ED.11.02.04. Pulver İşletim Güvenliği Politikası - Re00

POLİTİKA
İŞLETİM GÜVENLİĞİ POLİTİKASI

PULVER KİMYA SAN.ve TİC. A.Ş.
Doküman No Revizyon Tarihi Revizyon No Sayfa No

ED.11.02.04 - 00 1 / 21
1. Amaç ve Kapsam
Bu doküman, Pulver bünyesindeki bilgi sistemlerinin güvenli işletiminin sağlanması için gerekli
hususları tanımlamak amacıyla oluşturulmuştur.
2. Tanım ve Kısaltmalar
Pulver: Pulver Kimya San. ve Tic. A.Ş.
HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

POLİTİKA


ED.11.02.04 - 00 2 / 21
3. Sorumluluklar
İşletim Güvenliği Politikası, Pulver kadrolu ve sözleşmeli çalışanlarını, üçüncü taraf olarak Pulver'e
ait ya da Pulver tarafından korunması gerekli olan her türlü bilgiye erişebilen bayileri, müşterileri,
hizmet sağlayıcıları, tedarikçileri ve yüklenicileri kapsar.
4. Uygulama:
4.1.Canlı Ortam Yönetimi

 Geliştirme, test ve canlı ortamlar, yetkisiz erişim ve değişiklik risklerinin azaltılması amacıyla
ayrı işletilmelidir.

POLİTİKA


ED.11.02.04 - 00 3 / 21
 Canlı ortamdaki sistemlere, yalnızca sistemin amacına uygun şekilde çalışması için gerekli
yazılımlar kurulmalıdır.
 Canlı ortamdaki uygulamalar, yalnızca bu konuda yetkilendirilmiş kişiler tarafından
güncellenebilmelidir.
 Canlı sistemlerde, geliştirmeye ilişkin kod ve derleyici uygulamalar bulundurulmamalıdır.
 Canlı ortamdaki sanal sunucuların en az aşağıdaki bilgileri içeren kimlik kartları
oluşturulmalıdır:
o Sunucu Adı
o İşletim Sistemi ve Sürümü

POLİTİKA


ED.11.02.04 - 00 4 / 21
o IP Adresi
o İşlemci/Bellek/Disk Kapasitesi
o Veritabanı/Orta Katman Uygulamalar ve Sürümleri
o Yedekleme/Replikasyon Durumu
o İlişkili Olduğu Diğer Sunucular

POLİTİKA


ED.11.02.04 - 00 5 / 21
4.2.Değişiklik Yönetimi
Kritik iş süreçlerinin güvenliğini kesintiye uğratma potansiyeline sahip olan, bilgi sistemlerinde ya
da bilgi sistemlerini destekleyen altyapıda yapılacak tüm değişiklikler, aşağıdaki hususlar göz
önüne alınarak gerçekleştirilmelidir:
 Değişiklikler, en az aşağıdaki detayı içerecek şekilde kayıt altına alınmalıdır.
o Değişiklik yapılacak varlık
o Değişikliği talep eden kişi
o Değişikliği gerçekleştirecek olan kişi
o Değişikliği onaylayan kişi

POLİTİKA


ED.11.02.04 - 00 6 / 21
o Değişikliğin gerekçesi
o Değişikliğin teknik detayları da içeren açıklaması
o Değişikliğin gerçekleştirileceği tarih ve saat
o Etkilenecek iş süreçleri
 Değişiklikler gerçekleştirilmeden önce iş etkisi analizi yapılmalıdır.
 Hizmet kesintisi yaratacak değişikliklerde, iş süreci sahiplerinin onayı alınmalıdır.
 Değişiklikler, iş süreci sahiplerinin onaylamaması ya da herhangi bir teknik aksaklık durumuna
karşı, sistemin bir önceki kararlı yapılandırmayla çalıştırılması esasına göre planlanmalıdır.

POLİTİKA


ED.11.02.04 - 00 7 / 21
 Gerçekleştirilen değişiklikler, ilgili sistem ve altyapıya ait olay kayıtlarının 2 iş günü süresince
izlenmesi ve iş birimlerinden gelen geri bildirimler değerlendirilerek kapatılmalıdır.
 Dış kaynaktan destek alınan sistemlerdeki önemli değişikliklerde, destek alınan firma
bilgilendirilerek, acil durumda müdahaleye hazır olması sağlanmalıdır.
4.3.Kapasite Yönetimi
Pulver bünyesindeki kritik iş süreçlerine destek veren sistem ve altyapıya ilişkin kaynakların,
kapasite ihtiyacının önceden belirlenebilmesi amacıyla, aşağıdaki hususlar göz önüne alınarak
kapasite yönetimi uygulanmalıdır.

POLİTİKA


ED.11.02.04 - 00 8 / 21
 Kapasite gereksinimleri, sistemin iş kritikliği göz önüne alınarak belirlenmelidir.

 Kapasitesi izlenecek olan varlıklara ilişkin olarak, izlenecek bileşenler ve izleme sıklıkları varlık
sahibi tarafından belirlenmelidir.
 Sıkışıklık durumunda, yeterli kapasitenin sağlanabilmesi amacıyla kapasite arttırma ya da
talep azaltma yöntemleri uygulanmalıdır.
 Kapasite izleme verileri, bilgi sistemlerine ilişkin iyileştirme, geliştirme ve satın alma
süreçlerinde girdi olarak kullanılmalıdır.

POLİTİKA


ED.11.02.04 - 00 9 / 21
4.4.Olay Kaydetme ve İzleme

Bilgi güvenliği ihlal olaylarının etkilerini ve kök nedenlerini belirleyebilmek amacıyla bilgi işleme
sistem ve altyapısına ilişkin olaylar, aşağıdaki hususlar göz önüne alınarak izlenmelidir:
 Kayıtlar, ilgili yasa, sözleşme ve mevzuatın gereksinimini karşılayacak sürelerde saklanmalıdır.
 Kayıtlar yetkisiz erişim, değiştirme ve silinmeye karşı korunmalıdır.
 Kayıt sisteminin kapasitesi izlenmelidir.
 Aşağıdaki olaylara ilişkin aktiviteler kaydedilmelidir:
o Kullanıcı yaratma, silme ve yetkilendirme kayıtları
o Kullanıcı ve servis hesaplarının, dizin servislerinde oturum açma ve kapatma kayıtları

POLİTİKA


ED.11.02.04 - 00 10 / 21
o Kullanıcı ve servis hesaplarının, dizin servislerinde başarısız oturum açma girişimleri

o Sistem yapılandırmasındaki değişiklik kayıtları
o SAP erişim kayıtları
o E-Mail erişim kayıtları
o İnternet erişimi kayıtları
o Kritik veri işleme tesisleri ve ofislere giriş/çıkış kayıtları
o Kamera görüntüleri
o Zararlı yazılımlardan korunma sistemleri olay kayıtları
o Ayrıcalıklı hesap kullanım kayıtları

POLİTİKA


ED.11.02.04 - 00 11 / 21
 Kayıtlar arasında tutarlı bir ilişkinin kurulabilmesi amacıyla, tüm sistemlerin saatlerini ortak
kaynaktan alması sağlanmalıdır.
4.5.Zararlı Yazılımlardan Korunma

Bilgi varlıklarını zararlı yazılım tehditlerinden korumak amacıyla, aşağıdaki hususlar göz önüne
alınarak önlemler uygulanmalıdır:
 Kullanıcılar, istemcilerin güvenlik ayarlarını değiştirememelidir.
 İstemcilerin taşınabilir veri depolama ünitesi bağlantıları engellenmelidir. İş gereğince,
herhangi bir alternatif yöntem bulunamaması nedeniyle taşınabilir veri depolama ünitesi

POLİTİKA


ED.11.02.04 - 00 12 / 21
kullanmak zorunda olan kullanıcılara, Bilgi Teknolojileri Müdürü'nün teknik ve Genel

Müdür'ün idari onayı ile erişim sağlanmalıdır.
 İnternet kaynaklı zararlı yazılım tehditlerinden korunmak amacıyla, kurumsal internet
bağlantısında içerik ve URL filtreleme gibi koruma önlemleri alınmalıdır.
 E-posta kaynaklı zararlı yazılım tehditlerinden korunmak amacıyla, e-posta giriş ve çıkışlarında
koruma önlemleri alınmalıdır.
 Kullanıcı cihazları ve sistemler, merkezi olarak yönetilen antivirus yazılımı ile korunmalıdır.
 Antivirus yazılımı, istemcileri düzenli tarayacak şekilde ayarlanmalıdır.

POLİTİKA


ED.11.02.04 - 00 13 / 21
 Kullanıcıların antivirus servisini ya da uygulamasını durdurma, duraklatma ya da ayarlarını

değiştirme yetkisi bulunmamalıdır.
 Kullanıcı bilgisayarlarına bilerek ya da bilmeyerek zararlı yazılım kurulumunun engellenmesi
amacıyla local administrator yetkileri alınmalıdır.
 Herhangi bir sistemde zararlı yazılımla karşılaşıldığında, ilk aksiyon zararlı yazılımın
yayılmasını engellemek olmalıdır. Zararlı yazılımın etkisinin belirlenmesinden sonra,
sistemdeki verilerin bütünlüğünün zarar görmeyeceği şekilde temizleme işlemleri
yürütülmelidir. Temizlemenin mümkün olmadığı zararlı yazılım saldırılarında yedekten dönme
işlemi uygulanmalıdır.

POLİTİKA


ED.11.02.04 - 00 14 / 21
 Kullanıcıların zararlı yazılımlara karşı bilgi seviyelerinin arttırılması amacıyla düzenli olarak
farkındalık çalışmaları yürütülmelidir.
4.6.Yedekleme
Elektronik ortamdaki veriler ve sistem imajları, olası kayıplardan korunmak amacıyla, aşağıdaki
hususlar göz önüne alınarak yedeklenmelidir:
 Verilerin hangi sıklıkta yedekleneceğine ve geri dönüş testlerinin yapılacağına, yedeklenen
verilerin ne kadar süreyle saklanacağına varlık sahibi karar vermelidir.

POLİTİKA


ED.11.02.04 - 00 15 / 21
 Yedeklenen veriler, fiziksel/çevresel koşulların verilerin erişilebilirliğini ve bütünlüğünü

bozmayacağı ortamlarda barındırılmalıdır.
 Yedeklenen veriler, oluşabilecek felaketten korunmak amacıyla, düzenli olarak en az 150 km
ötedeki bir başka lokasyona gönderilmelidir.

POLİTİKA


ED.11.02.04 - 00 16 / 21
4.7.Teknik Uyum Denetimi

 Denetim faaliyetleri, canlı sistemler üzerindeki etkilerin en aza indirilmesi amacıyla, aşağıdaki
hususlar göz önüne alınarak gerçekleştirilmelidir:
 Sistemler ve verilere erişim için Üst Yönetim’in onayı alınmalıdır.
 Teknik denetimin kapsamı önceden belirlenmeli ve bu kapsama uyulduğu kontrol edilmelidir.
 Yürütülecek denetimlerde veriye yalnızca okunur erişim sağlanmalıdır. Yalnızca okunur
dışındaki erişim, verinin yalıtılmış kopyası üzerinden sağlanmalıdır. Denetimin bitiminde söz
konusu kopyalar silinmeli ya da denetimin zorunlu koştuğu şekilde güvenli biçimde
saklanmalıdır.

POLİTİKA


ED.11.02.04 - 00 17 / 21
 Sistemin erişilebilirliğini etkileme potansiyeli olan denetim çalışmaları mesai saatleri dışında
yürütülmelidir
 Gerçekleştirilen tüm denetim faaliyetlerinin kayıtları tutulmalıdır.
4.8.İş Sürekliliği
Kuruluş’a ait kritik iş süreçlerinin sürekliliğinin sağlanması ve kesinti durumunda en kısa zamanda
ayağa kaldırılmasına ilişkin esasların hususları belirlemek amacıyla, aşağıdaki hususlar göz önüne
alınarak iş sürekliliği yönetimi gerçekleştirilmelidir:

POLİTİKA


ED.11.02.04 - 00 18 / 21
 Kritik bilgi sistemleri, iş sürekliliği gereksinimlerini karşılamak amacıyla, yedekli ve yük

paylaşımlı mimarilerle ve yeterli fazlalıkla işletilmelidir.
 Her bir bilgi sistemi için aşağıdaki parametreler belirlenmeli ve yazılı hale getirilmelidir:
o Geri Dönüş Süresi: Kesinti sonrasında, hizmetlerin en çok ne kadar sürede yeniden
çalışır hale getirileceği hedefini tanımlayan değerdir.
o Geri Dönüş Anı: Kesinti sonrasında, hizmetlerin kesinti anından en çok ne kadar
geriye dönebileceği hedefini tanımlayan değerdir.
o Kabul Edilebilecek En Uzun Kesinti Süresi: İş sürecinin en çok ne kadar süreyle
durabileceğini tanımlayan değerdir.

POLİTİKA


ED.11.02.04 - 00 19 / 21
 Geri Dönüş Süresi, Geri Dönüş Anı ve Kabul Edilebilecek En Uzun Kesinti Süresi değerleri, iş
süreci sahibi ya da Üst Yönetim tarafından belirlenmelidir.
 Hazırlanan felaketten dönüş senaryoları ve planları yılda bir kez test edilmelidir.
 Yaşanacak bir felaket sonrasında, ilgili risk maddeleri gözden geçirilmelidir.
 Felaket ya da test sonrasında, felaketten dönüş için uygulanan planın etkinliği gözden
geçirilerek, gerek görülürse planlar güncellenmelidir.

POLİTİKA


ED.11.02.04 - 00 20 / 21
4.9.UYUM
 Tüm Pulver çalışanları, Pulver Bilgi Güvenliği Politikası ve bağlı politikalara uymak zorundadır.
Uyumluluk, denetim/uyum programları ve güvenlik olay raporları kullanılarak izlenecektir.
 Bilgi güvenliği politikasının ya da bağlı politikaların herhangi bir bölümüne uyulmaması, iş
akdinin feshedilmesini de içerebilecek şekilde bir disiplin cezası ile sonuçlanabilir. Cezai
yaptırımlarda öncelik yasal, düzenleyici ya da sözleşmeye tabi yükümlülüklere aittir.
5. İlgili Dokümanlar

POLİTİKA


ED.11.02.04 - 00 21 / 21

ED.11.02.04. Pulver İşletim Güvenliği Politikası - Re00

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

ED.11.02.04. Pulver İşletim Güvenliği Politikası - Re00

Uploaded by

Copyright:

Available Formats

POLİTİKA

İŞLETİM GÜVENLİĞİ POLİTİKASI

Doküman No Revizyon Tarihi Revizyon No Sayfa No

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

İŞLETİM GÜVENLİĞİ POLİTİKASI

Doküman No Revizyon Tarihi Revizyon No Sayfa No

4.1.Canlı Ortam Yönetimi

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

İŞLETİM GÜVENLİĞİ POLİTİKASI

Doküman No Revizyon Tarihi Revizyon No Sayfa No

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

İŞLETİM GÜVENLİĞİ POLİTİKASI

Doküman No Revizyon Tarihi Revizyon No Sayfa No

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

İŞLETİM GÜVENLİĞİ POLİTİKASI

Doküman No Revizyon Tarihi Revizyon No Sayfa No

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

İŞLETİM GÜVENLİĞİ POLİTİKASI

Doküman No Revizyon Tarihi Revizyon No Sayfa No

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

İŞLETİM GÜVENLİĞİ POLİTİKASI

Doküman No Revizyon Tarihi Revizyon No Sayfa No

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

İŞLETİM GÜVENLİĞİ POLİTİKASI

Doküman No Revizyon Tarihi Revizyon No Sayfa No

 Kapasite gereksinimleri, sistemin iş kritikliği göz önüne alınarak belirlenmelidir.

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

İŞLETİM GÜVENLİĞİ POLİTİKASI

Doküman No Revizyon Tarihi Revizyon No Sayfa No

4.4.Olay Kaydetme ve İzleme

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

İŞLETİM GÜVENLİĞİ POLİTİKASI

Doküman No Revizyon Tarihi Revizyon No Sayfa No

o Kullanıcı ve servis hesaplarının, dizin servislerinde başarısız oturum açma girişimleri

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

İŞLETİM GÜVENLİĞİ POLİTİKASI

Doküman No Revizyon Tarihi Revizyon No Sayfa No

4.5.Zararlı Yazılımlardan Korunma

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

İŞLETİM GÜVENLİĞİ POLİTİKASI

Doküman No Revizyon Tarihi Revizyon No Sayfa No

kullanmak zorunda olan kullanıcılara, Bilgi Teknolojileri Müdürü'nün teknik ve Genel

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

İŞLETİM GÜVENLİĞİ POLİTİKASI

Doküman No Revizyon Tarihi Revizyon No Sayfa No

 Kullanıcıların antivirus servisini ya da uygulamasını durdurma, duraklatma ya da ayarlarını

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

İŞLETİM GÜVENLİĞİ POLİTİKASI

Doküman No Revizyon Tarihi Revizyon No Sayfa No

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

İŞLETİM GÜVENLİĞİ POLİTİKASI

Doküman No Revizyon Tarihi Revizyon No Sayfa No

 Yedeklenen veriler, fiziksel/çevresel koşulların verilerin erişilebilirliğini ve bütünlüğünü

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

İŞLETİM GÜVENLİĞİ POLİTİKASI

Doküman No Revizyon Tarihi Revizyon No Sayfa No

4.7.Teknik Uyum Denetimi

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

İŞLETİM GÜVENLİĞİ POLİTİKASI

Doküman No Revizyon Tarihi Revizyon No Sayfa No

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

İŞLETİM GÜVENLİĞİ POLİTİKASI

Doküman No Revizyon Tarihi Revizyon No Sayfa No