Bilgi Güvenliği ve Gizlilik Politikası
ULAK Haberleşme A.Ş., uçtan uca yerli ağ teknolojileri geliştirmek, Yerli ve Milli imkanlarla geliştirilen mevcut 4.5G teknolojilerini sürdürülebilir kılmak, gelişen teknoloji ve uygulamaların doğuracağı gereksinimleri karşılama doğrultusunda, 5G ve sonrası için dünya standartlarında yenilikçi, dinamik ve yaratıcı, AR-GE'ye dayalı çözümler üretmek, geniş bant iletişim teknolojileri konusunda katma değeri yüksek çalışmalar gerçekleştirerek, patent ve IPR üretmek, yerli ve dost ülkelerdeki ekosistemi ile birlikte Haberleşme Teknolojileri'nin gelişimine katkı sağlamak olan Ulak Haberleşme A.Ş. tarafından, üretilen, saklanan, iletilen vb. şekillerde işlenen bilginin ve iş süreçlerinin büyük çoğunluğu bu bilgilerin işlendiği bilgi ve iletişim sistemlerine bağımlıdır.
Bilgi güvenliği ve gizliliğin genel amacı; ilgili yasalar ve sözleşmeler çerçevesinde tüm tarafların bilgi güvenliği ve gizlilik farkındalığı arttırılarak hassas kuruluş bilgilerinin ve kişisel verilerin, gizliliğini, bütünlüğünü ve bu bilgileri barındıran veya bilgilerin işlenmesinde kullanılan bilgi ve iletişim sistemlerinin erişilebilirliğini uygun düzeyde sağlamaktır. Bu düzey, mevcut bilgi güvenliği ve gizlilik tehditleri göz önünde bulundurularak Kuruluş bilgi varlıkları ve hizmetleri açısından riskler ve önlemler arasında uygun bir denge sağlayan bilgi güvenliği ve gizlilik risk yönetimiyle belirlenir.
Temel Prensipler
- Çalışanlar, müşteriler ve üçüncü taraflarla Kuruluşun gizlilik ihtiyaçlarını güvence altına almayı amaçlayan gizlilik anlaşmaları yapılır.
- Dış kaynak kullanım durumlarında oluşabilecek güvenlik gereksinimleri analiz edilerek güvenlik şart ve kontrolleri şartname ve sözleşmelerde ifade edilir.
- Bilgi varlıklarının ve kişisel verileri işleme envanteri bilgi güvenliği ve gizlilik yönetim ihtiyaçları doğrultusunda oluşturulur.
- Kurumsal veriler sınıflandırılır ve her sınıftaki verilerin güvenlik ihtiyaçları ve kullanım kuralları belirlenir.
- İşe alım, görev değişikliği ve işten ayrılma süreçlerinde uygulanacak bilgi güvenliği ve gizlilik kontrolleri belirlenir.
- Güvenli alanlarda saklanan varlıkların ihtiyaçlarına paralel fiziksel güvenlik kontrolleri belirlenir.
- Bilgi güvenliği ve gizlilik rolleri ve sorumlulukları görevlerin ayrılığı ilkesine göre belirlenir.
- Proje türüne bakılmaksınız tüm projelerde bilgi güvenliği ve gizlilik esasları göz önünde bulundurulur.
- Bilgi güvenliği ve gizliliğin sağlanması için otoriteler ve özel ilgi grupları ile iletişim düzenli olarak sağlanır.
- Kuruluş varlıkları sadece varlık sahibinin belirlediği amaçlar ile yasalar ve sözleşmelere uygun olarak kullanılır.
- Tedarikçi ilişkilerinde bilgi güvenliği ve gizlilik ve iş sürekliliği için prosedürler kapsamında testler ve değerlendirmeler yaparak kontrol altında tutulur.
- Uzaktan çalışma esasları için teknik ve fiziksel koruma önlemleri, kurumsal riskler göz önünde bulundurularak oluşturulur.
- Kuruluşa ait bilgi varlıkları için Kuruluş içinde ve dışında maruz kalabilecekleri fiziksel tehditlere karşı gerekli kontrol ve politikalar geliştirilir.
- Kapasite yönetimi, üçüncü taraflarla ilişkiler, yedekleme, sistem kabulü ve diğer güvenlik süreçlerine ilişkin prosedür ve talimatlar geliştirilir.
- Kişisel veri güvenlik süreçlerine ilişkin idari ve teknik prosedür ve talimatlar geliştirilir ve yönetilir.
- Ağ cihazları, işletim sistemleri, sunucular ve uygulamalar için denetim kaydı üretme konfigürasyonları ilgili sistemlerin güvenlik ihtiyaçlarına paralel biçimde ayarlanır. Denetim kayıtlarının yetkisiz erişime karşı korunması sağlanır.
- Erişim hakları ihtiyaç nispetinde atanır. Erişim kontrolü için mümkün olan en güvenli teknoloji ve teknikler kullanılır.
- Sistem temini ve geliştirilmesinde güvenlik gereksinimleri belirlenir, sistem kabulü veya testlerinde güvenlik gereksinimlerinin karşılanıp karşılanmadığı kontrol edilir.
- Bilgi güvenliği ve gizlilik ihlal olayları ve zayıflıklarının raporlanması için gerekli altyapı oluşturulur. İhlal olay kayıtları tutulur, gerekli düzeltici ve iyileştirici faaliyetler uygulanır ve düzenlenen farkındalık eğitimleri vasıtasıyla güvenlik olaylarından öğrenme sağlanır.
- Kritik altyapı için süreklilik planları hazırlanır, bakımı ve tatbikatı yapılır.
- Varlıkların kabul edilebilir kullanım kuralları EYS kapsamında hazırlanan politika ve prosedürler ile belirlenir.
- Taşınabilir cihazların ve ortamların güvenliği için teknik ve fiziksel koruma önlemleri kurumsal riskler göz önünde bulundurularak oluşturulur.
- Kuruluş iş süreçlerinde kullanılan cihazların bakımları cihaz üreticilerinin önerdiği koşullara göre yapılır.
- Kullanıcı gizli kimlik bilgilerinin önemi göz önünde bulundurularak, gizli bilginin korunması için nitelikli parola kullanımı ve kimlik bilgi girişlerinin şifreli iletimleri sağlanır.
- Ağlar çalışma yapılarına göre ayrılarak erişim izinleri ihtiyacı kadar prensibine göre yapılandırılır.
- Kötü niyetli yazılımlardan korumak için teknik açıklıkların kontrolü, yama yönetimi, zararlı yazılım tespit ürünlerinin kullanımı yanında kullanıcılarında duyarlılığı koruma sisteminin bütünlüğünü sağlayan bir unsur olarak kabul edilir.
- Kişisel verilerin işlenme amacından daha uzun süre tutulmamayı.
- Kişisel verilerin ele geçirilmesine engel olunması için gerekli tüm idari ve teknik tedbirleri almayı.
- Kişisel verilerin silinmesine ilişkin sözleşme veya yasal gereklilikleri sağlamayı.
- Bilgi güvenliği ve gizlilik politikalarının geliştirilmesi ve sürdürülmesi sırasında, yürürlükte olan kişisel veri koruma mevzuatını ve/veya düzenlemelerini göz önünde bulundurmayı.
- Bilgi güvenliği ve gizlilik farkındalığını artırmak amacıyla teknik ve davranışsal yetkinlikleri geliştirecek eğitimleri gerçekleştirmeyi.
- Yasalar ve güvenlik önlemleri gerekliliği olarak iz kayıtları saklanır ve düzenli olarak incelenir.