TS ISO/IEC 27001:2013 BGYS EL KİTABI
Ekim Turizm Bilgi Güvenliği Yönetim Sistemi, Yönetim Temsilcisi tarafından onaylanmıştır. Gerekli değişiklikler Doküman Yönetimi Prosedürü gereğince yetkililerin onayı ile gerçekleştirilir. Tereddütlü durumlarda Yönetim Temsilcisi’nde bulunan kopya esas alınır.
İÇİNDEKİLER EL Kitabı Madde No
ISO 27001
Madde No Konu
- İçindekiler
- Giriş
1 1.1 1.2 1.3 1.4
4 4.1 4.2 4.3 4.4
Kuruluşun bağlamı
Kuruluşun Ve Bağlamının Anlaşılması
İlgili Tarafların İhtiyaç Ve Beklentilerinin Anlaşılması
Bilgi Güvenliği Yönetim Sisteminin Kapsamının Belirlenmesi Bilgi Güvenliği Yönetim Sistemi Ve Prosesleri
2 2.1 2.2 2.3
5 5.1 5.2 5.3
Liderlik
Liderlik ve bağlılık Politikalar
Kurumsal roller, sorumluluklar yetki ve 3
3.1 3.2 6.3
6 6.1 6.2 6.3
Planlama
Risk Ve Fırsat Belirleme Faaliyetleri
Bilgi Güvenliği Amaçları Ve Bunlara Ulaşmak Için Planlama Değişikliklerin Planlanması
4 4.1 4.2 4.3 4.4 4.5
7 7.1 7.2 7.3 7.4 7.5
Destek Kaynaklar Yeterlilik Farkındalık İletişim
Dokümante edilmiş bilgi / Yazılı Bilgiler 5
5.1 5.2 5.3
8 8.1 8.2 8.3
işletim / Operasyon
İşletimsel / Operasyonel Planlama Ve Kontrol Bilgi güvenliği risk değerlendirme
Bilgi güvenliği risk işleme 6
6.1 6.2 6.3
9 9.1 9.2 9.3
Performans değerlendirme
İzleme, Ölçme, Analiz Ve Değerlendirme İç Tetkik
Yönetimin Gözden Geçirmesi 7
7.1 7.2
10 10.1 10.2
İyileştirme
Uygunsuzluk ve düzeltici faaliyet Sürekli iyileşme
8 Varlık Envanteri
9 Bilgi Güvenliği Politikaları
GİRİŞ
Bu doküman; EKİM TURİZM’de kullanılan bilgi sistemlerinin güvenliğinin sağlanması için minimum uyulması gereken kuralları belirtmektedir.
Bilgi, organizasyonlara değer katan ve bu nedenle korunması gereken kaynaktır. Bilişim sistemleri ve teknolojilerinin hızla gelişmekte ve değişmekte olduğu düşünüldüğünde bilişim sistemlerini organize ederken bilginin gizliliği, bütünlüğü ve erişilebilirliği kurumumuz için özel önem kazanmaktadır.
Kurumumuzda her türlü bilginin tutulduğu elektronik ve fiziksel ortamların kullanımı, bilgilerin paylaşımı ve iletimi bilgi güvenliği açısından kritik öneme sahiptir. Bilginin kurumlar arasında iletişimi ve ayrıca internete açık olması bilgi güvenliği riskini daha fazla arttırmaktadır. Güvenlik önlemlerinin ve farkındalığının da bu kapsamda kurumumuzda arttırılması her zaman birinci önceliği taşımaktadır.
Güvenliğin ilk halkası sisteme kendini tanıtma ve tanınma: kişisel şifreler, biyometrik tanınma ve giriş anahtarlarıdır.
İkinci halka ağ güvenliğidir. Yani işletim sistemi güvenliği, kullanıcı yetkileri, IP güvenliği ve DNS güvenliğidir.
Üçüncü halka web güvenliğidir. Yani merkezi ve dağıtılmış güvenlik duvarları, arındırılmış alanlar, açık anahtar altyapısı, dijital şifreleme, dijital sertifikalar ve dijital imza, sanal özel ağlar ve atak belirleme sistemleridir.
Dördüncü halka sunucuların bilgi güvenlikleri için bakım kontrolleridir.
Son halka ise tüm bu sistemleri kullanan kullanıcıların farkındalığının üst seviyede olmasını sağlamaktır.
1. KURULUŞUN BAĞLAMI
1.1 Kuruluş ve bağlamının anlaşılması
Kuruluşumuz, 3.taraflara karşı bilgi güvenlğini sağlamak adına dokümante edilmiş bir BGYS’ni, tüm ticari faaliyetlerimizi ve oluşabilecek riskleri kapsayacak şekilde kurmuş, gerçekleştirmiş, işletmekte, gözden geçirmekte, sürdürmekte ve sürekli olarak geliştirmektedir.
EKİM TURİZM, amacı ve stratejik yönü ile ilgili olan ve bilgi güvenliği yönetim sistemlerinin amaçlanan sonuçlarına ulaşabilme yeteneğini etkileyen, iç ve dış hususları aşağıdaki şekilde belirlemiştir.
İç Hususlar (Personel, Kaynak ihtiyaçları, Yazılım ve Donanım yapısı, Fiziksel ortam yapısı, Enerji birimleri)
Güçlü Alanlar;
• Köklü kurum kültürü
• Yetişmiş insan kaynağı,
• Hızlı karar mekanizmasına sahip olmak ve aksiyon almak
• Iş süreçlerindeki standardizasyon,
• Uluslararası kabul görmüş standartlarda hizmet sunumuna sahip olmak,
• Dünya trendlerini iyi takip edebilmek,
• Toplam kalite yönetim kültürü,
• Yenilenmiş Teknik altyapı
• Uzman Bilgi Teknolojileri ekibi
• BT Bilgi Kütüphanesi
• Fiziksel güvenlik koşullarının kurum genelinde iyileştirilmesi
• Kalite Yönetim Sistemi Standardı’nın gerektirdiği faaliyetleri etkin olarak sürdürmek.
Gelişime Açık Alanlar;
• BGYS kapsamına aynı bilgi sistemleri altyapısını kullanan tüm firmaların dahil edilmesi
• Farkındalığın artırılması
Dış Hususlar (Siber saldırılar, Uzun süreli enerji kesintileri, Kötü niyetli 3. taraflar, Doğal afetler, Tedarikçiler, Müşteriler)
Fırsatlar;
• Yeni pazarlar
• Yeni ürünler
• Yeni teknolojiler
• Yeni standartlar
• Yeni kanunlar
Tehditler;
• Yerel mevzuatların artması,
• Müşterilerin BGYS duyarlılığının yetersizliği,
• Güncel siber tehditler, kötü niyetli 3.taraflar,
• Siber saldırılar,
• Uzun süreli enerji kesintileri,
• Doğal afetler, 1.2 İlgili Tarafların İhtiyaç ve Beklentilerinin Anlaşılması
BGYS için İlgili Tarafların (Müşteriler (son kullanıcılar ve bayiler), Tedarikçiler, Yasal Otoriteler, Şirket Hissedarları, Çalışanlar…gibi) İhtiyaç Beklentileri aşağıdaki şekilde tanımlanmıştır.
İç Paydaşlar Beklentiler Firmamızın
Tüzel Kişiliği
- Prestijinin korunması
- Elde ettiği bilgi birikiminin korunması
- Tüm taraflarının güvenli ve mutlu çalışması
Hissedarlar - BGYS ve yasal şartlar çerçevesinde şirketin kendilerine kazanç sağlaması ve bilgilerinin korunması
Firma
Personelimiz
- Kişisel bilgilerinin korunması,
- Bilişim suçlarına karşı korunma,
- BGYS farkındalığı yaratılmış ortamda ve uygun çalışma koşullarında hizmet verme,
- Bu hizmetlerinin karşılığında uygun çalışma şartlarının sağlanması.
- Kişisel gelişime katkıda bulunulması ve kariyer planlaması
- Yöneticilerin adil olması
- Birim yöneticisinin kararlar alınırken çalışanların fikir ve önerilerini dikkate alması
- Çalışan olarak sosyal haklardan yararlanılması
- Kurumda izin, hastalık izni, sosyal haklar vb politikalarda adil olunması
- Adil ücret yapısının olması
Dış Paydaşlar Beklentiler
Müşteriler
- Satış sonrası hizmet, teknik bilgi ve destek alma,
- Tüm proseslerin ve kendilerine ait diğer bilgilerinin bir gizlilik içerisinde yürütülmesi, bilgi birikiminin korunması,
- Firma prestijlerinin korunması,
- Müşteri ile iletişim, şikayet ve geri bildirimler, şartname, sipariş ve sözleşme koşullarının yerine getirilmesi / korunması,
- Sözleşmelerden doğan yükümlülükler; farkındalıkların belirlenmesi, sınırların çizilmiş ve korunuyor olmasın.
- Güvenilir hizmet
- İş ve işlemlerde hız
- İstek ve şikayetlere geri dönüş paydaşlarla işbirliği
- Çözüm odaklı yaklaşım
- Karşılıklı mutabık kalınan ödeme planına uyulması
Tedarikçiler
- Rahat hizmet alabilme/verebilme ortamları için gerekli bilgilerin sağlanması,
- Firmaya verdikleri hizmet, malzeme ve ürünler karşılığında kesilen faturanın zamanında ödenmesi,
- Bilgi kaçırma ve hırsızlık olaylarına karşı güvence altında olma,
- Sipariş gereksinimleri, teknik şartlar ve teslimat koşulları, tedarikçi / alt yüklenici gereksinimi ve beklentileri temel olarak karşılıklı fayda ve sürekliliğinin sağlanması,
- Tedarikçileri bilgilerinin gizli tutması,
- Sözleşmelerden doğan yükümlülükler; farkındalıkların belirlenmesi, sınırların çizilmiş ve korunuyor olması.
- Değişen koşullara uyum sağlama konusunda başarılı olmak
- Karşılıklı işbirliği
- Beklentilerin karşılanması
Otoriteler (Bakanlıklar, Belediye, Yasal Gereksinim Talep Edenler vb.)
- Kurumların vermiş olduğu lisans, ruhsat, belge, sözleşme, yasa ve yönetmeliklere uyum sağlanması,
- BGYS kapsamında gerekli belge ve dokümanların korunuyor olmasını,
- Belirlenen kural ve sınırlara ilgili mevzuat ve taahhütnameler dikkate alınarak uygun hareket edilmesi,
- Bir uygunsuzluk veya değişiklik durumunda ilgili tarafların bilgilendirilmesi,
- Personel eğitimlerinin yasa ve yönetmelikler çerçevesinde gerçekleştirilmesi,
- Kanun ve standartlara uygun hizmetlerin verilmesi,
- Vergilerin zamanında ödenmesi,
- Değişikliklerin izlenmesi ve uygulanması, Medya
- Şirketin kamuya iyi ürünler ve hizmet üretmesini ve de kendilerine reklam sağlayacak işlerin gelmesi, bu çalışmalara ait bilgilerin korunması.
1.3 Bilgi Güvenliği Yönetim Sisteminin Kapsamının Belirlenmesi
1.3.1 Belge Kapsamı
EKİM TURİZM TİCARET VE SANAYİ A.Ş.
Akfırat Mahallesi, Göçbeyli Bulvarı, No: 1/1, İstanbul Park, Tuzla / İstanbul
“Filo kiralama hizmetleri kapsamında tüm bilgi teknolojileri süreçleri, bilgi sistemleri bilgi güvenliği ve siber güvenlik faaliyetleri”
1.3.2 İç Bağlam / İdare, kuruluşa ilişkin yapı, roller ve yükümlülükler;
• BGYS Politikaları,
• Yıllık BGYS hedefleri,
• Kaynaklar ve bilgi birikimi cinsinden anlaşılan yetenekler (örneğin, anapara, zaman, kişiler, süreçler, sistemler ve teknolojiler),
• Bilgi Güvenliği Yönetim Sisteminin kurulması, işletilmesi ve sürdürülmesi için yönetim tarafından atanan Yönetim Temsilcisi ve BGYS ekibi,
• İç paydaşlarla ilişkiler, onların algılamaları ve değerleri, kuruluşun kültürü, kuruluş tarafından uyarlanan standartlar, kılavuzlar ve modeller, sözleşmeye ilişkin ilişkilerin;
biçim ve genişliğini kapsamaktadır.
• Departmanların (İnsan Kaynakları, Satın Alma, Satış, Pazarlama, Bilgi Teknolojileri, Tedarik Zinciri, Finans, Muhasebe, Hukuk…) bilgi teknolojileri ve güvenlik gereksinimleridir.
1.3.3 Dış Bağlam
Uluslararası, ulusal, bölgesel veya yerel olmak üzere, sosyal ve kültürel, politik, yasal, mevzuata ilişkin, finansal, teknolojik, ekonomik, doğal ve rekabetçi ortam, Finansal
Kuruluşlar
- Çalışma koşullarının BGYS kapsamında yürütülmesi ve korunması.
- Sağlanan hizmet şartlarının gizli tutulması.
- Taahhütlere uyum.
Denetçi Kuruluş /Denetmenler
- Yukarıdaki diğer madde belirtilen ilgili tarafların hepsinin şirketin sahip olduğu standartlara göre uyumlu ve gerektiği gibi çalıştığını görmek.
Küresel Rekabet Hukuku, Politikaları ve Prosedürleri, Tedarikçi ve müşteri verilerinin gizliliği,
Kalite Odaklılık,
Kuruluşun hedefleri üzerinde etkisi bulunan paydaşlarla ilişkiler, onların algılamaları ve değerleri,
Müşteri memnuniyetin sağlanması için Üst Yönetim dahil tüm EKİM TURİZM çalışanları,
İlgili tüm yasal mevzuat, düzenleyici, sözleşmeden doğan şartlar ve standartlar, Diğer kuruluşlarla olan yönetim sistemleri belgelendirmeleri dış kapsamdır.
1.4 Bilgi Güvenliği Yönetim Sistemi Ve Prosesleri
Kuruluşumuz, 3.taraflara karşı bilgi güvenliğini sağlamak adına dokümante edilmiş bir BGYS’ni, tüm ticari faaliyetlerimizi ve oluşabilecek riskleri kapsayacak şekilde kurmuş, gerçekleştirmiş, işletmekte, gözden geçirmekte, sürdürmekte ve sürekli olarak geliştirmektedir.
2. LIDERLIK:
2.1 Liderlik ve taahhüt:
Üst yönetim, aşağıdaki hususlarda liderlik göstermekte ve Bilgi Güvenliği Yönetim Sistemi için taahhütlerde bulunmaktadır:
a. Bilgi Güvenliği Yönetim Politikası oluşturmak, benimsetmek, b. BGYS’nin etkinliği ile ilgili sorumlulukları üstlenmek,
c. Bilgi Güvenliği politikası ve bilgi güvenliği amaçlarının oluşturulduğu, bunların EKİM TURİZM’in stratejik yönü ve bağlamı ile uyumluluğunu güvence altına almak,
d. Bilgi Güvenliği Yönetim Sistemi şartlarının, EKİM TURİZM iş prosesleri ile entegre olduğunu güvence altına almak,
e. Bilgi Güvenliği Yönetim Sistemi için Risk Belirleme ve Değerlendirme Talimatının hazırlanmasını sağlamak, proses yaklaşımı ile yönetilmesini sağlamak, tüm çalışanları bilgi güvenliğine yönelik risk temelli düşünmeyi teşvik etmek ve uygulamasını sağlamak, risklerin kabul etme ve kabul edilebilir risk seviyelerini belirlemek, faaliyetlerini gerçekleştirmek, f. Bilgi güvenliği için sorumlulukları ve rolleri belirlemek, “Organizasyon Şeması”nda
tanımlamak, uygulamaları verilen roller ve saptanmış sorumluluklar dahilin de gerçekleştirilmesini sağlamak,
g. BGYS’yi kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gerekli kaynakları sağlanmak,
h. Etkin BGYS yönetimi ve BGYS şartlarına uygunluğunun iletişimini sağlamak,
i. Bilgi Güvenliği Yönetim Sisteminin amaçlanan çıktılarına ulaşmasını güvence altına almak, j. Bilgi Güvenliği Yönetim Sisteminin etkinliğine katkı sağlayacak kişilerin, işe alınması,
yönlendirilmesi ve desteklenmesini sağlamak,
k. Diğer ilgili yönetim görevlilerinin liderliğini göstermesi için desteklemek,
l. Kuruluş içerisinde, bilgi güvenliğinin amaçlarını karşılamanın ve bilgi güvenliği politikalarına uyumun önemini, yasaya karşı sorumlulukları ve sürekli iyileştirmenin gerekliliğini, eğitim toplantılarında tüm çalışanlara aktarılmasını sağlamak,
m. BGYS iç denetimleri Madde 9.2 de belirtildiği şekilde gerçekleştirilmesini sağlamak, açıklıkların yönetilmesini sağlamak,
n. Üst Yönetim, Madde 9.3 de belirtildiği şekilde belirlenen periyotlarda gözden geçirme işlemlerini gerçekleştirmek ve sürdürülebilirliğini sağlamaktır.
2.2 Politika
BGYS politikası dokümante edilmiş ve uygulaması gerçekleştirilerek sürekliliği sağlanmaktadır.
Kuruluş içinde çalışanlar tarafından anlaşılması ve uygulanması için duyurulmuştur. İlgili 3.
tarafların ulaşımı için web sitesinde (www.intercityfilo.com) yayınlanmıştır.
BİLGİ GÜVENLİĞİ POLİTİKAMIZ
EKİM TURİZM TİCARET VE SANAYİ A.Ş. olarak;
✓ Yürütülen faaliyetlerin etkin, doğru, hızlı ve güvenli olarak gerçekleştirilmesini temin etmeyi,
✓ Tüm müşteri şartlarına ve yasal yükümlülüklere uyum sağlamayı,
✓ Firmamıza, müşterilerimize, tedarikçi ve iş ortaklarımıza ait her türlü bilgi varlığının gizlilik, erişilebilirlik ve bütünlükleri üzerindeki risklerin farkında olmak ve bu riskleri yönetmeyi,
✓ Eğitim ve danışmanlıkta süreklilikle bilgi güvenliği olgusuna firma genelinde tam katılım ve bilgi güvenliğinde yüksek farkındalık yaratmayı,
✓ Bilgi güvenliğini sistematik olarak ele alarak sürekli iyileşen, gelişen ve yeni risklerin oluşmasına imkân vermeyen bir yapı haline getirmeyi,
Taahhüt ederiz.
Genel Müdür
2.3 Kurumsal Görev, Yetki ve Sorumluluklar:
EKİM TURİZM, ilgili görevler için yetki ve sorumlulukları Organizasyon El Kitabında Görev Tanımları ile belirlemiş ve duyurmuştur.
BGYS kapsamında öncülük edecek “BGYS Ekibi” ve görev kapsamı belirlenmiş, “Organizasyon El Kitabı” dokümanı ile duyurusu yapılmış, süreçlerde ve görevlerde değişiklik olması durumunda gerekli güncellemeler yapılarak güncel duyurusu yapılmaktadır. Tüm çalışanlara sorumlulukları ile ilgili gerekli bildirimler yapılmaktadır.
Bilgi güvenliği ile ilgili faaliyetlerin sürdürülmesinden ve geliştirilmesinden Bilgi Teknolojileri Ekibi ve Yönetim Temsilcisi sorumludur. BGYS Ekibi ve Yönetim Temsilcileri Üst Yönetim tarafından atanmıştır. Kapsam içindeki departmanlardan BGYS temsilcileri belirlenmiştir. BGYS ekip üyesi olarak isim bazında atamaları yapılmıştır.
Görev Tanımları dışında aşağıdaki sorumluluk ve görevler ilgili taraflarca yerine getirmek üzere tanımlanmıştır.
Yönetim Sorumluluğu
EKİM TURİZM Yönetimi, tanımlanmış, yürürlüğe konmuş ve uygulanmakta olan Bilgi Güvenliği Sistemine uyacağını ve sistemin verimli şekilde çalışması için gerekli kaynakları tahsis edeceğini, sistemin tüm çalışanlar tarafından anlaşılmasının sağlayacağını taahhüt eder.
BGYS kurulumu sırasında BGYS Yönetim Temsilcisi atama yazısı ile atanır. Gerekli olduğu durumlarda üst yönetim tarafından doküman revize edilerek atama tekrar yapılır.
Yönetim kademesindeki yöneticiler güvenlik konusunda alt kademelerde bulunan personele sorumluluk verme ve örnek olma açısından yardımcı olurlar. Üst kademelerden başlayan ve uygulanan anlayış, firmanın en alt kademe personeline kadar inilmesi zorunludur. Bu yüzden tüm yöneticiler yazılı ya da sözlü olarak güvenlik talimatlarına uymaları, güvenlik konularındaki çalışmalara katılmaları yönünde çalışanlarına destek olurlar.
Üst Yönetim, Bilgi güvenliği kapsamlı çalışmalar için gerek duyulan bütçeyi oluşturur.
Yönetim Temsilcisi Sorumluluğu
BGYS (Bilgi Güvenliği Yönetim Sistemi)'nin planlanması, kabul edilebilir risk seviyesinin belirlenmesi, risk değerlendirme metodolojisinin belirlenmesini,
BGYS kurulumunda destekleyici ve tamamlayıcı faaliyetler için gerekli kaynakların sağlanması, kullanıcı kabiliyetlerinin sağlanması/iyileştirilmesi ve farkındalığın oluşması, eğitimlerin yapılması, iletişimin sağlanması, dokümantasyon gereksinimlerinin sağlanması,
BGYS uygulamalarının yürütülmesi ve yönetilmesi, değerlendirmelerin, iyileştirmelerin ve risk değerlendirmelerinin sürekliliğinin sağlanması,
İç denetimler, hedeflerin ve yönetim gözden geçirme toplantıları ile BGYS ve kontrollerin değerlendirilmesi,
BGYS'de mevcut yapının sürdürülmesi ve sürekli iyileştirmelerin sağlanmasından sorumludur.
BGYS Ekip Üyeleri Sorumluluğu
Bölümleri ile ilgili varlık envanteri ve risk analiz çalışmalarının yapılması,
Sorumluluğu altında bulunan bilgi varlıklarında bilgi güvenliği risklerini etkileyecek bir değişiklik olduğunda, risk değerlendirmesi yapılması için Yönetim Temsilcisini bilgilendirmesi,
Departman çalışanlarının politika ve prosedürlere uygun çalışmasını sağlanması, Bölümleri ile ilgili BGYS kapsamında farkındalığın oluşması, iletişimin sağlanması,
dokümantasyon gereksinimlerinin sağlanması,
BGYS' de mevcut yapının sürdürülmesi ve sürekli iyileştirmelerin sağlanmasından sorumludur.
İç Denetçi Sorumluluğu
İç denetim planı doğrultusunda, görev verilen iç denetimlerde denetim faaliyetlerinin yapılmasından ve raporlanmasından sorumludur.
Bölüm Yöneticileri Sorumluluğu
Bilgi Güvenliği Politikasının uygulanması ve çalışanların esaslara uymasının sağlanmasından, 3. tarafların politikadan haberdar olmasının sağlanmasından ve
fark ettiği bilgi sistemleri ile ilgili güvenlik ihlal olaylarının bildirilmesinden sorumludurlar.
Tüm Çalışanların Sorumluluğu
Çalışmalarını bilgi güvenliği hedeflerine, politikalarına ve bilgi güvenliği yönetim sistemi dokümanlarına uygun olarak yürütmekten,
Kendi birimi ile ilgili bilgi güvenliği hedeflerinin takibinin yapılması ve hedeflere ulaşılmasını sağlamaktan,
Sistemler veya hizmetlerde gözlenen veya şüphelenilen herhangi bir bilgi güvenliği açıklığına dikkat etmek ve raporlamaktan,
Üçüncü taraflar ile yapılan ve Satınalma sorumluluğunda olmayan hizmet sözleşmelerine (danışmanlık vb.) ilave olarak gizlilik sözleşmesi yapmak ve bilgi güvenliği gereksinimlerini sağlamaktan sorumludur.
Üçüncü Tarafların Sorumluluğu
Bilgi güvenliği politikasının bilinmesi ve uygulanması ile BGYS kapsamında belirlenen davranışlara uyulmasından sorumludur.
3 PLANLAMA
3.1 Risk ve Fırsatları Belirleme Faaliyetleri:
EKİM TURİZM, bilgi güvenliğini, yasal ve düzenleyici gereksinimleri göz önünde bulundurarak, risk kabul kriterlerini ve risk seviyelerini de içerecek şekilde risk değerlendirme metodolojisi belirlemiş ve ilgili konuları bu doküman içinde tanımlayarak uygulamaya almıştır.
BGYS kapsamındaki varlıklar ve bu varlıkların sahipleri tanımlanarak kayıt altına alınmış ve güncelliği sürekli gözden geçirilerek sağlanmaktadır. Bu varlıklar için riskler, risk şiddetleri, risklerin gerçekleşmesine neden olabilecek tehditler, her tehdit için ilgili zafiyet ve kontroller ve gerçekleşme ihtimalleri tanımlanmıştır ve “BGYS ve KVKK Risk Analizi ve Değerlendirmesi Formu“ ile kayıt altına alınarak takip edilmektedir. Risklerin işlenmesi için seçenekler tanımlanmış, değerlendirme eylemleri ve faaliyetleri gerçekleştrilmekte olup bu doküman içinde detaylı olarak değerlendirilmiştir.
Her bir süreçte tanımlı “bilgi” sınıflı varlıklar için riskler belirlenir. Riskler sadece varlık değeri 2 ve 3 olan varlıklar için tanımlanır. Riskler her varlık için tek tek tanımlanmaz
benzer tehditlere maruz kalacak aynı değerdeki varlıklar gruplandırılır. Risk sahipleri belirlenir. Riskler ve risk sahipleri belirlendikten sonra şiddetleri tanımlanır. Şiddet tanımı aşağıdaki gibidir;
ŞİDDET TABLOSU DEĞER AÇIKLAMA
GİZLİLİK BÜTÜNLÜK ERİŞİLEBİLİRLİK
1
Yetkisiz erişim ya da bilgi ifşasına maruz kalacak bilgi varlıkları gizli nitelikli değil çoğunlukla duyurulmuş / yayınlanmış verilerdir. İfşa olmasının kurum nezdinde bir etkisi yoktur
Veri bozulmaya veya değiştirilmeye karşı koruma gerektirmemektedir. Orijinal değildir ve herhangi bir operasyon için kaynak olarak kullanılmamakta, kurum
tarafından herhangi bir tarafla
paylaşılmamaktadır. Veri kurum içi süreçlerde kullanılmamaktadır.
Veriye erişimin engellenmesi operasyonel
veya kanuni açıdan uygunsuzluk
yaratmamakta.
2
Kurum için gizli nitelikli olmayan ve
KVKK nezdinde uygunsuzluk
yaratmayan fakat kuruma ait
sömürülebilir (başka amaçlarla kullanılabilir) operasyonel ve ticari verilere yetkisiz erişim söz konusudur.
Direk etkisi yoktur.
Verinin bütünlüğünün bozulması yasal veya ticari açıdan uygunsuzluk arz etmemekte, ilgili veri orjinal değil (orjinali devlet kurumunda, müşteride vb) veya ilgili evraklar operasyondan / ilgili cihazlardan tekrar oluşturulabilir. Bilgi kurum için kritik
olmayan operasyonel süreçleride
kullanılmaktadır. Veri kısa sürede tekrar oluşturulabilir.
Erişim engellenmesi kurum kritik ve kritik olmayan süreçleri için önem arz etmemekte.
Varlıklar doğrulama amacı için kullanılmakta, olası felaket senaryolarında kurum adına hukuki yükümlülük doğurabilir.
3
Bu bilgilerin ifşası durumunda kurum operasyonel süreçleri ile ilgili veya kurum içi bazı bilgiler (dahili telefon numarası vb.) dışarıya çıkar. Gizli bilgi ifşası yoktur. Kuruma etkisi çok düşüktür.
Veri değiştirmeye veya kaybolmaya karşı hassas değildir fakat kritik süreçler için (iş sürekliliği veya yasal yükümlülükler kapsamında) kaynak arz etmekte, kritik olmayan ilgili taraflarla bilgilendirme amacıyla paylaşılmaktadır. Veri orta vadede tekrar oluşturulabilir.
Veriye erişimin durması kurumda kısa süreli olarak tolere edilebilir. Uzun vadede operasyonu durdurabilir, kurumun ticari ve hukuki yükümlülüklerini yerine getirmesini engeller.
4
Kuruma, çalışanlarına veya ilgili taraflara ait gizli nitelikli verilere erişim veya KVKK nezdinde kişisel veri paylaşımı söz konusudur. Kurum için etkisi yüksektir yasal yaptırım doğurabilir.
Veri değiştirmeye veya kaybolmaya karşı hassastır. Verinin kaybolması durumunda geri dönüşü çok zordur veya ciddi prestij kaybı doğurur.
Veriye erişimin durması kurumda kısa süreli olarak tolere edilebilir. Orta vadede operasyonu durdurabilir, kurumun ticari ve hukuki yükümlülüklerini yerine getirmesini engeller.
5
Kuruma ait ticari sır niteliğinde veriler ve KVKK nezdinde özel nitelikli kişisel verilerin ifşası veya bu bilgiler için yetkisiz erişim / paylaşım söz konusudur. Kurum ticari süreçleri ve kurumsal kimliği üzerinde çok yüksek etkisi olur. Yasal yaptırımlarla karşılaşılabilir.
Veri değiştirmeye veya kaybolmaya karşı çok hassastır. Verinin kaybolması veya yetkisiz değiştirilmesi ciddi hukuki yaptırımlar doğurabilir. Veri geri döndürülemez veya döndürülse bile kurum yasal yaptırımla karşılaşır.
Veriye anlık erişim operasyonel
sürdürülebilirlik için kritik önem arzetmektedir. Veriye erişimin durması tüm sistemleri anlık olarak etkiler (kurum operasyonunu durdurur, kurumun uymak zorunda olduğu yasal yükümlülükleri yerine getirememesine neden olur)
Her risk için o riskin olmasına neden olabiliecek tehditler tanımlanır. Tehditler tanımlanırken ilgili bilgi varlılarına destek veren (oluşturulduğu, işlendiği, taşındığı, depolandığı, gösterildiği, yedeklendiği…) tüm diğer ortamlar / bilgi varlıkları dikkate alınmalıdır. Tehditler belirlendikten sonra her tehdit için mevcut kontroller ve zafiyetler tanılanır. Kontrollere Ek A’dan karşılık gelen kontrol maddelerinin de tanımı yapılır. Kontroller ve zafiyetler göz önünde bulundurularak
tehditin gerçekleşme ihtimali belirlenir. İhtimallere ait puanlandırma metodolojisi aşağıdaki gibidir;
Değer OLASILIK TABLOSU
1 • Zafiyetin sömürülmesi çok zordur. Sömürmek için çok yüksek beceri ve kaynak gerekir.
• Zafiyet kapatılmış olabilir veya önleyici birçok önlem alınmıştır.
2 • Zafiyetin sömürülmesi zordur. Sömürmek için yüksek seviyede beceriye veya kaynağa ihtiyaç vardır.
• Zafiyet kapatılmış olabilir veya ciddi bazı önlemler alınmıştır.
3 • Zafiyetin sömürülmesi muhtemeldir. Sömürmek için orta seviyede beceriye veya kaynağa ihtiyaç vardır
• Zafiyet henüz kapatılmamış ancak ciddi bazı önlemler alınmıştır.
4 • Zafiyetin sömürülmesi kolaydır. Sömürmek için çok temel seviyede beceriye veya kaynağa ihtiyaç vardı
• Zafiyet henüz kapatılmamış ancak çok basit bazı önlemler alınmıştır.
5 • Zafiyetin sömürülmesi çok kolaydır. Sömürmek için herhangi bir beceriye veya kaynağa ihtiyaç yoktur.
• Zafiyet henüz kapatılmamış veya hiçbir önlem alınmamıştır.
Risk analizi güncel tutulması gereken bir dokümandır. Kurumda bilgi güvenliği ekip lideri risk analizinin güncel tutulmasından sorumludur. Senede bir kez tüm risk analizi revize edilir.
Kurumdaki tüm güvenlik ihlalleri, kritik sistemler ve bu sistemlerle bağlantılı sistem değişiklikleri, zafiyet taramaları sonunda kapatılamayan/kapatılamayacak zafiyetler sonrasında risk analizinde etkilenen tehditler ve ilgili zafiyetler/kontroller en geç 1 hafta içinde revize edilir.
Kurum içinde tüm yeni projeler (sendika, özel sağlık sigortası, işe alım, çağrı merkezi firma veya altyapı değişikliği, etik hat kurulumu, kurum içinde inşaat projesi, taşeron yönetimi…) bilgi güvenliği açısından değerlendirilmeli ve risk analizine tabi tutulmalıdır. Risk analizi yapılırken KVKK’da göz önünde bulundurulmalıdır. Tüm bunlara ek olarak kullanıcılar tarafından bulunan olası bilgi güvenliği riskleri Olay İhlali ve İhlal Riski Bildirimi kapsamında değerlendirilir.
3.2 Bilgi Güvenliği Amaçları ve Bunlara Ulaşmak Için Planlama:
EKİM TURİZM'de uygun işlevler ve seviyelerdeki bilgi güvenliği amaçları ve bu amaçları nasıl başaracağına dair hedefler belirleyerek kayıt altına almakta ve takip etmektedir.
Bigi Güvenliği Hedefleri;
a) Bilgi güvenliği politikası ile tutarlılık sağlamakta,
b) Ölçülebilir hedefler ve performans kriterleri ile takip etmekte,
c) Uygulanabilir bilgi güvenliği şartlarını ve risk değerlendirme ve risk işlemenin sonuçlarını dikkate alarak değerlendirmekte ve uygulamakta,
d) İlgili tüm taraflara benimsetmek ve farkındalık yaratmak için duyurulmasını sağlamakta,
e) Gerekliliklere ve değişikliklere bağlı olarak uygun şekilde güncellenmeleri sağlamakta,
f) Hedeflerin yerine getirilmesi için ne yapılacağı ile ilgili aksiyon faaliyetlerini planlamakta,
g) Faaliyetler için hangi kaynakların gerekli olacağını belirlemekte,
h) Faaliyetleri yerine getirecek olan sorumluları belirlemekte ve atamakta, i) Faaliyetlerin tamamlanması için hedef tarihleri belirlemekte ve
j) Sonuçlarını gözden geçirme toplantılarında değerlendirmektedir.
Kuruluş bilgi güvenliği amaçları ile ilgili yazılı bilgileri “BGYS Hedef Planı” EK-BGYS- 001/F03-R00 ile kayıt altına almakta, her yıl gözden geçirme sonrası güncellemekte, değişiklikleri duyurmakta ve muhafaza etmektedir.
4 DESTEK
4.1 Kaynaklar
EKİM TURİZM'de Bilgi Güvenliği Yönetim Sisteminin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için gerekli olan kaynaklar belirlenmekte ve bu kaynaklar ihtiyaçlara bağlı planlı olarak sağlamakta ve aşağıdakileri değerlendirmeye almaktadır:
a) Var olan iç kaynakların yeterlilikleri, yetenekleri ve kısıtlamalarını,
b) Süreçlerin ve faaliyetlerin yerine getirilmesi için dış tedarikçilere bağımlılık ve ihtiyaçların nasıl temin edileceğini belirlemeyi.
4.2 Yeterlilik
EKİM TURİZM Bilgi Güvenliği Yönetim Sisteminin etkili şekilde işletilmesi ve kontrolü için gerekli personeli tayin ve tedarik etmektedir.
İnsan Kaynaklarının tespiti, temini ve yönetimi için, PR-GA-009 İnsan Kaynakları Prosedürü uygulanmaktadır.
EKİM TURİZM;
a.) Entegre Yönetim Sisteminin performansını ve etkinliğini etkileyecek işlerde çalışan ve kendi kontrolü altındaki kişilerin yetkinliğini tanımlamıştır.
b.) Bu kişilerin yetkin olduğunu, uygun eğitim, öğretim veya tecrübe ile sağlamaktadır.
c.) Uygulanabildiğinde, gerekli yetkinliği kazanmak için faaliyetler gerçekleştirmekte ve gerçekleştirilen faaliyetlerin etkinliğini değerlendirmektedir.
d.) Yetkinlikleriyle ilgili delil niteliğinde ki yazılı bilgileri muhafaza edilmektedir.
Not: Uygulanabilir faaliyetler şunları içerebilir: örn eğitim, mentörlük veya istihdam edilen mevcut kişilerin tekrar atanması veya yetkin kişilerin işe alınması veya taşere edilmesi.
Eğitim faaliyetlerinin koordinasyonu ve oryantasyon eğitimlerinin uygulamaları için, PR-GA-008 Eğitim Prosedürü oluşturulmuş ve uygulanmaktadır.
a- Ürün ve hizmet kalitesini etkileyen faaliyetleri yürüten personelin; sahip olması gereken yeterlilik, BGYS El Kitabı ve personel Görev Tanımlarında belirlenmiştir.
b- Personelin yeterliliğinin sağlanması ve geliştirilmesi ihtiyaçlarını karşılamak için tedbirler alınmakta ve bu doğrultuda eğitimler düzenlenmektedir.
c- Alınan tedbirlerin etkinliği değerlendirilmektedir.
d- Personelin yaptığı faaliyetlerin öneminin ve uygunluğunun farkında olması, gerçekleştirilen eğitimlerle sağlanmakta ve BGYS hedeflerinin başarılması için personelin yapabilecekleri katkılar belirlenmektedir.
Eğitim, öğretim, beceri ve deneyim konusunda kayıtlar muhafaza edilmektedir.
4.3 Farkındalık
EKİM TURİZM kontrolü altında çalışan kişilerin farkındalığı ile ilgili;
a) Bilgi Güvenliği Yönetim Sistemi politikalarını bilmesi, b) İyileştirilmiş bilgi güvenliği sisteminin faydaları, c) Bilgi Güvenliği Yönetim Sistemi hedefleri,
d) Personelin bilgi güvenliği sistemine olan katkısı ve bilgi güvenliği şartlarına uyum sağlamanın katkılarının bilincine varması ve farkındalık yaratması,
hedeflenmektedir.
Farkındalık çalışmaları kapsamında oryantasyonlarda bilgi güvenliği anlatılmakta, her yıl düzenli farkındalık eğitimleri verilmekte (kurumsal prosedürlere uygun olarak kayıt altına alınmaktadır), bildiri panolarına bilgi güvenliği ile ilgili bilgilendirme doneleri asılmakta, sosyal mühendislik testleri yapılmaktadır.
4.4 İletişim:
EKİM TURİZM Bilgi Güvenliği Yönetim Sistemiyle ilgili iç ve dış iletişimleri aşağıdakileri içerecek biçimde ”PL.BI.002 Otoriterler ve Özel İlgi Grupları İle İletişim Planı” ile belirlenmiştir;
a) ne ile iletişim kurulacak b) ne zaman iletişim kurulacak c) kiminle iletişim kurulacak d) nasıl iletişim kurulacak e) kim iletişim kuracak
4.5 Dokümante Edilmiş Bilgi / Yazılı Bilgiler:
EKİM TURİZM Bilgi Güvenliği Yönetim Sistemi aşağıdakileri içermektedir;
a) Standartların öngördüğü dokümante edilmiş bilgiler,
b) Bilgi Güvenliği Yönetim Sisteminin etkinliği için kuruluş tarafından gerekli olduğu belirlenen dokümante edilmiş bilgiler.
EKİM TURİZM'de, ISO 9001:2015 Standardında, “dokümante edilmiş bilgilerin sağlanması”
karşılığı: “Doküman” terimi kullanılmaktadır. Bunlar: Bilgi Güvenliği Yönetim Sistemi el kitabı, politikalar, prosedürler, talimatlar, şartnameler, planlar, listeler, tablolar, görev tanımları, yönetmeliklerdir.
EKİM TURİZM’ta, ISO 9001:2015 standardında “dokümante edilmiş bilginin tutulması” karşılığı
“kayıt” terimi kullanılmaktadır. Bunlar, sistemde tanımlanan formların doldurulmuş halidir.
Kurulmuş olan dokümantasyon aşağıdakileri kapsamaktadır:
a) BGYS politikası, b) BGYS kapsamı,
c) BGYS’yi destekleyici prosedürler ve kontroller, d) Risk değerlendirme metodolojisinin bir tanımı,
e) BGYS ve KVKK Risk Analizi ve Değerlendirmesi Formu,
g)Kuruluş tarafından, bilgi güvenliği proseslerinin etkin planlanmasını, işletilmesini ve kontrolünü sağlamak için ihtiyaç duyulan dokümante edilmiş prosedürler ve kontrollerin etkinliğinin nasıl ölçüleceğini tanımlama,
h) Bu standart tarafından gerek duyulan kayıtlar, i) Uygulanabilirlik Bildirgesi.
Dokümante edilmiş bilgilerin oluşturulması ve güncellenmesi için PR-GA-001 Doküman Kontrol Prosedürü hazırlanmış ve uygulanmaktadır.
Bilgi Güvenliği Yönetim Sistemi ve bu standart tarafından istenen dokümante edilmiş bilgi, aşağıdakileri güvence altına almak için kontrol edilmektedir:
a) İhtiyaç olduğu yer ve zamanda kullanım için varlığı ve uygun olması,
b) Uygun şekilde korunması (örneğin, gizliliğin yok olması, uygun olmayan kullanım veya bütünlüğün kaybolması) için PR-GA-001 Doküman Kontrol Prosedürü oluşturulmuş ve uygulanmaktadır.
Dokümante edilmiş bilginin kontrolü için EKİM TURİZM aşağıdaki faaliyetlerden uygulanabilir olanları PR-GA-001 Doküman Kontrol Prosedürü içinde belirlemiştir.
a) Dağıtım, erişim, kullanım ve tekrar kullanım, b) Niteliğinin korunması dahil, arşivleme ve koruma, c) Değişikliklerin kontrolü (örneğin, sürüm kontrolü), d) Muhafaza ve elden çıkarma.
Bilgi Güvenliği Yönetim Sisteminin planlaması ve işletimi için gerekli olduğu, EKİM TURİZM tarafından belirlenen dış kaynaklı dokümante edilmiş bilgi, merkezi Kalite Müdürlüğü tarafından takip ve temin edilerek uygun şekilde tanımlanmakta ve kontrol edilmektedir.
Uygunluğun kanıtı olarak muhafaza edilen dokümante edilmiş bilgi, istenmeyen değişikliklere karşı PR-GA-001 Doküman Kontrol Prosedürü’ne uygun olarak korunmaktadır.
5 İŞLETİM / OPERASYON
5.1 İşletimsel Planlama ve Kontrol
EKİM TURİZM bilgi güvenliği şartlarını karşılamak ve madde 6.1 de belirlenen faaliyetleri gerçekleştirmek için gerekli olan süreçleri planlamakta, uygulamakta ve kontrol etmektedir. Kuruluşumuz Bilgi Güvenliği Amaçlarına ulaşabilmek için planları uygulamaktadır.
Yazılı bilgiler PR-GA-001 Doküman Kontrol Prosedürü’ne göre saklanmaktadır.
Planlanan değişiklikler kontrol edilmekte istenmeyen değişikliklerin kötü etkileri için anında aksiyon oluşturulmaktadır.
Dış kaynaklı prosesler belirlenmiş, yetki ve erişimleri kısıtlanmış, yaptırımlar gerçekleştirilerek kontrol altına alınmıştır.
Riskler “kabul edilebilir” (yeşil), “yüksek” (sarı) ve “kabul edilemez” (kırmızı) olarak 3 sınıfa ayrılır.
Riksler risk puanı yüksek olandan düşük olana doğru önem sırasına göre ele alınır. Risk değeri / sonuç tablosu ve risk matrisi aşağıdaki gibidir.
5.2 Bilgi Güvenliği Risk Değerlendirme
EKİM TURİZM'de madde 6.1.2’de belirlenmiş kriterleri dikkate alarak Risk Değerlendirmesi yapmakta, yılda bir bu değerlendirme gözden geçirilmekte, önemli değişiklik durumunda veya faydalı öneri geldiğinde doküman ve sistem güncellenmektedir. Risk değerlendirmeleri PR-GA-001 Doküman Kontrol Prosedürü gereği kayıt altına alınmakta ve muhafaza edilmektedir.
Risk Kabul Değerleri SONUÇ EYLEM
20-25 KABUL EDİLEMEZ RİSK
Bu risklerle ilgili hemen çalışma yapılmalı 9-19 DİKKATE DEĞER RİSK
Risklere mümkün olduğunca çabuk müdahale edilmeli 1-8 KABUL EDİLEBİLİR RİSK
Acil tedbir gerekmeyebilir
RİSK MATRİSİ ŞİDDET
5 4 3 2 1
OLASILIK
5 YÜKSEK 25 YÜKSEK 20
YÜKSEK 15
ORTA 10
DÜŞÜK 5
4 YÜKSEK 20 YÜKSEK 16
ORTA 12
ORTA 8
DÜŞÜK 4
3 YÜKSEK 15 ORTA 12
ORTA 9
DÜŞÜK 6
DÜŞÜK 3
2 ORTA 10
ORTA 8
DÜŞÜK 6
DÜŞÜK 4
DÜŞÜK 2
1 DÜŞÜK 5
DÜŞÜK 4
DÜŞÜK 3
DÜŞÜK 2
DÜŞÜK 1
5.3. Bilgi Güvenliği Risk İşleme
Kuruluşumuz Bilgi Güvenliği Risk İşleme Planını uygulamakta ve kayıtları muhafaza etmektedir.
Tüm yüksek çıkan risk değerleri (risk şiddeti * tehditin gerçekleşme olasılığı) için düzeltici faaliyet açılır. Düzeltici faaliyetler içeriğine göre gruplandırılabilir. Düzeltici faliyetler kapatıldıktan sonra risk tekrar değerlendirmeye tabi tutulur. Mevcut değere göre risk işleme süreci tekrarlanır. Risk İşleme seçenekleri “risk düşürme” “risk aktarma” “Kabul etme” ve “ortadan kaldırma” şeklindedir.
Kırmızı riskler Kabul edilemez. Sarı riskler için risk kabulü üst yönetim tarafından gerçekleştirilir ve kayıt altına alınır. Risk kabulü risk kabul formu ile gerçekleştirilir. İlgili kayıtlar saklanır.
Artık risk, risk analizi sonunda kalan risklerdir (yeşil). Artık risklerin kabulü risk sahibi tarafından gerçekleştirilir. Artık risk kabulü bilgi güvenliği ekibi toplantılarında, YGG toplantılarında veya gerçekleştirlebilecek konu özelinde bir toplantıda risk analizi güncel halinin risk sahipleri tarafından imzalanması ile gerçekleştirilir. Artık risk kabulü risk sahipleri tarafından mail yoluyla da gerçekleştirilebilir. İlgili tüm kayıtlar BGYS Ekip Lideri tarafından saklanır.
6 PERFORMANS DEĞERLENDİRME
6.1 İzleme, Ölçme, Analiz ve Değerlendirme:
EKİM TURİZM'de, BGYS’nin izlenmesi ve gözden geçirilmesi faaliyetleri,
a) İzleme ve gözden geçirme prosedürlerini ve diğer kontrolleri aşağıdakileri gerçekleştirmek için yürütme:
✓ İşleme sonuçlarındaki hataları anında saptama,
✓ Denenen ve başarılı olan güvenlik kırılmaları ve ihlal olaylarını anında tanımlama,
✓ Yönetimin, kişilere devredilen ya da bilgi teknolojisince gerçekleştirilen güvenlik faaliyetlerinin beklenen biçimde çalışıp çalışmadığını belirleyebilmesini sağlama,
✓ Güvenlik olaylarını saptama ve belirteçler kullanarak güvenlik ihlal olaylarını önlemeye yardım etme,
✓ Bir güvenlik kırılmasını çözmek için alınan önlemlerin etkili olup olmadığına karar verme.
b) Güvenlik denetimlerinin sonuçları, ihlal olayları, etkinlik ölçümleri sonuçları ve tüm ilgili taraflardan önerileri ve geri bildirimleri dikkate alarak BGYS’nin etkinliğinin düzenli olarak gözden geçirilmesini üstlenme.
c) Güvenlik gereksinimlerinin karşılandığını doğrulamak için kontrollerin etkinliğini ölçme.
d) Aşağıdakilerde oluşacak değişiklikleri dikkate alarak, risk değerlendirmeyi planlanmış aralıklarda ve artık riskleri ve belirlenmiş kabul edilebilir risk seviyelerini gözden geçirme:
✓ Kuruluş,
✓ Teknoloji,
✓ İş amaçları ve prosesleri,
✓ Tanımlanmış tehditler,
✓ Gerçekleştirilen kontrollerin etkinliği ve
✓ Yasal ve düzenleyici ortamdaki değişiklikler, değiştirilmiş anlaşma yükümlülükleri ve sosyal iklimdeki değişiklikler gibi dış olaylar.
e) Yılda en az bir kez ve planlı olarak BGYS kapsamında “İç Denetim” ler yapılmaktadır.
f) Kapsamın uygun kalması ve BGYS prosesindeki iyileştirmelerin tanımlanmasını sağlamak için, BGYS’nin yönetim tarafından düzenli olarak gözden geçirilmesini üstlenme.
g) İzleme ve gözden geçirme faaliyetlerindeki bulguları dikkate alarak güvenlik planlarını güncelleştirme.
6.2 İç Tetkik:
Bilgi Güvenliği Yönetim Sisteminin; planlanmış düzenlemelere, standardın şartlarına ve kuruluş tarafından oluşturulan yönetim sistemi şartlarına uyduğunu, etkin olarak uygulandığını ve sürdürüldüğünü, doğrulamak için planlı aralıklarla iç tetkikler yapılmaktadır.
Tetkikler, geçmiş tetkiklerin sonuçları, tetkik edilecek alanların ve proseslerin önem ve durumları dikkate alınarak planlanmaktadır. Tetkikçilerin seçiminde, tetkik edilen alanda doğrudan sorumluluğu olmaması ve bu konuda eğitim almış olması dikkate alınmaktadır.
Tetkiklerin planlanması ve yerine getirilmesi, sonuçların rapor edilmesi, kayıtların muhafaza edilmesi için sorumluluklar ve şartları belirleyen PR-GA-004 KURULUŞ İÇİ KALİTE DENETİMİ PROSEDÜRÜ oluşturulmuş ve uygulanmaktadır.
Tetkik edilen alandan sorumlu yöneticinin, tespit edilmiş uygunsuzlukların ve bunların nedenlerinin ortadan kaldırılması için tedbirler alması sağlanmaktadır, alınan tedbirlerin doğrulanması ve doğrulama sonuçlarının raporlanması için takip tetkikleri yapılmaktadır.
6.3 Yönetimin Gözden Geçirmesi:
Yönetim sistemlerinin amacına uygunluğunu, yeterliliğini ve etkinliğini sürdürmesi ve EKİM TURİZM stratejik yönü ile uyumluluğunu güvence altına almak için üst yönetim, yönetimin gözden geçirmesi toplantılarını yapar.
Yönetimin Gözden Geçirmesi Girdileri:
Yönetimin gözden geçirmesi aşağıdaki toplantı girdileri dikkate alınarak planlanmakta ve gerçekleştirilmektedir:
✓ Bilgi Güvenliği Politikalarının, BGYS El Kitabının gözden geçirilmesi,
✓ Bir önceki YGG’de alınan kararların gözden geçirilmesi,
✓ Bilgi Güvenliği Yönetim Sistemi bir önceki yılın Hedeflerinin Sonuçları, yeni yılın Hedeflerinin Kabulü,
✓ BGYS Ekibinin Gözden Geçirilmesi,
✓ BGYS İç ve Dış Konulardaki Değişiklikler,
✓ İlgili Taraf ve Otoriter Geri Bildirimlerinin Görüşülmesi,
✓ İletişim Planlarının gözden geçirilmesi,
✓ Varlık Envanteri ve Varlık Sahiplerinin gözden geçirilmesi ve onayı,
✓ Risk Analizi Gözden Geçirme, Kritik ve Artık Risk Kabulü/Onayı,
✓ İç/Dış Denetim Sonuçları, faaliyetlerin son durumlarının görüşülmesi,
✓ Düzeltici/İyileştirici Faaliyetlerin, Uygunsuzluklar, Müşteri Şikâyetleri ve Sonuçlarının görüşülmesi,
✓ BGYS bir önceki yılın gerçekleşen eğitimlerinin görüşülmesi, yeni yılın eğitim hedeflerinin belirlenmesi,
✓ Yetki Erişimlerin gözden geçirilmesi ve onayı,
✓ Olay İhlal kayıtlarının, faaliyetleri ve sonuçlarının görüşülmesi,
✓ Sistem Loglarının görüşülmesi,
✓ Help Desk kayıtlarının değerlendirilmesi,
✓ Pentest sonuçlarının ve faaliyetlerinin görüşülmesi,
✓ Yedekler, Yedekli Yazılım ve Teçhizatın görüşülmesi,
✓ Bakım Planı ve Bakımların Görüşülmesi,
✓ İş Sürekliliği kapsamında tatbikatların görüşülmesi,
✓ Gizlilik ve ifşa etmeme anlaşmalarının ilgili tüm taraflar için mevcut durumlarının görüşülmesi,
✓ Kaynak İhtiyacı Etkinliği Artırmak için Gereksinimler,
✓ Yasal Şartların Durumu,
✓ Sürekli Gelişim İhtiyacı ve İyileştirme için önerilerin alınması, soru ve cevapların,
✓ Yeni yıl için gerçekleştirilecek olan kararların belirlenmesi, onayı,
Yönetimin gözden geçirmesi çıktıları, aşağıdaki konularla ilgili karar ve faaliyetleri kapsamaktadır;
✓ BGYS için iyileştirme fırsatları,
✓ Bilgi Güvenliği Yönetim sistemi ile ilgili değişiklik ihtiyaçları, onayları,
✓ BGYS kapsamında belirlenmiş yeni kaynak ihtiyaçları,
✓ Yeni düzenleyici ya da yasal gereksinimlere istinaden planlanmış yada belirlenmiş faliyetler,
✓ Risk değerlendirme ve risk işleme planlarının onayları.
✓ Risk seviyeleri ve/veya risk kabul kriterleri
✓ Alınan kararlar ve onayları.
Yönetimin gözden geçirmesinin metodunun tanımlanması, sonuçlarının kanıtı olarak dokümante edilmiş bilgiyi muhafaza etmek amacı ile PR-GA-006 Yönetim Gözden Geçirme Prosedürü oluşturulmuş ve uygulanmaktadır.
7 İYİLEŞTİRME
7.1 Uygunsuzluk ve Düzeltici Faaliyet:
BGYS kapsamında uygunsuzlukların sebeplerini gidermek ve tekrarını önlemek için, uygunsuzlukların etkilerine uygun tedbirler alınmaktadır.
Düzeltici faaliyetler için, PR-GA-002 Düzeltici Faaliyetler Prosedürü oluşturulmuş ve uygulanmaktadır.
Düzeltici faaliyetler için;
Bilgi Güvenliği sistemindeki mevcut uygunsuzluklar, aşağıdaki kaynakların verilerinden tespit edilebilir:
✓ Olay İhlalleri,
✓ Bilgi İfşaları,
✓ Müşteri Şikâyetleri
✓ BGYS Kontrol Kayıtları
✓ Bilgi Güvenliği Sistem Uygulamaları
✓ İç Tetkik Raporları
✓ İç Müşteri Şikâyetleri
Düzeltici faaliyet talebi yapılan uygunsuzluk ve sebebi, faaliyeti talep eden departman yetkilisi ve BGYS Yönetim Temsilcisi ve Ekibi tarafından değerlendirilir. Uygunsuzluğun sebebi, faaliyet sorumlusu departman belirlenerek bu sebebi ortadan kaldıracak tedbirler belirlenir.
Değerlendirme sonucunda uygunsuzluğun ortadan kaldırılması için yetkilendirilmiş sorumlular tarafından, düzeltici faaliyet planlanır ve tamamlanma süreleri belirlenir.
Planlanan düzeltici faaliyetler, öngörülen süre sonunda BGYS Yönetim Temsilcisi ve Ekibi ve/veya düzeltici faaliyeti talep eden departman yetkilisi tarafından, sonucu ve etkinliğinin tespiti amacıyla kontrol edilir.
Uygunsuzlukların yapısı ve peşinden yapılan faaliyetler ve düzeltici faaliyetlerin sonucunun kanıtı muhafaza edilmektedir.
7.2 Sürekli İyileştirme:
EKİM TURİZM; Bilgi Güvenliği Yönetim Sisteminin uygunluğunu, yeterliliğini ve etkinliğini sürekli iyileştirmektedir.
Analiz ve değerlendirmenin sonuçlarını, yönetimin gözden geçirmesi çıktılarını, sürekli iyileşmenin parçası olarak ihtiyaç ve fırsatların belirlenmesinin tayini için değerlendirmektedir.
8 VARLIK ENVANTERİ
Varlıklar süreç bazlı olarak oluşturulur. Süreçler kurumda tanımlı süreç kartları baz alınarak belirlenir. Her süreç için o süreçte oluşturulan bilgi varlıklar, bu varlıkların oluşturulduğu, işlendiği, depolandığı, gösterildiği, taşındığı, yedeklendiği varlıklar ve bu varlıklara destek veren varlıklar tanımlanır.
Varlık listesi BGYS Ekibi tarafından çalışanlarla yapılan birebir görüşmeler sonucunda oluşturulur. Oluşturulan Varlık Envanter Listesi’nde varlıklara ait Sahibi, Emanetçisi,
Varlık Sınıfı, Gizlilik Sınıfı, Bulunduğu Yer ve Varlık Değeri gibi bilgiler yer alır. Varlık Envanteri kontrol altında tutulur ve envantere dâhil edilen veya çıkarılan varlıklar için revize edilir.
Tüm varlıklar gizlilik bütülük ve erişilebilirlik açısından değerlendirilir. Değerlendirme kriterleri aşağıdaki gibidir. Varlık nihai değeri belirlenirken en yüksek G/B/E değeri alınır.
Varlık değerleri risk analizi için yönlendirici bilgilerdir. Risk analizi yapılırken (Riskler belirlenirken) G/B/E açısından benzer değerdeki ve benzer tehditlere maruz kalan varlıklar gruplandırılır. G/B/E değeri 1 olan varlıklar için risk analizi yapılmaz.
Varlık değerleri;
GİZLİLİK
OLASILIK DERECELENDİRME BASAMAKLARI
1 DÜŞÜK
Bilgi Varlığı: Halka açık / Kişisel veri veya özel nitelikli kişisel veri içermez Diğer: Varlık gizli bilgi içermez veya gizli bilginin işlenmesi/ taşınması için kullanılmaz.
2 ORTA
Bilgi Varlığı: Şirkete açık / Kişisel veri veya özel nitelikli kişisel veri içermez
Diğer: Varlık gizli bilgi içermez, gizli bilginin aktarılması / işlenmesi için kullanılabilir.
3 YÜKSEK
Bilgi Varlığı: Çok gizli / Gizli / Kişisel veri veya özel nitelikli kişisel veri içerir
Diğer: Gizli bilgi içerir ya da gizli bilginin işlemesi/taşınması için kullanılır.
BÜTÜNLÜK
OLASILIK DERECELENDİRME BASAMAKLARI
1 DÜŞÜK
Bilgi Varlığı: Bütünlüğü önemli bilgi değildir
Diğer: Bütünlüğü önemli bilgi içermez, varlığın kendisi kritik altyapıya hizmet vermemektedir
2 ORTA
Bilgi Varlığı: Varlık değişmeye veya bozulmaya karşı hassastır fakat çabuk geri döndürülebilir
Diğer: Varlığa bir zarar gelmesi durumunda kritik bilgi kontrol dışı kaybolmaz / değişmez. Varlık kritik altyapıya hizmet vermez.
3 YÜKSEK
Bilgi Varlığı: Varlık değişmeye veya kaybolmaya karşı hassastır. Geri dönüşü zordur veya yasal yaptırım doğurur.
Diğer: Kritik varlık barındırır. Kritik altyapılara hizmet verir. İş sürekliliği için önemlidir.
ERİŞİLEBİLİRLİK
OLASILIK DERECELENDİRME BASAMAKLARI
1 DÜŞÜK
Bilgi Varlığı: Erişilebilirliği önemli değildir
Diğer: Kritik altyapı üzerinde değil, erişilebilirliği önemli bir varlık barındırmaz.
2 ORTA
Bilgi Varlığı: Erişilebilirliği iş sürekliliği ve yasal yükümlülükler için önemlidir. Sadece kısa süreli olarak tolere edilebilir.
Diğer: Kritik sistemler üzerinde, erişilebilirliği önemli varlıklar barındırıyor, bu varlıklar için destek altyapısı içinde (izleme, iklimlendirme…), yedekli,
3 YÜKSEK
Bilgi Varlığı: Anlık Erişilebilirlik iş sürekliliği ve yasal yükümlülükler açısından çok önemlidir
Diğer: Kritik altyapı üzerinde, anlık erişilebilirliği önemli bilgi varlıkları içeriyor, yedeksiz
Varlıklar tanımlanırken “Bilgi Varlıkları”, “Yazılım Varlıkları”, “Fiziksel Varlıklar” ve
“Lokasyon” olarak gruplandırılır.
Varlık Gurupları Listesi
Varlık Grup Tanımı (Açıklama / Örnek
Bilgi Varlıkları
Kurum içinde oluşturulan ve işlenen tüm bilgiler bu gruptadır.
(Veritabanları, veri dosyaları, sistem dökümantasyonu, kullanıcı kılavuzları, eğitim kayıtları, işletme ve destek işlemlerine ait bilgiler, süreklilik planları…)
Lokasyon Bilgi depolamak için oluşturulmuş fiziksel ortamlar ve güvenli çalışma alanları (arşiv, sistem odası, elektrik odasıi trafo odası/binası, ar-ge departmanı…) Yazılım Varlıkları
Kurumdaki kullanılan tüm yazılımlar/uygulamalar.
(Uygulama yazılımları, sistem yazılımı, geliştirme ortamları, sanallaştırma platformları…)
Fiziksel Varlıklar
Fiziksel varlıklar
(Bilgisayar, sunucu, network aktif cihazları, santral, manyetik ortam aletleri, ısıtma, aydınlatma, görüntüleme, elektrik ve iklimlendirme altyapıları…)
Bilgi varlıkları gizlilik sınıfları, etiketleme kuralları ve tüm etiketler için yönetme, saklama, etiketleme kuralları aşağıdaki gibidir;
9 BİLGİ GÜVENLİĞİ POLİTİKALARI
Politika Listesi
Dok. Kodu Poltika İsmi
P01 Varlıkların Kabul Edilebilir Kullanımı Politikası P02 Personel Güvenliği Politikası
P03 İnternet Erişim ve Kullanım Politikası P04 Temiz Masa Temiz Ekran Politikası P05 E-Posta Politikası
P06 Şifre Politikası
P07 Mobil Cihaz Kullanım Politikası P08 Anti Virüs Politikası
P09 Bilgi Transferi politikası P10 Fiziksel Güvenlik Politikası P11 Kablosuz Erişim Politikası P12 Bilgi Sınıflandırma Politikası P13 Erişim politikası
P14 Firmalar İçin Uzaktan Erişim Politikası
P15 Fikri Mülkiyet Haklarının Korunması Politikası P16 Sanal Özel Ağ (VPN) Politikası
P17 Uzaktan Erişim Politikası
P18 Teknik Açıklık Yönetimi Politikası P19 Güvenli Geliştirme Politikası P20 Bakım Politikası
P21 Kriptografik Kontroller ve Anahtar Yönetimi Politikası P22 Değişim Yönetimi Politikası
P23 Bilgi Sistemleri Yedekleme Politikası P24 Sunucu Kullanım Politikası
P25 Ağ Yönetimi ve Ağ Cihazları Güvenliği Politikası P01 Varlıkların Kabul Edilebilir Kullanımı Politikası
1. Genel Kullanım Ve Sahip Olma
Kurumun güvenlik sistemleri kişilere makul seviyede mahremiyet sağlasa da kurumun bünyesinde oluşturulan tüm veriler kurumun mülkiyetindedir.
Çalışanlar bilgi sistemlerinden kendi kişisel kullanımı için makul seviyede yararlanabilirler.
Birimlerde kurumun koyduğu BGYS politikaları geçerlidir.
Kullanıcı herhangi bir bilginin çok kritik olduğunu düşünüyorsa güvenliğini sağlamakla ve yetkisiz kişilerle paylaşmamakla sorumludur.
Güvenlik ve ağın bakımı amacı ile yetkili kişiler cihazları, sistemleri ve ağ trafiğini burada tanımlanan politikalar çerçevesinde gözlemleyebilir. Kurum, bu politika çerçevesinde ağları ve sistemleri periyodik olarak denetleme hakkına sahiptir.
Bütün bilgisayarlar domaine yapısına dahildir. Domaine bağlı olmayan bilgisayarlar yerel ağa alınmaz, yerel ağdaki cihazlar ile bu tür cihazlar arasında bilgi alışverişi BGYS ekibinin belirlediği kontroller dahilinde gerçekleştirilir.
Bilgisayarlarda oyun ve eğlence amaçlı programlar çalıştırılamaz, çoğaltılamaz veya kopyalanamaz.
Bilgisayarlar üzerinden işle ilgili belgeler haricinde dosya alışverişinde bulunulmaz.
Kurumda sorumlu Bilgi Teknolojileri personeli ve ilgili teknik personel dışında bilgisayarlar üzerindeki ağ ayarları, kullanıcı tanımları, kaynak profilleri, zaman ayarları vb. üzerinde mevcut yapılan düzenlemeler hiçbir surette değiştirilemez.
Bilgisayarlara hiçbir surette lisanssız program yüklenemez.
Gerekmedikçe bilgisayar kaynakları paylaşıma açılamaz. Kaynakların paylaşıma açılması halinde de mutlaka şifre politikasına göre hareket edilir.
2. Güvenlik Ve Kişiye Ait Bilgiler
Bilgi sistemlerinde bulunan kritik bilgilere yetkisiz kişilerin erişimini engellemek için gerekli erişim hakları tanımlanmıştır. Yetkilendirme ilgili prosedür kapsamında Bilgi Teknolojileri Departmanı tarafından yönetilir.
Şifreleri güvenli bir şekilde saklanır ve hesap bilgileri başka kimselerle paylaşılamaz. Sistem seviyeli şifreler ve kullanıcı seviyeli şifreler ise en çok 90 günde bir değiştirilir
Bütün PC ve Laptoplar otomatik olarak 15 dakika içerisinde şifreli ekran korumasına geçer Laptop bilgisayarlar güvenlik açıklarına karşı koruma altındadır.
Kullanıcı, taşınabilir cihazların (laptop, tablet, telefon, harici disk, IoT Cihazları...) çalınması / kaybolması / imha olması durumunda, durumu fark ettikten sonra en kısa zamanda BGYS ekibine haber vermekle sorumludur.
Gelen elektronik postalarla ilgili en önemli kontrol kullanıcı farkındalığıdır. Çalışanlar bilinmeyen kimselerden gelen elektronik postalardaki dosyaları açmadan bilgi güvenliği ekibine ya da bilgi teknolojileri ekibine bildirirler. Çünkü bu elektronik postalar virüs, e-mail bombaları ve Truva atı gibi zararlı kodları içerebilirler.
3. Sistem Ve Ağ Aktiviteleri
Herhangi bir kişi veya kurumun izinsiz kopyalama, ticari sır, patent veya diğer kurum bilgileri, yazılım lisansları vs. haklarını çiğnemek,
Kitapları izinsiz kopyalamak, magazinlerdeki fotoğrafları dijital formata dönüştürmek, lisans gerektiren yazılımları kopyalamak,
Zararlı programları ağa veya sunuculara bulaştırmak,
Kullanıcı/admin hesabınının şifresini başkalarına vermek veya kullanıcı/admin hesabını kullandırmak (Bu evde çalışırken aile bireylerini de kapsar.),
Kurumun bilgisayarlarını kullanarak taciz veya yasadışı olaylara karışmak, Kurumun bilgisayarını iş dışında kişisel amaçla kullanmak,
Ağ güvenliğini etkilemek, ağ haberleşmesini bozmak, Kimlik tanıma yöntemlerinden kaçmak,
Bilgi teknolojileri departmanından izinsiz olarak program/script/komut kullanmak,
Kurum bilgilerini kurum dışından üçüncü şahıslara iletmek,
Kullanıcıların kişisel bilgisayarları üzerine Bilgi Teknolojileri departmanı onayı alınmaksızın herhangi bir çevre birimi bağlantısı yapmak,
Kurumun politikaları olarak belirlediği programlar dışında kaynağı belirsiz olan programları kurmak ve kullanmak yasaktır.
4. E-Mail ve Haberleşme Aktiviteleri
E-mail hesaplarını, kurum dışında web posta sistemini güvenliğinden emin olunmayan bir cihazdan kullanmak,
İstenilmeyen e-posta mesajlarını iletilmek.
E-posta veya telefon vasıtası ile taciz etmek,
E-posta başlık bilgilerini yetkisiz kullanmak veya değiştirmek, Zincir e-postaları oluşturmak veya iletmek,
Kurum içi bilgileri 3. şahışlar ile paylaşmak,
İş ile alakalı olmayan mesajları birçok haber gruplarına iletmek yasaktır.
P02 Personel Güvenliği Politikası
Çeşitli seviyelerdeki bilgiye erişim hakkının verilmesi için personel yetkinliği ve rolleri kararlaştırılmıştır.
Yetkisi olmayan personelin, kurumdaki gizli ve hassas bilgileri görmesi veya elde etmesi yasaktır.
Bilgi sistemlerinde sorumluluk verilecek kişinin özgeçmişinin araştırılması, beyan edilen akademik ve profesyonel bilgiler teyit edilmesi, karakter özellikleriyle ilgili tatmin edici düzeyde bilgi sahibi olmak için iş çevresinden ve dışından referans sorgusu gerçekleştirilmesi zorunludur.
Kritik bilgiye erişim hakkı olan çalışanlar ile gizlilik anlaşmaları imzalanır.
BT ve İK departmanı tarafından kurumsal bilgi güvenliği bilinçlendirme eğitimleri düzenlenir.
Çalışanlar telefon görüşmeleri yaparken civardakiler tarafından işitilebileceği veya dinlenebileceği için hassas bilgilerin konuşulmaması konusunda bilinçli olmalıdır.
Çalışanlar kamuya açık alanlarda, açık ofis ortamlarında ve ince duvarları olan odalarda gizliliği olan konuşmaların yapılmaması konusunda bilinçli olmalıdır.
İş tanımı değişen veya kurumdan ayrılan kullanıcıların erişim hakları düzenlenmekte ya da pasife alınmaktadır.
Kurum bilgi sistemlerinin işletilmesinden sorumlu personelin konularıyla ilgili teknik bilgi düzeylerini güncel tutmaları çalışma sürekliliği açısından önemli olduğundan eğitim planlamaları periyodik olarak yapılır, eğitimlere katılım sağlanır ve eğitim etkinliği değerlendirilir.
Yetkiler “görevler ayrımı” ve “en az ayrıcalık” esasdır. “Görevler ayrımı” rollerin sorumlulukların paylaştırılması ile ilgilidir ve bu paylaşım sayesinde kritik bir sürecin tek kişi tarafından kırılma olasılığı azaltılır. “En az ayrıcalık” ise kullanıcıların gereğinden fazla yetkiyle donatılmamaları ve sorumlu oldukları işleri yapabilmeleri için yeterli olan asgari erişim yetkisine sahip olmaları demektir.
Çalışanlar kendi işleri ile ilgili olarak bilgi güvenliği sorumlulukları, riskler görev ve yetkileri hakkında periyodik olarak sunumlara katılmalıdır. Yeni işe alınan elemanlar için de bu eğitim, oryantasyon sırasında verilir.
Çalışanların başka görevlere atanması ya da işten ayrılması durumlarında işletilecek süreçler tanımlıdır. Erişim yetkilerinin, kullanıcı hesaplarının, laptop, telefon, token (şifrematik), akıllı kart gibi donanımların iptal edilmesi, geri alınması veya güncellenmesi sağlanır, varsa devam eden sorumluluklar kayıt altına alınır.
P03 İnternet Erişim ve Kullanım Politikası
Kurumun bilgisayar ağı erişim ve içerik denetimi yapan bir firewall üzerinden internete çıkacaktır.
Ağ güvenlik duvarı (firewall), kurumun ağı ile dış ağlar arasında bir geçit olarak görev yapan ve İnternet bağlantısında kuruluşun karşılaşabileceği sorunları önlemek üzere tasarlanan cihazlardır. Ağın dışından ağın içine erişimin denetimi burada yapılır. Güvenlik duvarı aşağıda belirtilen hizmetlerle birlikte çalışarak ağ güvenliğini sağlar.
