GÜV.05 — Fiziksel Güvenlik Standartları
Açıklama
Şirketin çalışma ofisleri ve masaları için sağlanması gereken fiziksel güvenlik standartları bu dokümanda tanımlanmıştır. Bu doküman, Bilgi Teknolojileri ile ilgili olarak uygulanması zorunlu olan minimum kriterleri belirler.
Standartlar
- Çalışma ofisi bir kampüs içerisinde yer alıyorsa kampüs girişinde, kampüs içerisinde yer almıyorsa bina girişinde bir güvenlik kontrol noktası yer alır.
- Güvenlik kontrol noktasında, mesai saatleri süresince en az bir güvenlik görevlisi yer alır.
- Güvenlik kontrol noktasında misafirlere ait bir kimlik alınarak ziyaretçi kartları verilir.
- Güvenlik kontrol noktasında misafirlerin üzeri ve çantaları, silah vb. tehlikeli araç bulundurup bulundurmadıklarını anlamak üzere aranır.
- Güvenlik kontrol noktasında misafirler; isimleri, çalıştıkları şirket, ziyaret ettikleri tarih ve saat bilgisi ile birlikte kaydedilir. Güvenlik kontrol noktasında, ziyaretçilerin yüzlerini gösterecek şekilde konumlandırılmış ve en az 1 ay süre ile kayıt tutan bir güvenlik kamerası yer alır.
- Misafirlerin ziyaret etmek istedikleri kişiler aranarak teyit alınır.
- Bilgi Teknolojileri birimleri ofislerinin şirket içindeki lokasyonu göz önüne alınarak, mevcut fiziksel erişim kontrolleri yeterli değilse ilave fiziksel erişim kontrolleri (ör. kartla giriş) devreye alınır.
- Çalışma ofisinde sunucu ve benzeri kritik BT ekipmanları bulundurulmaz; bu tür ekipmanlar, sistem odası gibi güvenlik kontrolleri daha yüksek olan alanlarda tutulur.
- Şifreler kimseyle paylaşılmaz; yazılı olarak masa üstü ve bilgisayar ekranı gibi herhangi bir yerde bulundurulmaz.
- Çalışma ofislerinde kâğıt öğütücü yer alır.
- Çalışma ofislerinde yangın söndürme sistemleri veya yangın söndürme tüpleri ve bunların kullanım talimatları yer alır. Yangın söndürme tüplerinin yeri ve acil çıkış noktaları dikkat çekecek şekilde işaretlenir.
- Acil çıkış noktaları, her zaman kimlik doğrulama veya kilit olmaksızın sadece içeriden açılabilir durumda olur; fakat kullanıldıkları takdirde bir alarm üretir.
- Çalışanlar, çalışma ofisleri içerisindeki ziyaretçilerine refakat eder; ziyaretçilerini, kendilerine verilmiş olan ziyaretçi kartlarını üzerlerinde taşımaları konusunda uyarır.
- Çalışma ortamından ayrılırken bilgisayar oturumları kilitlenerek yetkisiz erişimler engellenir.
- Çalışma ortamından ayrılırken hassas bilgiler içeren basılı belgeler açıkta bırakılmaz.
- Toplantı sonrasında toplantı odalarında doküman bırakılmaz, kullanılan tahta silinir, kullanılan flip chart vb. araçlardaki bilgiler imha edilir.
- Kullanıcı oturumları, inaktivite durumunda en geç 10 dakika süre sonunda kilitlenir. Bilgisayar ekranlarının da bu süre sonunda kararması ya da ekran koruyucunun devreye girmesi sağlanır.
- Bilgi teknolojileri ekipmanları, gerekli görüldüğü durumlarda sigortalanır.
- Basılı ve elektronik tüm bilgi varlıkları, şirket veri sınıflandırması standartlarına göre kullanılır ve yönetilir. (Bkz. KBM.02 Veri Sınıflandırması)
- Her türlü haberleşmede kullanılan cihazlar (telefon, yazıcı, tarayıcı, çok fonksiyonlu fotokopi makineleri vb.) yetkisiz erişimlere açık bir şekilde konumlandırılmaz; bu cihazlar üzerinde bilgi ve belge bırakılmaz.
- Hassas/gizli bilgilerle çalışılırken yazıcı çıktısı ve monitör ekranları, bu bilgilerin tesadüfen görülmesini engelleyecek şekilde korunur.
- Hassas/gizli bilgiler görüşülürken yetkisiz kişilerin konuşmaları duyamayacağından emin olunur.
- Dizüstü bilgisayarların çalınma riskine karşı, bu bilgisayarlardaki bilgiler disk şifreleme altyapısı ile koruma altına alınmalıdır.
İyi Uygulama Örnekleri
- Çalışma ofislerinde yer alan ve ortak kullanıma sunulmuş yazıcı, tarayıcı vb. cihazlar; kullanıcıların kimlik doğrulayarak çıktı almalarına imkân sağlayabilir.
- 3. maddede ziyaretçilerden, resmi olarak geçerliliği olan (nüfus cüzdanı, sürücü belgesi, pasaport vb.) bir kimlik alınmalıdır.
- 4. maddedeki arama; X-ray cihazı ve diğer manyetik arama araçları ile gerçekleştirilmelidir.