Paketler İletişim
Kurumsal/Dokümanlar

Spiltech.

BGYS Politikası

ERİŞİM POLİTİKASI

1.0. AMAÇ

Bu politikanın amacı Spiltech tarafından sunulan hizmetlerin veri güvenliğini ve sürdürülebilirliğini en üst düzeyde tutmak ve olası bilgi kayıplarını en aza indirgemek için çalışan personelin fiziksel ve yazılımsal erişim yetkilerini belirlemektir.

2.0. KAPSAM

Bu politika Kuruluşun BGYS kapsamındaki mevcut ve yeni alınacak donanım ve yazılım varlıkları ile fiziksel alan erişimlerini kapsamaktadır.

3.0. SORUMLULUK

3.1. Politikanın uygulanmasından başta BGYS Temsilcisi olmak üzere Kuruluş içerisinde bilgi varlıklarına erişim hakkı verilen personel ve yükleniciler de dahil üçüncü taraflar sorumludur.

4.0. UYGULAMA

  1. Genel Kurallar:

Kuruluşta BGYS kapsamında erişim kontrolü kimlik doğrulama, yetkilendirme ve izlenebilirlik ile uygulanmaktadır. Buna göre Kimlik doğrulama ile sisteme hangi öznelerin giriş yapabileceği, Yetkilendirme ile öznelerin hangi işlemleri yapmaya veya hangi nesnelere erişmeye yetkili olduğu ve İzlenebilirlik ile öznelerin sistemde hangi işlemleri yaptıklarının veya hangi nesnelere eriştiklerinin bilinmesi ve gözlenebilmesi sağlanmaktadır.

  1. Kimlik Tanımlama
  2. Kuruluşta bilgi varlıklarına erişimi olan kullanıcılar kendine ait ve benzersiz olarak tanımlanmış hesapları (kullanıcı adı ve parola özellikleri vb.) oluşturulmuştur.
  3. Her kullanıcı kendisine ait kimliği korumaktan sorumludur.
  4. Kullanıcıların bir başkasına ait kimliği kullanarak Kuruluş bilgi varlıklarına erişimleri yasaklanmıştır.
  5. Kullanıcılar hesaplarını başkalarıyla paylaşamazlar.
  6. Kuruluşla ilişiği kesilen kullanıcıların hesapları BGYS Temsilcisi tarafından hemen kaldırılır.
  7. Kuruluş içerisinde görev değiştiren kullanıcıların hesapları iş gereksinimlerine göre kaldırılır veya yeniden düzenlenir.
  8. Belirli bir süre kullanılmayan kullanıcı hesapları devre dışı kalacaktır ve belirli bir süre devre dışı kalmış kullanıcı hesapları tamamen kaldırılacaktır.
  9. Kuruluş bilgi sistemlerine erişmesi gereken kullanıcılara kimlik tanımlamaları Windows kullanıcı hesapları ile sağlanmaktadır.
  10. Kimlik Doğrulama
  11. Yeni oluşturulan kullanıcı hesaplarına ait parolalar ilk girişlerde kullanıcılar tarafından değiştirilecektir.
  12. Kullanıcı hesaplarına ait parolalar oluşturulurken Şifre Güvenliği Politikasına uyulacaktır.
  13. Kullanıcılar kimlik doğrulama yaparak erişim sağladıkları sistemlerin başlarından ayrılırken sistemin erişime kapalı olmasını sağlayacaklardır.
  14. Başkaları tarafından öğrenildiğinden şüphelenilen parolalar hemen değiştirilecektir.
  15. Yetkilendirme
  16. Özel olarak yetkilendirme yapılmadığı sürece tüm bilgi varlıklarına erişim yasaklanmıştır.
  17. Kullanıcılara sadece iş sorumluluklarını veya iş gereksinimlerini yerine getirmelerine yetecek kadar yetkilendirme yapılacaktır.
  18. Herhangi bir şekilde fazla yetkiye sahip kullanıcıların bu yetkiyi kullanarak iş sorumluluklarının veya iş gereksinimlerinin dışında bilgiye ulaşması yasaklanmıştır.
  19. Erişim ve yetki seviyelerinin güncelliği bilgi sistemlerindeki bir değişiklik ya da personellerle ilgili değişiklikler de BGYS Temsilcisi tarafından sağlanacaktır.
  20. Fiziksel Erişim
  21. Kuruluş kritik varlıkların bulunduğu çalışma odalarına girişler anahtarla kilitlenerek kontrol edilmektedir.
  22. Çalışma odalarına girmeye yetkili olmayan ama bakım/onarım, danışmanlık vb. gibi amaçlarla çalışma odasında çalışma ihtiyacı olan kişiler yetkili kişilerin nezaretinde çalışma odalarına girebilirler.
  23. Ağ Erişimi
  24. Sadece Kuruluş tarafından yetkilendirilmiş cihazların, Kuruluş içi ağlara giriş izni vardır. Kuruluş içi ağlara erişim kimlik doğrulama ile yapılacaktır.
  25. Kullanıcıların Kuruluş tarafından sağlanan İnternet çıkışı dışında başka yollar (modem, kablosuz ağ, GSM bağlantıları v.b) üzerinden İnternet’e erişimleri Sistem yöneticisi veya BGYS Temsilcisi onayı ile ve kontrol altında gerçekleştirilir.
  26. Kuruluş ağına bağlı bir iş istasyonundan, dial–up modem ile internete bağlanmak yasaktır.
  27. Kuruluş dışından Kuruluşun bilgi ağı servislerine yapılacak bağlantılar Uzaktan Erişim Bölümünde anlatıldığı gibi yapılacaktır.
  28. Sadece Kuruluş tarafından yetkilendirilmiş bilgisayarların, Kuruluş içi ağa giriş izni vardır.
  29. Kuruluş ağına bağlı bir iş istasyonu, sadece bilgi güvenliği yöneticilerinin belirlediği gerekliliklerin karşılanması durumunda dış ağlarla iletişim kurabilir.
  30. Ziyaretçilerin yanlarında getirdikleri taşınabilir sistemler, Kuruluş iç ağı ile hiçbir ilişkisi olmayan bir ağ aracılığı ile internete bağlanacaktır.
  31. Donanımlara Erişim
  32. Kuruluşun altyapı ve donanım varlıkları belirlenmiş ve Varlık Envanter Listesinde listelenmiştir. Varlık envanter listesinde varlıkların sahibi ve kullanıcısı belirtilmiştir.
  33. Donanımlara erişim hakkı varlık envanterinde belirtilen varlığın sahibine ve kullanıcısına aittir. Kullanıcılar bilgisayarlarına Şifre Güvenliği Politikasına uygun olarak kimlik doğrulama ile erişilecektir.
  34. Gerekli durumlarda BGYS Temsilcisi veya yetkilendireceği kurum çalışanları erişim yetkisine sahip olurlar.
  35. Üçüncü Taraf Erişimleri
  36. Üçüncü tarafa ait şirketler/kuruluşlar Spiltech dahilinde herhangi bir hizmet kapsamında Spiltech’in bilgilerine ve bilgi sistemlerine erişim izni verilmeden önce risk analizi yapılmış olacaktır.
  37. Üçüncü tarafa ait şirketler/Kuruluşlar/kuruluşların erişecekleri varlıkların güvenliğinin sağlanmasından varlığın sahibi sorumludur.
  38. Uzaktan Erişim
  39. Kuruluş ağına Uzaktan Erişim sadece iş amacı için ve BGYS Temsilcisi onayı ile gerçekleştirilir.
  40. Uzak bağlantılar, BGYS Temsilcisinin belirleyeceği güçlü kimlik denetimi ile gerçekleştirilecektir.
  41. Uzak bağlantılarda yapılan tüm dosya yüklemelerinde Antivirüs Politikasına uyulacaktır.
  42. Kuruluş ağına uzaktan erişim esnasında aynı anda başka bir ağa bağlı olunmadığından emin olunmalıdır.
  43. Yaptırım:

Bu politikaya uygun olarak çalışmayan tüm personel hakkında Disiplin Prosedürü uygulanır.

Referans: Disiplin Prosedürü