Bilgi Güvenliği Politikası

 

Bilgi Güvenliği Yönetim Sisteminin Temel Hedefleri

Bilgi varlıklarını yönetmek, varlıkların güvenlik değerlerini, ihtiyaçlarını ve risklerini belirlemek, güvenlik risklerine yönelik kontrolleri geliştirmek ve uygulamak

Faaliyet gösterdiği sektöre yönelik düzenlemelerden ve iş ortaklarına yönelik kontrat yükümlülüklerinden kaynaklanan bilgi güvenliği gereksinimlerini sağlamak

Hizmet sürekliliğine bilgi güvenliği tehditlerinin etkisini azaltmak ve sürekliliğe katkıda bulunmak

Gerçekleşebilecek bilgi güvenliği olaylarına hızla müdahale edebilecek ve olayın etkisini minimize edecek yetkinliğe sahip olmak

 

Bilgi Güvenliği Yönetim Sisteminin Temel Prensipleri

Risk Analizi ve Tedavisi

Bilgi varlıkları değerleri, güvenlik ihtiyaçları, zafiyetleri, varlıklara yönelik tehditler periyodik olarak belirlenir, risk tedavi planı hazırlanır ve uygulanır.

Güvenlik Politika Yönetimi

Bilgi güvenliği politikası ve BGYS’nin çatısını oluşturan politika ve prosedürlerin bakımı gerektiğinde ve periyodik olarak yapılır. Bilgi güvenliği politikası en az yılda bir defa BGY tarafından gözden geçirilir.

Bilgi Güvenliği Organizasyonu

BGYS, BGYS Komitesi tarafından desteklenir ve gözden geçirilir.

BGYS’nin etkin biçimde yürütülebilmesi için BGY ve İç Denetçi kaynağı sağlanır.

Kurum içinde bilgi güvenliği rol ve sorumlulukları tanımlanır. Bilgi sistemleri erişimleri gereksinimler nispetinde ve iç kontrol ihtiyaçlarına aykırı değilse sağlanır.

Invent Analytics bünyesinde ve Invent Analytics dışındaki taraflarla (iş ortakları, düzenleyiciler, belgelendirme kuruluşu, kamu kurumları, güvenlik meslek grupları) ilişkiler BGY tarafından koordine edilir ve geliştirilir.

Üçüncü taraflardan kaynaklanan bilgi güvenliği riskleri analiz edilir, tespit edilen riskleri azaltıcı kontrollerin uygulanması ve Invent Analytics’i koruyucu hükümlerin kontratlarda yer alması sağlanır.

Müşterilere ilişkin bilgi güvenliği riskleri değerlendirilir, gerekli bilgilendirme yapılır. Invent Analytics’in kurum itibarının korunması ve hukuki olarak zararlardan korunabilmesi için gerekli hükümler müşteri kontratlarında yer alır.

Bilgi Varlıkları Yönetimi

Bilgi varlığı envanteri periyodik risk analizi sürecinde güncellenir, bilgi varlığı sahiplikleri atanır. Bilgi varlığı sahibi bilginin güvenlik ihtiyaç ve değerlerini belirler veya belirlenmesinde katkı sağlar.

Bilgi varlıkları kabul edilebilir kullanım esasları belirlenir ve personele bildirilir.

Bilgi sınıfları kriterleri belirlenir. Bilgilerin sınıflarına uygun erişim, işleme ve saklama kontrollerine sahip olması sağlanır.

İnsan Kaynağı Güvenliği

Alınan personelin ilgili pozisyonun gereklerini yerine getirmesini güvence altına almak için görev tanımı ve yetkinlikler hazırlanır.

Personel alımlarında özgeçmiş ve referans kontrolleri yapılır.

Hizmet akdinin eki olarak bilgi güvenliği ihlalleri durumunda işletilebilecek disiplin sürecinin de tanımlandığı kabul edilebilir kullanım politikası personelin bilgisine sunulur ve imzası alınır.

Personele eğitim ihtiyaç analizine göre teknik ve farkındalık eğitimleri verilir.

İşten ayrılma durumunda ivedilikle Invent Analytics bilgi varlıkları teslim alınır ve erişim hakları kaldırılır.

Fiziksel ve Çevresel Güvenlik

Invent Analytics ofis alanı, sistem odaları ve veri merkezleri geçiş kontrol sistemleri ile korunur, bu yerleşkelere girişler kayıt altına alınır.

Kritik ekipmanın saklandığı sistem odası ve veri merkezi gibi alanlar için yangın tespit ve söndürme, iklimlendirme kontrolleri uygulanır. Kritik servislerin sürekliliğini teminen ilgili ekipmanın güç yedeklilikleri sağlanır.

Ofise gelen ve giden gönderiler ofis girişinde teslim alınır ve teslimat yapılır.

Ekipman bakım hizmeti için mümkünse ekipman içindeki bilgiler kurum dışına çıkarılmadan önce güvenli olarak silinir veya bakım servisi veren firma ile gizlilik anlaşması yapılır.

Elden çıkarılacak tüm ekipmanda bulunan bilgiler güvenli biçimde tekrar geri döndürülemeyecek biçimde silinir.

Kurum dışına çıkarılması gereken kritik bilgiler kriptolama kontrolleriyle korunur.

Personel temiz ekran ve temiz masa politikasını uygular. Taşınabilir bilgisayarlar ve medyalar kurum dışında tehlikeli alanlarda gözetimsiz bırakılmaz.

 

Operasyon Yönetimi

Bilgi sistemlerine erişimde ve bilgi sistemleri ortamları oluşturulurken görevler ayrılığı ilkesi uygulanır, organizayonel, maddi veya teknik kısıtlar nedenleriyle bu ilkenin uygulanması mümkün değilse yönetim tarafından “Bilgi Güvenliği Risk Kabul Formu” doldurulur.

Rutin teknik operasyonel prosedürler dokümante edilir ve sadece teknik personelin erişimi olan yerlerde saklanır.

Kritik sistemler için sürekli ve periyodik kapasite izleme kontrolleri uygulanır.

Sistem kabullerinde güvenlik gereksinimlerinin karşılanıp karşılanmadığı kontrol edilir.

Kötü niyetli yazılımlara karşı işletim sistemi ve tarayıcılar (browsers) üzerinde gerekli kontroller ve anti-virüs çözümleri uygulanır.

Bilgiler süreklilik ve saklama zaman gereksinimlerine uygun olarak çevrim içi ve/veya çevrim dışı olarak yedeklenir.

Ağ erişimleri erişim kontrolleri ile yönetilir. Üçüncü taraf erişimleri yönetim tarafından onaylanır.

Taşınabilir ortamların fiziksel ve mantıksal güvenliği içinde bulundukları ortam koşullarına uygun larak sağlanır.

Güvensiz ağlardan iletilen hassas bilgilerin gizliliği kriptolama çözümü ile korunur.

İnternet üzerinden herkese yayınlanacak bilgiler ancak ilgili birim yönetici ve sorumlularının onayı sonrasında yayınlanır. Yayınlanacak bilgiler hassas bilgi içeremez.

Sistemlerin kritikliklerine ve üzerlerinde yapılan işlemlere bağlı olarak iz kaydı ayarları yapılır, iz kayıtlarına erişim kontrol edilir ve iz kayıtları gerekli süreler için yedeklenir.

Yerine getirdikleri hizmet açısından ilgili sistemlerin sistem saatleri iz kayıtlarının bir arada anlamlı biçimde incelenebilmesi için ortak bir kaynaktan senkronize edilir.

Erişim Yönetimi

Kullanıcı erişimi yönetici onayı dahilinde sağlanır.

Parolalar için teknik imkan olan sistemlerde parola politikası zorunlu olarak uygulanır. Teknik olarak parola politikası uygulama imkanı olmayan sistemler için prosedürel olarak parola politikası uygulanır.

Personel temiz ekran ve temiz masa politikasını uygular. Taşınabilir bilgisayarlar ve medyalar kurum dışında tehlikeli alanlarda gözetimsiz bırakılmaz.

Ağ bölümleri barındırdıkları sistemlerin hassasiyetlerine uygun olarak bölümlenir.

Ağ erişimleri erişim kontrol araçları ile kontrol edilir.

İşletim sistemi erişimlerinde kullanıcı tanılama ve otorizasyon kontrolleri uygulanır.

Teknik ve pratik olarak mümkün olan sistemlere erişimde oturum zaman aşımı kontrolü uygulanır.

Uzaktan erişimler kontrollü olarak sağlanır. Uzaktan erişim için kullanılan sistemlerin şirket tarafından sağlanan bilgisayarlar olması tercih edilir.

Bilgi Sistemleri Tedarik, Geliştirme ve Bakımı

Sistem tedariki öncesinde sisteme yönelik güvenlik gereksinimleri belirlenir. Bu gereksinimler girdi, işleme ve çıktı kontrollerini içerir.

Kriptografik kontrollerin uygulandığı durumlarda özel / gizli anahtarlara erişim kısıtlanarak anahtar güvenliği sağlanır.

Gerçek ortam erişimleri organizasyonel ve teknik kısıtlar dışında kısıtlanır. Gerçek ortam değişiklikleri Invent Analytics personeli olan operasyon personeli tarafından gerçekleştirilir. Uygulama geliştirme ekiplerinin operasyonel (gerçek ortam) sistemlere erişimi gerekliyse “Bilgi Güvenliği Risk Kabul Formu” düzenlenir.

Test ortamlarına aktarılan test verileri eğer hassas veri içeriyorsa karartılarak aktarılır.

Bilgi sistemleri altyapısı periyodik olarak zayıflık taramasından geçirilir, tespit edilen açıklıklar ivedilikle kapatılır.

Bilgi Güvenliği Olay Yönetimi

Tüm personel kendi alanları ile ilgili olsun veya olmasın gözlemledikleri veya tespit ettiklerin bilgi güvenliği zayıflık ve olaylarını BGY’ne veya IT Destek personeline raporlar.

BGY bilgi güvenliği olay müdahalesinin koordinasyonu ve yürütülmesini gerçekleştirir.

Bilgi güvenliği olayları yönetim gözden geçirme toplantılarında incelenir, olayların tekrar yaşanma oranının ve bilgi güvenliği zayıflıklarının azaltılabilmesi için düzeltici faaliyetler planlanır ve uygulanır.

İş Sürekliliği Yönetimi

Kritik sistemler ve hizmetler için yedek sistemler ve kurtarma prosedürleri hazırlanır. Herhangi bir olağanüstü durumda kuruma özel hazırlanmış iş sürekliliği, acil durum ve teknoloji sürekliliği planları devreye alınır.

Hazırlanan prosedürlerin etkinliği periyodik olarak test edilir, test sonuçlarına göre kurtarma prosedürleri iyileştirilir.

Uyum

Kanunlardan, düzenlemelerden ve kontratlardan kaynaklanan yükümlülükler takip edilir, bu yükümlülüklerin gerektirdiği kontroller uygulanır.

Prosedürel ve teknik politika ve prosedürlere uyum iç denetçi tarafından periyodik olarak denetlenir.