BİLGİ GÜVENLİĞİ POLİTİKASI HİZMETE ÖZEL TÜBİTAK – BİLGEM – YTE 1 GİRİŞ 1.1 AMAÇ VE KAPSAM Bilgi Güvenliği Politikası, TÜBİTAK - BİLGEM – YTE Bilgi Güvenliği Yönetim Sistemi’nin hedeflerini ve ilkelerini tanımlayan, en üst seviyedeki prensiplerin belirtildiği dokümandır. 1.2 TANIMLAR VE KISALTMALAR Tanımlar Tanım Varlık İş süreçleri için değeri olan, kaybı halinde işlerin aksayacağı, insan, yazılım, donanım, itibar, bilgi gibi unsurların tümüdür. Gizlilik Bütünlük Bilginin sadece yetki verilen taraflarca, sadece yetkileri dâhilinde ulaşılabilmesi, yetkisiz taraflarca elde edilememesi, ulaşılamaması durumudur. Bilginin içeriğinin yetkisiz taraflarca değiştirilmemiş, güvenilir olması durumudur. Erişilebilirlik Bilginin yetki verilen taraflarca zamanında erişilebilir, hazır durumda olmasıdır. Bilgi Güvenliği Yönetim Bilgi güvenliğini sağlamak amacıyla kurulan, işletilen ve sürekli iyileştirilen risk Sistemi (BGYS) tabanlı yönetim sistemidir. Kısaltmalar Tanım BGYÖK Bilgi Güvenliği Yönetim Komitesi BGYS Bilgi Güvenliği Yönetim Sistemi BİLGEM TÜBİTAK - Bilişim ve Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi IEC ISO International Electrotechnical Commission / Uluslararası Elektroteknik Komisyonu International Organization For Standardization / Uluslararası Standardizasyon Teşkilatı TÜBİTAK Türkiye Bilimsel ve Teknolojik Araştırma Kurumu YTE BİLGEM - Yazılım Teknolojileri Araştırma Enstitüsü HİZMETE ÖZEL Rev.No: 49 Tarih: 19.01.2017 1/5 YTE-BGYS-PL-BilgiGuvenligiPolitikasi BİLGİ GÜVENLİĞİ POLİTİKASI HİZMETE ÖZEL TÜBİTAK – BİLGEM – YTE 1.3 SORUMLULUKLAR Roller Sorumluluk Tanımı Üst Yönetim Bu Politika’ya uyumluluğun sağlanmasından sorumludur. BGYÖK Bu Politika’nın gözden geçirilmesinden ve onaylanmasından sorumludur. BGYS Sorumlusu Bu Politika’nın hazırlanmasından, işletilmesinden ve güncel tutulmasından sorumludur. Proje/Birim Bu Politika’nın kendi Yöneticileri uyumluluğundan sorumludur. Kurum Bu Politika ve destekleyici alt dokümanlarda geçen kural ve sorumluluklara uymakla yükümlüdür. Çalışanları HİZMETE ÖZEL Rev.No: 49 Tarih: 19.01.2017 iş süreçlerinden 2/5 uygulanmasından ve birimlerinin Politika’ya YTE-BGYS-PL-BilgiGuvenligiPolitikasi BİLGİ GÜVENLİĞİ POLİTİKASI HİZMETE ÖZEL TÜBİTAK – BİLGEM – YTE 2 BİLGİ GÜVENLİĞİ POLİTİKASI BİLGİ GÜVENLİĞİ 2.1 Bilgi, diğer önemli ticari ve kurumsal varlıklar gibi, bir işletme ve kurum için değeri olan ve bu nedenle uygun olarak korunması gereken bir varlıktır. Bilgi güvenliği, bilgi varlıklarında ki kayıpları en aza indirmek ve iş sürekliliğini sağlamak için bilgiyi tehlike ve tehdit unsurlarından korur. Bilgi güvenliği, aşağıdaki bilgi niteliklerinin korunması olarak tanımlanır: Gizlilik, Bütünlük, Erişilebilirlik BİLGİ GÜVENLİĞİ POLİTİKASI İLKELERİ 2.2 Bu politika ile çerçevesi çizilen bilgi güvenliği gereksinimleri ve kurallarına ilişkin ayrıntılar, BGYS prosedürleri ile düzenlenir. Kurum çalışanları ve dış taraflar bu prosedürleri bilmek ve çalışmalarını bu kurallara uygun şekilde yürütmekle yükümlüdür. Bu ilkelerin, basılı veya elektronik ortamda depolanan ve işlenen tüm bilgiler ile bilgi sistemleri varlıklarının kullanımı için dikkate alınması esastır. Bilgi güvenliği gereksinimleri belirlenirken, müşteri beklentileri, iç ve dış faktörler, yasa ve sözleşmelerden kaynaklanan bilgi güvenliği hususları göz önünde bulundurulur. Kurum tarafından çalışanlara veya dış taraflara sunulan bilgi sistemleri varlıkları ile bu sistemler kullanılarak üretilen her türlü bilgi, belge ve ürün aksini gerektiren kanun hükümleri veya sözleşmeler bulunmadıkça kuruma aittir. Bilgi güvenliğinde ISO 27001:2013 standardına uygun risk yönetimi yaklaşımı uygulanır. Bu amaçla, bilgi güvenliği riskleri tespit edilir, risk sahipleri atanır, değerlendirilir ve yönetilir. Bilgi varlıkları envanteri, Bilgi Güvenliği Yönetim Sistemi gereksinimleri doğrultusunda oluşturulur, güncel tutulur. Bilgi varlıkları sınıflandırılır ve her sınıftaki verilerin güvenlik ihtiyaçları ve kullanım kuralları belirlenir. Sistem yönetimi, ağ yönetimi, bilgi güvenliği gibi faaliyetlerde “görevler ayrılığı” prensibine uygun davranılır. Erişim hakları ihtiyaç nispetinde atanır. Erişim kontrolü için mümkün olan en güvenli teknoloji ve teknikler kullanılır. Çalışanların bilgi güvenliği farkındalığını artıracak ve yönetim sisteminin işleyişine katkıda bulunmalarını sağlayacak eğitimler düzenlenir. Bilgi güvenliği olayları, ihlal ve zayıflıkları kayıt altına alınarak bu konuda kurum içi hafıza oluşturulur. Tespit edilen ihlal ve zayıflıklarla ilgili gerekli tedbirler alınıp yaptırımlar uygulanır. Proje yönetimi faaliyetlerinin her aşamasında bilgi güvenliği göz önünde bulundurulur. Kritik bilgi teknolojileri hizmetleri ve sistemleri belirlenerek bu hizmetlerin ve sistemlerin kesintisiz hizmet verebilmesi amacıyla gerekli önlemler alınır. İş Süreklilik Planları geliştirilir, tatbikat ve testler yapılır. HİZMETE ÖZEL Rev.No: 49 Tarih: 19.01.2017 3/5 YTE-BGYS-PL-BilgiGuvenligiPolitikasi BİLGİ GÜVENLİĞİ POLİTİKASI HİZMETE ÖZEL TÜBİTAK – BİLGEM – YTE Bilgi güvenliği tehditleri ve teknolojik uygulamalar konusunda dünyadaki gelişmeler takip edilir. Gerekli durumlarda ilgili çalışan ve dış taraflarla kurumun gizlilik ihtiyaçlarını güvence altına almayı amaçlayan gizlilik anlaşmaları yapılır. Dış taraflarla yapılacak ortak çalışmalarda güvenlik gereksinimleri analiz edilerek güvenlik şart ve kontrolleri şartname ve sözleşmelerde ifade edilir. Çalışan işe alım, görev değişikliği ve işten ayrılma süreçlerinde uygulanacak bilgi güvenliği kontrolleri belirlenir ve uygulanır. Güvenli alanlarda içinde saklanan varlıkların ihtiyaçlarına paralel fiziksel güvenlik kontrolleri uygulanır. Kuruma ait bilgi varlıkları için kurum içinde ve dışında maruz kalabilecekleri fiziksel tehditlere karşı gerekli kontrol ve politikalar geliştirilir ve uygulanır. Bilgi güvenliği yönetim sistemi; performans takibi, iç denetim ve yönetim gözden geçirme faaliyetleri ile sürekli iyileştirilir. Bilgi Güvenliği Yönetim Sistemi’nin kurulması, işletilmesi, sürdürülmesini sağlamak amacıyla organizasyon yapısı oluşturulur ve sorumluluklar atanır. 2.3 YAPTIRIM Politika ve prosedürlere uyulmadığının tespit edilmesi halinde, bu ihlalden sorumlu olan çalışan ya da dış taraf için geçerli olan disiplin esasları ve sözleşmelerde geçen ilgili maddelerde belirlenen yaptırımlar uygulanır. 2.4 YÖNETİMİN DESTEĞİ Enstitü Üst Yönetimi, Bilgi Güvenliği Yönetim Sistemi’nin bu politikada belirtilen hedeflere uygun olarak kurulması ve işletilmesi için tüm aşamalarda destek ve kaynak sağlayacağını, BGYS organizasyon yapısı için gerekli rol ve sorumlulukları atayacağını ve BGYS’yi sürekli iyileştireceğini taahhüt eder. Ayrıca Bilgi güvenliği politikasını ve politikaya uygunluğun önemini çalışanlara ve ilgili dış taraflara duyurur. Bu taahhüdün sonucu olarak, kurum genelinde bilgi güvenliği farkındalık programları düzenler, danışmanlık hizmetleri alır ve gerekli yatırımları sürdürür. Organizasyonun en üst kademesinden başlayarak uygulanan bilgi güvenliği anlayışı, kurumun tüm kademelerinde uygulanır. Bu sebeple kurum yöneticileri, gerek yazılı gerekse sözlü olarak bilgi güvenliği prosedürlerine uymaları, bilgi güvenliği ile ilgili çalışmalara katılmaları konusunda çalışanlarına yön gösterir ve destek olur. 2.5 BİLGİ GÜVENLİĞİ POLİTİKASI’NIN GÜNCELLENMESİ VE GÖZDEN GEÇİRİLMESİ Bilgi Güvenliği Politikası organizasyonel değişiklikler, iş şartları, teknolojik değişimler, yasal ve teknik düzenlemeler vb. nedenlerle günün koşullarına uyumluluk açısından değerlendirilir. Bilgi Güvenliği Politikası, yılda en az bir kez veya ihtiyaç duyulduğunda gözden geçirilir. Değişiklikler BGYÖK onayından sonra, tüm çalışanlara kurumsal süreç varlıklarında yayınlanarak duyurulur. Politika, yayınlandığı tarih itibariyle yürürlüğe girmiş olur. HİZMETE ÖZEL Rev.No: 49 Tarih: 19.01.2017 4/5 YTE-BGYS-PL-BilgiGuvenligiPolitikasi BİLGİ GÜVENLİĞİ POLİTİKASI HİZMETE ÖZEL TÜBİTAK – BİLGEM – YTE TÜBİTAK – BİLGEM – YTE HİZMETE ÖZEL Rev.No: 49 Tarih: 19.01.2017 5/5 YTE-BGYS-PL-BilgiGuvenligiPolitikasi