Bilgi Güvenliği Politikası

Bu politika şirket içerisinde e-posta altyapısına yönelik kuralları içermektedir. Kurum içerisinde kullanılan e-posta hesapları kurum kimliği taşımaktadır. Kurum bünyesinde oluşturulan e-posta hesaplarının tüm personeller için doğru kullanımını kapsamaktadır. E-Postlara şirket içi belirtilen kurallar ve düzenlemeler doğrultusunda kullanılmalıdır.

Bu politikanın amacı güçlü bir şifreleme oluşturulması, oluşturulan şifrenin korunması ve şifrenin değiştirilme sıklığı hakkında standartlar oluşturulmasıdır. Şifreler Bilgi Teknolojisi (BT) birimi tarafından oluşturulan kurallara göre oluşturulacak ve kullanılacaktır.

Bu politika kurum içindeki tüm PC tabanlı bütün bilgisayarları kapsamaktadır. Bunlar tüm masaüstü ve dizüstü bilgisayar ve sunuculardır.

• Anti virüs yazılımının sürekli olarak çalışır durumda olmasından ve güncellenmesinden Bilgi Sistemleri Yöneticileri sorumludur.
• Tüm bilgisayarlar ve sunucularda standart ve tek anti-virüs yazılımı yüklüdür.
• Güncellemeleri otomatik olarak kullanıcı müdahalesi olmadan merkezi sunucu üzerinden yapılmaktadır.
• Virüs bulaşan bilgisayar tam olarak temizlenmeden ağa eklenmez.

Bu politikanın amacı internet kullanıcılarının güvenli internet erişimi için gerekli olan kuralları kapsamaktadır. İnternet erişim politikası BT tarafından yayınlanmakta ve kullanıcılara aktarılmaktadır.

Bu politikanın amacı kurum bünyesindeki sunucuların temel güvenlik konfigürasyonlarının nasıl olması gerektiğini belirtir. Bu temel güvenlik konfigürasyonların yapılmasından ve işletilmesinden Bilgi Sistemleri sistem yöneticisi sorumludur.

Bu politika kurumun ağındaki yönlendirici (router) ve anahtarların (switch) sahip olması gereken minimum güvenlik konfigürasyonlarını tanımlamaktadır.

• Bilgisayar ağında bulunan tüm cihazların ip'leri ve mac adresleri aktif cihaz listesinde yer almaktadır.
• Yönlendirici ve anahtarlarda enable şifresi kodlanmış şekilde saklanmaktadır.
• Yönlendirici giriş portuna gelen IP adresleri kullanıcı şifresi ile kabul edilir.
• Yönlendirici ve anahtarlarda çalışan güvenli web servislerine erişim sadece Bilgi Sistemleri çalışanlarına verilmektedir.

Ağ yönetim politikası, ağın güvenliği ve sürekliliğini karşılayan kuralları belirlemekte, standartlaştırılmasını amaçlamaktadır.

• Bilgisayar ağlarının ve bağlı sistemlerinin iş sürekliliğini sağlamak için yedeklilik sağlanmaktadır.
• Ağ üzerinde kullanıcının erişebileceği servisler kısıtlanmaktadır.
• Sınırsız ağ dolaşımı engellenmiştir.
• İzin verilen kaynak ve hedef ağlar arası iletişimi aktif olarak kontrol eden teknik önlemler alınmıştır (Firewall vb.).

Bu politikanın amacı herhangi bir yerden kurumun bilgisayar ağına erişilmesine ilişkin standartları saptamaktır. Bu standartlar yetkisiz kullanımdan dolayı kuruma gelebilecek potansiyel zararları en aza indirmek için tasarlanmış olup, uzaktan erişimin güvenli şekilde gerçekleşmesini amaçlamaktadır.

Bu politika kurum bünyesinde kullanılabilecek bütün kablosuz haberleşme cihazlarını (dizüstü bilgisayar, akıllı cep telefonları, PDA, tablet vs.) kapsamaktadır. Kablosuz cihazların gerekli güvenlik tedbirleri alınmaksızın kurumun bilgisayar ağına erişimini engellemeyi amaçlamaktadır.

Bilgi güvenliği ve iş sürekliliğiyle ilgili standartlar belirlenmektedir.

Bu politika kurumun bilgi sistemlerine erişimde kimlik doğrulaması ve yetkilendirme politikalarını tanımlamaktadır. Bilgi sistemlerine erişen kurum çalışanları ve kurum dışı kullanıcılar bu politika kapsamındadır.

• Kurum sistemlerine erişebilecek kurumdaki kullanıcıların ve kurum sistemlerine erişmesi gereken diğer firma kullanıcılarının hangi sistemlere, hangi kimlik doğrulama yönetimi ile erişebileceğini tanımlamaktadır.
• Gerekli minimum yetkinin verilmesi prensibi benimsenmektedir.
• Erişim ve yetki seviyeleri belirli periyotlarda kontrol edilip gerekli durumlarda güncellenmektedir.

Kurumdaki veritabanı sistemlerinin kesintisiz ve güvenli şekilde işletilmesine yönelik standartları tanımlar. Tüm veritabanı sistemleri bu politikanın kapsamındadır.

• Veritabanı sistemleri envanteri ve bu envanterden sorumlu kişiler tanımlanmıştır.
• Veritabanı işletim kuralları belirlenmiştir.
• Veritabanı sistem logları tutulmakta, gerektiğinde bilgi işlem departmanı tarafından kontrol edilmektedir.

Bilgi sistemlerinde var olan teknik açıklıkların tespit edilmesi, açıklıkların değerlendirilip önlemlerin ortaya konması, uygun önlemlerin seçilerek uygulanması ve uygulama sonuçlarının gözlenmesine yönelik "Teknik Açıklık Yönetimi Politikası" yürürlüktedir. Metahukuk&apos'da üçüncü parti bağımsız firmalarca penetrasyon testi yapılabilir.

Metahukuk'nin de varlıklarının yanlışlıkla ya da kasıtlı olarak yanlış kullanım riskini azaltmak için yetkilendirmeler kurallara bağlanmıştır.

Kuruluş varlıklarının yanlış kullanımını azaltmak amacıyla çelişen görevler ve sorumluluklar ayrılır.

Kurum bilgi sistemlerinde yapılması gereken konfigürasyon değişikliklerinin güvenlik ve sistem sürekliliğini aksatmayacak şekilde yürütülmesine yönelik politikaları belirlemektedir.

Bu politika kurumun bilgi sistemleri yedekleme politikasının kurallarını tanımlamaktadır. Tüm kritik bilgi sistemleri ve bu sistemleri işletilmesinden sorumlu çalışanlar bu politika kapsamındadır. Ayrı bir 'Veri Yedekleme Politikası' belirlenmiştir.

Bu politika kurum çalışanlarının ve üçüncü parti firmaların kendi bilgi işleme ekipmanlarını Metahukuk&apos'nin bünyesinde ya da uzaktan bağlantı yaparak iş amaçlı kullanmasındaki kuralları belirler.

• Prensip olarak Metahukuk&apos'nin çalışanlarının kendi özel ekipmanlarını iş amaçlı kullanmalarına müsaade edilmez.
• İstisnai durumlarda bu türden ekipmanların iş amaçlı kullanımı yalnızca uzaktan bağlantı (VPN) altyapısıyla mümkündür.

Bu politikanın amacı üçüncü parti kişi ve kuruluşlarla ve kurum içi çalışanlarla bilginin taşınması sürecinde izlenecek yöntemleri belirlemektir.

• Tüm bilgi varlıklarının taşınması ve aktarılması varlık sahibinin bilgisi ve onayıyla mümkündür.
• Taşıma ya da aktarma sürecinde bilgi güvenliği gereksinimleri yerine getirilmeli.
• Bilgininin elektronik ortamda transferinde "Gizli" ve "Kişisel" etiketli veriler şifrelenmelidir.

Metahukuk'da Risk Yönetimi; Kurumun Stratejik Hedeflerini gerçekleştirme sürecini olumsuz yönde etkileyebilecek risk faktörlerinin belirlenmesi, ölçülmesi ve en alt düzeye indirilmesi sürecidir.

Veriyi korumanın yollarından biri de şifrelemedir. Hassas bilgiler bilinen ve test edilmiş şifreleme yöntemleri ile saklanmalıdır.

Amaç: Kurum Bilgi sistemlerine yapılan denetimlerin süreçler üzerinde yapacağı bilgi güvenliği etkilerini azaltmak.

Kapsam: Kurum Bilgi sistemlerine yapılan iç ve dış denetimler

Fikri mülkiyet hakları; yazılım veya belge telif haklarını, tasarım haklarını, markaları, patentleri ve kaynak kod lisanslarını kapsar.

• Tüm çalışanların sorumluluğundadır. Kuruluşumuz ulusal ve uluslararası tüm yasa ve düzenlemelere uymayı taahhüt eder.
• Yazılım ve diğer ürünlerinin yasal kullanımını belirleyen fikri mülkiyet haklarına uyum İnsan Kaynakları politikasında ele alınmış olup tüm çalışanlara okutturularak imza alınmıştır.
• Yazılım ve lisanslar satın almaları telif haklarının ihlal edilmemesini temin etmek için sadece bilinen ve seçilmiş tedarikçilerden alınır.