YÖNETİM POLİTİKAMIZ

Yasal yükümlülüklerimizi yerine getirmek

Şikayetlerin çözümlenmesi

Müşterilerimizin beklentilerini karşılamak

Biz bilinci ile çalışmak

Varolan ile yetinmeyip sürekli gelişmek

Sistem yaklaşımı ile çözüm üretmek

Çevre etkilerimizi kaynağında azaltmak

Çalışma ortamlarımızı tüm paydaşlarımız için daha güvenli hale getirmek

ÇEVRESEL YÖNETİM POLİTİKAMIZ

Doğugaz’ın ISO 14001 Çevre Yönetim Sistemi’ ne uyumlu çevresel yönetim politikasının aşağıdaki maddeler oluşturur.

Enerji ve doğal kaynakları en verimli şekilde kullanmak.

  • Zararlı çevre etkilerini kaynağında en aza indirmek,
  • Tüm faaliyetlerini çevre mevzuatı çerçevesinde yürütmek, yönetmeliklerin olmadığı yerde kendi yönetmeliklerini belirlemek.
  • Eğitim ve iletişim kanalları ile çalışanların ve paydaşlarının çevre bilincini arttırmak.
  • Sektöründeki çevresel faaliyetlerde öncü olmak için çaba sarf etmek ve tecrübelerini üçüncü tarafların izlenmesine açık tutmak.
  • Çevresel hedeflerini bu ilkeler doğrultusunda belirlemek ve ISO 14001 Çevre Yönetim Sistemi’ni sürekli geliştirerek sürdürmek.

İŞ SAĞLIĞI VE İŞ GÜVENLİĞİ POLİTİKAMIZ

Şirket olarak çalışanlarımız için güvenli ve sağlık bir çalışma ortamı oluşturmaya kararlıyız bu amaçla, iş sağlığı ve güvenliği konusunda;

Bütçemizden gerekli kaynağı ayırmayı,

  • Bilinçli çalışan ve paydaş topluluğu oluşturmayı,
  • Yürürlükteki mevzuata tam uyumu,
  • Çalışanlarımıza, bilgi ve bilinç düzeylerini geliştirecek eğitimler vermeyi ve periyodik olarak tekrarlamayı,
  • Sürekli iyileştirme ve önleyici davranış yaklaşımımızla risklerimizi etkin yönetmeyi,
  • Sektörde örnek ve öncü bir dünya şirketi olarak tanınmayı,
  • Teknolojik gelişmeleri takip etmeyi ve yararlanmayı,
  • Çalışanlarımızla ve paydaşlarımızla iletişim kanallarını açık tutmayı,
  • Çalışanlarımızı ve paydaşlarımızı, kazaları ramak kala olayları bildirmeye teşvik etmeyi,
  • Afet ve acil durumlara müdahale edecek bir yapılanma oluşturmayı, taahhüt ederiz.

BİLGİ GÜVENLİĞİ POLİTİKAMIZ

Bu doküman Doğugaz içerisinde bilgi sistemlerinin güvenliğinin sağlanması için asgari uyulması gereken kuralları içermektedir. Aşağıdaki politikalar aşağıda belirtilen amaçları taşımaktadır.

  • Bilgi sistemlerinde paylaşılmakta olan her türlü verinin güvenliğini sağlamak
  • İş devamlılığını sağlamak ve güvenlik ihlalinden kaynaklanabilecek kanuni riskleri en aza indirmek
  • Kurumun itibarını ve yatırımlarını korumak

Politikalar bilgi sistemleri tasarlarken veya işletirken uyulması gereken kuralları açıklamaktadır.

Bu doküman FİRMA (şirket - kurum) içerisinde çalışan her personeli bağlayıcı niteliktedir. Politikaların ihlali durumunda gerektiğinde disiplin kuralları işletilir ve kurum içinde ihlalde bulunan adına yasal işlem yapılabilir.

  1. E-Posta Politikası

Bu politika kurum bünyesinde kullanılan, e-posta altyapısına yönelik kuralları içermektedir. Kurum içerisinde kullanılan e-posta hesapları kurum kimliği taşımaktadır. Kurum bünyesinde oluşturulan e-posta hesaplarının tüm personel için doğru kullanımını kapsamaktadır.

Yasaklanmış Kullanım

  • Kurumun e-posta sistemi, taciz, suiistimal veya herhangi bir şekilde alıcının haklarına zarar vermeye yönelik öğeleri içeren mesajların gönderilmesi için kesinlikle kullanılamaz.
  • Çalışanlar kurum ile ilgili yazışmalarında kurum dışındaki e-posta hesaplarını kullanamazlar.
  • Mesajların gönderilen kişi dışında başkalarına ulaşmaması için gönderilen adrese ve içeriğe azami derecede özen gösterilmesi gerekir.
  • Kurum içindeki gizli bilgiler mesajlaşma yoluyla veya eklenerek gönderilemez.
  • Mesajlara eklenmiş çalıştırılabilir dosya içeren e-postalar alındığında hemen silinmeli ve kesinlikle başkalarına iletilmemelidir.
  • Mesaj içeriklerinde dosya eklerinin dışında herhangi bir link paylaşılmış ise alıcıdan geldiği teyit edilmeden açılmamalıdır.( Alıcı ile teyitleşme , gerek telefon gerekse , adres defterinde kayıtlı olan E-Posta adresleri kontrol edilir.)
  • Turkcell, Vodafone, TTNET, PTT, DHL vb. kurumları gibi gönderilen sahte fatura mailleri kesinlikle açılmamalıdır.
  • Spam, zincir e-posta, sahte e-posta, reklam e-posta vb. zararlı ve şüpheli postalara yanıt yazılmamalıdır.
  • Kullanıcıların kullanıcı bilgilerinin (kullanıcı adı, şifre vb) yazılmasını isteyen e-postalar alındığında derhal alıcı tarafından silinmelidir. Durum bilgi işlem departmanına yazılı bildirilmelidir.
  • Şirket Çalışanları E -posta ile uygun olmayan içerikler (pornografi, ırkçılık, siyasi propaganda vb.) gönderemezler.

Kişisel Kullanım

  • Çalışanlara verilen e-postalar kurum içi ve dışı iletişim için verilmiştir.
  • Şirket içi kullanılan SKYPE , yahoo messenger , gmail , v.b IM programları bilgi işlem departmanı , kontrolünde ve izlenebilirliğindedir. E – posta yasaklı uygulamalar , bu programların da kullanımında geçerlidir.
  • Şirket dışına atılan her e-postanın atında “gizlilik notu” ve sorumluluk notu” yer almalı, Kurumun bu e-posta içeriğinden ve niteliğinden dolayı sorumlu tutulamayacağı belirtilmelidir.
  • Personel kendi kullanımı için verilen kullanıcı adını ve şifresini başkaları ile paylaşmamalı, kullanımı için başkasına vermemelidir.
  • Kurum çalışanları mesajlarını düzenli olarak kontrol etmeli, kurumsal mesajlara cevap vermelidir.
  • Kurum çalışanları, kurumsal maillerin kurum dışındaki kişiler ve yetkisiz kişilerce görülmesini engellemelidir.
  • Kişiye verilmiş olan kurumsal e-posta hesabı gerektiğinde kurumda yetkilendirilmiş kişiler( genel koordinatör , İşletme Müdürü , Genel Müdür , Bilgi işlem departmanı ) tarafından denetlenebilir.

Hazırlanan e-posta sistemi virüs, solucan, truva atı veya diğer zararlı kodlar bulaşmış e-postaları tarayacak ve gerektiğinde tehlikeleri ortadan kaldıracak anti-virüs ve Anti-Spam çözümleri bulunmaktadır.( ESET BAYESIAN Filtresi mevcuttur.) Bilgi İşlem Departmanı mail altyapısının güvenli ve sorunsuz çalışmasından sorumludur.

  1. Şifre Politikası

Bu politikanın amacı güçlü bir şifreleme oluşturulması, oluşturulan şifrenin korunması ve şifrenin değiştirilme sıklığı hakkında standartlar oluşturulmasıdır.

Kullanıcıların kurum içerisinde kullanmış olduğu şifreler, bilgi güvenliği kapsamında kullanıcı hesapları için ilk güvenlik katmanıdır. Kurum çalışanları ve uzak noktadan erişenler aşağıda belirtilen kurallar dâhilinde şifreleme yapmakla yükümlüdür.

  • Bütün sistem seviyeli şifreler (root, administrator vb.) en çok 6 ayda bir değiştirilmektedir.
  • Şifreler en az 8 karakterlidir. Büyük küçük harf ve rakamdan oluşmaktadır.
  • Bütün kullanıcı seviyeli şifreler (e-posta, masaüstü bilgisayar vb.) en çok 6 ayda bir değiştirilmektedir.
  • Bilgi işlem departmanı , her sistem için farklı kendi şifresini kullanmaktadır.
  • Şifreler e-posta veya herhangi bir elektronik forma eklenmemektedir.
  1. Anti-Virüs Politikası

Bu politika kurum içindeki tüm PC-tabanlı bütün bilgisayarları kapsamaktadır. Bunlar tüm masaüstü ve dizüstü bilgisayar ve sunuculardır.

Tüm bilgisayarlar ve sunucularda anti-virüs yazılımı yüklüdür. Güncellemeleri, otomatik olarak program tarafından yapılmaktadır ve merkezi olarak yönetilmektedir. Sistem yöneticileri anti virüs yazılımının sürekli olarak çalışır durumda olmasından ve güncellenmesinden sorumludur.  Kullanıcıların bilgisayarından anti virüs yazılımını kaldırmaları engellenmiştir. Virüs bulaşan bilgisayar ve ana makine üzerinden yeniden anti virüs taramasına tabi tutulmaktadır ve tam olarak temizlenmeden ağa eklenmemelidir. Kullanıcı Sistem Destek Sorumlularına, sorunun kaynağının tespiti için hangi işlemleri yaptığı konusunda bilgi vermelidir.

  1. İnternet Erişim ve Kullanım Politikası

Bu politikanın amacı internet kullanıcılarının güvenli internet erişimi için gerekli olan kuralları kapsamaktadır. İnternet erişim ve kullanım politikası kapsamı:

  • Kurumun içerişinden kullanıcıların internet erişimi güvenlik duvarı üzerinden sağlanmaktadır.
  • İhtiyaç doğrultusunda içerik filtrelenmeli ve istenmeyen, yasaklı ve iş ile alaka dışı kalan siteler engellenmelidir.
  • Gerektiğinde port bazlı erişimler kontrollü olarak verilmektedir.
  • Yönetimin onay verdiği kullanıcılar dışında kalan çalışanlar internete sınırlı olarak erişim haklarına sahiptirler.
  • Bilgisayarlar üzerinden mesajlaşma ve sohbet programları kullanılmamaktadır ve bunlar vasıtasıyla dosya transferi yapılamamaktadır.
  • Çalışma saatleri içerisinde aşırı şekilde iş ile ilgisi olmayan sitelerde gezinmek yasaklanmıştır.
  • Genel ahlak ilkelerine aykırı internet sitelerine girilmesi ve dosya indirilmesi yasaklanmıştır.
  • İş ile ilgili olmayan (müzik, video vb.) yüksek hacimli dosyalar göndermek ve indirmek yasaklanmıştır.
  • İnternet üstünden kurum tarafından onaylanmamış yazılımlar indirilememektedir ve bilgisayarlara kurulamamaktadır.
  • Üçüncü kişilerin kurum içerisinden internet ihtiyaçları , Kanun kapsamında toplantı odasında bulunan internet ağına bağlı laptop ile kullanımına izin verilir . Laptop içerisinde şirkete ait yasal bilgiler ve server girişi gibi uygulamalar bulunmadığından , bilgi işlem departmanı tarafından güvenliği sağlanmıştır.
  • 5651 sayılı yasaya göre tutulması gereken loglar için donanım sağlanmış ve loglar tutulmaktadır.
  • Dışarıdan içeriye gelecek saldırılar için firewall ile kontrolü sağlanmaktadır. Böyle bir durum ile karşılaşıldığında ip adresi direkt olarak yasaklanmaktadır.
  1. Sunucu Güvenlik Politikası

Bu politikanın amacı kurum bünyesindeki sunucuların temel güvenlik yapılandırılmasının nasıl olması gerektiğini belirtir. Bu temel güvenlik yapılandırmalarının yapılmasından ve işletilmesinden Bilgi İşlem Sistem Yöneticisi sorumludur.

Genel Konfigürasyon Kuralları

  • Sunucular üzerindeki kullanılmayan servisler ve uygulamalar kapatılmaktadır.
  • Uygulama servislerine erişimler loglanmakta ve erişim kontrol logları incelenmektedir.
  • Sunucu üstünde çalışan işletim sistemlerinin, hizmet sunucu yazılımlarının, yönetim yazılımlarının vb. koruma amaçlı yazılımların kontrollü sürekli güncellenmesi yapılmaktadır. Anti virüs güncellemeleri otomatik, yama güncellemeleri sistem yöneticileri tarafından kontrollü şekilde yapılmaktadır. Bu yama güncelleme işlemi bir test ve onay mekanizmasından geçirilerek uygulanmaktadır.
  • Sistem ve uygulama yöneticileri gerekli olmadıkça “administrator”, “root” vb. kullanıcı hesaplarını kullanmamaktadırlar. Gerekli yetkilerin verildiği kendi kullanıcı hesaplarını kullanmaktadırlar. Önce kendi kullanıcı hesapları ile giriş yapıp daha sonra genel yönetici hesaplarına geçiş yapmaktadırlar.
  • Sunucular fiziksel olarak korunmuş sistem odalarında korunmaktadırlar.
  • Güvenlik amaçlı , RDP portu değiştirilmiştir.
  1. Ağ Cihazları Güvenlik Politikası

Bu politika kurumun ağındaki yönlendirici (router) ve anahtarların (switch) sahip olması gereken minimum güvenlik yapılandırılmalarını tanımlamaktadır.

  • Bilgisayar ağında bulunan tüm cihazların ipleri ve mac adresleri envanter listesinde yer almaktadır.
  • Ağ cihazları dışarıdan istenmeyen müdahaleleri engellemek için fiziksel olarak kilitli kabinlerde çalışmalıdır. Kabinler cihazların çalışması için gerekli ortamı sağlamalıdır.
  • Yönlendirici ve anahtarlarda şifreler Bilgi İşlem departmanındaki kilitli dolapta saklanır.
  • Yönlendirici giriş portuna gelen geçersiz IP adresleri yasaklanmıştır.
  • Yönlendirici ve anahtarlarda çalışan güvenli web servislerine erişim sadece bilgi işlem , Üst yönetim çalışanlarına verilmektedir.
  • İhtiyaçlar kontrollü şekilde eklenmektedir.
  • Yazılım ve firmware’ler ilk önce test ortamlarında denendikten sonra çalışma günlerinin veya saatlerinin dışında çalışan yapıya canlı ortamına taşınmaktadır.
  1. Ağ Yönetimi Politikası

Ağ yönetim politikası, ağın güvenliği ve sürekliliğini karşılayan kuralları belirlemekte, standartlaştırılmasını amaçlamaktadır.

  • Bilgisayar ağlarının ve bağlı sistemlerinin iş sürekliliğini sağlamak için yedeklilik sağlanmaktadır.
  • Ağ üzerinde kullanıcının erişebileceği servisler kısıtlanmaktadır.
  • Sınırsız ağ dolaşımı engellenmiştir.
  • İzin verilen kaynak ve hedef ağlar arası iletişimi aktif olarak kontrol eden teknik önlemler alınmıştır (Firewall vb).
  • Uzaktan teşhis ve müdahale için kullanılacak portların güvenliği sağlanmıştır.
  • Ağ bağlantıları periyodik olarak kontrol edilmelidir.
  • Ağ üzerindeki yönlendirme kontrol edilmektedir.
  • Bilgisayar ağına bağlı bütün makinelerde kurulum ve yapılandırma parametreleri kurumun güvenlik politika ve standartlarıyla uyumlu olarak yapılmaktadır.
  • Bilgisayar ağındaki adresler, ağa ait yapılandırma ve diğer tasarım bilgileri 3. şahıs ve sistemlerin ulaşamayacağı bir şekilde saklanmaktadır.
  • Bilgisayar ağıyla ilgili sorumlulukları desteklemek amacıyla ağ dokümantasyonu hazırlanmakta, ağ cihazlarının güncel yapılandırma bilgileri saklanmaktadır.
  • Bilgisayar ağı üzerinde gerçekleşen işlemler takip edilmektedir.
  1. Uzaktan Erişim Politikası

Bu politikanın amacı herhangi bir yerden kurumun bilgisayar ağına erişilmesine ilişkin standartları saptamaktır. Bu standartlar yetkisiz kullanımdan dolayı kuruma gelebilecek potansiyel zararları en aza indirmek için tasarlanmıştır.

  • Uzaktan erişim güvenliği sıkı bir şekilde denetlenmektedir. Sadece atanmış Bilgi işlem yöneticisi , yetkili personeli, tanımlanmış kullanıcı şifresi ile yerel ağa erişim sağlar.(RDP )
  • Yönetimin onayı olmadan dışarıdan şirket bünyesine erişim hakkı verilmemektedir.
  • Uzaktan erişim ile kuruma erişen bütün bilgisayarlar en son güncellenmiş anti virüs yazılımına sahip olmalıdır.
  • Kurumdan ilişiği kesilmiş veya görevi değişmiş kullanıcıların kimlikleri ve hesapları kapatılmakta ve/veya dondurulmaktadır. Silme yapılmaz.
  1. Kablosuz İletişim Politikası

Bu politika kurum bünyesinde kullanılabilecek bütün kablosuz haberleşme cihazlarını (dizüstü bilgisayar, cep telefonları, el terminalleri… vs.) kapsamaktadır. Kablosuz cihazların gerekli güvenlik tedbirleri alınmaksızın kurumun bilgisayar ağına erişimini engellemeyi amaçlamaktadır.

  • Güçlü bir şifreleme ve erişim kontrol sistemi kullanılmaktadır.
  • Erişim cihazlarındaki firmware’ler düzenli olarak güncellenmektedir.
  • Erişim cihazları, fiziksel olarak kolay erişilebilecek bir yerde olmaması sağlanmıştır.
  • Cihazın erişimi, güçlü bir şifre belirlenmiş olup manüel olarak 3 ayda bir şifre değiştirilmesi ile sağlanmaktadır.
  • İzinsiz kablosuz ağ erişim durumunda MAC engelleme yapılmaktadır.
  1. Yazılım Donanım Envanteri Oluşturma politikası

Bu politika kurumun sahip olduğu donanım ve yazılımların envanterinin oluşturulması ile ilgili kuralları belirlemektedir. Bu politika kurum bünyesinde kullanılan bütün donanım ve yazılımları (PC, Sunucu, yazıcı, işletim sistemleri, vs.) kapsamaktadır. Bu politikanın uygulanmasından BGYS Temsilcisi sorumludur.

  • Bütün cihazların donanım ve yazılım envanteri oluşturulmalı ve güncel tutulmalıdır.
  • Oluşturulan envanter tablosunda şu bilgiler olmalıdır; varlık gurubu, Marka/Model, varlık sahibi, varlık emanetçisi, bulunduğu yer, gizlilik değeri, vb.
  • Oluşturulan tablolar merkezi bir bölgede sadece yetkili kişilerin gözetiminde takip edilmelidir.
  • Bilgi güncelleme denetimi BGYS Temsilcisi (en az yılda 1 kere )tarafından yapılacaktır.
  • Envanter bilgisi doğru bir şekilde tutulmalıdır. Eksik veya yanlış envanter bilgisi ileride yapılacak donanım ve yazılım değişikliklerinde sağlıklı karar alınmasını engelleyebilir.
  • Envanter bilgileri 6 ayda bir kontrol edilmelidir. Envanter bilgisi eksikliğinden dolayı oluşacak hırsızlık veya değişim ciddi kayıplara yol açabilir.
  1. İş Sürekliliği Politikası

Bu politika, Bilgi güvenliği ve iş sürekliliğiyle ilgili standartları belirlemektedir.

Bu kapsamda;

  • Bilgi sisteminin kesintisiz çalışması için gereken önlemler alınmıştır.
  • Acil durum kapsamında değerlendirilen olaylar aşağıda farklı seviyelerde tanımlanmıştır:
    • Seviye A(Bilgi Kaybı): Kurumsal değerli bilgilerin yetkisiz kişilerin eline geçmesi, bozulması, silinmesi.
    • Seviye B(Servis Kesintisi): Kurumsal servislerin kesintisi veya kesintiye yol açabilecek durumlar.
    • Seviye C(Şüpheli Durumlar): Yukarıda tanımlı iki seviyedeki durumlara sebebiyet verebileceğinden şüphe duyulan ancak gerçekliği ispatlanmamış durumlar.
  • Her bir seviyede tanımlı acil durumlarda karşılaşılabilecek riskler, bu riskin kuruma getireceği kayıplar ve bu risk oluşmadan önce ve oluştuktan sonra hareket planları tanımlanmalı ve yazılı hale getirilmelidir.
  • Acil durumlarda şirket çalışanları, Bilgi İşlem bölümüne haber vermektedir.
  1. Kimlik Doğrulama ve Yetkilendirme Politikası

Bu politika kurumun bilgi sistemlerine erişimde kimlik doğrulaması ve yetkilendirme politikalarını tanımlamaktadır. Bilgi sistemlerine erişen kurum çalışanları ve kurum dışı kullanıcılar bu politika kapsamındadır.

  • Kurum sistemlerine erişebilecek kurumdaki kullanıcıların ve kurum sistemlerine erişmesi gereken diğer firma kullanıcılarının hangi sistemlere, hangi kimlik doğrulama yönetimi ile erişebileceği belirlenmiş ve yazılı hale getirilmiştir.
  • Kurum bünyesinde kullanılan ve merkezi olarak erişilen tüm uygulama yazılımları, paket programlar, veri tabanları, işletim sistemleri ve log-on olarak erişen tüm sistemler üzerindeki kullanıcı rolleri ve yetkileri belirlenerek denetim altında tutulmaktadır.
  • Gerekli minimum yetkinin verilmesi prensibi benimsenmektedir.
  • Erişim ve yetki seviyeleri belirli dönemlerde kontrol edilip gerekli durumlarda güncellenmektedir.
  • Tüm kullanıcılar kurum tarafından kullanımlarına tahsis edilen sistemlerdeki bilgilerin güvenliğinden sorumludur.
  • Kullanıcı hareketlerini izleyebilmek için her kullanıcıya kendisine ait bir kullanıcı hesabı açılmaktadır.
  1. Veri Tabanı Güvenlik Politikası (Güvenli sistem mühendisliği prensipleri)

Bu politika, kurumdaki veri tabanı sistemlerinin kesintisiz ve güvenli şekilde işletilmesine yönelik standartları tanımlar.  Tüm veri tabanı sistemleri bu politikanın kapsamındadır.

  • Veri tabanı sistemleri envanteri ve bu envanterden sorumlu kişi tanımlanmıştır. (Yedeklemesi Bilgi İşlem Sorumlusu tarafından yapılmaktadır.)
  • Veri tabanı işletim kuralları belirlenmiştir.
  • Harici rapor çeken kullanıcılar için sadece okuma yetkisi olan kullanıcılar oluşturulmuştur.
  • Veri tabanı sistem logları tutulmakta, gerektiğinde bilgi işlem departmanı tarafından kontrol edilmektedir.
  • Veri tabanı yedekleme politikaları oluşturulmuş, yedeklemeden sorumlu sistem yöneticileri belirlenmiş ve yedeklerin düzenli olarak alındığı kontrol edilmektedir.
  • Veri tabanı erişim politikaları “Kimlik doğrulama ve yetkilendirme” çerçevesinde oluşturulmuş olup erişim için belirlenmiş yazılım üzerinden kimlik doğrulaması yapılarak erişim sağlanır.
  • Hatadan arındırma, bilgileri yedekten dönme kuralları “ İş sürekliliğine” uygun, kurumun ihtiyaçlarına yönelik olarak oluşturulmuştur.
  • Bilgilerin saklandığı sistemler, fiziksel güvenliği sağlanmış sistem odasında tutulmaktadır.
  • Yama ve güncellemeler yapılmadan önce bildirimde bulunulmakta ve sonrasında ilgili uygulama kontrolleri gerçekleştirilmektedir.
  • Veri tabanı sunucularında sadece orijinal veri tabanı yönetim yazılımları kullanılmakta, bunun dışında ftp, telnet vb. bağlantılara kapanmıştır.
  • Veri tabanı sunucusuna ancak zorunlu hallerde root ve administrator olarak bağlanılmaktadır. Root ve administrator şifresi sadece yetkili iki kişide bulunmaktadır. Gereğinde Hakan Can vekâleten ve/veya tam yetkiyle ek çözüm üretir.
  • Bütün kullanıcıların yaptıkları işlemler loglanmaktadır.
  • Veri tabanı yöneticiliği iki kişidedir.
  1. Değişim Yönetimi Politikası (Güvenli sistem mühendisliği prensipleri)

Kurum bilgi sistemlerinde yapılması gereken yapılandırma değişikliklerinin güvenlik ve sistem sürekliliğini aksatmayacak şekilde yürütülmesine yönelik politikaları belirlemektedir.

  • Bilgi sistemlerinde değişiklik yapmaya yetkili personel, Bilgi İşlem departmanındaki sistem yöneticileri ve Bilgi İşlem Sorumlusudur. Yapılacak değişiklikler Bilgi İşlem Sorumlusunun onayı ile yapılır.
  • Yazılım ve donanım envanteri oluşturularak yazılım sürümleri kontrol edilmektedir.
  • Herhangi bir değişiklik yapılmadan önce, bu değişiklikten etkilenecek tüm sistemler ve uygulamalar belirlenmekte ve dokümante edilmektedir.
  1. Bilgi Sistemleri Yedekleme Politikası (Güvenli sistem mühendisliği prensipleri)

Bu politika kurumun bilgi sistemleri yedekleme politikasının kurallarını tanımlamaktadır. Tüm kritik bilgi sistemleri ve bu sistemleri işletilmesinden sorumlu çalışanlar bu politika kapsamındadır.

  • Bilgi sistemlerinde oluşabilecek hatalar karşısında, sistemlerin kesinti sürelerini ve olası bilgi kayıplarını en aza indirmek için, sistemler üzerindeki yapılandırmanın, sistem bilgilerinin ve kurumsal veriler düzenli olarak yedeklenmektedir.
  • Operasyonel sunucular , günlük , haftalık , aylık periyodlarda
  • Yedekleme konusuyla ilgili olarak hangi sistemlerin ne kadar sıklıkla yedeklerinin alınacağı Bilgi İşlem departmanı tarafından belirlenmekte ve dokümante edilmektedir.
  • Yedekleme ortamlarının düzenli periyotlarla test edilmekte ve acil durumlarda kullanılması gerektiğinde güvenilir olması sağlanmaktadır. Raid sistemi kullanılmaktadır.
  1. Mobil Cihaz Politikası

Mobil cihazların kullanımından kaynaklanan risklerin yönetimi ve destekleyici güvenlik önlemleri, tedbirleri almak için bu politika yazılmıştır.

Kurumsal Kullanım

  • Mobil cihazlar sadece şirket mail sistemine erişmek için kullanılır. Mail sistemi mail enable hizmeti kapsamında güvenli bulut alt yapısında hizmet verir.
  • Şirkete ait taşınabilir mobil cihazları, öncelikli olarak resmi ve onaylı kurum işlerinin gerçekleştirilmesi için kullanılmalıdır.
  • Taşınabilir bilgi işleme cihazları gözetimsiz bırakıldıklarında mutlaka fiziksel olarak güvenli bir yerde veya şekilde saklanmalıdır.
  • Şirket çıkarlarıyla çakışmadığı sürece bu cihazların kişisel kullanımına kısıtlı olarak izin verilmektedir.
  • Bu cihazlar kullanılırken ilgili yasa ve düzenlemelere uyulmalıdır.

Uygunsuz Kullanım

  • Şirkete ait taşınabilir mobil cihazları hiçbir şekilde yasa dışı, kurum çıkarlarıyla çelişecek veya normal operasyon ve iş aktivitelerini engelleyecek şekilde kullanılamaz.
  • Şirket gizli bilgisi taşınabilir mobil cihazlarında şifresiz olarak saklanamaz. Şirket tarafından onaylanmış şifreleme yöntemleriyle korunmalıdır.
  • Kurum tarafından onaylanmış şifreleme yöntemleri ve iletim metotları kullanılmadan kurum bilgisi, taşınabilir mobil cihazlarından veya bu cihazlara kablosuz olarak aktarılamaz. Ayrıca bilgi, zararlı yazılımlara karşı taramadan geçirilmeden kurum ağına aktarılamaz.

İzleme

  • Şirket, taşınabilir mobil cihazları kullanılarak yapılan tüm işlemleri izleme hakkını saklı tutar.
  • Şirket, kullanıcının taşınabilir mobil cihazları ile gerçekleştirdiği aktivitelerle ilgili bilgiyi üçüncü partilerle, emniyet kuvvetleriyle veya yargıyla kullanıcının izni olmadan paylaşma hakkını saklı tutar.
  1. Güvenli İmha Politikası
  • Evrakların idari ve hukuki hükümlere göre belirlenmiş sürelere göre muhafaza edilmesi gerekmektedir. Dokümanlar ve kayıtlar kalite kayıtları listesinde belirtildiği kadar ve ilgili ortamlarda saklanır. Saklama süreleri sonunda uygun şekilde imha edilir. Kâğıt ortamında olanlar kâğıt kırpma makinesinden geçirilerek, HDD ortamında olanlar yazılım ile geri dönülemez olarak silinir. Bu işlem bilgi işlem departmanı, sorumluluğunda ve nezaretinde yapılır. Bilgisayarların elden çıkarılması halinde içindeki HDD in silinmiş olması veya imhası mutlaka bilgi işlem tarafından kontrol edilerek emin olunur.
  • İmha işlemi gerçekleşecek materyalin özellik ve cinsine göre imha edilecek lokasyon belirlenmelidir.
  • Kırılan parçaların fiziksel muayene ile tamamen tahrip edilip edilmediğinin kontrolü yapılmalıdır.
  • İmha bilgisi tutanak ile kayıt altına alınır. Bu tutanaklar da kalite kayıtları listesinde belirtilen süre kadar saklanır.
  1. Temiz Ekran Temiz Masa Politikası

Bu politika kurumun çalışma ortamında ekran ve masa kullanımına ilişkin kurallarını tanımlamaktadır. Tüm bilgi sistemleri ve bu sistemleri işletilmesinden sorumlu çalışanlar bu politika kapsamındadır.

  • Kullanıcılar, kendi şifreleri ile giriş yaparlar ve şifrelerini başkaları ile paylaşmazlar. Ekranlarının başından ayrılacakları zaman ekranlarını kilitlemelidirler. Bu bilgiler çalışanlara uyum eğitimiyle ve Bilgi Güvenliği eğitimiyle verilir. Ekranlar hareketsiz bırakılması durumunda 2 dakika sonra otomatik olarak kilitlenecek şekilde kurulum yapılmıştır.
  • Masalar üzerinde, gizli bilgi içeren hiç bir evrak bırakılmaz. Fatura vb. finansal bilgi içeren evraklar ile diğer gizli bilgi içeren dokümanlar ile mutlaka kapalı dosyalar içinde çalışılır ve hemen güvenli alana kaldırılarak muhafaza edilir.
  • Masa üzerinde yer alan çalışma evrakları , yazı görünür biçimde bırakılamaz , ters çevirim yapılarak yazıların ( bilginin ) görünmemesi sağlanır.
  • Masa düzeni ve tertipi , kullanıcı sorumluluğundadır.
  • Belirlenen wallpaper , dışında arkaplan da kullanılamaz.
  • Dökülerek zarar verebileceği nedeniyle, masalar üzerinde çay, kahve, su vb. İçecek ile yiyecek madde bulundurulmaz, güvenli alanlara (Muhasebe, İK ve BT alanları vb.) yiyecek içecek sokulmaz. Bu odalara giriş de kilit ile kontrol edilmektedir.
  • Bilgisayar kasaları üzerine , sıvı içecekler , yiyecekler , kitaplar , dosyalar v.b konulmamalıdır.
  • Masalarda gizli bilgi kapsamında olan hiçbir bilgi içeren evrak – doküman bulundurulmaz. Bu türden ortamlar, kendileri için belirlenmiş dosyalar ve kilitli dolaplar içinde muhafaza edilir
  1. Fiziksel Erişim Politikası

Tüm personel birimlere girişlerde yüz okutma geçiş sistemi uygulanmaktadır. İdari çalışanlar mesai saatleri dışında, idari binaya, bina güvenlik biriminden izin almak sureti ile ulaşabilirler. Ayrıca mesai bitiminden sonra güvenlik görevlisi tüm idari binayı kontrol ederek gerekli güvenlik tedbirlerini sağlar. Oluşan uygunsuz durumlarda Güvenlik Birimi bilgi işlem departmanını telefon ile arar ve durumu tutanakla bildirir.

  1. Bilgi transferi ve fiziksel ortam aktarımı politikası

Nas  cihazlarıyla, Bilgi işlem yöneticisi tarafından kullanıcı adı ve şifre kullanıcıya özel verilmektedir.

Önemli etkiye sahip bilgi ve varlıkların taşınmasında/aktarımında üçüncü kişiler aracılık edilmez ve kişiye özel bilgi, ilgili kişiye bizzat Bilgi İşlem departmanı tarafından sağlanır.

Kuruluş dışına yapılan bilgi alışverişinde ve transferinde ise gizlilik sözleşmesi imzalanmış ve garanti altına alınmış kişi yada kurumlar ile çalışılmaktadır. Bu yönde bilgi transferi işlemi sağlanmaktadır.

  1. Güvenli Alanlarda Çalışma Usulleri Politikası
  • Bilgi sistemleri sunucu alt yapıları kilitli güvenli odalarda bulunmaktadır.
  • Sunucu sistem odasının anahtarı bilgi işlem departmanı sorumluluğundadır.
  • Sunucu sistemlerin ısınmaması için sistemler klima ile 7/24 soğutulmaktadır.
  • Sunucu ve ağ sistemlerinin sürekliliği için, elektrik kesintilerine karşı yedekli UPS ile önlem alınmıştır.
  • Herhangi bir ısı artışı veya yangın tehlikesine karşı ortamda Aerosol yangın söndürme sistemi bulunmaktadır.
  1. Erişim Kontrol Politikası 
    • Genel

Kurumda Bilgi Güvenliği Yönetim Sistemi kapsamında erişim kontrolü kimlik doğrulama, yetkilendirme ve izlenebilirlik ile uygulanmaktadır. Buna göre Kimlik doğrulama ile sisteme hangi öznelerin giriş yapabileceği, Yetkilendirme ile öznelerin hangi işlemleri yapmaya veya hangi nesnelere erişmeye yetkili olduğu ve İzlenebilirlik ile öznelerin sistemde hangi işlemleri yaptıklarının veya hangi nesnelere eriştiklerinin bilinmesi ve gözlenebilmesi sağlanmaktadır.

  • Kimlik Tanımlama
  1. Kurumda bilgi varlıklarına erişimi olan kullanıcılar kendine ait ve benzersiz olarak tanımlanmış hesapları (kullanıcı adı) oluşturulmuştur.
  2. Her kullanıcı kendisine ait kimliği korumaktan sorumludur.
  3. Kullanıcıların bir başkasına ait kimliği kullanarak kurum bilgi varlıklarına erişimleri yasaklanmıştır.
  4. Kullanıcılar hesaplarını başkalarıyla paylaşamazlar.
  5. Kurumla ilişiği kesilen kullanıcıları IK tarafından BT ekibine bilgi verilerek Kullanıcı hesapları BT ekibi tarafından hemen kaldırılır.
  6. Kurum içerisinde görev değiştiren kullanıcıların hesapları iş gereksinimlerine göre kaldırılır veya yeniden düzenlenir.
  7. 45 gün kullanılmayan kullanıcı hesapları devre dışı kalacaktır ve akabinde 30 gün devre dışı kalmış kullanıcı hesapları tamamen kaldırılacaktır.
  • Kimlik Doğrulama
  1. Kurumda Bilgi İşlem Sistem Odasındaki verilere erişimlerde kullanıcı adı ve parola kullanmak zorundadır.
  2. Yeni oluşturulan kullanıcı hesaplarına ait parolalar sabit olup değiştirilmemektedir.
  3. Kullanıcı hesaplarına ait parolalar oluşturulurken “Şifre Güvenliği Politikasına” uyulacaktır.
  4. Kullanıcılar kimlik doğrulama yaparak erişim sağladıkları sistemlerin başlarından ayrılırken sistemin erişime kapalı olmasını sağlayacaklardır.
  5. Başkaları tarafından öğrenildiğinden şüphelenilen parolalar hemen değiştirilecektir.
    • Yetkilendirme
  6. Özel olarak yetkilendirme yapılmadığı sürece tüm bilgi varlıklarına erişimin yasaklanmıştır.
  7. Kullanıcılara sadece iş sorumluluklarını veya iş gereksinimlerini yerine getirmelerine yetecek kadar yetkilendirme yapılacaktır.
  8. Herhangi bir şekilde fazla yetkiye sahip kullanıcıların bu yetkiyi kullanarak iş sorumluluklarının veya iş gereksinimlerinin dışında bilgiye ulaşması yasaklanmıştır.
  9. Erişim ve yetki seviyelerinin güncelliği bilgi sistemlerindeki bir değişiklik ya da personellerle ilgili değişikliklerde BT Ekibi tarafından sağlanacaktır.
  10. Sistemlere başarılı ve başarısız erişim logları sürekli olarak tutulacak, tekrarlanan başarısız log-on girişimleri her gün sonunda BT ekibi tarafından incelenecektir.
  11. İş akdi biten personelin tüm erişim yetkileri  iptal edilir, İhbarlı çıkartılan personelin tüm erişimleri kapatıldıktan sonra iş akdi fesih olunur.
  • Fiziksel Erişim
    • Kurum kritik varlıkların bulunduğu Bilgi İşlem Birimi ve sistem odasına girişler anahtarlı sistemlerle yapılmaktadır.
    • Sistem odasına girmeye yetkili olmayan ama bakım/onarım, danışmanlık vb. gibi amaçlarla sistem odasında çalışma ihtiyacı olan kişiler Bilgi işlem sorumlusu onayı ile ve bilgi işlem sorumlusunun belirlediği yetkili kişilerin nezaretinde sistem odasına girebilirler.
    • Bilgi İşlem Birimine ziyaretçilerin kabulü Ziyaretçi Kabul Politikasına göre yapılmaktadır.

Sistem Odası, Evrak Odası, Personellerin Odası, Toplantı için erişim hakları personel bazında aşağıdaki tabloya göre yapılır.

Politikada yetkiler aldıkları görevlere göre aşağıdaki gibi sınırlandırılmıştır.


Sistem Odası Muhasebe Proje İnsan Kaynakları Şirket Müdürü Odası İdari Odalar
Şirket Müdürü X(datadisk) X X X X X
Bilgi İşlem Sorumlusu X - - - - -
BT Ekibi X - - - - -
İdari Personel - - - - - X
Muhasebe Personeli X
Üçüncü taraf Çalışan Nezaretinde

x

Çalışan Nezaretinde

x

Çalışan Nezaretinde

x

Çalışan Nezaretinde

x

Şirket Müdürü Çalışan Nezaretinde

x

Çalışan Nezaretinde

x

Ziyaretçiler - Çalışan Nezaretinde

x

Çalışan Nezaretinde

x

Çalışan Nezaretinde

x

Çalışan Nezaretinde

x

Çalışan Nezaretinde

x


  • Ağ Erişimi
    • Ağ üzerinde aktif dizin kullanıcıları için bir “datadisk” oluşturulmuştur.
    • “Datadisk” sürücüsü üzerindeki birimler ve kullanıcılara göre yetkilendirilmiştir.
    • Hiçbir personelin dosya silme yetkisi bulunmamaktadır. Silme işlemi sadece Ayrıcalıklı Yöneticiler ve Sistem Yöneticisi tarafından yapılmaktadır.
    • “Datadisk” sürücüsü üzerinde iso, iso formları, vb. ortak kullanıma açık dizinler oluşturulmuş Bu dizinlere erişim açıktır
    • Paylaşımlar sistem yöneticisi tarafından belirlenmekted
    • Yazılım dizinine sadece yazılım grubuna ait üye kullanıcıların dosya oluşturma, ekleme, değiştirme yetkisi bulunmaktadır.
    • İso formları tüm kullanıcılar erişebilmekte ancak sadece okuma yetkisine sahiptirle Kalite Birimi dışında kullanıcıların dosya ve/veya form oluşturma,  ekleme,   değiştirme yetkisi bulunmamaktadır. Bu şekildeki istekleri var ise kalite birimine haber verilir.
    • Iso dizinine sadece Kalite Birimine ait üye kullanıcılarının dosya oluşturma, ekleme, değiştirme yetkisi bulunmaktadır. Silme yetkileri yok
  • Donanımlara Erişim
    • Kurumun altyapı ve donanım varlıkları belirlenmiş ve Varlık Envanter Listesinde listelenmiştir. Varlık envanter listesinde varlıkların sahibi ve kullanıcısı belirtilmiştir.
    • Donanımlara erişim hakkı varlık envanterinde belirtilen varlığın sahibine ve kullanıcısına aittir. Kullanıcılar bilgisayarlarına Şifre Güvenliği Politikasına uygun olarak kimlik doğrulama ile erişilecektir.
    • Gerekli durumlarda Bilgi işlem sorumlusu veya Bilgi işlem sorumlusu tarafından yetkilendirilmiş BT ekibi çalışanları erişim yetkisine sahip olurlar.
  • Üçüncü Taraf Erişimleri
    • Üçüncü tarafa ait şirketler/kurumlar/kuruluşların kurum dahilinde herhangi bir hizmet kapsamında kurumun bilgilerine ve bilgi sistemlerine erişim izni verilmeden önce risk analizi yapılmış olacaktır.
    • Üçüncü tarafa ait şirketler/kurumlar/kuruluşların erişecekleri varlıkların güvenliğinin sağlanmasından varlığın sahibi sorumludur.
  1. YAPTIRIM

Çalışan tüm personel, görevleri kapsamındaki erişimlerle yetkilidir. Yetkisi dışında erişim yapılması halinde Doğugaz Disiplin Prosedürü’ ne göre işlem yapılır.

ÜST