Bilgi Güvenliği Politikası

Rol

Sorumluluk

Bilgi Güvenliği Komitesi

·       Bilgi güvenliği stratejilerinin belirlenmesi.

·       Bilgi Güvenliği Yönetim Sistemi dokümanlarının gözden geçirilmesi ve onaylanması.

·       Bilgi güvenliği altyapısının kurulması ve sürdürülmesi için kaynak ayrılması.

·       Risk değerlendirmesinde kabul edilebilir risk seviyesinin belirlenmesi, kabul edilebilir risk seviyesinin gözden geçirilmesi.

·       Risk işleme aksiyon çalışmalarını takip etmek ve onaylamak.

·       Risk kabul kriterlerini belirlemek.

·       Bilgi varlıklarının gözden geçirilmesini sağlamak.

·       Bilgi varlıkları için kabul edilen risklerin ve bu risklerin iş gereksinimlerindeki değişikliklerin gözden geçirilmesi.

·       Bilgi Güvenliği Koordinasyon Ekibinin görevlendirilmesi ve çalışmalarının izlenmesi.

·       Bilgi güvenliği kapsamında süreklilik çalışmalarının yürütülmesi için ihtiyaç duyulan kaynakların sağlanması.

·       Bilgi güvenliği kapsamında iş sürekliliği planlarının hazırlanmasını, işletilmesini ve sürdürülmesini kontrol eder.

·       Acil durumlarda karar alma, paydaşlarla iletişim ve benzeri çalışmaları yönlendirir.

·       Kapasite planlamasını gözden geçirir.

Bilgi Güvenliği Koordinasyon Ekibi

·       Bilgi Güvenliği Politikasında belirtilen hedeflerin uygulanması için çalışmak.

·       Sorumluluk alanındaki bilgi varlıklarının tanımlanmasını sağlamak.

·       Sorumluluk alanındaki risklerin belirlenmesi, değerlendirilmesi ve gerekli aksiyonların takibi çalışmalarını yürütmek.

·       Risk İşleme Planını oluşturmak ve Bilgi Güvenliği Komitesine sunmak.

·       Düzeltici faaliyetlerin uygulanmasını koordine etmek ve izlemek.

·       Fiziksel güvenliğin sağlanması için planlamalar yapmak.

·       Acil durumlarda hasar tespit çalışması yapmak veya yaptırmak. Hasar tespit sonuçlarını Bilgi Güvenliği Komitesine sunarak sürekliliğin sağlanması ile ilgili kararlara destek vermek.

·       Bilgi güvenliği kapsamında hazırlanan iş sürekliliği planının işletilmesine karar verildiğinde, planı işletmek ve Bilgi Güvenliği Komitesine gerekli raporlamaları yapmak.

·       Acil durumlarda kurtarma/süreklilik ekiplerinin koordinasyonunu sağlamak.

·       Risk değerlendirmesinin düzenli olarak yapılmasını sağlamak.

·       Risk değerlendirme çalışmalarının güncel tutulmasını sağlamak.

·       İş sürekliliği planlarının ve ilgili kurtarma planlarının hazırlanmasını, uygulanmasını ve güncel tutulmasını sağlamak. Tatbikat sonuçlarını Bilgi Güvenliği Komitesine raporlamak.

·       Bu plan doğrultusunda gerekli eğitim programlarını hazırlamak ve çalışanların eğitimlerini koordine etmek.

Bilgi Güvenliği Yöneticisi

·       Bilgi Güvenliği Yönetim Sistemi güvenlik politikaları, prosedürleri ve talimatlarının uygulanmasını takip etmek.

·       Bilgi Güvenliği Yönetim Sisteminin performansının yönetime raporlanmasını sağlamak.

·       Sistemin güvenlik ihtiyaçlarını gözden geçirmeler ve düzeltici faaliyetler yoluyla ortaya çıktıkça belirlemek. İhtiyaçların karşılanmasını koordine etmek.

·       Bilgi Güvenliği Yönetim Sistemi dahilinde tanımlanan rol ve sorumlulukları denetlemek ve güvenlik sorunlarına müdahale etmek. Çözüm için gerekli aksiyonları koordine etmek.

·       Sistemin güvenli ve sürekli çalışır halde tutulmasını sağlamak.

·       Bilgi varlık envanterlerinin güncellenmesi ve risk değerlendirme çalışmaları için Bilgi Güvenliği Koordinasyon Ekibine liderlik etmek. Gerekli çalışmaların yapılmasını sağlamak.

·       Periyodik olarak gerçekleştirilecek güvenlik testlerinde, güvenlik testlerini gerçekleştiren kurum/kuruluş ile koordinasyonu sağlamak. Test sonuçlarındaki eksiklikler için gerekli düzeltmelerin yapılmasını takip etmek.

·       Depolama ortamlarının ve içeriklerinin güvenliğinin koordine edilmesi.

·       Yedeklenen verilerin güvenliğinin koordine ve takip edilmesi.

·       Bilgi sistemlerine ait olan ve doğrudan erişilebilen alanlar için fiziksel güvenlik erişim yetkilendirme düzenlemelerinin sağlanması

·       Ofislerin ve güvenli alanların düzenli olarak kontrol edilmesini sağlamak ve güvenlik açıklarının tespiti ve düzeltilmesi için ilgili kişileri uyarmak.

·       Raporlanan ihlal olaylarını, takip aksiyonlarını ve sonuçlarını Bilgi Güvenliği Komitesine sunmak.

·       İhlal olaylarına müdahale sırasında gerekli gördüğü durumlarda uzmanlardan (Kurum ile 3. Taraf arasında imzalanan Hizmet Sözleşmesine uygun olarak) görüş talep etmek.

·       Risk değerlendirme çalışmalarında bir önceki risk değerlendirme çalışmasının sonuçlarını dikkate almak.

·       Sistem güvenlik testlerini planlamak ve sertleştirme ihtiyaçlarını belirlemek.

·       Bilgi Güvenliği Koordinasyon Ekibine liderlik etmek.

·       Bilgi Güvenliği Yöneticisi performans değerlendirme çalışmalarını koordine eder ve performans ölçümlerinin yapılmasını sağlar.

·       Erişim hakları listelerinin güncel tutulmasından sorumludur. Her türlü değişikliği kayıt altına alır ve gerekli düzenlemeleri/yetkileri günceller.

·       Sistem güvenlik bileşenlerinin düzgün çalıştığını periyodik olarak kontrol eder ve/veya uygulanmasını koordine eder ve izler. Bu sistemlerin güncellemelerinin yapıldığından emin olur.

·       Sorumlu olduğu varlıklardaki açıkların, varlıkların üreticileri ile iletişime geçerek ve literatürü takip ederek kapatılmasını sağlamak.

·       Güvenlik duvarları ve saldırı tespit/engelleme sistemi, URL filtreleme, anti-virüs sistemlerinin yönetiminde görev almak, bu güvenlik cihazlarını Bilgi güvenliği politika ve prosedürlerine uygun olarak yapılandırmak veya ilgili sistem operatörlerine yaptırmak.

·       Bilgi sistemlerinin işletilmesinden sorumlu olmak.

·       Bilgi sistemlerinin güncelleme takibini yapmak.

·       Zaman içerisinde sistemde yapılacak değişiklikleri planlamak, koordine etmek ve uygulamak.

·       Sistemlerde ortaya çıkabilecek sorunlara müdahale etmek. Gerekli müdahalenin kendi görev kapsamında olmaması halinde gerekli koordinasyonu yapmak.

·       Sistemde yapılan değişikliğin başarılı olup olmadığını izlemek ve kayıt altına almak. Arıza durumunda eski konfigürasyona geri dönüşe izin vermek.

·       Sorumlu olduğu sistemlerle ilgili yedek parça, envanter ve satın alma takibini yapmak.

·       Kuruma ait rezervleri düzenli olarak kontrol etmek, sevkini koordine etmek, kurum dışındaki depolama alanlarının sevk ve idaresini yapmak ve uygulanmasını sağlamak. Felaket kurtarma çalışmalarında gerekli yedeklere ulaşılması, çalışılması ve sisteme yüklenmesi faaliyetlerinde aktif rol almak.

·       Test edilen sistem değişikliklerinin uygulanmasından sorumludur.

·       Ağ bileşenlerinin ve bilgi varlıklarının işletilmesinden sorumludur. Yönlendirici, anahtarlama cihazı, kablosuz erişim noktaları, kablolama vb. ağ altyapısının çalışması için gerekli varlıkların işletilmesinden sorumludur.

·       Kurum içindeki ve kurumu dış dünyaya bağlayan ağ bağlantıları üzerindeki operasyondan sorumludur. Bu alanlarda gerekli güvenlik önlemlerinin planlanması ve uygulanması.

·       Onaylanan sistem değişikliklerinin sistem operatörleri tarafından uygulanmasını koordine etmek ve izlemek.

·       Kayıtların 5651 sayılı İnternet Suçlarıyla Mücadele Kanununa uygun olarak tutulmasını ve en az kanunda belirtilen süre kadar saklanmasını sağlamak.

·       Kurum bünyesinde çalışmaya başlayan personelin e-posta sistemlerinde gerekli hesapların açılmasını sağlamak. İşten ayrılan personelin gerekli hesaplarının kapatılmasını ve yetkilerinin kaldırılmasını sağlamak.

·       Tüm hesap ve yetkilendirme işlemlerinin doğru işlemesi için gerekli tedbirleri almak ve uygulamak.

·       İşletim sistemi üzerinde kurulu bilgi varlıklarının işletilmesinden sorumludur.

·       Sistemlerin güvenlik iyileştirmeleri için düzenli olarak kontrol edilmesi ve gerekli değişikliklerin test ortamında test edilerek canlı sistemde gerçekleştirilmesinin sağlanması.

·       Kurumun bilgi varlıklarını tutan veri tabanı sistemlerinin işletilmesinden sorumludur.

·       Depolama ortamlarının ve içeriklerin güvenliğini koordine etmek.

·       Ofislerin ve güvenli alanların düzenli olarak kontrol edilmesini sağlamak ve güvenlik açıklarının tespiti ve düzeltilmesi için ilgili kişileri uyarmak.

Bilgi Varlık Envanteri Sorumlusu

·       Bilgi varlıklarının değeri değiştiğinde, yeni varlıklar eklendiğinde veya varlıklar çıkarıldığında gerekli görülmesi halinde risk değerlendirme ve risk işleme eylem çalışmalarının başlatılması

·       Gerektiğinde bilgi varlığı envanterinin güncellenmesi.

·       Bilgi Güvenliği Yönetim Sistemi dokümantasyonundan sorumludur.

Risk Sahibi

·       Riskin yönetimi ile ilgili gerekli yetki, kaynak ve otoriteye sahip kişidir.

·       Risk işleme eylem görevlerini takip etmek ve onaylamak.

·       Kalan risklerin gözden geçirilmesi ve onaylanması.

Tüm Çalışanlar

·       Kurum bünyesinde çalışacak personelin mesleki yeterliliklerinin doğruluğu ve kimlik testleri İnsan Kaynakları tarafından gerçekleştirilir. Gizlilik Sözleşmesi ve Bilgi Güvenliği El Kitabında personelin gizlilik sorumlulukları da belirtilir ve personelin kabul ettiğine dair imzası alınır. Personel bu sözleşmeyi imzalamakla tabi olduğu kanun, yönetmelik ve yönergeleri kabul etmiş sayılır.

·       Üst Yönetim tarafından görevlendirilen Bilgi Güvenliği Yöneticisi tarafından kendisine bildirilen bilgi güvenliği ile ilgili diğer görevleri yerine getirmek.

·       Gerek kurum çalışanlarına gerekse kurum dışındakilere ait kişisel bilgilerin yetkisiz kişilerle paylaşılmasını önlemek için gerekli tedbirleri almakla sorumludurlar.

·       Grant Thornton Türkiye bünyesinde kullanılan tüm yazılımların lisanslı olması yasal bir zorunluluktur. Kurumun tüm çalışanları, çalışmalarında lisanslı yazılım kullanmak ve BT ortamlarında lisanssız yazılım kullanımı konusunda yöneticilerini bilgilendirmekle yükümlüdür.

·       Yürürlükteki tüm yasa ve yönerge gerekliliklerine, şirket içinde yayınlanan yönetmelik ve talimatlara uymakla sorumludur.

·       Grant Thornton Türkiye çalışanları, Bilgi Güvenliği Politikasına, diğer politika, prosedür ve talimatlara uymakla sorumludur.

·       Grant Thornton Türkiye çalışanları, bilgi güvenliği farkındalık seviyesini artırmak için düzenlenen eğitim, test ve tatbikatlara katılmakla sorumludur.

Politika

Tanım

Acceptable Usage Policy

(Kabul Edilebilir Kullanım Politikası)

Bu politikanın amacı, kurumun bilgisayar ekipmanlarının ve bilgi teknolojisi hizmetlerinin kabul edilebilir kullanımını ana hatlarıyla belirtmektir. Bu kurallar kullanıcıları ve kurumu korumak için konulmuştur. Uygunsuz kullanım kurumu virüs saldırıları, ağ sistemlerinin ve hizmetlerinin tehlikeye girmesi ve yasal sorunlar gibi risklere maruz bırakır. Bu politikanın amacı, bireylerin bilgi ve sistemlere yönelik riskleri istemeden artırmalarını önlemektir.

Access Control Policy

(Erişim Kontrol Politikası)

Bu politikanın amacı, Grant Thornton Türkiye'nin bilgi ve sistemleri için erişim kontrolü ve kullanıcı yönetiminin nasıl yönetileceğine dair rehberlik sağlamaktır.

Awareness and Training Policy

(Farkındalık ve Eğitim Politikası)

Bu politikanın amacı, Grant Thornton Türkiye'nin verilerine erişimi olan tüm kullanıcılara, ortaklara ve yüklenicilere, kurumun verilerinin güvenliğini sağlamanın önemini anlamaları için Bilgi Güvenliği Farkındalık Eğitimi verilmesini sağlamaktır. Kurum, kurumun verilerinin güvende olmasını sağlayan bir kültür oluşturmayı amaçlamaktadır. Bu politika ve ilgili prosedürler, güvenlik farkındalığı ve eğitimi için asgari gereklilikleri belirler.

Backup Policy

(Yedekleme Politikası)

Bu politikanın amacı, veri kaybına karşı koruma sağlamak ve önceden tanımlanmış zaman çizelgelerine uygun olarak zamanında kurtarma gerçekleştirmektir. Politika, Grant Thornton Türkiye tarafından geliştirilecek ve uygulanacak olan, BT sistemlerini, uygulamalarını ve verilerini büyük bir kesintiye neden olan her türlü felaketten kurtarma sürecini tanımlayacak bir temel ve program yedekleme planı gerekliliğini tanımlar.

Change Management Policy

(Değişiklik Yönetimi Politikası)

Grant Thornton Türkiye'deki BT sistemlerinin bütünlüğünü, güvenliğini ve kullanılabilirliğini korumak için, mevcut sistem ve hizmetlerde gerekli değişiklikleri, geliştirmeleri ve yeni hizmetlerin sunulmasını kontrol etmek amacıyla sağlam ve zorunlu bir Değişiklik Yönetimi Politikası uygulanmalıdır. Bu politikanın amacı, değişikliklerin doğru bir şekilde uygulanmasını ve iş uygulamalarının, bilgisayar sistemlerinin ve ağların güvenliğini tehlikeye atmamasını sağlamaktır.

Data Classification Policy

(Veri Sınıflandırma Politikası)

Bu Politikanın amacı, Grant Thornton Türkiye'de kullanılan veya Grant Thornton Türkiye'nin sahip olduğu, müşteriler ve kullanıcılar hakkındaki bilgilerin yanı sıra kurumsal ve fikri mülkiyet bilgileri de dahil olmak üzere verilerin sınıflandırılmasına ilişkin gereklilikleri ve kontrolleri ana hatlarıyla belirlemektir.

Data Retention Policy

(Veri Saklama Politikası)

Grant Thornton Türkiye, yalnızca iş faaliyetlerini etkin bir şekilde yürütmek için gerekli olan verileri saklamayı amaçlamaktadır. Verilerin saklanması ihtiyacı, verilerin türüne ve toplanma amacına göre büyük ölçüde değişmektedir. Kuruluş, verilerin yalnızca toplanma amacını yerine getirmek için gerekli olan süre boyunca saklanmasını ve artık gerekli olmadığında tamamen silinmesini sağlamaya çalışmaktadır. Bu politika, kuruluşun veri saklama konusundaki kılavuz ilkelerini ortaya koyar ve kuruluş genelinde tutarlı bir şekilde uygulanmalıdır.

Incident Management Policy

(Olay Yönetimi Politikası)

Bu politikanın amacı, kuruluşun bilgi veya teknoloji varlıklarına veya hizmetlerine yönelik güvenlik olaylarına kontrollü müdahale için plan ve prosedürlerin tanımlanmasını sağlamaktır.

IT Asset Management Policy

(BT Varlık Yönetimi Politikası)

Bu politika, etkin varlık yönetimini desteklemek için teknik ve idari kontrolleri belirler ve uygular. Politika, özellikle kurum içindeki BT ekipmanlarına odaklanarak, etkili kurumsal varlık yönetimini destekleyen prosedürler ve protokoller sağlar.

Risk Management Policy

(Risk Yönetimi Politikası)

Bu politikanın amacı, aşağıdakileri gerçekleştirmek için Grant Thornton Türkiye'nin bilgi veya teknoloji varlıklarına veya hizmetlerine yönelik potansiyel veya mevcut riskleri tanımlamak ve yönetmek için gereklilikleri ana hatlarıyla belirtmektir:

Üst düzey liderlerin/ yöneticilerin bilgi güvenliği riskini yönetmenin önemini kabul etmelerini ve bu riski yönetmek için uygun yönetişim yapıları oluşturmalarını sağlamak.

Kurumun risk yönetimi sürecinin kurum, misyon/iş süreçleri ve bilgi sistemleri olmak üzere üç kademede etkin bir şekilde yürütülmesini sağlamak.

Bilgi güvenliği riskinin misyon/iş süreçlerinin tasarımı, kapsayıcı bir kurumsal mimarinin tanımı ve sistem geliştirme yaşam döngüsü süreçleri bağlamında değerlendirildiği bir kurumsal iklimi teşvik etmek.

Bilgi sistemlerinin uygulanması veya işletilmesinden sorumlu olan bireylerin, kendi sistemleriyle ilişkili bilgi güvenliği riskinin, nihai olarak misyon/iş başarısını etkileyebilecek kurum çapında riske nasıl dönüştüğünü daha iyi anlamalarına yardımcı olmak.

Systems Development Lifecycle Policy

(Sistem Geliştirme Yaşam Döngüsü Politikası)

Sistem Geliştirme Yaşam Döngüsü (SDLC) Politikasının amacı, Grant Thornton Türkiye'de yeni yazılım ve sistemlerin geliştirilmesi ve/veya uygulanması için gereklilikleri tanımlamak ve geliştirme çalışmalarının her türlü düzenleyici, yasal ve güvenli geliştirme standartlarına uygun olmasını sağlamaktır.

Bilgi güvenliği yeterince dikkate alınmalı ve SDLC'nin her aşamasına dahil edilmelidir.  Risklerin belirlenmemesi ve uygun kontrollerin uygulanmaması, yetersiz güvenlikle sonuçlanabilir ve potansiyel olarak kurumları veri ihlalleri, itibar kaybı, kamu güveninin kaybı, sistemlerin/ağların tehlikeye girmesi, mali cezalar ve yasal sorumluluk riskiyle karşı karşıya bırakabilir.

Vulnerability Management Policy

(Zafiyet Yönetimi Politikası)

Bu politika, bilgisayarlara, ağlara ve/veya teknoloji sistemlerine erişimi olan satıcılar, yükleniciler, 3. taraf hizmet sağlayıcılar, danışmanlar ve diğer geçici misafirler dahil olmak üzere tüm Grant Thornton Türkiye kullanıcıları, ortakları ve tedarikçileri için geçerlidir.

Kapsam dahilindeki sistemler aşağıdakileri içerir (ancak bunlarla sınırlı değildir):

Ağ varlıkları (anahtarlar, yönlendiriciler, depolama, iletişim vb.)

İşletim sistemi ve yüklü uygulamalar/yazılımlar dahil olmak üzere tüm ana bilgisayar (hipervizör) ve uç nokta sistemleri (bilgisayarlar, sunucular).

Uç/internete dönük hizmetler (harici IP'ler)

Tüm bulut platformu dağıtımları (IaaS ve PaaS)

Yönetilen bilgi işlem kaynakları (sanal makineler)

Information Security Policy

(Bilgi Güvenliği Politikası)

Bu politikanın amacı, kuruluşun bilgi güvenliği konusundaki yönünü ve taahhüdünü belgelemek ve bunu ilgili tüm bireylere iletmektir. Bu politika üretilmeli ve firmanın bilgi ve sistemlerine erişimi olan tüm bireylere iletilmelidir.