POLİTİKA

ERİŞİM KONTROLÜ POLİTİKASI

PULVER KİMYA SAN.ve TİC. A.Ş.

Doküman No Revizyon Tarihi Revizyon No Sayfa No

ED.11.02.03 - 00 1 / 13

1. Amaç ve Kapsam
Bu politika, Pulver'e ait ya da Pulver'in kontrolündeki bilgiye erişimi güvenli hale getirmek için
uyulması gerekli hususları tanımlamak amacıyla oluşturulmuştur.
2. Tanım ve Kısaltmalar
Pulver: Pulver Kimya San. ve Tic. A.Ş.

3. Sorumluluklar
Erişim Kontrolü Politikası, Pulver kadrolu ve sözleşmeli çalışanlarını, üçüncü taraf olarak Pulver'e

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

 POLİTİKA

ERİŞİM KONTROLÜ POLİTİKASI

PULVER KİMYA SAN.ve TİC. A.Ş.

Doküman No Revizyon Tarihi Revizyon No Sayfa No

ED.11.02.03 - 00 2 / 13

ait ya da Pulver tarafından korunması gerekli olan her türlü bilgiye erişebilen bayileri, müşterileri,
hizmet sağlayıcıları, tedarikçileri ve yüklenicileri kapsar.
4. Uygulama:

ERİŞİM KONTROLÜ:

4.1.Temel Prensipler

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

 POLİTİKA

ERİŞİM KONTROLÜ POLİTİKASI

PULVER KİMYA SAN.ve TİC. A.Ş.

Doküman No Revizyon Tarihi Revizyon No Sayfa No

ED.11.02.03 - 00 3 / 13

 Bilgiye erişim yetkileri “Açıkça izin verilmedikçe her şey yasaklanır” ve “Bilmesi gerektiği
kadar” prensiplerine göre verilmelidir.
 Donanım, yazılım, servis ve tesislere erişim yetkileri, “Kullanması gerekli” prensibine göre
verilmelidir.
 Bilgiye erişimde, iş rolleri ile erişim yetkilerini eşleştirmek için rol tabanlı erişim modeli
uygulanmalıdır.
 Kullanıcılara, yalnızca kullanımları için yetkilendirildikleri ağ ve ağ hizmetlerine erişim yetkisi
verilmelidir.

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

 POLİTİKA

ERİŞİM KONTROLÜ POLİTİKASI

PULVER KİMYA SAN.ve TİC. A.Ş.

Doküman No Revizyon Tarihi Revizyon No Sayfa No

ED.11.02.03 - 00 4 / 13

 Bilgiye erişimde kimlik doğrulama (Authentication), yetkilendirme (Authorization) ve

aktivitelerin izlenmesi (Auditing) işlevleri uygulanmalıdır.
 Sistemlerde ve uygulamalarda varsayılan hesap bilgileri kullanılmamalıdır.

4.2.Ağ Erişimi

 Kullanıcılar, sistemler ve ağ cihazları, sistem ve uygulamaların güvenlik ihtiyaçlarına göre

mantıksal ya da fiziksel olarak gerçekleştirilmelidir.
 Pulver ağına ve ağ servislerine yalnızca Pulver çalışanları ya da Pulver'in resmi süreçlerle
onayladığı 3. taraflar, yalnızca izin verilen cihazlarla erişmelidir.

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

 POLİTİKA

ERİŞİM KONTROLÜ POLİTİKASI

PULVER KİMYA SAN.ve TİC. A.Ş.

Doküman No Revizyon Tarihi Revizyon No Sayfa No

ED.11.02.03 - 00 5 / 13

 Misafirler yalnızca misafir ağı aracılığıyla internete erişebilmeli, Pulver ağına erişememelidir.
 Tedarikçilerin, Pulver'e ait ağlara Pulver sahası içerisinde erişmesi gerektiğinde, güvenli cihaz
temin edilmelidir.
 Pulver dışından ağ erişimi yalnızca VPN aracılığıyla sağlanmalıdır.
 Ağ cihazlarından bilgi toplama işlevine sahip servisler, şifreli protokollerle kullanılmalı ve
varsayılan hesap bilgileri değiştirilmelidir.

4.3.Kullanıcı Erişimi

 Tüm kullanıcılar, sistem ve uygulamalara kendilerine ait hesap bilgileri ile erişmelidir.

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

 POLİTİKA

ERİŞİM KONTROLÜ POLİTİKASI

PULVER KİMYA SAN.ve TİC. A.Ş.

Doküman No Revizyon Tarihi Revizyon No Sayfa No

ED.11.02.03 - 00 6 / 13

 Kullanıcı hesaplarının açılması, kapatılma ve görev değişikliklerinde Bilgi Teknolojileri

Müdürlüğü'ne güncelletilmesi, İnsan Kaynakları Müdürlüğü'nün sorumluluğundadır.
 Birden fazla kullanıcının ortak hesap kullanımı, yalnızca gerekli olan durumlarda ve üst
yönetimin yazılı onayı dahilinde, risk olarak kayıt edilerek gerçekleştirilmelidir.
 İş sözleşmesi sona eren kullanıcı ve tedarikçilerin hesapları ile fiziksel erişim yetkileri,
sözleşmenin bittiği tarih itibarıyla kapatılmalıdır. İnsan Kaynakları Müdürlüğü, gerekli gördüğü
durumlarda hesabın kapatılması tarihini, risk faktörlerini değerlendirerek öne çekebilir.
 İş gereğince, iş sözleşmesi sona ermesine rağmen belirli süreyle hesaplarının kapatılması
istenmeyen Pulver çalışanları için üst yönetimden yazılı onay alınmalı ve bu durum risk olarak
kayıt edilmelidir.

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

 POLİTİKA

ERİŞİM KONTROLÜ POLİTİKASI

PULVER KİMYA SAN.ve TİC. A.Ş.

Doküman No Revizyon Tarihi Revizyon No Sayfa No

ED.11.02.03 - 00 7 / 13

 Sistemlere ve uygulamalara erişim için kullanılan tüm hesaplar, periyodik olarak kontrol
edilerek belirli süreyle kullanılmayan hesaplar kapatılmalıdır.
 Bilgiye erişim yetkileri, varlık sahipleri tarafından periyodik olarak kontrol edilmelidir.
 Görev değişikliği, iş sözleşmesinin sonlandırılması ya da terfi gibi değişikliklerden sonra ilgili
süreç sahibi ya da İnsan Kaynakları Müdürlüğü, erişim yetkilerini kontrol ettirmelidir.
 Hesap oluşturma ya da parola sıfırlama sırasında üretilen geçici parolalar, kullanıcılara güvenli
yollarla iletilmeldir.
 Hesap ve parolalar Pulver Hesap ve Parola Oluşturma Talimatı'na uygun şekilde
oluşturulmalıdır.

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

 POLİTİKA

ERİŞİM KONTROLÜ POLİTİKASI

PULVER KİMYA SAN.ve TİC. A.Ş.

Doküman No Revizyon Tarihi Revizyon No Sayfa No

ED.11.02.03 - 00 8 / 13

4.4.Ayrıcalıklı Erişim

 Sistemlere ve uygulamalara ilişkin ayrıcalıklı erişim yetkilerinin kaydı tutulmalıdır.

 Ayrıcalıklı erişim yetkileri, yalnızca işin gerektirdiği kadar verilmelidir.
 Sistemlere ve uygulamalara, teknik açıdan mümkün olduğu durumlarda, ayrıcalıklı erişim
yetkisi verilmiş kullanıcı hesaplarıyla girilmelidir. Administrator, root, SA vb. genel adlı
ayrıcalıklı hesaplar kullanılmamalıdır.
 Ayrıcalıklı erişim yetkileri, periyodik olarak üst yönetime raporlanmalıdır.
 Ayrıcalıklı erişim yetkilerine sahip bir kullanıcının işten ayrılması ya da görev değişikliği
durumunda, ilgili sistemlere ilişkin parolalar hemen değiştirilmelidir.

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

 POLİTİKA

ERİŞİM KONTROLÜ POLİTİKASI

PULVER KİMYA SAN.ve TİC. A.Ş.

Doküman No Revizyon Tarihi Revizyon No Sayfa No

ED.11.02.03 - 00 9 / 13

 Kullanıcılara ait cihazlara destek amaçlı erişimler, Pulver tarafından onaylanmış araçlarla ve
her bir erişim için ilgili kullanıcıdan onay alınarak gerçekleştirilmeli, erişim kayıtları en az 2 yıl
süreyle saklanmalıdır.

4.5.Sistem ve Uygulama Erişimi

 Kullanıcılar, sistemlerde yalnızca iş tanımlarına uygun menü ve fonksiyonlara erişebilmelidir.
 Kritik sistem ve uygulamalardaki yetkiler, veri yazma, silme ve değiştirme gibi detayda kontrol
edilmelidir.
 Oturum açma sırasında, kullanıcılara ait parolalar maskelenmelidir.

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

 POLİTİKA

ERİŞİM KONTROLÜ POLİTİKASI

PULVER KİMYA SAN.ve TİC. A.Ş.

Doküman No Revizyon Tarihi Revizyon No Sayfa No

ED.11.02.03 - 00 10 / 13

 Oturum açma sürecinde, güvenlik süreçlerini atlatma riski yaratacak şekilde yardım mesajları
görüntülenmemelidir.
 Parolalar, Pulver Hesap ve Parola Oluşturma Talimatı'na uygun şekilde oluşturulmalı ve
periyodik olarak değiştirilmelidir.
 Parolalar, kolayca tahmin edilme ve kaba kuvvet saldırısı risklerinde korunacak şekilde
belirlenmelidir.
 Parolalar, sözlük saldırılarından korunmak amacıyla, bilinen sözcüklerden oluşmamalıdır.
 Sistem ve uygulamalara ait, başarılı ve başarısız girişim kayıtları tutulmalıdır.
 Parolalar ağ üzerinden açık metin olarak iletilmemelidir.

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

 POLİTİKA

ERİŞİM KONTROLÜ POLİTİKASI

PULVER KİMYA SAN.ve TİC. A.Ş.

Doküman No Revizyon Tarihi Revizyon No Sayfa No

ED.11.02.03 - 00 11 / 13

 Sistem ve uygulamalarda, tanımlanan sürede işlem yapılmadığı durumda oturum

sonlandırılmalıdır.
 Uygulamaların kaynak koduna ve ilgili öğelerine erişim, istenmeyen değişiklikler, yetkisiz
işlevsellik ve fikri mülkiyet haklarının istismarı tehditlerine karşı engellenmelidir.

4.6.İnternet Erişimi
 Kullanıcıların internet erişimi, iş ihtiyaçlarına uygun şekilde belirlenmeli ve Üst Yönetim'in
onayladığı profiller aracılığıyla sağlanmalıdır.
 Kumar, şiddet ve pornografi benzeri, kurumun iş alanıyla ilgisiz, yasalara ya da mevzuata
uygun olmayan erişim yasaklanmalıdır.

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

 POLİTİKA

ERİŞİM KONTROLÜ POLİTİKASI

PULVER KİMYA SAN.ve TİC. A.Ş.

Doküman No Revizyon Tarihi Revizyon No Sayfa No

ED.11.02.03 - 00 12 / 13

 Misafirlere 1 iş gününü aşacak ya da mesai saatleri dışına çıkacak şekilde internet erişimi
verilmemelidir.
 Ortak hesaplarla kullanılan cihazlardan internet erişimi engellenmelidir.
 Şirket ağı aracılığıyla gerçekleştirilen tüm internet erişimleri, 5651 sayılı yasa gereğince kayıt
altına alınmalıdır.
 İnternet üzerinden veri alışverişi gerektiren uygulamaların güvenlik ihtiyaçları ve riskleri, ilgili
projelerin planlama aşamasında değerlendirilmelidir.

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN

 POLİTİKA

ERİŞİM KONTROLÜ POLİTİKASI

PULVER KİMYA SAN.ve TİC. A.Ş.

Doküman No Revizyon Tarihi Revizyon No Sayfa No

ED.11.02.03 - 00 13 / 13

4.7.UYUM
 Tüm Pulver çalışanları, Pulver Bilgi Güvenliği Politikası ve bağlı politikalara uymak zorundadır.
Uyumluluk, denetim/uyum programları ve güvenlik olay raporları kullanılarak izlenecektir.
 Bilgi güvenliği politikasının ya da bağlı politikaların herhangi bir bölümüne uyulmaması, iş
akdinin feshedilmesini de içerebilecek şekilde bir disiplin cezası ile sonuçlanabilir. Cezai
yaptırımlarda öncelik yasal, düzenleyici ya da sözleşmeye tabi yükümlülüklere aittir.

5. İlgili Dokümanlar
-

HAZIRLAYAN KONTROL EDEN KONTROL EDEN ONAYLAYAN