ESCORT GRUP
PR55 IT POLİTİKA VE BİLİŞİM SİSTEMLERİ
GÜVENLİK PROSEDÜRÜ
Doküman No PR.55
Sayfa No 1/4
1. AMAÇ
Bu prosedürün amacı, Escort Grup bünyesindeki tüm süreçlerin bütünlüğünü, güvenliğini ve
sürekliliğini sağlamak üzere bilişim altyapılarının ve Grup varlıklarının kullanımı ve
işletmesinin temelini oluşturan güvenlik politika ve standartlarını belirlemek ve
uygulanmasını tanımlamaktır.
2. UYGULAMA
2.1. Genel Kurallar
2.1.1. Sorumluluk Matrisi yılda bir defa Grup IT departmanları yöneticileri tarafından gözden
geçirilerek, gerekli güncellemeler yapılır.
2.1.2. Grup içinde üretilen ve kullanılan BT sistemleri üzerindeki firma yönetiminin gizli
olarak tanımladığı bilgiler, bilgi saklama, taşıma veya kopyalama yöntemiyle firma dışında
herhangi bir kurum veya kişilerle paylaşılmamalıdır. “Gizli” bilgilerin firma dışındaki kurum
veya kişilerle paylaşılması durumunda bilgi paylaşan kişi gerek kurumsal ilke ve yönergeler
gerek yasalar uyarınca tüm sorumluluğu üstlenecektir.
2.1.3. Bilgi Teknolojileri alanlarında güvenlik ölçümlerinin ve uygulama yöntemlerinin
belirlenmesine ilişkin hususlar şunlardır:
a) Yazılım
b) Donanım
c) Ağ erişimi
d) Yedekleme ve Yedekten Dönme
2.2. Yazılım Güvenliği
2.2.1. Grup bünyesinde kullanılan yazılımların erişim ve kullanımında uygulanan standartlar:
2.2.1.1. Yazılımların erişim hakları ilgili yazılımın iş sahibi olan bölüm ve teknik sahibi olan
IT ile birlikte belirlenir. İş sahibinin onayı doğrultusunda kullanıcı yetkileri IT ekibi
tarafından verilir ya da iptal edilir.
2.2.1.2. Yazılımlara olan erişim IT ekibi tarafından kayıt altında tutulur ve gerektiğinde
raporlanır.
2.2.1.3. Yazılımlara erişimde kullanılacak kullanıcı hesapları Grup IT departmanları
tarafından ve Grup standartlarına uygun olarak açılır ve kullanıcıya bildirilir.
2.2.2. Son kullanıcılara teslim edilecek bilgisayarlarda uygulanacak kurallar:
2.2.2.1. Grup bünyesinde kullanıcılara verilen bilgisayarlar domain üyesi olmalıdır.
2.2.2.2. Bilgisayarlarda olması gereken lisanslı yazılımların tamamının kurulumu ve söz
konusu yazılımların listelerinin hazırlanması ve güncellenmesi sağlanır.
ONAY
Yayın Tarihi 14.11.2014
Revizyon No 1
Revizyon Tarihi 14.11.2014
ESCORT GRUP
Doküman No PR.55
PR55 IT POLİTİKA VE BİLİŞİM SİSTEMLERİ
GÜVENLİK PROSEDÜRÜ
Sayfa No 2/4
2.2.2.3. Kurumsal anti virüs programı kurulu olmalıdır.
2.2.2.4. Bilgisayarda çalışacak olan sisteme tanımlı kullanıcılar “ En Az Haklar Prensibi” ne
uygun olmalıdır.
2.2.2.5. Bilgisayarlarda mutlaka kullanıcı hakları bazında grup poliçeleri kurulu olmalıdır.
2.2.3. IT Sorumlulukları:
2.2.3.1. Yazılımlara olan erişim hakları Sistem Yöneticisi tarafından periyodik olarak
kontrol edilir.
2.2.3.2. Yöneticiler tarafından değişiklik talepleri Grup kuralları çerçevesinde talep edilir.
2.2.3.3. Escort Grup bünyesinde lisanssız yazılım kullanılamaz. İlgili lisanlar iş sahibinin
gereksinimleri ve IT ekibinin yapacağı operasyonel ve teknik uygunluk şartları
doğrultusunda IT ekibi ile birlikte belirlenir ve satın alma formu IT tarafından hazırlanıp
satın alma bölümünce alımı yapılır.
2.2.3.4. Grup BT varlıklarının güvenliği için IT’nin belirlediği anti-spam ve anti-virus
yazılımlarının kurulması ve kullanılması zorunludur. Bu yazılımlar IT ekibi tarafından tüm
Grup bünyesindeki bilgisayarlara kurulur ve gerektiğinde güncellenir.
2.2.3.5. Grup bünyesinde kullanılan tüm bilgisayarların işletim sistemi ve back-office
programlarının güncellemeleri olası güvenlik açıklarını kapamak üzere IT ekibi tarafından
uygulanır.
2.2.3.6. Belirli periyodlarla güvenlik duvarı kontrolleri yapılarak sistemin saldırılara karşı
olan zafiyetleri ve açıkları değerlendirilir.
2.2.3.7. Son kullanıcılar tarafından oluşabilecek tehditleri gözlemlenir ve raporlanır.
2.2.3.8. Şifrelerin 3 aylık aralıklarla değişimini ve saklanmasını sağlar.
2.2.3.9. Felaket senaryoları üretip bu senaryolarda sistemin devamlılığı adına projeler
üretir.
2.2.3.10. Yeni çıkan teknolojileri firma yararına takip eder ve gerekli durumlarda yönetim
kurulunu bilgilendirir.
2.3. Donanım Güvenliği
2.3.1. Grup bünyesinde kullanılan bilgisayar, sunucu, ağ ekipmanı, telekom cihazları, yazıcılar
gibi BT ekipmanlarının erişim ve kullanımında uygulanan standartları belirler.
2.3.2. Grup bünyesinde kullanılan sunucular ve ağ donanımları sadece ilgili sistem
yöneticilerinin ve Güvenlik ekiplerinin ulaşabileceği sistem odalarında tutulur.
2.3.3. Grup bünyesinde kullanılan tüm bilgisayarlar ve sunucular ihtiyaç sahiplerine zimmet
tutanağı imzalatılarak teslim edilir ve envanter kayıtları demirbaş sorumlusunun
sorumluluğundadır.
ONAY
Yayın Tarihi 14.11.2014
Revizyon No 1
Revizyon Tarihi 14.11.2014
ESCORT GRUP
PR55 IT POLİTİKA VE BİLİŞİM SİSTEMLERİ
GÜVENLİK PROSEDÜRÜ
Doküman No PR.55
Sayfa No 3/4
2.4. Ağ Güvenliği
2.4.1. Escort Grup içinde veya İnternet ortamında kullanılan ağa erişimle ilgili güvenlik
standartlarını ve uygulamasını belirler.
2.4.2. Escort Grup bünyesinde kullanılan ağa erişen kullanıcılar ilgili yasal mevzuata ve TNB
Yönetim Kurulu kararlarına uymakla yükümlüdürler.
2.4.3. Escort Grup bünyesinde kullanılan ağa erişen kullanıcılar 5651 sayılı Kanun ve Fikir ve
Sanat Eserleri Kanununda belirlenen kurallara uymakla yükümlüdür. Kanuni zorunluluk
nedeniyle Grup ağından kaynaklanan tüm erişimler kanunun belirttiği süre ve detayda kayıt
altında tutulmaktadır.
2.5. Yedekleme ve Yedekten Dönme
2.5.1. Escort Grup bünyesinde ortak kullanılan TNB varlıklarının sürekliliği, bütünlüğü ve
kesintisiz erişimini sağlamak üzere gerekli yedekleme mekanizmalarını kurmak ve işletmek IT
departmanının sorumluluğundadır.
2.5.2. Escort Grup bünyesinde kullanılan tüm Grup sistemlerinin yedekleri ihtiyaçlar
doğrultusunda periyodik olarak alınır ve saklanır.
2.5.3. Alınan yedekler yine periyodik olarak test edilir.
2.5.4. Herhangi bir bilgi kaybı söz konusu olduğunda yedeklerden geri dönüş işlemi yapılır.
2.5.5. Escort Grup sistemlerinde tutulan ve yasal olarak veya şirket politikaları uyarınca
kullanım süresi dolan bilgiler 3. şahısların bu bilgilere erişimlerini engellemek üzere Grup IT
departmanları tarafından güvenli olarak (geri alınamayacak şekilde) silinir.
3. SORUMLULUK
Bu prosedürün uygulanmasından Grup IT departmanları sorumludur.
4. DAYANAK
4.1. Escort Grup IT Güvenlik Politikaları
ONAY
Yayın Tarihi 14.11.2014
Revizyon No 1
Revizyon Tarihi 14.11.2014
Doküman No PR.55
ESCORT GRUP
GÜVENLİK POLİTİKALARI
Sayfa No 4/4
1. Hesap kilitlenmelerinde veya parolanın hatırlanmaması gibi durumlarda kullanıcının
kendisi, Bilgi İşlem Bölümünü arayarak parolasının değiştirilmesini talep eder.
2. Hiçbir kullanıcı kendisinden başka bir kimsenin kullanıcı hesabını kullanamaz. Böyle
durumlardan, hesabı kullanılan kişinin kendisi sorumludur.
3. Kullanıcı şirkette olmayacağı zamanları 2 iş gününden fazla ise, önceden Bilgi İşlem
Bölümüne yazılı olarak bildirir. Örneğin: Yıllık izin, mazeret izinleri gibi. Kullanıcının hesabı,
Bilgi İşlem Bölümü tarafından istenilen süre kadar, geçici olarak devre dışı bırakılır.
4. Çeşitli sebeplerden dolayı kullanıcı hesabına müdahale edilmesi ancak ilgili kullanıcının
idari amiri veya bölüm koordinatörünün yazılı onayı ile mümkün olur.
5. Kullanıcı hiçbir şekilde sisteme yazılım ekleme veya sistemden yazılım kaldırma işlemi
yapamaz.
6. Kullanıcın sistemdeki yaptığı;
a) Herhangi bir nesneye erişimi ( Klasör, Dosya, Yazıcı vb.),
b) Herhangi bir nesneye erişme veya erişmeme durumu,
c) Oturum açma/ kapama durumları,
d) Güvenlik ilkelerinin değişimleri,
e) Hesaplar ile ilgili değişiklikler,
f) Sistem olaylarının değişiminde ( güvenlik günlüğünü etkileyen olaylar, sistem açılıp
kapanması gibi)
Otomatik olarak sistem tarafından kaydedilir. Kayıtların incelenmesinin istenmesi
durumunda, kullanıcının veya idari amirlerinin yazılı talebi ile gerçekleşir.
ONAY
Yayın Tarihi 14.11.2014
Revizyon No 1
Revizyon Tarihi 14.11.2014
Download

pr55 ıt politik