Bilgi Güvenliği Politikası

image
image
image

Piramit Bilgisayar Bilgi Güvenliği Politikası

Şirketimizde üretilen bilgilerin yasal mevzuat ışığında ve risk metotları kullanılarak “gizlilik, bütünlük ve erişilebilirlik” ilkelerine göre yönetilmesi amacımızdır.
Bu amaçla ana politikamız aşağıdaki başlıklardan oluşur.

  • Bilgi Güvenliği Standartlarının gerekliliklerini yerine getirmek,
  • Bilgi Güvenliği ile ilgili yasal mevzuata ve diğer şartlara uyum sağlamak,
  • Risk kabul kriterlerini ve riskleri tespit etmek ve sistematik bir şekilde riskleri yönetmek,
  • Hizmet sürekliliğine yönelik bilgi güvenliği tehditlerinin etkisini azaltmak ve sürekliliğe katkıda bulunmak,
  • Gerçekleşebilecek bilgi güvenliği olaylarına hızla müdahale edebilecek ve olayın etkisini minimize edecek yetkinliğe sahip olmak,
  • Fiziki ve itibari etkin bir kontrol altyapısı ile bilgi güvenliği seviyesini zaman içinde korumak ve iyileştirmek,
  • Bilgi Güvenliği farkındalığını artırmak için, teknik ve davranışsal yetkinlikleri geliştirecek şekilde eğitimler gerçekleştirmek,
  • Firmamız üst yönetimi Bilgi Güvenliği ile ilgili uygulamaların gerçekleşmesini, gözden geçirilmesini ve sürekli iyileştirilmesini taahhüt eder.

  • 1 İÇ ORGANIZASYON

    • 1.1 Bilgi Güvenliği Rolleri ve Sorumlulukları

      Bilgi güvenliği ile ilgili kararların üst yönetime sunulmasından önce tüm birimlerde uygulanmasını kolaylaştırmak maksadıyla PİRAMİT BİLGİSAYAR Üst Yönetim tarafından Bilgi güvenliği kurulu oluşturulmuş ve “Bilgi Güvenliği Yöneticisi” atamıştır.

      Bilgi güvenliği kurulu ile birlikte Bilgi güvenliğinin iş sürekliliği hususları ve Bilgi güvenliği ihlal olayları hususlarının yönetimi içerisinde görev yapacak ekip ve üyelerde oluşturulmuş ve F-BG-11 Bilgi Güvenliği Kurul Listesi Formunda tanımlanmıştır. Tanımlanan görev ve sorumluluklara ait BGYS yeterlilik, yetkinlik kriterleri F-KY-15 Yeterlilik Formunda tanımlanmıştır.

    • 1.2 Bilgi güvenliği kurulu görev ve sorumlulukları

      • Bilgi Güvenliği Kurulu, en az yılda bir kez bir araya gelerek toplanır. Dönem içerisinde varsa ortaya çıkan ihlâl olayları, iş sürekliliği kesintileri, sistemin iyileştirilmesi yönünde teklifler, Uygunsuzluk ve düzeltici faaliyetler, değişiklikler ve alınması gereken ilave güvenlik tedbirleri konusunda birimlerin yapmış oldukları çalışmaları değerlendirerek sonuçlarını bilgi güvenliği yöneticisi ile birlikte üst yönetime raporlar.

      • Yönetimin gözden geçirme toplantısı öncesinde toplantının gündem maddelerine ait girdi ve çıktıları gözden geçirerek Bilgi güvenliği yöneticisi ile birlikte YGG raporunu hazırlar.

      • Bilgi güvenliği yönetim sistemi hakkında yürütülen çalışmaların tabana yayılması hususunda Bilgi güvenliği yöneticisinin yaptığı çalışmaları destekler ve bu çalışmaların yayılmasına öncülük eder.

      • Tüm çalışanların (Firma ve Tedarikçi çalışanları, yükleniciler ve danışmanlar) Bilgi güvenliği farkındalığının arttırılmasına yönelik planlanan çalışmaların etkinliğinin arttırılması için teşvik edici faaliyetleri destekler ve onaylar

      • Bilgi güvenliği Risk değerlendirme, Risk işleme metodları ve kontrollerin uygulanması konularında bilgi güvenliği yöneticisi ile birlikte onay vermek ve kapsam içi tüm birimlerde uygulanmasını sağlamak

      • Bilgi varlıklarına ait bilgi güvenliği risk değerlendirmesi sonucunda tespit edilen Risklerin Kabul edilebilir seviyeye düşürülmesine yönelik yapılacak faaliyetleri desteklemek ve bilgi güvenliği yöneticisi ile birlikte yönetim onayına sunmak.
    • 1.3 Bilgi Güvenliği Yöneticisi görev ve sorumlulukları

      • Güvenliğin geliştirilmesine ve gerçekleştirilmesine ilişkin sorumlulukların birimler arasında eşgüdümünü sağlar.

      • Yönetimin Gözden Geçirme verilerini (Girdi ve Çıktılar) YGG toplantısında üst yönetime sunar.

      • BGYS’nin sürdürülmesine, iyileştirilmesine, geliştirilmesine ve raporlanmasına ilişkin sorumlulukların birimler arasında eşgüdümünü sağlar

      • BGYS Etkinliğinin takibinin yapılması konusuna ilişkin sorumlulukların birimler arasında eşgüdümünü sağlar.

      • BGYS Amaçlarının gerçekleştirilmesine ilişkin sorumlulukların birimler arasında eşgüdümünü sağlar.

      • Çalışanların BGYS yetkinlikleri ile ilgili gerekli eğitim ve Farkındalık programlarının oluşturulması ile ilgili sorumlulukların diğer bölümler arası koordinasyonunu sağlar.

      • Bilgi varlıklarının maruz kaldığı tehditlerle ilgili değişiklikleri gözlemler ve gerekli önlemlerin alınmasını sağlar.

      • Bilgi güvenliği ihlal ve zayıflıklarını gözden geçirir ve izler. Bilgi güvenliğini arttırmak için öncelikleri gözden geçirir, kaynakları tespit eder, kaynakların sağlanması için üst yönetime rapor sunar.

      • İş sürekliliği planları ile test planlarının oluşturulması ve uygulanması ile ilgili sorumlulukların diğer bölümler arası eş güdümünü sağlar.

      • Varlık envanterinin oluşturulması, değiştirilmesi, silinmesi ile varlıkların ve varlıklara ait varlık değerlendirmesi, risklerin değerlerinin atanması, değiştirilmesi, silinmesi konusunda tam yetkilidir.

      • İş Sürekliliğinde meydana gelen kesintilerin giderilmesi için yapılacak faaliyetlerde F-BG-11 Bilgi Güvenliği Kurul Listesi Formunda yer alan Acil Müdahale Ekibini koordine eder.

      • Bilgi güvenliği ihlal olaylarının değerlendirilmesini Acil Müdahale Ekibi ile birlikte yapar.
    • 1.4 Bilgi Güvenliği Kurulu Üyesi görev ve sorumlulukları

      • Bilgi güvenliği kurulu toplantılarından önce kendi sorumluluk alanındaki dönem içerisinde varsa ortaya çıkan ihlâl olayları, sistemin iyileştirilmesi yönünde teklifler, uygunsuzluk ve düzeltici faaliyetler, değişiklikler ve alınması gereken ilave güvenlik tedbirleri konusunda çalışma yaparak, kurul toplantıları öncesinde Bilgi Güvenliği Yöneticisine raporlanmasından sorumludur.

      • Yönetimin Gözden Geçirme Toplantılarının gündem maddelerine ait girdi ve çıktıları ile ilgili bölümü adına gereken bilgileri hazırlamak ve toplantı öncesinde Bilgi Güvenliği Yöneticisine sunmakla sorumludur.

      • Kendi bölümündeki varlık envanterinin güncelliğinin sağlanması ve varlık değerlendirmelerinin yapılmasından sorumludur.

      • Kendi birimindeki bilgi varlıklarına ait risk değerlendirme çalışmalarının yapılmasından sorumludur.

      • Kendi birimindeki bilgi varlıklarına ait Risk İşleme faaliyetlerinin planlanmasından ve yapılmasından ve/veya yaptırılmasından Risk sahibi olarak sorumludur.

      • Kendi bölümünü adına bilgi etiketlemesi konusunda belirlenen bilgi sınıflandırması düzeylerine ve kurallarına göre bölüme ait bilgi varlıklarının etiketlenmesi konusunda sorumludur.

      • Üçüncü Taraf Belgelendirme denetimlerinde ve İç tetkikler de bölümü adına tespit edilen Uygunsuzlukların ve İyileştirmeye açık noktaların kapatılmasını sağlar.

      • Kendi iş kolu için gereksinimleri karşılamak üzere PİRAMİT BİLGİSAYAR için geçerli olan tüm yasal mevzuatı tespit etmekten ve güncelliğini sağlamaktan sorumludur.

      • Kendi sorumluluk alanlarında bulunan, bilgi işleme ve prosedürlerin, uygun güvenlik politikaları, standartları ve diğer güvenlik gereksinimleri ile uyumunu düzenli bir şekilde gözden geçirmekle sorumludur.
    • 1.5 Bilgi Güvenliği Acil Müdahale Ekibi rol ve sorumlulukları

      • Meydana gelen Bilgi Güvenliği İhlal Olayları ve İş Sürekliliği Planlarının test edilmesi ile İş Sürekliliğinde meydana gelebilecek kesinti ve sorunlarda Bilgi güvenliği yöneticisi ile birlikte gerekli faaliyetlerin başlatılmasından, takibinin yapılmasından ve kapatılmasından sorumludur.

      • Yönetimin gözden geçirme toplantısı öncesinde Bilgi güvenliği ihlal olayları ve İş sürekliliğinin bilgi güvenliği hususları ile ilgili çalışma yapar ve Bilgi güvenliği yöneticisine raporlar.
    • 1.6 BGYS Sorumlusu rol ve sorumlulukları

      • Kendi bölümündeki varlıkların eklenmesi, çıkarılması ve varlık değerlendirmelerinin yapılması ile varlıklara ait risk değerlendirme ve risk işleme çalışmalarının yapılması konularında varlık sahibi ile birlikte yetkili ve sorumludur.

      • BGYS’nin uygunluğunun iç ve dış taraflarca (İç Denetim, Üçüncü Taraf Belgelendirme denetimleri) denetimi aşamalarında bölümü adına süreçlere kılavuzluk sağlar. Tespit edilen uygunsuzlukların ve iyileştirmeye açık alanların giderilmesi ile ilgili bölüm yöneticisinin kendisine vereceği görevleri yerine getirir.

      • PİRAMİT BİLGİSAYARiçin geçerli olan tüm yasal mevzuatın tespit edilmesi ve güncelliğinin sağlanması konularında bölüm yöneticisinin kendisine vereceği görevleri yerine getirir.

      • Birimi adına, bilgi işleme ve prosedürlerin/talimatları, uygun güvenlik politikaları, standartları ve diğer güvenlik gereksinimleri ile uyumunun takibi ile ilgili konularda bölüm yöneticisinin kendisine vereceği görevleri yerine getirir.

      • Birimi adına, bilgi etiketlemesi konusunda belirlenen bilgi sınıflandırması düzeylerine ve kurallarına göre bilgi varlıklarının etiketlenmesi konularında bölüm yöneticisinin kendisine vereceği görevleri yerine getirir.
    • 1.7 Çalışan BGYS rol ve sorumlulukları

      • BGYS politikasını bilmek ve gerekliliklerini yerine getirmek.

      • BGYS prosedürlerine ve talimatlarına uygun hareket etmek.

      • “Bilmesi Gereken” prensibine ve “Temiz Ekran Temiz Masa” prensibine göre hareket etmek.
    • BGYS rol ve sorumlulukları görevlerin ayrılığı ilkeleri göz önüne alınarak düzenlenmektedir ve yönetilmektedir. F-BG-15 Varlık Envanteri ve Risk Değerlendirme Formu kapsam dâhilindeki varlıkların sahipleri belirlenmiştir ve varlık sahipleri varlıkların güvenliğinden tümüyle sorumludurlar

      Varlık sahibi, varlıkların ve varlıklara ait risklerin değerlerinin atanması ve değiştirilmesini BGYS sorumlusu ile birlikte yapabilmektedir. Artık risklerin kabulü Üst Yönetim sorumluluğundadır.
      PİRAMİT BİLGİSAYAR Bilgi varlıklarının korunmasına yönelik yöntem ve sorumlulukları; Varlık Yönetimi Talimatı (transferi, saklanması, depolanması, silinmesi ve imhası ile varlıkların kabul edilebilir kullanım kuralları), Personel Gizlilik Sözleşmelerinde ve Üçüncü Taraf Gizlilik Sözleşmelerinde tanımlamış ve uygulamaktadır.

      Bilgi işleme (PİRAMİT BİLGİSAYARkendisine ait bilgiler), işlenmiş bilgiyi aktarma ve/veya taşıma hizmetleri dış kaynaklı yürütüldüğünde, bilgi güvenliğini korumak için gerekli önlemler işletim esasları ve Üçüncü Taraf sözleşmeleri aracılığıyla alınır. Bilgi ve bilgi işleme merkezlerine erişimler yetkilendirilmiştir. Yetkilendirme işlemleri görevlerin ayrılığı ilkesi göz önünde bulundurularak yönetilmektedir.

  • 2 GÖREVLER AYRILIĞI

    Görevler ayrılığı ilkesi, grup firmaları arasında çalışan personelin diğer firmalarda ki görev ve sorumlulukların kapsamını belirler. Yetkilendirme veya tespit etme imkânı olmadan varlıklara erişim, güncelleme veya kullanmasına müsaade edilmeyen ve varlıkların yanlışlıkla ya da kasıtlı olarak yanlış kullanımını önlemeyi hedefleyen şekilde erişim hakları (Dosya, klasör, sistem ve uygulamalara giriş-çıkış hakları) yönetimi ile uygulanmaktadır.
    Görevler ayrılığının uygulanmasının mümkün olmadığı (personel yetersizliği) durumlarda ise varlıklara olan tüm erişimler izlenmekte ve kayıt (loglar vb.) altına alınmaktadır. Görevler ayrılığı ilkesine bağlı olarak bilgi varlıklarına erişim ile ilgili ön tanımlı yetkilendirme seviyeleri F-BG-08 Görevler Ayrılığı Formu’ nda, tanımlanmıştır.
    Yetkilendirme seviyesi ne olursa olsun, Firma ya da Tedarikçi Çalışanı ve/veya Üçüncü Taraflar bilmesi gereken prensibine göre hareket etmekle sorumludur.

    • 2.1 Otoritelerle İletişim

      PİRAMİT BİLGİSAYAR, ne zaman ve hangi otoritelerle (örneğin; yasa düzenleyici kurumlar, denetim otoriteleri) temas kurulacağını F-KY-16 İlgili Taraf Beklentiler ve İletişim Formu’ nda tanımlamıştır.

    • 2.2 Özel İlgi Grupları ile İletişim

      PİRAMİT BİLGİSAYAR özel ilgi grupları veya diğer uzman güvenlik forumları ve profosyonel dernekler ile ilgili nasıl ve kiminle iletişim kurulacağını F-KY-16 İlgili Taraf Beklentiler ve İletişim Formu’ nda tanımlamıştır.

    • 2.3 Proje Yönetiminde Bilgi Güvenliği

      Yürütülen tüm projelerde Bilgi Güvenliği hususlarını göz önünde bulundurmaktadır. Projelerde gerekli kontrolleri belirlemek için projenin ilk safhalarında bilgi güvenliği risk belirlemesi ve değerlendirilmesi F-BG-07 Proje Yönetiminde Bilgi Güvenliği Değerlendirme Formu ile yapılmakta ve bilgi güvenliği, uygulanan proje metodolojisinin tüm safhalarında dikkate alınmaktadır.

      Projenin başlangıç, planlama, uygulama, izleme ve kapanış aşamalarında bilgi güvenliği ile ilgili riskler değerlendirilir.

      Bilgi Teknolojileri Sistem, Ağ altyapı ve bilgi güvenliği ile ilgili aşağıdaki hususlar dikkate alınmaktadır;

      • Son kullanıcılara açılacak yeni ara yüzler, kaynak kod, protokol değişiklikleri,
      • Kimlik doğrulama mekanizmasındaki değişiklikler,
      • Yeni sistem/sunucu kurulumu,
      • Sunucu lokasyon/segment değişiklikleri,
      • Network alt yapısı değişiklikleri,
      • Kurumun aldığı kritik hizmetlerde ki değişiklikler, yenilemeler, vb. (müşteri, lokasyon, uygulama)
      • IP kısıtlama, izin verme işlemleri,
      • Fiziksel ve çevresel güvenlik sistemlerindeki değişiklikler, (Kamera)
      • Bilgi sistemleri güvenlik ürünleri (firewall, anti-virüs, anti-spam, IPSec, vb.) kurulumu ve değişiklikleri,