Erişim Kontrol Politikası
[Şirket Logo]
[Şirket Adı]
ERİŞİM KONTROL POLİTİKASI
Kod: [belge kodu]
Versiyon: [belge versiyon numarası]
Versiyon Tarihi: [versiyon tarihi]
Yazar: [yazar adı]
Onaylayan: [onaylayan adı]
Gizlilik Seviyesi: [gizlilik etiketi]
Değişiklik Geçmişi
| Tarih | Versiyon | Oluşturan | Yapılan Değişiklikler |
|---|---|---|---|
| [Tarih] | 0.1 | [Yazar Adı] | Temel belge taslağı |
İçindekiler
-
Amaç, Kapsam ve Kullanıcılar ……………………………………………………………………………………………. 3
-
Referans Belgeler …………………………………………………………………………………………………….. 3
-
Erişim Kontrol İlkeleri ……………………………………………………………………………………………………. 3
3.1. Erişim Kontrolü Genel İlkeleri ……………………………………………………………………………………………….. 3
3.2. Erişim Yetkilendirme ve Rol Tabanlı Erişim Kontrolü (RBAC) ………………………………………………………… 4
3.3. Erişim İzleme ve Denetim ………………………………………………………………………………………………… 4
3.4. Şifreleme ve Kimlik Doğrulama …………………………………………………………………………………………….. 5 -
Erişim İhlalleri ve Yönetimi …………………………………………………………………………………………………. 5
-
Geçerlilik ve Belge Yönetimi …………………………………………………………………………………………. 5
1. AMAÇ, KAPSAM VE KULLANICILAR
Amaç:
Bu politika, [Şirket Adı]’nın Bilgi Güvenliği Yönetim Sistemi (BGYS) çerçevesinde, bilgi sistemlerine erişimin kontrol edilmesini, yönetilmesini ve denetlenmesini sağlamak amacıyla hazırlanmıştır. Erişim kontrolü, yalnızca yetkili kişilerin gerekli bilgilere ulaşmasını sağlayarak güvenlik risklerini azaltmayı hedefler.
Kapsam:
Bu politika, tüm bilgi sistemleri, ağlar, uygulamalar, veritabanları ve fiziksel alanlar için erişim kontrol süreçlerini kapsar. Politika, şirket içindeki tüm çalışanlar, üçüncü taraf hizmet sağlayıcıları ve dış kullanıcılar için geçerlidir.
Kullanıcılar:
Bu politika, tüm çalışanlar, yönetim, bilgi güvenliği ekipleri, sistem yöneticileri, dış hizmet sağlayıcılar ve herhangi bir erişim izni verilen kişiler tarafından izlenmelidir. Bu kişilerin, erişim kontrol politikalarına ve prosedürlerine tam uyum göstermeleri zorunludur.
2. REFERANS BELGELER
-
ISO/IEC 27001:2022 – Bilgi Güvenliği Yönetim Sistemi (BGYS)
-
ISO/IEC 27002:2022 – Bilgi Güvenliği Kontrolleri
-
KVKK (Kişisel Verilerin Korunması Kanunu)
-
Elektronik İletişim Güvenliği Yönetmeliği
-
[Şirket Adı] İç Politika Belgeleri
3. ERİŞİM KONTROL İLKELERİ
3.1 Erişim Kontrolü Genel İlkeleri
Erişim kontrolleri, bilgi sistemlerine yalnızca yetkilendirilmiş kullanıcıların erişmesini sağlamak için uygulanır. Erişim kontrolü şu temel ilkelerle yönetilir:
-
İhtiyaç temelli erişim: Kullanıcılar yalnızca işlerini yapmak için gerekli olan verilere erişebilir.
-
Minimum ayrıcalık ilkesi: Kullanıcılara, yalnızca görevlerini yerine getirebilmeleri için gerekli olan erişim hakları verilir.
-
Zaman sınırlı erişim: Kullanıcıların erişim izinleri, belirli bir süreyle sınırlıdır ve belirli bir süre sonunda otomatik olarak yenilenmesi gerekir.
-
Çift doğrulama (2FA): Kullanıcıların erişim sağlamak için çift doğrulama yöntemi kullanmaları gerekmektedir.
3.2 Erişim Yetkilendirme ve Rol Tabanlı Erişim Kontrolü (RBAC)
Erişim yetkilendirmesi, kullanıcılara verilen görev ve roller doğrultusunda yapılır. Rol tabanlı erişim kontrolü (RBAC), her bir kullanıcının yalnızca rolü gerektiren bilgilere erişmesini sağlayacak şekilde yapılandırılır. RBAC şu şekilde uygulanır:
-
Her kullanıcıya, iş fonksiyonları ve sorumluluklarına göre bir rol atanır.
-
Kullanıcıların erişebileceği kaynaklar, görevlerine dayalı olarak belirlenir.
-
Kullanıcıların erişim izinleri düzenli olarak gözden geçirilir ve güncellenir.
3.3 Erişim İzleme ve Denetim
Erişim kontrol mekanizmalarının etkinliğini sağlamak için, tüm erişim işlemleri izlenmeli ve denetlenmelidir. Bu süreçler şunları içerir:
-
Erişim günlükleri: Kullanıcı erişimleri, kimlik doğrulama girişimleri, yetkisiz erişim denemeleri ve diğer kritik aktiviteler kaydedilir.
-
Düzenli denetimler: Erişim izinleri ve erişim aktiviteleri düzenli olarak denetlenir ve inceleme sonuçları raporlanır.
-
Erişim ihlalleri: İzleme sürecinde herhangi bir erişim ihlali tespit edilirse, olaylar hızla çözülmeli ve iyileştirme önlemleri alınmalıdır.
3.4 Şifreleme ve Kimlik Doğrulama
Erişim kontrollerinin sağlanabilmesi için şifreleme ve güçlü kimlik doğrulama yöntemleri kullanılmalıdır. Kullanıcıların kimlik doğrulaması şu yöntemlerle yapılabilir:
-
Şifreli kimlik doğrulama: Kullanıcı adı ve şifre ile yapılan doğrulama işlemi güvenli hale getirilmelidir.
-
Çift faktörlü doğrulama (2FA): Kullanıcılar, sisteme giriş yaparken iki aşamalı doğrulama kullanmalıdır.
-
Biyometrik doğrulama: Gerekli durumlarda, biyometrik doğrulama yöntemleri kullanılabilir (parmak izi, yüz tanıma vb.).
4. ERİŞİM İHLALLERİ VE YÖNETİMİ
Erişim İhlalleri:
Erişim kontrol politikalarına uyumsuzluk durumunda, derhal bilgi güvenliği ekibi bilgilendirilmelidir. Erişim ihlali durumlarında, olası zararları minimize etmek için gerekli düzeltici işlemler yapılmalıdır. İhlallerin tespiti sonrası hızlı müdahale için bir izleme ve alarm sistemi kurulmalıdır.
Erişim İhlali Cezaları:
Erişim kontrol politikasına aykırı hareket eden çalışanlar, şirket içindeki disiplin prosedürlerine tabi tutulacaktır. İhlallerin tekrarı durumunda, yasal işlemler başlatılabilir.
5. GEÇERLİLİK VE BELGE YÖNETİMİ
Geçerlilik:
Bu politika, [Şirket Adı]’nın bilgi güvenliği yönetim süreçleriyle uyumlu olarak tüm şirket çalışanları ve üçüncü taraf hizmet sağlayıcıları için geçerlidir.
Belge Yönetimi:
Bu belge, [Şirket Adı]’nın bilgi güvenliği yönetim politikaları çerçevesinde düzenli olarak gözden geçirilecek ve gerekli durumlarda güncellenecektir. Herhangi bir güncelleme, BGYS tarafından yönetilen belgelendirme süreçlerine uygun olarak yapılacaktır.
Onay:
[Onaylayan Adı ve Unvanı]
[Onay Tarihi]
Gizlilik Düzeyi:
[Belge Gizlilik Düzeyi] – [Örnek: Dahili Kullanım]
Bu belge, [Şirket Adı]’nın bilgi güvenliği yönetim sisteminin bir parçası olarak, erişim kontrolüne yönelik tüm prosedürleri ve uygulamaları içermektedir. Erişim kontrolü ile ilgili tüm çalışanlar, üçüncü taraflar ve hizmet sağlayıcılar, bu politikanın gerekliliklerine uymak zorundadır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi: Kapsamlı Uygulama Rehberi
