Şifre Politikası

[Şirket Logo]

[Şirket Adı]

ŞİFRE POLİTİKASI

Kod: [belge kodu]
Versiyon: [belge versiyon numarası]
Versiyon Tarihi: [versiyon tarihi]
Yazar: [yazar adı]
Onaylayan: [onaylayan adı]
Gizlilik Seviyesi: [gizlilik etiketi]

Değişiklik Geçmişi

İçindekiler

1. Amaç, Kapsam ve Kullanıcılar ……………………………………………………………………………………………. 3

2. Referans Belgeler …………………………………………………………………………………………………….. 3

3. Şifre Oluşturma Kuralları …………………………………………………………………………………………………… 3

4. Şifre Yönetimi ve Saklama …………………………………………………………………………………………………… 4

5. Şifre Değiştirme ve Güncelleme Prosedürü ………………………………………………………………………………. 4

6. Şifre İhlalleri ve Güvenlik Tedbirleri ………………………………………………………………………………………. 5

7. Erişim Denetimi ve İzleme …………………………………………………………………………………………………… 5

8. Geçerlilik ve Belge Yönetimi ……………………………………………………………………………………………….. 5

1. AMAÇ, KAPSAM VE KULLANICILAR

Amaç:
Bu politika, [Şirket Adı]’nın Bilgi Güvenliği Yönetim Sistemi (BGYS) kapsamında şifre kullanımını düzenler. Şifreler, bilgi sistemlerine erişimi koruyan temel güvenlik önlemleridir. Bu politika, şifrelerin oluşturulmasından yönetilmesine, korunmasından değiştirilmesine kadar olan süreçleri kapsar.

Kapsam:
Bu politika, tüm [Şirket Adı] çalışanları, yöneticileri, sistem yöneticileri, üçüncü taraf hizmet sağlayıcıları ve şirketin bilgi sistemlerine erişimi olan diğer tüm kullanıcılar için geçerlidir.

Kullanıcılar:
Bu politika, [Şirket Adı]’nın tüm çalışanları, sistem yöneticileri, yazılım geliştiricileri ve bilgi güvenliği ekipleri tarafından uygulanacaktır. Ayrıca, erişim izni verilen üçüncü taraflar ve dış hizmet sağlayıcıları da bu politikanın hükümlerine uymak zorundadır.

2. REFERANS BELGELER

• ISO/IEC 27001:2022 – Bilgi Güvenliği Yönetim Sistemi (BGYS)

• ISO/IEC 27002:2022 – Bilgi Güvenliği Kontrolleri

• KVKK (Kişisel Verilerin Korunması Kanunu)

• [Şirket Adı] İç Politika Belgeleri

3. ŞİFRE OLUŞTURMA KURALLARI

Şifrelerin güvenliğini sağlamak için aşağıdaki kurallar uygulanacaktır:

• Minimum Uzunluk: Şifreler en az 8 karakter uzunluğunda olmalıdır.

• Karakter Çeşitliliği: Şifreler, büyük harf, küçük harf, rakam ve özel karakterler içermelidir (örneğin: !, @, #, $).

• Kolay Tahmin Edilemezlik: Şifreler, kullanıcı adı, ad, soyad, doğum tarihi veya basit diziler gibi kolay tahmin edilebilecek bilgiler içermemelidir.

• Şifre Yenileme: Şifreler, her 90 günde bir yenilenmelidir.

• Şifre Tekrarı: Aynı şifre, farklı hesaplar için birden fazla kez kullanılmamalıdır.

• Şifreyi Paylaşmama: Şifreler, kullanıcılar arasında paylaşılmamalıdır. Her kullanıcı yalnızca kendi şifresini bilmelidir.

• Şifre Depolama: Şifreler, düz metin olarak saklanmamalıdır. Şifreler, güvenli şifreleme algoritmalarıyla korunmalıdır.

4. ŞİFRE YÖNETİMİ VE SAKLAMA

• Şifre Yönetimi: Tüm şifreler, güvenli bir şifre yönetim aracında saklanmalıdır. Şifrelerin manuel olarak yazılması veya e-posta ile gönderilmesi yasaktır.

• Şifre Depolama: Şifreler, güçlü şifreleme algoritmaları (AES, SHA-256 vb.) ile saklanmalıdır. Şifreler, sistemin dışında ya da dışarıya aktarılabilir ortamlarda tutulmamalıdır.

• Şifre İptali: Kullanıcılar şirketten ayrıldığında, ilgili tüm şifreler hemen devre dışı bırakılmalı ve erişim hakları kaldırılmalıdır.

5. ŞİFRE DEĞİŞTİRME VE GÜNCELLEME PROSEDÜRÜ

• Şifre Değiştirme:

  • Kullanıcılar, her 90 günde bir şifrelerini değiştirmelidir.

  • Şifreler, şüpheli bir durumda (örneğin, şifre ihlali) hemen değiştirilmelidir.

  • Şifrelerin değiştirilmesi, kullanıcılar tarafından yapılmalıdır ve sisteme giriş sırasında kullanıcıya bildirilmelidir.

• Şifre Güncellemeleri:

  • Şifreler, sadece güvenli ve onaylanmış bir platform üzerinden güncellenebilir.

  • Şifre değiştirme işlemi, kullanıcıyı kimlik doğrulama adımlarından geçirmelidir (örneğin, e-posta doğrulama veya iki faktörlü kimlik doğrulama).

6. ŞİFRE İHLALLERİ VE GÜVENLİK TEDBİRLERİ

• Şifre İhlali Tespiti:

  • Herhangi bir şifre ihlali, bilgi güvenliği ekibi tarafından derhal tespit edilip raporlanmalıdır.

  • Şüpheli erişim girişimleri, güvenlik sistemleri tarafından izlenmeli ve kaydedilmelidir.

• İhlal Durumunda Alınacak Önlemler:

  • Şifre ihlali tespit edilen kullanıcının erişimi, geçici olarak askıya alınmalıdır.

  • İlgili şifreler derhal değiştirilmelidir.

  • İhlalin kaynağı araştırılmalı ve gerekirse yasal işlem başlatılmalıdır.

• Şifre Güvenliği İhlalleri Sonrası Bildirim:

  • Şifre ihlali durumunda, etkilenen kullanıcılar derhal bilgilendirilmeli ve gerekli güvenlik önlemleri alınmalıdır.

7. ERİŞİM DENETİMİ VE İZLEME

• Erişim İzleme:

  • Tüm şifreli girişler ve erişim işlemleri kaydedilmeli ve izlenmelidir.

  • Erişim günlükleri düzenli olarak incelenmeli ve olası güvenlik ihlalleri tespit edilmelidir.

• Güvenlik Denetimleri:

  • Şifre güvenliği, düzenli olarak denetlenmeli ve güvenlik açığı bulunan durumlar belirlenerek hızlıca çözülmelidir.

8. GEÇERLİLİK VE BELGE YÖNETİMİ

Geçerlilik:
Bu politika, [Şirket Adı]’nın bilgi güvenliği yönetim süreçleriyle uyumlu olarak tüm çalışanlar ve sistem kullanıcıları için geçerlidir.

Belge Yönetimi:
Bu belge, [Şirket Adı]’nın bilgi güvenliği yönetim sistemine uygun olarak belirli aralıklarla gözden geçirilecek ve güncellenmesi gereken durumlarda revize edilecektir. Herhangi bir değişiklik veya güncelleme, BGYS tarafından onaylanacak ve gerekli yerlerde uygulanacaktır.

Onay:
[Onaylayan Adı ve Unvanı]
[Onay Tarihi]

Gizlilik Düzeyi:
[Belge Gizlilik Düzeyi] – [Örnek: Dahili Kullanım]

Bu Şifre Politikası, [Şirket Adı]’nın bilgi güvenliği standartlarına uygun bir şekilde şifrelerin güvenliğini sağlamayı amaçlamakta ve tüm kullanıcıların şifre güvenliği hususlarına dikkat etmelerini sağlamaktadır. Şifreler, her zaman en yüksek güvenlik önlemleriyle korunmalı ve güvenlik standartlarına uygun olarak yönetilmelidir.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi: Kapsamlı Uygulama Rehberi