Doküman Kodu: POL-INFORMATION-SECURITY
Başlık: Bilgi Güvenliği Politikası
Versiyon: v1.0
Tarih: 30.11.2025
Sahibi: BT Departmanı
Onaylayan: CEO
Durum: Taslak
Sınıflandırma: Kurum İçi

1. Amaç

Bu politikanın amacı, kuruluşun bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini korumaya yönelik temel ilkeleri belirlemektir.

Bu politika; tüm personel ve sistemler için üst seviye güvenlik beklentilerini tanımlar ve ilgili prosedürler ile teknik kontroller için temel oluşturur.

2. Kapsam

Bu politika aşağıdakiler için geçerlidir:

  • Tüm çalışanlar, stajyerler, yükleniciler, iş ortakları, müşteriler ve yatırımcılar

  • Şirkete ait tüm iç ve dış bilgi sistemleri

  • Formatı veya saklama yeri ne olursa olsun tüm şirket verileri

  • Bilgi kaynaklarına erişen tüm cihazlar

Politika, fiziksel ve dijital güvenliğini kapsar.

3. Bilgi Güvenliği İlkeleri

  • Gizlilik (Confidentiality): Bilgilere yalnızca yetkili kişiler erişebilmelidir.

  • Bütünlük (Integrity): Bilgiler doğru, tutarlı olmalı ve yetkisiz değişikliklere karşı korunmalıdır.

  • Erişilebilirlik (Availability): Sistemler ve veriler ihtiyaç duyulduğunda erişilebilir olmalıdır.

  • En Az Yetki (Least Privilege): Kullanıcılara yalnızca görevleri için gerekli asgari yetkiler verilir.

  • Bilmesi Gereken (Need-to-Know): Erişim, operasyonel gereklilikle sınırlandırılır.

  • Görevlerin Ayrılığı (Segregation of Duties): Kritik işlemler risk azaltmak amacıyla farklı roller arasında bölünür.

  • Sıfır Güven (Zero-Trust): Tüm erişimler ve kimlikler doğrulanmalı ve izlenmelidir.

  • Hesap Verebilirlik (Accountability): Kullanıcılar, kendi hesaplarıyla yapılan tüm işlemlerden sorumludur.

  • Güvenli Tasarım (Secure-by-Design): Sistemler ve yazılımlar güvenli geliştirme ve yapılandırma prensiplerine uygun olmalıdır.

  • Sürekli İzleme (Continuous Monitoring): Güvenlik olayları kaydedilmeli ve düzenli olarak incelenmelidir.

4. Veri Sınıflandırması

Tüm bilgiler, kuruluşun veri sınıflandırma çerçevesine uygun şekilde işlenmelidir.

Sınıflandırma seviyeleri ve kullanım kuralları aşağıdaki dokümanda tanımlanmıştır:

  • REF-DATA-CLASSIFICATION

Personel, eriştiği verinin sınıflandırmasını bilmeli ve belirtilen koruma gerekliliklerine uymalıdır.

5. Erişim Kontrolü Beklentileri

  • Tüm sistem erişimleri PROC-ACCESS-CONTROL dokümanına uygun olmalıdır.

  • Hassas sistemler için çok faktörlü kimlik doğrulama (MFA) zorunludur.

  • Ortak hesaplar veya paylaşılan kimlik bilgileri kesinlikle yasaktır.

  • Erişimler düzenli olarak gözden geçirilmeli ve ihtiyaç kalmadığında kaldırılmalıdır.

  • Harici sistem erişimleri, onaylı kimlik ve kimlik bilgisi yönetim kurallarına uygun olmalıdır.

  • Üretim sistemleri için sıkı onay, kayıt ve izleme gereklidir.

6. Cihaz ve Uç Nokta Güvenliği

  • Yalnızca BT tarafından onaylanan cihazlar şirket sistemlerine erişebilir.

  • Cihazlar güncel işletim sistemi ve güvenlik yamalarına sahip olmalıdır.

  • Uç nokta koruma yazılımları aktif durumda olmalıdır.

  • Kaybolan veya çalınan cihazlar derhal bildirilmelidir.

  • Kişisel cihazlar yalnızca açıkça yetkilendirildiğinde kullanılabilir.

7. Parolalar, Anahtarlar ve Gizli Bilgiler

  • Parolalar ve anahtarlar benzersiz, güçlü ve güvenli şekilde kullanılmalıdır.

  • Gizli bilgiler (secrets) kaynak kodu veya onaylanmamış ortamlarda saklanamaz.

  • Üretim ortamına ait gizli bilgiler yalnızca onaylı gizli bilgi yönetim sistemlerinde tutulmalıdır.

  • Parola paylaşımı kesinlikle yasaktır.

  • Şüpheli kimlik bilgisi ihlalleri derhal bildirilmelidir.

8. Güvenli İletişim

  • Gizli ve kısıtlı veriler yalnızca şifreli kanallar (TLS, SSH, VPN) üzerinden iletilmelidir.

  • Genel veya güvenilmeyen ağlarda VPN kullanımı zorunludur.

  • Hassas bilgilerin ekran görüntüleri veya dışa aktarımları, yetkili kanallar dışında paylaşılamaz.

9. Yazılım Geliştirme ve Dağıtım

  • Geliştirme süreçleri güvenli kodlama prensiplerine uygun olmalıdır.

  • Kaynak kod depoları RBAC ve MFA ile korunmalıdır.

  • Üretim dağıtımları CI/CD ve erişim kontrol prosedürlerine uygun yapılmalıdır.

  • Gizli bilgiler kod içine gömülmemeli veya sürüm kontrol sistemlerinde saklanmamalıdır.

10. Olay Bildirimi

  • Şüpheli veya doğrulanmış tüm güvenlik olayları derhal BT’ye bildirilmelidir.

  • Personel, olayları kendi başına incelemeye çalışmamalıdır.

  • Olay yönetimi, tanımlandığında PROC-INCIDENT-RESPONSE dokümanına göre yürütülür.

  • Tüm olaylar dokümante edilmeli ve gözden geçirilmelidir.

11. Fiziksel Güvenlik Gereklilikleri

  • Şirket ofisleri ve ekipman odalarına erişim kontrollü olmalıdır.

  • Ziyaretçiler gerekli durumlarda refakat edilmelidir.

  • Basılı gizli bilgiler güvenli şekilde saklanmalı ve imha edilmelidir.

12. İşten Ayrılma Güvenlik Gereklilikleri

Bir kullanıcı organizasyondan ayrıldığında veya rolü değiştiğinde:

  • Tüm erişimler PROC-OFFBOARDING-v1.0.md dokümanına göre kaldırılmalıdır.

  • Cihazlar BT’ye iade edilmelidir.

  • Gizli bilgiler kişi tarafından saklanamaz veya kullanılmaya devam edilemez.

13. Uyumluluk

Bu politikaya uyulmaması; disiplin cezası, erişim iptali veya sözleşme feshi ile sonuçlanabilir.

Tüm personel, bu politika ve ilişkili tüm prosedürlere uymakla yükümlüdür.

14. İlgili Dokümanlar

  • REF-SECURITY-DEFINITIONS

  • REF-DATA-CLASSIFICATION

  • REF-ACCESS-CONTROL-GUIDE

  • PROC-ACCESS-CONTROL

  • PROC-ONBOARDING

  • PROC-OFFBOARDING

  • POL-HR

  • CH-ONBOARD-IT

  • CH-OFFBOARD-IT

15. Revizyon Geçmişi

  • v1.0 – 30.11.2025 – İlk versiyon oluşturuldu