Erişilebilirlik Menüsü
Yazıyı Büyüt
Kontrast
Sesli Okuma
İmleç Büyüt
Okuma Çubuğu
Görsel Gizle
Sıfırla

Bilgi Güvenliği Politikası

Hacettepe Üniversitesi Bilgi İşlem Dairesi Başkanlığı olarak ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardına uygun bir yönetim sistemi kurmak, işletmek ve sürekli iyileştirmek amacıyla;
Genel Esaslar

  • Bu politika ile çerçevesi çizilen bilgi güvenliÄŸi gereksinimleri ve kurallarına iliÅŸkin ayrıntılar, BGYS prosedürleri ile düzenlenir. Kurum çalışanları ve 3. taraflar bu prosedürleri bilmek ve çalışmalarını bu kurallara uygun ÅŸekilde yürütmekle yükümlüdür.
  • Bu kural ve prosedürlerin, aksi belirtilmedikçe, basılı veya elektronik ortamda depolanan ve iÅŸlenen tüm bilgiler ile bütün bilgi sistemlerinin kullanımı için dikkate alınması esastır.
  • Bilgi GüvenliÄŸi Yönetim Sistemi, TS ISO/IEC 27001:2013 "Bilgi Teknolojisi Güvenlik Teknikleri (Information Technology Security Techniques) ve Bilgi GüvenliÄŸi Yönetim Sistemleri Gereksinimler (Information Security Management Systems Requirements)" standardını temel alarak yapılandırılır ve iÅŸletilir.
  • Kurum tarafından çalışanlara veya 3. taraflara sunulan bilgi sistemleri ve altyapısı ile bu sistemler kullanılarak üretilen her türlü bilgi, belge ve ürün aksini gerektiren kanun hükümleri veya sözleÅŸmeler bulunmadıkça kuruma aittir.

Temel BGYS Prensipleri

  • Çalışanlar ve üçüncü taraflarla kurumun gizlilik ihtiyaçlarını güvence altına almayı amaçlayan gizlilik anlaÅŸmaları yapılır.
  • Dış kaynak kullanım durumlarında oluÅŸabilecek güvenlik gereksinimleri analiz edilerek güvenlik ÅŸart ve kontrolleri ÅŸartname ve sözleÅŸmelerde ifade edilir.
  • Bilgi varlıklarının envanteri bilgi güvenliÄŸi yönetim ihtiyaçları doÄŸrultusunda oluÅŸturulur ve varlık sahiplikleri atanır.
  • Kurumsal veriler sınıflandırılır ve her sınıftaki verilerin güvenlik ihtiyaçları ve kullanım kuralları belirlenir.
  • Ä°ÅŸe alım, görev deÄŸiÅŸikliÄŸi ve iÅŸten ayrılma süreçlerinde uygulanacak bilgi güvenliÄŸi kontrolleri belirlenir ve uygulanır.
  • Güvenli alanlarda saklanan varlıkların ihtiyaçlarına paralel fiziksel güvenlik kontrolleri uygulanır.
  • Kuruma ait bilgi varlıkları için kurum içinde ve dışında maruz kalabilecekleri fiziksel tehditlere karşı gerekli kontrol ve politikalar geliÅŸtirilir ve uygulanır.
  • Kapasite yönetimi, üçüncü taraflarla iliÅŸkiler, yedekleme, sistem kabulü ve diÄŸer güvenlik süreçlerine iliÅŸkin prosedür ve talimatlar geliÅŸtirilir ve uygulanır.
  • AÄŸ cihazları, iÅŸletim sistemleri, sunucular ve uygulamalar için denetim kaydı üretme konfigürasyonları ilgili sistemlerin güvenlik ihtiyaçlarına paralel biçimde ayarlanır. Denetim kayıtlarının yetkisiz eriÅŸime karşı korunması saÄŸlanır.
  • EriÅŸim hakları ihtiyaç nispetinde atanır. EriÅŸim kontrolü için mümkün olan en güvenli teknoloji ve teknikler kullanılır.
  • Sistem temini ve geliÅŸtirilmesinde güvenlik gereksinimleri belirlenir, sistem kabulü veya testlerinde güvenlik gereksinimlerinin karşılanıp karşılanmadığı kontrol edilir.
  • Bilgi güvenliÄŸi ihlal olayları ve zayıflıklarının raporlanması için gerekli altyapı oluÅŸturulur. Ä°hlal olay kayıtları tutulur, gerekli düzeltici önleyici faaliyetler uygulanır ve düzenlenen farkındalık eÄŸitimleri vasıtasıyla güvenlik olaylarından öğrenme saÄŸlanır.
  • Kritik altyapı için süreklilik planları hazırlanır, bakımı ve tatbikatı yapılır.
  1. Yasalara, iç politika ve prosedürlere, teknik güvenlik standartlarına uyum için gerekli süreçler tasarlanır, sürekli ve periyodik olarak yapılacak gözetim ve denetim faaliyetleri ile uyum güvencesi sağlanır.

Uyulması Gereken Kabul Edilebilir Kullanım Kuralları
Uyulması gereken kurallar BGYS Kapsamında hazırlanan prosedürlerde belirtilmiştir. Tüm kurallar esas olarak "Bilgi Sistemleri Kabul Edilebilir Kullanım Politikası" dokümanında yer almaktadır. BGYS kapsamı dâhilinde yer alan tüm çalışanlar ve 3. Taraflar belirtilen kurallara uymak zorundadır.

Üçüncü tarafların yönetimi

  • Hacettepe Ãœniversitesi Bilgi Ä°ÅŸlem Daire BaÅŸkanlığı çalışanı olmayıp bilgi sistemleri kaynaklarına eriÅŸim saÄŸlayan her türlü kiÅŸi 3. Taraf olarak kabul edilir. 3. Tarafların uyması gereken kurallar ve yönetim ÅŸekli BGYS kapsamlı dokümanlarda 3. Taraf olarak ayrıca belirtilmiÅŸtir. 3. Taraf tanımına uyan her türlü kiÅŸi ya da kurumla yapılacak geçici ya da sürekli çalışma sözleÅŸmelerin imzalanması güncel olarak takip edilmelidir. SözleÅŸme imzalanmadan önce kararlaÅŸtırılmış ve onaylanmış güvenlik anlaÅŸmaları hazırlanıp Kurumlarla kurumsal gizlilik sözleÅŸmesi 3. Taraf çalışanlarıyla bireysel gizlilik sözleÅŸmesi yapılmalıdır. GerektiÄŸi takdirde üçüncü taraf çalışanlarının politikaya uyması için süre tahsis edilmelidir.