TÜRKİYE GAZETECİLER SENDİKASI (TGS)
BİLGİ GÜVENLİĞİ POLİTİKA BELGESİ
BİRİNCİ BÖLÜM : AMAÇ VE KAPSAM
Bu politika belgesi; Türkiye Gazeteciler Sendikası (TGS) bilgi varlıklarının yönetimini, korunmasını, gizliliğini, bütünlüğünü, dağıtımını ve sadece yetki verilen kişilerce erişilebilirliğini sağlayarak önemli işlevlerinin korunmasını düzenleyen kurallar ve uygulamalar bütününü içermektedir.
MADDE 1: Amaç
Bilgi güvenliği politika belgesinin amacı TGS standartları ve en iyi uygulamalara uygun olarak doğru güvenlik gereksinimlerinin tanımlanması ve TGS bünyesindeki Bilgi Teknolojileri hizmetlerinin güvenli ve yürürlükteki Kanun ve düzenlemelere uygun kullanımının sağlanması, TGS ve diğer kullanıcılar için kabul edilebilir seviyede güvenlik tehditlerine karşı korunmasıdır.
MADDE 2 : Kapsam
TGS’nin merkezi bir Bilgi Teknolojileri platformu ve sunucu/işlemci altyapısı yoktur. TGS’de tüm kullanıcıların kendilerine ait bilgisayarları vardır ve o bilgisayarların Bilgi Teknolojileri güvenlik önlemlerinden kullanıcı konumunda bulunan kendileri sorumludur. Öte yandan söz konusu politika TGS bünyesinde çalışan tüm kullanıcıları, geçici personeli, ziyaretçileri, bilgi teknolojileri cihazları ve yazılımlarını kapsamaktadır.
İKİNCİ BÖLÜM : HEDEFLER VE İLKELER
MADDE 3 : Bilgi Güvenliği Hedefleri
TGS’nin bu politika ile hedefledikleri:
• Sahip olduğu veya tutmakla yükümlü olduğu bilgileri mevzuata uygun olarak tutarak, TGS’nin, çalışanlarının ve diğer kullanıcıların olası mevzuat ihlalleri nedeniyle idari/adli yaptırımlar ile karşılaşmasını önlemek,
• TGS’nin güvenilirliğini ve temsil ettiği makamın imajını korumak,
• Üçüncü taraflarla yapılan sözleşmelerde belirlenmiş uygunluğu sağlamak,
• TGS’nin temel ve destekleyici tüm faaliyetlerinin en az kesinti ile devam etmesini sağlamak
amacıyla bilişim hizmetlerinin gerçekleştirilmesinde kullanılan tüm fiziksel ve elektronik bilgi varlıklarının bilgi güvenliğini sağlamayı hedeflemektedir.
MADDE 4: Bilgi Güvenliği İlkeleri
TGS bilgi işlem altyapısını kullanan ve bilgi kaynaklarına erişen tüm personel:
• Kişisel ve kurumsal elektronik iletişimde ve üçüncü taraflarla yapılan bilgi alışverişlerinde TGS’ye ait ve/veya TGS’ye iletilen tüm tarafların bilgilerinin gizliliğini sağlamalı,
• Kritiklik düzeylerine göre aldığı, gönderdiği ve işlediği bilgiyi yedeklemeli,
• Bilgi güvenliği ihlal olaylarını TGS Genel Sekreteri’ne yazılı olarak bildirmeli,
• TGS içi ve/veya TGS’ye iletilen, alınan bilgi kaynaklarını (duyuru, doküman elektronik bilgi ve belge vb.) yetkisiz olarak 3.kişilere iletmemeli,
• TGS bilişim kaynakları şahsi amaçlarla, mevzuata aykırı, yasalarda suç olarak tanımlanmış hiçbir amaçla ve TGS’nin kurumsal kimliğini, fiziki güvenliğini ve/veya elektronik güvenliğini zaafiyete uğratıcı faaliyetler amacıyla kullanılmamalı.
• Tüm bilgisayarlar sadece şifre ile çalışabilir ve tüm kullanıcılar kendi şifrelerini güvenli bir şekilde diğerlerinden güvenli bir şekilde saklamaktan yalnızca kendileri sorumludur.
• Herhangi bir kullanıcının kendi bilgisayarına ait sabit disk, flash disk, bilgisayara takılı her türlü hafıza, internet bağlantısı veya TGS’deki cihazlara (yazıcı, tarayıcı vb.) ait herhangi bir kaynağı paylaşması yasaktır.
• Herhangi bir bilgisayarın arızalanması durumunda, verilerin kaybolması ve kurtarılması veya yeni kurulum yapılması gerekmesi durumunda, TGS yöneticilerinin izniyle teknisyenler bilgisayardaki bilgilere erişebilir.
• Ayrıca tüm kullanıcıların, yöneticilerin izni olmadan herhangi bir nedenle uzaktan erişim uygulamaları kurması yasaktır, ayrıca kullanıcılar, o bilgisayarın veri ve kaynaklarına erişim hakkı isteyen yetkisiz uygulamaların yüklenmesinin riskleri konusunda uyarılmıştır.
ÜÇÜNCÜ BÖLÜM : POLİTİKALAR
MADDE 5: Bilgi Teknolojileri Varlıkları Yönetim Politikası
Bilgi Teknolojileri varlık yönetimi değer yaratan fikri mülkiyet (fikir, kavram, know-how, teknik, materyal ve dokümantasyon), insan, teknoloji, bina ve donanım varlıkları ile kurumsal belleği oluşturan süreçler, varlık olarak açık ve net bir şekilde belirlenmesi, sahiplendirilmesi, sınıflandırılması, etiketlenmesi ve güncellenmesi süreçlerini düzenlemektedir. Söz konusu süreç kurumdaki masaüstü, dizüstü, yazıcı, mobil cihazları ve diğer donanımları, uygulama ve yazılım envanterini kapsamakta olup zimmet sürecinin işletilmesini kapsamaktadır.
• Bilgi teknolojileri envanteri sadece ilgili iş aktivitelerinde atama ve/veya yetkilendirme şeklinde kullanılmalıdır.
• Kritiklik değeri ve gizlilik seviyesi yüksek olan bilgilerin ilgili personellerin dışında ulaşılamayacak olan kilitli dolap veya kasalarda saklanmalıdır.
• Yazıcı çıktısı alma, fotokopi ile çoğaltma, tarayıcı kullanımı, Sendika içi/dışı sözel (sunum, toplantı, vb.), fiziksel (basılı kopya, vb.) ya da elektronik (e-posta, e-konferans vb.) yöntemlerle paylaşma, saklama ve imha etme (basılı kopyaların imhası, taşınabilir medyadaki bilgilerin imhası, vb.) kuralları, gizlilik seviyesi esas alınarak belirlenmelidir.
• Zimmet sahibi kullanıcılar (zimmet formu imzaladığı cihazlar için) BT envanterinin korunmasından ve doğru şekilde kullanılmasından sorumludur.
• Masaüstü ve dizüstü bilgisayarlar kullanılmadıkları durumda fiziksel güvenlik altına alınmalıdır.
• Söz konusu cihazların üstünde gizli bilgiler saklandığı durumda profesyonel kaynaklar kullanılmadan geri döndürülemeyecek şekilde silinmelidir.
• Kullanıcılar kendilerine zimmetlenen varlıkları temiz kullanmak ve kazalardan korumak veya uygunsuz şekilde kullanmamakla yükümlüdür.
• BT envanterinde sadece TGS Yönetim Kurulu onayı ile yapılandırma değişikliği yapılır.
• Dizüstü, akıllı telefon ve tablet benzeri cihazlar çalınmaya karşı korunması sorumluluğu zimmeti yapılan personelin yükümlülüğündedir.
• Dizüstü, akıllı telefon ve tablet benzeri taşınabilir cihazlardaki veriler çalınmaya karşı şifreleme ve veri imha yöntemleriyle korunmalıdır.
• Kayıp, çalıntı, zarar, yetkisiz müdahale veya envantere ilişkin benzer güvenlik olayları en kısa sürede TGS Genel Sekreteri’ne bildirilmelidir.
• Veri imha süreci TGS’nin belirlendiği şekilde gerçekleştirilmelidir.
MADDE 6 : E-Posta Yönetim Politikası
E-posta yönetim süreci TGS’nin e-posta sistemlerinin doğru ve güvenli şekilde yönetilmesi için gereksinimleri düzenlemektedir. Söz konusu süreç kurumdaki mesajlaşma sistemlerini ve ilgili dış kaynak sistemleri kapsamaktadır.
• TGS tarafından kullanıcılara atanan e-posta adresleri ve mesaj alanları sadece iş amaçlı kullanılmalıdır. Kişisel e-posta adreslerinin kullanımı yasaktır.
• Şifreleme TGS’nin belirlediği standarda uygun şekilde yapılmalıdır.
• TGS kaynakları kullanılarak yetkisiz reklam, iş harici mesajlaşma, spam, politik kampanya ve iş süreçlerine aykırı her türlü kullanım yasaklanmıştır.
• E-posta sistemi gizli bilgi niteliğindeki bilginin iletilmesinde kullanılmayacaktır. Gizli bilginin e-posta kanalında iletilmesi kontrollü ve şifreli şekilde yapılmalıdır.
• TGS e-posta sistemleri, saldırgan, ırkçı, müstehcen veya kanun ve yönetmeliklere aykırı amaçlarda kullanılmamalıdır.
• TGS e-posta sisteminin kullanımı personel kurumda çalışırken aktif olmalıdır. İlişiğin kesilmesi ve işten ayrılma durumlarında kullanıcı hesapları pasifleştirilmelidir.
• Özel inceleme ve soruşturma durumlarında TGS e-postaların içeriğine erişim yetkisine sahiptir.
MADDE 7 : İnternet Erişim Yönetim Politikası
İnternet erişim yönetim süreci TGS’nin kaynakları kullanılarak gerçekleştirilen internet erişimlerinin doğru ve güvenli yapılması için gereksinimleri düzenlemektedir.
• 5651 numaralı “İnternet Ortamında Yapılan Yayınların Düzenlenmesine Dair Usul Ve Esaslar Hakkında” konulu yönetmelik kapsamında yasaklanan kategorilerdeki web sitelerine giriş engellenmelidir. Bu çerçevede 26.9.2004 tarihli ve 5237 sayılı Türk Ceza Kanununda yer alan aşağıdaki kanun maddelerine aykırı siteler yasaklanacaktır:
İntihara yönlendirme (madde 84),
Çocukların cinsel istismarı (madde 103, birinci fıkra),
Uyuşturucu veya uyarıcı madde kullanılmasını kolaylaştırma (madde 190),
Sağlık için tehlikeli madde temini (madde 194),
Müstehcenlik (madde 226),
Fuhuş (madde 227),
Kumar oynanması için yer ve imkân sağlama (madde 228),
25.7.1951 tarihli ve 5816 sayılı Atatürk Aleyhine İşlenen Suçlar Hakkında Kanun
• Kullanıcılar, TGS tarafından sunulmuş olan internet erişim, elektronik ve anlık mesajlaşma hizmetini TGS’nin belirlediği politikalar uyarınca iş amaçlı olarak kullanmalıdır.
• Kullanıcılar internet erişimlerinde TGS kültür ve saygınlığına uygun hareket etmekle yükümlüdür.
• İnternet trafiği güvenlik duvarlarında gözlemlenmelidir. Oluşacak saldırı veya tacizler TGS Genel Sekreteri ’ne bildirilmelidir.
• İnternet erişimi yoluyla elde edilen verilerin kullanımında, fikri mülkiyet hakkı kısıtlamalarına, kişisel verilerin korunması ilkelerine, gizlilik esaslarına, kullanım şartlarına ve Mevzuat hükümlerine uygun davranılmalıdır.
MADDE 8 : Zararlı Yazılımlara Karşı Korunma Yönetim Politikası
Zararlı yazılımlara karşı korunma yönetim süreci kurumda kullanılan masaüstü bilgisayar, dizüstü bilgisayar, akıllı telefonlar, tablet ve diğer mobil cihazları kapsamaktadır. İlgli maddelerin sağlanması kullanıcı sorumluluğundadır.
• TGS’de olan tüm bilgisayar, notebook ve tabletlerde lisanslı antivirus sistemi kullanılmalı ve en son sürümüyle güncellenmelidir.
• Kötü niyetli yazılım ve zararlı/mobil kod içerebilecek dosya türleri ve dosya türlerini barındıran kaynaklar çalıştırılmadan önce mutlaka antivürüs sisteminde taranarak güvenli olduğuna emin olundukran sonra dosya açılmalıdır.
• Taşınabilir cihazların dış ağdan erişimlerinde maruz kalabileceği saldırıları önlemek amacıyla kişisel güvenlik duvarları aktif olarak çalışmalıdır.
MADDE 9 : KVKK Uyumunun Sağlanması Politikası
7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) özel hayatın gizliliğini, kişilerin temel hak ve özgürlüklerini korumayı ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemeyi hedeflemiştir. Bu Politika ile kanuna uyum hedeflenmiştir.
Söz konusu süreç Sendika tarafından üretilen, işlediği, sahibi olduğu veya yönettiği tüm bilgileri kapsamaktadır.
• Kişisel verilerin Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak ve Sendikanın meşru menfaatleri ile kanunlardan doğan sendikal örgütlenme hakkını ihlal etmeyecek şekilde işlenmesi sağlanmalıdır.
• Sendikanın meşru menfaatlerini ve ilgili kanunlardan doğan sendikal örgütlenme hakkının ihlal edilmemesi hususu da gözetilerek, veri sahibinin hakları korunmalıdır; kişisel verilerinin hukuka aykırı olarak işlenmesi ve erişilmesi önlenmelidir, kişisel verilerin muhafazası sağlanmalıdır.
• Kişisel verilerin yurtdışına aktarılması, silinmesi, yok edilmesi veya anonim hale getirilmesi kanuna uygun olarak yönetilmelidir.
• Mevcut sözleşmeler Kanun’la uyumlu hale getirilmelidir.
• Veri sahibini aydınlatma ve açık rıza alma yükümlülükleri yerine getirilmelidir.
• Veri sahiplerinin başvurularını değerlendirme ve sonuçlandırma mekanizması olmalıdır.
• Sendika, Kanun uyarınca ve Kişisel Verileri Koruma Kurulu’nun 22/04/2020 Tarihli ve 2020/315 Sayılı Kararı doğrultusunda Veri Sorumluları Sicili’ne (VERBİS) kayıt işleminden muaftır.
• Kişisel Veri Güvenliğine sağlanmasına yönelik olarak idari ve teknik tedbirlerin alınması sağlanmalıdır.
• Süreç düzenli olarak en az yılda 1 (bir) kez olmak kaydıyla gözden geçirilmelidir.
MADDE 10 : Dış Kaynak Kullanım Yönetim Politikası
Dış kaynak kullanım yönetim süreci tedarikçiden güvenli hizmet alınabilmesi için tanımlanacak minimum güvenlik gereksinimlerini düzenlemektedir. Politika, şirketin BT hizmetlerini, fonksiyonlarını ve süreçlerini dış kaynağa devrettiği yapı ve tedarikçiyi kapsamaktadır.
• Riskler ve finansal etki değerlendirildikten sonra dış kaynak kullanımı gerçekleştirilmelidir.
• Dış firmayla çalışılmadan önce paylaşılacak bilgilerini gizliliğini korumak amacı ile mümkünse Gizlilik Taahhütnamesi imzalanması önerilir.
• Hizmet sağlayıcı seçilirken itibar, benzer hizmetlerde deneyim, teklif ve güvenceleri dikkate alınır.
• Servis sağlayıcılar kendi çalışanlarına, hizmet verdikleri şirketin bilgi güvenliği kurallarına uygun davranmaları konusundaki kişisel sorumluluklarını resmi olarak bildirmekle ve bu sorumluluklara uyumu garanti altına almakla yükümlüdür.