Bilgi Güvenliği Yönetim Sistemi

-A +A

TÜBİTAK BİLGEM YTE, amaçları ve stratejik hedefleri doğrultusunda bilgi güvenliğine önem vermektedir. Bu doğrultuda, bilgi varlıklarını, içeriden veya dışarıdan gelebilecek, kasıtlı veya kasıtsız tüm tehditlere karşı korumayı, iş sürekliliğini sağlamayı, güvenlikle ilgili meydana gelen veya gelebilecek ihlallerin tesirlerinin önlemeyi ve iş kayıplarını mümkün olan en düşük seviyeye indirmeyi hedefler. Bu kapsamda, bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini sağlayacak ve koruyacak tedbirleri alır ve Bilgi Güvenliği Yönetim Sistemi’nin sürekliliğini sağlamak için her yıl belgelendirme denetimleri geçirir.

 TÜBİTAK BİLGEM YTE Üst Yönetimi;

•    Kamuya sunulan projelerin sorumluluk alanımızdaki faaliyetlerinde üretilen ve işlenen müşteri verilerinin güvenliğini sağlamayı,
•    Enstitümüz tarafından yürütülen projelerin bilgi güvenliği gereksinimlerini karşılamayı ve yönetmeyi,
•    Enstitü Bilişim Sistemleri alt yapısının sürekliliğini sağlamayı,
•    Enstitü çalışanlarının bilgi güvenliği bilinç ve farkındalık seviyelerini artırmayı,
•    İlgili yasa ve sözleşmelerden doğan gereksinimlere uymayı,
•    Kurumun güvenilirliğini ve imajını korumayı hedeflemektedir.

TÜBİTAK BİLGEM YTE, Bilgi Güvenliği Yönetim Sistemi (BGYS) kurma hazırlıklarına 2013 yılı itibariyle başlamış ve ilk olarak ISO/IEC 27001:2005 Bilgi Güvenliği Yönetim Sistemi sertifikasını 2014 yılında bünyesine kazandırmıştır. 2015 yılı Kasım ayında mevcut sertifikasını ISO/IEC 27001:2013 versiyonuna yükselterek belge yenileme denetimini başarı ile geçirmiştir. Her yıl yapılan denetimlerle de mevcut sertifikanın sürekliliği sağlanmaktadır.

Bilgi Güvenliği Politikası İlkeleri :

  • Bu politika ile çerçevesi çizilen bilgi güvenliği gereksinimleri ve kurallarına ilişkin ayrıntılar, BGYS prosedürleri ile düzenlenir. Kurum çalışanları ve dış taraflar bu prosedürleri bilmek ve çalışmalarını bu kurallara uygun şekilde yürütmekle yükümlüdür.
  • Bu ilkelerin, basılı veya elektronik ortamda depolanan ve işlenen tüm bilgiler ile bilgi sistemleri varlıklarının kullanımı için dikkate alınması esastır.
  • Bilgi güvenliği gereksinimleri belirlenirken, müşteri beklentileri, iç ve dış faktörler, yasa ve sözleşmelerden kaynaklanan bilgi güvenliği hususları göz önünde bulundurulur.
  • Kurum tarafından çalışanlara veya dış taraflara sunulan bilgi sistemleri varlıkları ile bu sistemler kullanılarak üretilen her türlü bilgi, belge ve ürün aksini gerektiren kanun hükümleri veya sözleşmeler bulunmadıkça kuruma aittir.
  • Bilgi güvenliğinde ISO 27001:2013 standardına uygun risk yönetimi yaklaşımı uygulanır. Bu amaçla, bilgi güvenliği riskleri tespit edilir, risk sahipleri atanır, değerlendirilir ve yönetilir.
  • Bilgi varlıkları envanteri, Bilgi Güvenliği Yönetim Sistemi gereksinimleri doğrultusunda oluşturulur, güncel tutulur.
  • Bilgi varlıkları sınıflandırılır ve her sınıftaki verilerin güvenlik ihtiyaçları ve kullanım kuralları belirlenir.
  • Sistem yönetimi, ağ yönetimi, bilgi güvenliği gibi faaliyetlerde “görevler ayrılığı” prensibine uygun davranılır.
  • Erişim hakları ihtiyaç nispetinde atanır. Erişim kontrolü için mümkün olan en güvenli teknoloji ve teknikler kullanılır.
  • Çalışanların bilgi güvenliği farkındalığını artıracak ve yönetim sisteminin işleyişine katkıda bulunmalarını sağlayacak eğitimler düzenlenir.
  • Bilgi güvenliği olayları, ihlal ve zayıflıkları kayıt altına alınarak bu konuda kurum içi hafıza oluşturulur. Tespit edilen ihlal ve zayıflıklarla ilgili gerekli tedbirler alınıp yaptırımlar uygulanır.
  • Proje yönetimi faaliyetlerinin her aşamasında bilgi güvenliği göz önünde bulundurulur.
  • Kritik bilgi teknolojileri hizmetleri ve sistemleri belirlenerek bu hizmetlerin ve sistemlerin kesintisiz hizmet verebilmesi amacıyla gerekli önlemler alınır. İş Süreklilik Planları geliştirilir, tatbikat ve testler yapılır. 
  • Bilgi güvenliği tehditleri ve teknolojik uygulamalar konusunda dünyadaki gelişmeler takip edilir.
  • Gerekli durumlarda ilgili çalışan ve dış taraflarla kurumun gizlilik ihtiyaçlarını güvence altına almayı amaçlayan gizlilik anlaşmaları yapılır.
  • Dış taraflarla yapılacak ortak çalışmalarda güvenlik gereksinimleri analiz edilerek güvenlik şart ve kontrolleri şartname ve sözleşmelerde ifade edilir.
  • Çalışan işe alım, görev değişikliği ve işten ayrılma süreçlerinde uygulanacak bilgi güvenliği kontrolleri belirlenir ve uygulanır.
  • Güvenli alanlarda içinde saklanan varlıkların ihtiyaçlarına paralel fiziksel güvenlik kontrolleri uygulanır.
  • Kuruma ait bilgi varlıkları için kurum içinde ve dışında maruz kalabilecekleri fiziksel tehditlere karşı gerekli kontrol ve politikalar geliştirilir ve uygulanır.
  • Bilgi güvenliği yönetim sistemi; performans takibi, iç denetim ve yönetim gözden geçirme faaliyetleri ile sürekli iyileştirilir.
  • Bilgi Güvenliği Yönetim Sistemi’nin kurulması, işletilmesi, sürdürülmesini sağlamak amacıyla organizasyon yapısı oluşturulur ve sorumluluklar atanır. 

Bilgi Güvenliği Yönetim Sistemi Tarihçesi

2015 Kasım - TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) Belgesi

2014 Ağustos - TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) Belgesi