Professional Documents
Culture Documents
ED.11.02.03. Pulver Erişim Kontrolü Politikası - Re00
ED.11.02.03. Pulver Erişim Kontrolü Politikası - Re00
ED.11.02.03. Pulver Erişim Kontrolü Politikası - Re00
1. Amaç ve Kapsam
Bu politika, Pulver'e ait ya da Pulver'in kontrolündeki bilgiye erişimi güvenli hale getirmek için
uyulması gerekli hususları tanımlamak amacıyla oluşturulmuştur.
2. Tanım ve Kısaltmalar
Pulver: Pulver Kimya San. ve Tic. A.Ş.
3. Sorumluluklar
Erişim Kontrolü Politikası, Pulver kadrolu ve sözleşmeli çalışanlarını, üçüncü taraf olarak Pulver'e
ait ya da Pulver tarafından korunması gerekli olan her türlü bilgiye erişebilen bayileri, müşterileri,
hizmet sağlayıcıları, tedarikçileri ve yüklenicileri kapsar.
4. Uygulama:
ERİŞİM KONTROLÜ:
4.1.Temel Prensipler
Bilgiye erişim yetkileri “Açıkça izin verilmedikçe her şey yasaklanır” ve “Bilmesi gerektiği
kadar” prensiplerine göre verilmelidir.
Donanım, yazılım, servis ve tesislere erişim yetkileri, “Kullanması gerekli” prensibine göre
verilmelidir.
Bilgiye erişimde, iş rolleri ile erişim yetkilerini eşleştirmek için rol tabanlı erişim modeli
uygulanmalıdır.
Kullanıcılara, yalnızca kullanımları için yetkilendirildikleri ağ ve ağ hizmetlerine erişim yetkisi
verilmelidir.
4.2.Ağ Erişimi
Misafirler yalnızca misafir ağı aracılığıyla internete erişebilmeli, Pulver ağına erişememelidir.
Tedarikçilerin, Pulver'e ait ağlara Pulver sahası içerisinde erişmesi gerektiğinde, güvenli cihaz
temin edilmelidir.
Pulver dışından ağ erişimi yalnızca VPN aracılığıyla sağlanmalıdır.
Ağ cihazlarından bilgi toplama işlevine sahip servisler, şifreli protokollerle kullanılmalı ve
varsayılan hesap bilgileri değiştirilmelidir.
4.3.Kullanıcı Erişimi
Tüm kullanıcılar, sistem ve uygulamalara kendilerine ait hesap bilgileri ile erişmelidir.
Sistemlere ve uygulamalara erişim için kullanılan tüm hesaplar, periyodik olarak kontrol
edilerek belirli süreyle kullanılmayan hesaplar kapatılmalıdır.
Bilgiye erişim yetkileri, varlık sahipleri tarafından periyodik olarak kontrol edilmelidir.
Görev değişikliği, iş sözleşmesinin sonlandırılması ya da terfi gibi değişikliklerden sonra ilgili
süreç sahibi ya da İnsan Kaynakları Müdürlüğü, erişim yetkilerini kontrol ettirmelidir.
Hesap oluşturma ya da parola sıfırlama sırasında üretilen geçici parolalar, kullanıcılara güvenli
yollarla iletilmeldir.
Hesap ve parolalar Pulver Hesap ve Parola Oluşturma Talimatı'na uygun şekilde
oluşturulmalıdır.
4.4.Ayrıcalıklı Erişim
Kullanıcılara ait cihazlara destek amaçlı erişimler, Pulver tarafından onaylanmış araçlarla ve
her bir erişim için ilgili kullanıcıdan onay alınarak gerçekleştirilmeli, erişim kayıtları en az 2 yıl
süreyle saklanmalıdır.
Oturum açma sürecinde, güvenlik süreçlerini atlatma riski yaratacak şekilde yardım mesajları
görüntülenmemelidir.
Parolalar, Pulver Hesap ve Parola Oluşturma Talimatı'na uygun şekilde oluşturulmalı ve
periyodik olarak değiştirilmelidir.
Parolalar, kolayca tahmin edilme ve kaba kuvvet saldırısı risklerinde korunacak şekilde
belirlenmelidir.
Parolalar, sözlük saldırılarından korunmak amacıyla, bilinen sözcüklerden oluşmamalıdır.
Sistem ve uygulamalara ait, başarılı ve başarısız girişim kayıtları tutulmalıdır.
Parolalar ağ üzerinden açık metin olarak iletilmemelidir.
4.6.İnternet Erişimi
Kullanıcıların internet erişimi, iş ihtiyaçlarına uygun şekilde belirlenmeli ve Üst Yönetim'in
onayladığı profiller aracılığıyla sağlanmalıdır.
Kumar, şiddet ve pornografi benzeri, kurumun iş alanıyla ilgisiz, yasalara ya da mevzuata
uygun olmayan erişim yasaklanmalıdır.
Misafirlere 1 iş gününü aşacak ya da mesai saatleri dışına çıkacak şekilde internet erişimi
verilmemelidir.
Ortak hesaplarla kullanılan cihazlardan internet erişimi engellenmelidir.
Şirket ağı aracılığıyla gerçekleştirilen tüm internet erişimleri, 5651 sayılı yasa gereğince kayıt
altına alınmalıdır.
İnternet üzerinden veri alışverişi gerektiren uygulamaların güvenlik ihtiyaçları ve riskleri, ilgili
projelerin planlama aşamasında değerlendirilmelidir.
4.7.UYUM
Tüm Pulver çalışanları, Pulver Bilgi Güvenliği Politikası ve bağlı politikalara uymak zorundadır.
Uyumluluk, denetim/uyum programları ve güvenlik olay raporları kullanılarak izlenecektir.
Bilgi güvenliği politikasının ya da bağlı politikaların herhangi bir bölümüne uyulmaması, iş
akdinin feshedilmesini de içerebilecek şekilde bir disiplin cezası ile sonuçlanabilir. Cezai
yaptırımlarda öncelik yasal, düzenleyici ya da sözleşmeye tabi yükümlülüklere aittir.
5. İlgili Dokümanlar
-