BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ UYGULAMA POLİTİKAMIZ


Bilgi Güvenliği Yönetim Sistemi (BGYS) politikamızın belirlenmesinin amacı; İzmit Makine içerisinde bilgi sistemlerinin güvenliğinin sağlanması için asgari uyulması gereken kuralları içermektedir.

Aşağıdaki politikalar belirtilen amaçları taşımaktadır.

Bilgi sistemlerinde paylaşılmakta olan her türlü verinin güvenliğini sağlamak,

İş devamlılığını sağlamak ve güvenlik ihlalinden kaynaklanabilecek kanuni riskleri en aza indirmek,

Şirketin itibarını ve yatırımlarını korumak,

Politikalar bilgi sistemleri tasarlarken veya işletirken uyulması gereken kuralları açıklamaktadır.

Bu doküman firma içerisinde çalışan her personeli bağlayıcı niteliktedir. Politikaların ihlali durumunda gerektiğinde şirket içinde ihlalde bulunan adına yasal işlem yapılabilir.

1.    E-Posta Politikası

Bu politika şirket içerisinde e-posta altyapısına yönelik kuralları içermektedir. Şirket içerisinde kullanılan e-posta hesapları şirket kimliği taşımaktadır. Şirket bünyesinde oluşturulan e-posta hesaplarının tüm personeller için doğru kullanımını kapsamaktadır. 

1.1.    Yasaklanmış Kullanımlar

1.1.1.    Şirketin e-posta sistemi, taciz, suiistimal veya herhangi bir şekilde alıcının haklarına zarar vermeye yönelik öğeleri içeren mesajların gönderilmesi için kesinlikle kullanılamaz.

1.1.2.    Mesajların gönderilen kişi dışında başkalarına ulaşmaması için gönderilen adrese ve içeriğe azami derecede özen gösterilmesi gerekir.

1.1.3.    Şirket içindeki gizli bilgiler mesajlaşma yoluyla veya eklenerek gönderilemez.

1.1.4.    Mesajlara eklenmiş çalıştırılabilir dosya içeren e-postalar alındığında hemen silinmeli ve kesinlikle başkalarına iletilmemelidir.

1.1.5.    Spam, zincir e-posta, sahte e-posta vb. zararlı ve şüpheli postalara yanıt yazılmamalıdır.

1.1.6.    Kullanıcıların kullanıcı bilgilerinin (kullanıcı adı, şifre vb) yazılmasını isteyen e-postalar alındığında derhal alıcı tarafından silinmelidir.

1.1.7.    Çalışanlar e-posta ile uygun olmayan içerikler (pornografi, ırkçılık, siyasi propaganda vb.) gönderemezler.

1.2.    Kişisel Kullanım,

1.2.1.    Çalışanlara verilen e-postalar firma içi ve dışı iletişim için verilmiştir. Kişisel amaçlı mesajlaşmalar olabildiğince makul seviyelerde tutulmalıdır. 

1.2.2.    Şirket dışına atılan her e-postanın atında “gizlilik notu” ve sorumluluk notu” yer almalı, Şirket bu e-posta içeriğinden ve niteliğinden dolayı sorumlu tutulamayacağı belirtilmelidir.

1.2.3.    Personel kendi kullanımı için verilen kullanıcı adını ve şifresini başkaları ile paylaşmamalı, kullanımı için başkasına vermemelidir.

1.2.4.    Şirket çalışanları mesajlarını düzenli olarak kontrol etmeli, firmaya ait mesajlara cevap vermelidir.

1.2.5.    Şirket çalışanları, firmaya ait maillerin şirket dışındaki kişiler ve yetkisiz kişilerce görülmesini engellemelidir.

1.2.6.    Kişiye verilmiş olan kurumsal e-posta hesabı gerektiğinde firmada yetkilendirilmiş kişiler tarafından denetlenebilir.

1.2.7.  Hazırlanan e-posta sistemi virüs, solucan, truva atı veya diğer zararlı kodlar bulaşmış e-postaları tarayacak ve gerektiğinde tehlikeleri ortadan kaldıracak anti-virüs ve anti-spam çözümleri bulunmaktadır. Şirket dışına atılan her e-postanın adında “gizlilik notu” ve sorumluluk notu” yer almakta ve şirketin bu e-posta içeriğinden ve niteliğinden dolayı sorumlu tutulamayacağı belirtilmektedir. Bilgi teknolojileri sorumlusu mail altyapısının güvenli ve sorunsuz çalışmasından sorumludur.

1.2.8.   Elektronik postaların sık sık gözden  geçirilmesi, gelen mesajların uzun süreli olarak genel elektronik posta sunucusunda  bırakılmamalı ve kişisel klasöre çekilmesi gereklidir.

1.2.9.   E-posta adresine sahip kişi işten ayrıldığında (emekli olma, işten ayrılma  vb.nedenlerle) kuruluştaki değişikliği BT ekibine bildirilmesi gereklidir. 

2.    Şifre Politikası

Bu politikanın amacı güçlü bir şifreleme oluşturulması, oluşturulan şifrenin korunması ve şifrenin değiştirilme sıklığı hakkında standartlar oluşturulmasıdır.

Kullanıcıların şirket içerisinde kullanmış olduğu şifreler, bilgi güvenliği kapsamında kullanıcı hesapları için ilk güvenlik katmanıdır. Şirket çalışanları ve uzak noktadan erişenler aşağıda belirtilen kurallar dahilinde şifreleme yapmakla yükümlüdür.

2.1.    Kurallar

2.1.1  Bütün sistem seviyeli şifreler (root, administrator vb.) en az 4 ayda bir değiştirilmektedir.

2.1.2. Şifreler en az 8 karakter olmalıdır. En az bir karakter BÜYÜK HARF, En az bir küçük karakter ve imla işareti ve sayılardan oluşmalıdır.

2.1.3. Bütün kullanıcı seviyeli şifreler (e-posta, masaüstü bilgisayar (masaüstü bilgisayarlarda şifreleme yok.) vb) en az ayda bir kere değiştirilmektedir. Şifre değiştirme uyarısı kullanıcıya 7 gün önceden bildirilir. 

2.1.4. Sistem yöneticileri her sistem için farklı kendi şifreleri kullanmaktadır.

2.1.5.  Hiçbir kullanıcı, adını ve kullanıcı ile ilgili bir bilgiyi(adını, soyadını, doğum tarihini, telefon numarasını, anne adı vs)parola olarak kullanmamalıdır.

2.1.6.   Şifreler e-posta veya herhangi bir elektronik forma eklenmemektedir.

2.1.7.   Kurum dışındaki destek firmalarına verilen şifreler kırılmayacak derecede güçlü şifreler olarak seçilmektedir.

2.1.8.   Şifreleri ilgili kişiye “kişiye özel” olarak gönderilmektedir.

2.1.9.   Şifrelerin unutulması konusu IT tarafından çözümlenmiştir.

3.    Active Directory, Exchange, Veritabanı Sunucuları, Diğer Sunucular, Modemler, Switch ve Router, Santral, Virüs Programı, Toplu Mail Yazılımı Erişim Şifreleri, kapalı bir zarfta, imzalı olarak firmanın kasasında saklanmalı ve gereksiz yere açılmamalıdır. Zarfın açılması durumunda, firma yetkilileri de bilgilendirilmelidir. Veya şifreler sistem üzerinde 3. Parti yazılım üzerinde tutulmalı ve bu yazılıma erişim firma yetkilileri tarafından belirlenmelidir.

Aşağıdaki faaliyetleri gerçekleştirmek kesinlikle yasaktır.

•    Herhangi bir kişiye telefonda şifre vermek,

•    E-posta mesajlarında şifre belirtmek,

•    Üst Yöneticinize şifreleri söylemek,

•    Başkaları önünde şifreler hakkında konuşmak,

•    Aile isimlerini şifre olarak kullanmak,

•    Şifreleri, işten uzakta olunduğunda, iş arkadaşların a bildirmek

•        Uygulamalardaki  “şifre hatırlatma “ özelliklerini seçmek.

•    Uzaktan Erişen Kullanıcılar İçin Şifre Kullanımı;

•    Uzaktan erişen kullanıcılar, firma personeli olduğu için uzaktan erişim parolaları yukarıda belirtilen kurallara tabidir.

4.    Anti-Virüs Politikası

Bu politika şirket içindeki tüm pc-tabanlı bütün bilgisayarları kapsamaktadır. Bunlar tüm masaüstü ve dizüstü bilgisayar ve sunuculardır.

Tüm bilgisayarlar ve sunucularda anti-virüs yazılımı yüklüdür. Güncellemeleri, otomatik olarak yapılmakta yapılmaktadır. Sistem yöneticileri anti virüs yazılımının sürekli olarak çalışır durumda olmasından ve güncellenmesinden sorumludur.  Kullanıcıların bilgisayarından anti virüs yazılımını kaldırmaları engellenmiştir. Virüs bulaşan bilgisayar tam olarak temizlenmeden ağa eklenmemelidir.

5.    İnternet Erişim ve Kullanım Politikası

Bu politikanın amacı internet kullanıcılarının güvenli internet erişimi için gerekli olan kuralları kapsamaktadır. İnternet erişim ve kullanım politikası kapsamı:

5.1.    Şirketin içerişinden kullanıcıların internet erişimi bir firewall üzerinden sağlanmaktadır.

5.2.     İhtiyaç doğrultusunda içerik filtrelenmeli ve istenmeyen, yasaklı ve operasyonel ihtiyaç dışında kalan onaysız siteler engellenmelidir.

5.3.    Hiçbir kullanıcı peer-to-peer (Uçtan Uca İletişim) yoluyla (kaza, emula, limewire vb) internete bağlanamamaktadır.

5.4.    Bilgisayarlar üzerinden mesajlaşma ve sohbet programları kullanılmamaktadır ve bunlar vasıtasıyla dosya transferi yapılamamaktadır.

5.5.    Çalışma saatleri içerisinde aşırı şekilde iş ile ilgisi olmayan sitelerde gezinmek yasaklanmıştır.

5.6.    Genel ahlak ilkelerine aykırı internet sitelerine girilmesi ve dosya indirilmesi yasaklanmıştır.

5.7.    İş ile ilgili olmayan (müzik, video vb.) yüksek hacimli dosyalar göndermek ve indirmek yasaklanmıştır.

5.8.    İnternet üstünden kurum tarafından onaylanmamış yazılımlar indirilememektedir ve bilgisayarlara kurulamamaktadır. Bu gibi ihtiyaçlarda bilgi sistemleri çalışanlarından onay alınmalıdır.

5.9.    Üçüncü kişilerin kurum içerisinden internet ihtiyaçları “misafir ağı” üzerinden kontrollü şekilde şirket ağına bağlanmadan sağlanmaktadır.

6.    Genel Konfigürasyon Kuralları

6.1.    Sunucular üzerindeki kullanılmayan servisler ve uygulamalar kapatılmaktadır.

6.2.    Uygulama servislerine erişimler log’ lanmakta ve erişim kontrol logları incelenmektedir.

6.3.    Sunucu üstünde çalışan işletim sistemlerinin, hizmet sunucu yazılımlarının, yönetim yazılımlarının vb. koruma amaçlı yazılımların kontrollü sürekli güncellenmesi yapılmaktadır. 

6.4.    Anti virüs güncellemeleri otomatik, yama güncellemeleri sistem yöneticileri tarafından kontrollü şekilde yapılmaktadır. 

6.5.    Sistem ve uygulama yöneticileri gerekli olmadıkça “administrator”, “root” vb kullanıcı hesaplarını kullanmamaktadırlar. Gerekli yetkilerin verildiği kendi kullanıcı hesaplarını kullanmaktadırlar. Önce kendi kullanıcı hesapları ile giriş yapıp daha sonra genel yönetici hesaplarına geçiş yapmaktadırlar.

6.6.    Sunucular fiziksel olarak korunmuş sistem odasında korunmaktadırlar.

Telefonlar mevcut sisteme bağlanmamaktadır sadece telefon vb gibi cihazlar MİSAFİR AĞINA bağlanmaktadır. Sadece BT bölümü tarafından belirlenmiş kişiye özel şifre ile bağlanmaktadır.

Bu ağ Gelen Misafirler içinde geçerlidir. 

Uzaktan Erişen Kullanıcılar İçin Şifre Kullanımı;

Anydesk ve teamviewer programı ile bağlanmaktadır bu programlar karşı taraf bağlanmak isteği gönderir kullanıcı onay verirse bağlanır. 

Uzaktan erişen kullanıcılar, şirket personeli olduğu için uzaktan erişim parolaları yukarıda belirtilen kurallara tabidir.

7.    Ağ Cihazları Güvenlik Politikası

Bu politika kurumun ağındaki yönlendirici (router) ve anahtarların (switch) sahip olması gereken minimum güvenlik konfigürasyonlarını tanımlamaktadır.

7.1.    Bilgisayar ağında bulunan tüm cihazların IP ler otomatik olarak server tarafından verilmektedir.

7.2.    Yönlendirici giriş portuna gelen geçersiz IP adresleri yasaklanmıştır.

7.3.    Yönlendirici ve anahtarlarda çalışan güvenli web servislerine erişim sadece bilgi işlem çalışanlarına verilmektedir.

7.4.    İhtiyaçlar kontrollü şekilde eklenmektedir.

7.5.    Yazılım ve firmware’ ler ilk önce test ortamlarında denendikten sonra çalışma günlerinin veya saatlerinin dışında çalışan yapıya ortamına taşınmaktadır.

7.6.    Cihazlar üzerinde varsayılan servisler kapatılacaktır. 

“Bu cihaza yetkisiz erişimler yasaklanmıştır. Bu cihaza erişim ve konfigürasyon için yasal hakkınızın olması gerekmektedir. Aksi halde gerekli yasal takip ve işlemler yapılabilir.”

8.    Ağ Yönetimi Politikası

8.1.    Bilgisayar ağlarının ve bağlı sistemlerinin iş sürekliliğini sağlamak için yedeklilik sağlanmaktadır. Sadece server içinde bulunan datalar yedeklenmektedir.

8.2.     Ağ üzerinde kullanıcının erişebileceği servisler kısıtlanmaktadır.

8.3.     Sınırsız ağ dolaşımı engellenmiştir.

8.4.     İzin verilen kaynak ve hedef ağlar arası iletişimi aktif olarak kontrol eden teknik önlemler alınmıştır (Firewall vb.).

8.5.     Ağ erişimi VLAN gibi ayrı mantıksal alanlar oluşturularak sınırlandırılmıştır.

8.6.     Uzaktan teşhis ve müdahale için kullanılacak portların güvenliği sağlanmıştır.

8.7.     Ağ bağlantıları periyodik olarak kontrol edilmelidir.

8.8.    Bilgisayar ağına bağlı bütün makinelerde kurulum ve konfigürasyon parametreleri kurumun güvenlik politika ve standartlarıyla uyumlu olarak yapılmaktadır.

8.9.    Bilgisayar ağındaki adresler, ağa ait konfigürasyon ve diğer tasarım bilgileri 3. şahıs ve sistemlerin ulaşamayacağı bir şekilde saklanmaktadır.

8.10.    Firewall olarak kullanılan cihazlar başka amaç için kullanılmamaktadır. 

9.    Uzaktan Erişim Politikası

Bu politikanın amacı herhangi bir yerden şirketin bilgisayar ağına erişilmesine ilişkin standartları saptamaktır. Bu standartlar yetkisiz kullanımdan dolayı kuruma gelebilecek potansiyel zararları en aza indirmek için tasarlanmıştır. 

9.1.    Uzaktan erişim güvenliği sıkı bir şekilde denetlenmektedir. 

9.2.    Şirket çalışanları hiçbir şekilde kendilerinin login ve e-posta şifrelerini hiç kimseye vermemelidirler.

9.3.    Şirketin ağına uzaktan bağlantı yetkisi verilen çalışanlar veya diğer kişiler bağlantı esnasında aynı anda başka bir ağa bağlı olmadıklarını kontrol etmelidirler. Tamamıyla kullanıcının kontrolünde olan ağlar için bu kural geçerli değildir. 

9.4.    Çalışanlar şirket ile ilgili yazışmalarında kurum dışındaki e-posta hesaplarını kullanamazlar.

9.5.    Uzaktan erişim ile şirkete erişen bütün bilgisayarlar en son güncellenmiş anti virüs yazılımına sahip olmalıdır.

10.    Kablosuz İletişim Politikası

Bu politika şirket bünyesinde kullanılabilecek bütün kablosuz haberleşme cihazlarını (dizüstü bilgisayar, cep telefonları, PDA vs.) kapsamaktadır. Kablosuz cihazların gerekli güvenlik tedbirleri alınmaksızın firmanın bilgisayar ağına erişimini engellemeyi amaçlamaktadır.

10.1.    Güçlü bir şifreleme ve erişim kontrol sistemi kullanılmaktadır.

10.2.    Erişim cihazları, fiziksel olarak kolay erişilebilecek bir yerde olmaması sağlanmıştır.

10.3.    Erişim cihazları bir yazılım aracılığıyla düzenli olarak kontrol edilmektedir.

11.     İş Sürekliliği Politikası

Bilgi güvenliği ve iş sürekliliğiyle ilgili standartları belirlemektedir.

İş süreçlerinin devam ettirilebilmesi veya olağan üstü bir durumda tekrar çalışır hale getirilmesi, personelin alternatif çalışma ortamına naklinden, sunucuların hazırlanmasına, yeni cihaz satın alımına kadar birçok faaliyeti içermektedir.

Acil Durum

Hasar Tespiti

Kurtarma

Destek

12.    Kimlik Doğrulama ve Yetkilendirme Politikası

Bu politika şirketin bilgi sistemlerine erişimde kimlik doğrulaması ve yetkilendirme politikalarını tanımlamaktadır. Bilgi sistemlerine erişen şirket çalışanları ve şirket dışı kullanıcılar bu politika kapsamındadır.

12.1.    Şirket bünyesinde kullanılan ve merkezi olarak erişilen tüm uygulama yazılımları, paket programlar, veri tabanları, işletim sistemleri ve log-on olarak erişen tüm sistemler üzerindeki kullanıcı rolleri ve yetkileri belirlenerek denetim altında tutulmaktadır.

12.2.    Gerekli minimum yetkinin verilmesi prensibi benimsenmektedir.

12.3.    Tüm kullanıcılar şirket tarafından kullanımlarına tahsis edilen sistemlerdeki bilgilerin güvenliğinden sorumludur.

12.4.    Üst yönetimin karar ve onayı ile bazı yöneticilere sınırsız erişim yetkilendirmesi verilebilmektedir. 

12.5.    Sistemlere başarılı ve başarısız erişim logları düzenli olarak tutulmaktadır. 

12.6.    Kullanıcı hareketlerini izleyebilmek için her kullanıcıya kendisine ait bir kullanıcı hesabı açılmaktadır.

13.    Veri Tabanı Güvenlik Politikası

Firmada ki veri tabanı sistemlerinin kesintisiz ve güvenli şekilde işletilmesine yönelik standartları tanımlar.  Tüm veri tabanı sistemleri bu politikanın kapsamındadır.

13.1.    Veri tabanı sunucusuna ancak zorunlu hallerde root ve administrator olarak bağlanılmaktadır. Root ve administrator şifresi yetkili kişilerde bulunmaktadır.

13.2.    Bütün kullanıcıların yaptıkları işlemler loglanmaktadır.

13.3.    Veri tabanı sunucularına ancak yetkili kişiler erişebilmektedir.

13.4.    Veri tabanı sunucularında kod geliştiren kullanıcıların dışında hiçbir kullanıcı bağlanıp sorgu yapamamaktadır. 

14.     Değişim Yönetimi Politikası

Şirket bilgi sistemlerinde yapılması gereken konfigürasyon değişikliklerinin güvenlik ve sistem sürekliliğini aksatmayacak şekilde yürütülmesine yönelik politikaları belirlemektedir. 

14.1.    Bilgi sistemlerinde değişiklik yapmaya yetkili personel, bilgi işlem departmanındaki sistem yöneticileri ve uygulama yöneticisidir. 

14.2.    Yazılım ve donanım envanteri oluşturularak yazılım sürümleri kontrol edilmektedir.

14.3.    Herhangi bir değişiklik yapılmadan önce, bu değişiklikten etkilenecek tüm sistemler ve uygulamalar belirlenmekte ve dokümante edilmektedir.

14.4.    Ticari programlarda yapılacak değişiklikler, ilgili üretici tarafından onaylanmış kurallar çerçevesinde gerçekleştirilmektedir.

15.    Bilgi Sistemleri Yedekleme Politikası

Bu politika şirketin bilgi sistemleri yedekleme politikasının kurallarını tanımlamaktadır. Tüm kritik bilgi sistemleri ve bu sistemleri işletilmesinden sorumlu çalışanlar bu politika kapsamındadır.

15.1.    Bilgi sistemlerinde oluşabilecek hatalar karşısında, sistemlerin kesinti sürelerini ve olası bilgi kayıplarını en aza indirmek için, sistemler üzerindeki konfigürasyonun, sistem bilgilerinin ve kurumsal veriler düzenli olarak yedeklenmektedir.

15.2.    Yedekleme konusuyla ilgili olarak hangi sistemlerin ne kadar sıklıkla yedeklerinin alınacağı bilgi işlem departmanı tarafından belirlenmektedir.

15.3.    Yedekleme ortamlarının düzenli aralıklarla test edilmekte ve acil durumlarda kullanılması gerektiğinde güvenilir olması sağlanmaktadır.  

16.    Mobil ve Taşınabilir Cihazlar Politikası

Bu politikanın amacı bilgi içeren mobil ve taşınabilir cihazların kullanımı ile ilgili kuralları belirlemektir.

Bu politikanın uygulanmasından mobil ve taşınabilir cihaz kullanan tüm çalışanlar sorumludur.

16.1.    Şirkete ait bilgi içeren taşınabilir cihazlar ilgili kişiye zimmetlenerek teslim edilmelidir.

16.2.    Her çalışan kendisine zimmetlenen cihazın güvenliğinden ve amacına uygun kullanımından sorumludur.

16.3.    Şirket telefon hatları ve bilgisayarlar üzerinden üçüncü taraf kişilerle borç alacak ilişkisi, tehdit, küfür, şirket itibarını zedeleyecek mesajlar ve yasa dışı olan iletişim kurulamaz.

16.4.    Taşınabilir bilgisayarlar üzerinde yapılan çalışmalar ve oluşturulan dosyalar departmanlara ait ilgili ortak alana kaydedilmelidir.

16.5.    Mobil telefonlar ve taşınabilir cihazlar aile bireyleri dâhil yetki dışı hiç kimse tarafından kullandırılmamalıdır.

16.6.    Mobil ve taşınabilir cihazınızda ne tür bilgiler sakladığınızın farkında olun, hassas ve gizli bilgileri mümkün olduğunca mobil cihazınızda bulundurmayınız.

16.7.    Kaybolması ve çalınması kolay olduğundan mobil cihazlar başıboş bırakılmamalıdır.

16.8.    Personele tahsis edilen GSM telefon numaraları ilgili GSM operatörlerine bildirilip kayıt edilecektir. 

17.     Ziyaretçi Kabul Politikası

Bu politikanın amacı dışarıdan gelen misafirlerin kabulü, firma içinde dolaşmaları ve firmadan uğurlanmaları ile ilgili kuralları belirlemektir.

Bu politikanın uygulanmasından firmadaki tüm yönetici ve çalışanlar sorumludur.

17.1.  Dışarıdan ziyaret amaçlı gelen kişiler firma girişinde resepsiyon tarafından karşılanır. Kimlik kaydı ve ziyaret edeceği idarecinin onayı ile kuruluşa kabulü yapılır.

17.2.   Gelen ziyaretçi ziyarete geldiği kişi tarafından resepsiyonda karşılanır.

17.3.   Ziyaretçiler toplantı odalarında ağırlanır, çalışma alanlarına erişim bakım onarım ve denetleme firmaları dışında kesinlikte erişim yasaktır. 

17.4.   Kargo elemanları, yemek siparişi için gelen kişilerin kuruluşa girişi yasaktır.

17.5.  Ziyarete gelen kişiler ile ilgili bilgiler Bina Yönetimi tarafından kayıt edilir, talep edildiği takdirde bilgiler Bina Yönetiminden rapor olarak alınabilir.

17.6.    Ziyaretçiler internet kullanmak istediklerinde sadece “Misafir 5G” kablosuz internet ağını kullanabilirler.

Bu politikaya uygun olarak çalışmayan tüm personel hakkında Disiplin Yönetmeliği Maddeleri uygulanır.

18.    Erişim Kontrol Politikası

Bu politika; yetkili kullanıcı erişimini sağlamak ve yetkisiz erişimi önlemek amacıyla oluşturulmuştur. 

Firmanın müşteriye, çalışanlarına ve tedarikçilerine sunduğu yazılım ve donanım sistemlerinde, yetkili ve yetkisiz kullanıcı erişimleri, yeni kullanıcıların kayıt başlangıçlarından, bilgi sistemlerine ve hizmetlerine erişim gereksinimi artık kalmamış kullanıcıların son kayıttan çıkışlarına kadar olan basamakları içermelidir. 

18.1.    Ofise giriş, Giriş sisteminde bulunan kameralar ile her personelin giriş çıkışları izlenmelidir.

18.2.    Tüm bilgisayarların kullanıcı tanımlarının ve erişim yetkilerinin belirlendiği aktif dizin oluşturulmalıdır. 

18.3.    Kullanıcı yetkilendirilmeleri birim bazında yapılmalıdır. 

18.4.    Tanımlanan kullanıcıların donanım erişimleri (floppy, USB, CD-Writer, CD-ROM vb.) yasaklanmalıdır. 

18.5.    Erişim gereksinimi artık kalmamış kullanıcılar için İnsan Kaynakları Prosedürü’ ne göre hareket edilir. Sistemden de bu personelin erişim şifresi silinir.

18.6.    Bu sürücüler üzerindeki birimler ve kullanıcılara göre yetkilendirilmiştir. 

18.7.    Yönetim tarafından yetkilendirilen personel haricinde hiç bir personelin dosya silme yetkisi bulunmamaktadır. Silme işlemi sadece Ayrıcalıklı Yöneticiler ve Sistem Yöneticisi tarafından yapılmaktadır. 

18.8.    ISO Dokümanları için IMS folder ‘ı üzerinde, ortak kullanıma açık dizinler oluşturulmuştur. Bu dizinlere erişim açıktır. 

18.9.    Paylaşımlar sistem yöneticisi tarafından belirlenmektedir. 

18.10.    Yazılım dizinine sadece yazılım grubuna ait üye kullanıcıların dosya oluşturma, ekleme, değiştirme yetkisi bulunmaktadır. 

18.11.    ISO dokümanları dizinine tüm kullanıcılar erişebilmekte ancak sadece okuma yetkisine sahiptirler. Kalite Güvence Yöneticiliği dışında kullanıcıların dosya ve/veya form oluşturma, ekleme, değiştirme yetkisi bulunmamaktadır. Bu şekildeki istekleri var ise Kalite Güvence im Yöneticiliği’ ne haber verilir. 

18.12.    ISO Dokümanlarını sadece Kalite Güvence ve Yöneticiliği ait üye kullanıcılarının dosya oluşturma, ekleme, değiştirme yetkisi bulunmaktadır. Silme yetkileri yoktur. 

18.13.    Ağ bağlantıları için kullanıcı parolaları Bilgi Teknolojileri Birimi tarafından verilmektedir. 

Çalışanların masalarında bilgi güvenliği kapsamına girecek türden bilgi içeren yazılı kağıtlar, not kağıtları, defterler vb. bırakmamaları gerektiği bilgisi oryantasyon eğitimi içinde verilmektedir.