Bilgi Güvenliği Yönetim Sistemi

Bilgi Güvenliği Nedir

Bilgi güvenliği, bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme, ortadan kaldırılma, el değiştirme ve hasar verilmesini önlemektir. Gizlilik, Bütünlük ve Erişilebilirlik olarak isimlendirilen üç temel unsurdan meydana gelir. Bu üç temel güvenlik öğesinden herhangi biri zarar görürse güvenlik zaafi yeti oluşur.

  • Gizlilik: Bilginin yetkisiz kişilerin eline geçmeme ve yetkisiz erişime karşı korunmasıdır.
  • Bütünlük: Bilginin yetkisiz kişiler tarafından değiştirilmemesidir.
  • Erişilebilirlik: Bilginin yetkili kişilerce ihtiyaç duyulduğunda ulaşılabilir ve kullanılabilir durumda olmasıdır.

Neden Bilgi Güvenliği

Sektörel Anlaşmanın Bilgi Sistemlerinin Güvenliği bölümünde kurumumuzun bilgi varlıklarını korumaya yönelik bir sertifika alınması zorunlu kılınmıştır. Ayrıca son yıllarda artan hacking, sosyal mühendislik, kamu kurumlarına yapılan saldırılar, bilgilerin yetkisiz kişilere ve medyaya ifşası gibi olaylar meydana gelmektedir. Kurumumuzun itibarı ve güvenliği için bir bilgi güvenliği yönetim sisteminin kurulması zorunluluk haline gelmiştir.

ISO 27001 Sertifikamız

Kurumumuz 16.09.2014 tarihinde ISO 27001 Bilgi Güvenliği Yönetim Sistemi Sertifi kasını tüm Tarım ve Kırsal Kalkınmayı Destekleme Kurumu kapsamında almaya hak kazanmıştır. Sertifikanın devamlılığının sağlanması kurumumuzun standart gereksinimlerine uyumuna bağlıdır.

Bilgi Güvenliği Yönetim Sistemi Hedeflerimiz

  • Kurumun temel ve destekleyici iş süreçlerinin en az kesinti ile devam etmesini sağlamak amacıyla kurumun tüm işleyişini etkileyen fiziksel ve elektronik bilgi varlıklarını korumak,
  • Üçüncü taraflarla yapılan sözleşmelerde bilgi güvenliği adına belirlenmiş uygunlukları sağlamak,
  • TKDK çalışanlarına kurumun bilgi güvenliği gereksinimlerine uygun şekilde hareket etmesi konusunda yol göstermek, farkındalık seviyesini artırarak riskleri minimuma indirmek.
  • Risk analizi yaparak potansiyel risklerin önüne geçmek, risklerden kaçınmak için faaliyetlerde bulunmak, gerçekleşen risklere iş süreçlerinin en az kesinti ile devam etmesini sağlamak amacıyla en kısa sürede çözüm getirmek,
  • Çalışanların bilinç ve farkındalık seviyelerini artırmak ve bu şekilde kurumda oluşabilecek riskleri minimuma indirmek,
  • Kurumun itibarını korumak,
  • Teknik güvenlik kontrollerini uygulamak,
  • İlgili raporlar ile bilgi güvenliği ve risk değerleri izlemesi yapmak, raporlara bağlı olarak sürekli iyileştirme aktivitelerini gerçekleştirmek.

Tarım ve Kırsal Kalkınmayı Destekleme Kurumu (TKDK), Avrupa Birliği ve uluslararası kuruluşlardan sağlanan kaynakları, ülkemizde kırsal kalkınma programlarının uygulanmasına yönelik faaliyetlerin gerçekleştirilmesi için kullanan bir kurumdur.

TKDK’nın üç genel koordinatörlüğünden birisi olan Destek Hizmetleri Genel Koordinatörlüğü’ne bağlı olan Bilgi Sistemleri Koordinatörlüğü, TKDK’nın, kırsal kalkınma programlarını etkin, güvenilir ve sürdürülebilir bir şekilde yürütmesinde Bilgi ve İletişim Teknolojileri altyapısıyla kuruma destek sağlar. Kurumumuzun sahip olduğu bilgi varlıkları ve bu bilgileri üretme, işleme ve sunma imkânları kurumun en değerli kaynaklarıdır. TKDK’nın kurumsal amaçlarına ulaşırken bilginin bütünlük, erişilebilirlik, gizlilik ilkeleri gözetilerek bilgi teknolojilerinin etkin, etkili ve güvenli bir şekilde kullanılmasını sağlamak büyük önem taşımaktadır. Gizlilik, hassas bilgilerin yetkisiz kişilerin erişimine karşı korunması; Bütünlük, bilginin doğru ve eksiksiz olmasının sağlanması; Erişilebilirlik, bilginin ihtiyaç duyulduğu anda kullanıcının kullanımına hazır olmasının temin edilmesidir. Bu 3 temel kavram Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin temelini oluşturmaktadır.

Kurumumuz Yönetimi, TKDK Bilgi Sistemlerini kullanarak veya doğrudan kurumsal bilgiye erişen tüm personel, misafir kullanıcılar, hizmet alınan 3.taraf firmalar, kurumlar, bilgisayar donanım ve yazılımlar kapsamında, Avrupa Komisyonu ile yapılan Sektörel Anlaşma çerçevesinde ISO/IEC 27001 Bilgi Güvenliği Yönetim Sisteminin kurulmasına karar vermiştir.

Bilgi Sistemleri Koordinatörlüğü kapsamında 2012 yılında kurulan ve 2013 yılında güncellenen standart ile birlikte kapsamına 42 İl Koordinatörlüğü ve Merkez Koordinatörlüklerin eklendiği Bilgi Güvenliği Yönetim Sisteminin uygulanması ve sürdürülmesi kurumumuzun önemli stratejik hedeflerinden birini oluşturmaktadır.

Kurumumuzda BGYS’ nin başarılı bir şekilde uygulanmasından tüm personel sorumludur. Personel, bilgi güvenliği ile ilişkili kılavuzlara, prosedürlere, standartlara ve Kurum politikalarına bağlı kalmakla yükümlüdür.

TKDK Bilgi Sistemlerini kullanarak veya doğrudan kurumsal bilgiye erişen tüm personel, misafir kullanıcılar, hizmet alınan 3.taraf firmalar, gizlilik sözleşmesinde ve kullanıcı taahhütnamesinde yer alan sorumlulukları kabul eder ve imzalar. Üst Yönetim onayıyla kurulan Bilgi Güveliği Yürütme ve Yönetim Komitesi, Bilgi Güvenliği Politikasının gözden geçirilmesinden, bilgi güvenliği tehdit unsurlarını önleyici ve düzeltici tedbirlerin alınmasından sorumludur. BSK, çalışanlara yönelik BGYS hakkında farkındalık yaratacak eğitim faaliyetlerde bulunur. Merkez ve İl Koordinatörlüklerinde görevlendirilen BGYS Sorumluları, BGYS Yöneticisi tarafından verilen Bilgi Güvenliği Yönetim Sistemi ile ilgili görevleri yerine getirmekle yükümlüdür.

Bilgi Güvenliği Politikası ve prosedürleri yılda bir kez önemli güvenlik arızaları, yeni savunmasızlıklar, riskler, düzeltici faaliyetler, örgütsel veya teknik altyapı değişiklikleri ile ilgili kontroller, yasal değişiklikler, iç ve dış denetim bulguları dikkate alınarak yönetim gözden geçirme toplantısında gözden geçirilir ve gerekli güncellemeler yapılır.

BGYS kapsamında sözleşme ve taahhütnamelerde yer alan yükümlülükler yerine getirilmediği takdirde, Bilgi Güvenliği Yürütme ve Yönetim Komitesi tarafından konu hakkında inceleme ve soruşturma yapılması için üst makama rapor sunulur. Kurallara uyulmadığı ve bilgi güvenliği ihlali gerçekleştiği takdirde kurumsal ve ulusal mevzuatın ilgili hükümlerine istinaden disiplin süreci başlatılır.

Kurum üst yönetimi, Bilgi Güvenliği Yönetim Sistemine uyacağını ve sistemin verimli şekilde çalışması için gerekli olan kaynakları tahsis edeceğini, etkinliğini, sürekli iyileştireceğini ve bunun tüm çalışanlar tarafından anlaşılmasını sağlayacağını taahhüt eder. Bilgi Güvenliği Politikasını ve politikaya uygunluğun önemini faydalanıcılara, hizmet sağlayıcı ve tedarikçilerin ilgili personeline duyurur. Bu taahhüdün sonucu olarak, kurum genelinde bilgi güvenliği farkındalık programları düzenler, alt yapı yatırımlarını sürdürür. Bilgi Güvenliği Politikası’nın uygulanmasının ve kontrolünün yapılmasının, güvenlik ihlallerinde de gerekli yaptırımın icra edilmesinin yönetim tarafından desteklendiğini beyan eder.