Privilege and User Rights Management

1. Amaç:

Kurum içinde kullanıcıların haklarını ve ayrıcalıklı olma kurallarını tanımlamak.

1. Kapsam:

Bilgi işlem olanaklarından yararlanan tüm kullanıcı ve birimleri kapsar.

1. Sorumlular:

Tüm çalışanların bu politikaya uygun hareket etmesinden tüm üst yönetim sorumludur.

1. Uygulama:

Ayrıcalık Yönetimi

Ayrıcalıklar yalnızca klasör erişimi, yazılım kurulumu, bağlantı süreleri, ağ ayarları, genel internet kullanımı, misafir internet erişimi, uzaktan çalışma / erişim ile sınırlandırılmıştır. En az 12 ayda bir kez gözden geçirilmekte, ayrıca işe giriş veya işten ayrılış ve görev değişikliği sebepleri ile yeniden yetkilendirmeler yapılmaktadır.

Ayrıcalık Yönetimi: Üst yöneticiler için;

• Talep Yönetici'ye gönderilir. Yönetici talebin yerine getirilmesi için sistem yöneticisine onay yazısı gönderir.

Ayrıcalık Yönetimi: Kurum personeline aitse;

• Personel ayrıcalık talebini amirine yapar.
• Amirin kabul etmesi halinde, talep Yönetici'ye gönderilir.
• Yönetici talebi değerlendirdikten sonra, uygun bulursa ayrıcalık için Bilgi İşlem Hizmet Sağlayıcısı' na onay yazısını gönderir.
• Ayrıcalık erişim hakkı Yönetici' nin uygun gördüğü süre boyunca erişim yetkisi verilir. Sürenin bitiminde verilen hak Bilgi İşlem Hizmet Sağlayıcısı tarafından kaldırılır.

Ayrıcalık Yönetimi: Hizmet sağlayıcılar için;

• Hizmet sağlayıcının ilgili amiri ayrıcalık talebini yapar.
• Talep Yönetici' ye gönderilir.
• Ayrıcalık erişim hakkı yöneticinin uygun gördüğü süre boyunca erişim yetkisi verilir. Sürenin bitiminde verilen hak Bilgi İşlem Hizmet Sağlayıcısı tarafından kaldırılır.

Kullanıcı Hakları

Yazılım Kurulumu

• İş ile ilgili olmayan yazılımların (kurulum dosyaları dahil) saklanması veya kurulması her koşulda yasaktır.
• Kullanıcılar, teknik olarak mümkün olsa bile, telif hakları kanunlarının çiğnenmesine ve teknik sorunlara neden olabileceğinden Yönetici'nin onayı olmadan bilgisayarlarına yazılım yükleyemezler.
• İş amaçlı yazılım yükleme ihtiyacı olması durumunda Bilgi İşlem Hizmet Sağlayıcısı'nın görüşü ve onayı alınmalıdır.
• Güvenlik analiz yazılımları ve sistem yönetim yazılımları gibi yazılımlar, sadece Bilgi İşlem Hizmet Sağlayıcısı tarafından bilgisayarlara, iş istasyonlarına kurulur. Kurulum Yönetici'nin onayı ile yapılır.
• Yardımcı sistem programlarının kurulması ve kullanılması yalnızca bilgi teknolojileri bölümüne serbesttir.
• Yardımcı sistem programları yalnızca kullanıcı sorunlarını çözmek için kurulur ve kullanılır. Sistem yönetiminde yardımcı sistem programları kullanılmaz.
• Çok özel durumlarda kısıtlı erişim yetkisi ile uzaktan çalışma gerektiğinde yardımcı sistem programları kullanılabilir. Bu durumda talep açmak ve Yönetici'nin onayını almak zorunludur.
• İşlem bittikten sonra derhal yardımcı sistem programı sonlandırılır.
• Yazılımların kullanımlarına yönelik bağlantı süreleri üzerinde ilgili yazılım sorumluları ile anlaşılır. Etki alanı içinde tanımlanmış gruplara uygulanır.

Konfigürasyon ve Güvenlik Ayarları

• Kullanıcılar, teknik olarak mümkün olsa bile bilgisayarlarındaki güvenlik ayarlarının düzeyini düşüremezler.

• Güvenlik ayarlarına örnek olarak;

• MS Internet Explorer ve MS Outlook'u etkileyen güvenlik alanları ayarları (Internet Explorer securityzone settings),
• Virüs koruma program ayarları,
• İşletim sistemi güncelleme ayarları,
• Kişisel koruma duvarı (firewall) ayarları,

• BIOS ayarları ve diğer donanımsal ve yazılım güvenlik ayarları sayılabilir.

• Kullanıcılar teknik olarak mümkün olsa bile kişisel bilgisayarları üzerinden yeni ağ servislerini (web sunucusu, veritabanı sunucusu gibi) çalıştıramazlar.
• Bilgisayarları üzerinde yeni kullanıcı ve kullanıcı grubu tanımlayamaz, var olan kullanıcıların haklarını ve kullanıcı gruplarını değiştiremezler.
• Eğer ihtiyaçları gereği konfigürasyon ve güvenlik ayarlarının değiştirilmesi gerekiyor ise Bilgi İşlem Hizmet Sağlayıcısı'nın yorum ve onayına başvurulması zaruridir.
• Konfigürasyon ve güvenlik ayar değişiklikleri sadece Bilgi İşlem Hizmet Sağlayıcısı tarafından ve gerekli olan süre için yapılabilir.

Ağlara ve Ağ Hizmetlerine Erişim Hakkı

• Firmamızdaki kullanıcıların erişim yetkileri kendi birimlerinin alanı ile sınırlandırılmıştır.
• Erişim kısıtlamaları, Active Directory ile yönetilmektedir
• Erişim kısıtlamalarına ilişkin yetkilendirme çizelgeleri oluşturulmuştur, sürekliliği sağlanmaktadır ve istihdama ilişkin değişiklikler sonrasında gözden geçirilmektedir
• Ağ üzerinden yazıcı ve benzeri olanaklara erişim Bilgi İşlem Hizmet Sağlayıcısı tarafından yapılandırılır.
• Ağ üzerinden başka alt ağlardaki uygulamalara erişim gerektiğinde, bu erişim Bilgi İşlem Hizmet Sağlayıcısı tarafından yapılandırılır.
• Yerel yönetici yetkileri "güçlü kullanıcı/local admin" grubu haricinde kaldırılmıştır.
• Güçlü kullanıcı grubuna dahil olmak yöneticinin tanımladığı süre kadardır.
• Güçlü kullanıcı grubu hakkı için kullanıcı, önce idari amirine talepte bulunur. İdari amiri talebi uygun bulursa Yönetici ile görüşür.
• Yönetici talebi uygun bulması durumunda yardım masası üzerinden Bilgi İşlem Hizmet Sağlayıcısı'na kayıt açar.

Doküman Erişim Hakkı

İnsan Kaynakları departmanından yapılan görev değişikliği bildirimine istinaden mevcut departman klasöründeki erişim ayarları kaldırılarak yeni departman klasörüne erişim ayarlarının yapılması gerekmektedir.

Yeni personel ise insan kaynakları biriminden hangi klasöre ve klasör yetki izinleri konusunda yazılı (e-posta) talep alınması gerekmektedir. Yazılı talep olmaması durumunda hiçbir erişim yetki değişiklik işlemi gerçekleştirilmez.

Bilgi İşlem Hizmet Sağlayıcısı tüm bilgisayar kullanıcılarının, doküman erişim izinlerini 12 ayda en az bir kez ve görev değişikliklerinde kontrol etmekte ve yetkilendirmekle yükümlüdür.

Klasör Erişim İzinleri

• Millennium Yeni Ortak klasörüne sadece domain alt yapısına dahil olan kullanıcıların giriş yapacağı şekilde ayarlama yapılmıştır.
• Her departman için açılan klasörlere departman kullanıcıları tam yetkili olarak, diğer departman klasörlerine erişim izinleri yönetici onayına bağlı olarak yapılmaktadır.

Cihaz Kullanımı

• Kullanıcı hakları kapsamında tüm kullanıcıların USB portları (harici diskler) cihazları pasiftir. İhtiyaç olması durumunda ilgili yöneticinin onayı ile Bilgi İşlem Hizmet Sağlayıcısı tarafından süreli ve sınırlı sayıda yetkilendirme yapılmaktadır.
• Kullanılması zorunlu ise Ayrıcalık yönetimine göre kullanım hakkı verilir. Sorumluluk kullanıcıya aittir.
• Danışmanlar, müşteriler, ziyaretçiler kurum ağı içine alınmazlar.
• Hizmet sağlayıcıların cihazlarını kullanmaları izne tabi olup, ayrıcalık yönetimi uygulanır.
• Etki alanı üzerinden "cihaz tanılama poliçesi" etkindir. Bağlanan her cihazın günlüğü tutulur.

RUNITAS BİLİŞİM TEKNOLOJİ SANAYİ VE TİCARET ANONİM ŞİRKETİ