Amaç

Bu Doküman; Bilgi Güvenliğinin ne olduğunu ve Arnavutköy Belediyesi’nin bilgi güvenliğine yaklaşımını anlatan politikayı içerir. Arnavutköy Belediyesi; bilgi kaynaklarını kullanan tüm kullanıcılarına, ilişki içinde olduğu üçüncü taraflara, tedarikçilerine bu politikayı duyuracaktır.

Aynı zamanda Arnavutköy Belediyesi bu politikayla; Bilgi Güvenliği Yönetim Sistemi kurmaktaki amacını, hedeflerini, sistemi nasıl kuracağını, uygulayacağını, izleyeceğini ve raporlayacağını açıklar.

Kapsam

Bu politika; BGYS kapsamı içerisinde kalan tüm sistem ve lokasyonlardaki faaliyetler sırasında uygulanacak Bilgi Güvenliği gereklerini belirler.

Bilgi Güvenliği

Bilgi güvenliği, bilgi ve bilgiyi kaydeden, erişime vasıta olan, depolayan varlıkların tümünün izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa etme, ortadan kaldırılma, el değiştirme ve hasar verilmesini önlemek olarak tanımlanır ve “gizlilik”, “bütünlük” ve “erişilebilirlik” olarak isimlendirilen üç temel unsurdan meydana gelir. Bu üç temel güvenlik unsurundan herhangi biri zarar görürse güvenlik zafiyeti oluşur.

Gizlilik: Bilginin yetkisiz kişilerin eline geçmeme ve yetkisiz erişime karşı korunmasıdır.

Bütünlük: Bilginin yetkisiz kişiler tarafından değiştirilmemesidir.

Erişilebilirlik (kullanılabilirlik): Bilginin yetkili kişilerce ihtiyaç duyulduğunda ulaşılabilir ve kullanılabilir durumda olmasıdır.

BGYS (Bilgi Güvenliği Yönetim Sistemi); kurum kuruluş ve şirketlerin faaliyetleri sürecinde ürettikleri, topladıkları, işledikleri, sakladıkları ve ilettikleri her tür bilginin güvenliğini, bütünlüğünü sağlayan ve gerektiğinde yetkili kişilerin bilgiye kolay hızlı ve doğru biçimde ulaşmasına imkân veren bir sistemdir. Uluslararası ISO/IEC 27001 standardı ile kurallar bütünü haline getirilmiştir.

Arnavutköy Belediyesini doğrudan BGYS kurmaya zorlayan bir yasal düzenleme olmamakla birlikte BGYS Yönetim Komitesi; mevcut olan bazı kanunlar, yönetmelikler, stratejiler, eylem planları vb… gereklilikleri yerine getirmek için sistematik bir şekilde BGYS kurulmasını sağlamıştır.

Bilgi Güvenliği yönetimi için izlenen uluslararası standart TS ISO/IEC 27001:2013’dür.

Yönetimin Taahhüdü

Arnavutköy Belediye Başkanlığı BGYS yyönetimi, bilgi güvenliğine ve bilgi varlıklarına yönelik her türlü riski yönetmek amacıyla;

• Kurumsal bilgileri, personel özlük bilgilerini, vatandaş/mükellef ve tedarikçi bilgilerini (finansal veriler, kişi bilgileri) değerli ve kritik kabul etmekte ve bilgi güvenliği ile ilgili yasaların getirdiği zorunlulukları yerine getirmeyi,
•  Kurumsal faaliyetlerinin gerçekleşmesinde kullanılan bilişim hizmetlerinin kesintisiz devam etmesi, kişisel ve özel verilere sadece yetkili kişilerce erişilebilmesi amacıyla gerekli alt yapıyı sağlamayı ve gerekli güvenlik tedbirlerini almayı,
• Bilgi Güvenliği Yönetim Sitemi, ISO/IEC 27001 standardının gereklerini yerine getirecek şekilde dokümante etmeyi ve sürekli iyileştirmeyi,
• Bilgi Güvenliği yönetiminin etkinliğinin sağlanması için kişileri yönlendirmeyi desteklemeyi,
• Bilgi Güvenliği ile ilgili tüm yasal mevzuat ve sözleşmelere uymayı,
• Bilgi Varlıklarına yönelik riskleri sistematik olarak yönetmeyi,
• Bilgi Güvenliği farkındalığını arttırmak amacıyla teknik ve davranışsal yetkinlikleri geliştirecek eğitimleri gerçekleştirmeyi, BGYS yi; uyguladığı diğer yönetim sistemleri ile birlikte bütünleşik bir şekilde yöneterek, yerel yönetimler alanında bilgi güvenliği açısından öncülüğü ile örnek bir kuruluş olmak için tüm gücüyle çalışmayı taahhüt etmektedir.
  
  BGYS nin Amaçları ve Hedefleri

Arnavutköy Belediyesi bünyesinde bir BGYS nin kurulmasıyla, kurum birimlerinin sahip olduğu fiziksel ve dijital ortamda bulunan tüm bilgi varlıklarının güvenliğini sağlamak ve uygun bir biçimde yönetilmesi amaçlanır. Ayrıca onaylanmış bir BGYS sisteminin bulunması, mevzuattan doğan birçok yükümlülüğünün yerine getirilmesine de yardımcı olacaktır.

Bu bağlamda, Bilgi Güvenliği Yönetim Sistemi hedefleri, şu ana maddeler olarak belirlenmiştir;

• Yönetim Sisteminin ISO27001 standardına uygun olarak kalitesini arttırmak, sürekliliğini sağlamak
• Çalışanların BGYS farkındalığını arttırmak,
• BGYS süreçlerine ilişkin yeterlilik ve yetkinliği arttırmak,
• BGYS maliyetlerini belirlemek ve gerekli bütçe kalemlerini oluşturup yatırım sağlamak,
• BGYS risklerini kabul edilebilir seviyelere düşürmek,
  
  Risk Yönetimi

Arnavutköy Belediyesi; Bilgi Güvenliği Yönetim Sisteminin amaçlanan çıktılarının sağlanması, istenmeyen etkilerin önlenmesi veya azaltılması için, varlıklarına yönelik bilgi güvenliği risklerini belirler ve analiz eder. Risk yönetiminden çıkan uygunsuzlukların doğru değerlendirilerek bir iyileştirme fırsatına dönüştürülmesi için gerekli faaliyetleri tanımlar ve bu faaliyetleri BGYS süreçleri ile bütünleştirerek planlar ve gerçekleştirilmesini sağlar.

Bilgi Güvenliğinin Çerçevesi

Arnavutköy belediyesinde uygulanacak olan BGYS Kurumun bilgi işlem altyapısını kullanan ve bilgi kaynaklarına erişen herkes için;

• Kişisel ve elektronik iletişimde ve üçüncü taraflarla yapılan bilgi alışverişlerinde kurum bilgilerinin gizliliğini korur.
• Bilgi kritiklik seviyesine göre yedeklenir.
• Risk düzeylerine göre güvenlik önlemleri alınır.
• Bilgi güvenliği ihlalleri raporlanır ve gereken tüm aksiyonlar alınır.
• Kurum içi bilgi kaynakları bağlı bulunduğu mevzuatta veya yaptığı sözleşmelerde açıkça belirlenen haller dışında üçüncü kişilerle hiçbir surette paylaşılmaz.
• Kurum bilişim kaynakları T.C. yasalarına, bunlara bağlı kanun ve yönetmeliklere aykırı faaliyetler amacı ile kullanılamaz.
  
  Kaynakların temini

Arnavutköy Belediye Başkanlığı; kurumun amacına ve hedeflerine bağlı olarak Bilgi güvenliği gereklerini yerine getirmek ve planladığı hedeflere ulaşmak için gerekli insan, finansal, zaman, altyapı kaynaklarını bağlı bulunduğu mevzuat çerçevesinde tedarik edecektir. BGYS için gerekli kaynakları temin etme süreci BGYS Yönetim Komitesi tarafından yürütülerek kontrol edilecektir.

Roller ve sorumluluklar

Arnavutköy Belediyesi’nde sistemin kurulması, uygulanması, sürdürülmesi, izlenmesi ve sürekli olarak iyileştirilmesi ve işletilmesinin sağlanması için roller ve sorumluluklar belirlenerek, BGYS Yönetim ve Yürütme Komiteleri oluşturulmuştur.

Bu bağlamda, BGYS sürecinde karar ve onay aşamalarını gerçekleştirecek, gerekli işgücü ve bütçeyi sağlayacak olan Yönetim Komitesi; Kurum Başkanı, Başkan Yardımcıları, Yönetim Temsilcisi ve gerekli durumlarda Kurum Müdürlerinden oluşmasına karar verilmiştir. Yönetim komitesi tarafından alınan kararların yürütülmesi, sürdürülmesi, izlenmesi ve bilgi güvenliği konusunda muhtemel risklerin yönetilmesinden sorumlu olan Yürütme Komitesinin de; Yönetim Temsilcisi, BGYS Sorumlusu ve müdürlüklerde belirlenen ekiplerden oluşmasına karar verilmiştir.

Bilgi Güvenliği Yönetim Sisteminin Yürütülmesi ve Kullanıcı Sorumluluğu

Arnavutköy Belediyesi, BGYS yi kurarken ve yönetirken yapması gereken gereklilikleri iş süreçlerine uygun olarak yazılı prosedürler haline getirmiştir.

Bilişim sistemlerine erişim ile ilgili standardın belirlediği Mobil cihaz kullanımı, internet, sistem ve ağ erişimleri ve güvenliği, uzaktan erişim, parola, temiz masa temiz ekran uygulamaları ve kontrolleri, ilgili politika ve prosedürlere göre yapılacaktır.

İş sürekliliği ve Acil Durum Planları, Veri Yedekleme, Virüs ve saldırganlardan korunma, fiziksel ve çevresel güvenlik, sistem temini ve bakım gerekleri, haberleşme ve ağ güvenliği, erişim kontrolleri  prosedürleri bu politikayı destekler. Bu alanlarla ilgili işleyiş özel olarak dokümante edilmiş politika ve prosedürlerle tanımlanır.

BGYS’de planlanan hedeflerin izlenmesi, ölçülmesi ve değerlendirilmesi Hedef Takip Listesi üzerinden takip edilmektedir. İç kontroller ise yılda en az bir defa iç tetkik yapmaya yetkin personel tarafından yapılacaktır. Üst Yönetim bilgi Güvenliği Yönetim Sisteminin sürekli uygunluğunu, doğruluğunu ve etkinliğini temin etmek için planlı aralıklarla gözden geçirecektir.

Arnavutköy Belediyesi; tedarikçiler vasıtası ile aldığı hizmetin kesintisiz ve kaliteli olarak sağlanmasını güvence altına almak ve isteklilerine iş yaptırma/ihalelere girme bariyeri koyma hususunda Bilgi Güvenliği/İdare Memnuniyetini bir tercih unsuru olarak görmektedir. Bu hususu kendi çalışanlarına, isteklilerine ve yüklenici/ tedarikçilerine açıkça deklare etmektedir. Bu bağlamda Kurum, tedarikçiler/yüklenicileri ile bu politika çerçevesinde çalışacaktır.

Arnavutköy Belediyesi ISO/IEC 27001 uyumluluğu kapsamında, teknik gerekliliklerin yerine getirilmesinin yanı sıra BGYS organizasyonunda tanımlanan tüm rollerdeki personelin uygun öğrenim, eğitim, beceri ve deneyime sahip olması ve çalışanların görevlerini etkin bir şekilde yerine getirmesinin sağlaması için genel eğitim stratejisi geliştirmiştir. BGYS nin yürütülmesinde ve izlenmesinde görevli personele gerekli eğitimleri aldıracak, son kullanıcı farkındalık eğitimleri düzenleyecektir.

Sürdürülebilir bir BGYS için bütün çalışanların katılım ve farkındalığı önemlidir. Personelin bilgi güvenliği farkındalığını yüksek tutmak için e-posta, SMS mesajları gönderilecek, mümkün olduğu sürece belediye yerleşkelerinde bilgi güvenliğini sağlamayı, ihlal olaylarını bildirmeye teşvik edici afiş, posterler asılacak, broşürler dağıtılacaktır.

Arnavutköy Belediyesi bilgi ve bilgi işleme olanaklarına erişim sağlayabilen tüm personel, Kurumun Bilgi Güvenliği Politikasını ve bu politikada atıf yapılan politika, prosedür ve talimatları bilmekle ve kurum varlıklarını kullanırken belirlenen kurallara uygun hareket etmekle yükümlüdürler. Bu yükümlülük tüm kullanıcılarla (Yönetim kademesi dahil tüm personel, memur, işçi, sözleşmeli, hizmet alımı personeli, tedarikçi firma çalışanı ve üçüncü taraflar) yapılan taahhütname ile güvence altına alınacaktır. Varlıkların kullanımında uyulması gereken kurallar Varlıkların Kabul Edilebilir Kullanımı Politikasında detaylı olarak anlatılmıştır.

Bilgi Güvenliği gereklerinin yerine getirilmediği, politika ve prosedürlerin ihlal edildiği durumlarda disiplin süreci işletilecektir. Güvenlik ihlali gerçekleştirdiği kesinleşen personel için bağlı bulunduğu mevzuat çerçevesinde;

• Uyarı,
• İhtar,
• Para cezası,
• Geçici uzaklaştırma,
• Kesin uzaklaştırma,
• Tazminat davası açma,
• Açılan tazminat davalarının sonuçlarının rücu edilmesi,
• Cezalarının birinin veya birden fazlasının uygulanması yaptırımları uygulanabilecektir.
  
  Sürdürülebilirliği sağlamak için bilgi güvenliği ihlalleri kayıt altına alınacak, kayıt altına alınan Bilgi Güvenliği ihlallerine bağlı olarak düzeltici-iyileştirici faaliyet planlanarak takip edilecektir. Bu faaliyetlerle BGYS de sürekli iyileştirme amaçlanır.