9 BİLGİ GÜVENLİĞİ POLİTİKALARI
4. E-Mail ve Haberleşme Aktiviteleri
E-mail hesaplarını, kurum dışında web posta sistemini güvenliğinden emin olunmayan bir cihazdan kullanmak,
İstenilmeyen e-posta mesajlarını iletilmek.
E-posta veya telefon vasıtası ile taciz etmek,
E-posta başlık bilgilerini yetkisiz kullanmak veya değiştirmek, Zincir e-postaları oluşturmak veya iletmek,
Kurum içi bilgileri 3. şahışlar ile paylaşmak,
İş ile alakalı olmayan mesajları birçok haber gruplarına iletmek yasaktır.
P02 Personel Güvenliği Politikası
Çeşitli seviyelerdeki bilgiye erişim hakkının verilmesi için personel yetkinliği ve rolleri kararlaştırılmıştır.
Yetkisi olmayan personelin, kurumdaki gizli ve hassas bilgileri görmesi veya elde etmesi yasaktır.
Bilgi sistemlerinde sorumluluk verilecek kişinin özgeçmişinin araştırılması, beyan edilen akademik ve profesyonel bilgiler teyit edilmesi, karakter özellikleriyle ilgili tatmin edici düzeyde bilgi sahibi olmak için iş çevresinden ve dışından referans sorgusu gerçekleştirilmesi zorunludur.
Kritik bilgiye erişim hakkı olan çalışanlar ile gizlilik anlaşmaları imzalanır.
BT ve İK departmanı tarafından kurumsal bilgi güvenliği bilinçlendirme eğitimleri düzenlenir.
Çalışanlar telefon görüşmeleri yaparken civardakiler tarafından işitilebileceği veya dinlenebileceği için hassas bilgilerin konuşulmaması konusunda bilinçli olmalıdır.
Çalışanlar kamuya açık alanlarda, açık ofis ortamlarında ve ince duvarları olan odalarda gizliliği olan konuşmaların yapılmaması konusunda bilinçli olmalıdır.
İş tanımı değişen veya kurumdan ayrılan kullanıcıların erişim hakları düzenlenmekte ya da pasife alınmaktadır.
Kurum bilgi sistemlerinin işletilmesinden sorumlu personelin konularıyla ilgili teknik bilgi düzeylerini güncel tutmaları çalışma sürekliliği açısından önemli olduğundan eğitim planlamaları periyodik olarak yapılır, eğitimlere katılım sağlanır ve eğitim etkinliği değerlendirilir.
Yetkiler “görevler ayrımı” ve “en az ayrıcalık” esasdır. “Görevler ayrımı” rollerin sorumlulukların paylaştırılması ile ilgilidir ve bu paylaşım sayesinde kritik bir sürecin tek kişi tarafından kırılma olasılığı azaltılır. “En az ayrıcalık” ise kullanıcıların gereğinden fazla yetkiyle donatılmamaları ve sorumlu oldukları işleri yapabilmeleri için yeterli olan asgari erişim yetkisine sahip olmaları demektir.
Çalışanlar kendi işleri ile ilgili olarak bilgi güvenliği sorumlulukları, riskler görev ve yetkileri hakkında periyodik olarak sunumlara katılmalıdır. Yeni işe alınan elemanlar için de bu eğitim, oryantasyon sırasında verilir.
Çalışanların başka görevlere atanması ya da işten ayrılması durumlarında işletilecek süreçler tanımlıdır. Erişim yetkilerinin, kullanıcı hesaplarının, laptop, telefon, token (şifrematik), akıllı kart gibi donanımların iptal edilmesi, geri alınması veya güncellenmesi sağlanır, varsa devam eden sorumluluklar kayıt altına alınır.
P03 İnternet Erişim ve Kullanım Politikası
Kurumun bilgisayar ağı erişim ve içerik denetimi yapan bir firewall üzerinden internete çıkacaktır.
Ağ güvenlik duvarı (firewall), kurumun ağı ile dış ağlar arasında bir geçit olarak görev yapan ve İnternet bağlantısında kuruluşun karşılaşabileceği sorunları önlemek üzere tasarlanan cihazlardır. Ağın dışından ağın içine erişimin denetimi burada yapılır. Güvenlik duvarı aşağıda belirtilen hizmetlerle birlikte çalışarak ağ güvenliğini sağlar.
Taşınabilir cihazlar farklı ağlardan internete çıktığında (ev, kafe, otel, telefon üzerinden internet paylaşımı...) kurum firewall kurallarını bypass edemez.
Kuruluşun ihtiyacı doğrultusunda içerik filtreleme sistemleri kullanır. İstenilmeyen siteler (pornografik, oyun, kumar, alışveriş, şiddet içeren vs.) yasaklanır.
Kuruluşun ihtiyacı doğrultusunda Saldırı Tespit ve Önleme Sistemleri (Intrusion Detection and Prevention Systems - IDS / IPS) şüpheli olayları, nüfuz ve saldırıları tespit etmeyi hedefler. IPS, şüpheli durumlarda e-posta veya SMS gibi yöntemlerle sistem yöneticisini uyarır.
Anti-virus gateway sistemleri ile internete giden veya gelen bütün trafik (smtp, pop3, ayrıca mümkünse http ve ftp vb) virüslere karşı taranır.
Hiçbir kullanıcı peer-to-peer bağlantı yoluyla internetteki servisleri kullanamayacaktır.
Kurum tarafından onaylanmamış VPN erişim yollarının kullanımı yasaktır.
Bilgisayarlar arası ağ üzerinden kurumsal uygulamalar haricinde (Whats up, Skype v.b.) mesajlaşma ve sohbet programları kullanılamaz. Bu programlar üzerinden dosya alışverişinde bulunulamaz.
Kurum tarafından onay verilen (yönetilebilen / izlenebilen kurumsal çözümler) haricinde bulut ortamlara veri aktarım yollarının kullanımı yasaktır.
Yönetici Grupları / Sınırlı süreli kullanıcılar hariç hiçbir kullanıcı internet üzerinden Multimedia Streaming yapmayacaktır.
Çalışma saatleri içerisinde iş ile ilgili olmayan sitelerde gezinmek yasaktır.
Bilgisayarlar üzerinden genel ahlak anlayışına aykırı internet sitelerine girilmesi ve dosya indirilmesi yasaktır.
İş ile ilgili olmayan (müzik, video...) dosyalar göndermek (upload) ve indirmek (download) yasaktır.
İnternet üzerinden kurum tarafından onaylanmamış yazılımlar indirmek ve kurum sistemleri üzerine bu yazılımları çalıştırmak yasaktır.
Üçüncü şahısların kurum internetini kullanmaları Bilgi Teknolojileri’nin izni ile ve bu konudaki kurallar dâhilinde gerçekleştirebilir.
Hem kurum çalışanları hem de misafirlere ait tüm internet trafiği 5651’e uygun olarak loglanır, iz kayıtları 6 ay ile 2 yıl arası saklanır ve belirli aralıklarla gözden geçirilir.
Sosyal medya kullanım sınırlamaları (site, saat, süre…) üst yönetim onayı ile bilgi teknolojileri departmanı tarafından yürütülür.
P04 Temiz Masa Temiz Ekran Politikası
Personel çalışma alanını terk ederken;
• Bilgisayarını kapatmak veya ekranı kilitlemekle sorumludur (Windows+L).
• Masa üzerinde kıymetli evrak, işle ilgili bilgi ifşası sayılabilecek not, kimlik kartı, giriş kartı, cep telefonu gibi bilgi ihlali doğurabilecek herhangi bir şey bırakmak yasaktır.
• Hiçbir sisteme ait kullanıcı adı ve şifresi bilgileri (Ekim Turizm tarafından verilen kullanıcı, kargo, kişisel mail…) güvenliği sağlanamayan ortamlarda kayıt edilemez.
Müsvedde kâğıt kullanımı yasaktır. Kullanılmayan, yanlış çıktı alınmış, fazla çıktı alınmış vb tüm dokümanlar kâğıt kırpma makinesinde yok edilir, çekmecelerde, yazıcıların yanında bulundurulmaz, normal çöp veya kağıt çöpüne atılmaz.
Yazıcılar üzerinde çıktı bırakılması yasaktır.
Her türlü ekrandan ulaşılabilen bilgiler, şifreler, anahtarlar ve kodlar, bilginin sunulduğu sistemler, ana makineler (sunucu), PC’ler vb. cihazlar şifresiz kullanılamaz.
Ekranlarda çalışılmaması durumunda devreye girecek ekran koruması (parola) tüm PC’lerde, notebooklarda etkinleştirilmiştir.
Ortak alanlardaki yazıcılarda şifre veya kart ile yetkilendirme yapılmaktadır.
P05 E-Posta Politikası
Kuruluşun e-posta sistemi, taciz, suistimal veya herhangi bir şekilde alıcının haklarına zarar vermeye yönelik öğeleri içeren mesajların gönderilmesi için kesinlikle kullanılamaz. Bu tür özelliklere sahip bir mesaj alındığında hemen Bilgi Teknolojileri Departmanı’na haber verilmesi ve daha sonra bu mesajın tamamen silinmesi gerekmektedir.
Mesajların gönderilen kişi dışında başkalarına ulaşmaması için gönderilen adrese ve içerdiği bilgilere azami biçimde özen gösterilmesi gerekmektedir.
Kuruluş ile ilgili olan hiçbir sınırlı bilgi, gönderilen mesajlarda yer alamaz. Bunun kapsamına içerisine iliştirilen öğeler de dâhildir.
Zincir mesajlar ve mesajlara iliştirilmiş her türlü çalıştırılabilir dosya içeren e- postalar alındığında hemen silinir ve kesinlikle başkalarına iletilemez.
Kişisel kullanım için Internet'teki listelere üye olunması durumunda kuruluş e- posta adreslerinin kullanılması yasaktır.
Spam, zincir e-posta, sahte e-posta vb. zararlı e-postalara yanıt verilmez ve bilgi teknolojileri departmanı en kısa sürede bilgilendirilir.
Kullanıcıların kullanıcı kodu/şifresini girmesini isteyen e-postaların sahte e-posta olabileceği dikkate alınarak, herhangi bir işlem yapılmaksızın derhal silinerek bilgi teknolojileri departmanına haber verilir.
Çalışanlar e-posta ile uygun olmayan içerikler (pornografi, ırkçılık, siyasi propaganda, alışveriş bilgileri, fikri mülkiyet içeren malzeme, vb.) gönderemezler.
Kuruluşta kişisel amaçlar için kurumsal e-posta kullanımı yasaktır.
Çalışanlar, mesajlarının yetkisiz kişiler tarafından okunmasını engellemekle sorumludur.
Sınırlı bilgi içeren elektronik postalar şifrelenerek iletilir (ilgili dokümanın sıkıştırılarak winrar, 7zip gibi uygulamalar üzerinden şifrelenmesi de bir kriptografik kontroldür). Mail ile şifre paylaşımı yapılması yasaktır.
Kuruluş çalışanları kurumsal e-postaların kuruluş dışındaki şahıslar ve yetkisiz şahıslar tarafından görülmesi ve okunmasını engellemekten sorumludurlar.
Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve bilgi teknolojileri departmanına haber verildikten sonra silinmelidir.
6 ay süreyle hiç kullanılmamış e-posta adresleri ilgili departman yöneticisi onayı sonrasında kapatılır.
E-posta adresine sahip kullanıcı herhangi bir sebepten birim değiştirme, emekli olma işten ayrılma sebepleriyle kurumdaki değişikliğinin yetkililer tarafından Bilgi Teknolojileri departmanına bu değişiklik en geç 24 saat öncesinde bildirilmelidir.
Webmail (Office365.com) kullanımı 2 faktörde doğrulama ile yapılmaktadır.
Virüs, solucan, Truva Atı veya diğer zararlı kodlar bulaşmış olan bir e-posta kullanıcıya zarar verebilir. Bu tür virüslerle bulaşmış e-postalar Anti-virus sistemleri tarafından analiz edilip temizlenir. E-Posta kullanıcısının gelen e-postaları iyi analiz edip açması zorunludur. Olası tehdit algılanması durumunda Bilgi Teknolojileri Departmanı ile irtibata geçmek kullanıcı sorumluluğundadır.
P06 Şifre Politikası
Şifre bilgisayar güvenliği için önemli bir özelliktir. Kullanıcı hesapları için ilk güvenlik katmanıdır.
Zayıf seçilmiş bir şifre ağ güvenliğini tümüyle riske atabilir. Kurum çalışanları ve uzak noktalardan erişenler aşağıda belirtilen kurallar dâhilinde şifre belirlemekle sorumludurlar.
Bütün sistem seviyeli ve kullanıcı seviyeli şifreler (örnek, root, administrator) en az 3 ayda bir değiştirilir.
Şifreler değişik amaçlar için kullanılmaktadır. Bunlardan bazıları: kullanıcı şifreleri, web erişim şifreleri, e-posta erişim şifreleri, ekran koruma şifreleri, yönlendirici erişim şifreleri vs. Sistem bütün kullanıcılar tarafından güçlü bir şifre kullanılmasını zorunlu tutmaktadır.
Zayıf şifreler aşağıdaki karakteristiklere sahiptir:
• Şifreler az karaktere sahiptir.
• Şifreler sözlükte bulunan bir kelimeye sahiptir.
• Şifreler aşağıdaki gibi ortak değere sahiptir.
• Ailesinin, arkadaşının sahip olduğu bir hayvanın veya bir sanatçının ismine sahiptir.
• Bilgisayar terminolojisi ve isimleri, komutlar, donanım veya yazılım gibi.
• “Ekim Turizm”, “Ekim”, ”EkimTurizm”, “elektronik”, “İstanbul” gibi.
• “AaaBb”, “qwerty”, “qazwsx”, “123321” gibi sıralı harf veya rakamlar.
Güçlü şifreler aşağıdaki karakteristiklere sahiptir:
• Küçük ve büyük karakterlere sahiptir. (A-Z , a-z)
• Hem dijit hem de noktalama karakterleri ve ayrıca harflere sahiptir. (+-.,%*!@&=(}?\...)
• Alfa numerik karaktere sahiptir.
• Herhangi bir dildeki argo lehçe veya teknik bir kelime içermez.
Kurum bünyesinde kullanılan şifreler kurum dışında herhangi bir şekilde kullanılamaz ve kimse ile paylaşılmaz. İlgili şifreler kuruma ait gizli bilgilerdir. Değişik sistemler için farklı şifre kullanılması zorunludur.
Personel elektronik sisteme girişte (E-posta ve ticari kayıtların tutulduğu tüm sistem) kullanıcı adı ve şifresi ile giriş yapar.
Kullanıcı adı ve şifresi olmadan sisteme girişe izin verilmez. Kullanıcı adı ve şifre bilgisi kişilere gizlilik kuralları çerçevesinde tanımlanmış rol ve sorumluluklarına uygun olarak sadece Bilgi Teknolojileri Departmanı tarafından verilir.
Elektronik ortamda tutulan kayıtlara personelin ve birim yöneticilerinin erişim yetkisi, kendi kullanıcı adı ve şifresi ile mümkündür.
Birim yöneticisi personelin kullanıcı adı ve şifresini (olağanüstü durumlar hariç; inceleme veya soruşturma) kullanamaz.
Aşağıdakiler şifreler ile ilgili yapılmayacaklar listesidir:
• Herhangi bir kişiye telefonda şifre vermek,
• E-posta mesajlarında şifre belirtmek,
• Üst yöneticinize şifreleri söylemek,
• Başkaları önünde şifreler hakkında konuşmak,
• Aile isimlerini şifre olarak kullanmak,
• Şifreleri işten uzakta olduğunuzda iş arkadaşlarınıza bildirmek.
Uygulama geliştiricileri programlarındaki aşağıdaki güvenlik özelliklerinin sağlandığından emin olmalıdırlar.
• Bireylerin (grupların değil) kimlik doğrulaması işlemini destekleyebilir.
• Şifreleri text olarak veya kolay anlaşılabilir formda saklamaz.
P07 Mobil Cihaz Kullanım Politikası
Şirket görüşmeleri için tahsis edilmiş olan telefon, tablet, laptop, hat vb. mobil cihazlar, mobil iletişim cihazları ve aksesuarları işin gerekleri dışında özel işler için kullanılamaz.
Tahsis edilmiş cihazla ilgili tüm sorumluluk tamamen kullanıcıya aittir.
Kurumun haberleşme sistemleri (mobil cihazlar ve cep telefonları) kurum işlerinin yürütülmesi için kullanılmalıdır. Bu sistemlerin yasa dışı, rahatsız edici, kurumun diğer politika, standart ve rehberlerine aykırı veya kuruma zarar verecek herhangi bir şekilde kullanımı bu politikanın ihlal edildiği anlamına gelir.
Kurum bu sistemleri ve bu sistemlerle gerçekleştirilen aktiviteleri yönetme, kaydetme ve periyodik olarak denetleme hakkını saklı tutar.
Aşağıdaki kurallar uyulması gereken kuralların kapsamlı bir listesi olarak düşünülmemelidir.
Gerçekleştirilen aktiviteler buradaki kurallarla tutarlı olmalıdır.
a) Kurum mobil iletişim cihazları, hiçbir şekilde yasa dışı, kurum çıkarlarıyla çelişen ve kurumun normal operasyon ve iş aktivitelerini engelleyen bir şekilde kullanılamaz.
b) Kurum mobil iletişim cihazları, uygunsuz içeriği saklamak, erişmek, indirmek ve iletmek için kullanılamaz.
c) Kullanıcıların mobil iletişim cihazlarını kullanmak için gerekli kimlik bilgilerini başkalarına vermeleri yasaktır.
d) Kullanıcılar için tahsis edilmiş olan kişi haricinde mobil cihazların 3. Kişilere verilmesi, kullandırılması yasaktır.
e) Kullanıcılar bireysel abonelik, eğlence ve içerik sistemlerine kendilerine şirket tarafından tahsis edilmiş hat ve cihazlarla kayıt olamaz.
f) Kurum mobil cihazları başkaları tarafından müdahale edilebilecek şekilde kontrolsüz bırakılamaz.
Kişiye zimmetlenmiş mobil cihazın, zimmet değişikliğinin bilgi işlem departmanı bilgisi dâhilinde yapılması gerekmektedir. Bilgi işlem departmanı bilgisi dâhilinde yapılmayan zimmet değişiklikleri, cezai yaptırım talebiyle ilgili birim yöneticiliklerine iletilecektir.
Mobil cihazlar, hatlar ve aksesuarlar zimmetlenen kişiye zimmet tutanağı karşılığı teslim edilir ve teslim alınır.
Şirket tarafından belirlenen kullanım süresi (2 seneden az, 10 seneden fazla olmamak kaydıyla piyasa koşullarına göre belirlenecek) içerisinde, verilmiş olan mobil cihazlar ve aksesuarlar ile ilgili olarak olası arıza, kayıp, kozmetik hasar ve fiziksel hasar gibi durumlarda kullanıcı kendisi sorumludur. Kullanım süresi içerisinde mobil cihazın ve aksesuarlarının tamir, değişim veya yenileme ücreti kullanıcı tarafından karşılanır.
Mobil cihazın şirket tarafından belirlenmiş olan kullanım süresi dolduktan sonra mobil cihaz ve aksesuarları bedelli olarak kullanıcıya fatura edilebilir. Cihaz, hat ve aksesuarların kullanım süresi boyunca satılması veya üçüncü şahıslara devri kesinlikle yasaktır. Mobil cihazın şirket
tarafından belirlenmiş kullanım süresi içerisinde işten ayrılan müdür, personel ve danışman kadrosu için mobil cihaz ve aksesuarlarının hibesi yapılmayacak, cihazın ve aksesuarların şirkete iadesi sağlanacaktır. İade edilmeyen cihaz ve aksesuarlar, ilk alış bedeli ile kullanıcıya fatura edilecek ve bu fatura tutarı kullanıcının son ücretinden kesinti yapılmak suretiyle tahsil edilecektir.
P08 Anti Virüs Politikası
Kuruluşun bütün PC tabanlı bilgisayarlar ve laptoplar anti-virus yazılımına sahiptir ve merkezi olarak güncellenmektedir.
Anti-virus yazılımı ve virüs pattern’leri otomatik olarak güncellenmektedir.
Virüs bulaşan makineler tam olarak temizleninceye kadar ağdan çıkarılır.
Sistem yöneticileri anti-virus yazılımının sürekli ve düzenli çalışması ve bilgisayarların virüsten arındırılması için gerekli teknik gereksinimleri belirlemek ve önlemleri almakla sorumludur.
Zararlı programları (örnek, virüsler, solucanlar, truva atı, e-mail bombaları, vs) Kurum bünyesinde oluşturmak ve dağıtmak yasaktır.
Hiçbir kullanıcı veya ayrıcalıklı kullanıcı herhangi bir sebepten dolayı anti-virus programını sisteminden kaldıramaz, pasif duruma getiremez.
Anti-virus güncellemeleri bu iş için adanmış sunucular vasıtası ile yapılacaktır. Sunucular internete online bağlantısı olup otomatik olarak veri tabanlarını güncelleyecektir. Domaine bağlı PC ve laptop’lar otomatik olarak Sunucu’dan en son versiyonlarını update edeceklerdir.
Domaine bağlı olmayan PC ve laptop’lar internet üzerinden online olarak update edilecektir.
Bilinmeyen kişilerden e-posta ile birlikte gelen dosya veya makroları kesinlikle açılmayacaktır.
Bu ekli dosyaları hemen silinecek, daha sonra "Silinmiş Öğeler”den tekrar silinecektir.
Spam, zincir ve diğer junk e-mailleri silinecektir.
Bilinmeyen veya şüpheli kaynaklardan asla dosya indirme yapılmayacaktır.
Kurumun ihtiyacı haricinde okuma/yazma hakkı ile direkt disk paylaşım hakkı vermekten kaçınılacaktır.
Bilinmeyen kaynaklardan gelen USB bellek gibi kaynaklara daima virüslere karşı tarama yapılacaktır.
Kritik veri ve sistem konfigürasyonları düzenli aralıklar ile yedeklenecek ve saklanacaktır.
P09 Bilgi Transferi politikası
İnternete açık kritik veri içeren uygulamalara kriptolu (şifreli) bağlantı ile bağlanılır, kripto (şifre) kullanmayan yöntemler kullanılmaz. Düz metin kullanarak veri alışverişi yapan yöntemlerin kullandığı portlar düzenli olarak bilgi teknolojileri tarafından konrol edilir.
Kripto kullanımı ile hangi iş bilgisinin korunacağı ile ilgili genel prensipler bilgi güvenliği ekibi tarafından belirlenir.
Taşınabilir ortam, cihaz ve iletişim hatlarında iletilen hassas bilginin korunması için şifreleme mekanizmalarının kullanımı zorunludur.
Kriptografik anahtarların korunması, şifrelenmiş bilginin kaybolması, tehlikeye düşmesi veya hasar görmesi durumunda tekrar geri alınması ile ilgili metotları içeren bir anahtar yönetimi metodu zorunludur.
“Gizli” kategorisindeki Şirket bilgilerinin yüklü olduğu herhangi bir veri taşıma ortamının (CD, DVD, taşınabilir sabit disk yada USB bellek, vb…) kilitli olarak saklanması ve bu bilgileri içeren tüm ortamların şifre ile korunması gerekmektedir. Bilgi varlıklarının gizlilik seviyelerine göre saklama, yönetme ve iletme (3.şahıslara dâhil) yöntemleri varlık envanteri prosedüründe veya bilgi güvenliği el kitabındaki gizlilik sınıfları dokümanında belirtilmiştir.
Şirket tarafından belirlenmiş ve onaylanmış şirket servisleri dışında, internette ücretli ya da ücretsiz veri depolama ve paylaşma hizmeti veren servislere veya sosyal medya sitelerine şirket bilgisi (dosya, metin, resim, tablo, vb.) yüklenmesi yasaktır. Bilgi Teknolojileri Departmanı bu ortamlara şirket ağlarından erişimi izlemektedir ve gerektiğinde engellemektedir.
Farklı yerleşkeler arası herhangi veri barındıran ortamların (evrak, yedekleme kartuşu, bilgisayar/mobil cihaz, vb.) iletiminde şirket içi kurye servisi ya da bilgi gizlilik koşullarımızla uyumlu ve onaylı kurye şirketleri dışında herhangi bir servis kullanılamaz.
E-posta hizmetlerine erişim, Şirket bilgisayarlarına kurulu Bilgi Teknolojileri tarafından belirlenen e-posta yazılımıyla Şirket ağlarından ya da VPN yazılımıyla şirket dışından şirket ağlarına
bağlanarak sağlanır. Kullanıcıların tarayıcıdan yapılan erişimle şirket dışı bilgisayarlarına e-mail eklentisi indirmeleri ve bilgi aktarmaları yasaktır.
Kişilerin e-posta kutularına başka kişilerce erişim koşulları E-mail Politikası’nda tarif edilir.
Dış, üçüncü taraf ve iş ortaklarından alınan hizmetten sorumlu olan şirket çalışanları, iş ilişkilerinde ve yapılan sözleşmelerde, bilgi güvenliği yükümlülüklerinin yerine getirildiğinden emin olmalıdır.
Şirket’in kaynaklarına erişen dış ve üçüncü taraf kullanıcılarının işten ayrılması veya görev değiştirmesi gibi değişiklikler, Bilgi Teknolojileri Departmanı’na zaman geçmeden bildirilir.
Kullanıcı hesaplarının kapatılması ve yetkilerinin iptal edilmesi yönünde gerekli aksiyonlar Bilgi Teknolojileri Departmanı tarafından alınır.
Şirket’e hizmet veren dış, üçüncü taraflar ve iş ortaklarına tahsis edilen kullanıcı yetkileri sadece gerektiğinde ve ihtiyaçlar doğrultusunda kullanılır. Sistemlerin güvenliğine olumsuz etki edecek kullanımlarda bulunulması engellenir. İhtiyaçlarla paralellik göstermeyen işlemler, tarafların yetkileri dâhilinde olsa bile gerçekleştirilemez.
Şirket’e hizmet veren dış, üçüncü taraflar ve iş ortakları, eriştikleri sistemler üzerindeki veri ve yazılımları, şirketin onayı olmadan başka veri ortamlarına kopyalayamaz ve kullanamaz. Bilgi Teknolojileri Departmanı bu yönde gerekli önlemleri alır.
Dış ve üçüncü taraf kullanıcıları, Şirket tarafından ayrıca onay verilmemişse, şirket kaynaklarına erişim için kuruma ait bilgi işlem cihazları kullanmak zorundadır.
P10 Fiziksel Güvenlik Politikası
Kurumun binalarının fiziksel güvenliği sağlanmakta ve gerekli teknolojik kontroller uygulanmaktadır.
Kurumsal bilgi varlıklarının dağılımı ve bulundurulan bilgilerin kritiklik seviyelerine göre binalarda ve çalışma alanlarında farklı güvenlik bölgeleri tanımlanmıştır. Erişim izinleri bu doğrultuda belirlenerek gerekli kontrol altyapıları sağlanmaktadır.
Kurum dışı ziyaretçilerin ve yetkisiz personelin güvenli alanlara girişi yetkili güvenlik görevlileri gözetiminde gerçekleştirilir.
Kritik bilgilerin bulunduğu alanlara girişler izlenmektedir.
Tanımlanan farklı güvenlik bölgelerine erişim yetkilerinin güncelliği sağlanmaktadır.
Personelin ve ziyaretçilerin personel kimliklerini ve ziyaretçi kartlarını üzerlerinde taşımaları zorunludur.
Kritik sistemler sadece özel sistem odalarında tutulmaktadır
Sistem odaları elektrik kesintilerine ve voltaj değişkenliklerine karşı korumalı, yangın ve benzer felaketlere karşı koruma altına alınmış durumdadır.
Fotokopi, yazıcı türü cihazlar yetkisiz kullanıma karşı koruma altına alınmıştır.
Kuruma giriş yapacak ziyaretçi veya kurye teslimatlarının gerekli fiziksel güvenlik kontrollerinden sonra geçişine izin verilir.
Çalışma alanlarının kullanılmadıkları zamanlarda kilitli ve kontrol altında tutulması zorunludur.
Açık ofislerde (odaların kilitlenemediği durumlarda) gizli nitelikli bilgiler kilitli dolaplarda muhafaza edilir.
Fotoğraf, video, ses vb. kayıt cihazlarının yetki verilmeyen kişiler tarafından güvenli alanlara sokulması yasaktır.
Tüm misafirler aşağıdaki kurallara uymalıdır;
Ekim Turizm tesisleri girişinde kimlik bilgilerinin teslim edilmesi ve ziyaretçi kartı alınması zorunludur.
Misafirlerin refakatsiz olarak idari bölümlerde bulunması yasaktır.
Ekim Turizm’e ait her türlü evrakın fotoğrafının çekilmesi, kopyalanması, görüntülenmesi,
Ekim Turizm’e ait her türlü evrakın fotoğrafının çekilmesi, kopyalanması, görüntülenmesi,