Gizlilik Politikası
Amaç
Bilgi Güvenliği Politikasının amacı, ITD Bilişim bünyesinde kullanılan her türlü bilginin, gizliliğinin, bütünlüğünün ve erişilebilirliğinin sağlanması ve korunmasıdır. Söz konusu kavramlar aşağıda açıklanmıştır.
Gizlilik:
Bilginin kanunen veya paylaşılacak bilgi sahibinin muvafakıyla, erişmesine izin verilen kişi veya kitleler için erişilebilir halde olmasıdır. Hedeflenen kişi ve kitleler dışında bilginin başkaları tarafından okunabilir ve/veya yazılabilir, değiştirilebilir, kısaca erişilebilir olması durumunda bilginin gizliliği bozulmuş olur.
Bütünlük:
Bilginin kaynağında olduğu şekliyle, bozulmadan, değiştirilmeden, tutarlı bir şekilde hedeflenen kişi ve kitleler için erişilebilir olmasıdır. Bir bilginin kısmen bozulmuş veya kısmen değiştirilmiş olması bütünlüğün bozulması anlamına gelmektedir. Erişilebilirlik Bilginin ihtiyaç duyulduğunda erişilebilir halde olmasıdır. Gizlilikten farkı, kimlerin bilgiye erişebildiğinden çok, bilginin erişilebilir olup olmaması ile ifade edilmesidir.
Kapsam
“Bilgi Güvenliği Politikası” bilgi güvenliğinin sağlanmasını amaçlayan uygulama, politika, prosedür, standart ve bu kapsamda yürütülen Bilgi Güvenliği Yönetim Sistemi de dahil olmak üzere tüm işlem ve faaliyetlerini kapsar. Politika aynı zamanda, ITD Bilişim’in bilgi teknolojileri altyapısını kullanmakta olan tüm birimleri, üçüncü taraf olarak bilgi sistemlerine erişen kullanıcıları ve bilgi sistemlerine teknik destek sağlamakta olan hizmet, yazılım veya donanım sağlayıcılarını kapsamaktadır.
Yaptırım / Ceza
Bilgi güvenliği politika, prosedür ve talimatlarına uyulmaması halinde, kurum Personel Yönetmeliği gereğince aşağıdaki yaptırımlardan bir ya da birden fazla maddesini uygulayabilir:
- Uyarma,
- Kınama,
- Para cezası,
- Sözleşme feshi.
Sorumlular ITD Bilişim Bilgi sistemlerini kullanarak kurumsal bilgiye erişen tüm personel, misafir kullanıcılar, hizmet alınan firmalar, gizlilik sözleşmesinde yer alan sorumluluklarıı kabul eder ve imzalar.
Güncelleme
Bilgi Güvenliği Politikası, yılda en az bir defa veya gerektiğinde gözden geçirilir ve gerekli ise Yönetim Kurulu’nun onayı ile yeniden yayınlanır.
Ek olarak, gerek duyulduğunda gözden geçirme dönemi beklenmeden de politikada değişmesi gereken noktalar değerlendirilir ve bu doğrultuda politika güncellenir.
Ekler
ITD Bilişim Bilgi Güvenliği Politikası gereği aşağıda yer alan süreçler etkin bir şekilde işletilir.
- Kullanıcı Erişim ve Yetkilendirme Süreci
- Şifre Yönetimi ve Kullanımı Standardı
- Log Yönetimi Standardı
- E-posta Güvenliği Standardı
- Internet Kullanım Standardı
- Kullanıcı Bilgisayarları, Taşınabilir Aygıtlar, Telefon Sistemler ve Faks Kullanım Standardı
- Zararlı ve Lisansız Yazılımlara Karşı Koruma Standardı
- Yazılım Güvenliği Standardı
- Ağ Güvenliği Standardı
- Fiziksel ve Çevresel Güvenlik Standardı
- Yama Yönetimi Süreci
- Varlık Bazlı Risk Değerlendirme Süreci
- BT Sistem Geliştirme ve Bakım Süreci