>

BİLGİ GÜVENLİĞİ

1. AMAÇ:

Bu prosedürün amacı hukuka, yasal, düzenleyici ya da sözleşmeye tabi yükümlülüklere ve her türlü güvenlik gereksinimlerine ilişkin ihlalleri önlemek için, üst yönetiminin yaklaşımını ve hedeflerini tanımlamak, tüm çalışanlara ve ilgili taraflara bu hedefleri bildirmektir. Kurum, bilgi güvenliği yönetim sistemi kapsamını oluşturmak için, bilgi güvenliği yönetim sisteminin sınırlarını ve uygulanabilirliğini belirlemiştir.

2- KAPSAM:

BGYS, ofisteki donanım ve yazılımlardan oluşan kritik bilgi varlıklarının güvenliğini sağlamak üzere oluşturulmuştur. İşin karakteristik özelliği; kurum hizmetleri altyapısı olduğu için buna ait süreçler, yer, varlıklar ve teknoloji sistem içine dahil edilmiştir.

3- SORUMLULUKLAR:

Sorumluluk ve yetkileri belirlenmiş kişilerin, nitelik ve yeterlilikleri görev tanımlarında tanımlanmıştır. Bilgi güvenliği ile ilgili faaliyetlerin sürdürülmesinden ve geliştirilmesinden Bilgi İşlem Birimi, Yönetim Temsilcisi, Sistem Sorumlusu ve Üst Yönetim sorumludur. BGYS Ekibi ve Yönetim Temsilcisi Üst Yönetim tarafından atanmıştır. Kapsam içindeki departmanlardan BGYS temsilcileri belirlenmiştir.

Tüm Çalışanların Sorumluluğu:

•Çalışmalarını bilgi güvenliği hedeflerine, politikalarına ve bilgi güvenliği yönetim sistemi dokümanlarına ve yetkilerine uygun olarak yürütmekten,
•Kendi müdürlükleri ile ilgili bilgi güvenliği hedeflerinin takibini yapar ve hedeflere ulaşılmasını sağlar.
•Sistemler veya hizmetlerde gözlenen veya şüphelenilen herhangi bir bilgi güvenliği açıklığına dikkat etmek ve raporlamak,
•Üçüncü taraflar ile yapılan ve satın alma sorumluluğunda olmayan hizmet sözleşmelerine (danışmanlık vb.) ilave olarak gizlilik sözleşmesi yapmak ve bilgi güvenliği gereksinimlerini sağlamaktan sorumludur.
•Kurum da bulunan tüm görev tanımları bulunmaktadır.

Üçüncü Tarafların Sorumluluğu:

Bilgi güvenliği politikasının bilinmesi ve uygulanması ile BGYS kapsamında belirlenen davranışlara uyulmasından sorumludur. Üçüncü taraflar ile yapılan sözleşmelere (gizlilik sözleşmesi) uymalı, uymaması durumunda sözleşmede belirtilen yaptırımları yerine getirmek belirlenen sorumluluklar arasındadır.

4- UYGULAMA:

4.1 GENEL

BGYS, ofisteki donanım ve yazılımlardan oluşan kritik bilgi varlıklarının güvenliğini sağlamak üzere oluşturulmuştur. İşin karakteristik özelliği; kurum hizmetleri altyapısı olduğu için buna ait süreçler, yer, varlıklar ve teknoloji sistem içine dahil edilmiştir.

Kurum’un BGYS kapsamı; “Uluslararası Nakliye ve Lojistik Faaliyetleri İçin İthalat, İhracat, Transit, Gümrükleme Gibi Gümrük ve Dış Ticaret İşlemlerinin ve Bu İşlemlere İlişkin Lojistik, Depolama, Muhasebe, Finans ve Bilgi İşlem Gibi Faaliyetlerin Elektronik Bilgi Varlıkları İle Bu Varlıkları Korumak Amacıyla Kullandığı Bilişim Güvenliği” olarak belirlenmiştir.

Kapsam dışı madde yoktur.

İç Husus:

Kuruluşa ilişkin yapı, roller ve yükümlülükler; kurum yönetim bünyesinde bulunan kapsam dahilindeki birimlerdir

Yerine getirilecek politikalar, hedefler ve stratejiler;

•Tüm yönetim sistemlerinde tanımlanan politikalar,

•BGYS Politikaları,

•Yönetimce belirlenmiş yıllık BGYS hedefleri,

•Kaynaklar ve bilgi birikimi cinsinden anlaşılan yetenekler (anapara, zaman, kişiler, süreçler, sistemler ve teknolojiler),

•Bilgi güvenliği yönetim sisteminin kurulması, işletilmesi ve sürdürülmesi için yönetim tarafından atanan yönetim temsilcisi ve BGYS ekibi,

İç paydaşlarla ilişkiler ve onların algılamaları, değerleri, kuruluşun kültürü, kuruluş tarafından uyarlanan standartlar, kılavuzlar, modeller, sözleşmeye bağlı ilişkilerin biçim ve genişliğini kapsamaktadır.

Dış Husus:

•Uluslararası, ulusal, bölgesel veya yerel olmak üzere, sosyal ve kültürel, politik, yasal, mevzuata ilişkin, finansal, teknolojik, ekonomik, doğal ve rekabetçi ortam,

•Tedarikçi (üçüncü taraf) verilerinin gizliliği,

•Kalite odaklılık,

•Kuruluşun hedefleri üzerinde etkisi bulunan paydaşlarla ilişkiler ve onların algılamaları ve değerleri,

•Yerel halk memnuniyetin sağlanması için üst yönetim dahil tüm kurum çalışanları,

•İlgili tüm yasal mevzuat, düzenleyici, sözleşmeden doğan şartlar, standartlar,

•Diğer kuruluşlarla olan ürün belgelendirmeleri dış kapsamdır.

4.2 Tanımlar:

BGYS: Bilgi Güvenliği Yönetim Sistemi.

Varlık Envanteri: Kurum için önemli olan her türlü bilgi varlığı ve donanım.

Üst Yönetim: Kurumun üst yönetim kurulundan oluşan yetkililer.

Bilgi Güvenliği: Bilgi, tüm diğer kurumsal ve ticari varlıklar gibi, bir kurum için değeri olan ve bu nedenle uygun şekilde korunması gereken bir varlıktır. Kurum know-how, iş süreç, form, sözleşme, üçüncü taraf kayıtları, personel bilgileri, ticari, sınai ve teknolojik bilgiler ve sırlar varlık sınıfına (çok gizli, gizli, kuruma açık, halka açık,) göre belirler ve sınıfına göre varlık olarak kabul eder.

Gizlilik: Bilginin içeriğinin görüntülenmesinin, sadece bilgiyi/veriyi görüntülemeye izin verilen kişilerin erişimi ile kısıtlanmasıdır.

Bütünlük Bilginin yetkisiz veya yanlışlıkla değiştirilmesinin, silinmesinin veya eklemeler çıkarmalar, yapılmasının tespit edilebilmesi ve tespit edilebilirliğin garanti altına alınmasıdır.

Erişilebilirlik/Kullanılabilirlik: Varlığın ihtiyaç duyulduğu her an kullanıma hazır olmasıdır. Diğer bir ifadeyle, sistemlerin sürekli hizmet verebilir halde bulunması ve sistemlerdeki bilginin kaybolmaması ve sürekli erişilebilir olmasıdır. Bu dokümanda “Erişilebilirlik” olarak kullanılacaktır.

Bilgi Varlığı: Kurum yönetimin sahip olduğu, işlerini aksatmadan yürütebilmesi için önemli olan varlıklardır. Bu politikaya konu olan süreçler kapsamında bilgi varlıkları şunlardır:

•Formlar, sözleşmeler, dosyalar, görsel veya işitsel ortamda sunulan her türlü bilgi ve veri,

•Bilgiye erişmek ve bilgiyi değiştirmek için kullanılan her türlü yazılım ve donanım,

•Bilginin transfer edilmesini sağlayan ağlar,

•Bölümler, birimler, ekipler ve çalışanlar,

•Üçüncü taraflardan sağlanan servis, hizmet veya ürünlerdir.

Bilgi Güvenliği Hedefleri:

Bilgi güvenliği politikası kurum çalışanlarına, kurumun güvenlik gereksinimlerine uygun şekilde hareket etmesi konusunda yol göstermek, bilinç ve farkındalık seviyelerini arttırmak ve bu şekilde kurumun temel ve destekleyici iş faaliyetlerinin en az kesinti ile devam etmesini sağlamak, güvenilirliğini ve imajını korumak, üçüncü taraflarla yapılan sözleşmelerde belirlenmiş uygunlukları sağlamak amacıyla tüm işleyişi etkileyen fiziksel ve elektronik bilgi varlıklarının korunmasını hedefler. Yönetim tarafından belirlenen hedefler, belirlenmiş periyotlarda izlenir ve YGG toplantılarında gözden geçirilir.

Amaç ve hedef planı dokümanı ISO27001 Bilgi Güvenliği Yönetim Sistemi 6.2 maddesinde PL.001 Amaç ve Hedef Planı dokümanında da bulunmaktadır.

Bilgi Güvenliği Genel Esasları:

•Bu politika ile çerçevesi çizilen bilgi güvenliği gereksinimleri ve kurallarına ilişkin ayrıntılar, kurum çalışanları ve 3. taraflar bu politikaları bilmek ve çalışmalarını bu kurallara uygun şekilde yürütmekle yükümlüdür.

•Bu kural ve politikalar, aksi belirtilmedikçe, basılı veya elektronik ortamda depolanan ve işlenen tüm bilgiler ile bütün bilgi sistemlerinin kullanımı için dikkate alınması esastır.

•Bilgi Güvenliği Yönetim Sistemi, TS ISO/IEC 27001 Bilgi Teknolojisi Güvenlik Teknikleri (Information Technology Security Techniques) ve Bilgi Güvenliği Yönetim Sistemleri Gereksinimler (Information Security Management Systems Requirements) standardını temel alarak yapılandırılır ve işletilir.

•BGYS’nin hayata geçirilmesi, işletilmesi ve iyileştirilmesi için çalışmalarını, ilgili tarafların katkısıyla yürütür. BGYS dokümanlarının gerektiği zamanlarda güncellenmesi BGYS Sorumlusunun sorumluluğundadır.

•Çalışanlar, danışman firmaları ve hizmet alımı yapılan, tedarikçi firmalar ile gizlilik anlaşmaları yapılır.

•İşe alım, görev değişikliği ve işten ayrılma süreçlerinde uygulanacak bilgi güvenliği kontrolleri belirlenir ve uygulanır.

•Çalışanların bilgi güvenliği farkındalığını artıracak ve sistemin işleyişine katkıda bulunmasını sağlayacak eğitimler düzenli olarak mevcut çalışanlarımıza ve yeni işe başlayan çalışanlara verilir.

•Bilgi güvenliğinin gerçek ya da şüpheli tüm ihlalleri rapor edilir; ihlallere sebep olan uygunsuzluklar tespit edilir, ana sebepleri bulunarak tekrar edilmesini engelleyici önlemler alınır.

•Bilgi varlıklarının envanteri bilgi güvenliği yönetim ihtiyaçları doğrultusunda oluşturulur ve varlık sahiplikleri atanır.

•Kurumsal veriler sınıflandırılır ve her sınıftaki verilerin güvenlik ihtiyaçları ve kullanım kuralları belirlenir.

•Güvenli alanlarda saklanan varlıkların ihtiyaçlarına paralel fiziksel güvenlik kontrolleri uygulanır.

•Bilgi varlıkları için kurum içinde ve dışında maruz kalabilecekleri fiziksel tehditlere karşı gerekli kontrol ve politikalar geliştirilir ve uygulanır.

•Kapasite yönetimi, üçüncü taraflarla ilişkiler, yedekleme, sistem kabulü ve diğer güvenlik süreçlerine ilişkin prosedür ve talimatlar geliştirilir ve uygulanır.

•Ağ cihazları, işletim sistemleri, sunucular ve uygulamalar için denetim kaydı üretme konfigürasyonları ilgili sistemlerin güvenlik ihtiyaçlarına paralel biçimde ayarlanır. Denetim kayıtlarının yetkisiz erişime karşı korunması sağlanır.

5- İLGİLİ DÖKÜMANLAR:

FR.001 İç ve Dış İletişim Formu

TB.001 İlgili Tarafların İhtiyaç ve Beklentileri

LS.009 İç ve Dış Hususlar Listesi

COPYRIGHT 2022 | FORTRANS