ÇEKMEKÖY BELEDİYE BAŞKANLIĞI

Bilgi İşlem Müdürlüğü

 

 

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ

 

ÇALIŞANLAR İÇİN

BİLGİ GÜVENLİĞİ POLİTİKASI

 

 

İçindekiler

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ POLİTİKASI4

TANIMLAR VE TERİMLER TABLOSU.. 4

1.      BİLGİ SİSTEMLERİNİN GENEL KULLANIM POLİTİKASI5

1.1.        Genel Bakış. 5

1.2.        Amaç. 5

1.3.        Kapsam.. 5

1.4.        Politika. 5

1.4.1.          Genel Kullanım ve Sahip Olma. 5

1.4.2.          Güvenlik ve Kişiye Ait Bilgiler. 6

1.4.3.          Fikri Mülkiyet Haklarına Uyum.. 7

1.4.4.          Uygunsuz kullanım.. 7

2.      OLAY İHLAL BİLDİRİM VE YÖNETİM POLİTİKASI8

2.1.        Amaç. 8

2.2.        Kapsam.. 8

2.3.        Politika. 8

3.      E-POSTA POLİTİKASI8

3.1.        Amaç. 8

3.2.        Kapsam.. 8

3.3.        Politika. 8

3.3.1.          Yasaklanmış Kullanım.. 8

3.3.2.          E-Posta Yönetimi9

3.3.3.          E-Posta Virüs Koruma. 9

4.      ŞİFRE POLİTİKASI9

4.1.        Genel Bakış. 9

4.2.        Amaç. 9

4.3.        Kapsam.. 9

4.4.        Politika. 10

5.      ANTİ-VİRÜS POLİTİKASI10

5.1.        Amaç. 10

5.2.        Kapsam.. 10

5.3.        Politika. 10

6.      İNTERNET ERİŞİM VE KULLANIM POLİTİKASI11

6.1.        Amaç. 11

6.2.        Kapsam.. 11

6.3.        Politika. 11

7.      UZAKTAN ERİŞİM POLİTİKASI12

7.1.        Amaç. 12

7.2.        Kapsam.. 12

7.3.        Politika. 12

7.3.1.          Genel12

7.3.2.          Gereklilikler. 12

8.      TEMİZ MASA TEMİZ EKRAN POLİTİKASI12

8.1.        Amaç. 12

8.2.        Kapsam.. 12

8.3.        Politika. 12

9.      TAŞINABİLİR CİHAZ VE ORTAM POLİTİKASI13

9.1.        Amaç. 13

9.2.        Kapsam.. 13

9.3.        Politika. 13

10.         YAPTIRIM... 13

 

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ POLİTİKASI

Bu politika, Çekmeköy Belediyesi Bilgi Güvenliği Yönetim Sistemi gereği, Bilgi Güvenliği Politikası temel alınarak hazırlanmış olan bilgi ve iletişim varlıklarının iş amaçlarına uygun kullanılması için gerekli kuralları belirler ve Belediye yazılım ve donanım ekipmanları standartlarını ve bilgi ve iletişim varlıklarının uygunsuz kullanımı durumunda uygulanacak yaptırımları tanımlamaktadır. Tüm Belediye çalışanları, bu dokümanda belirtilen kurallara uymak zorundadır. Bu politikayı okuyarak ve imzalayarak bu kurallara uymayı taahhüt etmiş olurlar.

TANIMLAR VE TERİMLER TABLOSU

Dokümanda kullanılan teknik kısaltmaların anlamları “Tanımlar ve Terimler Tablosu” nda gösterilmiştir.

Kurum

:

Çekmeköy Belediye Başkanlığı

Çalışanlar

:

Çekmeköy Belediyesi’nde çalışan ve kurumun bilişim sistemlerini ve bilgi varlıklarını kullanan tüm işçi, memur, sözleşmeli ve firma personelini ifade eder.

Zincir e-posta

:

E-postaların art arda gönderilmesidir. Örnek; bir kullanıcıya gelen bir e-postada başka e-posta kullanıcılarına da iletme isteği vardır. Bunlar, şans ve para kazanma yöntemleri gibi bir içeriğe sahiptir.

Spam e-posta

:

Yetkisiz ve/veya istenmeyen mesajların toplu olarak e-posta ile gönderilmesidir.

Kablo Modem

:

Koaksiyel kablo üzerinden geniş İnternet erişimidir.

Uzaktan Erişim (RDP)

:

İnternet, telefon hatları veya kiralık hatlar vasıtası ile kurumun ağına erişilmesidir.

Split-tunneling

:

Kurumun ağına VPN ile bağlı olduğu halde aynı anda kurum dışı ağa (örnek, İnternet) bağlanılması, VPN uzak ağa İnternet vasıtası ile erişimin güvenli bir yöntemidir.

Risk

:

Kurumun bilgi sistemlerin gizliliğini, mevcudiyetini ve bütünlüğünü etkileyen faktörlerdir.

Kullanıcı Denetimi

:

Sisteme erişmek isteyen kullanıcının yetkili olup olmadığını denetleme metodudur.

Güvenli Kanal

:

Güçlü bir şifrelemeden oluşan iletişim kanalıdır.

Uygulama Sunucusu

:

Dağınık yapıdaki bir ağda bulunan bir bilgisayarda çalıştırılan sunucu yazılımıdır. Üç katmanlı uygulamaların bir parçasıdır. Bu üç katman: Kullanıcı arayüzü (GUI), uygulama sunucusu ve veritabanı sunucusudur.

Yetkilendirme (authorization)

:

Sisteme giriş izni vermek. Çok kullanıcılı sistemlerde sistem yöneticisi, sisteme girebilecek kişilere giriş izni ve kişilere bağlı olarak da sistemde yapabileceği işlemler için belirli izinler verir.

Veritabanı (database)

:

Kolayca erişilebilecek, yönetilebilecek ve güncellenebilecek şekilde düzenlenmiş olan bir veri topluluğudur. 

Şifreleme (encryption)

:

Veriyi, istenmeyen kişilerin anlamayacakları bir biçime sokan özel bir algoritma uygulamasıdır.

Hacker

:

Aslen akıllı programcı anlamına gelen bir terim, ancak günümüzde İnternet üzerinden bilgisayar sistemlerini çökertmeye çalışan kötü niyetli programcılar için kullanılmaktadır.

SSL (Secure Sockets Layer)

:

Ağ üzerindeki mesaj iletişiminin güvenliğinin yönetimi için Netscape tarafından oluşturulmuş bir program katmanıdır.

Varsayılan (default)

:

Kullanıcı bir ayar parametresi veya herhangi bir değeri belirlemediği zaman, uygulamanın kullandığı daha önceden belirlenmiş sabit bir değer veya ayar parametresidir.

VPN (Virtual Private Network)

:

Sanal özel ağ. Herkese açık olan iletişim altyapısını kullanan özel bir veri ağıdır. Tünel protokolü ve çeşitli güvenlik prosedürleri ile izinsiz girişlere karşı korunur.

VLAN (Virtual LAN)

:

Sanal yerel ağ. Birçok farklı ağ bölümüne dağılmış olan, ancak aynı kabloya bağlıymışlar gibi birbiri ile iletişim kurmaları sağlanan, bir veya birkaç yerel ağ üzerindeki cihazlar grubudur.

Passphrase

:

Uzun Şifredir.

Yedekleme

:

Ekipmanın bozulması durumu düşünülerek dosyaların veya veritabanının başka bir yere kopyalanması işlemidir.


 

1.BİLGİ SİSTEMLERİNİN GENEL KULLANIM POLİTİKASI

1.1.Genel Bakış

Kurumun amacı herhangi kimse üzerinde kısıtlayıcı politikalar üretmek değil aksine açıklık, güven ve bütünlüğe yönelik kültürü yerleştirmektir. Kurum, bilerek veya bilmeyerek yapılan yasadışı veya zararlı eylemlere karşı çalışanların ve kurumun haklarını korumakla yükümlüdür. Bilişimle alakalı sistemler (bilgisayar, yazılım, işletim sistemleri, kayıt cihazları, e-mail, vs.) kurumun sahip olduğu değerlerdir. Bu sistemler sadece kamuya hizmet için kullanılmalıdır. Güçlü bir güvenlik, bütün çalışanların dahil olduğu takım çalışmasıyla oluşturulabilir. Bütün bilgisayar kullanıcıları günlük aktivitelerini yerine getirebilmesi için bu kuralları iyi bilmeli ve uygulamanın sorumluluğunu taşımalıdır. Ayrıca varlıkların kullanımı için genel prosedürler, belediyemiz tarafından benimsenen bilgi sınıflandırma düzenine göre geliştirilmiş ve uygulanmaktadır.

1.2.Amaç

Bu politikanın amacı kurum bünyesindeki bilişim cihazlarının uygun kullanımı hakkında standart oluşturmaktır. Uygunsuz kullanım Kurumu virüs saldırılarına, ağ sistemlerinin çökmesine, hizmetlerin aksamasına sebep olur ve bunlar yasal yaptırımlara dönüşür.

1.3.Kapsam

Bu politika kurumun bütün çalışanları, sözleşmelileri ve kurum adı altında çalışan bütün kişiler için geçerlidir. Aynı zamanda kurumun sahip olduğu ve kiraladığı bütün cihazlar içinde geçerlidir.

1.4.Politika

1.4.1.Genel Kullanım ve Sahip Olma

  1. İnsan Kaynakları ve Eğitim Müdürlüğünce yeni işe başlayan personelin Çalışanlar İçin Bilgi Güvenliği Politikasını okuyup imzalaması sağlanır. Yeni işe başlayan personel Bilgi İşlem Müdürlüğüne bildirilir.
  2. Belediye bünyesinde yeni işe başlayan personel için ilgili Müdürlükten gelen üst yazı ile bilgi sistemlerine erişim için yeni kullanıcı hesabı açılır. İlgili Müdürlükçe Bilgi İşlem Müdürlüğüne iletilen kullanıcı erişim hakları ”Kullanıcı Kimlik Doğrulama ve Yetkilendirme Talimatı” ile düzenlenir.
  3. Çalışanların oturum yetkileri, içinde bulundukları grup politikasına göre tanımlanır.
  4. Çalışanların aktiviteleri, 5651 Sayılı kanuna uygun olarak loglanarak kayıt altına alınır.
  5. Çalışanların bilgisayarlarındaki ve sorumlusu oldukları cihazlardaki bilgilerin düzenli olarak yedeklerini almalıdır. Kurum için önem arz eden resmi nitelikte ve kuruma ait bilgilerin sunucular üzerinde oluşturulmuş müdürlük klasörlerinde tutulması gereklidir.
  6. Çalışanlar müdürlük klasörlerde şahsi, işle alakası olmayan ve gereksiz dosyaları (film, oyun, doküman, resim, program vb.) yükleyemez.
  7. Kurum, son kullanıcı güvenliğine dair oluşturulmuş grup politikalarını, etki alanı üzerinden kullanıcı onayı olmaksızın uygular.
  8. Çalışanlar, kendine ait hesabı kullanarak işlemlerini yürütür. Çalışanlar kendi hesaplarının güvenliğini şifrelerini saklayarak, başkalarının kendi hesabını kullanmasına izin vermeyerek ve gerektiğinde oturum kilitleme gibi özellikleri kullanarak korumakla yükümlüdürler.
  9. İlgili Müdürlükçe Bilgi İşlem Müdürlüğüne iletilen ”Kullanıcı Kimlik Doğrulama ve Yetkilendirme Talimatı” ile İlgili kullanıcıya @cekmekoy.bel.tr uzantılı e-mail adresi tanımlanır.
  10. Kuruma ait kritik ve hassas bilgiler başka bir kullanıcıya gönderilirken kullanıcı tarafından şifrelemelidir.
  11. Kurum, bu politika çerçevesinde ağları ve sistemleri periyodik olarak denetler.
  12. Kullanıcılar bilgisayarlarda oyun ve eğlence amaçlı programları çalıştıramaz.
  13. Bilgi İşlem Müdürlüğü teknik personelleri dışında bilgisayarlar üzerinde ağ ayarları, kullanıcı tanımları, kaynak profilleri vb. üzerinde mevcut yapılan düzenlemelerin hiçbir surette değiştirilemez.
  14. Bilgi İşlem Müdürlüğünün teknik personelleri dışında herhangi bir kullanıcı tarafından bilgisayarlara program yüklenemez.
  15. Birimi veya görevi değişen kullanıcıların erişim haklarının düzenlemesi “Kullanıcı Kimlik Doğrulama ve Yetkilendirme Talimatı” na uygun olarak yapılır.
  16. İnsan Kaynakları ve Eğitim Müdürlüğü tarafından Bilgi İşlem Müdürlüğü’ne üst yazı ile bildirilen “İlişik Kesme Belgesi”  doğrultusunda işten ayrılan personel için gerekli hesap kapatma ve yetki iptali işlemi “Kullanıcı Kimlik Doğrulama ve Yetkilendirme Talimatı” na uygun olarak yapılır.

1.4.2.Güvenlik ve Kişiye Ait Bilgiler

  1. Çalışanlar, güvenlik zafiyetlerine sebep olmamak için, bilgisayar başından ayrılırken mutlaka ekranlarını kilitlemelidir. Bütün masaüstü ve dizüstü bilgisayarlar otomatik olarak 10 dakika içeresinde işlem yapılmazsa şifreli ekran korumasına geçer.
  2. Çalışanlar mesai bitiminde bilgisayarlarını kapatmalıdır.
  3. Taşınabilir bilgisayarlar güvenlik açıklarına karşı daha dikkatle korunmalıdır. Sadece gerekli olan bilgiler bu cihazlar üzerinde saklanmalıdır.
  4. Çalışanlar, bilgisayarlarında ya da sorumlusu oldukları sistemler üzerinde USB flash bellek ve/veya harici hard disk, CD, DVD gibi taşınabilir medya (removable media) bırakmamalıdır.
  5. Çalışanlar kullandığı taşınabilir bilgisayarın çalınması/ kaybolması durumunda, durum fark edildiğinde tutanak tutarak en kısa zamanda kendi müdürlüğüne ve Bilgi İşlem Müdürlüğü’ne haber vermelidir.
  6. Kuruma ait taşınabilir tüm cihazlar kurumun ağı ile senkronize olsun veya olmasın şifreleri aktif halde olmalıdır. Çalışanlar bunları devre dışarıda bırakacak girişimlerde bulunmamalıdır.
  7. Çekmeköy Belediye Başkanlığı ağına bağlı bütün bilgisayarlar düzenli olarak güncel anti virüs yazılımı ile taranır.
  8. Çalışanlar bilinmeyen kimselerden gelen şüpheli e-postaları ve ekli dosyaları açmamalıdır. Çünkü bu e-posta ekleri virüs, e -mail bombaları ve Truva atı gibi zararlı kodları içerebilir.
  9. Çalışanlar ağın kaynaklarının verimli kullanımı konusunda dikkatli olmalı, e-posta ile gönderilen büyük dosyaların sadece ilgili kullanıcılara gönderildiğinden emin olmalı ve gerekirse dosyaları sıkıştırmalıdır.

1.4.3.Fikri Mülkiyet Haklarına Uyum

  1. Kurum için veya kurum adına kullanım hakkı alınmış olan, kurum çalışanları veya ilgili kişiler tarafından kurum için geliştirilmiş olan tüm yazılımlar kurum malıdır ve bu şekilde ele alınmalıdır. Bu tip tüm yazılımlar ilgili lisans, uyarı, kontrat ve anlaşmalar uyarınca kullanılmalıdır.
  2. Yazılım ve diğer ürünler için yalnız lisanslı sürümlerin lisans adetleri dahilinde kullanıldığı kontrollerle denetlenecektir. Kullanım haklarının çiğnenmemesi için yazılımlar Kurum tarafından yalnız güvenilir kaynaklardan sağlanır.
  3. Lisans veya sözleşmelerinde aksi belirtilmediği sürece yazılımların, yedekleme ve arşivleme dışında, herhangi bir şekilde kopyalanması 5846 sayılı Fikir ve Sanat Eserleri Kanunu'na göre suçtur. Kanunlarca yasaklanmasının yanı sıra izinsiz yazılım kopyalanması Kurumun Bilgi Güvenliği Politikasının ihlal edilmesi anlamına gelmektedir ve bu durumda gerekli disiplin işlemleri yapılacaktır.

 

1.4.4.Uygunsuz kullanım 

Aşağıdaki aktiviteler kurum tarafından hiçbir istisna olmadan kesinlikle yasaklanmıştır;

  1. Çalışanlar, Anayasanın 20. Maddesi, 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve Belediyemizle diğer kamu kurumları arasında yapılan ve yapılacak olan online veri paylaşımına yönelik protokoller (Tapu, Kimlik Paylaşımı Sistemi, Adres Kayıt Sistemi vb.) gereği,  “Özel Hayatın Gizliliği” ve “Kişisel Verilerin Korunması” hükmünü gözeterek, görev gereği Çekmeköy Belediyesinin hizmetlerinin yerine getirilmesi amacıyla ve kendi iş ve işlemlerine esas olmak üzere ilgili kişilerin/kurumların bilgilerini (Nüfus, Tapu, Adres, Ruhsat, Emlak, Vergi vb.) sorgular ve bu bilgileri başka amaçlar için kullanamaz.
  2. Çalışanlar kurumun kaynaklarını kullanarak hiçbir şart altında yasadışı bir aktivitede bulunamaz.
  3. Kurumun bilgisayarlarını kullanarak taciz veya yasadışı olaylara karışamaz,
  4. Ağ güvenliği etkileyemez (örnek, bir kişinin yetkili olmadığı halde sunuculara erişmek istemesi) veya ağ haberleşmesini bozamaz. (paket sniffing, paket spoofing, denial of service vs.)
  5. Port veya ağ taraması yapamaz.
  6. Kullanıcı kimlik tanıma yöntemlerinden kaçmaz.
  7. Program/script/ komut kullanarak kullanıcının bağlantısını etkileyemez.
  8. Kurum bilgilerini kurum dışında üçüncü şahıslara iletemez.
  9. Çalışanların kişisel bilgisayarları üzerine Bilgi İşlem Müdürlüğü’nün onayı alınmaksızın herhangi bir çevre birimi bağlantısı yapamaz.
  10. Cihaz, yazılım ve kurum verilerinin izinsiz olarak kurum dışına çıkaramaz.
  11. Kurumun politikaları olarak belirlediği programlar dışında kaynağı belirsiz olan programları  (Dergi CD’leri veya İnternet ‘ten indirilen programlar vs.) kuramaz.
  12. Kurum dışında kurumun e-posta sistemini (WebMail), güvenliğinden emin olunmayan bir bilgisayardan kullanamaz.
  13. İstenilmeyen e-posta mesajlarını iletemez.
  14. Zincir e-postları iletemez.
  15. İş ile alakalı olmayan mesajları haber gruplarına iletemez.

2.OLAY İHLAL BİLDİRİM VE YÖNETİM POLİTİKASI

2.1.Amaç

Bu politikanın amacı Çekmeköy Belediyesi’nin bilgi güvenliği olay ihlal süreçlerini belirlemektir.

2.2.Kapsam

Bu politikanın uygulanmasından tüm çalışanlar sorumludur.

2.3.Politika

Olay ihlal bildirim ve yönetim politikası aşağıdaki gibidir;

  1. Bilginin gizlilik, bütünlük ve erişilebilirlik açısından zarar görmesi, bilginin son kullanıcıya ulaşana kadar bozulması, değişikliğe uğraması ve başkaları tarafından ele geçirilmesi, yetkisiz erişim gibi güvenlik ihlali durumlarında kayıt altına alınır. DÖF prosedürü devreye girer.
  2. Güvenlik olayının oluşması durumunda olay anında raporlanır. İhlali yapan çalışan tespit edilir ve ihlalin suç unsuru içerip içermediği belirlenir.
  3. Tüm çalışanlar bilgi güvenliği olayını önlemek maksadıyla güvenlik zayıflıklarını doğrudan kendi müdürlüklerine ve Bilgi İşlem Müdürlüğüne mümkün olan en kısa sürede rapor etmelidir.
  4. Kanıt toplama; kurum içerisinde disiplin faaliyeti için delil toplanırken uygulanacak genel kurallar şunlardır;
  5. Kanıtın mahkemede kullanılıp kullanılmayacağıyla ilgili kabul edilebilirlik derecesi,
  6. Kanıtın niteliği ve tamlığını gösteren ağırlığı.

3.E-POSTA POLİTİKASI

3.1.Amaç

Bu politikanın amacı Çekmeköy Belediye Başkanlığı e-posta altyapısına yönelik kuralları ortaya koymaktır. Kurumda oluşturulan e-postalar resmi bir kimlik taşımaktadırlar. E-posta, Çekmeköy Belediye Başkanlığı’nın vatandaş ile iletişimi sağlayan en önemli kanallarından biridir ve bu kanalın kullanılması kaçınılmazdır. Bunun yanı sıra e-posta, basitliği ve hızı nedeni ile yanlış kullanıma veya gereğinden fazla kullanıma açık bir kanaldır.

3.2.Kapsam

Bu politika kurumda oluşturulan e-postaların doğru kullanımını içermektedir ve bütün çalışanları kapsar. Ayrıca çeşitli kanallardan aldığımız vatandaşa ait e-posta bilgilerinin korunmasını içerir.

3.3.Politika

3.3.1.Yasaklanmış Kullanım

  1. Kurumun e-posta sistemi, taciz, suistimal veya herhangi bir şekilde alıcının haklarına zarar vermeye yönelik öğeleri içeren mesajların gönderilmesi için kesinlikle kullanılamaz. Bu tür özelliklere sahip bir mesaj alındığında hemen Bilgi İşlem Müdürlüğü yöneticisine haber verilmesi ve daha sonra bu mesajın tamamen silinmesi gerekir.
  2. Mesajların gönderilen kişi dışında başkalarına ulaşmaması için gönderilen adrese ve içerdiği bilgilere azami biçimde özen gösterilmesi gerekir.
  3. Kişisel kullanım için İnternet’teki listelere üye olunması durumunda kurum e-posta adresleri kesinlikle kullanılamaz.
  4. Zincir mesajlar ve mesajlara iliştirilmiş her türlü çalıştırılabilir dosya içeren e-postalar alındığında hemen silinmeli ve kesinlikle başkalarına iletilmemelidir.
  5. Kurum ile ilgili olan hiçbir gizli bilgi, gönderilen mesajlarda yer alamaz.
  6. Spam, zincir e-posta, sahte e-posta vb. zararlı e-postalara yanıt yazılmamalıdır.
  7. Çalışanlar e-posta ile uygun olmayan içerikler (pornografi, ırkçılık, siyasi propaganda, fikri mülkiyet içeren malzeme, vb.) gönderemez.
  8. Çalışanlar kurum ile ilgili yazışmalarında kurumun dışındaki e-posta hesaplarını (örnek: hotmail, gmail, mynet vs.) kullanamazlar.
  9. Kişisel Kullanım
  10. Çalışanların e-posta hesapları şifrelenir ve bu sayede e-posta erişimi için kullanılan donanım/yazılım sistemleri yetkisiz erişimlere karşı korunur.
  11. Çalışanların kullanıcı kodu/şifresini girmesini isteyen e-postaların sahte e-posta olabileceği dikkate alınarak, herhangi bir işlem yapılmaksızın derhal silinmelidir.
  12. Kurum çalışanları e-postalarını düzenli olarak kontrol etmelidir.
  13. Kurum çalışanları, kurumsal e-postaların kurum dışındaki yetkisiz şahıslar tarafından görülmesini ve okunmasını engellemek zorundadırlar. 
  14. Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve derhal silinmelidir.
  15. Elektronik postaların sık sık gözden geçirilmesi, gelen mesajların uzun süreli olarak genel elektronik posta sunucusunda bırakılmaması ve bilgisayardaki kişisel klasöre çekilmesi veya silinmesi gerekir.
  16. 6 ay süreyle hiç kullanılmamış e-posta hesapları kullanıcıya haber vermeden kapatılır.
  17. E-posta hesabına sahip kullanıcı herhangi bir sebepten birim değiştirme, emekli olma işten ayrılma sebepleriyle kurumdaki değişikliğinin İnsan Kaynakları Müdürlüğü tarafından Bilgi İşlem Müdürlüğüne ilgili formlar ile bildirilmesi gerekir.

3.3.2.E-Posta Yönetimi

Bilgi İşlem Müdürlüğü e-postaların kurum bünyesinde güvenli ve başarılı bir şekilde iletilmesi için gerekli yönetim ve alt yapıyı sağlamakla sorumludur.

3.3.3.E-Posta Virüs Koruma

Virüs, solucan, truva atı veya diğer zararlı kodlar bulaşmış olan bir e-posta kullanıcıya zarar verebilir. Bu tür virüslerin bulaştığı e-postalar, Anti-virüs sistemleri tarafından analiz edilip temizlenir.

4.ŞİFRE POLİTİKASI

4.1.Genel Bakış

Şifreleme bilgisayar güvenliği için önemli bir özelliktir. Kullanıcı hesapları için ilk güvenlik katmanıdır. Zayıf seçilmiş bir şifre ağ güvenliğini tümüyle riske atar. Çekmeköy Belediye Başkanlığı çalışanları ve uzak noktalardan erişenler aşağıda belirtilen kurallar dahilinde şifreleme yapmakla sorumludurlar.

4.2.Amaç

Bu politikanın amacı güçlü bir şifreleme oluşturulması, oluşturulan şifrenin korunması ve bu şifrenin değiştirilme sıklığı hakkında standart oluşturmaktır.

4.3.Kapsam

Bu politika, kullanıcı hesabı olan ve kurum bilgi sistemlerini kullanan tüm kullanıcıları kapsar.

4.4.Politika

  1. Kurumumuzda kullanılan kullanıcı şifreleri en az altı adet alfa numerik karakter içermelidir.
  2. Kullanıcı şifreleri küçük ve büyük karakterlere sahip olmalıdır. (örnek, a-z, A-Z)
  3. Kullanıcı şifreleri hem dijit hem de noktalama karakterleri içermelidir.(0-9,!@#$^&*()_+|~=/,{}[]:”;<>?,./)
  4. Kullanıcı şifreleri Aile isimleri gibi kişisel bilgiler olmamalıdır.
  5. Şifreler her hangi bir yere yazılmamalıdır veya elektronik ortamda tutulmamalıdır. Kolayca hatırlanabilen şifreler oluşturmalıdır. Örnek olarak ; “Modern Çekmeköy, Model Çekmeköy” cümlesi “M0c3K,M0CkE!!” veya türevleri şeklinde olabilir.
  6. Bütün kullanıcı şifreleri (örnek, yazılım, bilgisayar vs.) en az altı ayda bir sistem tarafından değiştirilmeye zorlanır.
  7. Şifreler e-posta iletilerine veya herhangi bir elektronik forma eklenmemelidir.
  8. Şifrelerin ilgili kişiye gönderilmesi “kişiye özel” olarak yapılmalıdır. Gönderilen şifre kullanıcı tarafından değiştirilmelidir.
  9. Uygulamalarındaki “şifre hatırlama“ özelliklerini seçilmemelidir. (Örnek; Webmail, İnternet Explorer, vs. )

5.ANTİ-VİRÜS POLİTİKASI

5.1.Amaç

Çekmeköy Belediye Başkanlığı‘ndaki bütün bilgisayarların efektif virüs algılama ve engelleme standardına sahip olması için gereklilikleri belirlemektir.

5.2.Kapsam

Bu politika kurumun bütün bilgisayarlarını kapsar.

5.3.Politika

Anti-virüs politikası aşağıdaki gibidir.

  1. Kurumun bütün bilgisayarları anti-virüs yazılımına sahiptir ve düzenli olarak güncellenir.
  2. Virüs bulaşan makinalar tespit edildiği andan itibaren ağdan çıkarılmalıdır. Kurum çalışanları bilgisayarlarına virüs bulaştığından şüphelendikleri takdirde en kısa sürede Bilgi İşlem Müdürlüğüne haber vermelidir.
  3. Virüs bulaşan makinalar Bilgi İşlem Müdürlüğü teknik servis personeli tarafından alınarak gerekli tespitler yapılıp kurtartılmaya uygun veriler yedeklenerek kullanıcıya teslim edilir.
  4. Bütün bilgisayarlarda Belediye lisanslı anti-virüs yazılımı yüklü olmalıdır ve çalışmasına engel olunmamalıdır.
  5. Anti-virüs yazılımı yüklü olmayan bilgisayar ağa bağlanmamalı ve hemen Bilgi İşlem Müdürlüğüne haber verilmelidir.
  6. Zararlı programları (örneğin; virüsler, solucanlar, truva atı, e-posta bombaları vb.) Belediye bünyesinde oluşturmak ve dağıtmak yasaktır.
  7. Hiçbir kullanıcı anti-virüs yazılımını kullandığı sistemden kaldıramaz ve başka anti-virüs yazılımını sistemine kuramaz.

6.İNTERNET ERİŞİM VE KULLANIM POLİTİKASI

6.1.Amaç

Bu politika ile Çekmeköy Belediye Başkanlığı’nın güvenli internet erişimi için sahip olması gereken standartlar belirlenmektir. İnternetin uygun olmayan kullanımı, kurumun yasal yükümlülükleri, kapasite kullanımı ve kurumsal imajı açısından istenmeyen sonuçlara neden olabilir.

6.2.Kapsam

Bu politika Çekmeköy Belediyesi’nin bütün kullanıcılarını kapsar.

6.3.Politika

Bütün kullanıcılar ve sistem yöneticileri aşağıdaki İnternet erişim ve kullanım yönteminden dışarıya çıkmamalıdır.

  1. Çalışanların istenilmeyen sitelere (pornografik, oyun, kumar, şiddet içeren vs.) girmeleri ve dosya indirmeleri yasaktır.
  2. Hiçbir çalışan peer-to-peer bağlantı yoluyla İnternetteki servisleri kullanamaz. (Örnek: Torrent, LimeWire, vb.) 
  3. Çalışma saatleri içerisinde iş ile ilgili olmayan sitelerde uzun süre gezinmek yasaktır.
  4. İş ile ilgili olmayan (resim, müzik, video dosyaları) yüksek hacimli dosyalar göndermek (upload) ve indirmek (download) yasaktır.
  5. Çalışanlar kuruma zarar verecek veya itibarını sarsacak şekilde İnternet kullanılamaz. Kuruma zarar verip vermediğine bakılmaksızın iş ile ilgilisi olmayan ve işin yerine getirilmesine katkısı olmayacak şekilde bilişim kaynaklarının kullanım yasaktır.
  6. İnternet’ten sağlanan her bilginin güvenilirliğinden, güvenilir başka bir kaynaktan onaylanıncaya kadar, şüphe duyulmalıdır. İnternet üzerinde kalite kontrol süreci yer almamaktadır ve sağlanan bilginin eski ve hatalı olma olasılığı olduğu bilinmelidir.
  7. Korsan yazılım, çalıntı parola, çalıntı kredi kartı numaraları ve uygunsuz yazılı ve grafik malzemenin herhangi bir şekilde indirilmesi, alış-verişinin yapılması ve saklanması kesinlikle yasaktır.
  8. Belediye malı sayılan her türlü bilgi, belge ve/veya yazılımın, Belediye tarafından verilen görev kapsamında kullanımı ve dağıtılması dışında, İnternet üzerinden satılması, kiralanması veya başkaca bir yöntem ile Belediye dışındaki üçüncü kişilere herhangi bir nedenle iletilmesi kesinlikle yasaktır.
  9. Belediye iç kullanımı için hazırlanmış Belediye’nin vatandaş ile ilişkilerini veya Belediye imajını etkileyecek, Belediye tarafından onaylanmamış, herhangi bir bilgi, dosya veya duyurunun internet üzerinden açıklanması veya dağıtılması kesinlikle yasaktır.
  10. Belediye’ye ait önemli bilgilerin yetkisiz kişilere verildiği veya açıklandığı belirlendiğinde veya bu konuda şüphe oluştuğu durumda ilgili çalışana Olay İhlal Bildirim ve Yönetim Politikası şartları uygulanır.
  11. Hiçbir çalışan internet üzerinden Multimedia Streaming (Video, mp3 yayını ve iletişimi) yapamaz.
  12. Bilgisayar İşletim Sistemleri’ne zarar verdiği için internet üzerinden ekran koruyucu, yamalar, masaüstü resimleri, yardımcı, tamir edici program olduğu belirtilen araçlar gibi her türlü dosya ve programların indirilmesi ve/veya kurulması yasaktır.

 

7.UZAKTAN ERİŞİM POLİTİKASI

7.1.Amaç

Bu politika herhangi bir yerden Kurumun bilgisayar ağına erişilmesine ilişkin standartları saptamaktır. Bu standartlar kaynaklarının yetkisiz kullanımından dolayı kuruma gelebilecek potansiyel zararları minimize etmek için tasarlanmıştır.

7.2.Kapsam

Bu politika kurumun bilgisayar ağına kurum dışından erişen tüm kişi ve kurumları kapsamaktadır.

7.3.Politika

7.3.1.Genel

  1. Uzaktan erişim için yetkilendirilmiş kurum çalışanları veya kurumun bilgisayar ağına bağlanan diğer kullanıcılar yerel ağdan bağlanan kullanıcılar ile eşit sorumluluğa sahiptir.
  2. Uzaktan erişim metotları ile kuruma bağlantılarda bilgi sistemlerinin güvenliğinin sağlanması için aşağıdaki politikalara göz atmak gerekmektedir.
  3. Şifre Politikası,
  4. Bilgi Sistemlerinin Genel Kullanım Politikası.
  5. Uzaktan erişime izin verilen kullanıcılar 30 dk. boyunca işlem yapmazlarsa uzaktan erişimi sistem tarafından otomatik olarak sonlandırılır.

7.3.2.Gereklilikler

  1. İnternet üzerinden kurumun herhangi bir yerindeki bilgisayar ağına erişen kişi veya kurumlar VPN teknolojisini kullanacaklardır. Bu, veri bütünlüğünün korunması, erişim denetimi, mahremiyet, gizliliğin korunması ve sistem devamlılığını sağlayacaktır.
  2. Uzaktan erişim güvenliği sıkı bir şekilde denetlenir. İzin verilen çalışanlar kendi şifrelerine kullanarak kuruma uzaktan bağlantı gerçekleştir.
  3. Kurum ağına standart dışı erişim isteğinde bulunan kurum çalışanı, organizasyon veya kişilere, Bilgi İşlem Müdürlüğünün özel izni ile geçici olarak izin verilebilir.
  4. VPN teknolojisini kendi kişisel cihazları ile kullanan kişiler şunu bilmelidirler ki, bütün makineler kurum ağının bir parçasıdır, bundan dolayı kurumun sorumlu olduğu cihazlar ile aynı kurallara sahiptir ve aynı güvenlik politikaları ile konfigüre edilmelidir.

8.TEMİZ MASA TEMİZ EKRAN POLİTİKASI

8.1.Amaç

Bu politikanın amacı çalışanların mesai saatleri içi veya dışında kendilerine görevleri gereği paylaşılmış olan bilgilerin yetkisiz erişimler veya uygunsuz kullanımı sonucunda başına gelebilecek riskleri ortadan kaldırmaktır.

8.2.Kapsam

Çalışanların çalışma masaları, ekranları, basılı dokümanları, belgeleri, kayıtları kapsar.

8.3.Politika

Masalarda ya da çalışma ortamlarında korumasız bırakılmış bilgiler yetkisiz kişilerin erişimleriyle gizlilik ilkesinin ihlaline, yangın, sel, deprem gibi felaketlerle bütünlüğünün bozulmalarına ya da yok olmalarına sebep olabilir.  Tüm bu veya daha fazla tehditleri yok edebilmek için aşağıda yer alan belli başlı temiz masa kurallarına ilişkin önlemler alınmalı ve bu önlemler çalışanlar tarafından uygulanmalıdır.

 Belli başlı temiz masa kuralları;

  1. Hassas bilgiler içeren evraklar, bilgi ve belgelerin masa üzerinde kolayca ulaşılabilir yerlerde ve açıkta bulunmaması gereklidir. Bu bilgi ve belgelerin kilitli yerlerde muhafaza edilmelidir.
  2. Çalışanların kullandığı masaüstü veya dizüstü bilgisayarların ekranları iş sonunda ya da masa terk edilecekse kilitlenmelidir.
  3. Sistemlerde kullanılan şifre, telefon numarası ve T.C kimlik numarası gibi bilgiler ekran üstlerinde veya masa üstünde bulundurulmamalıdır.
  4. Kullanım ömrü sona eren,  artık ihtiyaç duyulmadığına karar verilen bilgiler imha edilmeli, bilginin geri dönüşümü ya da yeniden kullanılabilir hale geçmesinin önüne geçilmelidir.
  5. Faks makinelerinde gelen giden yazılar sürekli kontrol edilerek makinede yazı bırakılmamalıdır.
  6. Her türlü bilgiler, şifreler, anahtarlar ve bilginin sunulduğu sistemler, ana makineler (sunucu), PC’ler vb. cihazlar yetkisiz kişilerin erişebileceği şifresiz ve korumasız bir şekilde başıboş bırakılmamalıdır.
  7. Kısa süreli ayrılmalarda dahi, cep telefonu, USB bellek, harici harddisk, CD, DVD gibi eşyalar çalışma masası üzerinde bırakılmamalıdır.

9.TAŞINABİLİR CİHAZ VE ORTAM POLİTİKASI

9.1.Amaç

Bu politikanın amacı Çekmeköy Belediyesine ait bilgi içeren taşınabilir cihazların kullanımı ile ilgili kuralları belirlemektir.

9.2.Kapsam

Bu politikanın uygulanmasından Çekmeköy Belediyesinin tüm yönetici ve çalışanlar sorumludur.

9.3.Politika

  1. Kuruma ait bilgi içeren taşınabilir cihazlar ilgili kişiye zimmetlenerek teslim edilir.
  2. Her çalışan kendisine zimmetlenen cihazın güvenliğinden ve amacına uygun kullanımından sorumludur.
  3. Taşınabilir cihazlar admin (yönetici) yetkisi sınırlandırılarak yalnızca user (kullanıcı) yetkilendirmesi ile ilgili kişiye teslim edilir.
  4. Kuruma ait bilgisayar, taşınabilir bellek, akıllı telefon ya da tablet bilgisayar gibi cihazlara ırkçılık, şiddet, pornografi, erotizm ve suç unsuru içeren yazı, resim, film veya müzik kopyalanamaz ve cihaz içerisinde bulundurulamaz.
  5. Kurum telefon hatları ve bilgisayarlar üzerinden üçüncü taraf kişilerle borç alacak ilişkisi, tehdit, küfür, kurum itibarını zedeleyecek durumlar ve yasa dışı olan iletişimler kurulamaz.
  6. Mobil cihazlar üzerinde yapılan çalışmalar ve oluşturulan kurumsal dosyalar ağ üzerinde ilgili adrese kaydedilmelidir.
  7. Kaybolması ve çalınması kolay olduğundan taşınabilir cihazlar başıboş bırakılmamalıdır.

10.YAPTIRIM

Bu politikaya uygun olarak çalışmayan tüm personel hakkında durumun mahiyetine bağlı olarak amirlerinin ve Disiplin Kurulunun değerlendirmesine göre belirlenmiş disiplin süreçleri, tedarikçi firma personeli ise sözleşmelerin ve yasaların ilgili maddeleri esas alınarak işlem yapılır.

 

 

Yukarıdaki hususları gözeterek kullanacağımı, bu hususlara aykırı olarak kullanmam halinde hukuki ve idari yaptırımlara muhatap olacağımı kabul ve taahhüt ederim.

İmzalayan Taraf

Adı, Soyadı :………………………………………………

T.C No       :………………………………………………

Unvanı        :………………………………………………

Tarih           :…/…/….…

İmza           :

Bilgi Güvenliği Politikası Sözleşmesi Formu

Lütfen formu doldurmadan önce sözleşmeyi okuyup onaylayınız.

GÖNDER

Güncelleme Tarihi : 23 Ekim 2020 Cuma

Lütfen telefonunuzu dik konuma getirin.