Professional Documents
Culture Documents
ED.11.02.04. Pulver İşletim Güvenliği Politikası - Re00
ED.11.02.04. Pulver İşletim Güvenliği Politikası - Re00
1. Amaç ve Kapsam
Bu doküman, Pulver bünyesindeki bilgi sistemlerinin güvenli işletiminin sağlanması için gerekli
hususları tanımlamak amacıyla oluşturulmuştur.
2. Tanım ve Kısaltmalar
Pulver: Pulver Kimya San. ve Tic. A.Ş.
3. Sorumluluklar
İşletim Güvenliği Politikası, Pulver kadrolu ve sözleşmeli çalışanlarını, üçüncü taraf olarak Pulver'e
ait ya da Pulver tarafından korunması gerekli olan her türlü bilgiye erişebilen bayileri, müşterileri,
hizmet sağlayıcıları, tedarikçileri ve yüklenicileri kapsar.
4. Uygulama:
Canlı ortamdaki sistemlere, yalnızca sistemin amacına uygun şekilde çalışması için gerekli
yazılımlar kurulmalıdır.
Canlı ortamdaki uygulamalar, yalnızca bu konuda yetkilendirilmiş kişiler tarafından
güncellenebilmelidir.
Canlı sistemlerde, geliştirmeye ilişkin kod ve derleyici uygulamalar bulundurulmamalıdır.
Canlı ortamdaki sanal sunucuların en az aşağıdaki bilgileri içeren kimlik kartları
oluşturulmalıdır:
o Sunucu Adı
o İşletim Sistemi ve Sürümü
o IP Adresi
o İşlemci/Bellek/Disk Kapasitesi
o Veritabanı/Orta Katman Uygulamalar ve Sürümleri
o Yedekleme/Replikasyon Durumu
o İlişkili Olduğu Diğer Sunucular
4.2.Değişiklik Yönetimi
Kritik iş süreçlerinin güvenliğini kesintiye uğratma potansiyeline sahip olan, bilgi sistemlerinde ya
da bilgi sistemlerini destekleyen altyapıda yapılacak tüm değişiklikler, aşağıdaki hususlar göz
önüne alınarak gerçekleştirilmelidir:
Değişiklikler, en az aşağıdaki detayı içerecek şekilde kayıt altına alınmalıdır.
o Değişiklik yapılacak varlık
o Değişikliği talep eden kişi
o Değişikliği gerçekleştirecek olan kişi
o Değişikliği onaylayan kişi
o Değişikliğin gerekçesi
o Değişikliğin teknik detayları da içeren açıklaması
o Değişikliğin gerçekleştirileceği tarih ve saat
o Etkilenecek iş süreçleri
Değişiklikler gerçekleştirilmeden önce iş etkisi analizi yapılmalıdır.
Hizmet kesintisi yaratacak değişikliklerde, iş süreci sahiplerinin onayı alınmalıdır.
Değişiklikler, iş süreci sahiplerinin onaylamaması ya da herhangi bir teknik aksaklık durumuna
karşı, sistemin bir önceki kararlı yapılandırmayla çalıştırılması esasına göre planlanmalıdır.
Gerçekleştirilen değişiklikler, ilgili sistem ve altyapıya ait olay kayıtlarının 2 iş günü süresince
izlenmesi ve iş birimlerinden gelen geri bildirimler değerlendirilerek kapatılmalıdır.
Dış kaynaktan destek alınan sistemlerdeki önemli değişikliklerde, destek alınan firma
bilgilendirilerek, acil durumda müdahaleye hazır olması sağlanmalıdır.
4.3.Kapasite Yönetimi
Pulver bünyesindeki kritik iş süreçlerine destek veren sistem ve altyapıya ilişkin kaynakların,
kapasite ihtiyacının önceden belirlenebilmesi amacıyla, aşağıdaki hususlar göz önüne alınarak
kapasite yönetimi uygulanmalıdır.
Kayıtlar arasında tutarlı bir ilişkinin kurulabilmesi amacıyla, tüm sistemlerin saatlerini ortak
kaynaktan alması sağlanmalıdır.
Kullanıcıların zararlı yazılımlara karşı bilgi seviyelerinin arttırılması amacıyla düzenli olarak
farkındalık çalışmaları yürütülmelidir.
4.6.Yedekleme
Elektronik ortamdaki veriler ve sistem imajları, olası kayıplardan korunmak amacıyla, aşağıdaki
hususlar göz önüne alınarak yedeklenmelidir:
Verilerin hangi sıklıkta yedekleneceğine ve geri dönüş testlerinin yapılacağına, yedeklenen
verilerin ne kadar süreyle saklanacağına varlık sahibi karar vermelidir.
Sistemin erişilebilirliğini etkileme potansiyeli olan denetim çalışmaları mesai saatleri dışında
yürütülmelidir
Gerçekleştirilen tüm denetim faaliyetlerinin kayıtları tutulmalıdır.
4.8.İş Sürekliliği
Kuruluş’a ait kritik iş süreçlerinin sürekliliğinin sağlanması ve kesinti durumunda en kısa zamanda
ayağa kaldırılmasına ilişkin esasların hususları belirlemek amacıyla, aşağıdaki hususlar göz önüne
alınarak iş sürekliliği yönetimi gerçekleştirilmelidir:
Geri Dönüş Süresi, Geri Dönüş Anı ve Kabul Edilebilecek En Uzun Kesinti Süresi değerleri, iş
süreci sahibi ya da Üst Yönetim tarafından belirlenmelidir.
Hazırlanan felaketten dönüş senaryoları ve planları yılda bir kez test edilmelidir.
Yaşanacak bir felaket sonrasında, ilgili risk maddeleri gözden geçirilmelidir.
Felaket ya da test sonrasında, felaketten dönüş için uygulanan planın etkinliği gözden
geçirilerek, gerek görülürse planlar güncellenmelidir.
4.9.UYUM
Tüm Pulver çalışanları, Pulver Bilgi Güvenliği Politikası ve bağlı politikalara uymak zorundadır.
Uyumluluk, denetim/uyum programları ve güvenlik olay raporları kullanılarak izlenecektir.
Bilgi güvenliği politikasının ya da bağlı politikaların herhangi bir bölümüne uyulmaması, iş
akdinin feshedilmesini de içerebilecek şekilde bir disiplin cezası ile sonuçlanabilir. Cezai
yaptırımlarda öncelik yasal, düzenleyici ya da sözleşmeye tabi yükümlülüklere aittir.
5. İlgili Dokümanlar