1 giriş - yazılım teknolojileri araştırma enstitüsü

advertisement
BİLGİ GÜVENLİĞİ POLİTİKASI
HİZMETE ÖZEL
TÜBİTAK – BİLGEM – YTE
1
GİRİŞ
1.1
AMAÇ VE KAPSAM
Bilgi Güvenliği Politikası, TÜBİTAK - BİLGEM – YTE Bilgi Güvenliği Yönetim Sistemi’nin hedeflerini ve ilkelerini
tanımlayan, en üst seviyedeki prensiplerin belirtildiği dokümandır.
1.2
TANIMLAR VE KISALTMALAR
Tanımlar
Tanım
Varlık
İş süreçleri için değeri olan, kaybı halinde işlerin aksayacağı, insan, yazılım,
donanım, itibar, bilgi gibi unsurların tümüdür.
Gizlilik
Bütünlük
Bilginin sadece yetki verilen taraflarca, sadece yetkileri dâhilinde ulaşılabilmesi,
yetkisiz taraflarca elde edilememesi, ulaşılamaması durumudur.
Bilginin içeriğinin yetkisiz taraflarca değiştirilmemiş, güvenilir olması
durumudur.
Erişilebilirlik
Bilginin yetki verilen taraflarca zamanında erişilebilir, hazır durumda olmasıdır.
Bilgi Güvenliği Yönetim
Bilgi güvenliğini sağlamak amacıyla kurulan, işletilen ve sürekli iyileştirilen risk
Sistemi (BGYS)
tabanlı yönetim sistemidir.
Kısaltmalar
Tanım
BGYÖK
Bilgi Güvenliği Yönetim Komitesi
BGYS
Bilgi Güvenliği Yönetim Sistemi
BİLGEM
TÜBİTAK - Bilişim ve Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi
IEC
ISO
International Electrotechnical Commission / Uluslararası Elektroteknik
Komisyonu
International Organization For Standardization / Uluslararası Standardizasyon
Teşkilatı
TÜBİTAK
Türkiye Bilimsel ve Teknolojik Araştırma Kurumu
YTE
BİLGEM - Yazılım Teknolojileri Araştırma Enstitüsü
HİZMETE ÖZEL
Rev.No: 49
Tarih: 19.01.2017
1/5
YTE-BGYS-PL-BilgiGuvenligiPolitikasi
BİLGİ GÜVENLİĞİ POLİTİKASI
HİZMETE ÖZEL
TÜBİTAK – BİLGEM – YTE
1.3
SORUMLULUKLAR
Roller
Sorumluluk Tanımı
Üst Yönetim
Bu Politika’ya uyumluluğun sağlanmasından sorumludur.
BGYÖK
Bu Politika’nın gözden geçirilmesinden ve onaylanmasından sorumludur.
BGYS
Sorumlusu
Bu Politika’nın hazırlanmasından, işletilmesinden ve güncel tutulmasından sorumludur.
Proje/Birim
Bu Politika’nın kendi
Yöneticileri
uyumluluğundan sorumludur.
Kurum
Bu Politika ve destekleyici alt dokümanlarda geçen kural ve sorumluluklara uymakla
yükümlüdür.
Çalışanları
HİZMETE ÖZEL
Rev.No: 49
Tarih: 19.01.2017
iş
süreçlerinden
2/5
uygulanmasından
ve
birimlerinin
Politika’ya
YTE-BGYS-PL-BilgiGuvenligiPolitikasi
BİLGİ GÜVENLİĞİ POLİTİKASI
HİZMETE ÖZEL
TÜBİTAK – BİLGEM – YTE
2
BİLGİ GÜVENLİĞİ POLİTİKASI
BİLGİ GÜVENLİĞİ
2.1
Bilgi, diğer önemli ticari ve kurumsal varlıklar gibi, bir işletme ve kurum için değeri olan ve bu nedenle uygun olarak
korunması gereken bir varlıktır. Bilgi güvenliği, bilgi varlıklarında ki kayıpları en aza indirmek ve iş sürekliliğini
sağlamak için bilgiyi tehlike ve tehdit unsurlarından korur.
Bilgi güvenliği, aşağıdaki bilgi niteliklerinin korunması olarak tanımlanır:

Gizlilik,

Bütünlük,

Erişilebilirlik
BİLGİ GÜVENLİĞİ POLİTİKASI İLKELERİ
2.2

Bu politika ile çerçevesi çizilen bilgi güvenliği gereksinimleri ve kurallarına ilişkin ayrıntılar, BGYS
prosedürleri ile düzenlenir. Kurum çalışanları ve dış taraflar bu prosedürleri bilmek ve çalışmalarını bu
kurallara uygun şekilde yürütmekle yükümlüdür.

Bu ilkelerin, basılı veya elektronik ortamda depolanan ve işlenen tüm bilgiler ile bilgi sistemleri
varlıklarının kullanımı için dikkate alınması esastır.

Bilgi güvenliği gereksinimleri belirlenirken, müşteri beklentileri, iç ve dış faktörler, yasa ve sözleşmelerden
kaynaklanan bilgi güvenliği hususları göz önünde bulundurulur.

Kurum tarafından çalışanlara veya dış taraflara sunulan bilgi sistemleri varlıkları ile bu sistemler
kullanılarak üretilen her türlü bilgi, belge ve ürün aksini gerektiren kanun hükümleri veya sözleşmeler
bulunmadıkça kuruma aittir.

Bilgi güvenliğinde ISO 27001:2013 standardına uygun risk yönetimi yaklaşımı uygulanır. Bu amaçla, bilgi
güvenliği riskleri tespit edilir, risk sahipleri atanır, değerlendirilir ve yönetilir.

Bilgi varlıkları envanteri, Bilgi Güvenliği Yönetim Sistemi gereksinimleri doğrultusunda oluşturulur, güncel
tutulur.

Bilgi varlıkları sınıflandırılır ve her sınıftaki verilerin güvenlik ihtiyaçları ve kullanım kuralları belirlenir.

Sistem yönetimi, ağ yönetimi, bilgi güvenliği gibi faaliyetlerde “görevler ayrılığı” prensibine uygun
davranılır.

Erişim hakları ihtiyaç nispetinde atanır. Erişim kontrolü için mümkün olan en güvenli teknoloji ve teknikler
kullanılır.

Çalışanların bilgi güvenliği farkındalığını artıracak ve yönetim sisteminin işleyişine katkıda bulunmalarını
sağlayacak eğitimler düzenlenir.

Bilgi güvenliği olayları, ihlal ve zayıflıkları kayıt altına alınarak bu konuda kurum içi hafıza oluşturulur.
Tespit edilen ihlal ve zayıflıklarla ilgili gerekli tedbirler alınıp yaptırımlar uygulanır.

Proje yönetimi faaliyetlerinin her aşamasında bilgi güvenliği göz önünde bulundurulur.

Kritik bilgi teknolojileri hizmetleri ve sistemleri belirlenerek bu hizmetlerin ve sistemlerin kesintisiz hizmet
verebilmesi amacıyla gerekli önlemler alınır. İş Süreklilik Planları geliştirilir, tatbikat ve testler yapılır.
HİZMETE ÖZEL
Rev.No: 49
Tarih: 19.01.2017
3/5
YTE-BGYS-PL-BilgiGuvenligiPolitikasi
BİLGİ GÜVENLİĞİ POLİTİKASI
HİZMETE ÖZEL
TÜBİTAK – BİLGEM – YTE

Bilgi güvenliği tehditleri ve teknolojik uygulamalar konusunda dünyadaki gelişmeler takip edilir.

Gerekli durumlarda ilgili çalışan ve dış taraflarla kurumun gizlilik ihtiyaçlarını güvence altına almayı
amaçlayan gizlilik anlaşmaları yapılır.

Dış taraflarla yapılacak ortak çalışmalarda güvenlik gereksinimleri analiz edilerek güvenlik şart ve
kontrolleri şartname ve sözleşmelerde ifade edilir.

Çalışan işe alım, görev değişikliği ve işten ayrılma süreçlerinde uygulanacak bilgi güvenliği kontrolleri
belirlenir ve uygulanır.

Güvenli alanlarda içinde saklanan varlıkların ihtiyaçlarına paralel fiziksel güvenlik kontrolleri uygulanır.

Kuruma ait bilgi varlıkları için kurum içinde ve dışında maruz kalabilecekleri fiziksel tehditlere karşı gerekli
kontrol ve politikalar geliştirilir ve uygulanır.

Bilgi güvenliği yönetim sistemi; performans takibi, iç denetim ve yönetim gözden geçirme faaliyetleri ile
sürekli iyileştirilir.

Bilgi
Güvenliği
Yönetim
Sistemi’nin
kurulması,
işletilmesi,
sürdürülmesini
sağlamak
amacıyla
organizasyon yapısı oluşturulur ve sorumluluklar atanır.
2.3
YAPTIRIM
Politika ve prosedürlere uyulmadığının tespit edilmesi halinde, bu ihlalden sorumlu olan çalışan ya da dış taraf
için geçerli olan disiplin esasları ve sözleşmelerde geçen ilgili maddelerde belirlenen yaptırımlar uygulanır.
2.4
YÖNETİMİN DESTEĞİ
Enstitü Üst Yönetimi, Bilgi Güvenliği Yönetim Sistemi’nin bu politikada belirtilen hedeflere uygun olarak kurulması
ve işletilmesi için tüm aşamalarda destek ve kaynak sağlayacağını, BGYS organizasyon yapısı için gerekli rol ve
sorumlulukları atayacağını ve BGYS’yi sürekli iyileştireceğini taahhüt eder. Ayrıca Bilgi güvenliği politikasını ve
politikaya uygunluğun önemini çalışanlara ve ilgili dış taraflara duyurur. Bu taahhüdün sonucu olarak, kurum
genelinde bilgi güvenliği farkındalık programları düzenler, danışmanlık hizmetleri alır ve gerekli yatırımları
sürdürür.
Organizasyonun en üst kademesinden başlayarak uygulanan bilgi güvenliği anlayışı, kurumun tüm kademelerinde
uygulanır. Bu sebeple kurum yöneticileri, gerek yazılı gerekse sözlü olarak bilgi güvenliği prosedürlerine uymaları,
bilgi güvenliği ile ilgili çalışmalara katılmaları konusunda çalışanlarına yön gösterir ve destek olur.
2.5
BİLGİ GÜVENLİĞİ POLİTİKASI’NIN GÜNCELLENMESİ VE GÖZDEN GEÇİRİLMESİ
Bilgi Güvenliği Politikası organizasyonel değişiklikler, iş şartları, teknolojik değişimler, yasal ve teknik düzenlemeler
vb. nedenlerle günün koşullarına uyumluluk açısından değerlendirilir.
Bilgi Güvenliği Politikası, yılda en az bir kez veya ihtiyaç duyulduğunda gözden geçirilir. Değişiklikler BGYÖK
onayından sonra, tüm çalışanlara kurumsal süreç varlıklarında yayınlanarak duyurulur. Politika, yayınlandığı tarih
itibariyle yürürlüğe girmiş olur.
HİZMETE ÖZEL
Rev.No: 49
Tarih: 19.01.2017
4/5
YTE-BGYS-PL-BilgiGuvenligiPolitikasi
BİLGİ GÜVENLİĞİ POLİTİKASI
HİZMETE ÖZEL
TÜBİTAK – BİLGEM – YTE
TÜBİTAK – BİLGEM – YTE
HİZMETE ÖZEL
Rev.No: 49
Tarih: 19.01.2017
5/5
YTE-BGYS-PL-BilgiGuvenligiPolitikasi
Download