1.  AMAÇ

Bu politikanın amacı, kurum personelinin, hızla değişen bilişim güvenliği ve güvenlik tehlikeleri konusunda bilgilendirilmesini sağlayacak koşulları oluşturmaktır. 

2.0. KAPSAM

Bu politika tüm kurum personelinin güvenlik bilinçlendirilmesi içindir.

3.0. SORUMLULUK

Bu politikanın uygulanmasından tüm personel ve BGYS Temsilcisi sorumludur.

4.0. UYGULAMA

4.1. Mevcut yazılımlar tedarikçilerden son güncel sürümlerinin düzenli aralıklarla kontrol edilmesi sağlanır. 

4.2. Değişiklik yapılan sistemlerde sistem üzerinde çalışan yazılımların son sürümlerinin bunulup bulunmadığı kontrol edilir. Sistem değişiklik onayları teknik takım yöneticisi tarafından güvenlik kriterlerine göre açıklıkların kontrol edilmesi sağlanır. 

4.3. Yazılım ve donanımlarda yapılan değişiklikler değişiklik iş süreçlerine dahil edilmeden önce teknik takım yöneticisi tarafından onaylanır. Güvenlik kriterleri değişikliği yapan personel tarafından her değişiklik sonrası test edilir. Test sonucu olumsuz çıktığından iş platformlarına dahil edilmez.

4.4. Teknik takım yönetici koordinasyonunda oluşturulacak ekip tarafından güvenli sistem mühendisliği prensipleri belirlenir.  Bu prensipler temel olarak;

• Tüm dizayn edilen sistemlerde güvenlik tehditleri dikkate alınır. 
• Tüm işlemlerde risk değerlendirme esas alınır, risklerin kabul edilebilir seviyeye indirilmesi esastır.
• Verilen hizmetlerin her aşamasında güvenlik açıklıkları tespit edilerek giderilmesi sağlanır.
• Kurum içi kritik dışarıya kapalı olması sağlanır. 
• Network cihazlarında giren ve çıkan bilgiler takip edilir ve sınırlandırılır. (Örnek firewall vb) 
• Hesap verilebilirlik prensibinin sağlanması için kurum içindeki tüm kullanıcıların kimlik tanımlanması kişiye özel olarak yapılmalıdır.

4.5. Güvenlik kriterleri uygulanırken şirketim iş yapılabilirlik seviyesi ve hizmet etkinliği olumsuz etkilenmeyecek şekilde planlanacaktır. 

4.6. Yaptırım:

Bu politikaya uygun olarak çalışmayan tüm personel hakkında Disiplin Prosedürü uygulanır.

Referans: Disiplin Prosedürü