ÖRNEK ÇALIŞMADIR
1. AMAÇ
Bu yönergenin amacı, hukuka, yasal, düzenleyici ya da sözleşmeye tabi yükümlülüklere ve her türlü güvenlik gereksinimlerine ilişkin ihlalleri önlemek için, üst yönetimin yaklaşımını ve hedeflerini tanımlamak, tüm çalışanlara ve ilgili taraflara bu hedefleri bildirmektir.
2. KAPSAM
Bu yönerge Şirket bünyesinde yapılan ticari faaliyetlere ve bu işlemlere ilişkin bilgi sistemleri, muhasebe, raporlama, operasyon, müşteri ilişkileri, şikayet, risk yömetimi, iç yönetim faaliyetlerinden elde edilen elektronik bilgi varlıkların korunması, şirket bünyesinde tutulan kişisel verilerin kanun kapsamında işlenmesi, saklanması, korunması, gizliliğinin ve bütünlüğünün bozulmaması için kullandığı bilgi güvenliği süreçlerini kapsar.
3. TANIMLAR
BGYS: Bilgi Güvenliği Yönetim Sistemi.
Bilgi Güvenliği Yönetim Sistemleri El Kitabı: Bilgi Güvenliği hakkında personeli bilgilendirmek, amaçları belirlemek için hazırlanan bilgilendirme kitapçığı.
Envanter: Firma için önemli olan her türlü bilgi varlığı.
Know-How: Bir şeyi yapabilme yetkinliğidir.
Bilgi Güvenliği: Bilgi, tüm diğer kurumsal ve ticari varlıklar gibi, bir işletme için değeri olan ve bu nedenle uygun şekilde korunması gereken bir varlıktır. Şirket içerisinde, know-how, süreç, formül, teknik ve yöntem, müşteri kayıtları, pazarlama ve satış bilgileri, personel bilgileri, ticari, sınai ve teknolojik bilgiler ve sırlar GİZLİ BİLGİ olarak kabul edilir.
Gizlilik: Bilginin içeriğinin görüntülenmesinin, sadece bilgiyi/veriyi görüntülemeye izin verilen kişilerin erişimi ile kısıtlanmasıdır. (Örnek: Şifreli e-posta gönderimi ile e-postanın ele geçmesi halinde dahi yetkisiz kişilerin e-postaları okuması engellenebilir Kayıtlı elektronik posta – KEP)
Bütünlük: Bilginin yetkisiz veya yanlışlıkla değiştirilmesinin, silinmesinin veya eklemeler çıkarmalar yapılmasının tespit edilebilmesi ve tespit edilebilirliğin garanti altına alınmasıdır. (Örnek: Veri tabanında saklanan verilerin özet bilgileri ile birlikte saklanması – elektronik imza – mobil imza)
Erişilebilirlik/Kullanılabilirlik: Varlığın ihtiyaç duyulduğu her an kullanıma hazır olmasıdır. Diğer bir ifadeyle, sistemlerin sürekli hizmet verebilir halde bulunması ve sistemlerdeki bilginin kaybolmaması ve sürekli erişilebilir olmasıdır.
Bilgi Varlığı: Şirket’in sahip olduğu, faaliyetlerini aksatmadan yürütebilmesi için önemli olan varlıklardır. Bu politikaya konu olan süreçler kapsamında bilgi varlıkları şunlardır:
• Kağıt, elektronik, görsel veya işitsel ortamda sunulan her türlü bilgi ve veri,
• Bilgiye erişmek ve bilgiyi değiştirmek için kullanılan her türlü yazılım ve donanım,
• Bilginin transfer edilmesini sağlayan ağlar,
• Tesisler ve özel alanlar,
• Bölümler, birimler, ekipler ve çalışanlar,
• Çözüm ortakları,
• Üçüncü taraflardan sağlanan servis, hizmet veya ürünlerdir.
4. SORUMLULUKLAR
Sorumluluk ve yetkileri belirlenmiş görevlerin nitelik ve yeterlilikleri görev tanımlarında tanımlanmıştır. Bilgi güvenliği ile ilgili faaliyetlerin sürdürülmesinden ve geliştirilmesinden Bilgi Sistemleri Birimi Sorumludur.
Bilgi Sistemleri Müdürü, Yönetim Kurulu tarafından atanır.
4.1. Yönetim Sorumluluğu
4.1.1. Şirket Yönetimi, tanımlanmış, yürürlüğe konmuş ve uygulanmakta olan Bilgi Güvenliği Sistemine uyacağını ve sistemin verimli şekilde çalışması için gerekli kaynakları tahsis edeceğini, sistemin tüm çalışanlar tarafından anlaşılmasının sağlayacağını taahhüt eder.
4.1.2. BGYS kurulumu sırasında Bilgi Sistemleri Müdürü atama yazısı ile atanır. Gerekli olduğu durumlarda Yönetim Kurulu tarafından doküman revize edilerek atama tekrar yapılır.
4.1.3. Yönetim kademesindeki yöneticiler güvenlik konusunda alt kademelerde bulunan personele sorumluluk verme ve örnek olma açısından yardımcı olurlar. Yönetim Kurulundan başlayan ve uygulanan anlayış, firmanın en alt kademe personeline kadar inilmesi zorunludur. Bu yüzden tüm yöneticiler yazılı yada sözlü olarak güvenlik talimatlarına uymaları, güvenlik konularındaki çalışmalara katılmaları yönünde çalışanlarına destek olurlar.
4.1.4. Yönetim Kurulu, Bilgi güvenliği kapsamlı çalışmalar için gerek duyulan bütçeyi oluşturur.
4.2. Bilgi Sistemleri Müdürü Sorumluluğu ve Görevleri
– En son teknolojik gelişmeleri takip ederek, kullanıcı bilgilerinin güvenliğinin ve gizliliğinin sağlanması için temsilci bilgisayarında kullanılacak olan işletim sistemini ve anti virüs yazılımını belirlemek,
– Temsilci bünyesinde Elektronik Para ve Ödeme sistemini çalıştıracak olan personelin eğitilmesini muhasebe, raporlama ve operasyon biriminden talep ederek eğitimi verilmiş olan personelin yetkilendirilmesi işlemini gerçekleştirmek,
– Elektronik Para ve Ödeme Sistemi ile ilgili şirketin diğer birimlerinden gelen istekleri genel müdüre sunmak ve genel müdürün onayına müteakip Elektronik Para ve Ödeme Sisteminin güncellenmesini sağlamak,
– Şirketin fatura ödeme hizmeti ile ilgili olarak oluşturduğu organizasyon yapısındaki olası teknolojik risklere ve dışarıdan oluşabilecek sızma risklerine karşı önlemler almak ve alınan önlemlerin uygulanmasını takip etmek,
– Kullanıcı bilgilerinin elektronik ve/veya manyetik ortamda yönetmelik tarafından belirlenen süre zarfında güvenli olarak saklanması için gerekli olan donanım ve yazılımları belirlemek,
– Teknolojik ihtiyaç dış hizmet alımı ile karşılanacaksa, dış hizmet alımının yapılacağı şirketler ve çözümlerle ilgili araştırma yapmak ve araştırma sonuçlarını şirket yönetim kuruluna raporlamak,
– Şirketin faaliyetlerinin yürütülmesi için kullanılan sunucuların sahip olması gereken özellikleri ve sunucu hizmetinin alınacağı firmaları araştırmak ve elde ettiği bilgi ve belgeleri şirket yönetim kuruluna raporlamak,
– Şirketin temsilci ağının kurulması için kullanılacak olan teknolojik donanım(lar)ın yapısını ve içeriğini belirlemek,
– Yasalara uygun lisanslı yazılım kullanımını sağlamak,
– İç ve dış saldırılara karşı veri güvenliğini sağlamak,
– Şirketin bilgi sistemleri altyapısını geliştirerek, bilgi kaynaklarının verimli kullanılmasını sağlamak amaçlı yeni araçların kullanımını sağlamak,
– Şirketin günlük Bilgi Sistemleri operasyonlarını gözlemlemek,
– Operasyonların pürüzsüz bir şekilde çalışmasını sağlamak için diğer birimlerle uyum içinde çalışmak ve alınan dış kaynak hizmetlerini yönetmek,
– BGYS (Bilgi Güvenliği Yönetim Sistemi)’nin planlanması, kabul edilebilir risk seviyesinin belirlenmesi, risk değerlendirme metodolojisinin belirlemek
– BGYS kurulumunda destekleyici ve tamamlayıcı faaliyetler için gerekli kaynakların sağlanması, kullanıcı kabiliyetlerinin sağlanması/iyileştirilmesi ve farkındalığın oluşması, eğitimlerin yapılması, iletişimin sağlanması, dokümantasyon gereksinimlerinin sağlamak,
– BGYS uygulamalarının yürütülmesi ve yönetilmesi, değerlendirmelerin, iyileştirmelerin ve risk
değerlendirmelerinin sürekliliğinin sağlamak,
– İç denetimler, hedeflerin ve yönetim gözden geçirme toplantıları ile BGYS ve kontrollerin değerlendirilmek,
– Bilgi Güvenliği Yönetim Sistemi El Kitabını güncelliğini revize etmek,
– Bilgi Güvenliği Yönetim Sistemi El Kitabına uygun olarak, risk değerlendirme raporu yayımlamak ve varlık envanteri formunu güncel tutmak,
– BGYS’de mevcut yapının sürdürülmesi ve sürekli iyileştirmelerin sağlanmaktan sorumludur.
4.3. Bilgi Sistemleri Birimi Görevleri
– En son teknolojik gelişmeleri takip ederek, kullanıcı bilgilerinin güvenliğinin ve gizliliğinin sağlanması için temsilci bilgisayarında kullanılacak olan işletim sistemini ve anti virüs yazılımını belirlemek,
– Temsilci bünyesinde Elektronik Para ve Ödeme sistemini çalıştıracak olan personelin eğitilmesini operasyon biriminden talep ederek eğitimi verilmiş olan personelin yetkilendirilmesi işlemini gerçekleştirmek,
– Elektronik Para ve Ödeme Sistemi ile ilgili firmanın diğer birimlerinden gelen istekleri genel müdüre sunmak ve genel müdürün onayına müteakip Elektronik Para ve Ödeme Sisteminin güncellenmesini sağlamak,
– Şirketin fatura ödeme hizmeti ile ilgili olarak oluşturduğu organizasyon yapısındaki olası teknolojik risklere ve dışarıdan oluşabilecek sızma risklerine karşı önlemler almak ve alınan önlemlerin uygulanmasını takip etmek,
– Kullanıcı bilgilerinin elektronik ve/veya manyetik ortamda yönetmelik tarafından belirlenen süre zarfında güvenli olarak saklanması için gerekli olan donanım ve yazılımları belirlemek,
– Teknolojik ihtiyaç dış hizmet alımı ile karşılanacaksa, dış hizmet alımının yapılacağı şirketler ve çözümlerle ilgili araştırma yapmak ve araştırma sonuçlarını şirket yönetim kuruluna raporlamak,
– Şirketin faaliyetlerinin yürütülmesi için kullanılan sunucuların sahip olması gereken özellikleri ve sunucu hizmetinin alınacağı firmaları araştırmak ve elde ettiği bilgi ve belgeleri şirket yönetim kuruluna raporlamak,
– Şirketin temsilci ağının kurulması için kullanılacak olan teknolojik donanım(lar)ın yapısını ve içeriğini belirlemek,
– Yasalara uygun lisanslı yazılım kullanımını sağlamak,
– İç ve dış saldırılara karşı veri güvenliğini sağlamak,
– Şirketin bilgi sistemleri altyapısını geliştirerek, bilgi kaynaklarının verimli kullanılmasını sağlamak amaçlı yeni araçların kullanımını sağlamak,
– Şirketin günlük Bilgi Sistemleri operasyonlarını gözlemlemek,
– Operasyonların pürüzsüz bir şekilde çalışmasını sağlamak için diğer birimlerle uyum içinde çalışmak ve alınan dış kaynak hizmetlerini yönetmek.
– Şirket faaliyetlerinin yürütülmesi için gerekli olan Elektronik Para ve Ödeme sistemi yazılımını oluşturmak, temsilcilerin isteklerini göz önünde bulundurarak değişen teknolojik ihtiyaçlara cevap verecek şekilde Elektronik Para ve Ödeme sistemini güncellemek,
– Şirket bünyesindeki diğer birimlerin teknolojik ihtiyaçlarının karşılanması için gerekli olan yazılımları geliştirmek ve güncellemek,
– Temsilci tarafından kullanılan bilgisayarların güvenlik açıklarını önlemek için gerekli olan yamaları belirlemek ve bu yamaların temsilci bilgisayarlarına yüklenmesini operasyon biriminden talep etmek,
– Şirketin oluşturduğu fatura ödeme organizasyonunda kullanıcı bilgilerinin güvenliği için gerekli donanımsal ve yazılımsal önlemleri almak,
– Kullanıcı bilgilerinin güvenliği ve gizliliğinin sağlanması için güncel dolandırıcılık ve sahtekârlık yöntemlerine karşı yazılım(lar) üretmek,
– Şirket bünyesindeki operasyon birimine Elektronik Para ve Ödeme sistemi, Güncel sahtekârlık ve dolandırıcılık yöntemleri, Sistemin güvenli kullanımı konularında eğitim vermek,
– Temsilci ile şirketin muhasebe, raporlama ve operasyon birimi arasında iletişime geçilmesi için mesajlaşma yazılımını oluşturmak, oluşturulan yazılımla ilgili olarak birimden ya da temsilcilerden gelen istekleri göz önünde bulundurularak yazılım üzerinde güncellemeler yapmak,
– Şirketin ve temsilcilerin fatura ödeme faaliyetleri ile ilgili muhasebe ve raporlama verilerinin elektronik ortamda güvenli olarak tutulmasını ve saklanmasını sağlamak,
– Şirket tarafından oluşturulan fatura ödeme organizasyonun etkili bir şekilde çalışmasında ve üretilen hizmet kalitesinin arttırılmasında gerekli elektronik düzenlemeleri yapmak,
– Şirketin internet sitesini oluşturmak ve güncellemek,
– Şirketin temsilci bilgilerinin internet sitesinden yayımlanmasını sağlamak,
– Temsilcilerin merkezi bir sistem aracılığı ile gözetilmesi amacıyla Elektronik Para ve Ödeme sistemi üzerinde algoritmalar oluşturmak, oluşturduğu algoritmaları gelişen teknolojiye göre düzenlemek ve algoritmaların uygunluğunun takibini operasyon biriminden talep etmek.
4.4. TÜM ÇALIŞANLARIN SORUMLULUĞU
4.4.1. Çalışmalarını bilgi güvenliği hedeflerine, politikalarına ve bilgi güvenliği yönetim sistemi dokümanlarına uygun olarak yürütmekten,
4.4.2. Kendi birimi ile ilgili bilgi güvenliği hedeflerinin takibini yapar ve hedeflere ulaşılmasını sağlar.
4.4.3. Sistemler veya hizmetlerde gözlenen veya şüphelenilen herhangi bir bilgi güvenliği açıklığına dikkat etmek ve raporlamaktan,
4.4.4. Üçüncü taraflar ile yapılan ve Satınalma sorumluluğunda olmayan hizmet sözleşmelerine (danışmanlık vb.) ilave olarak gizlilik sözleşmesi yapmak ve bilgi güvenliği gereksinimlerini sağlamaktan sorumludur.
4.5. Üçüncü Tarafların Sorumluluğu
Bilgi güvenliği politikasının bilinmesi ve uygulanması ile BGYS kapsamında belirlenen davranışlara uyulmasından sorumludur.
5. BİLGİ GÜVENLİĞİ HEDEFLERİ BİLGİ GÜVENLİĞİ POLİTİKASI
Şirket çalışanlarına firmanın güvenlik gereksinimlerine uygun şekilde hareket etmesi konusunda yol göstermek, bilinç ve farkındalık seviyelerini arttırmak ve bu şekilde şirketin temel ve destekleyici iş faaliyetlerinin en az kesinti ile devam etmesini sağlamak, güvenilirliğini ve imajını korumak ve üçüncü taraflarla yapılan sözleşmelerde belirlenmiş uygunlukları sağlamak amacıyla firmanın tüm işleyişini etkileyen fiziksel ve elektronik bilgi varlıklarının korunmasını hedefler. Yönetim Tarafından belirlenen hedefler belirlenmiş periyotlarda izlenir ve Yönetim Gözden Geçirme toplantılarında gözden geçirilir.
6. RİSK YÖNETİM ÇERÇEVESİ
Firmanın risk yönetim çerçevesi; Bilgi güvenliği risklerinin tanımlanmasını, değerlendirilmesini ve işlenmesini kapsar. Risk Analizi, uygulanabilirlik bildirgesi ve risk işleme planı, bilgi güvenliği risklerinin nasıl kontrol edildiğini tanımlar. Risk işleme planının yönetiminden ve gerçekleştirilmesinden Bilgi Sistemleri Birimi sorumludur. Tüm bu çalışmalar, varlık envanteri ve risk değerlendirme talimatında detaylı olarak açıklanır.
7. BİLGİ GÜVENLİĞİ GENEL ESASLARI
7.1. Bu politika ile çerçevesi çizilen bilgi güvenliği gereksinimleri ve kurallarına ilişkin ayrıntılar, Şirket çalışanları ve 3. taraflar bu politika ve prosedürleri bilmek ve çalışmalarını bu kurallara uygun şekilde yürütmekle yükümlüdür.
7.2. Bu kural ve politikalar, aksi belirtilmedikçe, basılı veya elektronik ortamda depolanan ve işlenen tüm bilgiler ile bütün bilgi sistemlerinin kullanımı için dikkate alınması esastır.
7.3. Bilgi Güvenliği Yönetim Sistemi, TS ISO/IEC 27001 “Bilgi Teknolojisi Güvenlik Teknikleri (Information Technology Security Techniques) ve Bilgi Güvenliği Yönetim Sistemleri Gereksinimler (Information Security Management Systems Requirements)” standardını temel alarak yapılandırılır ve işletilir.
7.4. BGYS’nin hayata geçirilmesi, işletilmesi ve iyileştirilmesi çalışmalarını, ilgili tarafların katkısıyla yürütür. BGYS dokümanlarının gerektiği zamanlarda güncellenmesi BGYS Yönetim Temsilcisi sorumluluğundadır.
7.5. Şirket tarafından çalışanlara veya 3. taraflara sunulan bilgi sistemleri ve altyapısı ile bu sistemler kullanılarak üretilen her türlü bilgi, belge ve ürün aksini gerektiren kanun hükümleri veya sözleşmeler bulunmadıkça şirkete aittir.
7.6. Çalışanlar, danışmanlık, hizmet alımı (Güvenlik, servis, yemek, temizlik firması vb.), Tedarikçi ve Stajyer ile gizlilik anlaşmaları yapılır.
7.7. İşe alım, görev değişikliği ve işten ayrılma süreçlerinde uygulanacak bilgi güvenliği kontrolleri belirlenir ve uygulanır.
7.8. Çalışanların bilgi güvenliği farkındalığını artıracak ve sistemin işleyişine katkıda bulunmasını sağlayacak eğitimler düzenli olarak mevcut şirket çalışanlarına ve yeni işe başlayan çalışanlara verilir.
7.9. Bilgi güvenliğinin gerçek ya da şüpheli tüm ihlalleri rapor edilir; ihlallere sebep olan uygunsuzluklar tespit edilir, ana sebepleri bulunarak tekrar edilmesini engelleyici önlemler alınır.
7.10. Bilgi varlıklarının envanteri bilgi güvenliği yönetim ihtiyaçları doğrultusunda oluşturulur ve varlık sahiplikleri atanır.
7.11. Kurumsal veriler sınıflandırılır ve her sınıftaki verilerin güvenlik ihtiyaçları ve kullanım kuralları belirlenir.
7.12. Güvenli alanlarda saklanan varlıkların ihtiyaçlarına paralel fiziksel güvenlik kontrolleri uygulanır.
7.13. Firmaya ait bilgi varlıkları için firma içinde ve dışında maruz kalabilecekleri fiziksel tehditlere karşı gerekli kontrol ve politikalar geliştirilir ve uygulanır.
7.14. Kapasite yönetimi, üçüncü taraflarla ilişkiler, yedekleme, sistem kabulü ve diğer güvenlik süreçlerine ilişkin prosedür ve talimatlar geliştirilir ve uygulanır.
7.15. Ağ cihazları, işletim sistemleri, sunucular ve uygulamalar için denetim kaydı üretme konfigürasyonları ilgili sistemlerin güvenlik ihtiyaçlarına paralel biçimde ayarlanır. Denetim kayıtlarının yetkisiz erişime karşı korunması sağlanır.
7.16. Erişim hakları ihtiyaç nispetinde atanır. Erişim kontrolü için mümkün olan en güvenli teknoloji ve teknikler kullanılır.
7.17. Sistem temini ve geliştirilmesinde güvenlik gereksinimleri belirlenir, sistem kabulü veya testlerinde güvenlik gereksinimlerinin karşılanıp karşılanmadığı kontrol edilir.
7.18. Kritik altyapı için süreklilik planları hazırlanır, bakımı ve tatbikatı yapılır.
7.19. Yasalara, iç politika ve prosedürlere, teknik güvenlik standartlarına uyum için gerekli süreçler tasarlanır, sürekli ve periyodik olarak yapılacak gözetim ve denetim faaliyetleri ile uyum güvencesi sağlanır.
8. POLİTİKANIN İHLALİ VE YAPTIRIMLAR
Bilgi Güvenliği Politikasına ve Standartlarına uyulmadığının tespit edilmesi durumunda, bu ihlalden sorumlu olan çalışanlar için Disiplin Yönergesi ve Prosedürü ’ne göre 3. Taraflar için de geçerli olan sözleşmelerde geçen ilgili maddelerinde belirlenen yaptırımlar uygulanır.
9. YÖNETİMİN GÖZDEN GEÇİRMESİ
Yönetim gözden geçirme toplantıları Kalite Yönetim toplantısı organize edilerek, Yönetim Kurulu ve Birim Müdürlerinin katılımı sağlanır. Bilgi Güvenliği Yönetim Sisteminin uygunluğunun ve etkinliğinin değerlendirildiği bu toplantılar en az yılda bir kez gerçekleştirilmektedir.
10. BİLGİ GÜVENLİĞİ POLİTİKA DOKÜMANI GÜNCELLENMESİ VE GÖZDEN GEÇİRİLMESİ
Politika dokümanının sürekliliğinin sağlanmasından ve gözden geçirilmesinden BGYS Yönetim Temsilcileri sorumludur. Politika ve prosedürler en az yılda bir kez gözden geçirilmelidir. Bunun dışında sistem yapısını veya risk değerlendirmesini etkileyecek herhangi bir değişiklikten sonra da gözden geçirilmeli ve herhangi bir değişiklik gerekiyorsa üst yönetime onaylatılarak yeni versiyon olarak kayıt altına alınmalıdır. Her revizyon tüm kullanıcıların erişebileceği şekilde yayınlanmalıdır.
11. YÜRÜRLÜK
Bilgi Güvenliği Politikası, Yönetim Kurulunun onay tarihi itibariyle yürürlüğe girer. Şirket’in Güvenliğine ilişkin tüm uygulama ve iş akışları politika hükümleriyle uyumlu şekilde oluşturulur/güncellenir.