Bilgi Güvenliği Politikamız

1. AMAÇ
Bilgi Güvenliği Yönetim Sistemi Politikalarının amacı KTO Karatay Üniversitesi personelinin, sistemlerinin, bilgi ve varlıklarının; gizlilik, bütünlük ve erişilebilirlik bakımından yapılması, uyulması gereken iş kurallarını hedeflemek ve bu hedefler kapsamında iş sürekliliğini sağlamaktır.

Kurumun amacı herhangi kimse üzerinde kısıtlayıcı politikalar üretmek değil aksine açıklık, güven ve bütünlüğe yönelik kültürü yerleştirmektir. Kurum bilerek veya bilmeyerek yapılan yasadışı veya zararlı eylemlerine karşı personelin ve kurumun haklarını korumaktadır. Bilgi güvenliğini sağlayabilmesi için tüm personel bilgi güvenliği politikalarını iyi bilmeli ve uygulamanın sorumluluğunu taşımalıdır.

2. KAPSAM
KTO Karatay Üniversitesi kurumunun tüm çalışanlarını kapsar.

3. SORUMLULUK
Bu prosedürün uygulanmasından Bilgi Güvenliği Yönetim Temsilcisi sorumludur.

4. YAPTIRIM
Bu politikalara uygun olarak hareket etmeyen tüm personeller hakkında Disiplin Yönetmeliğine göre, müşteriler, tedarikçiler ve ziyaretçiler için yasal süreçler dikkate alınarak uygulama yapılır.

5. POLİTİKALAR

1. P.01 İnternet Erişim Politikası
2. P.02 E-Posta Politikası
3. P.03 Anti-Virüs Politikası
4. P.04 Şifre Politikası
5. P.05 Fiziksel Güvenlik Politikası
6. P.06 Sunucu Güvenlik Politikası
7. P.07 Ağ Yönetimi Politikası
8. P.08 Uzak Bağlantı Vpn Politikası
9. P.09 Tedarikçi Ve Üçüncü Taraf Güvenlik Politikası
10. P.10 Kabul Edilebilir Kullanım Politikası
11. P.11 Temiz Masa Temiz Ekran Politikası
12. P.12 Mobil Cihazlar Politikası
13. P.13 Bilgi Güvenliği Olay Yönetim Politikası
14. P.14 Kimlik Doğrulama Ve Yetkilendirme Politikası
15. P.15 Kriptografik Kontroller Politikası
16. P.16 Veritabanı Güvenlik Politikası
17. P.17 Değişiklik Yönetimi Politikası
18. P.18 Güvenli Yazılım Geliştirme Politikası
19. P.19 Veri Yedekleme Ve İş Sürekliliği Politikası
20. P.20 EBYS Bilgi Güvenliği Politikası

P.01 İNTERNET ERİŞİM POLİTİKASI

Amaç
Bu politika; kurum içinde güvenli internet erişimi için sahip olması gereken standartları belirlemeyi amaçlamaktadır. İnternetin uygun olmayan kullanımı, kurumun yasal yükümlülükleri, kapasite kullanımı ve kurumsal imajı açısından istenmeyen sonuçlara neden olabilir. Bilerek ya da bilmeyerek bu türden olumsuzluklara neden olunmaması ve internetin kurallarına, etiğe ve yasalara uygun kullanımının sağlanmasını amaçlamaktadır.

Kapsam
Bu politika kurum internetini kullanan tüm çalışanları kapsamaktadır.

Politika

• KTO Karatay Üniversitesi bilgisayar ağı, erişim ve içerik denetimi yapan ağ güvenlik duvar(lar)ı üzerinden internete çıkmalıdır. Ağ güvenlik duvarı, kurumun ağı ile dış ağlar arasında bir geçit olarak görev yapan ve İnternet bağlantısında kurumun karşılaşabileceği sorunları önlemek üzere tasarlanan cihazlardır.
• Üniversite politikaları doğrultusunda içerik filtreleme sistemleri kullanılmalıdır. İstenilmeyen siteler (pornografi, oyun, kumar, şiddet içeren vs.) yasaklanmalıdır.
• Üniversite ihtiyacı doğrultusunda Saldırı Tespit ve Önleme Sistemleri kullanılmalıdır.
• Üniversite ihtiyacı ve olanakları doğrultusunda antivirüs sunucuları kullanılmalıdır. İnternete giden ve gelen bütün trafik virüslere karşı taranmalıdır.
• Kullanıcıların internet erişimlerinde firewall, antivirüs, içerik kontrol vs. güvenlik kriterleri hayata geçirilmelidir.
• Ancak yetkilendirilmiş kişiler internete çıkarken, normal kullanıcılarının bulunduğu ağdan farklı bir ağda olmak kaydıyla, bütün servisleri kullanma hakkına sahiptir.
• Çalışma saatleri içerisinde iş ile ilgili olmayan sitelerde gezinilmemelidir.
• İş ile ilgili olmayan (müzik, video dosyaları) dosyalar gönderilmemeli ve indirilmemelidir. Bu konuda gerekli önlemler alınmalıdır.
• Üçüncü şahısların internet erişimleri için misafir ağı erişimi verilmelidir.
• 5651 sayılı kanun (İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun) gereği kurum internet erişim kayıtları en az iki yıl arşivlenmektedir.
• Bilgisayarlar veya mobil cihazlar üzerinden yasalara aykırı internet sitelerine girmek ve dosya (film, müzik, program vb.) indirmek yasaktır.
• Tunnel platformları, VPN (Kurum Dışı VPN), PROXY ve DNS değişiklikleri yapılarak internete bağlanılması yasaktır.
• Başkalarının fikri haklarını ihlal edici (copyright) materyalin (yazı, makale, kitap, film, müzik eserleri vb.) dağıtımı yasaktır.
• Sistem ve ağ güvenliğinin ihlal edilmesi yasaktır, cezai ve hukuki mesuliyetle sonuçlanabilir. Kurum bu tür ihlallerin söz konusu olduğu durumları inceler ve bir suç oluştuğundan şüphe duyulursa Disiplin Prosedürüne göre karar alınır veya yasa uygulayıcısı ile işbirliği yapabilir.
• İnternet üzerinden kullanım amaçlarına uygunsuz, müstehcen, rahatsız edici materyaller ile kuruma ve kurumun çalışanlarına, çalışanların aile fertlerine veya Türkiye Cumhuriyeti devletine, ulusuna, yasama, yürütme ve yargı organlarına, askeri ve emniyet teşkilatına, vatandaşlarına yönelik iftira, karalama mahiyetinde mesajlar yayınlamak ve paylaşmak yasaktır.
• Kurum hesaplarına ait kullanıcı adı ve şifrenizin internet üzerinden paylaşılması yasaktır.
• Kurum içerisinde kullanılan kullanıcı adı ve şifreler ile sosyal hayatta kullanılan kullanıcı adı ve şifrelerinin aynı olması yasaktır.
• İnternet üzerinden yaptığınız kişisel işlemlerinizde (banka, alışveriş, mail vb.) oluşacak olumsuzluklardan kurumumuz sorumlu değildir. Ayrıca, kurum veya kişisel hesabınızı ele geçiren kişi veya kişiler sizin adınıza suç işleyebilir, bu işlemden mesul olabilirsiniz.
• İnternette gezinirken reklam veya bilgi çalmak amaçlı (tebrikler, ödül kazandınız, ödülünüzü almak için tıklayın vb.) aldatıcı resim ve yazılara karşı dikkatli olunmalı ve tıklanmamalıdır.
• Üçüncü şahısların internet hizmetine misafir interneti üzerinden erişeceklerdir.
• Kurum network ağına kurum dışı cihazların takılması yasaktır.
• Çalışanların kurum interneti kullanılarak erişimi sağlanan Whatsapp vb. programlar üzerinden kullanım amaçlarına uygunsuz, müstehcen, rahatsız edici materyaller ve kuruma ait görsel ve gizli bilgilerin paylaşılması yasaktır.

P.02 E-POSTA POLİTİKASI

Amaç
Bu politika; KTO Karatay Üniversitesi e-posta altyapısına yönelik kuralları ortaya koymaktadır.

Kapsam
Bu politika; kurum e-postasını kullanan tüm çalışanları kapsamaktadır.

Politika

• KTO Karatay Üniversitesi çalışanlarının kurum e-postalarından gönderdikleri, aldıkları veya sakladıkları e-postalar KTO Karatay Üniversitesi’nin bilgi varlığıdır. Bu yüzden yetkili kişiler gerekli durumlarda önceden haber vermeksizin e-posta mesajlarını denetleyebilir, yasal merciler ile paylaşabilir.
• KTO Karatay Üniversitesinde hizmet veren ve fiziki alanlarında çalışan tüm personel için kurumsal e-posta (@karatay.edu.tr) hesabı tahsis edilir ve tüm iş amaçlı e-postaların kurumsal e-posta hesabı ile gerçekleştirilmesi zorunludur.
• Kullanıcıya resmi olarak tahsis edilen e-posta adresi, kötü amaçlı ve kişisel çıkar amaçlı kullanılamaz.
• İş dışı konulardaki haber grupları kurumsal e-posta adres defterine eklenemez.
• Kurumun e-posta sunucusu, kurum içi ve dışı başka kullanıcılara Spam (istenmeyen e-posta), Phishing (kimlik avı) mesajlar göndermek için kullanılamaz.
• Kurum içi ve dışı herhangi bir kullanıcı ve gruba; küçük düşürücü, hakaret edici ve zarar verici nitelikte e-posta mesajları gönderilemez.
• İnternet haber gruplarına mesaj yayımlanacak ise, kurumun sağladığı resmi e-posta hesabı kullanılamaz.
• Hiçbir kullanıcı, gönderdiği e-posta adresinin "Kimden" bölümüne yetkisi dışında başka bir kullanıcıya ait e-posta adresini yazamaz.
• Personel konu alanı boş bir e-posta mesajı göndermemelidir.
• Konu alanı boş ve kimliği belirsiz hiçbir e-posta açılmamalı ve silinmelidir.
• E-postaya eklenecek dosya uzantıları “.exe”, “.vbs” veya yasaklanan diğer uzantılar olamaz. Zorunlu olarak bu tür dosyaların iletilmesi gerektiği durumlarda, dosyalar sıkıştırılarak (zip ve/ya rar formatında) mesaja eklenecektir.
• Kurumun e-posta sistemi üzerinden taciz, suistimal veya herhangi bir şekilde alıcının haklarına zarar vermeye yönelik öğeleri içeren mesajlar gönderilemez. Bu tür özelliklere sahip bir mesaj alındığında Bilgi İşlem Direktörlüğüne haber verilmelidir.
• Kullanıcı hesapları, doğrudan ya da dolaylı, ticari ve kâr amaçlı olarak kullanılamaz. Diğer kullanıcılara bu amaçla e-posta gönderilmesi yasaktır.
• Zincir mesajlar ve mesajlara iliştirilmiş her türlü çalıştırılabilir dosya içeren e-posta alındığında, eposta başka kullanıcılara iletilmeden Bilgi İşlem Direktörlüğüne haber verilmelidir.
• Kullanıcı, gelen ve/veya giden mesajlarının kurum içi veya dışındaki yetkisiz kişiler tarafından okunmasını engellemelidir.
• Kullanıcı, kullanıcı kodu/parolasını girmesini isteyen e-posta geldiğinde, bu e-postalara herhangi bir işlem yapmaksızın Bilgi İşlem Direktörlüğüne haber vermelidir.
• Kullanıcı, kurumsal mesajlarına, kurum iş akışının aksamaması için zamanında yanıt vermelidir.
• Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve tehdit unsuru olduğu düşünülen e-postalar Bilgi İşlem Direktörlüğüne haber verilmelidir.
• Kurumsal e-posta hesapları şahsi e-posta hesapları ile ilişkilendirilemez, yönlendirilemez.
• Kullanıcı, kendisine ait e-posta parolasının güvenliğinden ve gönderilen e-postalardan doğacak hukuki işlemlerden sorumlu olup, parolasının çalındığını fark ettiği anda Bilgi İşlem Direktörlüğüne haber vermelidir.

P.03 ANTİ-VİRÜS POLİTİKASI

Amaç
Bu politika; KTO Karatay Üniversitesi bünyesindeki bilgisayar ve sunucuların zararlı yazılımlardan korunmasını amaçlamaktadır.

Kapsam
Bilgisayarları ve sunucuları kapsamaktadır.

Politika

• Kurumun tüm istemcileri ve sunucuları antivirüs yazılımına sahip olmalıdır. Ancak sistem yöneticilerinin gerekli gördüğü sunucular üzerine istisna olarak antivirüs yazılımı yüklenmeyebilir.
• İstemcilere ve sunuculara virüs bulaştığı fark edildiğinde etki alanından çıkartılmalıdır.
• Sistem yöneticileri, antivirüs yazılımının sürekli ve düzenli çalışmasından ve istemcilerin ve sunucuların virüsten arındırılması için gerekli prosedürlerin oluşturulmasından sorumludur.
• Kullanıcı hiçbir sebepten dolayı antivirüs yazılımını bilgisayarından kaldırmamalıdır.
• Antivirüs güncellemeleri antivirüs sunucusu ile yapılmalıdır. Sunucular internete sürekli bağlı olup, sunucuların veri tabanları otomatik olarak güncellenmelidir. Etki alanına bağlı istemcilerin, otomatik olarak antivirüs sunucusu tarafından antivirüs güncellemeleri yapılmalıdır.
• Etki alanına dâhil olmayan kullanıcıların güncelleme sorumluluğu kendilerine ait olup, herhangi bir sakınca tespit edilmesi durumunda, sistem yöneticileri bu bilgisayarları ağdan çıkartabilmelidir.
• Bilinmeyen veya şüpheli kaynaklardan dosya indirilmemelidir.
• Kurumun ihtiyacı haricinde okuma/yazma hakkı veya disk erişim hakkı tanımlamaktan kaçınılmalıdır. İhtiyaca binaen yapılan bu tanımlamalar, ihtiyacın ortadan kalkması durumunda iptal edilmelidir.
• Optik Media ve harici veri depolama cihazları antivirüs kontrolünden geçirilmelidir.
• Kritik veriler ve sistem yapılandırmaları düzenli aralıklar ile yedeklenmeli ve bu yedekler farklı bir elektronik ortamda güvenli bir şekilde saklanmalıdır. Yedeklenen verinin kritik bilgiler içermesi durumunda, alınan yedekler şifre korumalı olmalıdır.

P.04 ŞİFRE POLİTİKASI

Amaç
Bu politika; güçlü bir şifreleme oluşturulması ve şifrelerin güvenliğinin sağlanmasını amaçlamaktadır.

Kapsam
KTO Karatay Üniversitesi’deki bilgisayarları ve sunucuları kullanan bütün kullanıcı hesaplarını kapsamaktadır.

Politika

• Kullanıcı hesaplarına ait parolalar (örnek: e-posta, web, masaüstü bilgisayar vs.) en geç 6 (altı) ayda bir değiştirilmelidir.
• Sistem yöneticileri, kendi yönetimindeki sistem ve kendi kullanıcı hesapları için farklı parolalar kullanmalıdır.
• Parolaların e-posta iletilerine veya herhangi bir elektronik forma eklenmesi yasaktır.
• Kullanıcı, parolasını başkası ile paylaşmaması, kâğıtlara ya da elektronik ortamlara yazmaması konusunda Siber Güvenlik Ofisi tarafından yapılan farkındalık eğitimleri ve farkındalık e-postaları ile düzenli aralıklarla bilgilendirilir.
• Kurum çalışanı olmayan kişiler için açılan geçici kullanıcı hesapları da bu yönergenin ilgili maddelerinde belirtilen parola oluşturma özelliklerine uygun olmak zorundadır.
• Bütün parolalar KTO Karatay Üniversitesine ait gizli bilgi niteliğindedir. Paylaşılamaz, kâğıtlara ya da elektronik ortamlara yazılamaz.
• Web tarayıcısı ve diğer parola hatırlatma özelliği olan uygulamalardaki "parola hatırlama" seçeneği kullanılması bilgi güvenliği açısından sakıncalı olup, kullanıcılara farkındalık eğitimlerinde bu hususun önemi iletilir.
• Parola kırma ve tahmin etme operasyonları belli aralıklar ile güvenlik tatbikatlarında gerçekleştirilir. Güvenlik taraması sonucunda parolalar tahmin edilirse veya kırılırsa kullanıcıdan parolasını değiştirmesi talep edilir.
• Kullanıcının son 3 parolayı tekrar kullanması ve aynı parolayı düzenli kullanması engellenmelidir.
• Parola en az 8(sekiz) karakterli olmalıdır.
• İçerisinde en az 1(bir) tane büyük ve en az 1(bir) tane küçük harf bulunmalıdır.
• İçerisinde en az 1(bir) tane rakam bulunmalıdır.
• İçerisinde en az 1(bir) tane özel karakter bulunmalıdır.
• (@, !,?,A,+,$,#,&,/,{,*,-,],=,...)
• Aynı karakterler peş peşe kullanılmamalıdır.
• (aaa, 111, XXX, ababab...)
• Sıralı karakterler kullanılmamalıdır.
• (abcd, qwert, asdf,1234,zxcvb...)
• Bir kullanıcı adı ve parolası, birim zamanda birden çok bilgisayarda kullanılmamalıdır.
• Kişisel bilgiler gibi kolay tahmin edilebilecek bilgiler parola olarak kullanılmamalıdır. (Örneğin 12345678, qwerty, doğum tarihiniz, çocuğunuzun adı, soyadınız gibi)
• Sözlükte bulunabilen kelimeler parola olarak kullanılmamalıdır.
• Çoğu kişinin kullanabildiği aynı veya çok benzer yöntem ile geliştirilmiş parolalar kullanılmamalıdır.

 

P.05 FİZİKSEL GÜVENLİK POLİTİKASI

Amaç
Bu politika; kurum personeli ve kritik kurumsal bilgilerin korunması amacıyla sunucu kabinine, kurumsal bilgilerin bulundurulduğu sistemlerin yer aldığı tüm çalışma alanlarına ve kurum binalarına yetkisiz girişlerin önlenmesini amaçlamaktadır.

Kapsam
Kurum binalarında yer alan bilgi varlıklarına erişim sağlayan tüm fiziksel güvenlik konularını kapsamaktadır.

Politika

• Kurumsal bilgi varlıklarının dağılımı ve bulundurulan bilgilerin kritiklik seviyelerine göre binada ve çalışma alanlarında farklı güvenlik bölgeleri tanımlanmalı ve erişim izinleri bu doğrultuda belirlenerek gerekli kontrol altyapıları teşkil edilmelidir.
• Tanımlanan farklı güvenlik bölgelerine erişim yetkileri düzenli aralıklar ile kontrol edilmelidir.
• Site girişleri güvenlik amacıyla kayıt altına alınmakta ve izlenmektedir.
• Kritik sistemler sunucu kabininde tutulmalıdır.
• Kritik sistemler elektrik kesintilerine ve voltaj değişkenliklerine karşı korunmalıdır.
• Açık ofislerde bulunan gizli bilgi varlıklarının olduğu dolaplar ve çekmeceler kilitli ve kontrol altında tutulmalıdır.
• Ekipmanların kullanımı zimmetlenen kişiye aittir, bu ekipmanların güvenliğini sağlanması kişinin sorumluluğundadır. Teslim edilen ekipmanlara gelecek zararlar zimmet edilen kişiden tahsil edilecektir.
• Kargo ve yemek amaçlı kuruma gelen paketler kapıda karşılanılarak teslim alınacaktır, kurum içerisine girmemelidirler.
• Kritik veya hassas iş faaliyetlerini desteklediği belirlenen tüm bilgi teknolojisi araçları, kart kontrollü, parmak izi kontrollü veya benzeri girişlerle korunan, fiziksel erişim kontrolü gerektiren alanlarda bulundurulmalıdır.
• Güvenlik Bölgelerine alınacak ziyaretçilere atanmış kurum personeli sürekli eşlik etmeli ve ziyaretleri süresince yalnız bırakılmamalıdır.
• İzin verilmediği sürece Güvenli Bölgelerde fotoğraf çekmek, görüntü almak ve ses kaydetmek yasaktır.
• Personel, önemli varlıkların bulunduğu güvenli alanlarda sigara içmemeli, yiyecek ve içecekle Güvenlik Bölgesine girmemelidir.
• Bilgi Teknolojisi araçlarının, herhangi bir elektrik kesintisinde çalışmalarına devam etmeleri için kullanılan UPS, jeneratör gibi güç kaynakları yılda 1 defa periyodik olarak kontrol edilmelidir.
• Tüm donanımların düzenli periyotlarla bakımları yapılmalıdır.
• Dizüstü bilgisayar, belge, CD ve taşınabilir bellek gibi varlıkların korunması için gerekli önlemlerin alınmasından varlık sahibi olarak kaydedilmiş kişi sorumludur.
• Üniversite içerisinde kullanılan yazılım ve donanımlara ait sistem dokümanları hazırlanmalıdır.
• Yazılı prosedürler ihtiyaç duyulduğunda Sistem Yöneticisi tarafından hazırlanır ve Yönetim Temsilcisi tarafından onaylanarak güncellenir.
• Üniversite genelinde tüm işlerin prosedürleri yazılı olarak bulunur ve ihtiyaç duyulduğunda kalite.karatay.edu.tr web adresinden erişim sağlanabilir.

 

P.06 SUNUCU GÜVENLİK POLİTİKASI

Amaç
Bu politika; kurumun sahip olduğu sunucuların temel güvenlik kurallarını oluşturmayı amaçlamaktadır.

Kapsam
Bu politika kurumun sahip olduğu bütün sunucuları kapsamaktadır.

Politika

• Kurum bünyesindeki bütün sunucuların yönetiminden sadece yetkilendirilmiş sistem yöneticileri sorumludur.
• Bütün sunucular (kurumun sahip olduğu) ilgili envanter yönetim sistemine kayıtlı olmalıdır.
• Sunucu işletim sistemleri üzerindeki kullanılmayan servisler ve uygulamalar kapatılmalıdır.
• Kullanılmayan sunucular güvenlik ve elektrik tasarrufu açısından kapalı tutulmalıdır.
• Sunucular üzerinde yapılan işlemlerin log kayıtları en az 10 gün saklanacak şekilde ayarlanmalıdır.
• İşletim sistemleri, uygulamalar, veri tabanları, ağ donanımları yetkili erişim logları tutulmalıdır.
• Sunucuların yönetimi için her yetkili kişi kendi hesabı ile bağlanarak işlem yapmalıdır.
• Sunuculara dışarıdan yapılan bağlantılar uzak bağlantı politikasının belirlediği kurallara göre yapılmalıdır.
• Sunucular fiziksel olarak güvenlik önlemi alınmış kabinetlerde bulundurulmalıdır.
• Sunucu kabinindeki ekipmanların bakımları düzenli olarak yapılmalı ve bakım kayıtları tutulmalıdır, cihazların bakımları yetkili kişiler gözetiminde yapılmalıdır.
• Elektrik ve data kabloları kurum içerisinde kanallardan geçmelidir.
• Elektrik kesintilerinden sunucu ve diğer ekipmanların etkilenmemesi için UPS sistemine bağlı olması ve jeneratör ile desteklenmesi gerekmektedir.
• Tüm sistem ve ağ ekipmanları yılda en az 1 defa tarama testlerinden geçirilerek güvenli hale getirilmelidir.

 

P.07 AĞ YÖNETİMİ POLİTİKASI

Amaç
Kurumun bilgisayar ağında yer alan bilgilerin, ağ alt yapısının ve ekipmanların güvenliğini ve sürekliliğini sağlamayı amaçlamaktadır. 

Kapsam
KTO Karatay Üniversitesi bünyesindeki ağ altyapısı, ekipman ve kullanıcıları kapsamaktadır.

Politika

• Bilgisayar ağlarının ve bağlı sistemlerin iş sürekliliğini sağlamak için yedekli ekipman bulundurulmalıdır.
• Ağ ekipmanları sadece yetkilendirilmiş kişiler tarafından erişilebilir ve yönetilebilir olmalıdır. Yetkisiz erişime karşı korunmalıdır.
• Kurum ağına sadece kurum bilgisayarları bağlanmalıdır. Kurum dışında bir bilgisayar bağlanacak ise yetkili kişinin izni ve gözetiminde bağlanmalıdır.
• Kurum internet ağına misafirler alınmamalı, misafir ağı kurum ağından bağımsız tasarlanmalıdır.
• Kablolu, Kablosuz ağ, Ağ Cihazları ve Kullanıcı Bilgisayarlarının ağları birbirinden ayrı olacak şekilde konfigürasyonu yapılmalıdır.
• Uzaktan bağlantı için kullanılacak portların güvenliği sağlanmalıdır.
• Ağ cihazları üzerinde yapılan her işlemin logları tutulmalıdır.
• Ağ cihazlarının konfigürasyonları her değişiklikten sonra yedeği alınarak üzerinde saklanmalıdır.
• Sistem ve ağ ekipmanlarının açıklık testleri yılda en az 1 defa yapılmalıdır. Açıklık test sonuçlarına göre var ise açıklıkların kapamaları takip edilerek kapatılacaktır.

 

P.08 UZAK BAĞLANTI VPN POLİTİKASI

Amaç
Bu politika; kuruma dışarıdan yapılacak uzak bağlantının güvenliğini sağlamayı       amaçlanmaktadır.

Kapsam
Bu politika dışarıdan bağlantı yapacak tüm kurum çalışanlarını ve tedarikçileri kapsamaktadır.

Politika

• Uzaktan bağlantı sadece SSL VPN veya IP SEC SSL VPN ile yapılmaktadır.
• Uzaktan erişim için yetkilendirilmiş kurum çalışanları veya kurumun bilgisayar ağına bağlanan diğer kullanıcılar yerel ağdan bağlanan kullanıcılar ile eşit sorumluluğa sahiptir.
• VPN kullanım hakkı verilen kişiler düzenli olarak kontrol edilmelidir, gerekli görülmesi durumunda VPN kullanım izni kaldırılmalıdır.
• Uzak bağlantı yapan kuruma ait olmayan bilgisayarlar, Antivirüs Politikasına uygun bir şekilde bilgisayarlarında antivirüs yazılımları kurulu ve güncel olmalıdır.
• Çalışanların ve 3. tarafların uzak bağlantıları ücretsiz yazılımlar (Teamviewer, Anydesk, Ammyy vb.) ile yapılmamalıdır, sadece VPN kullanılmalıdır.

 

P.09 TEDARİKÇİ VE ÜÇÜNCÜ TARAF GÜVENLİK POLİTİKASI

Amaç
Bu politika; KTO Karatay Üniversitesi’nin bilgi sistemlerine ve bilgi varlıklarına üçüncü taraflar tarafından ulaşılması durumunda güvenliğinin sağlanması amaçlanmaktadır.

Kapsam
Bu politikanın uygulanmasından tüm birimler sorumludur.

Politika

• Malzeme ve hizmet tedarikçileri bilgi sistemlerimize veya bilgi varlıklarımıza bakım vb. amaç ile geldiklerinde Gizlilik Sözleşmesi yapılması gerekmektedir.
• Üçüncü taraflar kurum içerisinde bulundukları sürece kurum politikalarına uygun hareket etmekle yükümlüdürler.
• Malzeme ve hizmet tedarikçileri kurumun bilgi sistemlerine kendilerine verilen yetki kapsamında erişim sağlayabilirler.
• Malzeme ve hizmet tedarikçileri verilen erişim yetkileri, erişim amaçlarına uygun olacak şekilde kısıtlı verilmeli, logları saklı tutulmalı ve çalışma bittikten sonra verilen yetkiler geri alınmalı.
• Malzeme ve hizmet tedarikçileri bilgi sistemlerine ve bilgi varlıklarına eriştikleri süre boyunca refakatçisiz bırakılmamalıdır.
• Malzeme ve hizmet tedarikçileri KTO Karatay Üniversitesi Ağına erişmeleri için Uzak Bağlantı VPN Politikası uygulanacaktır. KTO Karatay Üniversitesi , tedarikçi, bakım firmaları veya üçüncü taraflara herhangi bir uyarıda bulunmadan ağa olan erişimlerini kesebilir.

P.10 KABUL EDİLEBİLİR KULLANIM POLİTİKASI

Amaç
Bu politika; personelin sistem, bilgi ve varlıkların gizlilik, bütünlük ve erişilebilirlik sınıfları açısından yapılması ve uyulması gereken iş kurallarını bildirmeyi amaçlamaktadır.             

Kapsam
Bu politika KTO Karatay Üniversitesi bünyesindeki tüm çalışanları kapsamaktadır.

Politika

• KTO Karatay Üniversitesi’nin gizli olarak belirlediği tüm bilgilerin gizliliğine sıkı bir şekilde uyulacaktır. Kurumun iş gereksinimi dışında bu bilgilerin kopyalanması ve iletilmesi yasaktır.
• KTO Karatay Üniversitesi çalışanları, kendilerine tahsis edilmiş tüm bilgisayar erişim bilgilerini ve kendisine verilmiş cihazların güvenliğini sağlamakla sorumludur. Erişim bilgileri herhangi birine söylenemez ve bu bilgiler başkaları ile paylaşamaz.
• Hiçbir çalışan, bilgisayarlarındaki anti virüs koruma yazılımını devre dışı bırakamaz.
• Üretici firma tarafından kopya edilmesi yasaklanmış (oyun, eğlence, torrent, yazılım vb.) bir bilgisayar yazılımını kopyalamak ve çalıştırmak yasaktır.
• Bilgisayarlara lisanssız, zararlı yazılım (Trojan, Keygen, Crack vb.) yüklenmesi yasaktır.
• Çalışan herhangi bir bilginin çok kritik olduğunu düşünüyorsa o bilgi şifrelenmeli veya yetkili kişiler dışında erişilemeyecek alanlarda saklanmalıdır.
• Bilgisayarlar üzerinden kuruma ait dokümanlar haricinde (müzik, program, film vb.) dosya alışverişinde bulunulmamalıdır.
• Kritik veya gizli raporların dökümünü alan çalışan, rapor içeriğindeki bilginin uygun bir şekilde (kilitli dolap, çekmece vb.) korunmasından sorumludur.
• Herhangi bir kişi kendine ait olmayan kritik bir rapor bulur ise bu durumu Bilgi Güvenliği Yönetim Temsilcisine bildirilmelidir.
• Sunucu ve bilgisayarların saatleri kullanıcılar tarafından değiştirilemez, saatler sistem tarafından otomatik olarak yönetilmektedir.
• Laptop bilgisayarlar güvenlik açıklarına karşı daha dikkatle korunmalıdır. Sadece gerekli olan bilgiler bu cihazlar üzerinde saklanmalıdır. Cihazların çalınması veya kaybolması durumunda hemen Bilgi İşlem Birimine bildirilmelidir.
• KTO Karatay Üniversitesi bünyesinde edinilmiş olan ticari sır, patent veya üretime ait bilgileri kesinlikle yetkisiz kişiler ile paylaşmamalıdır.
• Kurum bilgisayarlarında kişisel verilerin barındırılması yasaktır. KTO Karatay Üniversitesi’ye ait cihazlarda tutulan ve iletilen tüm bilgiler kurumun malıdır ve KTO Karatay Üniversitesi, bu bilgileri izleme ve denetleme hakkına sahiptir.
• Bilgi İşlem Birimi çalışanları dışında hiçbir çalışan kendi bilgisayarı veya başka bir kaynak kullanarak, KTO Karatay Üniversitesi’nin bilişim ağını tarayamaz, izleyemez veya dinleyemez.
• Hiçbir çalışan, kurum içinde kendilerine tahsis edilen bilgisayar yetkilerinin dışına çıkamaz ve bu konuda yetki aşma işlemine girişemez.
• Sosyal medya üzerinden kurumu rencide edici, karalayıcı paylaşımlar yapılamaz. Kurumun hassas bilgileri sosyal medya üzerinden paylaşılamaz.
• Kuruma ait bilgisayar, telefon, yazıcı, fax, fotokopi, tarayıcı vb. donanımları şahsi işlemler için kullanılmamalıdır.

 

P.11 TEMİZ MASA TEMİZ EKRAN POLİTİKASI

Amaç
Bu politika; Çalışanların mesai saatleri içi veya dışında kendilerine görevleri gereği paylaşılmış olan bilgilerin yetkisiz erişimler veya uygunsuz kullanımı sonucunda başına gelebilecek riskleri en aza indirmeyi amaçlar.

Kapsam
Çalışma masaları, ekranlar, basılı dokümanlar, belgeler ve kayıtlar.

Politika

• Sistemlerde kullanılan şifreler, masa üstü, ekran kenarları veya herkes tarafından görülebilecek yerlere bırakılmaz.
• Çalışma saatleri dışında bilgisayarlar kapalı ya da kilitli şekilde bırakılmalıdır. Çalışma saatleri içerisinde başından ayrıldığında mutlaka bilgisayar kilitli bırakılmalıdır. (Ekran koruyucu 20 dakika arasında devreye girmelidir ve şifre koruması olmalıdır.)
• Kullanıcı, gizli bilgi içeren evrakı ağ üzerinden paylaşamaz, gizli bilgi içeren atık evrak imha makinesinde veya elle parçalanarak imha edilir.
• Personel; bilgisayar, USB bellek, harici disk vb. veri depolamanın mümkün olduğu ortamlardaki gizlilik içeren her türlü belgenin güvenliğini sağlamakla yükümlüdür.
• USB veya harici diske gizli/önemli verilerin konulması gerekiyorsa şifrelenerek saklanır.
• Çalışma saatleri dışında bilgisayarlar kapalı ya da kilitli şekilde bırakılır.
• Kuruma ait dokümante edilmiş gizli bilgiler kilitli ortamda tutulur.
• Kuruma ait antetli kağıtlar dolaplarda tutulur.
• Hassas ve sınıflandırılmış bilgi basıldığında yazıcıdan hemen temizlenir.
• Bilgisayarların masaüstlerinde kuruma ait özel bilgiler içeren dokümanlar bulundurulmaz.
• Masa üzerinde kartvizit kutuları, kişisel ajandalar, değerli bilgilere sahip dokümanlar bırakılmaz ve bunların kilitli çekmecelerde muhafaza edilmesi gerekmektedir.
• Masa çekmecelerinin anahtarları, kasa anahtarları masa üzerinde bırakılmamalıdır.

 

P.12 MOBİL CİHAZLAR POLİTİKASI

Amaç
Bu politika; KTO Karatay Üniversitesi’ye ait bilgi içeren mobil cihazların kullanımı ile ilgili kuralları belirlemeyi amaçlar.

Kapsam
Bu politikanın uygulanmasından mobil cihazları kullanan tüm çalışanlar sorumludur.

Politika

• Kuruluşa ait bilgi içeren taşınabilir cihazlar ilgili kişiye zimmetlenerek teslim edilmelidir.
• Her çalışan kendisine zimmetlenen mobil cihazın güvenliğinden ve amacına uygun kullanımından sorumludur.
• Etki alanı dâhilindeki bilgisayarlar istisnalar dışında admin yetkisi sınırlandırılarak yalnızca User yetkilendirmesi ile ilgili kişiye teslim edilmelidir. Etki alanından bağımsız olan bilgisayarların sorumluluğu personele aittir.
• Mobil cihazlara yetkisiz erişime karşı şifre tanımlanmalıdır.
• Cep telefonları veya tablet bilgisayarlara kurum e-postası kurulması halinde cihazın güvenliğinin sağlanması adına şifre koruması olması zorunludur.
• Etki alanı dâhilindeki bilgisayarlar üzerinde yapılan çalışmalar ve oluşturulan dosyalar birimlere ait ilgili ortak alana kaydedilmelidir.
• Mobil cihazların (Dizüstü Bilgisayar, Tablet vb.) aile bireyleri dâhil zimmetlenen kişiler dışında kullanılması yasaktır.
• Kaybolması ve çalınması kolay olduğundan mobil cihazlar başıboş bırakılmamalıdır.
• Verilerin yedekleri alınmalı ve güncel bir kopyası farklı bir yerde saklanmalıdır.
• Mobil cihazların uzaktan devre dışı bırakma ve silme özellikleri mutlaka kullanılmalıdır.

 

P.13 BİLGİ GÜVENLİĞİ OLAY YÖNETİM POLİTİKASI

Amaç
Bu politika; KTO Karatay Üniversitesi’nin bilgi güvenliği olay ihlal süreçlerini belirlenmesidir.

Kapsam
Bu politikanın uygulanmasından tüm personel sorumludur.

Politika

• Bilginin gizlilik, bütünlük ve erişilebilirlik açısından zarar görmesi, bilginin son kullanıcıya ulaşana kadar bozulması, değişikliğe uğraması ve başkaları tarafından ele geçirilmesi, yetkisiz erişim gibi güvenlik ihlali durumları mutlaka kayıt altına alınmalıdır. İhlal bildirimleri Bilgi Güvenliği Yönetim Temsilcisine mail ile yapılmalıdır.
• Bilgi Güvenliği Olay Yönetimi Prosedürü’nde bilgi güvenliği olayları ve olaylara müdahale süreci detaylı olarak belirlenmiştir.
• Yaşanan Bilgi güvenliği ihlâli olayları Bilgi Güvenliği Yönetim Temsilcisi ile birlikte değerlendirilmelidir.
• İhlali yapan kullanıcı tespit edilmeli ve ihlalin suç unsuru olup olmadığı Disiplin Yönetmeliğine uygun şekilde yönetilmelidir.
• Kanıt toplama faaliyetinde aşağıdaki süreçler takip edilmelidir;
  • Kanıtın niteliği ve tamlığını gösteren içerik.
  • İhlale neden olan olayların kanıtları için kamera kayıtları, giriş çıkış kayıtları, sunucu/program ve bilgisayar logları, firewall logları ve internet loglarından faydalanılır.
  • Olay kanıtlarının korunması yetkili kişilerin dışında erişimi kapatarak veya yedekleme yaparak sağlanır.
• Bu politikaya uygun olarak hareket etmeyen tüm çalışanlar hakkında, Disiplin Yönetmeliğine göre karar alınır.

 

P.14 KİMLİK DOĞRULAMA VE YETKİLENDİRME POLİTİKASI

Amaç
Bu politika; kurumun bilgi sistemlerine erişimde kimlik doğrulaması ve yetkilendirme politikalarını tanımlamaktır.

Kapsam
KTO Karatay Üniversitesi bilgi sistemlerine erişen kurum personeli ile kurum dışı kullanıcılar bu politika kapsamı altındadır.

Politika

• Kurum sistemlerine erişim sağlayacak çalışanlar için bilgisayar erişim hesapları doğrultusunda hangi sistemlere, hangi kimlik doğrulama yöntemi ile erişim yapacağı Yönetim Temsilcisi tarafından belirlenir.
• Kurum sistemlerine erişmesi gereken tedarikçilere yönelik kullanıcı hesabı Bilgi İşlem Birimi tarafından ilgili yetkiler verilerek tanımlanır.
• Kurum bünyesinde kullanılan ve merkezi olarak erişilen uygulama yazılımları, paket llar, veri tabanları, işletim sistemleri üzerindeki kullanıcı yetkileri denetim altında tutulmalıdır.
• Çalışanlara ve tedarikçileri verilen erişim yetkilerinin güncelliği sağlanmalıdır.
• İşletim sistemleri üzerindeki erişim logları düzenli olarak tutulmalı, gerektiği durumlarda kontrol edilebilmelidir.
• Kullanıcılar kendilerine verilen erişim şifrelerini gizlemeli ve kimseyle paylaşmamalıdır.
• Her kullanıcıya kendisine ait bir kullanıcı hesabı açılır. Erişim gereksinimi ihtiyacı kalmamış kullanıcı hesapları Bilgi İşlem Birimi tarafından pasif duruma alınır veya kaldırılır.

 

P.15 KRİPTOGRAFİK KONTROLLER POLİTİKASI

Amaç
Bu Politika; bilginin gizliliği, erişilebilirliği veya bütünlüğünün korunmasıdır.

Kapsam
Bu politika kritik bilgilerin güvenli erişimi ve paylaşımı yapılmasını kapsar.

Politika

• Kurum içerisinde tanımlanan gizli bilgi varlıkları kriptografik şifreleme yöntemleri ile saklanmalıdır. Her personel kendi barındırdığı bilgi varlıklarının güvenliğinden sorumludur.
• Kamu ile bilgi alışverişinde E-imza, mali mühür gibi sistemler kullanılarak veri transferi yapılmalıdır.
• Mobil cihazlardaki verilerin korunmasında güçlü şifre kullanılmalıdır.
• Dış penetrasyon testi raporları KTO Karatay Üniversitesi’ne belirlenen özel şifreleme metodu kullanılarak teslim edilmelidir.

 

P.16 VERİTABANI GÜVENLİK POLİTİKASI

Amaç
Bu Politika; kurumun veri tabanı sistemlerinin, kesintisiz ve güvenli şekilde işletilmesine yönelik standartları belirtmeyi amaçlamaktadır.

Kapsam
Tüm veri tabanı sistemleri, bu politikaların kapsamı altında yer alır.

Politika

• Veri tabanında kritik verilere her türlü erişim işlemleri (okuma, değiştirme, silme, ekleme) kaydedilmelidir. Log kayıtlarına, yetkilinin izni olmadan kesinlikle hiçbir şekilde erişim yapılamaz.
• Veri tabanı sunucusuna, sadece admin hakkına sahip olan kullanıcılar bağlanır. 
• Veri tabanı bulunan sunuculara erişim yetkileri kayıt altına alınmalı ve bu yetkiler gerekli durumlarda kontrol edilmelidir.
• Veri tabanı sistemleri kritiklik seviyesine göre düzenli olarak yedekleri alınmalıdır.
• Veri tabanı bilgilerinin saklandığı sistemler, fiziksel güvenliği sağlanmış sunucu kabinlerinde tutulur.
• Veri tabanı sistemlerinde yapılacak bakım onarım, yama ve güncelleme çalışmalarından önce, ilgili birimlere duyuru yapılmalıdır.
• Veri tabanı bulunan medyalar (USB Harddisk, Bellek, CD vb.) kurum dışına çıkarılmamalıdır.
• Veri tabanlarının bulunduğu medyaların doluluk oranları düzenli olarak kontrol edilmelidir.

 

P.17 DEĞİŞİKLİK YÖNETİMİ POLİTİKASI

Amaç
Bu Politika; kurumun bilgi sistemlerinde yapılması gereken yazılımsal ve donanımsal değişikliklerinin güvenlik ve sistem sürekliliğini aksatmayacak şekilde yürütülmesini sağlamayı amaçlamaktadır.

Kapsam
Tüm bilgi sistemleri ve bu sistemlerin işletilmesinden sorumlu personel bu politikanın kapsamında yer almaktadır.

Politika

• Yazılımsal ve donanımsal değişikliklerin talepleri kayıt altında tutulmalıdır.
• Bilgi sistemlerinde değişiklik, yetkilendirilmiş kişiler tarafından yapılır.
• Herhangi bir sistemde uzun süreli veya önemli değişiklik yapılmadan önce, bu değişiklikten etkilenecek tüm uygulamalar belirlenmeli ve ilgili birimlere/tedarikçilere bilgi verilmelidir.
• Yapılacak değişiklikler önce test ortamlarında geliştirilmeli, test edildikten sonra canlı sisteme aktarılmalıdır.
• Değişiklikler yapılmadan önce değişimin yapılacağı kodların/sistemlerin yedekleri alınmalıdır.
• Kritik ve çok kritik sunucuların, güncelleme sırasında mevcut işletim sistemi imajı alınarak güncellemeleri yapılacaktır.
• Kurum içerisinde kullanılan üçüncü parti yazılımlarda yapılacak değişiklikler, ilgili üretici tarafından onaylanmış kurallar çerçevesinde gerçekleştirilmelidir.
• Kurum dışından değişiklik yönetimi hizmeti için alınacak ise tedarikçi firma ile gizlilik sözleşmesi yapılmalıdır.

 

P.18 GÜVENLİ YAZILIM GELİŞTİRME POLİTİKASI

Amaç
Bu politika; KTO Karatay Üniversitesi’nin bilgi güvenliği güvenli yazılım geliştirme süreçlerinin güvenlik ve sistem sürekliliğini aksatmayacak şekilde yürütülmesini amaçlamaktadır.

Kapsam
Bu politikanın uygulanmasından yazılım geliştirme sürecine dahil olan tüm personel sorumludur.

Politika

• Satın alınacak her türlü yazılım için Bilgi İşlem Direktörlüğünden yazılımsal ve donanımsal yeterlilik konusunda görüş alınarak satınalma işlemine karar verilmelidir.
• Yeni alınmış veya revize edilmiş bütün yazılımlar test ortamında kontrol edilmelidir. Herhangi bir sorun görülmesi durumunda üretici firma ile iletişime geçilip konu hakkında destek alınmalıdır.
• Yeni satın alınan yazılımlar Bilgi Güvenliği Varlık Envanterine eklenmelidir.
• Kurumda kişisel olarak geliştirilmiş yazılımların kullanılması engellenmelidir.
• Kurum içerisinde geliştirilen yazılımlar tamamen kurumun varlığıdır, yazılım geliştiren kişiler işten ayrıldığı zaman geliştirdiği yazılımlar ile ilgili hak talep edemez.
• Kurumda kullanılan uygulamaların kaynak kodlarına sadece uygulama üreticinin erişim izinleri bulunmaktadır.

 

P.19 VERİ YEDEKLEME VE İŞ SÜREKLİLİĞİ POLİTİKASI

Amaç
Bu politikanın amacı KTO Karatay Üniversitesi bünyesinde kullanılan sınıflandırılmış tüm verilerin kaybını önlemek ve yedeklenmesi için gerekli usul ve esasların belirlenmesidir.

Kapsam
Bu politika KTO Karatay Üniversitesi bünyesinde görev yapan tüm akademik ve idari personeli kapsar.

Politika

• Bilgi sistemlerinde oluşabilecek hatalar karşısında; sistemlerin kesinti sürelerini ve olası bilgi kayıplarını en az düzeye indirmek için, sistemler üzerindeki konfigürasyon, sistem bilgilerini ve kurumsal veriler düzenli olarak yedeklenmelidir.
• Verinin operasyonel ortamda online olarak aynı disk sisteminde farklı disk volümlerinde ve offline olarak manyetik kartuş, DVD veya CD ortamında yedekleri alınmalıdır.
• Taşınabilir ortamlar (manyetik kartuş, DVD veya CD) fiziksel olarak bilgi işlem odalarından faklı odalarda veya binalarda güvenli bir şekilde saklanmalıdır. Veriler offline ortamlarda en az 2 (iki) yıl süreyle saklanmalıdır.
• Kurumsal kritik verilerin saklandığı veya sistem kesintisinin kritik olduğu sistemlerin bir varlık envanteri çıkartılmalı ve yedekleme ihtiyacı bakımından sınıflandırılarak dokümante edilmelidir.
• Düzenli yedeklemesi yapılacak varlık envanteri üzerinde hangi sistemlerde ne tür uygulamaların çalıştığı ve yedeği alınacak dizin, dosya bilgi sistemlerinde değişiklik yapmaya yetkili personel ve yetki seviyeleri dokümante edilmelidir.
• Yedekleme konusu bilgi güvenliği süreçleri içinde çok önemli bir yer tutmaktadır. Bu konuyla ilgili sorumluluklar tanımlanmalı ve atamalar yapılmalıdır.
• Yedekleri alınacak sistem, dosya ve veriler dikkatle belirlenmeli ve yedeği alınacak sistemleri belirleyen bir yedekleme listesi oluşturulmalıdır.
• Yedek ünite üzerinde gereksiz yer tutmamak amacıyla, kritiklik düzeyi düşük olan veya sürekli büyüyen izleme dosyaları yedekleme listesine dâhil edilmemelidir. Yedeklenecek bilgiler değişiklik gösterebileceğinden yedekleme listesi periyodik olarak gözden geçirilmeli ve güncellenmelidir.
• Yeni sistem ve uygulamalar devreye alındığında, yedekleme listeleri güncellenmelidir.
• Yedekleme işlemi için yeterli sayı ve kapasitede yedek üniteler seçilmeli ve temin edilmelidir. Yedekleme kapasitesi artış gereksinimi periyodik olarak gözden geçirilmelidir.
• Yedekleme ortamlarının düzenli periyotlarda test edilmesi ve acil durumlarda kullanılması gerektiğinde güvenilir olması sağlanmalıdır.
• Geri yükleme prosedürlerinin düzenli olarak kontrol ve test edilerek etkinliklerinin doğrulanması ve operasyonel prosedürlerin öngördüğü süreler dâhilinde tamamlanması gerekmektedir.
• Yedek ünitelerin saklanacağı ortamların fiziksel uygunluğu ve güvenliği sağlanmalıdır.
• Yedekleme Standardı ile doğru ve eksiksiz yedek kayıt kopyaları bir felaket anında etkilenmeyecek bir ortamda bulundurulmalıdır.
• Veri Yedekleme Standardı, yedekleme sıklığı, kapsamı, gün içinde ne zaman yapılacağı ne koşullarda ve hangi aşamalarla yedeklerin yükleneceği ve yükleme sırasında sorunlar çıkarsa nasıl geri dönüleceği belirlenmelidir. Yedekleme ortamlarının ne şekilde işaretleneceği, yedekleme testlerinin ne şekilde yapılacağı ve bunun gibi konulara açıklık getirecek şekilde hazırlanmalı ve işlerliği periyodik olarak gözden geçirilmelidir.
• Yedekleme sisteminde kullanılan yazılımlar mutlaka lisanlı olacaktır.
• Yedekler uygun depolama alanlarına yapılacaktır.
• Kuruluş dışına çıkarılması gereken ve gizli bilgi içeren yedekler, şifrelendikten sonra kuruluş dışına çıkarılacaktır.
• Yedeklenen verilerin bulunduğu donanım güvenli bir ortamda bulunacak ve bu donanıma Bilgi İşlem Direktörü’ün yetkilendirdiği kişiler hariç kimse erişmeyecektir.
• Yedekleme tablosu yıllık olarak kontrol edilecek ve gerekli görüldüğünde düzenlemeler yapılacaktır.
• Yedekleme sistemi yapısı ve gereksinimleri her yıl tekrar gözden geçirilerek, gerekli görüldüğünde düzeltmeler yapılacaktır.
• Yedekleme sistemiyle alınan yedekler periyodik olarak esas sistemlerden farklı bir ortamda İş Sürekliliği Tatbikat Planı kapsamında test edilecektir.
• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkındaki Kanuna göre internet logları en az 2 yıl süreyle saklanacaktır.

 

P.20 EBYS BİLGİ GÜVENLİĞİ POLİTİKASI

Amaç
Bu politikanın amacı, KTO Karatay Üniversitesi idari ve akademik personelin EBYS kaynaklarının uygunsuz kullanımından engellenmesini ve güvenli bir şekilde kullanılabilmesi amacıyla bilgi güvenliği için gerekli bilgileri ve yapılması gereken işlemlere dair usul ve esasların belirlenmesidir.

Kapsam
EBYS Bilgi Güvenliği Politikası KTO Karatay Üniversitesi’nin tüm birim ve çalışanlarını, üçüncü taraf olarak bilgi sistemlerine erişen iç ve dış paydaşlarını, EBYS’ ye teknik destek sağlamakta olan hizmet, yazılım veya donanım sağlayıcılarını ve ilgili diğer dış kullanıcıları kapsamaktadır.

Politika

• Bilgin, yetkisiz kişilerin erişimine karşı korunmalıdır.
• Bilginin gizliliği, bütünlüğü ve erişilebilirliği korunmalıdır.
• Yasal mevzuat gereksinimleri karşılanmalıdır.
• Bilgi güvenliği farkındalığını artırmak, yetkinlikleri geliştirmek amacıyla bilgi güvenliği eğitimleri tüm personele verilmelidir.
• Kullanıcılar tarafından parolalarının herhangi bir ast, üst personel veya kişiyle paylaşılmasının, yazılı olarak masa üzeri, bilgisayar ekranı gibi bir yerde bulundurulmamasının, özellikle telefonda, eposta veya sohbet yoluyla yapılan haberleşmelerde şifre bilgilerinin paylaşılması engellenmelidir.
• Tüm kullanıcılar EBYS işlemlerinde resmi olarak tahsis edilen @karatay.edu.tr uzantılı e-posta adresini kullanmak zorundadır.
• Personel, kendilerine tahsis edilen ve kurum çalışmalarında kullanılan masaüstü ve dizüstü bilgisayarlarından giriş yaptığı EBYS’ deki kurumsal bilgilerin güvenliğiyle sorumludur.
• EBYS Sistem yöneticileri, kullanıcıya haber vermek kaydıyla yerinde veya uzaktan, çalışanın bilgisayarına erişip güvenlik, bakım ve onarım işlemlerini parola bilgisine ihtiyaç duymadan yapabilir. Bu durumda uzaktan bakım ve destek hizmeti veren yetkili personel bağlanılan bilgisayardaki kişisel veya kurumsal bilgileri görüntüleyemez, kopyalayamaz ve değiştiremez.
• EBYS üzerinde bir problemle karşılandığında, yetkisiz kişiler tarafından müdahale edilmemeli, ivedilikle EBYS sistem yöneticisine haber verilmelidir.
• Sosyal medya hesaplarına giriş için kullanılan şifreler ile EBYS’ de kullanılan şifre faklı olmalıdır. Düzenlenen, onaylanan ve sevk edilen evraklara ait kurum içi ve dışı normal ve gizli bilgiler sosyal medyada paylaşılmamalıdır.
  • Gizli ve çok gizli ve kişiye özel gibi gizlilik özelliği taşıyan evrakların kurum içi ve dışı birimlere iletilmesi Mevcut mevzuat hükümleri çerçevesinde gerçekleştirilmelidir.
  • Taşınabilir materyaller üzerine; iletilen evrakın içeriğiyle ilgili herhangi bir şey yazılmamalı, genel başlıklar kullanılmalıdır. İçinde veri bulunan taşınır materyal başka bir yere gönderiliyorsa, tutanakla yetkili bir kişiye teslim edilmelidir.
  • EBYS’ de bulunan her türlü bilgi ve belgenin masaüstü kopyasının oluşturulması ve/veya yazdırılması sonrası güvenliğine ilişkin tüm sorumluluk işlemi yapan kullanıcıya aittir. Bu gibi işlemler sistem tarafından kayda alınmaktadır.
  • Bilgi güvenliği ihlali yapan kullanıcı tespit edilir ve ihlalin suç unsuru içerip içermediği belirlenir.
  • EBYS’ de değişiklikler veya güncellemeler, sisteme ilk girişte duyuru halinde veya kurum haberi olarak kullanıcılara duyurulmalıdır.
  • Kurum içerisinde EBYS kullanıcılarına sistemin kullanımı ve bilgi güvenliğiyle ilgili olarak eğitimler düzenlenmeli ve eğitim katılım formları muhafaza edilmelidir.
  • EBYS’ de mevcut evraklar idari ve hukuki hükümlere göre belirlenmiş esas ve usullerle Evrak Saklama Planı’na uygun olarak muhafaza edilmelidir.