| 1. AMAÇ | ||||||||||||
| Bu politikanın amacı, şirketimizin bilgi kaynaklarının güvenliğinin sağlanması, çalışanlarının bu konuya duyarlı olması, bilinç seviyesi kendisine verilen yetki ve sorumlulukları iyi anlaması ve yerine getirmesiyle çok yakından bağlantılıdır. Bu nedenle şirket, ilgili personelin seçimi sorumluluk ve yetkilerin atanması, işten çıkarılması, eğitilmesi, vb. konuların güvenlik ile ilgili boyutunu ne şekilde ele alacağını bu politika ile belirler. | ||||||||||||
| 2. SORUMLULUKLAR | ||||||||||||
| Bu politika ile ilgili gereklerin uygulamasından şirketin tüm yönetici ve çalışanları sorumludur. | ||||||||||||
| 3. UYGULAMA | ||||||||||||
| • Çeşitli seviyelerdeki bilgiye erişim hakkının verilmesi için personel yetkinliği ve rolleri kararlaştırılmalıdır. | ||||||||||||
| • Kullanıcılara erişim haklarını açıklayan yazılı bildiriler verilmeli ve teyit alınmalıdır. | ||||||||||||
| • Yetkisi olmayan personelin, kurumdaki gizli ve hassas bilgileri görmesi veya elde etmesi yasaktır. | ||||||||||||
| • Bilgi sistemlerinde sorumluluk verilecek kişinin özgeçmişi araştırılmalı, beyan edilen akademik ve profesyonel bilgiler teyit edilmeli, karakter özellikleriyle ilgili tatmin edici düzeyde bilgi sahibi olmak için iş çevresinden ve dışından referans sorulması sağlanmalıdır. | ||||||||||||
| • Kritik bilgiye erişim hakkı olan çalışanlar ile gizlilik anlaşmaları imzalanmalıdır. | ||||||||||||
| • Kurumsal bilgi güvenliği bilinçlendirme eğitimleri düzenlenmelidir. | ||||||||||||
| • Çalışanlara telefon görüşmeleri yaparken civardakiler tarafından işitilebileceği veya dinlenebileceği için hassas bilgilerin konuşulmaması hatırlatılmalıdır. | ||||||||||||
| • Çalışanlara kamuya açık alanlarda, açık ofis ortamlarında ve ince duvarları olan odalarda gizliliği olan konuşmaların yapılmaması hatırlatılmalıdır. | ||||||||||||
| • İş tanımı değişen veya kurumdan ayrılan kullanıcıların erişim hakları hemen silinmelidir. | ||||||||||||
| • Kurum bilgi sistemlerinin işletilmesinden sorumlu personelin konularıyla ilgili teknik bilgi düzeylerini güncel tutmaları çalışma sürekliliği açısından önemli olduğundan eğitim planlamaları periyodik olarak yapılmalı, bütçe ayrılmalı eğitimlere katılım sağlanmalı ve eğitim etkinliği değerlendirilmelidir. | ||||||||||||
| • Bilgi Güvenliği ile ilgili olayları BGYS Ekip Liderine hızla bildirilmelidir. | ||||||||||||
| • Yetkiler “görevler ayrımı” ve “en az ayrıcalık” esaslı olmalıdır. “Görevler ayrımı “ rollerin sorumlulukların paylaştırılması ile ilgilidir ve bu paylaşım sayesinde kritik bir sürecin tek kişi tarafından kırılma olasılığı azaltılırı.”En az ayrıcalık” ise kullanıcıların gereğinden fazla yetkiyle donatılmamaları ve sorumlu oldukları işleri yapabilmeleri için yeterli olan asgari erişim yetkisine sahip olmaları demektir. | ||||||||||||
| • Kritik bir görevin tek kişiye bağımlılığını azaltmak ve aynı işi daha fazla sayıda çalışanın yürütebilmesini sağlamak amacıyla, bir sıra dahilinde çalışanlara görev ve sorumluluk atanmalıdır.Böylece kritik bir iş birden fazla kişi tarafından öğrenilmiş olacaktır. | ||||||||||||
| • Çalışanlar kendi işleri ile ilgili olarak bilgi güvenliği sorumlulukları, riskler görev ve yetkileri hakkında periyodik olarak eğitilmelidir. Yeni işe alınan elemanlar içinde bu eğitim, oryantasyon sırasında verilmelidir. | ||||||||||||
| • Çalışanların başka görevlere atanması ya da işten ayrılması durumlarında işletilecek süreçler tanımlanmalıdır. Erişim yetkilerinin, kullanıcı hesaplarının, token akıllı kart gibi donanımların iptal edilmesi, geri alınması veya güncellenmesi sağlanmalı, varsa devam eden sorumluluklar kayıt altına alınmalıdır. |
