumluluğu, güvenlik kontrollerini kabul edilemez düzeyde zayıflatacak uyumsuz görevlerden ayrılmalıdır. Bu tip görevlere örnek olarak sistem işletimi, teknik destek, sistem geliştirme ve işletme kullanımı gösterilebilir. 1.2. Sistem kullanıcı erişim hakları ile ilgili tüm oluşturma, değiştirme ve silme talepleri mail ile yapılmalı ve kullanıcının yönetimi tarafından yetkilendirilmelidir. İşletme bilgisi veya ilgili sistemlerden sorumlu diğer işletme fonksiyonlarının gerekli görmesi halinde, başvurulmak üzere en az 6 ay boyunca saklanmalıdır. 1.3. Prosedürler, teçhizat bakımı ve üretim sistemi, sorun gidermeye yönelik bir defalık şifreler gibi özellikle yüksek riskli yükümlülükler için ilave kontroller uygulamalıdır. 1.4. Kullanıcı kimliği bilgileri ve şifreler sistem kullanıcılarına güvenli yollarla ulaştırılmalıdır. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 27/48 BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel 1.5. Sistem erişim hakları düzenli olarak gözden geçirilmeli ve kullanıcının daha fazla ihtiyaç duymaması halinde iptal edilmelidir. Ortak şifrelerin gözden geçirilmesi ve korunması için özel bir sorumluluk yüklenmelidir. 1.6. Kontrollerin işletme riskine bağlı olarak yeterli düzeyde olmasını, doğru ve tutarlı bir şekilde uygulanmasını sağlamak için, idari prosedürler gözlemlenmelidir. 3. Kullanıcı Kimlikleri: 1. Tüm kullanıcılar (işlemciler, ağ yöneticileri, sistem programcıları ve veritabanı yöneticileri gibi teknik destek personelleri dahil), yapılan işlemlerin sonradan sorumlu bireyler kapsamında izlenebilmesi için, kişisel ve tek kullanımlara ilişkin özel bir tanımlayıcıya (kullanıcı kimliği) sahip olmalıdır. Kullanıcı kimlikleri kullanıcının ayrıcalıklı düzeyiyle ilgili, örneğin yönetici, uzman, hiçbir belirti vermemelidir. Kullanıcı kimlikleri; 2.1. Bireysel kullanıcıları bireye özel şekilde tanımlamalıdır; 2.2. Bir kullanıcıya verilen özel sistem erişim haklarını tanımlamamalıdır ya da kullanıcının şifresi veya ilgili sistem ile ilgili bilgi sağlamamalıdır. İstisnai olarak, belirli işletme amaçlarına yönelik olarak, bilinen kullanıcı gruplarına yönetim tarafından genel kimlikler verilebilir. 2. 3. 8. Şifreler: 1. Kullanıcılara verilen ilk şifreler belirtilen şekilde yaratılmalı, sistemler kullanımların veya ekipmanların boş şifre ile kullanılmasına izin verilmeyecek şekilde ayarlanmalıdır. Şifreler boşluksuz en an 8 karakter, harf ve rakam karışık şekilde olacaktır. Şifreler kolaylıkla tahmin edilemeyecek şekilde seçilmelidir ve özellikle kullanıcı ile aşağıda belirtilen şekillerde bağlantısı olmamalıdır: 1.1. Soyadları ve isimler; 1.2. Şirket isimleri, künyeleri ve referansları; 1.3. Taşıt plakaları; 1.4. Yılın ayları, haftanın günleri ya da diğer tarih unsurları; 1.5. Telefon numaraları; 1.6. Kullanıcı kimliği, kullanıcı adı, grup kimliği ya da sistem künyesi. 1.7. Şifreler, kullanıcılara şifre taahütnamesi imzalatıldıktan sonra sistemde yaratılmalıdır. 2. Şifreler, Desmer Bilgi ve İletişim’in bilgisayar ve ağ güvenlik sistemlerinin temel unsurlarıdır. Bu sistemlerin tasarlanan işi yaptıklarından emin olmak için, kullanıcılar tarafından tahmini zor olan şifreler seçilmelidir. Bu demektir ki şifreler, şifre sahibinin işiyle veya kişisel yaşamıyla ilgili olmamalıdır. 3. Kullanıcılar, seçtikleri şifrelerin kolay hatırlanabilir olmasıyla birlikte yetkisiz kişiler tarafından tahmin edilmesi zor olmasına dikkat etmeliler. 4. Kullanıcılar, tarih veya tahmin edilebilir bir faktöre dayalı olarak kısmen değiştirilen basit karakterler serisinden oluşan şifreler oluşturmamalılar. Örneğin, kullanıcılar, ocakta “X34OCA” ve şubatta “X34SUB” gibi şifreler kullanmamalılar. Ayrıca, kullanıcılar, daha önce kullandıkları şifrelerin aynısını veya bir benzerini kullanmamalılar. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 28/48 5. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel Bir şifrenin uzun vadede kötüye kullanılmadığından emin olmak için, şifreler her doksan günde bir veya daha sık aralıklarla değiştirilmelidir. 6. Şifreler okunabilir biçimde olan dosyalarda, makrolarda, erişim kontrol sistemleri olmayan bilgisayarlarda veya yetkisiz kişilerin bulabileceği diğer yerlerde saklanmamalıdır. Aynı şekilde, şifreler, yetkisiz kişilerin ulaşabileceği bir yere yazılıp bırakılmamalıdır. İlk şifre atama ve şifrenin yeniden kurulumu dışında, başkası tarafından bilindiğine dair bir şüphe varsa, şifre derhal değiştirilmelidir. 7. Ne olursa olsun, şifreler yetkili kişinin dışında herhangi biriyle asla paylaşılmamalı veya herhangi birine gösterilmemelidir. Böyle yapmak diğer kişi tarafından yapılanların sorumluluğunu yetkili kullanıcıya yükler. Eğer kullanıcılar yerel bilgisayar verilerini paylaşmak istiyorlarsa, e-mail, yerel alan ağ sunucularında herkese açık dizinleri ve diğer mekanizmaları kullanmalılar. 8. Sadece tahmini zor şifrenin kullanıldığından emin olmak için, şifre gücü, sorumlu kimseler tarafından her altı ayda bir veya daha sık aralıklarla test edilmelidir. Zayıf şifre sahibi kullanıcılar bu konuda uyarılmalıdır. 9. Erişim Kontrol Sistemleri 1. Uygulanabilen durumlarda, erişim kontrol sistemleri aşağıdaki koşulları sağlamalıdır: 1.1. 8 karakterlik boşluksuz, harf-rakam karışık minimum şifre uzunluğunu otomatik olarak uygulamalı ve mümkün olduğunca Şifre Standartlarına uyumu kontrol etmelidir; 1.2. Kolay ele geçirilebilmesini önlemek için şifreler, bilgisayarlarda tek yönlü şifreli şekilde saklanmalıdır; 1.3. Kullanıcıların kendi şifrelerini değiştirebilmelerine olanak tanınmalıdır. Bunu, ilk şifrelerini aldıklarında hemen gerçekleştirmeleri sağlanmalıdır. “Sadece bir defalık” şifreler de dahil olmak üzere, daha sık gerçekleşen şifre değişiklikleri özellikle ödeme sistemleri ve üretim sistemine erişim sorun giderme gibi hassas uygulamalar için düşünülmelidir. 1.4. Makul derecede düzenli bir şifre değişimi sağlamak için, kullanıcıların daha önce kullanılan şifreleri seçmeleri önlemelidir; 1.5. Sisteme sadece yetkili kullanıcıların erişebileceği, yetkisiz erişimin yasalara göre suç teşkil ettiği yönünde bir uyarı mesajı gösterilmelidir (giriş ekranı); 1.6. Bilgisayar terminallerine ya da yazıcılara yetkisiz erişime yardımda bulunacak şifreler ve diğer bilgiler gösterilmemelidir; 1.7. Ardarda belli sayıda (en az 3-en fazla 8) başarısız giriş denemesinden sonra, oturum kapatılmalı ve kullanıcı erişim hakları dondurulmalıdır; 1.8. 90 gün boyunca kullanılmayan kullanıcı erişim hakları askıya alınmalıdır; 1.9. Bir risk değerlendirmesi sonucu, önemli sistemlerde tespit edilecek başarısız giriş denemelerinin bir denetleme izi kaydı tutulmalıdır; 1.10. Terminal azami süreden daha fazla faaliyet dışı kalmış ise, terminal, oturuma kapatılmalıdır; 1.11. Yüksek risk altındaki yerleşim yerlerinde olan, örneğin terminaller yetkisiz kişiler tarafından sağlanacak erişimi engellemek için, tanımlanmış belirli bir çalışmazlık süresinden sonra kapanmaktadır. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 29/48 18. 1. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel Yükleme ve Bakım Şifreleri: Yazılım bayileri tarafından yükleme, bakım ve mühendislik amaçlarıyla kullanılmak üzere verilen ilk şifreler genellikle yaygın olarak bilinmektedir ve etkilidir. Bu şifreler, daha fazla ihtiyaç duyulmadığı anda değiştirilmeli ya da iptal edilmelidir. 1.9. Sistem Geliştirme ve Bakımı 1. Genel İlkeler: 1. Güvenlik kontrollerinin etkililiğini ve maliyetini en iyi derecede gerçekleştirebilmek amacıyla, uygulama sistemi güvenlik ihtiyaçları, tüm sistem geliştirme süreci boyunca, diğer işletme ihtiyaçlarının bir parçası olarak yönetilmelidir. 2. Faaliyetlerin Bölünmesi: 2. Uygulama sistemleri geliştirme ve bunların bakımlarını yürütme sorumlulukları ve olanakları, üretim sistemleri işletim sorumluluklarından ve olanaklarından ayrılmalıdır. 3. Güvenlik İhtiyaçları Analizi ve Tespiti: 3. Yönetim, temel Bilgi güvenlik kontrollerinin yanı sıra, uygulamaya özel kontrol ihtiyaçlarını da dikkate almalı ve karşılamalıdır. Belgelenmiş bir risk değerlendirmesi esas alınarak, işletme güvenlik ihtiyaçlarının bir analizi gerçekleştirilmelidir. Satın alınan yazılım paketlerini uygulayan projeler, ürün seçimi ve satın alma süreçlerinde güvenlik ihtiyaçlarını da dikkate almalıdır. Sistem tasarımı, aşağıdaki uygulama hususları göz önünde bulundurularak gerçekleştirilmelidir; 3.1. Sistem şifrelerine ve kullanıcı kimliklerine, erişim kontrol tokens (secure id)’ a, işlem değerine bağlı kontrollere ve uygulama menülerinin yapısına ve sunumuna dayalı uygulamaya özel erişim kontrolleri. 3.2. Veri koruma ve gizliliği, kara para aklama, dolandırıcılığın tespiti ve önlenmesi ile ilgili mevzuat ve düzenlemeler ve kullanıcı giriş zamanında terminal göstergelerinin kullanımı (giriş ekranı) gibi diğer mali hizmet düzenlemeleri de dahil olmak üzere ilgili mevzuat ve düzenlemelere uyum. 3.3. Özel uygulama sistemleri için geçerli olan teknik standartlara (ISO Standartları gibi) uyum. 3.4. İşletme kontrol ve soruşturma ihtiyaçları dikkate alınarak gerçekleştirilen denetleme izleri. 3.5. Aşağıdaki işletme ihtiyaçları da dahil olmak üzere, hata önleme ve tespit etmeye yönelik uygulama kontrolleri ve acil durum kontrolleri; 3.5.1. Çevrim dışı ve çevrim içi veri girişi için veri bütünlüğü kontrolleri. 3.5.2. Otomatik veri beslemeleri ve veri kütükleri. 3.5.3. Müşteri ya da karşı taraf tanımlama ve onaylama. 3.5.4. İşlem yetkisi. 3.5.5. Elektronik bankacılık ve self-servis sistemleri için gereken özel ihtiyaçlar. 3.5.6. Otomatik kontrolleri tamamlayıcı nitelikte bağımsız işlem kontrolleri ve diğer işletme kontrolleri. 3.5.7. İç ve dış denetim ihtiyaçları. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 30/48 BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel 4. 4. 5. Test Etme: Uygulamaya özel güvenlik kontrolleri proje test planlarının ayrılmaz bir parçası olarak test edilmelidir ve diğer sistem ihtiyaçları ile aynı esasta dokümante edilmiş işletme kabulüne tabi olmalıdır. Uygulanabilir durumlarda, canlı işletme verileri test ve eğitim amaçları için kullanılmamalıdır. Eğer kullanılacaksa; 5.1. İlgili işletme riskleri, üretim sistemleri için kabul edilen risk düzeyinden daha yüksek olmamalıdır. 5.2. Şirket yönetiminin önceden onayı alınmalıdır. 5. Proje Verileri ve Belgelerinin Güvenliği: 6. Tüm geliştirme süreci boyunca; 6.1. Sistem geliştirme yazılımları, verileri ve belgeleri gizli olarak kabul edilmelidir. 6.2. Proje verilerine ve belgelerine uygun değişiklik yönetimi ve erişim kontrolleri uygulanmalıdır. Dokümante edilen konfigürasyon ve değişiklik yönetim süreçleri, geliştirme sürecinden ürün işletimine geçişte de uygulanmalıdır. 7. 1.10. Teknoloji Müdürlüğü Acil Durum Planlaması 1. Genel İlkeler: 1. Ciddi güvenlik aksaklıklarının (yani, bilgi gizliliğinin, bütünlüğünün ve erişilebilirliğinin aksaklığa uğraması) süresini ve işletmeye olan etkisini en aza indirgemek için, acil durum planları daima hazır bulundurulmalıdır. En azından, ana sistemler erişilemez ve işlemez hale geldiğinde kabul edilebilir bir süre zarfında alternatif tesisleri kullanan gerekli sistemleri kurtarmak için acil durum planları hazırlanmalıdır. Teknoloji acil durum planları diğer ilgili işletme devamlılık planları ile eşgüdüm halinde olmalıdır. Sistem geliştirme sırasında, işletme riskleri değerlendirmesi esasına dayandırılarak, asgari kabul edilebilir acil durum plan süreleri ve hizmet seviyeleri için işletme ihtiyaçları dikkate alınmalıdır. Yönetim, işletme ihtiyaçları ve öncelikleri ile bağlantılı olarak Teknoloji acil durum planlarını düzenli olarak gözlemelidir ve gerektiğinde iyileştirmeler yapılmalıdır. Gerekli sistemlerin kaybı da dahil olmak üzere, ciddi Bilgi güvenlik aksaklıklarının yol açtığı zararları düşürmek için sigorta göz önünde bulundurulmalıdır. 2. 3. 2. Planlama: 4. Acil durum planları, işletmenin gerekli faaliyetlerinin asgari düzeyde aksamaya uğrayarak devam edebilmesine olanak sağlamak için, önemli bilgisayar güvenlik aksaklıkları öncesindeki, sırasındaki ve sonrasındaki olanakları, sorumlulukları ve prosedürleri içermelidir. Acil durum planları, önemli sistem hatalarının yol açabileceği riskleri asgari düzeye indirgemek için tasarlanan diğer güvenlik kontrollerini tamamlayıcı nitelikte olmalıdır. Acil durum planlaması, tüm hizmetler ve uygulamaları için düşünülmelidir ve aşağıdaki anahtar görevler esasına dayandırılmalıdır: 5.1. Aşağıda belirtilen hususları da dikkate alarak, ciddi Bilgi güvenlik aksaklıklarının işletme üzerindeki olası finansal ve finansal olmayan etkilerini değerlendirmelidir; 5. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 31/48 5.1.1. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel Yatırımcılar ve müşteriler arasında Desmer Bilgi ve İletişim itibarına gelecek zarar; 5.1.2. Müşteri hizmet kaybı; 5.1.3. Kötü reklam; 5.1.4. Sözleşme, yönetmelik ve yasaların olası ihlali. Bu değerlendirme üzerinde işletme kullanıcıları da mutabık olmalıdır ve tüm işletme verilerini, teçhizatlarını ve yazılımlarını dikkate almalıdır. 5.2. İlgili tehditler ve mevcut kontroller de dikkate alınarak, önemli aksaklıkların nispî olasılığını değerlendirmek. 5.3. Acil durum planlarında yatırım konusunda Teknoloji hizmetlerine öncelik vermek. 5.4. Maliyet yönünden en etkili acil durum düzenlemelerini tespit etmek amacıyla, gerekli işletme işlemlerini desteklemeye yönelik seçenekleri tanımlamak ve değerlendirmek. 5.5. Acil durum planının tasarımını hazırlamak ve uygulama maliyetlerini işletme açısından haklı çıkarmak. 5.6. Teknik prosedürleri ve yönetim prosedürlerini uygulama, test etme gerektiğinde bu planları geliştirme. 5.7. Değişen koşulları ve işletme ihtiyaçlarını ortaya çıkarmak amacıyla, acil durum planlarını en azından yıllık olarak gözden geçirme. 6. Plan İçerikleri: 7. Acil durum planları, genel bir kılavuz olarak, aşağıdaki hususları içermelidir; 7.1. Planın devreye gireceği koşullar. 7.2. Planı harekete geçirme ve yönetme sorumlulukları ve aday gösterilen sorumlular. 7.3. İnsan kaynakları ihtiyaçları. 7.4. Acil durum servisleri, çalışanlar, müşteriler, teçhizat ve yazılım tedarikçileri ve ilgili diğer taraflarla iletişim kurulmasını sağlayacak düzenlemeler ve telefon numaraları. 7.5. Acil durum sığınaklarının ve Sistem Altyapı tesislerinin ve teçhizatlarının ayrıntıları ve gerektiğinde bunlara erişim ve yerleşim düzenlemeleri. 7.6. Acil durumlarda ulaşım ve benzeri idari düzenlemeler. 7.7. Yedek yazılım, veri kütükleri ve belgelerin yerleri. 7.8. Acil durum işletim yönergeleri, programları, öncelikleri ve hizmet düzeyi hedefleri. 7.9. Acil durum planının işletilmesi sırasında işletme risklerini yönetmek için gereken güvenlik kontrolleri ve diğer işletme kontrolleri. 7.10. Basın, düzenleyiciler, müşteriler ve personel ile iletişim kurma prosedürleri. 7.11. Normal üretim hizmetlerine dönüş ile ilgili rehber bilgiler. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 32/48 BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel 8. Test ve Denemeler: 9. Acil durum planları, işletme riskleri ile uygun olarak düzenli bir şekilde test edilmeli ve denenmelidir ve aşağıdaki koşulların sağlanması için gerekli iyileştirmeler gerçekleştirilmelidir; 9.1. Planların tam ve etkili olmaya devam etmesi ve öncelikli işletme ihtiyaçlarına hitap etmesi. 9.2. Çalışanların yeterli düzeyde eğitilmesi ve acil durum planlarından haberdar edilmesi. 1.11. Mesaj Sistemleri 1. Genel İlkeler: 1. Desmer Bilgi ve İletişim mesaj sistemleri, kurum-içi iletişimin yanısıra, müşteriler, tedarikçiler ve diğer organizasyonlar ile iletişim kurulması için de kullanılmaktadır. Mesaj sistemlerinde saklanan veriler, Desmer Bilgi ve İletişim işletme kayıtlarının önemli bir bileşenini oluşturmaktadır. Bu nedenle, mesaj sistemlerinde tutulan bilgilerin güvenliğinin düzenli kontroller vasıtasıyla takip edilmesi gereklidir. 2. Telefon Sistemleri: 2. Telefon sistemleri ve ilgili bağlantılar temel olarak bilgisayar sistemlerinden oluşmaktadır ve buna uygun olarak korunmalıdırlar. Özellikle dikkat edilmesi gereken konular arasında gizli nitelikteki müşteri bilgilerinin ve diğer kişisel bilgilerin korunması yer almaktadır. 2.1. Telefon kontrol ekipmanı, fiziksel erişim kontrolleri ile korunmalıdır. 2.2. Bakım ve idari destek için şifre erişim kontrolleri uygulanmalıdır ve uygun olduğu durumlarda, şebekeler üzerindeki bakım işlemleri için uygun iletişim kontrollerinin uygulanması gereklidir. 2.3. Tüm bakım ve idari erişim işlemlerinin denetim izlerinin tutulması gereklidir. 2.4. Dokümante edilmiş yazılım ve ekipman değişim kontrol prosedürleri uygulanmalıdır. 2.5. Gizli nitelikteki bilgiler için mobil telefonlar kullanılmamalıdır. 2.6. Dijital mobil telefonlar, analog sistemlere kıyasla daha güvenilir oldukları için, tercih edilmelidirler. 2.7. Kod sözcükler ve sistem erişim detayları gibi güvenlik kontrol verileri, mobil telefonlarda kesinlikle açıkça ifade edilmemelidir. 2.8. Telefon üzerinden yapılan işlemlerin kayıt edildiği durumlarda, bu kayıtların yasal zaman sınırları dahilinde saklanması ve veri yedekleri ile aynı güvenlik standartlarına tabi olması gereklidir. 2.9. Temel telefon hizmetlerinin, işletme süreklilik planları kapsamında yer alması gereklidir. 3. Faks: 3. Yönetimin, faks sistemlerini korumak için gerekli güvenlik kontrollerini de uygulaması gereklidir. Bu alanda dikkat edilmesi gereken konular arasında aşağıdakiler yer alabilir; 3.1. Programlı faks numaralarının kontrolü. 3.2. Faks ile iletilen ve alınan işletme yönergelerinin teyidi. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 33/48 3.3. 3.4. 3.5. 3.6. 3.7. 3.8. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel Tüm faks belgeleri başlık sayfası kullanılarak gönderilmelidir. Bu başlık sayfasında faksı gönderen kişinin ve alıcının ismi, faksı gönderen ve alan lokasyonların telefon ve faks numaraları, faks tarih ve zamanı ile gönderilen toplam sayfa sayısı yer almalıdır. Faks başlık sayfasında, Desmer Bilgi ve İletişim Bilgi Güvenliği Politikası talimatı uyarınca belirlenen disclaimer metninin yer alması gereklidir. Desmer Bilgi ve İletişim’e ait lokasyonlardan gizli nitelikte bilgi iletilirken; 3.5.1. İletiden önce alıcı bilgilendirilmeli ve mümkünse gönderiyi almak için hazır beklemesi sağlanmalıdır. 3.5.2. İletide yaşanan gecikmelerin anında araştırılması gereklidir. 3.5.3. İletilen bilginin alındı belgesi teyid edilmelidir. 3.5.4. Mümkün olduğu durumlarda, Desmer Bilgi ve İletişim personeli, Şirket’e gönderilen gizli bilgilerin alınması için faks makinalarının bulunduğu alanda hazır olmalıdırlar. Gerekli olduğu durumlarda, alınan faks iletilerinin kaynak ve içerikleri bağımsız olarak teyid edilmelidir. Bazı faks kağıtları zaman içerisinde ya da bazı tür mürekkep kullanıldığı zaman soldukları için, kaynak doküman olarak kullanılacak önemli faks işlemlerinin, fotokopi gibi kalıcı formlarda kayıt edilmesi gereklidir. İş sürekliliği planlarının, temel faks sistemlerini de kapsaması gereklidir. 4. Elektronik Posta: 4. E-posta mesajları ve ekleri, aşağılayıcı, saldırgan ya da müstehcen bilgiler içermemelidir. E-posta sistemlerinin sadece izin verilen işletme amaçları için kullanılması gereklidir. Tüm giden e-posta mesajlarının sonunda aşağıdaki standart disclaimer metninin yer alması gereklidir: “Bu mesaj ve ekleri, gönderilen e-posta adresinin kullanıcısına ait gizli bilgi niteliğindedir. Mesajın gönderildiği kişi siz değilseniz, bu mesajın ya da eklerinin tamamını ya da bir kısmını kopyalamak, başkalarına iletmek ya da kullanmak hakkında sahip değilsiniz. Bu mesajı bir hata sonucu almış olmanız durumunda, bu durumu göndericinin adresine hemen bildiriniz ve bu mesajı sisteminizden siliniz. Gönderilen bilginin kesintiye uğraması, bozulması, kaybolması, geç iletilmesi ya da virüs içermesi ihtimaline bağlı olarak, Internet üzerinden iletişim tamamen güvenli ya da hatasız olduğu garanti edilemez. Bu nedenle, mesajı gönderen kişi, İnternet iletisinin sonucunda ortaya çıkabilecek her türlü hata ya da eksiklik için sorumluluk kabul etmemektedir. Bu mesajda yer alan tüm görüşler, mesaj bünyesinde aksi açıkça ifade edilmedikçe, mesajı yazan kişinin görüşleridir ve kesinlikle mesajın gönderildiği Şekerbank’ın görüşlerini yansıtmamaktadır.” Tüm gelen e-posta mesajlarında aşağıdaki standart feragat metninin yer alması gereklidir: “Bu mesaj, İnternet üzerinden gönderilmiştir. Mesajı gönderen kişi, belirtilen kişi olmayabilir ve mesajda ya da eklerinde yer alan bilgiler doğru olmayabilir.” 5. 6. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 34/48 BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel 1.12. Yasal ve Düzenleyici Mevzuat İle Uyum 1. Genel İlkeler: 1. Desmer Bilgi ve İletişim politikaları, Şirket operasyonları ile ilgili tüm yasal mevzuat ve düzenlemeler ile uyumlu olmalıdır. Bu konular arasında aşağıdakiler yer alabilir: 1.1. Mahremiyet ve verilerin korunması; 1.2. Bilgisayarların yanlış amaçlar için kullanılması ve bilgisayar kullanılarak işlenen suçlar; 1.3. Yazılım telif hakları; 1.4. İşletme kayıtlarının tutulması ve yasal raporlama gereksinimleri; 1.5. Veri transferi; 1.6. Düzenleyici kurum tarafından getirilen teknik ve yönetim standartları. 2. Verilerin Korunması: 2. Veri koruma gereksinimi olarak aşağıdaki genel ilkeler uygulanabilir; 2.1. Kişisel bilgilerin, bireylerin kişisel hakları dikkate alınarak adil ve yasal şekilde işlemlere tabi olması gereklidir. 2.2. Kişisel bilgilerin bir ya da daha fazla yasal amaç için elde edilmesi ve bu amaç ya da amaçlar ile uyumlu olmayan şekilde kullanılmaması gereklidir. 2.3. Kişisel bilgilerin, ilgili işlemin amaçlarını karşılayacak seviyede olması gereklidir. 2.4. Kişisel bilgilerin doğru ve gerekli olduğu durumlarda, güncel olması gereklidir. 2.5. Belirli bir amaç ya da amaçlar için kullanılan kişisel bilgilerin, bu amaç ya da amaçlar için gerekli olduğundan daha uzun süreler için saklanmaması gereklidir. 2.6. Kişisel bilgilerin, yetkisiz kişilerce ya da illegal şekilde işleme tabi olması ya da kaybı ve zararı hallerine karşın uygun teknik ve örgütsel önlemler alınmalıdır. 3. Yazılım ve Dokümanların Telif Hakları: 3. Bilgisayar yazılımları telif hakları, tasarım ve patent ile ilgili kanun hükümlerine tabidir. Telif hakları açısından, bilgisayar yazılımları sanat eseri olarak kabul edilmekte ve mülkiyet ve telif hakları yükümlülükleri geçerli olmaktadır. Şirket bünyesindeki istihdam süreleri zarfında Desmer Bilgi ve İletişim personeli tarafından geliştirilen tüm yazılım ve programların mülkiyeti Desmer Bilgi ve İletişim’e aittir ve bu programların kodlarında uygun telif hakları ifadelerine yer verilmelidir; 4.1. “Tüm hakları saklıdır. Bu yazılım, sadece belirlenen amaçlar doğrultusunda kullanılmalıdır. Desmer Bilgi ve İletişim’in yazılı mutabakatı olmaksızın, bu yazılımın hiç bir kısmı çoğaltılamaz, parçalara ayrılarak kullanılamaz, saklanamaz.” 4.2. Yazılım, lisans koşulları ile çelişecek şekilde çoğaltılamaz, değiştirilemez ya da kullanılamaz. Sistem dokümantasyonunda aşağıdaki telif yazısına yer verilmesi gereklidir: 5.1. “Tüm hakları saklıdır. Desmer Bilgi ve İletişim’in yazılı mutabakatı olmaksızın, bu dokümanın hiç bir kısmı elektronik, mekanik, fotokopi, kayıt ve diğer şekillerde çoğaltılamaz, saklanamaz ve iletilemez.” 4. 5. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 35/48 BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel 1.13. Düzenleyici – Önleyici Faaliyetler Kurum içinde gözlenen uygunsuzlukların giderilmesine yönelik düzeltici ve önleyici tedbirler alınır. Bu kapsamda; 1.Önleyici Faaliyet : Henüz gerçekleşmemiş bir riskin giderilmesi ve tehditin gelmesi durumunda zarar vermemesi amacıyla alınacak önlemlerdir. 2.Düzeltici Faaliyet : Gerçekleşmiş bir risk için kök neden analizi yapıldıktan sonra bu zafiyeti ortadan kaldırmaya yönelik alınacak önlemlerdir. 2. Bilgi Teknolojileri Politikaları 2.1. Şifre Kullanım Politikası 1. Teknoloji Yönetimi, iş süreçlerindeki riskleri etkili ve etkin bir şekilde indirgemek için şifreleme kontrollerinin dikkatli bir şekilde tasarlanmasını, uygulanmasını ve sürekliliğini belirli bir risk değerlendirmesi esasına dayanarak ve ilgili işletim maliyetlerini de göz önüne alarak gerçekleştirmelidir. 2. Yönetilen Bilgi Sistemleri üzerinde çalışan kullanıcılar kendi şifrelerini seçerken aşağıda belitilen önerileri göz önüne almakla yükümlüdür. 3. Şifreler kişiye özel ve yalnızca o kişi tarafından bilinmesi gereken tanımlayıcı kimliklerdir. Bu tanımlayıcı kimliklerin güvenliğinden ve sorumluluğundan kesinlikle kullanıcı sorumlu tutulmalıdır. 4. Yönetilen Bilgi Sistemleri üzerindeki yetkili kullanıcılar, kendi kullanıcı kodu ve şifrelerinin kullanılmasından veya başkaları tarafından ısrarla istenmesinden şüphelenmeleri gibi ağ ve işlem güvenliğini tehlikeye atacak durumlarda derhal Teknoloji Müdürlüğü’nü haberdar etmelidir. 5. Yönetilen Bilgi Sistemleri üzerindeki yetkili kullanıcılar şifrelerini oluştururken, tanımlanan kurallar çerçevesinde, şifrelerini tahmin edilmesi güç, sözlükte veya konuşmada bulunmayan karakter ve sayı kombinasyonları şeklinde seçmelidirler. 6. Kullanıcılar, daha önce kullandıkları şifrelere benzeyen veya aynı olan şifreleri kullanmamalıdır. Kullanılan sistemler tarafından bu tür değişiklik talepleri otomatik olarak engellenmelidir. 7. Bilgi Sistemleri kullanıcıları basit bir karakter sırasıyla hazırlanmış daha sonra ise tarih veya başka tahmin edilebilir bir faktör bazında kısmen değiştirilmiş şifreler kullanmamaları yönünde uyarılmalıdır. 8. Bilgi Sistemleri kullanıcıları şifrelerini yetkisiz kişilerin bulunabileceği mekanlarda yazılı bir şekilde bırakmamalıdır. Kullanıcıya verilen ilk şifre ile birlikte kullanıcı hemen şifre değişikliğini gerçekleştirmelidir. İlk değişiklikten sonra şifrenin başka kullanıcılar tarafından bilinmesi veya bundan şüphe duyulması durumunda, şifre, kullanıcı tarafından derhal değiştirilmelidir. Değişikliği gerçekleştiremediği durumlarda derhal Teknoloji Müdürlüğü’ne haber vermelidir. 9. Şartlar ne olursa olsun, kullanıcı şifreleri diğer kullanıcılar ile paylaşılmamalıdır. Böyle bir davranış şifrenin sahibi olan yetkili kullanıcıyı, şifreyi öğrenmiş olan kişilerin yaptıklarından sorumlu tutacaktır. 10. Yönetilen Bilgi Sistemleri ağı üzerinde geçici veya sürekli bağlı olan tüm donanımlar için şifre erişim kontrolleri olmalıdır. Çok kullanıcılı sistemler üzerinde kişiye özel Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 36/48 11. 12. 13. 14. 15. 16. 17. 18. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel kullanıcı tanımları ve kullanıcı ayrıcalıklarını kısıtlayıcı mekanizmalar kullanılmalıdır. Ağa bağlı sistemler, belirli bir periyot sonunda hareketsizlik sonucu devreye girecek ekran koruyucuları veya yazılımları ile korunmalıdır. Yönetilen Bilgi Sistemleri üzerinde donanım ve iletişim sistemlerine erişim, her yetkili kullanıcıya özel olan şifrelerle yapılmalıdır. Dosyalara, uygulamalara, veritabanlarına, bilgisayarlara, ağlara ve diğer sistem kaynaklarına paylaşılmış şifrelerle (grup şifreleri) erişilmesine izin verilmemelidir. Paylaşılmış kullanıcı tanımları ve şifreleri bir sistem sürecinin birden çok kişinin sorumluluğunda olması durumunda kullanılabilir. Yönetilen Bilgi Sistemleri üzerindeki kullanıcı şifreleri belirlenmiş bir algoritma yardımı ile şifrelendirilerek elektronik olarak saklanmalıdır. Yönetilen Bilgi Sistemleri üzerinde yeni kullanıcıya verilen şifre sadece ilk kaydolduğu oturum için geçerli olmalı, kullanıcı yeni bir şifre yaratmaya zorlanmalıdır. Aynı prosedür şifrelerin unutulma sonucu sıfırlanması için de uygulanmalıdır. Servis ve Hizmet sağlayacılar tarafından sağlanan donanım ve iletişim cihazlarının ilk kurulum aşamasında verilen şifreler, ekipmanlar Bilgi Sistemleri üzerinde kullanılmaya başlanmadan önce mutlaka değiştirilmelidir. Kullanılan şifreler okunabilir formatta, otomatik erişim sağlayacak şekilde, fonksiyon tuşlarına bağlı olarak saklanmamalıdır. Kullanıcılar belli aralıklarla şifrelerini değiştirmeleri konusunda uyarılmalı veya kullanılan sistemler aracılığı ile otomatik olarak kullanıcıyı zorlamalıdır. Yönetilen Bilgi Sistemlerinin güvenliğinden şüpheye düşen ilgili sorumlular derhal şifreleri değiştirmeli ve bir sonraki erişimde değiştirilmesini sağlamalıdır. Kritik sistemler üzerindeki şifreler 2 bölümden oluşturulmalı, iki yetkili kullanıcı tarafından ortak olarak girilmelidir. 2.2. Veri Güvenliği Politikası 1. Desmer Bilgi ve İletişim bilgi sistemlerinde tutulan hassas bilgiler Çok Gizli, Gizli, Hizmete Özel ve Özel verilerdir. Çok Gizli: 2. Açığa çıktığı takdirde, Desmer Bilgi ve İletişim ve müşterilerine ciddi stratejik ve finansal zararlar verebilecek bilgileri kapsar. Bu tür bilgilere ulaşım sadece yetkili kişilere ve sadece kişinin yaptığı iş bu bilgileri gerektiriyorsa sağlanmalıdır. Bilgilere erişim kayıtları tutulmalı ve gözden geçirilmelidir. 3. Bu tür bilgiler Yedekleme Politikası Maddesinde ve Desmer Bilgi ve İletişim Kurumsal Güvenlik Politikası Talimatının Fiziksel Güvenlik bölümünde belirtilen şekillerde yedeklenmeli ve saklanmalıdır. Bu tür bilgilerin taşıma ve aktarım işlemleri son derece güvenli (şifrelenmiş, sınırlandırılmış telefonlar vb.) bir şekilde ve iç kurye kullanılarak kontrollü ortamlarda gerçekleştirilmelidir. 4. Bu bilgiler üzerinde yüksek seviye denetim ve kontrol olmalıdır. Gizli: 5. Yönetimin isteği dışında açığa çıkması halinde Desmer Bilgi ve İletişim müşterilerine ciddi zarar verebilecek bilgileri kapsar. Çoğu finansal işlemler bu kategoridedir. Bu tür işlemlerde ikinci kişi onayı gerekir. Yedekleme Politikası Maddesi kapsamında yedeklenmeli ve saklanmalıdır. 6. Gizli veri örnekleri aşağıdaki gibidir; 6.1. Yönetim Kurulu Kararları, Satınalma Kararları 6.2. Müşteri İletişim ve Kimlik Bilgileri Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 37/48 BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel 6.3. İç sirküler Hizmete Özel (Sadece İç Kullanım): 7. Bu grup bilgiler, izinsiz açığa çıkmaları durumunda ciddi sorunlara yol açmayacak olsa bile, yönetimin şirket içinde kalmasını tercih ettiği bilgileri kapsar. Bu bilgilere erişim, grup veya iş tanımı bazında verilmelidir. 8. Yedekleme Politika Maddesi kapsamında yedeklenmeli ve saklanmalıdır. 9. Hizmete Özel veri örnekleri aşağıdaki gibidir; 9.1. Duyurular, Genelgeler 9.2. Eğitim Dokümanları 9.3. Banka içinde kullanılan tüm bilgiler Düşünsel Mülk Hakları: 10. Çalışanlar, danışmanlar ve sözleşmeli personel, görevlerini yerine getirdikleri sürece, Desmer Bilgi ve İletişim yararına üretmiş oldukları veya geliştirdikleri her türlü dokümantasyon, program, patent, telif hakkı veya diğer düşünsel mülk haklarının Desmer Bilgi ve İletişim’e ait olduğunu kabul eder. Yönetim bu materyallerin edinilmesinden önce çalışanları, danışmanları ve sözleşmeli personeli ile bu yönde bir anlaşma imzalamalıdır. 11. İş akitleri sona eren çalışanlar, danışmanlar ve sözleşmeli personel, kullandıkları ve Desmer Bilgi ve İletişim’e ait olan tüm dokümantasyon, donanım, yazılım, çalışılan materyaller ve gizli bilgileri geri teslim etmekle yükümlüdür. 12. Diğer firmalardan sağlanan destek ve servis hizmetleri anlaşmaları belirlenen kurallar çerçevesinde gerçekleştirilmeli ve periyodik olarak Desmer Bilgi ve İletişim yararına gözden geçirilmelidir. 1. Veri Hassasiyeti: 17. Yönetilen Bilgi Sistemleri üzerinden gönderilen tüm mesajlar Desmer Bilgi ve İletişim’e ait ve Teknoloji Müdürlüğü koruması altındadır. Teknoloji Müdürlüğü gerekli görülen durumlarda ve yazılı onay ile bu sistemlerce transfer edilen veya saklanan tüm verileri inceleme hakkını saklı tutar. Yönetilen bilgi ve iletişim sistemleri sadece iş amaçlı kullanılacağından, çalışanların bu sistemler üzerinden gönderdikleri veya sakladıkları bilgiyle ilgili bir mahremiyet beklentisi olmamalıdır. Yönetilen Bilgi Sistemlerindeki bilgilerin zamanında, doğru, tam ve kötü kullanıma karşı yeterli önlemler alınarak, planlandığı şekilde kullanılması için gerekli çabayı gösterilmelidir. Şirket, Yönetilen Bilgi Sistemleri üzerinde bir işlemin tamamlanması amacı ile müşteriye ait kişisel bilgileri, müşterinin yazılı onayı olmadan tedarik etmeye çalışmamalıdır. Yönetilen Bilgi Sistemlerindeki tüm müşteri kişisel bilgileri, sadece sağlanan hizmet dahilinde kullanılmalıdır. Kanuni zorunluluklar veya müşterinin yazılı onayı dışında bu bilgilerin dışarı çıkarılması söz konusu değildir. Kanuni zorunluluk nedeniyle kişisel bilgilerin dışarı çıkarıldığı durumlarda yapılan işlem kayıtlarda tutulmalıdır. 18. 19. 20. 21. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 38/48 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32. 33. 34. 35. 36. 37. 38. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel Müşterilerin, kişisel bilgilerinin Yönetilen Bilgi Sistemlerinde saklandığını teyit ettirme hakkı vardır. Bu bilgiler Teknoloji Müdürlüğü tarafından sağlanmalı, eğer sağlanamıyorsa neden sağlanamadığına dair açıklaması yapılmalıdır. Desmer Bilgi ve İletişim, Yönetilen Bilgi Sistemleri üzerinde geçmişe yönelik yedeklenmiş olarak saklanan bilgileri istediği zaman ve periyotta inceleme hakkını saklı tutar. Desmer Bilgi ve İletişim, müşteri kayıtlarından elde edilen istatistiki bilgileri, müşteri memnuniyeti zedelenmediği, müşterilerin kimlikleri açığa çıkarılmadığı ve müşteriler bilgilendirildiği sürece üçüncü kişilere verebilir. Desmer Bilgi ve İletişim, Yönetilen Bilgi Sistemleri ve acil durum merkezi dışında, kendisi ve müşteri için hassas bilgileri içeren herhangi bir veritabanını veya kişisel dosyayı tutmamalıdır. Hassas bilgi, Yönetilen Bilgi Sistemlerindeki yüksek gizliliğe sahip, gizli, kişisel ve iç kullanım için olan verileri kapsar. Yönetilen Bilgi Sistemleri içinde kullanılan tüm veriler hassas bilgi olarak kabul edilmelidir. Yönetilen Bilgi Sistemlerinde kullanımda olan kontroller ve bu kontrollerin nasıl gerçekleştirildiği gizli bilgi olarak kabul edilir. Kontratlarda aksi belirtilmediği sürece, diğer bir firma tarafından teslim edilen tüm gizli bilgilerin, kendi gizli bilgisi gibi işlem göreceğini garanti eder. Çalışanlar, danışmanlar ve sözleşmeli personel, Yönetilen Bilgi Sistemlerinde bulunan verileri sadece ilgili bilgi sahibinin ve Desmer Bilgi ve İletişim yönetiminin izin verdiği işlerde kullanabilir. Şİrket çalışanları, danışmanları, sözleşmeli personeli ve hizmet ve kaynak sağlayıcılar çalışmaya başlamadan önce bir güvenilirlik ve gizlilik anlaşması imzalamalıdırlar. Yönetilen Bilgi Sistemlerindeki tüm bilgiler üçüncü kişilere kapalı olmalıdır. Üçüncü kişiler, iç bilgilerine güvenilirlik ve gizlilik anlaşması imzaladıktan sonra sadece okuma amaçlı olarak ve yönetimin yazılı izniyle ulaşabilmelidirler. Yönetilen Bilgi Sistemlerinde herhangi bir şekilde hassas bilgilerin silinmesi, kaybolması, üçüncü şahıslara izinsiz gösterimi veya bu durumlardan şüphe duyulması halinde hemen ilgili kişi Teknoloji Müdürlüğü ve ilgili birim yöneticisine haber verilmelidir. Şirket çalışanları, danışmanları ve sözleşmeli personeli, Yönetilen Bilgi Sistemlerinde belirlenen eksikliklerle ilgili bilgileri şirket dışına çıkarmamalı ve hemen çözüme kavuşturmaya çalışmalıdır. Desmer Bilgi ve İletişim, Yönetilen Bilgi Sistemleri üzerinde yedekleme prosedürlerinin dışında alınan hassas bilgi yedeklerini yapılacak işlemin sonuçlanması durumunda hazırlanmış prosedürler çerçevesinde imha etmeli/edilmesini sağlamalı veya içindeki bilgileri bir daha okunamayacak şekilde silmeli/silinmesini sağlamalıdır. Şirket çalışanları, danışmanları ve sözleşmeli personeli, hassas bilgilerin Yedekleme Politikası kapsamında belirtilen kurallar çerçevesinde güvenliğinden sorumludur. Hassas bilginin dışarı çıkarılması gerekiyorsa, tarih, söz konusu bilgi ve bilgiye sahip olan kişilere ilişkin kayıtlar tutulmalıdır. Çalışma saatleri bitiminde tüm çalışanlar, masalarında hiçbir hassas veya değerli bilgi bulunmayacak ve bilgilerin güvenli olarak saklandığından emin olacak şekilde çalışma ortamlarını düzenlemelidirler. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 39/48 39. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel Kullanıcıların bilgisayarlarında sakladıkları herhangi bir veriyi paylaşmaları gerektiğinde, yerel ağda bulunan herkese açık klasörleri veya diğer güvenli mekanizmaları kullanmalıdırlar. 2. Verinin Kritikliği: 41. Yönetilen Bilgi Sistemlerinin iyileştirilmesine yönelik veya iş süreçlerini aksatacak işlemler, yoğunluğun en az yaşandığı günlerde ve saatlerde gerçekleştirmelidir. Yönetilen Bilgi Sistemlerindeki donanımların periyodik bakımları düzenli olarak gerçekleştirmelidir. Yönetilen Bilgi Sistemlerinde herhangi bir probleme karşı yapılacaklar, acil durum planlamasındaki öncelikler dikkate alınarak gerçekleştirilmeli, Bilgi Sistemleri belirli periyotlarda iş sürekliliği açısından test edilmeli ve sonuçların raporlandığından emin olunmalıdır. Yönetilen Bilgi Sistemlerinin sürekliliğinin sağlanması amacıyla tüm Şirket çalışanlarının herhangi bir durumda ulaşılabilecek tüm telefon numaraları kaydedilmeli ve güncel tutulmalıdır. Bu politika talimatı gerektiğinde tüm personelin herhangi bir problem anında çözüm konusunda hazır bulunmasını gerekli kılar. Yönetilen Bilgi Sistemlerindeki donanımın, kişisel bilgisayarlar da dahil olmak kaydıyla yönetimce onaylanmış kesintisiz güç kaynakları ile desteklenmesi sağlanmalıdır. 42. 43. 44. 45. 3. Veri Bütünlüğü: 46. Şirket yönetimi, Yönetilen Bilgi Sistemleri ile ilgili karar vermede zamanında, doğruluk ve bütünlük kavramları göz önüne alınarak bilgilendirilmelidir. Herhangi bir şekilde veri bütünlüğünü sağlayan kontroller bozulduğunda, bozulduklarından şüphelenildiğinde veya eksikliklerinde üst düzey yönetime bu durum hemen bildirilmelidir. Yönetilen Bilgi Sistemleri üzerinde sürekliliği sağlayıcı otomatik olmayan herhangi bir düzeltme yapılması gerektiğinde, bu düzeltmenin yönetimce izin verilen kişilerce gerçekleştirildiğinden ve doğru olarak yapıldığından emin olunmasını sağlayacak mekanizmalar kurulmalıdır. Şirket, Yönetilen Bilgi Sistemlerinde yanlış veya kanunsuz olarak görülen ve Desmer Bilgi ve İletişim stratejik planlarını ve hedeflerini riske edeceğini düşündüğü herhangi bir işlemi, sistem kayıtlarından ilgili birim yöneticilerinden yazılı onay alarak çıkarma hakkını saklı tutar. 47. 48. 49. 2.3. Yedekleme Politikası 1. Şekerbank tarafından sağlanan sistemler için Şekerbank yedekleme politikası uygulanmaktadır. 2. Desmer Bilgi ve İletişim bünyesinde çağrı hizmetleri için kullanılan sistemler yedekli olarak çalışmakta olup , sistemde oluşacak bir aksaklık durumunda yedekli sistem otomatik olarak devreye girmektedir.. 3. Yönetilen Bilgi Sistemleri üzerindeki donanıma yönelik sistem yazılımlarına müdahale edileceği durumlarda, iş sürekliliğini ve hassas bilgilerin kaybını göz önüne alarak, gereken durumlarda verileri ve sistem yazılımlarını yedeklemek ve yapılacak değişikliklerden kaynaklanan yedekleme prosedür güncellemelerini sistem değişikliği devreye alınmadan önce gerçekleştirmek ile ilgili birimler yükümlüdür. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 40/48 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel Yönetilen Bilgi Sistemlerinde veri temizliği yapma kararı aldığında, silme işlemi öncesinde bütün verilerin yedeklemesini prosedürler kapsamında yapmak ve saklamakla ilgili birimler yükümlüdür. Yönetilen Bilgi Sistemlerinde bulunan tüm hassas bilgilerin yedeklemelerini, yedekleme prosedürlerince belirlenemediği durumlarda en az ayda bir kez olmak kaydıyla periyodik olarak yedeklemeli ve/veya yedeklendiğini ilgili birimler takip etmelidir. Yönetilen Bilgi Sistemleri üzerinde alınan yedekler, yedekleme prosedürlerince belirlenen standartlarda Teknoloji Müdürlüğü tarafından isimlendirilmelidir. İsimlendirmede; kimin için alındığı, tarih, zaman, versiyon numarası ve içeriği gibi tanımlar olmalıdır. Bu bilgiler yedekleme ortamı (kartuş, tape, cd, disket, vb.) üzerine etiketlenmeli ve ilgili yedekleme rehberi indisinde yer almalıdır. Teknoloji Müdürlüğü, Yönetilen Bilgi Sistemlerinde bulunan tüm hassas bilgilerin tutarlılığını, yedekleme prosedürleri çerçevesinde belirlenen zamanda ve periyotlarda kontrol ve test etmekle yükümlüdür. Yönetilen Bilgi Sistemlerinde bulunan tüm hassas bilgilerin yedekleri, yedekleme prosedürlerince belirlenemediği durumlarda, en az yılda bir kez bilginin geri kazanılabilir olup olmadığını kontrol amacıyla Teknoloji Yönetimi koordinasyonunda alınmalı ve test edilmelidir. Teknoloji Yönetimi, Yönetilen Bilgi Sistemlerinde bulunan tüm hassas bilgilerin yedeklerini, yetkisiz kişiler tarafından kullanımını engellemek amacıyla, yedekleme prosedürlerince tarif edilen ve fiziksel güvenlik politikası ile belirtilen güvenli ortamlarda saklanmasını sağlamalıdır. Yönetilen Bilgi Sistemlerindeki kişisel bilgisayarlarda ve iş istasyonlarında saklanılan hassas bilgilerin yedeklenmesi tamamen kullanıcıların kendi sorumluluğundadır. Yönetilen Bilgi Sistemlerindeki kişisel bilgisayarlarda ve iş istasyonlarında bulunan hassas bilgilerin yedeklenmesi, kullanıcılar tarafından arşivlendiğinden emin olunan ortak bir ağ dizinine taşınması halinde ilgili ilgili birimlerinin sorumluluğu altındadır. Herhangi bir şekilde alınan yedekten emin olunamaması veya tek kopya olması durumunda başka bir yedekleme kopyası alınmalı ve ancak bundan sonra geri kazanım amacıyla kullanılmalıdır. Yönetilen Bilgi Sistemlerinde bulunan hassas bilgilerin yedeklendiği ortamlar (kaset, disket, CD vb.) kalite ve kayıt yapma fonksiyonalitesinin sürekliliğinden emin olmak amacıyla test edilmelidir. Emin olunamayan, kullanılmış ve artık güvenilir şekilde bilgi saklayamayan ortamlar yedekleme işleminde kullanılmamalı ve imha edilmelidir. Ayrıca her bir ortam için en çok kullanım süreleri tanımlanmalı ve bu sürelere uygunluk kontrol edilmelidir. Yönetilen Bilgi Sistemlerinde bulunan hassas bilgilerin yedekleri, yedekleme prosedürlerince belirlenmiş bilgi hassasiyet derecesi ve sektörün kanuni saklama yükümlülüklerini de göz önüne alarak ilgili birimlerce saklanmalıdır. 2.4. Erişim Politikası 1. Yönetilen Bilgi Sistemlerine erişim sadece geçerli ve yetkili kullanıcılar tarafından gerçekleştirilmelidir. 2. Yönetilen Bilgi Sistemleri üzerinde yetkili kullanıcı erişimleri görev tanımlarında belirtilen sorumlulukları gerçekleştirebilecek düzeyde olmalıdır. 3. Yönetilen Bilgi Sistemlerine giriş izni verilmesi, yetki sınırlandırması, yetkilerin kaldırılması bu talimatta belirtilen kurallar çerçevesinde düzenlenmelidir. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 41/48 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel Kullanıcıların yönetilen Bilgi Sistemlerine erişimi, kişiye özel kullanıcı ve şifre tanımı yapıldıktan sonra mümkündür. Yönetilen Bilgi Sistemleri içerisine yerel ağ dışından bir bağlantının kurulması ancak Teknoloji Yönetiminin onayı ve güvenilir teknikler kullanılarak gerçekleştirilmelidir. Yönetilen Bilgi Sistemleri üzerindeki yazılımların izin verdiği ölçüde; ilk giriş ekranlarında; sistemin sadece yetkili kullanıcılar tarafından kullanılması, sistemin kullanılmaya devam edildiği sürece kullanıcının yetkili kullanıcı olarak değerlendirileceği, yerel ağ üzerindeki tüm teçhizat ayarlarının Erişim ve Şifreleme Politikaları’na göre yapılması gerektiği belirtilmelidir. Yönetilen Bilgi Sistemlerine ilk giriş sürecinde tüm kullanıcılar bir kullanıcı kodu ve şifre soran ilk giriş ekranı sayesinde sistemleri kullanmaya başlamalıdır. Sistem yöneticileri, bir kullanıcının sisteme girişi gerçekleştikten sonra doğru uygulamalarda yetkisi dahilinde işlem yapabilmesini, yetkisi dahilinde kritik bilgilere erişimini sağlamakla yükümlüdür. Yönetimce belirlenmiş süreler dahilinde iş istasyonları veya terminaller üzerinde herhangi bir aktivite olmadığı takdirde açılmış olan oturum otomatik olarak bekleme moduna alınmalı, herhangi bir aktivite yapılmak istediğinde kullanıcının ilk giriş süreci tekrar başlatılmalıdır. Kullanıcılar kendi istekleri doğrultusunda ekran koruyucularını devreye alabilmeli fakat tekrar kullanmaya başlamaları ancak yetkili kullanıcı kodu ve şifre ile mümkün olmalıdır. Yönetilen Bilgi Sistemleri ağlarına misafir kullanıcı kodu ile girilmesi engellenmelidir. Kullanıcılar yönetici kullanıcı kodu ile girebileceği her sisteme önce kendi kullanıcı kodu ile girmeli daha sonra yönetici yetkisi ile kaydolmalıdır. Gerçekleştirilen her kullanıcı değişikliği aynı sistem üzerinde kesinlikle kaydedilmelidir. Bilgi Sistemlerine erişim mümkün olduğu ölçüde aşağıda belirtilen şekilde sınırlandırılmalıdır. 10.1. Fiziksel Ağ Erişimi : Sadece bilinen ve kayıtlı cihazlar ve/veya kartlar yerel ağ omurgasına bağlanmalıdır. Ağ ekipmanı, ağa bağlanmaya çalışan yabancı ağ aygıtlarını tanımlayabilecek şekilde düzenlenmelidir. 10.2. Mantıksal Ağ Erişimi : Bilgi Sistemleri üzerindeki tanımlı tüm kullanıcılar ağda bulunan kaynaklara erişim izni kazanmadan önce ağ seviyesinde doğrulanmalıdır. 10.3. İşletim Sistemi Erişimi : Sadece etkileşimli sistem erişimine ihtiyacı olan kullanıcıların direkt olarak ağ sunucularına bağlanmalarına izin verilmelidir. 10.4. Uygulama Erişimi : Tüm kullanıcılar kendilerine tanımlı işlerin yapılabilmesi için gereken uygulamaları kullanmadan önce doğrulanmalıdırlar. Bilgi Sistemleri, yeni kullanıcı kimliği tanımlanması ve/veya değiştirilen yetkilendirmeler için Teknoloji Müdürlüğü’ne yapılan başvurular yazılı olarak yapılmalı ve kullanıcının bağlı olduğu müdür tarafından onaylanmalıdır. Bu tür talepler yönetimin belirlemiş olduğu sürece saklanmalıdır. Servis ve hizmet sağlayıcıları ve danışmanlar için ise Birim Müdürü onayı olmadan kullanıcı tanımı ve yetkilendirme gerçekleştirilemez. Servis ve hizmet sağlayıcılar ile danışmanlar için verilen ayrıcalıkların süresi gerçekleştirilen işlerin süresi ile sınırlı olmalıdır. Erişim yetkileri, sadece yapılacak olan işlemin gerektirdiği ölçüde tanımlanmalıdır. Servis ve hizmet sağlayıcılar ile danışmanlardan, yürürlükte olan Bilgi Güvenliği Politikaları Maddesine uygun biçimde hareket edeceklerini kabul ettiğine dair imza alınmalıdır. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 42/48 14. 15. 16. 17. 18. 19. 20. 21. 22. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel Özel sistem ayrıcalıkları, sadece sistem yöneticileri ve sistem güvenliğinden sorumlu kişilerce, gerekli sayıda sınırlandırılmalıdır. Yönetimce belirlenmiş hareketsizlik periyodu sonunda o kullanıcı kimliği için tüm yetkilendirme ve ayrıcalıklar iptal edilmelidir. Yönetilen Bilgi Sistemleri üzerinde erişim kontrol alt sistemi düzgün olarak çalışmıyorsa, kullanıcılara verilen ayrıcalıklar kaldırılmalıdır. Eğer erişim kontrol alt sistemleri yanlış çalışıyorsa, destek verdikleri sistemler problem düzeltilinceye kadar kullanım dışı bırakılmalıdır. Kullanıcılar, MIS ve Teknoloji Müdürlüğü Birim Müdürünün yazılı izni olmaksızın, yönetilen Bilgi Sistemlerinin güvenlik kurallarını test etmemelidirler. İzinsiz sistem kırma denemeleri, şifre kırma denemeleri, lisanssız ve onaysız yazılım kopyalama veya güvenlik kurallarını aşmaya yönelik diğer izinsiz girişimler Bilgi Güvenliği Politikaları Maddesinin ihlali olarak kabul edilir. Güvenlik mekanizmalarının denenmesine yönelik istek, Teknoloji Müdürlüğü Birim Müdürünün yazılı onayı ile gerçekleştirilir. Kullanıcılara verilen sistem erişim yetkilendirmeleri ve ayrıcalıkları altı (6) aylık periyotlar halinde yönetimce gözden geçirilmelidir. Kullanılmayan kullanıcı ve yetki tanımlarını sistem üzerinden kaldırmalıdır. Bilgi Sistemleri kullanıcılarının yetki talep ve değişiklikleri, mail aracılığı ile bağlı olunan birim yöneticilerince Teknoloji Müdürlüğü’ne iletilmelidir. Herhangi bir kullanıcının işten çıkarılma veya ayrılması Teknoloji Müdürlüğü’ne derhal iletilmeli, Teknoloji Müdürlüğü tarafından kullanıcının sahip olduğu tüm erişim yetkileri kaldırılmalıdır. Yönetilen Bilgi Sistemlerine erişimi olan servis ve hizmet sağlayıcılar ile danışmanların işten çıkarılmaları bağlı oldukları kurumca Teknoloj, ve MIS Müdürlüğü’ne derhal bildirilmelidir. Yönetilen Bilgi Sistemleri üzerindeki tanımlı kullanıcıların erişim yetkileri sadece yapacakları işin tanımı ile ilgili olarak, kullanılacak sistem, iletişim cihazları ve dosyalar ile kısıtlı olmalıdır. 2.5. İletişim Politikası 1. Aranma Bağlantıları: 1. Tüm aranma bağlantıları Teknoloji Müdürlüğü tarafından tanımlanan ve onaylanan prosedürler çerçevesinde merkezi olarak yönetilen uzaktan erişim araçları (modem gibi) üzerinden gerçekleşmelidir. Yönetilen Bilgi Sistemlerine dışarıdan erişmeye çalışan kullanıcılar bu isteklerini gerçekleştirmeden önce güvenlik seviye ayarları daha önceden tanımlanmış, denenmiş ve Teknoloji Müdürlüğü tarafından onaylanmış ek bir güvenlik katmanı (firewall) üzerinden geçerek gerçekleştirmelidir. Çalışanlar, danışmanlar, sözleşmeli personel ile servis ve hizmet sağlayıcılar yönetimin iznini almadan mevcut yerel ağlara dışarıdan erişim bağlantısı kuramazlar. Yönetilen Bilgi Sistemlerindeki donanımlar üzerinde, servis ve hizmet sağlayıcılar tarafından dışarıdan erişilerek acil olarak yapılması gereken düzenlemeler olduğunda; sistemler üzerindeki dışarıdan erişim noktaları aktif edilmeli, işlem sonlandığında ise hemen kapatılmalıdır. Yönetilen Bilgi Sistemleri üzerinde dışarıdan erişime ilişkin her türlü bilgi hassas olarak nitelendirilir. (Dışarıdan erişimi karşılayan telefon numaraları gibi). Bu bilgiler herhangi bir şekilde ilgili personel dışında açığa çıkarılamaz ve ifşa edilemez. 2. 3. 4. 5. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 43/48 6. 7. 8. 9. 10. 11. 12. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel Yukarıdaki madde kapsamında kullanılan bu gizli bilgiler periyodik olarak ilgili yönetici tarafından değiştirilmelidir. Bilgi Sistemlerine ağ dışından gelen tüm aramalar geliştirilmiş ve güvenliği kabul edilmiş kullanıcı doğrulama sistemleri tarafından korunmalıdır. Bu tip sistemler geri arama araçları, akıllı kartlar gibi geleneksel şifreleme sisteminden daha fazla güvenlik sağlayan teknolojileri içermelidir. Yönetilen Bilgi Sistemlerine dışarıdan erişim kurallarına ve standartlarına uygunluk, her yeni eklenen modem için kontrol edilmelidir. Yönetilen Bilgi Sistemlerine bağlantı kurmak isteyen kullanıcı, doğru şifreyi 3(üç) ardışık deneme ile sağlayamadıysa, bağlantı imkanı otomatik olarak kesilmelidir. Tüm dış kullanıcı arama erişimleri Şifreleme Politikası Maddesinde belirtilen kurallara uygun ve kontrol altında olmalıdır. Tüm erişim kontrolleri Erişim Politikası Maddesinde belirtilen kurallara ve kontrollere uygun olmalıdır. Kullanıcıların kendi kullandıkları modemler ile ağa erişimlerine izin verilmemelidir. Kullanıcılar kendi kişisel bilgisayarlarına bağlı modemleri otomatik cevaplama modunda bırakmamalıdır. 2. Arama Bağlantıları: 13. 14. Yönetilen Bilgi Sistemlerine ilişkin hassas bilgiler şifrelendirilme mekanizması olmadan herhangi bir iletişim aracı ile ağ dışına çıkarılamaz. Yönetilen Bilgi Sistemleri içinden yapılacak arama bağlantıları belirli kurallar ve standartlar çerçevesinde gerçekleştirilmeli ve mutlaka yerel ağ bağlantısı kesilmiş olarak gerçekleştirilmelidir. 3. Erişim Kontrolleri: 15. Yönetilen Bilgi Sistemleri, Teknoloji Müdürlüğü tarafından onaylanan erişim kontrol sistemleri aktif hale getirildikten sonra, diğer ağ bağlantıları (internet, dış erişim hatları gibi) için etkin hale getirilmelidir. Dışarıdan servis ve hizmet sağlayıcıları aracılığı ile yönetilen bilgi sistemlerine dışarıdan erişim için verilecek haklar, Teknoloji Müdürlüğü tarafından onaylandıktan, erişimler denetlendikten, kısıtlı süreler dahilinde gerçekleştirildikten ve bu kuralların kabul edildiğini gösteren yazılı onay alındıktan sonra verilmelidir ve gerekli güvenlik düzenlemeleri (şifre verme, şifre iptali, sürekli beraber çalışma, vb.) yapılmalıdır. Sahip olunan tüm hassas verinin saklanması ve iletilmesi Şifreleme Politikası’na uygun olarak gerçekleştirilmelidir. 16. 17. 4. Erişim Yollarının Kurulumu: 18. Yönetilen Bilgi Sistemleri iç ağlarındaki değişiklikler (yeni yazılım yükleme, ağ adresi değişimi, router konfigurasyonu, yeni dial up bağlantı eklenmesi gibi) standart bir form aracılığı ile talep edilmeli ve Bilgi Teknolojileri ilgili birimleri tarafından onaylanmalıdır. Yönetilen Bilgi Sistemleri iç ağlarındaki acil durum değişiklikleri sadece Teknoloji birimince yetkilendirilmiş kişilerce yapılmalıdır. Tüm kullanıcılar Teknoloji Yönetiminin spesifik izni olmadan bilgi iletişimi amacıyla elektronik panolara, yerel ağlara ve diğer çok kullanıcılı sistemlere modem bağlantısı kurmamalıdır. Aynı şekilde, gerekli izin alınmadan, yönetilen bilgi sistemleri içerisinde 19. 20. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 44/48 21. 22. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel iki ya da daha fazla bilgisayar sistemi arasında yeni gerçek zamanlı bağlantı türleri kurulmamalıdır. Yönetilen Bilgi Sistemleri üzerinden aralıklı veya sürekli olarak iç veya dış ağa bağlı olan tüm donanımlar üzerine şifre bazlı erişim kontrolleri konmalı ve kullanılmalıdır. Yönetilen Bilgi sistemleri iç ağlarına bağlı çevirmeli hatlarla ve/veya çok kullanıcılı bilgisayar sistemleri ile katılan kullanıcılar (kurumsal bağlantılar, iştirakler, vb.) Desmer Bilgi ve İletişim iç ağına bir erişim kontrol noktasından (firewall gibi) geçtikten sonra ulaşabilmelidir. 5. Üçüncü Grupların Erişimi: 23. 24. 25. Üçüncü gruplar tarafından gerçekleştirilmeye çalışılan tüm bağlantılar doğrulanmalıdır. Tüm bağlantılar uygun bir ağ güvenliği aygıtı üzerinden geçirilmelidir. (firewall gibi) Tüm bağlantıların, önceden belirlenmiş erişim kontrollerinden geçirildikten sonra ve doğrulama ekranı ile iç kaynaklara erişimine izin verilmelidir. Kabul edilen bağlantılar üzerinden başka kaynaklara erişim router, gateway veya diğer ağ bileşenleri ile kısıtlanmalıdır. 26. 2.6. Kullanıcı Destek Politikası: 27. Kullanıcı talepleri veya problemleri Şirket tarafından belirlenmiş süreler içerisinde gerçekleştirilmeli verilecek destek ise yine Şirket tarafından belirlenmiş süreler içerisinde sağlanmalıdır. 28. Kullanıcı talepleri veya problemleri sözlü, yazılı veya elektronik ortamlarda oluşturulmalı, hızlı ve etkin bir şekilde çözümünün sağlanması amacı ile Sistem ve Teknoloji Servisi’ne iletilmelidir. 29. Sistem ve Teknoloji Servisine yardım almak için başvuran kullanıcılar, telefon veya mail aracılığı ile problem sahibinin sicil numarası, problemin yaşandığı bilgisayarın envanter numarası, problem sahibi ile iletişim ( e-mail, telefon no ) bilgileri ve problemin net tarifini iletmelidir. 30. Kullanıcılardan gelen talepler veya problemler Sistem ve Teknoloji servisi tarafından belirlenen süre içinde sınıflandırılarak (Network, Yazılım, Donanım, Eğitim İhtiyacı gibi) önceliklendirilmeli (çok acil, yüksek, orta, düşük gibi) ve kullanıcılar tahmini çözüm süreleri ile ilgili bilgilendirilmelidir. 31. Kullanımda olan uygulamalara ait kullanıcı el kitapları oluşturulmalı ve belirlenen periyotlarda güncellenmelidir. 32. Kullanılmakta olan Bilgi Sistemleri problemlerinin çözümü için Teknoloji Müdürlüğü tarafından hazırlanan prosedürlere uyulmalıdır. 33. Kullanıcı problemleri ile ilgili analizler periyodik olarak yapılmalı ve sonuçları Yönetime periyodik olarak sunulmalıdır. 34. Sistem ve Teknoloji Operasyon Servisi karşılaştığı sorunların analizi sonucunda, ilgili proje grupları tarafından iyileştirme çalışmaları planlanmalıdır. 35. Kullanıcıların büyük bir çoğunluğunu etkileyen problemler oluştuğu anda tüm kullanıcılara duyurulmalıdır. Aynı şekilde çözümün gerçekleşmesini takiben problemin çözüldüğü bilgisi tüm kullanıcılara duyurulmalıdır. 36. Bilgi Sistemleri üzerinde gerçekleştirilecek olan değişikliklerden veya yeniliklerden Sistem ve Teknoloji Servisi önceden haberdar edilmelidir. 37. Kullanıcı anketleri ile kullanıcıların eğitim ve destek hizmetleri konusundaki memnuniyeti takip edilmelidir. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 45/48 BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel 2.7. Proje ve Kalite Yönetimi Politikası: 1. Yönetilen Bilgi Sistemleri üzerinde gerçekleştirilmesi öngörülen projeler hizmet edeceği amaca baz olacak şekilde detaylı olarak tanımlanmalı ve sınıflandırılmalıdır. 2. Tanımlanan ve sınıflandırılan projeler, hedefler, kapsam, katılımcılar, kaynak gereklilikleri tanımlanarak detaylı bir şekilde analiz edilmeli, fizibilite çalışması gerçekleştirilmelidir. 3. Yönetilen Bilgi Sistemleri üzerinde gerçekleştirilmesi öngörülen projelerle ilgili iş dağılımı, iletişim ve fonksiyonalite bazında detaylandırılmış proje planları oluşturulmalıdır. 4. Hazırlanan detaylı proje planları doğrultusunda uygulama süreci gerçekleştirilmelidir. 5. Güvenilir bir proje yönetimi fonksiyonu geliştirilmeli, hayata geçirilmeli ve proje yönetimi yaklaşımında standardizasyon sağlanmalıdır. 6. Yönetilen Bilgi Sistemlerinde ürün geliştirme süreci içerisine kalite yönetimi özellikleri dahil edilmelidir. 7. Tüm platformlar üzerinde gerçekleştirilen ürün geliştirme çalışmaları için tutarlı ve standart bir metod geliştirilmelidir. 8. Teknoloji Müdürlüğü standart, talimat, prosedür ve süreçlerin etkin ve etkili olması için uygun risk yönetimi ve kontrolleri çerçevesinde Kalite Yönetimi uygulanmalıdır. 9. Proje ve Kalite Yönetimi, Teknoloji Müdürlüğü standart, prosedür ve talimatların geliştirilmesinde görev almalıdır. 10. Şirket yönetimi mevcut tüm işleri; talimat, prosedür ve standartlar ile yönetsel düzenlemelere uygun olarak gerçekleştirmeli, riskleri kontrol altında tutmalı ve en aza indirgemeye çalışmalıdır. 11. Yönetilen Bilgi Sistemleri içerisinde varolan standart, talimat, prosedür ve süreçlerin etkinliği, değer ve kalite güvencesi açılarından incelenmeli, eksik olan standart, talimat, prosedür ve süreçler belirlenmeli ve tanımlanmalıdır. 12. Yönetilen Bilgi Sistemleri içerisinde proje durum ve ilerleme değerlendirmeleri yapılmalı, projelerin metodoloji ve standartlara uygunluğu değerlendirilmelidir. 13. Yönetilen Bilgi Sistemleri içerisinde proje durum ve ilerleme değerlendirmeleri yapılarak yüksek riskli veya sorunlu projeler belirlenmeli ve izlenmelidir. 14. Şirket personeli ve Yönetilen Bilgi Sistemleri içerisindeki kullanıcılar belirlenmiş standart, talimat ve prosedürler konusunda eğitilmelidir. 2.8. Şifreleme Politikası: 1. Yönetilen Bilgi Sistemlerinde bulunan tüm hassas bilgiler herhangi bir iletişim ağı üzerinden iletildiğinde şifrelenmiş olarak gönderilmelidir. Hassas bilgi aktif olarak kullanılmadığı durumda güvenli bir şekilde saklanmalıdır. “Çok gizli” sınıfındaki bilgiler bulundukları ortamda şifrelenmiş olarak saklanmalıdır. 2. Yönetilen Bilgi Sistemleri üzerindeki şifrelemeler Bilgi Teknolojilerince kabul edilmiş profesyonel ürünler kullanılarak gerçekleştirilmelidir. 3. Yönetilen Bilgi Sistemleri üzerindeki şifreleme anahtarları hassas bilgi olarak nitelendirilir ve bu anahtarlara erişim sadece sınırlı ve yetkili personel tarafından gerçekleştirilmelidir. Teknoloji Müdürü’nün yazılı izni olmadan bu anahtarlar danışmanlara ve servis ve hizmet sağlayıcılara verilmemelidir. 4. Şifrelemede genel kabul görmüş standartlar ve uygulamalar kullanılmalıdır. 5. Yönetilen Bilgi Sistemleri ağı içerisindeki bilginin korunması için manuel yerine otomatik şifreleme kullanılmalıdır. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 46/48 6. 7. 8. 9. 10. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel Yönetilen Bilgi Sistemleri üzerindeki şifreleme anahtarları, tek bir kişinin bilgisi dahilinde olmamalı, kritiklik seviyesine göre en az iki veya üzeri personelin, gerektiği durumda ulaşabileceği, ancak koruma altında saklanacak şekilde olmalıdır. Şifreleme anahtar yönetiminin sorumluluğu, Teknoloji Müdürü tarafından geçmişi incelenmiş, operasyonel güvenlik denetiminden geçmiş ve gizlilik anlaşması imzalanmış bir gruba verilebilir. Şifreleme yapıldığında o şifreleme ile ilgili anahtar, farklı bir iletişim mekanizması ile kopyalanamayacak ve tahmin edilemeyecek bir şekilde karşı tarafa iletilmelidir. Yönetilen Bilgi Sistemleri üzerinde şifreleme yapıldığında şifre anahtarları oluşumunda kullanılan hiçbir tür doküman açıkta bırakılmamalı ve tamamı kontrol altında tutulmalıdır. Şifreleme, hassas veriyi şifrelemek için kullanıldığında, verinin sahibi şifreleme anahtar yönetimi ile ilgili sorumluluğu almalıdır. 2.9. Ürün Geliştirme Politikası: 1. Yönetilen Bilgi Sistemleri üzerinde gerçekleştirilecek ürün geliştirme, yeni bir yazılım alımı ve değişiklik fonksiyonları öncesi güvenlik ihtiyaçları açık ve net bir şekilde belirlenmelidir. Bu kapsamda güvenlik ve diğer konularda (kullanım kolaylığı, operasyonel basitlik, güncelleme kolaylığı, uygun maliyet gibi) uygun bir denge kurulabilmesi amaçlı olarak, ilgili Sistem Geliştirme fonksiyonlarını yerine getirecek personel ve/veya servis ve hizmet sağlayıcılar ile birlikte diğer alternatif çözümler değerlendirilmelidir. 2. Yönetilen Bilgi Sistemleri üzerinde tüm ürün geliştirme ve bakım hizmetlerinin yerine getirilmesinde Ürün Geliştirme Politikası’na uygun olarak hareket edildiği üst düzey yönetimce kontrol edilmelidir. 3. Yönetilen Bilgi Sistemleri üzerinde uygulamaya alınmış bir ürün, istenilen ve gerekli olan sonuçların alınmasında başarısız olduğunda, kullanıcılar, hata mesajı ve/veya bilgilendirme mesajı ile uyarılmalıdır. 4. Yönetilen Bilgi Sistemleri üzerinde geliştirilen hassas, değerli ve kritik verileri işleyen tüm uygulamaların, belirlenmiş standartlarda teknik ve fonksiyonel spesifikasyonları; yazılı olarak dokümante edilmeli ve standartlara uygunluğu Teknoloji yönetimince kontrol edilmelidir. 5. Yönetilen Bilgi Sistemleri üzerinde geliştirilen uygulamaların üretim ortamına alınması ile birlikte; yazılım uzmanlarının ve teknik personelin geliştirme aşamasında ihtiyaç duydukları ve kullandıkları tüm erişim hakları ve sistem ayrıcalıkları kaldırılmalı ve kontrol edilmelidir. 6. Teknoloji Yönetiminin aksini ifade etmediği sürece tüm uygulama geliştirme aşamalarında yönetimce onaylanmış uygulama geliştirme platformları, araçları ve teknikleri kullanılmalıdır. 7. Yönetilen Bilgi Sistemleri üzerinde geliştirilen tüm uygulamalar Yazılım Geliştirme kodlama standartları ve veritabanı isimlendirme standartlarına uygun olarak geliştirilmelidir. 8. Yönetilen Bilgi Sistemleri üzerinde geliştirilen denetim, eğitim, test vb. üretim ortamı ile doğrudan ilgisi olmayan yazılımlar, herhangi bir hatalı veri güncellenmesine karşı üretim ortamından ayrı olarak sınıflandırılmalı ve saklanmalıdır. 9. Yönetilen Bilgi Sistemleri üzerinde geliştirilen uygulamaların test edilme aşamasında gerekli test donanım ve yazılımları sadece Teknoloji Yönetimince yetkili kılınan personel tarafından ve BT Yönetiminin kontrolü altında kullanılmalıdır. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 47/48 10. 11. 12. 13. 14. 15. 16. 17. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel Ürün Geliştirme servislerine yönetimce yetkilendirilmiş ve güvenilir kişilerin erişmesi sağlanmalı, yapılan tüm işlemler izlenebilmeli ve gerçekleştirilen faaliyetler yönetimce kontrol edilmelidir. Üretim ve geliştirme ortamları uygun koşullar sağlandığı takdirde fiziksel olarak kesinlikle birbirlerinden ayrılmalı, eğer mevcut ortam bu ayrıma müsait değil ise erişim ve güvenliği sıkı olarak kontrol edilen ayrı dizinler halinde saklanmalıdır. Proje Yönetimi çalışanlarına hiçbir şekilde üretim ortamı verilerine erişim hakkı tanınmamalıdır. Bu kurala getirilecek istisnalar sadece Teknoloji Müdürlüğü’nün onayı ve gözetimi ile geçici bir süre için gerçekleştirilmelidir. Yazılım Geliştirme sürecinde çalışanlar, geliştirilen uygulamaların test edilmesinde ve uygulamanın operasyonel sürecinde bifiil yer almamalı, testler ve operasyonel işlemler diğer bağımsız birimler tarafından gerçekleştirilmelidir. Yazılım Geliştirme sürecinde çalışanlar, üretim ortamı taşımalarını standart ve prosedürlerde belirlenen kurallar çerçevesinde yerine getirmelidir. Her bir proje bileşeninin tamamlanması için gerekli olan kaynakların belirlenmesi sırasında gerçekçi tahminler yapılmalı ve daha sonra, onaylanan bütçe ve proje planı çerçevesinde projenin tamamlanması için gerekli çaba gösterilmelidir. Yönetilen Bilgi Sistemleri üzerinde Yazılım Geliştirme sürecinde kaydedilen gelişmelerden iş birimleri ve yönetim belirlenen periyotlarda haberdar edilmeli, süreci etkileyecek risk taşıyan sorunlar ortaya çıktığında derhal iş birimleri ve yönetim bilgilendirilmelidir. Boyutu ne olursa olsun gerçekleştirilen tüm Bilgi Teknolojileri projelerinde, proje gelişiminin takip edilebildiği ve proje risklerinin kontrol altında tutulabildiği düzgün bir çerçeve oluşturmak amacıyla, Yazılım Geliştirme Süreci Metodolojisi kullanılmalıdır. 2.10. İnternet Güvenliği Politikası: 1. Yönetilen Bilgi Sistemleri dahilindeki tüm kullanıcılar İnternet Güvenlik Politikası’nı okumalı ve uygulamalıdır. 2. Çalışanlar, danışmanlar, sözleşmeli personel, servis ve hizmet sağlayıcılar yönetimce kendilerine verilen yetkiler çerçevesinde interneti kullanabilirler. 3. Desmer Bilgi ve İletişim’ın iletişim kaynakları, hizmet verilen sektörlerdeki işler, iş süreçlerinin geliştirilmesi ve iyileştirilmesi amacıyla kullanılabilir. Bu süreçlerin aksaması, kullanıcının görev tanımlarında belirtilen işleri yerine getirememesi veya diğer kullanıcıların performanslarını etkilemesi durumunda iletişim kaynaklarının kullanımı kısıtlanır. 4. Kullanıcılar interneti kullanmadan önce ‘Firewall’ veya ‘Proxy’ gibi bir güvenlik yazılımı/donanımı ile doğrulanmalıdır. 5. Hassas bilgilerin internet üzerinden taşınması gerektiğinde bu bilgiler kesinlikle ek şifreleme mekanizmaları ile korunmalıdır. 6. Yönetilen Bilgi Sistemleri üzerinde internet erişimi sağlayabilen donanımlar, fiziksel ve mantıksal güvenliği sağlanarak kontrol altında tutulmalıdır. 7. Firewall işlerliği düzenli testler ve otomatik izleme/uyarı sistemleri ile takip edilmelidir. 8. İş sürekliliğinin devamlılığını tehdit edecek herhangi bir bilgi (sistem kullanım şifreleri, güvenlik parametreleri vb.) internet üzerinden şifrelenmeden, okunabilecek bir şekilde gönderilmemelidir. 9. Yönetilen Bilgi Sistemleri üzerinde, iş süreçlerinin devamlılığı için; üçüncü taraf şirketler ile hiçbir yazılı anlaşma olmadan internet üzerinden veri veya yazılım Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: 10.YNT.POL.01 Sayfa: 48/48 10. 11. 12. BİLGİ GÜVENLİĞİ POLİTİKASI Gizlilik Derecesi: Hizmete Özel transferini gerçekleştirilemez. Yapılacak anlaşma bilginin içeriğini, güvenlik koşullarını ve transfer mekanizmasını da içermelidir. Yönetim, çalışanlarının internette yaptıkları hareketleri izlemeyi sağlayacak mekanizmayı kurmalı ve aktivitelerin raporlanmasını takip etmelidir. Bu konunun varlığı konusunda çalışanlar bilgilendirilmelidir. Desmer Bilgi ve İletişim, Yönetilen Bilgi Sistemleri üzerinde uygun internet kullanımını garanti altına almak ve yetkisiz kullanıma karşı korumak amacıyla gerekli gördüğü zamanlarda inceleme, denetim ve kaydetme fonksiyonlarını saklı tutar. Yönetilen Bilgi Sistemleri donanımları doğrudan internet tarafından erişilebilen bir ağ yapısı içinde korumasız olarak yer almamalıdır. 2.11. E-Posta Politikası: 1. Yönetilen Bilgi Sistemlerinde verimliliği arttırıcı etkisinden dolayı iş amaçlı elektronik iletişim kullanılmalıdır. Tüm elektronik iletişim sistemleri, bu sistemlerce iş amaçlı üretilen veya yönlendirilen tüm mesajlar Desmer Bilgi ve İletişim’nin malıdır. 2. Elektronik iletişim sistemleri, değişik kullanıcıların gerçekleştirdikleri aktiviteleri ayırt edebilecek bir düzeyde konfigüre edilmelidir. 3. Yetkisiz kullanıcıların elektronik iletişim sistemlerine erişememesi için seçilen şifreler Şifre Politikası Maddesi’nde belirtilen kriterlerde olmalıdır. 4. Yönetilen Bilgi Sistemlerine gelen bir elektronik posta, Teknoloji Müdürlüğü’nün izni olmadan Yönetilen Bilgi Sistemleri dışına otomatik olarak yönlendirilmemeli ve iletilmemelidir. 5. Elektronik iletişim aracılığı ile Yönetilen Bilgi Sistemlerinde hassas bilgi transferinin yapılacağı durumlarda uluslar arası standartlarda, Teknoloji Müdürlüğü’nce onaylanmış güvenlik mekanizmaları kullanılarak iletişim sağlanmalıdır. 6. Elektronik iletişimlerin incelenmesi, herhangi bir çalışanın iletişim bilgilerini kişisel merak veya yetkisiz bir kişiden alınan yazılı onay ile gerçekleşemez. Böyle bir işlem, ilgili iş birimi yöneticisinin ve Teknoloji Müdürlüğünün yazılı onayı ve bu isteğin kayıt altına alınması ile mümkündür. 7. Çalışanlar yönetimin onayı olmadan elektronik iletişimde Desmer Bilgi ve İletişi’ı temsil etmemeli ve adına konuşmamalıdır. Gönderilen elektronik postalar ile Desmer Bilgi ve İletşim’ın bir bağlantısı olmadığı postaların sonuna otomatik olarak eklenmelidir ve karşı taraf bilgilendirilmelidir. 8. Yönetilen Bilgi Sistemleri üzerinden, Desmer Bilgi ve İletişim’ın kurumsal kimliğine zarar verecek konularda elektronik posta yollanması yasaktır. 9. Elektronik posta kullanımında fonksiyonaliteyi ve izinsiz kullanıma karşı korumayı garantilemek amacıyla izleme, kaydetme ve periyodik olarak denetleme yapılabilir. Buna ek olarak Desmer Bilgi ve İletişim, kullanıcı bilgisayar hesaplarına veya iletişimlerine erişme hakkına sahiptir. Böyle bir denetim sonucu elde edilen bilgi, gerekli üçüncü kurumlara ve kanun uygulayıcılarına açık edilebilir. 10. İş amaçları açısından gerekliliği kalmayan mesajlar ve şahsi mesajlar kullanıcılar tarafından elektronik mesaj saklama alanlarından silinmelidir. Belirli bir periyod sonunda (genelde altı ay) kaset, disk, CD, DVD gibi veri saklama ortamlarındaki elektronik mesajlar otomatik olarak silinmelidir. Hazırlayan: Yönetim Haz.Tarihi: 29.12.2010 Revizyon No /Revizyon Tarihi: 01 / 29.01.2016 Onay: Onay: