GÜV.02 EK1 — Bilgi Güvenliği Politikası (Örnek)

Güvenlik Yönetimi IT Standartları · Türkçe

Açıklama

Bu politika ile tüm şirket çalışanlarının uymakla yükümlü olduğu temel güvenlik prensipleri açıklanmaktadır. Aşağıdaki metin, GÜV.02 Bilgi Güvenliği Politikası standardına ek olarak sunulan örnek bir politika dokümanıdır.

Bilgi Sistemleri Kullanım Politikası

Bilgisayar Kullanım Politikası

  • Çalışanlar, kendilerine atanan bilgisayarlar dışında başkalarına ait bilgisayarları izin almadan kullanamazlar.
  • Şirketin temin ettiği bilgisayar ekipmanı değiştirilemez veya bunlara herhangi bir şekilde ekleme yapılamaz.
  • Kullanıcılar, işletim sistemi yapılanışını değiştiremez, mevcut işletim sistemlerinin versiyonunu yükseltemez veya yeni işletim sistemleri kuramaz.
  • Çalışanlar, izin almaksızın kişisel bilgisayarlarına izin verilen yazılımlar dışındaki yazılımları kuramazlar/kurduramazlar.
  • Kullanıcılar, bilgisayarlarına onay almadan sistem yöneticisi hakları ile bağlanamazlar.
  • Çalışanlar, bilgisayarlarında bulunan güvenlik yazılımlarının çalışırlığını ve güvenlik güncelleştirmelerinin düzenli yapıldığını kontrol eder.
  • Kullanıcıların, artık ihtiyaç duyulmayan bilgileri bilgisayarlarından silmeleri gerekmektedir.

İnternet Kullanım Politikası

  • Şirket personeli, görev tanımları ile ilgisi olmayan sohbet gruplarına, forumlara, elektronik haber gruplarına şirket e-posta adresini kullanarak katılamaz. Şirket e-posta hesabını kullandığı tüm iletişimlerde şirkete karşı sorumludur.
  • Yazılı olarak izin verilmedikçe port taraması veya güvenlik taraması yapılamaz.
  • Şirket ile ilgili bilgilerin izin olmaksızın internette yayınlanması yasaktır.
  • Kullanıcılar, sadece şirketin yetkili birimlerince onaylanmış zararlı kod tarayıcı programları, onaylanan ayarlar ile kullanır.
  • Şirketin internet kaynakları; ücretsiz veya ticari onaylanmamış hiçbir yazılımın dağıtılması, indirilmesi veya yüklenmesi için kullanılamaz.

E-posta Kullanım Politikası

  • Şirket e-posta kaynakları; "zincir e-postalar", reklam, aldatma, karalama gibi istenmeyen mesajlar (SPAM) göndermek için kullanılamaz.
  • Gelen e-postaları iletirken veya cevaplarken, içeriğinde veya başlığında sahtecilik yapılması yasaktır.
  • Kullanıcılar, sadece şirketin yetkili birimlerince onaylanmış e-posta yazılımlarını ve konfigürasyonlarını kullanabilirler.
  • E-posta yazılımının mevcut güvenlik ayarlarını gevşetecek ayarlamalar yapılamaz.
  • Kullanıcılar, gönderenin kimliğini gizleyerek e-posta gönderemez.
  • Kullanıcılar, e-posta yazılımının otomatik mesaj iletme özelliklerini kullanamazlar.
  • Şirketin e-posta sistemi; ücretsiz veya ticari hiçbir yazılımın alınması, gönderilmesi veya saklanması için kullanılamaz.
  • Tüm e-posta içerikleri ve eklentileri açılmadan önce zararlı kodlara ve virüslere karşı taramadan geçirilmelidir.
  • Güvenlik ve performans açısından e-posta eklenti boyutu en fazla 10 MB olmalıdır.
  • Kullanıcının e-posta kutusunun boyutu üzerinde kısıtlamalar uygulanmalıdır. E-posta kutusu belirli boyuta ulaştığında kullanıcı uyarılır ve e-posta alıp göndermesi engellenir.
  • E-postalar üzerinde exe, dll, bat, cmd, msi, scr, pif, vbs, vbe, js, jse, ps1, hta, jar, iso, img, svg ve makro içeren ofis dosyaları gibi çalıştırılabilir içerik taşıyabilen uzantılar için eklenti koruması aktif olmalıdır.
  • Kullanıcılar, gereksiz mesajları silmekle yükümlüdür.
  • Şirketle ilgili kritik verileri içeren e-posta mesajlarının, uygun şekilde yedeklenebilmesi için şirket sunucuları üzerinde saklanması gerekir.

Mobil Cihazlar Kullanım Politikası

  • Taşınabilir bilgi işleme cihazları, gözetimsiz bırakıldıklarında mutlaka fiziksel olarak güvenli bir yerde veya şekilde saklanmalıdır.
  • Şirket gizli bilgisi, taşınabilir bilgi işleme cihazlarında şifresiz olarak saklanamaz; şirket tarafından onaylanmış şifreleme yöntemleriyle korunmalıdır.
  • Şirket tarafından onaylanmış şifreleme ve iletim yöntemleri kullanılmadan şirket bilgisi, taşınabilir bilgi işleme cihazlarından veya bu cihazlara kablosuz olarak aktarılamaz.
  • Bilgi, zararlı yazılımlara karşı taramadan geçirilmeden şirket ağına aktarılamaz.
  • Taşınabilir bilgi işleme cihazlarının güvenliğini sağlamak için şifre/PIN kodu veya biyometrik kilit kullanılmalıdır.

Şifre Politikası

  • Kullanıcılar, tahmin edilmesi güç parolalar seçmelidirler.
  • Bilgisayar klavyesi üzerinde bulunan dört farklı gruptaki tuşlardan en az üç tanesi parolanın içerisinde karışık sırayla yer almalıdır. Bu dört grup:
    • Büyük harfler {A..Z}
    • Küçük harfler {a..z}
    • Sayılar {0..9}
    • Noktalama işaretleri {,;:!@#$%^&*...}
  • Kullanıcıların; doğum tarihi, ardışık rakam gibi kolay tahmin edilebilir parolalar oluşturması engellenmelidir.
  • Parolalar en az on iki (12) karakter uzunluğunda olmalıdır.
  • Parolalar, ele geçirildiğinden şüphelenildiği anda derhal değiştirilir; çok faktörlü kimlik doğrulama (MFA) uygulanmayan sistemlerde ek önlem olarak periyodik parola değişimi uygulanabilir.
  • Parolalar; erişim kontrol sistemi olmayan bilgisayarlarda veya yetkisiz kişiler tarafından keşfedilebilecekleri diğer yerlerde okunabilir şekilde depolanamaz.
  • Parolalar bir yere yazılmamalı ve yetkisiz kişiler tarafından keşfedilebilecekleri yerlerde bırakılmamalıdır.
  • Parolalar hiçbir zaman yetkili kullanıcı dışındaki kişilerle paylaşılmaz. Paylaşılması durumunda yetkili kişi, ilgili kullanıcının parolayı kullanarak yapacağı tüm faaliyetlerden mesul olacaktır. Kullanım süreci sonunda parola mutlaka sıfırlanmalı ve kullanıcı sadece kendi bildiği yeni bir parola belirlemelidir.

Fiziksel Güvenlik Politikası

Bina Güvenlik Politikası

  • Şirket ofisine giriş çıkışlar, kartlı giriş altyapısı veya parmak izi okuyucu sistem ile sağlanmalıdır.
  • Personel, giriş kartlarını görünür bir şekilde üzerlerinde taşımalıdır.
  • Kartını kaybeden ya da unutan personel, kontrol noktasında geçici kimlik kartı alır. Kimlik kartını getirdiğinde ya da yeni kimlik kartı çıkartıldığında bu geçici kimlik kartını teslim etmelidir.
  • Şirket çalışma ofisine gelen ziyaretçilerden kimlik alınır ve ziyaret kaydı girilir. Ziyaret edilen kişiye haber verilir ve ziyaretçi resepsiyonda bekletilir.
  • Ziyaretçilere giriş kartı verilmez; ziyaret edilen personel, ziyaretçinin ofis içerisindeki giriş çıkışlarına refakat eder. Şirket personeli, ziyaretçisinin içerideki erişimlerinden sorumludur.
  • Yabancıların, personelin açtığı kapılardan gizlice geçtiğini tespit eden personel; bu yabancıyı uyarmaktan ve resepsiyona yönlendirmekten sorumludur. Ziyaretçi uyarıları dikkate almazsa güvenlik durumdan haberdar edilmelidir.

Acil Durum Politikası

  • Bina içerisinde yangın sensörleri ve alarm sistemi vardır; acil çıkış kapılarını gösteren işaretler mevcuttur.
  • Acil durumlarda tüm şirket personeli, öncelikle kendisini ve ziyaretçilerini güvenli alanlara sevk etmekten sorumludur.
  • Şirket, sertifikalı bir ilk yardım ekibi bulundurur. Bu ekip, acil durumlarda profesyonel yardım ekipleri gelene kadar gerekli müdahaleyi yapar.

Sistem Odası Güvenlik Politikası

  • Sınırlı sayıda personele sürekli giriş yetkisi verilir ve biyometrik sistemde tanımlanır. Ziyaretçilerin sistem odasına girişi özel izne tabidir ve hiçbir şartla bu alanda yalnız bırakılmazlar.
  • Biyometrik sistemde tanımlı olmayan şirket personeli, yetkili personel eşliğinde sistem odasına girebilir ve hiçbir şartla bu alanda yalnız bırakılmaz.
  • Sistem odası giriş çıkışları güvenlik kameraları ile izlenmelidir.

Masa Üstü ve Ekran Güvenlik Politikası

  • Şirket personeli, açıkta bıraktığı gizli bilgiden ve bilgi varlıklarından sorumludur.
  • Gizli bilgilerin yetkisiz kişilerin eline geçmemesi için, böylesi bilgiler içeren belge ve ortamlar (bilgisayar, harici disk vs.) açıkta bırakılmaz.
  • Önemli belgeler ve dizüstü bilgisayarlar kilitli dolap ve çekmecelerde tutulur.
  • Bilgisayarlar, ekran başında bulunulmadığı zaman mutlaka kilitlenmelidir.
  • Telefonların sesli mesaj sistemleri ve yazıcılar için PIN özelliği mutlaka kullanılmalıdır.
  • Gizli bilgi içeren belgeler, artık tutulması gerekmiyorsa çöpe atılmaz; öğütücüde imha edilir.

← Tüm IT Standartları