Bilgi Güvenliği Süreçleri

DOKÜMAN VE VERİ KONTROLÜ PROSEDÜRÜ

AMAÇ

Kurumumuzun KYS ve BGYS dokümanlarının hazırlanması, tanımlanması, numaralandırılması, onaylanması, çoğaltılması ve ilgili yerlere dağıtılması, revizyonu ve kayıtlarının kontrolü ile ilgili yazılı yöntem oluşturmak ve sorumlulukları belirlemektir.

KAPSAM

Kuruluşta yazılı bilgiyi oluşturan tüm KYS ve BGYS dokümanları kapsamaktadır

SORUMLULUK

Bu prosedürün uygulanmasından Yönetim Temsilcisi ve Kalite ve Bilgi Güvenliği Ekibi başta olmak üzere tüm personel sorumludur.

PROSEDÜR 

DOKÜMANLARIN HAZIRLANMASI

BGYS El Kitabının Hazırlanması

KYS ve BGYS El Kitabı, Yönetim Temsilcisi tarafından hazırlanır ve gözden geçirilir. Hazırlayan hanesi imzalanarak Genel Müdür onayına sunulur. Genel Müdür kontrol ederek onay hanesini imzalaması ile KYS ve BGYS El Kitabı yürürlüğe girmiş olur. KYS ve BGYS El Kitabında şirketimizin yönetim sistemi genel olarak tarif edilir. Firmamız üçüncü şahıslara ve müşterilerimize KYS ve BGYS El Kitabında çizilen çerçeve içerisinde tanıtılır. KYS ve BGYS El Kitabı uygulamakta olduğumuz ISO 27001:2013 ve ISO 9001:2015 standardının maddelerine paralel olarak bölümler halinde hazırlanır. KYS ve BGYS El Kitabında prosedür düzeyindeki sistem elemanlarına ve dokümanlara atıflar yapılır. KYS ve BGYS El Kitabı formatında yer alan bilgiler aşağıda açıklanmıştır.

Bölüm                               : İlgili bölümün numarası ve adı

Hazırlayan                        : Bu hane Yönetim Temsilcisi tarafından imzalanır

Onaylayan                           : Bu hane BİDB Başkanı tarafından imzalanır

Yayın Tarihi                      : İlgili dokümanın ilk yayınlandığı tarih

Revizyon Tarihi                  : İlgili dokümanın revize edildiği tarih

Revizyon No                     : Dokümanın kaçıncı revizyonda olduğunu gösterir.

Doküman No                    : Dokümana verilen referans numarasıdır.

Politikaların Hazırlanması

KYS ve BGYS ile ilgili politikalar yönetim temsilcisi ve kalite ve bilgi güvenliği ekibi tarafından oluşturulur ve Bilgi İşlem Daire Başkanı onayı ile yürürlüğe girer.

Kalite ve Bilgi güvenliği politikaları mevcut varlıklar, prosesler, bunlar ile ilgili riskler, ortaya çıkabilecek ihtiyaçlar, mevcut ve potansiyel risklerin önceden önlenmesi için oluşturulur ve sorumlu kişilere duyurulur

Prosedürlerin Hazırlanması

Prosedürler, Yönetim Temsilcisi veya KYS ve BGYS ekipleri tarafından hazırlanır ve gözden geçirilir. Hazırlayan hanesi imzalanarak Bilgi İşlem Daire Başkanı onayına sunulur. Bilgi İşlem Daire Başkanı’nın kontrol ederek onay hanesini imzalaması ile Prosedür yürürlüğe girmiş olur. Ayrıca prosedürü hazırlamakla görevli personel, prosedürün en iyi bilgi, tecrübe ve kapsamlı bir bakış açısı ile oluşturulmasını sağlamak amacıyla firmada ilgili birimlerle bağlantı kurarak görüşlerini alır. Prosedürler aynı zamanda uyguladığımız sistem içerisindeki talimat ve formlara da bir referans teşkil ederler. Prosedürlerden uygulanan talimatlara ve formlara atıflar verilir. Prosedür formatında yer alan bilgiler aşağıda açıklanmıştır:

Doküman No               : İlgili prosedürün numarası

Revizyon No                : Prosedürün kaçıncı revizyonda olduğunu gösterir

Revizyon Tarihi           : Prosedürün revize edildiği tarih

Yayın Tarihi                 : İlgili Prosedürün ilk yayınlandığı tarih

Hazırlayan                   : Bu hane Yönetim Temsilcisi tarafından imzalanır

Onaylayan                    : Bu hane Bilgi İşlem Daire Başkanı tarafından imzalanır

           Amaç                             : Prosedürün yazılma amacı

Sorumluluk                   : Prosedürün uygulamasından sorumlu personel

Kapsam                        : Prosedürün uygulama kapsamı

Prosedür                        : Prosedür detayı

     İlgili Dokümanlar          :Atıf yapılan dokümanlar

Talimatların Hazırlanması

Bilgi İşlem Daire Başkanı ve Yönetim temsilcisi uygulanan sitemin etkinliğini, uygulayıcı personeli ve yapılan işlerin karmaşıklığını düşünerek yazılı doküman eksikliğinde KYS ve BGYS’nin olumsuz etkilendiğini tespit ettikleri veya öngördükleri işler için talimat hazırlanmasını kararlaştırabilirler. Talimatın formatında yer alan bilgiler aşağıda açıklanmıştır:

Konu                                 : İlgili Talimatın adı

Sayfa No                            : Talimatın ilgili sayfa numarası

Doküman No                    : İlgili Talimatın numarası

Yayın Tarihi                      : İlgili Talimatın ilk yayınlandığı tarih

Revizyon Tarihi                :Talimatın revize edildiği tarih

Revizyon No                     : Talimatın kaçıncı revizyonda olduğunu gösterir

Hazırlayan                        : Bu hane Yönetim Temsilcisi tarafından imzalanır

Onaylayan                         : Bu hane Bilgi İşlem Daire Başkanı tarafından imzalanır

Talimatlar ilgili birim sorumlusu tarafından çalışanların görüşleri de alınarak hazırlanır ve Yönetim Temsilcisi hazırlayan kısmını imzalar ve Bilgi İşlem Daire Başkanının onayına sunar. Bilgi İşlem Daire Başkanı gerekli incelemeleri yaparak imzalar ve yürürlüğe girer.

Formların Hazırlanması

Formlar uyguladığımız sistem içerisinde elde ettiğimiz verileri kaydettiğimiz veya uygulama amaçlı dokümanlarımızı yazdığımız dokümanlardır. Bu nedenle form hazırlanırken formu hazırlayan personel formun kullanışlı, yeteri kadar veri içeren ve doğru kayıt yapılmasına olanak tanıyan bir yapıda olmasına dikkat eder. Kuruluşumuzda uygulanan ve kullanılan formlar prosedürü hazırlayan personel tarafından hazırlanır. Prosedürün kontrol edilmesi ve onaylanması formun kontrol ve onayı anlamına da gelir. Prosedürün İlgili Dokümanlar kısmında atıf yapılan formlar o prosedürün sayfa sayısından bağımsız bir eki olarak verilir. Formlar basılı kopya halinde oluşturulup kullanılabilecekleri gibi bilgisayar ortamında da bulundurulup kullanılabilir.

Görev Tanımlarının Hazırlanması

Görev tanımları Bilgi İşlem Daire Başkanı koordinasyon ve bilgisi dahilinde Yönetim Temsilcisi tarafından hazırlanır ve gözden geçirilir. Hazırlayan hanesi imzalanarak Bilgi İşlem Daire Başkanı onayına sunulur. Bilgi İşlem Daire Başkanı kontrol ederek onay hanesini imzalaması ile Görev tanımları yürürlüğe girmiş olur. Görev tanımlarının formatında yer alan bilgiler aşağıda açıklanmıştır:

Görev Unvanı                 : İlgili kişinin unvanı

Sorumluluk ve Yetkiler : İlgili kişinin sorumluluk ve yetkileri

Yetkinlik Profili               : Mevcut pozisyonda çalışanın sahip olması gereken özellikler

Doküman No                  : İlgili Görev Tanımının numarası

Yayın Tarihi                     : İlgili Görev Tanımının ilk yayınlandığı tarih

Revizyon Tarihi                : Görev Tanımının  revize edildiği tarih

Revizyon No                      : Görev Tanımının kaçıncı revizyonda olduğunu gösterir

Hazırlayan                          : Bu hane Yönetim Temsilcisi tarafından imzalanır

Onaylayan                          : Bu hane Genel Müdür tarafından imzalanır.

KYS ve BGYS Planlarının Hazırlanması

KYS ve BGYS planları, Yönetim Temsilcisi ve KYS ve BGSY ekipleri tarafından hazırlanır. Hazırlayan hanesi imzalanarak Bilgi İşlem Daire Başkanı onayına sunulur. Bilgi İşlem Daire Başkanı kontrol ederek onay hanesini imzalaması ile KYS ve BGYS planları yürürlüğe girmiş olur.

  • DOKÜMAN VE VERİ KONTROLÜ

Kuruluşun KYS ve BGYS Dokümantasyon yapısı KYS ve BGYS El Kitabı, Prosedürler ve Talimatlar, Formlar, Görev tanımları, KYS ve BGYS planları Hazırlanan veya Revize edilen KYS ve BGYS dokümanları aşağıda verilen tabloda belirtilen sorumlularca onaylanır ve portal sayfasında yayınlanır ve eski nüshaların yok edilmesi sağlanır. Onaylanıp devreye alınan dokümanlar Geçerli Doküman Listesi Formu’na kayıt edilerek iç tetkik vb. gerekli görülen durumlarda güncelliği takip edilir.

Doküman CinsiHazırlayanOnaylayanÇoğaltanDağıtımEski Rev. Ortadan Kal.
BGYS El KitabıYönetim TemsilcisiBilgi İşlem Daire BaşkanıYTYTYT
ProsedürlerYT – KYS ve BGYS EkibiBİDBYTYTYT
PolitikalarYT – KYS ve BGYS EkibiBİDBYTYTYT
TalimatlarYT – KYS ve BGYS EkibiBİDBYTYTYT
  FormlarFormlar prosedür ekinde yer alır. Prosedürün onaylanması formların onaylanması anlamına gelir. Formlar KYS ve BGYS Yönetim Temsilcisi tarafından çoğaltılır, dağıtılır ve eski revizyonu ortadan kaldırılır.
Görev TanımlarıYT – BGYS EkibiBİDBYTYTYT
BGYS Planları BeyanlarYT – BGYS EkibiBİDBYTYTYT
Dış Kay. Dok.YTYTYT

Dokümanların orijinalinde hazırlayan ve onaylayan haneleri ıslak imzalanarak yürürlüğe girer. Yürürlüğe giren dokümanlar Yönetim Temsilcisi tarafından taratılarak portal sayfasında yayınlanarak diğer çalışanların erişimine sunulur.

Dokümanların kurum dışına çıkışı Bilgi İşlem Daire Başkanı veya Yönetim Temsilcisinin onayı ile olabilir.

Prosedür, talimat ve diğer dokümanlardaki revizyonlar orijinal dokümanı hazırlayan personel veya birim tarafından yapılır. Revizyon istekleri firmanın değişik kademelerinden KYS ve BGYS sistemindeki değişik aktivitelerin sonuçları olarak gelebilir. Revizyon istekleri sözlü olarak ilgili dokümanı hazırlayan kişi / birime bildirilir. İlgili kişi / birim bu talepleri değerlendirerek uygun olması halinde yönetim temsilcisinin bilgisi dahilinde gerekli revizyon yapar. Revizyon işlemleri orijinal dokümanın tabi olduğu hazırlama süreçlerine tabidir. Revize edilen dokümanlar (Prosedür, Talimat ve diğer dokümanlar), revize edilen geçersiz doküman geri alınarak yapılır. Geri alınan geçersiz nüshalar kırpma makinesinde yok edilir. Bilgisayar ortamındaki uygulamalarda KYS ve BGYS dokümanları çoğaltılamaz, değiştirilemez ve basılı hale getirilemez halde dağıtılır. Erişim ve dağıtım kriterleri KYS ve BGYS Ekibi ve Üst Yönetim tarafından belirlenir.                       

Prosedürler doküman bazında revize edilir. Talimatlar da talimat bazında revize edilir. Prosedür, talimat ve diğer dokümanlardaki revizyonlar orijinal dokümanı hazırlayan personel veya birim tarafından yönetim temsilcisi ile koordineli olarak yapılır. Revizyon istekleri firmanın değişik kademelerinden KYS ve BGYS’deki değişik aktivitelerin sonuçları olarak gelebilir. Revizyon istekleri ilgili dokümanın yazım formunda taslak olarak yazılarak Yönetim Temsilcisine verilir. Revizyon işlemleri orijinal dokümanın tabi olduğu hazırlama süreçlerine tabidir. Yapılan revizyonlar Doküman Listesi Formu ile izlenir.

Revize edilen dokümanların (prosedür, talimat ve diğer dokümanlar) dağıtımı, revize edilen geçersiz doküman geri alınarak yapılır. Geri alınan geçersiz nüshalar kırpma makinesinde yok edilir. Tüm dokümanların geçerlilikleri Doküman Listesi Formu ile izlenir.

Revizyonlar yönetim temsilcisi tarafından organize edilir ve onayıyla yürürlüğe girer. Revizyon sebebi revizyon nedeni kısmında kısaca açıklanır.

Revizyonlar doküman bazında yapılır ve revizyon numarası bir artırılarak revizyon tarihi güncellenir. Prosedür, görev tanımları ve talimat vb. dokümanlarda revizyon döküman bazında yapılır ve revizyon no bir arttırılır. Tüm bunlar doküman listesi formuna kaydedilir.

Formlar ilk hazırlandıkları zaman prosedürü hazırlayan personel tarafından YT yardımı ve koordinasyonu ile hazırlanır. Form revizyonları mümkün olduğu kadar formu hazırlayan personel tarafından yapılır. Yönetim Temsilcisi tarafından eskileri yerinden alınır ve yenileri ile değiştirilir. Formların geçerlilikleri Doküman Listesi ile izlenir.

KYS ve BGYS El KitabıKYS ve BGEKXX
KYS ve BGYS El Kitabını temsil ederDoküman numarası (01 ile başlar)
KYS ve BGYS ProsedürleriPRSXX
Prosedürü temsil ederProsedürün Sıra Numarası
KYS ve BGYS TalimatlarıTLXX
Talimatı temsil ederTalimat numarası
FormlarFRMXX
Formu temsil ederForm sıra numarası
Görev TanımlarıGTXX
Görev Tanımını temsil ederGörev Tanımları sıra numarası
KYS ve BGYS PolitikalarıPOLXX
Politikaları temsil ederPolitikanın Sıra Numarası
KYS ve BGYS PlanlarıPLXX
Planları temsil ederPlanın Sıra Numarası
KYS ve BGYS ListeleriLSTXX
Listeleri temsil ederListe Sıra Numarası
SüreçlerSRXX
Süreç kartlarını temsil ederSüreç kartı numarasını ifade eder
  •  YASAL VE DİĞER ŞARTLARIN TAKİBİ

Mevzuat Kaynakçasının Oluşturulması

Tüm faaliyetlerde ile ilgili olarak yasal mevzuat kaynakçası oluşturulur. KYS ve BGYS yönetim temsilcisi tarafından oluşturulan bu kaynakçada; kanun, tüzük, yönetmelikler yer almaktadır.

Mevzuat Kaynakçasının Oluşma Biçimi

Resmi gazete, mevzuat takip hizmeti veren kuruluşlardan gelen dokümanların yanı sıra projelerden gelen yerel mevzuat bilgilerinden oluşur. Mevzuat Kaynakçası; mümkün olduğu ölçüde elektronik ortamda saklanır. Dokümanların tümü harici doküman listesinde bulunur ve buradan takip edilir.

Mevzuatın Takip Edilmesi ve Mevzuat Kaynakçası’nın Güncellenmesi, Duyurulması

Haftalık olarak Resmi Gazete veya internetten KYS ve BGYS yönetim temsilcisi tarafından incelenir. Varsa KYS ve BGYS ile ilgili değişen kanun ve yönetmelik, tebliğler toplanır.

Proje Sorumluları gerektiği durumlarda, faaliyet gösterdikleri bölgede uygulanan ve/veya uygulanacak olan tüm yasal mevzuatı elde ederek KYS ve BGYS yönetim temsilcisine mevzuatı iletmek suretiyle bilgilendirir. Proje Sorumlularından gelen bilgiler doğrultusunda güncellenir. Güncellenen her bilgi KYS ve BGYS yönetim temsilcisi tarafından birim sorumlularına gönderilir veya bilgisayardan da görüntülenebilir. Eğer yasal mevzuatların revizyonu sonucunda mevcut prosedürlerde bir değişiklik ihtiyacı söz konusu ise dokümantasyon Dokuman ve Veri Kontrolü Prosedürüne göre yenilenir ve uygulamaya alınır.

Gözden geçirme

Tüm mevzuatlar bütünsel olarak, yılda 1 kez yönetim temsilcisi tarafından gözden geçirilir.

Varsa yasal gereklilikler dışındaki diğer gereklilikler (sektörel, kurum içi) Yönetim Temsilcisi tarafından Dış Doküman olarak yayınlanır ve tarafından uygulamaya dönük olarak değerlendirilerek sisteme aktarılır.

  • KAYITLARIN KONTROLÜ

Kurumumuzda; Yönetimin BGYS’ni gözden geçirmesi, Doküman Kontrolü, Satın alma ve Tedarikçi değerlendirme, Ürün tanımı ve izlenebilirliği, Düzeltici faaliyetler, Müşteri Şikâyetleri, Eğitim Konuları, BGYS uygulamaları, test ve raporlamalar ile ilgili kayıtlar BGYS kayıtlarıdır.

Basılı kopya olarak tutulan KYS ve BGYS kayıtları kullanımda oldukları süre boyunca ilgili bölümlerde kullanıldıkları yerde saklanır. Diğer zamanlarda ise belirlenmiş arşivde düzenli ve kolayca ulaşılabilecek bir sistemle her türlü dış etkilerden korunarak ve dolaplarda dosyalanarak saklanır.

KYS ve BGYS kayıtlarının bölümlerde saklanırken koruma sorumluluğu ilgili birimin sorumlusunda, arşivde ise Yönetim Temsilcisindedir. Tutulan kayıtlar bölümde saklama süresi sonunda listelenir ve istiflenerek arşive kaldırılır. Bölümlerde tutulan kayıtların hangisinin saklanacağının bilinmesi için KYS ve BGYS Listesi bölümlere dağıtılır. Arşivde kayıtların dış etkilerden (yağmur, yangın) korunması için dolaplarda her türlü tedbir Yönetim Temsilcisi tarafından alınır. Arşive gelen kayıtlar kolay ulaşılabilmesi için yıllar bazında düzenlenerek muhafaza edilir.

Kayıtlar arşivde saklanma süresi sonunda Yönetim Temsilcisi sorumluluğunda arşivden çıkarılır ve yok edilir. Yedekleme, BT bölümünün uygun gördüğü medya üzerinden yapılacaktır. İlgili form doldurulacak ve muhafaza edilecektir.