Tedarikçi İlişkileri İçin Bilgi Güvenliği Politikası
1.AMAÇ
Bu bilgi güvenliği politikasının amacı şirketin ve iş stratejileri doğrultusunda müşterilerinin bilgi varlıklarını iç veya dış, bilerek veya bilmeyerek oluşabilecek bütün tehditlere karşı korumaktır. Bu politikanın uygulanması, rekabet avantajı sağlamak için bilgi varlıklarımızın gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamak için önemlidir.
2. KAPSAM
Tedarikçi ilişkilerinde bilgi güvenliğinin korunması için uyulması gereken kuralları kapsar.
3. SORUMLULAR
3.1. Prosedürün Kullanıldığı Birimler: FNG Çalışanları, FNG Tedarikçi Sözleşmeli İş Ortakları.
3.2. Prosedürün Yürütülmesi için Sorumlular: FNG Çalışanları, FNG Tedarikçi Sözleşmeli İş Ortakları.
4. YÜKÜMLÜLÜKLER
FNG bilgi güvenliği politikası aşağıdaki maddeleri sağlamak üzere hazırlanmıştır:
4.1. Bilgi yetkisiz erişime karşı korunacak.
4.2. Bilginin gizliliği muhafaza edilecek.
4.3. Bilgi bilerek veya bilmeyerek yetkisiz kişilere ifşa edilmeyecek.
4.4. Bilginin bütünlüğü yetkisiz değişikliğe karşı korunacak.
4.5. Gerektiğinde yetkili kullanıcılar bilgiye erişebilecek.
4.6. Düzenleyici ve yasal gereklilikler yerine getirilecek.
4.7. İş sürekliliği planları oluşturulacak, sürdürülecek ve test edilecek.
4.8. Şirket içinde çalışan tüm tedarikçi çalışanlarına bilgi güvenliği eğitimi verilecek.
4.9. Tüm bilgi güvenliği ihlal şüpheleri raporlanacak ve incelenecek.
5. UYGULANABİLİRLİK
Tedarikçilerin şirket içinde çalışan veya şirket bilgi kaynaklarına uzaktan erişebilen bütün personeli bu politikayı uygulamakla yükümlüdür. Bu politikanın kapsamı Ek-A’ da listelenmiştir.
6. HEDEFLER
6.1. Şirketin müşteri bilgilerini korumak
6.2. Şirketin bilgi varlılarını korumak
6.3. Bilginin paylaşılmasına ihtiyaç duyulan durumlarda iş ortaklarına ve müşterilere güven sağlamak
6.4. Planlanmamış kesinti riskini en aza indirmek amacıyla ağı ve altyapı genelinde sistem çalışma süresini izlemek, korumak ve optimize etmek
6.5. Uyumlu olmayan (onaylanmamış) yazılım kurulumunu engellemek
6.6. Güvenlik olaylarına göre güvenlik politikalarını ve prosedürlerini formüle etmek ve gözden geçirmek
6.7. Tüm kullanıcılarda farkındalık yaratmak, bilgi güvenliği eğitimi vermek ve bu eğitimlerin etkinliğini ölçmek
7. AMAÇLAR
7.1. Uygun risk değerlendirmesi yoluyla bilgi varlıklarının değerini tespit etmek ve bu varlıkların açıklarını ve onları riske maruz bırakabilecek tehditleri anlamak.
7.2. Bilgi Güvenliği Yönetim Sistemi (BGYS) tasarlama, uygulama, bakım ve iyileştirme yoluyla riskleri yönetmek, kontrol etmek ve kabul edilebilir bir seviyeye indirmek.
7.3. FNG ’ nin müşterileriyle olan sözleşme yükümlülüklerine uymak.
7.4. FNG ’ nin kurumsal direktiflerine uymak.
7.5. Güvenlik hedefleri ve kontrolleri çerçevesinde bilgi güvenliği taahhüdünü gerçekleştirmek.
8. SORUMLULUKLAR
8.1. Tedarikçinin tüm personeli bu güvenlik politikasını korumak için prosedür ve kurallara uyacaktır.
8.2. Tedarikçinin tüm personeli algılanan güvenlik zayıflıklarını rapor edecektir.
8.3. Tedarikçinin tüm personeli, ilgili güvenlik politikalarına uymak için, FNG’ nin internet sitesindeki en son sürümlerine bakarak güvenlik politikaları ile ilgili bilgilerini güncel tutmakla yükümlüdür.
9. OLAY RAPORLAMA
Tedarikçinin tüm personeli güvenlik olaylarını “Bilgi Güvenliği İhlal Olayı Yönetimi Prosedürü”ne göre raporlamaktan sorumludur.
10. İLETİŞİM
Bu politika dokümanı Tedarikçi tarafından tüm paydaşlarına uygun, erişilebilir ve kullanıcı tarafından anlaşılabilir bir formda hazır bulundurulmalıdır.
11. GÖZDEN GEÇİRME
Bu politika, politikanın şirketin iş amaçlarına uygunluğunu ve müşterilerine hizmet etme kabiliyetini sağlamak amacıyla, periyodik olarak (en az yılda bir kere) ve FNG içinde yapılan değişiklikler gerektirdiğinde gözden geçirilecektir.
EK: A
KAPSAM:
Bu BGYS aşağıdakileri kapsar:
1. FNG’ye ait tesislerde çalışan, ortak tesisleri paylaşan ve FNG lokasyonlarındaki bilgi varlıklarına erişimi olan tüm tedarikçi çalışanları, ortakları, müteahhitleri.
2. FNG’ nin müşteri lokasyonlarında çalışan ve FNG’ nin bilgi varlıklarına erişimi olan tüm tedarikçi çalışanları ve ortakları.
3. FNG ağına bağlanacak yeni ekipman gerektiren tüm uygulamalar ve işlevler.
4. Ağı idare eden ve yöneten BT ekipleri.
5. FNG bilgi sistemlerinin bağlı olduğu bütün (mevcut ve gelecek) FNG ağı.
6. Yukarıda adı geçen bütün ağlara bağlı ekipman.
7. Yukarıda adı geçen ağlardan geçen bütün veriler.
Aşağıdakiler de dahil olmak ancak bunlarla sınırlı olmamak üzere:
1.Kullanıcı ağı
2. DMZ ağı
3.Internet ağı
4. Tüm omurga servisleri, switchler, ADSL vs.
5. Uzaktan bağlantı ile çalışan kullanıcılar.
EK: B
A. Kabul Edilebilir Kullanım
Genel olarak, aşağıdaki faaliyetler FNG tesislerinde bilgi varlıklarının kullanımı ile ilgili kabul edilebilir kullanım şartlarıdır. FNG’de sorumlu oldukları işleri yerine getirirken FNG bilgi varlıklarını kullanan tedarikçi çalışanları ve ortakları da bu şartlara bağlıdır.
1. Sistem ve uygulamalara giriş için güçlü şifreler kullanın.
2. Masanızın üzerinde yer alan gizli belgeleri koruyarak masanızı ve ekranınızı temizleyin.
3. FNG ve müşterilerinin gereksinimlerine göre dokümanlarınızı sınıflandırın.
4. FNG ağında veya sistemlerinde kullanmadan önce, kapıdan girişte elektronik medyanızı beyan edin.
5. Gerekli veri ve yazılımlarınızın sık sık yedeğini alın.
6. Sisteminizdeki anti-virus yazılımının güncel olduğundan emin olun.
7. Virüs olabilecek şüpheli dosya ve programlara karşı her zaman dikkatli olun.
8. İndirdiğiniz dosyaları açmadan önce bir virüs programı ile tarayınız.
9. Gizli bilgi içeren yazıcı çıktılarını hemen yazıcıdan alın.
10. FNG tarafından girişte verilen kartları görülebilir şekilde her zaman boynunuzda taşıyın.
11. FNG tesislerinde misafirlerinize sürekli eşlik ediniz.
12. Lisanslı yazılım kullanın ve yazılım üreticisinin yazılım kullanım sözleşmesine uyun.
13. Resmi internet ve e-posta sistemlerini sadece iş amaçlı kullanın.
14. Telefonda herhangi bir bilgi paylaşmadan önce lütfen arayanın kimliğini ve talebinin meşru olup olmadığını doğrulayın.
15. Gizli veri içeren sistemlerde klasörlere erişim denetimi uygulayın.
16. Basılı gizli belgeleri parçalayarak imha edin.
17. Elektronik medya ve cihaz içeriklerini FNG İmha prosedürüne göre imha edin.
18. FNG tesisleri dışında, (eğer varsa) FNG tarafından sağlanan notebook ve mobil cihazlarınızı başıboş bırakmayın.
19. Bilgi güvenliği politikaları ile ilgili bilginizi güncel tutun ve bunlara uyun.
20. Bütün güvenlik ihlallerini ve olası güvenlik açıklarını info@fngguvenlik.com.tr adresine raporlayın.
B. Kabul Edilemez Kullanım
Genel olarak aşağıdaki faaliyetler yasaktır. FNG bilgi varlıklarını kullanan tedarikçi çalışanları ve ortakları, FNG’ deki meşru iş sorumlulukları süresince, daha önceden FNG’den onay almış olma kaydıyla, bu yasaklardan muaf tutulabilir. Tedarikçi çalışanları ve ortakları, FNG’nin kaynaklarını kullanırken, hiçbir koşulda yerel ve uluslararası yasaları çiğneyecek bir faaliyette bulunamaz. Aşağıdaki liste ayrıntılı olmamakla beraber kabul edilemez kullanım kategorisine giren faaliyetler için bir çerçeve oluşturmaktadır.
• Sistem ve Ağ Faaliyetleri
Aşağıdaki faaliyetler istisnasız yasaktır:
1.Korsan veya FNG’ de kullanım için uygun şekilde lisanslanmamış yazılımların kurulumu veya dağıtımı da dahil olmak, ama bunlarla sınırlı kalmamak üzere; herhangi bir kişi veya şirketin telif hakkı, ticari sır, patent veya diğer fikri mülkiyet veya benzer yasalar ve yönetmelikler ile koruma altına alınmış haklarının ihlali.
2.Dergi, kitap ve diğer telif haklı kaynaklardaki fotoğrafların, telif haklı müziklerin sayısallaştırılması ve dağıtılması da dahil olmak ama bunlarla sınırlı kalmamak üzere; tüm telif haklı materyallerin yetkisiz kopyalanması, FNG veya son kullanıcının geçerli bir lisansı olmayan telif haklı bir yazılımın kurulumu kesinlikle yasaktır.
3.Ağa veya sunucuya kötü amaçlı yazılım bulaştırma (ör. virüs, solucan, Truva atı, e-posta bombası vb.)
4.Kullanıcı bilgisayarlarına oyun, telif haklı şarkı, film, pornografik materyal gibi herhangi bir yasaklı materyal ve yazılımın izinsiz kurulumu ve kopyalanması kesinlikle yasaktır.
5.Evde çalışırken aile bireyleri de dahil olmak üzere, şifrelerinizi başkalarına vermek veya hesap bilgilerinizin başkaları tarafından kullanılmasına izin vermek.
6.Ağ haberleşmesinde güvenlik ihlali veya kesintiye sebep olmak. Günlük görevlerinin kapsamı içinde tanımlı bir iş olmamasına rağmen çalışan veya ortağın amaçlanan alıcı olmadığı veriye erişmesi veya açıkça yetki verilmemiş sunucu veya hesaba giriş yapması gibi konular bunlarla sınırlı kalmamak kaydıyla güvenlik ihlalleridir. Bu bölüm kapsamında “bozulma” (bunlarla sınırlı kalmamak üzere) network sniffing, pingedfloods, packetspoofing, denial of service ve kötü amaçlı sahte yönlendirme bilgileri gibi gibi faaliyetleri ifade eder.
7.Çalışanın veya iş ortağının normal görevinin bir parçası olmadığı halde, çalışanın veya iş ortağının sistemine gönderilmemiş olan bir veriyi ağ üzerinde yakalayacak her tür ağ izleme işini yürütmek.
8.Kullanıcı kimlik doğrulaması veya herhangi bir bilgisayar, ağ veya hesap güvenliğinin çevresinden dolaşmak.
9.FNG üst yönetiminin yazılı izni olmadan herhangi bir FNG çalışanı, projesi veya ürünü ile ilgili FNG dışında bilgi paylaşmak veya yayınlamak.
• E-posta, Internet ve Haberleşme Faaliyetleri
1.Özellikle bu tür materyalleri talep etmemiş kişilere istenmeyen e-posta iletileri, önemsiz posta veya diğer reklam iletileri (spam) gönderimi.
2.FNG politikaları ile yasaklanmış internet sitelerine erişim.
3.Kullanılan dil, mesaj sıklığı veya boyutu yoluyla e-posta, telefon veya çağrı ile her türlü taciz.
4.E-posta başlık bilgilerinin yetkisiz kullanımı veya sahte başlık kullanımı.
5.Taciz etmek veya cevap toplamak amacıyla kendi kullanıcı hesabı dışında başka bir e-posta adresi talep etmek.
6.Zincir posta veya benzer piramit yapıda posta oluşturmak veya iletmek.
7.İş ile ilgisi olmayan benzer veya aynı e-posta mesajını çok sayıda kullanıcıya göndermek.
8.Kullanıcılar, FNG bilgisayar sistemleri üzerinde yarattığı, depoladığı, gönderdiği veya aldığı her şey için gizlilik hakkından feragat eder. FNG önceden haber vermeden e-postaları izleyebilir. Çalışan veya iş ortağının bu politikada anlatılan ilkelere uymadığına dair bir kanıt olması halinde, FNG iş akdinin sonlandırılması ve yasal yollar da dahil olmak üzere disiplin prosedürü uygulama hakkını saklı tutar.
• Uygulama
FNG, tedarikçilerinin Bilgi Güvenliği çerçevesinde politika ve hizmet sunum kriterlerinin uygunluğunu gözden geçirme ve tetkik hakkına sahiptir.
Bu bilgi güvenliği politikasının ihlali FNG’ nin işlerinde zarara neden olur. Tedarikçinin herhangi bir çalışanı veya iş ortağının bu politikayı ihlali durumunda anlaşma/hizmet/sözleşme sonlandırmasına varan disiplin cezasına tabi olacaktır.
• Tanımlar
1.İş ortağı: Tedarikçinin FNG kaynaklarına erişen personeli/çalışanı. Sözleşmeli personel, stajyerler, geçici personel, dış danışmanlar ve FNG dahilinde çalışan üçüncü parti personel buna dahildir.
2.Bilgi Güvenliği Olayı: İş süreçlerini riske atma ve bilgi güvenliğini tehdit etme olasılığı yüksek bir tek veya bir dizi istenmeyen veya beklenmeyen bilgi güvenliği olayı.
Onay:
Tedarikçi bu politikayı okuduğunu ve anladığını ve FNG ile bir anlaşma/sözleşme kapsamında herhangi bir iş veya hizmete başlaması durumunda bu hüküm ve koşulları peşinen kabul etmiş olacağını beyan eder.
