SEMTİRO kurumsal BGYS  politikası aşağıdaki şekilde belirlenmiş olup, ilgili dış taraflara duyurulacak politika olarak onaylanmıştır.

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ POLİTİKAMIZ;

Kuruluşumuz; karbon ve su ayak izi hesaplama, sürdürülebilirlik, karbon yönetimi ve CDP konularında vermekte olduğu danışmanlık ve raporlama hizmeti ile EPD, C2C, Ecolabel, ve AWS konularında vermekte olduğu sertifikasyon hizmetleri kapsamında, Bilgi Güvenliğini sağlamak üzere ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardını referans alarak bir yönetim sistemi kurmuş ve işletmeye almıştır.

Bu doğrultuda BGYS Politikamız;

• Bilgi varlıklarını; gizlilik, bütünlük, erişilebilirlik değerleri ile sınıflandırarak, güvenlik ihtiyaçları, zafiyetleri, tehditler ile tehditlerin gerçekleşme sıklıklarının saptanması için yöntemleri belirlemek, risk ve fırsatları ele alarak riskleri uygun şekilde yönetmek,
• Risklerin işlenmesi için çalışma esaslarını ortaya koymak, hizmet verilen kapsam bağlamında teknolojik beklentileri gözden geçirerek ve riskleri sürekli takip ederek kabul edilebilir seviyede tutmak,
• Tabi olduğu ulusal ve uluslararası düzenlemelerden, yasal ve ilgili taraf beklentilerinden, anlaşmalardan doğan yükümlülüklerinden, iç ve dış paydaşlara yönelik kurumsal sorumluluklarından kaynaklanan tüm bilgi güvenliği gereksinimlerini sağlamak,
• Optimum maliyetli bir kontrol altyapısı ile bilgi güvenliği seviyesini zaman içinde korumak ve sürekli iyileştirmek,
• Kurum itibarını geliştirmek ve BGYS ile ilgili olarak personelin bilinç düzeyini arttırmaktır.

Bu bağlamda yönetim sisteminin kapsamı da şu şekilde belirlenmiştir.

Karbon ve su ayak izi hesaplama ve raporlama danışmanlık hizmetleri ile çevre ve karbon sertifikaları sağlanması

Bu dokümanın aşağıdaki bölümü, kuruluş içerisinde bilgi sistemlerinin güvenliğinin sağlanması için çalışanlar tarafından asgari uyulması gereken kuralları içermektedir. Aşağıdaki politikalar, aşağıda belirtilen amaçları taşımaktadır ve dışarıya açık değildir:

• Bilgi sistemlerinde paylaşılmakta ve saklanmakta olan her türlü bilginin gizlilik, bütünlük ve erişilebilirliğini güvence altına almak
• Kuruluşun itibarını ve yatırımlarını korumak

Politikalar, bilgi sistemlerini tasarlarken veya işletirken uyulması gereken kuralları açıklamaktadır.

Bu doküman kurum içerisinde çalışan her personeli bağlayıcı niteliktedir. Politikaların ihlali durumunda gerektiğinde kurum içinde ihlalde bulunan adına disiplin süreci işletilir ve yasal işlem yapılabilir.

1- E-Posta Politikası

Bu politika şirket içerisinde e-posta altyapısına yönelik kuralları içermektedir. Kurum içerisinde kullanılan e-posta hesapları kurum kimliği taşımaktadır. Kurum bünyesinde oluşturulan e-posta hesaplarının tüm personeller için doğru kullanımını kapsamaktadır.

Yasaklanmış Kullanım

1. Kurumun e-posta sistemi, taciz, suistimal veya herhangi bir şekilde alıcının haklarına zarar vermeye yönelik öğeleri içeren mesajların gönderilmesi için kesinlikle kullanılamaz.
2. Mesajların gönderilen kişi dışında başkalarına ulaşmaması için gönderilen adrese ve içeriğe azami derecede özen gösterilmesi gerekir.
3. Kurum içindeki gizli bilgiler mesajlaşma yoluyla veya eklenerek gönderilemez.
4. Mesajlara eklenmiş çalıştırılabilir dosya içeren e-postalar alındığında hemen silinmeli ve kesinlikle başkalarına iletilmemelidir.
5. Spam, zincir e-posta, sahte e-posta vb. zararlı ve şüpheli postalara yanıt yazılmamalıdır.
6. Kullanıcıların kullanıcı bilgilerinin (kullanıcı adı, şifre vb) yazılmasını isteyen e-postalar alındığında derhal alıcı tarafından silinmelidir.
7. Çalışanlar e-posta ile uygun olmayan içerikler (pornografi, ırkçılık, siyasi propaganda vb.) gönderemezler.

Kişisel Kullanım

1. Çalışanlara verilen e-postalar kurum içi ve dışı iletişim için verilmiştir. Kişisel amaçlı mesajlaşmalar olabildiğince makul seviyelerde tutulmalıdır. 
2. Şirket dışına atılan her e-postanın atında “gizlilik notu” ve sorumluluk notu” yer almalı, Kurumun bu e-posta içeriğinden ve niteliğinden dolayı sorumlu tutulamayacağı belirtilmelidir. 
3. Personel kendi kullanımı için verilen kullanıcı adını ve şifresini başkaları ile paylaşmamalı, kullanımı için başkasına vermemelidir.
4. Kurum çalışanları mesajlarını düzenli olarak kontrol etmeli, kurumsal mesajlara cevap vermelidir.
5. Kurum çalışanları, kurumsal maillerin kurum dışındaki kişiler ve yetkisiz kişilerce görülmesini engellemelidir.
6. Kişiye verilmiş olan kurumsal e-posta hesabı gerektiğinde kurumda yetkilendirilmiş kişiler tarafından denetlenebilir.

Hazırlanan e-posta sistemi virüs, solucan, truva atı veya diğer zararlı kodlar bulaşmış e-postaları tarayacak ve gerektiğinde tehlikeleri ortadan kaldıracak anti-virüs ve anti-spam çözümleri bulunmaktadır. Şirket dışına atılan her e-postanın atında “gizlilik notu” ve sorumluluk notu” yer almakta ve kurumun bu e-posta içeriğinden ve niteliğinden dolayı sorumlu tutulamayacağı belirtilmektedir.  Bilgi teknolojileri sorumlusu mail altyapısının güvenli ve sorunsuz çalışmasından sorumludur.

2- Şifre Politikası

Bu politikanın amacı güçlü bir şifreleme oluşturulması, oluşturulan şifrenin korunması ve şifrenin değiştirilme sıklığı hakkında standartlar oluşturulmasıdır.

Kullanıcıların kurum içerisinde kullanmış olduğu şifreler, bilgi güvenliği kapsamında kullanıcı hesapları için ilk güvenlik katmanıdır. Kurum çalışanları ve uzak noktadan erişenler aşağıda belirtilen kurallar dahilinde şifreleme yapmakla yükümlüdür.

1. Bütün sistem seviyeli şifreler (root, administrator vb) en az ayda bir değiştirilmektedir.
2. Şifreler en az 8 karakterlidir 
3. Bütün kullanıcı seviyeli şifreler (e-posta, masaüstü bilgisayar vb) en az 4 ayda bir kere değiştirilmektedir.
4. Sistem yöneticileri her sistem için farklı kendi şifrelerini kullanmaktadır.
5. Şifreler e-posta veya herhangi bir elektronik forma eklenmemektedir.

3- Anti-Virüs Politikası

Bu politika kurum içindeki pc-tabanlı bütün bilgisayarları kapsamaktadır. Bunlar tüm masaüstü ve dizüstü bilgisayar ve sunuculardır.

Tüm bilgisayarlarda anti-virüs yazılımı yüklüdür. Sunucular bulutta bulunmaktadır, anti-virüs bulut tabanlı işletilmektedir. Güncellemeleri, günde en az iki kez yapılmaktadır. Sistem yöneticileri anti virüs yazılımının sürekli olarak çalışır durumda olmasından ve güncellenmesinden sorumludur. Kullanıcıların bilgisayarından anti virüs yazılımını kaldırmaları engellenmiştir. Virüs bulaşan bilgisayar tam olarak temizlenmeden ağa eklenmemelidir.

4- İnternet Erişim ve Kullanım Politikası

Bu politikanın amacı internet kullanıcılarının güvenli internet erişimi için gerekli olan kuralları kapsamaktadır. İnternet erişim ve kullanım politikası kapsamı:

1. Kurumun içerişinden kullanıcıların internet erişimi bir firewall üzerinden sağlanmaktadır.
2. İhtiyaç doğrultusunda içerik filtrelenmeli ve istenmeyen, yasaklı ve operasyonel ihtiyaç dışında kalan onaysız siteler engellenmelidir.
3. Gerektiğinde port bazlı erişimler kontrollü olarak verilmektedir.
4. Hiçbir kullanıcı peer-to-peer yoluyla (kaza, emula, limewire vb) internete bağlanamamaktadır
5. Genel ahlak ilkelerine aykırı internet sitelerine girilmesi ve dosya indirilmesi yasaklanmıştır.
6. İş ile ilgili olmayan (müzik, video vb) yüksek hacimli dosyalar göndermek ve indirmek yasaklanmıştır.
7. İnternet üstünden kurum tarafından onaylanmamış yazılımlar indirilememektedir ve bilgisayarlara kurulamamaktadır. Bu gibi ihtiyaçlarda bilgi sistemleri çalışanlarından onay alınmalıdır.
8. Üçüncü kişilerin kurum içerisinden internet erişim ihtiyaçları, sağlanmamaktadır. 
9.  İnternet erişimleri 5651 sayılı yasaya uygun olarak loglanmaktadır. 

5- Sunucu Güvenlik Politikası

Bu politikanın amacı kurum bünyesindeki sunucuların temel güvenlik konfigürasyonlarının nasıl olması gerektiğini belirtir. Bu temel güvenlik konfigürasyonların yapılmasından ve işletilmesinden bilgi işlem sistem yöneticileri sorumludur.

Genel Konfigürasyon Kuralları

1. Sunucular üzerindeki kullanılmayan servisler ve uygulamalar kapatılmaktadır.
2. Uygulama servislerine erişimler loglanmakta ve erişim kontrol logları incelenmektedir.
3. Sunucu üstünde çalışan işletim sistemlerinin, hizmet sunucu yazılımlarının, yönetim yazılımlarının vb. koruma amaçlı yazılımların kontrollü sürekli güncellenmesi yapılmaktadır. Anti virüs güncellemeleri otomatik, yama güncellemeleri sistem yöneticileri tarafından kontrollü şekilde yapılmaktadır. Bu yama güncelleme işlemi bir test ve onay mekanizmasından geçirilerek uygulamaktadır.
4. Sistem ve uygulama yöneticileri gerekli olmadıkça “administrator”, “root” vb kullanıcı hesaplarını kullanmamaktadırlar. Gerekli yetkilerin verildiği kendi kullanıcı hesaplarını kullanmaktadırlar. Önce kendi kullanıcı hesapları ile giriş yapıp daha sonra genel yönetici hesaplarına geçiş yapmaktadırlar.
5. Ayrıcalıklı bağlantılar teknik olarak güvenli kanallar (ssh veya ssl, ipsec vpn gibi şifrelenmiş ağ) üzerinden yapılmaktadır.
6. Sunucular fiziksel olarak korunmuş bulut ortamında tutulmaktadır.

6- Ağ Cihazları Güvenlik Politikası

1. Bilgisayar ağında bulunan tüm cihazların ip’leri ve mac adresleri envanter listesinde yer almaktadır.
2. Yönlendirici giriş portuna gelen geçersiz IP adresleri yasaklanmıştır.
3. İhtiyaçlar kontrollü şekilde eklenmektedir.
4. Cihazlar üzerinde varsayılan servisler kapatılmıştır (telnet, http). Bunların yerine güvenli protokoller ile bağlanılmalıdır (SSH, https).

7- Ağ Yönetimi Politikası

Ağ yönetim politikası, ağın güvenliği ve sürekliliğini karşılayan kuralları belirlemekte, standartlaştırılmasını amaçlamaktadır.

1. Bilgisayar ağlarının ve bağlı sistemlerinin (sunucuların) iş sürekliliğini sağlamak için yedeklilik sağlanmaktadır. 
2. Ağ üzerinde kullanıcının erişebileceği servisler kısıtlanmaktadır.
3. Sınırsız ağ dolaşımı engellenmiştir.
4. İzin verilen kaynak ve hedef ağlar arası iletişimi aktif olarak kontrol eden teknik önlemler alınmıştır (Firewall vb).
5. Ağ erişimi VLAN gibi ayrı mantıksal alanlar oluşturularak sınırlandırılmıştır.
6. Ağ bağlantıları periyodik olarak kontrol edilmelidir.
7. Ağ üzerindeki yönlendirme kontrol edilmektedir.
8. Bilgisayar ağına bağlı bütün makinelerde kurulum ve konfigürasyon parametreleri kurumun güvenlik politika ve standartlarıyla uyumlu olarak yapılmaktadır.
9. Bilgisayar ağındaki adresler, ağa ait konfigürasyon ve diğer tasarım bilgileri 3. şahıs ve sistemlerin ulaşamayacağı bir şekilde saklanmaktadır.
10. Firewall olarak kullanılan cihazlar başka amaç için kullanılmamaktadır. 
11. Bilgisayar ağı üzerinde gerçekleşen işlemler takip edilmektedir.

8- Uzaktan Erişim Politikası

Bu politikanın amacı herhangi bir yerden kurumun bilgisayar ağına erişilmesine ilişkin standartları saptamaktır. Bu standartlar yetkisiz kullanımdan dolayı kuruma gelebilecek potansiyel zararları en aza indirmek için tasarlanmıştır. Kurumumuzda, çalışma tekniği gereği olarak uzaktan erişim bulunmaktadır.

1. Uzaktan erişim için SSL VPN kullanılmaktadır. 
2. Kullanıcılar VPN erişimine kendi şifreleri ve tanımlanmış cihazları ile erişim yetkileri çerçevesinde sahiptirler
3. Her kullanıcıya VPN kurulumu esnasında, gözetimsiz teçhizatın kullanımı ve temiz masa temiz ekran eğitimi de verilmektedir.
4. Halka açık alanlarda bilgisayar kullanıcılarına ekranlarının yanlardan görülmemesi için ekran koruyucu filtre gerekli olup olmadığı gözden geçirilmekte ve gerekli olduğuna karar verilirse filtre takılmaktadır.
5. Ofisinden veya evinden erişenler için de teçhizatlarını güvensiz bırakmamaları için yeterli farkındalık sağlanmaktadır.

9- Kablosuz İletişim Politikası

Bu politika kurum bünyesinde kullanılabilecek bütün kablosuz haberleşme cihazlarını (dizüstü bilgisayar, cep telefonları, PDA vs) kapsamaktadır. Kablosuz cihazların gerekli güvenlik tedbirleri alınmaksızın kurumun bilgisayar ağına erişimini engellemeyi amaçlamaktadır. 

WİFİ kullanıcılarının kimlik doğrulamaları ağ üzerinde mac filtreleme yapılarak sağlanmaktadır. Mac adresi sisteme dahil edilmeyen hiçbir kullanıcı wi-fi’ye bağlanamaz.

10 - Yazılım Donanım Envanteri Oluşturma politikası

Bu politika kurumun sahip olduğu bilgi işleme olanaklarının (donanım ve yazılımların) envanterinin oluşturulması ile ilgili kuralları belirlemektedir. Bu politika kurum bünyesinde kullanılan bütün donanım ve yazılımları (PC, Sunucu, yazıcı, işletim sistemleri, vs) kapsamaktadır. Bu politikanın uygulanmasından BGYS Temsilcisi sorumludur.

1. Bütün cihazların formal donanım ve yazılım envanteri oluşturulmalı ve güncel tutulmalıdır.
2. Oluşturulan envanter tablosunda en azından şu bilgiler olmalıdır; Seri No, varlık gurubu, Marka/Model, varlık sahibi, Varlık emanetçisi, bulunduğu yer, gizlilik değeri, vb.
3. Bu tablolar share point üzerinde tutulacak ve belirli periyotlarda ilgili sorumlusu tarafından güncellenecektir.
4. Bilgi güncelleme denetimi BGYS Temsilcisi (en az yılda 1 kere) tarafından yapılacaktır.
5. Envanter bilgisi doğru bir şekilde tutulmalıdır. Eksik veya yanlış envanter bilgisi ileride yapılacak donanım ve yazılım değişikliklerinde sağlıklı karar alınmasını engelleyebilir.
6. Envanter bilgileri 6 ayda bir kontrol edilmelidir. Envanter bilgisi eksikliğinden dolayı oluşacak hırsızlık veya değişim ciddi kayıplara yol açabilir.

11 - İş Sürekliliği Politikası

Bilgi güvenliği ve iş sürekliliğiyle ilgili standartları belirlemektedir. 

Bu kapsamda;

1. Bilgi sisteminin kesintisiz çalışması için gereken önlemler alınmıştır.
2. Kurum bilişim sistemlerinin kesintisiz çalışmasını sağlanması için aynı ortamda kümeleme (cluster), uzaktan kopyalama (remote replication), yerel kopyalama (local replication) uygulanmaktadır.
3. Acil durumlarda sistem logları yedeklenmektedir.
4. Bir güvenlik ihlali yaşandığında bilgi teknolojileri direktörüne bildirilmektedir.
5. Seviye A(Bilgi Kaybı): Kurumsal değerli bilgilerin yetkisiz kişilerin eline geçmesi, bozulması, silinmesi.
6. Seviye B(Servis Kesintisi): Kurumsal servislerin kesintisi veya kesintiye yol açabilecek durumlar.
7. Seviye C(Şüpheli Durumlar): Yukarıda tanımlı iki seviyedeki durumlara sebebiyet verebileceğinden şüphe duyulan ancak gerçekliği ispatlanmamış durumlar.
8. Herbir seviyede tanımlı acil durumlarda karşılaşılabilecek riskler, bu riskin kuruma getireceği kayıplar ve bu risk oluşmadan önce ve oluştuktan sonra hareket planları tanımlanmalı ve dokümante edilmelidir.
9. Acil durumlarda şirket çalışanları bilgi işlem departmanına haber vermektedir.

12- Kimlik Doğrulama ve Yetkilendirme Politikası

Bu politika, kurumun bilgi sistemlerine erişimde kimlik doğrulama ve yetkilendirme politikalarını tanımlamaktadır. Bilgi sistemlerine erişen kurum çalışanları ve kurum dışı kullanıcılar bu politika kapsamındadır.

1. Kurum sistemlerine erişebilecek kurumdaki kullanıcıların ve kurum sistemlerine erişmesi gereken diğer firma kullanıcılarının hangi sistemlere, hangi kimlik doğrulama yöntemi ile erişebileceği ofis 365 share point platformu üzerinde belirlenmiştir.
2. Kurum bünyesinde kullanılan ve merkezi olarak erişilen tüm uygulama yazılımları, paket programlar, veri tabanları, işletim sistemleri ve log-on olarak erişebilen tüm sistemler üzerindeki kullanıcı rolleri ve yetkileri belirlenerek denetim altında tutulmaktadır.
3. Gerekli minimum yetkinin verilmesi prensibi benimsenmektedir.
4. Erişim ve yetki seviyeleri belirli periyotlarda kontrol edilip gerekli durumlarda güncellenmektedir.
5. Tüm kullanıcılar kurum tarafından kullanımlarına tahsis edilen sistemlerdeki bilgilerin güvenliğinden sorumludur.
6. Sistemlere başarılı ve başarısız erişim logları düzenli olarak tutulmaktadır.
7. Kullanıcı hareketlerini izleyebilmek için her kullanıcıya kendisine ait bir kullanıcı hesabı açılmaktadır.

13- Veri Tabanı Güvenlik Politikası

Kurumdaki veritabanı sistemlerinin kesintisiz ve güvenli şekilde işletilmesine yönelik politikaları tanımlar. Tüm veritabanı sistemleri bu politikanın kapsamındadır.

1. Veritabanı sistemleri envanteri ve bu envanterden sorumlu kişi tanımlanmıştır.
2. Veritabanı işletim kuralları belirlenmiştir.
3. Veritabanı sistem logları tutulmakta, gerektiğinde bilgi işlem departmanı tarafından kontrol edilmektedir.
4. Veritabanı yedekleme politikaları oluşturulmuş, yedeklemeden sorumlu sistem yöneticileri belirlenmiş ve yedeklerin düzenli olarak alındığı kontrol edilmektedir.
5. Veritabanı erişim politikaları “Kimlik doğrulama ve yetkilendirme” çerçevesinde oluşturulmuştur.
6. Hatadan arındırma, bilgileri yedekten dönme kuralları “İş sürekliliğine” uygun, kurumun ihtiyaçlarına yönelik olarak oluşturulmuştur.
7. Bilgilerin saklandığı sistemler, fiziksel güvenliği sağlanmış bulut ortamında tutulmaktadır.
8. Yama ve güncellemeler yapılmadan önce bildirimde bulunulmakta ve sonrasında ilgili uygulama kontrolleri gerçekleştirilmektedir.
9. Veritabanı sunucularında sadece rdp, ssl ve orjinal veritabanı yönetim yazılımları kullanılmakta olup, bunun dışında ftp, telnet vb clear text bağlantılara kapanmıştır. 
10. Veritabanı sunucusuna ancak zorunlu hallerde root ve administrator olarak bağlanılmaktadır. Root ve administrator şifresi yetkili kişilerde bulunmaktadır.
11. Bütün kullanıcıların yaptıkları işlemler veri tabanında loglanmaktadır.
12. Veritabanı yöneticiliği sadece bir kişidedir.
13. Veritabanı sunucularına ancak yetkili kişiler erişebilmektedir.
14. Admin şifreleri belirli aralıklarla değiştirilmekte ve kapalı bir zarfta kurumun kasasında saklanmaktadır.

14- Değişim Yönetimi Politikası

Kurum bilgi sistemlerinde yapılması gereken konfigürasyon değişikliklerinin güvenlik ve sistem sürekliliğini aksatmayacak şekilde yürütülmesine yönelik politikaları belirlemektedir.

1. Bilgi sistemlerinde değişiklik yapmaya yetkili personel, bilgi işlem departmanındaki sistem yöneticileri ve uygulama yöneticisidir.
2. Yazılım ve donanım envanteri oluşturularak yazılım sürümleri kontrol edilmektedir.
3. Herhangi bir değişiklik yapılmadan önce, bu değişiklikten etkilenecek tüm sistemler ve uygulamalar belirlenmekte ve dokümante edilmektedir.
4. Değişiklik gerçekleştirilmeden önce bilgi teknolojileri direktöründen ve ilgili yöneticilerden onay alınmaktadır.
5. Planlanan değişiklikler yapılmadan önce yaşanabilecek sorunlar ve geri dönüş planlarına yönelik kapsamlı bir çalışma oluşturulmakta ve bilgi teknolojileri direktöründen onay alınmaktadır.
6. Ticari programlarda yapılacak değişiklikler, ilgili üretici tarafından onaylanmış kurallar çerçevesinde gerçekleştirilmektedir.
7. Sistemler üzerinde yapılan değişikliklerden sonra loglar incelenerek kontrol edilmektedir.

15- Bilgi Sistemleri Yedekleme Politikası

Bu politika kurumun bilgi sistemleri yedekleme politikasının kurallarını tanımlamaktadır. Tüm kritik bilgi sistemleri ve bu sistemleri işletilmesinden sorumlu çalışanlar bu politika kapsamındadır.

1. Bilgi sistemlerinde oluşabilecek hatalar karşısında, sistemlerin kesinti sürelerini ve olası bilgi kayıplarını en aza indirmek için, sistemler üzerindeki konfigürasyon, sistem bilgileri ve kurumsal veriler düzenli olarak yedeklenmektedir.
2. Verinin operasyon ortamında online olarak HDD üzerine yedekleri alınmaktadır.
3. Yedekler bulut ortamında ve şirket ortamında muhafaza edilmektedir.
4. Yedekleme ortamları düzenli periyotlarla test edilmekte ve acil durumlarda kullanılması gerektiğinde güvenilir olması sağlanmaktadır.

16- Temiz Ekran Temiz Masa Politikası

Bu politika, kurumun çalışma ortamının, gizli bilgilerin ifşa olmaması ve bilgi içeren ortamların bütünlüğünün ve erişilebilirliğini sağlanması için uyması gereken yerleşim şartları ve çalışma şeklini tanımlamaktadır. Tüm çalışanlar bu politika kapsamındadır.

1. Çalışanların bilgisayarları, ekranları yetkisiz kişilerce görülemeyecek şekilde yerleştirilir. Güvenli alanlarda çalışanların oturumları, ekranları sadece kullanıcının görebileceği şekilde tasarlanmıştır. Güvenli alanlara girişler kartlı geçişli kapılar ile donatılmıştır. 
2. Kullanıcılar, kendi şifreleri ile giriş yaparlar ve şifrelerini başkaları ile paylaşmazlar. Ekranlarının başından ayrılacakları zaman ekranlarını kilitlemelidirler. Bu bilgiler çalışanlara oryantasyon eğitimiyle ve Bilgi Güvenliği eğitimiyle verilir. Ekranlar hareketsiz bırakılması durumunda 1 dakika sonra otomatik olarak kilitlenecek şekilde kurulum yapılmıştır.  
3. Masalar üzerinde, gizli bilgi içeren hiçbir evrak ve kayıt içeren ortam (USB, HDD vb) bırakılmaz.,
4. Dökülerek zarar verebileceği nedeniyle, masalar üzerinde çay, kahve, su vb. İçecek ile yiyecek madde bulundurulmaz, güvenli alanlara (veri girişi yapılan alanlar, muhasebe, İK ve BT alanları vb) yiyecek içecek sokulmaz.
5. Masalarda gizli bilgi kapsamında olan hiçbir bilgi içeren evrak – doküman bulundurulmaz. Bu türden ortamlar, kendileri için belirlenmiş dosyalar ve kilitli dolaplar içinde muhafaza edilir.

17- Mobil cihaz Politikası

Mobil cihazların kullanımından kaynaklanan risklerin yönetimi ve destekleyici güvenlik önlemleri almak için bu politika yayınlanmıştır.

KURUMSAL KULLANIM

1. Şirket bilgi kaynaklarına erişmek için sadece onaylanmış taşınabilir ve kayıt altına alınmış bilgi işleme cihazları kullanılmalıdır.
2. Şirkete ait taşınabilir bilgi işleme cihazları, öncelikli olarak resmi ve onaylı kurum işlerinin gerçekleştirilmesi için kullanılmalıdır.
3. Taşınabilir bilgi işleme cihazları gözetimsiz bırakıldıklarında mutlaka fiziksel olarak güvenli bir yerde veya şekilde saklanmalıdır.
4. Şirket çıkarlarıyla çakışmadığı sürece bu cihazların kişisel kullanımına kısıtlı olarak izin verilmektedir.
5. Bu cihazlar kullanılırken ilgili yasa ve düzenlemelere uyulmalıdır.

UYGUNSUZ KULLANIM

1. Şirkete ait taşınabilir bilgi işleme cihazları hiçbir şekilde yasa dışı, kurum çıkarlarıyla çelişecek veya normal operasyon ve iş aktivitelerini engelleyecek şekilde kullanılamaz.
2. Şirket gizli bilgisi, taşınabilir bilgi işleme cihazlarında şifresiz olarak saklanamaz. Şirket tarafından onaylanmış şifreleme yöntemleriyle korunmalıdır.
3. Kurum tarafından onaylanmış şifreleme yöntemleri ve iletim metotları kullanılmadan kurum bilgisi aktarılamaz. Ayrıca bilgi, zararlı yazılımlara karşı taramadan geçirilmeden kurum ağına aktarılamaz. 

İZLEME

1. Şirket, taşınabilir bilgi işleme cihazları kullanılarak yapılan tüm işlemleri izleme hakkını saklı tutar.
2. Şirket, kullanıcının taşınabilir bilgi işleme cihazları ile gerçekleştirdiği aktivitelerle ilgili bilgiyi üçüncü partilerle, emniyet kuvvetleriyle veya yargıyla kullanıcının izni olmadan paylaşma hakkını ve/veya erişimi engelleme, içeriği silme hakkını saklı tutar.

18- Güvenli İmha Politikası

1. Evrakların (belgelerin) idari ve hukuki hükümlere göre belirlenmiş sürelere göre muhafaza edilmesi gerekmektedir. Kişisel veriler Verbis’te belirtildiği süre kadar, bütün belgeler ve kayıtlar yönetim sistemince belirlendiği süreler kadar ve ilgili ortamlarda saklanır (HDD, Kağıt, harici bellek, sunucu, storage vb). Saklama süreleri sonunda uygun şekilde imha edilir. Kağıt ortamında olanlar kağıt kırpma makinesinden geçirilerek, HDD ortamında olanlar yazılım ile geri dönülemez olarak silinir. Bu işlem BGYS temsilcisi sorumluluğunda ve nezaretinde yapılır. Bilgisayarların elden çıkarılması halinde içindeki HDD’in silinmiş olmasından veya imhasından mutlaka BGYS temsilcisi tarafından kontrol edilerek emin olunur.
2. İmha işlemi gerçekleşecek materyalin özellik ve cinsine göre imha edilecek lokasyon belirlenmelidir.
3. Uygun şekilde kırılması ve kırılma sürecinden önce veri ünitelerinin adet bilgisi alınmalıdır.
4. Kırılan parçaların fiziksel muayene ile tamamen tahrip edilip edilmediğinin kontrolü yapılmalıdır.
5. İmha bilgisi tutanak ile kayıt altına alınır. Bu tutanaklar da kayıtlar listesinde belirtilen süre kadar (3 yıl) saklanır.
6. HDD ve benzeri imha edilmiş ortamlar elektronik atıklar yönetmeliğine uygun olarak lisanslı atık alıcılarına verilerek bertaraf edilir.

Revizyon No: 01
Revizyon Tarihi: 20.12.2024
Hazırlanma Tarihi: 01.11.2021