Bilgi Güvenliği Politikası


BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ (BGYS)

ISO/IEC-27001:2013

POLİTİKALAR

1. Güvenlik Politikası
Amaç
Bu politikanın amacı; Xinerji’ nin hizmet sunduğu birimlerin sahip olduğu bilgi varlıklarının korunması ve uygun bir biçimde yönetilmesidir.

Kapsam
Xinerji, Bilgi Güvenliği Yönetim Sistemi tüm kurumu kapsar. Bu politikanın uygulanması hizmet sunulan birimler ile olan ilişkilerde uygunluğunu göstermek ve sürdürmek için önemlidir.

Xinerji’ nin politikası;
Bilgi; – İzinsiz erişime karşı korunur. – Gizliliği korunur. – Yetkisiz kişilere kasten veya dikkatsizlik sonucu verilemez. – Yetkisiz kişilere karşı koruma sayesinde doğruluk sağlanır. – Gereksinim duyulduğunda yetkili kullanıcıların erişimine hazır bulundurulur. – Tüm prosedürler, tüm birimler tarafından uygulanır. – Tüm çalışanlara Bilgi Güvenliği eğitimi verilir. – Tüm açıklar birim sorumlusuna rapor edilir ve önlemler alınır. – Çözülemeyecek açıklıklar güvenlik sorumluları tarafından organize edilir.
Xinerji de kimlik bilgileri, müşteri bilgileri, yazılım paketleri ve sunucular koruma altında olan varlıklardır.

Uygulanabilirlik
Bilgi Güvenliği Yönetim Sistemi, kapsanan bilgi varlıklarıyla herhangi bir ilişkisi olan tüm Xinerji çalışanları bu politikayı uygulamakla yükümlüdürler ve politikayı onaylamış olan yönetimin desteğine sahiptir.


Sorumluluk
Xinerji üst yönetimi bu politikayı onaylar ve gözden geçirir. Bilgi Güvenliği Yöneticisi uygun standartlar ve prosedürler aracılığı ile bu politikanın uygulanmasını destekler. Tüm personel bilgi güvenliği politikasını sürdürme prosedürlerini izler. Tüm personel güvenlik olaylarını raporlamaktan ve tespit edilen zayıf noktaları bildirmekten sorumludur.
Xinerji’ ye ya da müşterilerine ya da tedarikçilerine ait bilgilerin güvenliğini tehlikeye atacak herhangi bir kasti hareket, disiplin cezasına ve/veya hukuki (bilişim suçları) önleme tabidir.

2. Erişim Denetimi Politikası
Amaç

Bu politika; yetkili kullanıcı erişimini sağlamak ve yetkisiz erişimi önlemek amacıyla oluşturulmuştur.


Kapsam
Xinerji network altyapısında, çalışanların müşteri ortamında ya da ortak kullanım alanı olarak belirlenmiş gizliliği çalışanlara bildirilmiş hizmet/alanlara, kullanıcı kimliğini belirten bir şekilde giriş yapmasını sağlamak için oluşturulmuş adımların tamamıdır.


Fiziksel Erişim Denetimi
2.1. Ofise giriş sisteminde bulunan giriş kartları her personel için tanımlanmıştır. Personel giriş kartını okutarak ofis içerisindeki çalışmalarına başlayabilir.


Ağ Erişim Denetimi
2.2. Firma içerisinde kullanılan ana makinadaki İşletim Sisteminde tüm bilgisayarların kullanıcı tanımlarının ve erişim yetkilerinin belirlendiği aktif dizin oluşturulmuştur.
2.3. Tanımlanan kullanıcıların donanım erişimleri (floppy, usb, cd-writer, cd-rom vb.) yasaklanmıştır.
2.4. Kullanıcıların, ağ erişimi benzersiz kimliği(MAC Adres) ile ağ üzerinden alınan geçici kimlik(IP) eşlenmiştir. Bilgisayar kimliği ve ağ kimliği birbirine bağlıdır ve farklı durumlarda ağ altyapısında ki herhangi bir kaynağı kullanamayacak şekilde sınırlandırılmıştır.
2.5. Şirket ağ altyapısına dış ortamdan erişmek için, SSL VPN kullanılmaktadır. VPN ile erişecek kullanıcılar için, Şifreleme Politikamız gereği bir parola oluşturulmuş ve benzersiz kimlik bilgisi kullanıcı tarafına iletilmiştir.
2.6. Erişim gereksinimi artık kalmamış kullanıcılar için İnsan Kaynakları prosedürüne göre hareket edilir. Sistemden de bu personelin erişim hakkı alınır ve şifresi silinir.
2.7. Ana Makine üzerinde sFTP erişim noktası oluşturulmuştur. SFTP erişim noktasına kullanıcı kendi benzersiz kimlik bilgisi ile giriş yapabilmekte ve erişimler loglanmaktadır.


İşletim Sistemi Denetimi
2.8. Tüm kullanıcılar kendi kişisel kullanımları için benzersiz bir kimliğe sahiptirler. 2. Her kullanıcı sadece kendisine zimmetlenmiş bilgisayarda parolası ile sisteme bağlanabilir. 3. Kullanıcılar için tanımlanmış hesaplar yetkisi kısıtlanmış kullanıcı hesaplarıdır. Bilgisayarların yönetici hesaplarına erişim sadece Sistem Yöneticisi tarafından yapılmaktadır.


2.9.Kullanıcı Şifre Denetimi
Kullanıcılar için oluşturulan şifre yapımız aşağıda olduğu gibidir.
2.9.1. En az 8 karakter uzunluğunda olmalı.
2.9.2. En az 1 özel karakter içermeli.
2.9.3. En az 1 büyük ve küçük harf içermeli.
2.9.4. En az 1 sayı içermeli.

3.Temiz Ekran ve Temiz Masa Politikası
Amaç
Normal çalışma süresince ve dışında bilgiye yetkisiz erişim, bilgi kaybı ve hasarı risklerini azaltmak amacıyla kâğıtlar ve depolama ortamları ve kişisel bilgisayarlar için gerekli şartları tanımlamak.


Uygulama
3.1. Ulaşılması istenmeyen bilgi ya da belgeler uygun olan yerlerde, kağıt ve bilgisayar ortamı, kullanılmadığında uygun kilitli dolaplarda muhafaza edilir.
3.2. Ağa bağlı bilgisayarlar başıboş olduklarında oturum açık olarak bırakılmazlar. Masasından ayrılan personel Windows+ L tuşlarına basarak ağ oturumunu otomatik olarak kilitlerler.
3.3. Hassas ve önemli iş bilgileri ya da belgeleri, gerekmedikleri zamanda özellikle de büro boş olduğunda, kilitlenir.
3.4. Gelen ve giden faks mesajları faks makinelerinde başıboş bırakılmaz.
3.5. Hafızası bulunan yazıcılar ve fotokopi makineleri kullanılmaz.

4. E-Posta Politikası
Amaç

Bu politikanın amacı; Xinerji’ ye gelen, giden e-postaların (e-mail) güvenliğini kontrol altına alarak güvenli olmayan ya da uygunsuz mesaj gönderimini ya da gelmesini engellemektir.


Uygulama
4.1. Firma içerisinde kişiler birbirlerine çok yakın otursalar dahi karşılıklı konuşmak yerine e-mail yazmayı tercih etmelidirler.
4.2. Gönderilecek e-mailler kısa, açık ve anlaşılır olmalıdır. Mesaj, birden fazla kişiye gidecek ise konunun gerçekten mesaj gidecek kişileri ilgilendirip ilgilendirmediğine dikkat edilir. Konu ile sadece haberdar olması gerekli kişiler “cc” bölümüne yazılır.
4.3. Mesajın gönderildiği kişiler mümkün olduğu kadar kısıtlı tutulur. “cc” kısmına gerçekten gerekli olmayan kişiler eklenmez.
4.4. Mesaj birden fazla kişiye gönderiliyor ve bu farklı kişilerin birbirinden haberdar olması gerekmiyor ise “To” kısmı yerine “Bcc” kısmı kullanılır.
4.5. Mesaj karşılığı verilmek istendiğinde gereksiz adresler ve gerekmiyor ise orijinal mesaj silinir.
4.6. Boyutu büyük gönderimler için dosya sıkıştırıcı programlar kullanılır.
4.7. Kişileri kışkırtıcı, onur kırıcı, kutsal inançlara saldıran, ırkçı, karalayıcı, müstehcen ya da benzeri mesajlar gönderilmez.
4.8. Mesajın ulaştığından emin olunmak isteniyorsa teyit ettirilir.
4.9. Çok gizli bilgi içeren mesajlar gönderilemez.

 

 

Back to top