Veri Sorumlusunun Alması Gereken İdari ve Teknik Tedbirler Nelerdir?

Veri Sorumlusunun Alması Gereken İdari ve Teknik Tedbirler Nelerdir?

Veri Sorumlusunun Alması Gereken İdari ve Teknik Tedbirler KVK Kurumunun hazırladığı Rehberinde ele alınmıştır.

Amaç ve Dayanak

Kanunun 12 nci maddesinin birinci fıkrasında;
;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.”

hükmü yer almaktadır.

Güvenliğinin Takibi

Veri sorumlularının sistemleri çoğunlukla hem içeriden hem de dışarıdan gelen saldırılar ve siber suçlara veya kötü amaçlı yazılımlara maruz kalmakta olup çeşitli belirtilere rağmen bu durum uzun süre fark edilememekte ve müdahale için geç kalınabilmektedir.
Bu durumun önüne geçebilmek için;
a) Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,
b) Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi,
c) Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması ( kayıtları gibi),
ç) Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,
d) Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir  raporlama prosedürü oluşturulması,

gerekmektedir.

Mevcut Risk ve Tehditlerin Belirlenmesi

Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir.
Bu riskler belirlenirken;
● Kişisel verilerin özel nitelikli kişisel veri olup olmadığı,
● Mahiyeti gereği hangi derecede seviyesi gerektirdiği,
● Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır.
Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda  değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır.

 

Kişisel Verilerin korunmasında Veri Sorumlusunun Yükümlü Olduğu İdari ve Teknik Tedbirler

No Tedbir Tedbir Kapsamı Açıklama
1 Kurul Kararları-Özel Nitelikli Kişisel Verilerin işlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler. Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi 1 Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı.
1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
2 Kurul Kararları-Özel Nitelikli Kişisel Verilerin işlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik 2-a a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
3 Kurul Kararları-Özel Nitelikli Kişisel Verilerin işlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik 2-b Çalışanlar ile Gizlilik sözleşmesi yapılması
4 Kurul Kararları-Özel Nitelikli Kişisel Verilerin işlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik 2-c Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
5 Kurul Kararları-Özel Nitelikli Kişisel Verilerin işlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik 2-ç Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
6 Kurul Kararları-Özel Nitelikli Kişisel Verilerin işlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik 2-d Görev değişikliği olan ya da işten ayrılan Çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
7 Kurul Kararları-Özel Nitelikli Kişisel Verilerin işlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise 3-a Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
8 Kurul Kararları-Özel Nitelikli Kişisel Verilerin işlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise 3-b Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
9 Kurul Kararları-Özel Nitelikli Kişisel Verilerin işlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise 3-c Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
10 Kurul Kararları-Özel Nitelikli Kişisel Verilerin işlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise 3-ç Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
11 Kurul Kararları-Özel Nitelikli Kişisel Verilerin işlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise 3-d Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
12 Kurul Kararları-Özel Nitelikli Kişisel Verilerin işlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise 3-e Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,
13 Kurul Kararları-Özel Nitelikli Kişisel Verilerin işlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise 4-a Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
14 Kurul Kararları-Özel Nitelikli Kişisel Verilerin işlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise 4-b Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,
15 Kurul Kararları-Özel Nitelikli Kişisel Verilerin işlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler. Özel nitelikli kişisel veriler aktarılacaksa 5- a Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
16 Kurul Kararları-Özel Nitelikli Kişisel Verilerin işlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler. Özel nitelikli kişisel veriler aktarılacaksa 5- b Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
17 Kurul Kararları-Özel Nitelikli Kişisel Verilerin işlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler. Özel nitelikli kişisel veriler aktarılacaksa 5- c Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
18 Kurul Kararları-Özel Nitelikli Kişisel Verilerin işlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler. Özel nitelikli kişisel veriler aktarılacaksa 5- ç Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.
19 Kurul Kararları-Özel Nitelikli Kişisel Verilerin işlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler. Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır. 6
20 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin İdari Tedbirler Risklerin ve tehditlerin belirlenmesi 2.1. Bu riskler belirlenirken;
● Kişisel verilerin özel nitelikli kişisel veri olup olmadığı,
● Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği,
● Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmış mıdır ?
21 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin İdari Tedbirler Çalışanların Eğitilmesi ve Farkındalık Çalışmaları 2.2.
22 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin İdari Tedbirler Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi 2.3.
23 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin İdari Tedbirler Kişisel Verilerin Mümkün Olduğunca Azaltılması 2.4.
24 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin İdari Tedbirler Veri İşleyenler ile İlişkilerin Yönetimi 2.5.
25 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin İdari Tedbirler Özet Tablosu Kişisel Veri İşleme Envanteri Hazırlanması
26 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin İdari Tedbirler Özet Tablosu Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
27 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin İdari Tedbirler Özet Tablosu Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında )
28 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin İdari Tedbirler Özet Tablosu Gizlilik Taahhütnameleri
29 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin İdari Tedbirler Özet Tablosu Kurum İçi Periyodik ve/veya Rastgele Denetimler
30 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin İdari Tedbirler Özet Tablosu Risk Analizleri
31 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin İdari Tedbirler Özet Tablosu İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
32 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin İdari Tedbirler Özet Tablosu Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi
vb.)
33 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin İdari Tedbirler Özet Tablosu Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
34 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin İdari Tedbirler Özet Tablosu Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim
35 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Siber Güvenliğin Sağlanması 3.1.
36 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Kişisel Veri Güvenliğinin Takibi 3.2. Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi (a)
37 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Kişisel Veri Güvenliğinin Takibi 3.2. Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi (b)
38 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Kişisel Veri Güvenliğinin Takibi 3.2. Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi) (c )
39 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Kişisel Veri Güvenliğinin Takibi 3.2. Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması (ç)
40 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Kişisel Veri Güvenliğinin Takibi 3.2. Çalışanların sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları kullanan

tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması (d)

41 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Kişisel Veri İçeren Ortamların Güvenliğinin
Sağlanması 3.3.
42 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Kişisel Verilerin Bulutta Depolanması 3.4.
43 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme
ve Bakımı 3.5.
44 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Kişisel Verilerin Yedeklenmesi 3.6.
45 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Özet Tablo Yetki Matrisi
46 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Özet Tablo Yetki Kontrol
47 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Özet Tablo Erişim Logları
48 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Özet Tablo Kullanıcı Hesap Yönetimi
49 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Özet Tablo
50 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Özet Tablo Uygulama Güvenliği
51 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Özet Tablo Şifreleme
52 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Özet Tablo
53 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Özet Tablo Saldırı Tespit ve Önleme Sistemler
54 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Özet Tablo Log Kayıtları
55 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Özet Tablo Veri
56 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Özet Tablo Veri Kaybı Önleme Yazılımları
57 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Özet Tablo Yedekleme
58 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Özet Tablo Güvenlik Duvarları
59 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Özet Tablo Güncel Anti-Virüs Sistemler
60 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Özet Tablo Silme, Yok Etme veya
61 Yayınlar- Kişisel Veri Güvenliği Rehberi-Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler Özet Tablo
62 “Bilgi ve İletişim Güvenliği Tedbirleri” konulu 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi Hakkında 1.Nüfus, sağlık ve iletişim kayıt bilgileri ile genetik ve biyometrik veriler gibi kritik bilgi ve veriler yurtiçinde güvenli bir şekilde depolanacaktır.
63 “Bilgi ve İletişim Güvenliği Tedbirleri” konulu 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi Hakkında 2. Kamu kurum ve kuruluşlarında yer alan kritik veriler, internete kapalı ve fiziksel Güvenliği sağlanmış bir ortamda bulunan güvenli bir ağda tutulacak, bu ağda kullanılacak cihazlara erişim kontrollü olarak sağlanacak ve log kayıtları değiştirilmeye karşı önlem alınarak saklanacaktır.
64 “Bilgi ve İletişim Güvenliği Tedbirleri” konulu 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi Hakkında 3.Kamu kurum ve kuruluşlarına ait veriler, kurumların kendi özel sistemleri veya kurum kontrolündeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde saklanmayacaktır.
65 “Bilgi ve İletişim Güvenliği Tedbirleri” konulu 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi Hakkında 4.Mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere, mobil uygulamalar üzerinden, gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.
66 “Bilgi ve İletişim Güvenliği Tedbirleri” konulu 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi Hakkında 5.Sosyal medya üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.
67 “Bilgi ve İletişim Güvenliği Tedbirleri” konulu 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi Hakkında 6.Sosyal medya ve haberleşme uygulamalarına ait yerli uygulamaların kullanımı tercih edilecektir.
68 “Bilgi ve İletişim Güvenliği Tedbirleri” konulu 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi Hakkında 7.Kamu kurum ve kuruluşlarınca gizlilik dereceli bilgilerin işlendiği yerlerde yayma Güvenliği (TEMPEST) veya benzeri güvenlik önlemleri alınacaktır.
69 “Bilgi ve İletişim Güvenliği Tedbirleri” konulu 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi Hakkında 8.Kritik veri, doküman ve belgelerin bulunduğu ve/veya görüşmelerin gerçekleştirildiği çalışma odalarında/ortamlarında mobil cihazlar ve veri transferi özelliğine sahip cihazlar bulundurulmayacaktır.
70 “Bilgi ve İletişim Güvenliği Tedbirleri” konulu 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi Hakkında 9.Gizlilik dereceli veya kurumsal mahremiyet içeren veri, doküman ve belgeler kurumsal olarak yetkilendirilmemiş veya kişisel olarak kullanılan cihazlarda (dizüstü bilgisayar, mobil cihaz, harici bellek vb.) bulundurulmayacaktır.
71 “Bilgi ve İletişim Güvenliği Tedbirleri” konulu 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi Hakkında 10.Kişisel olarak kullanılanlar da dâhil olmak üzere kaynağından emin olunmayan taşınabilir cihazlar (dizüstü bilgisayar, mobil cihazlar, harici bellek/disk, CD/DVD vb.) kurum sistemlerine bağlanmayacaktır. Gizlilik dereceli verilerin saklandığı cihazlar, ancak içerisinde yer alan veriler donanımsal ve/veya yazılımsal olarak kriptolanmak suretiyle kurum dışına çıkarılabilecek; bu amaçla kullanılan cihazlar kayıt altına alınacaktır.
72 “Bilgi ve İletişim Güvenliği Tedbirleri” konulu 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi Hakkında 11.Yerli ve milli kripto sistemlerinin geliştirilmesi teşvik edilerek, kurumlara ait gizlilik dereceli haberleşmenin bu sistemler üzerinden gerçekleştirilmesi sağlanacaktır.
73 “Bilgi ve İletişim Güvenliği Tedbirleri” konulu 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi Hakkında 12.Kamu kurum ve kuruluşlarınca temin edilecek yazılım veya donanımların kullanım amacına uygun olmayan bir özellik ve arka kapı (kullanıcıların bilgisi/izni olmaksızın sistemlere erişim imkânı sağlayan güvenlik zafiyeti) açıklığı içermediğine dair üretici ve/veya tedarikçilerden imkânlar ölçüsünde taahhütname alınacaktır.
74 “Bilgi ve İletişim Güvenliği Tedbirleri” konulu 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi Hakkında 13.Yazılımların güvenli olarak geliştirilmesi ile ilgili tedbirler alınacaktır. Temin edilen veya geliştirilen yazılımlar kullanılmadan önce güvenlik testlerinden geçirilerek kullanılacaktır.
75 “Bilgi ve İletişim Güvenliği Tedbirleri” konulu 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi Hakkında 14.Kurum ve kuruluşlar, siber tehdit bildirimleri ile ilgili gerekli tedbirleri alacaktır.
76 “Bilgi ve İletişim Güvenliği Tedbirleri” konulu 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi Hakkında 15.Üst düzey yöneticiler de dahil olmak üzere, personelin sistemlere erişim yetkilendirmelerinin, fiilen yürütülen işler ve ihtiyaçlar nazara alınarak yapılması sağlanacaktır.
77 “Bilgi ve İletişim Güvenliği Tedbirleri” konulu 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi Hakkında 16.Endüstriyel kontrol sistemlerinin internete kapalı konumda tutulması sağlanacak, söz konusu sistemlerin internete açık olmasının zorunlu olduğu durumlarda ise gerekli güvenlik önlemleri (güvenlik duvarı, uçtan uca tünelleme yöntemleri, yetkilendirme ve kimliklendirme mekanizmaları vb.) alınacaktır.
78 “Bilgi ve İletişim Güvenliği Tedbirleri” konulu 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi Hakkında 17.Milli Güvenliği doğrudan etkileyen stratejik önemi haiz kurum ve kuruluşların üst yöneticileri ile kritik altyapı, tesis ve projelerde görev alacak kritik önemi haiz personel hakkında ilgili mevzuat çerçevesinde güvenlik soruşturması veya arşiv araştırması yaptırılacaktır.
79 “Bilgi ve İletişim Güvenliği Tedbirleri” konulu 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi Hakkında 18.Kamu e-posta sistemlerinin ayarlan güvenli olacak biçimde yapılandırılacak, e- posta sunucuları, ülkemizde ve kurumun kontrolünde bulundurulacak ve

sunucular arasındaki iletişimin şifreli olarak yapılması sağlanacaktır.

80 “Bilgi ve İletişim Güvenliği Tedbirleri” konulu 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi Hakkında 19. Kurumsal olmayan şahsi e-posta adreslerinden kurumsal iletişim yapılmayacak, kurumsal e-postalar şahsi amaçlarla (özel iletişim, kişisel sosyal medya hesapları vb.) kullanılmayacaktır.
81 “Bilgi ve İletişim Güvenliği Tedbirleri” konulu 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi Hakkında 20. Haberleşme hizmeti sağlamak üzere yetkilendirilmiş işletmeciler Türkiye’de internet değişim noktası kurmakla yükümlüdür. Yurtiçinde değiştirilmesi gereken yurtiçi iletişim trafiğinin yurtdışına çıkarılmamasına yönelik tedbirler alınacaktır.
82 “Bilgi ve İletişim Güvenliği Tedbirleri” konulu 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi Hakkında 21.İşletmeciler tarafından, kritik kurumların bulunduğu bölgelerdeki veriler, radyolink ve benzeri yöntemlerle taşınmayacak, fiber optik kablolar üzerinden taşınacaktır. Kritik veri iletişiminde, radyolink haberleşmesi kullanılmayacak; ancak kullanımın zorunlu olduğu durumlarda veriler milli kripto sistemlerine sahip cihazlar kullanılarak kriptolanacaktır.
83 “Bilgi ve İletişim Güvenliği Rehberi” Tüm kamu kurum ve kuruluşları ile kritik altyapı hizmeti veren işletmelerde yeni kurulacak bilgi sistemlerinde, Rehberde yer verilen usul ve esaslara uyulması zorunludur. yayınlanacak
84 “Bilgi ve İletişim Güvenliği Rehberi” Milli Güvenliğin sağlanması ve gizliliğin korunması kapsamında yürütülen görev ve faaliyetler hariç olmak üzere kurum ve kuruluşlar, Rehberin uygulanmasına ilişkin denetim mekanizmalarını oluşturacak ve yılda en az bir defa uygulamayı denetleyecektir. Denetim sonuçlan ile yapılan düzeltici ve önleyici faaliyetler, Rehberde belirtilen usul ve esaslara göre bir rapor halinde Dijital Dönüşüm Ofisine iletilecektir. yayınlanacak
85 VERBİS’e kayıtta veri envanterinde beyan edilecek veri 1. Ağ Güvenliği ve uygulama Güvenliği sağlanmaktadır.
86 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 2. Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
87 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 3. Anahtar yönetimi uygulanmaktadır.
88 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 4. Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
89 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 5. Bulutta depolanan kişisel verilerin Güvenliği sağlanmaktadır.
90 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 6. Çalışanlar için veri Güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
91 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 7. Çalışanlar için veri Güvenliği konusunda belli aralıklarla Eğitim ve farkındalık çalışmaları yapılmaktadır.
92 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 8. Çalışanlar için yetki matrisi oluşturulmuştur.
93 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 9. Erişim logları düzenli olarak tutulmaktadır.
94 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 10. Erişim, bilgi Güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlamıştır.
95 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 11. Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
96 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 12. Gizlilik taahhütnameleri yapılmaktadır.
97 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 13. Görev değişikliği olan ya da işten ayrılan Çalışanların bu alandaki yetkileri kaldırılmaktadır.
98 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 14. Güncel anti-virüs sistemleri kullanılmaktadır.
99 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 15. Güvenlik duvarları kullanılmaktadır.
100 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 16. İmzalanan sözleşmeler veri Güvenliği hükümleri içermektedir.
101 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 17. Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
102 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 18. Kişisel veri Güvenliği politika ve prosedürleri belirlenmiştir.
103 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 19. Kişisel veri Güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
104 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 20. Kişisel veri güvenliğinin takibi yapılmaktadır.
105 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 21. Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
106 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 22. Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı Güvenliği sağlanmaktadır.
107 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 23. Kişisel veri içeren ortamların Güvenliği sağlanmaktadır.
108 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 24. Kişisel veriler mümkün olduğunca azaltılmaktadır.
109 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 25. Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin Güvenliği de sağlanmaktadır.
110 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 26. Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
111 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 27. Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
112 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 28. Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
113 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 29. Mevcut risk ve tehditler belirlenmiştir.
114 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 30. Özel nitelikli kişisel veri Güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
115 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 31. Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve
116 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
117 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 32. Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
118 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 33. Saldırı tespit ve önleme sistemleri kullanılmaktadır.
119 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 34. Sızma testi uygulanmaktadır.
120 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 35. Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
121 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 36. Şifreleme yapılmaktadır.
122 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 37. Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
123 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 38. Veri işleyen hizmet sağlayıcılarının veri Güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
124 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 39. Veri işleyen hizmet sağlayıcılarının, veri Güvenliği konusunda farkındalığı sağlanmaktadır.
125 VERBİS’e kayıtta veri envanterinde beyan edilecek veri güvenlik tedbirleri 40. Veri kaybı önleme yazılımları kullanılmaktadır.