Güvenlik Değerlendirme Politikası

Yazar: | Tarih: 12 Mart 2018

Güvenlik Değerlendirme Politikası

Amaç

Bu politika; Ondokuz Mayıs Üniversitesi bilgi güvenliği denetimlerinin ve değerlendirmelerinin, üniversite verilerinin korunması ve güvenliğinin sağlanmasında etkili olmasını amaçlamaktadır.

Kapsam

Bu politika; Ondokuz Mayıs Üniversitesi'ndeki tüm güvenlik denetimleri, güvenlik denetimlerini zorunlu kılan tüm politikalar ve güvenlik denetimlerinden etkilenen tüm ekipman, bilgisayarlar ve çalışanlar için geçerlidir.

Genel İlkeler

  1. Güvenlik Değerlendirmesi, bilgi güvenliğinin bir bütün olarak amacına uygun kalmasını sağlamak ve üniversitenin sürekli gelişme fırsatlarını belirlemek için her yıl gözden geçirilmelidir.

  2. Güvenlik denetimleri, Ondokuz Mayıs Üniversitesi Rektörlüğü tarafından görevlendirilen BİDB'ye bağlı Bilgi Güvenliği Ekibi tarafından gerçekleştirilmelidir.

  3. Bilgi Güvenliği Ekibi, periyodik olarak dahili güvenlik açığı taramalarını yapmalıdır. Bu taramaların sonuçları üniversitenin risk değerlendirmesine uygun olarak ele alınmalıdır.

  4. Yönetim tarafından, iç de dış paylaşlardan alınan geri bildirimler göz önünde bulundurularak, politikalar uyarınca bilgi güvenliği performansı incelenmelidir.

  5. Yapılan güvenlik değerlendirmesi aşağıdakileri sağlamalıdır:

    • Mevcut metriklerin değerlendirmesi
    • Kritik bilgi varlıklarının belirlenmesi
    • Risk değerlendirme sonuçlarının bilgi güvenliği kapsamında iyileştirilmesi
    • Hedeflenen uygulamaya yönelik karşılaşılan engellerin tanımlanması
    • Bilgi güvenliği politikasının ve bilgi güvenliği hedeflerinin, üniversitenin stratejik hedefleri ve dış ortamdaki herhangi bir değişiklik karşısında devamlılığının değerlendirilmesiyle birlikte gözden geçirilmesi
    • Toplanacak veriler için yeni ölçütlerin belirlenmesi
    • Bilgi güvenlik denetimlerinin yerinde yapılması
    • Üniversitenin normal iş süreçlerine bilgi güvenliğinin aktif olarak katılmasının sağlanması
    • Güvenlik iyileştirme fırsatlarının sürekli gözden geçirilmesi
  6. Güvenlik denetimleri sonucunda;

    • Mevcut yönetmeliklerle uyumluluk değerlendirilmeli
    • Üniversitenin bilgi güvenliği açısından güçlü ve zayıf yönleri belirlenmeli
    • Politikaları, standartları ve prosedürleri iyileştirmek için özelleştirilmiş bilgi güvenliği önerileri sunulmalı
    • Önerilerin uygulanması için bir zaman planı hazırlanmalıdır.
  7. Yıllık incelemenin sonuçları bir raporda sunulmalıdır. Raporda, bilgi güvenliği politikalarına uygun olarak tasarlanan eylem planı ve uygulanan zaman ölçeği belirtirmelidir. Eylemlerdeki ilerleme, BİDB tarafından yıl içinde izlenmelidir.

Referanslar