Kurumsal
YÜKSEK MAHKEME BİLGİ GÜVENLİĞİ BAĞLAMI
Yüksek Mahkeme, KKTC Anayasası ve ilgili yasalar çerçevesinde yürüttüğü yargı hizmetlerinin güvenilirliğini ve sürekliliğini sağlamak amacıyla ISO 27001 Bilgi Güvenliği Yönetim Sistemi’ni (BGYS) benimsemiştir.
Kurumumuz;
Dış Bağlamda: KKTC mevzuatındaki değişiklikler,Bilgi Teknolojileri ve Haberleşme Kurumu düzenlemeleri, bölgesel siber tehditler ve teknolojik gelişmeleri,
İç Bağlamda: Kurumsal yapı, yargısal bilgi ve veri varlıkları, personel yetkinliği ve bilişim altyapısını,
BGYS stratejik hedefleriyle uyumlu olarak analiz eder. Temel amacımız, KKTC genelindeki adalet hizmetlerini yürütürken bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini yasal şartlara uygun olarak korumaktır.
İLGİLİ TARAFLARIN İHTİYAÇ VE BEKLENTİLERİ
Yüksek Mahkeme BGYS kapsamındaki ilgili taraflar ve bu tarafların yasal beklentileri aşağıda tanımlanmıştır:
Vatandaşlar ve Yargısal Sürece Dahil Olan Kişiler: Yargı süreçlerine ait kişisel bilgi ve verilerin gizliliğinin korunması ve Avukat Portalı benzeri sistemlere kesintisiz erişim.
Çalışanlar: 89/2007 Sayılı Kişisel Verilerin Korunması Yasası uyarınca kişisel verilerin korunması ve güvenli çalışma ortamı.
Denetleyici Kurumlar ve BTHK: KKTC Bilişim Suçu Yasası, Kişisel Verilerin Korunması Yasası ve ISO 27001 standartlarına uyum.
Tedarikçiler: Sözleşmesel gizlilik şartlarına ve yerel bilişim güvenliği standartlarına uyum.
ÜST YÖNETİM BGYS BEYANI
Yüksek Mahkeme Üst Yönetimi olarak; kurumumuzun bilgi varlıklarını korumak ve BGYS’nin etkinliğini artırmak amacıyla aşağıdaki hususları beyan ederiz:
BGYS’nin işletilmesi için gerekli olan her türlü kaynağı tahsis edeceğimizi,
Bilgi güvenliği hedeflerini, mahkemelerin bağımsızlığı ve gizliliği ilkesiyle bütünleşik hale getireceğimizi,
KKTC yasal mevzuatları 89/2007 Sayılı Kişisel Verilerin Korunması Yasası, Bilişim Suçu Yasası ve ISO 27001 standartlarına uyum sağlayacağımızı,
“Yönetimin Gözden Geçirmesi” süreçleri ile sistemin performansını periyodik olarak denetleyeceğimizi,
Siber güvenlik farkındalığını tüm personel düzeyinde yaygınlaştıracağımızı, Yüksek Mahkeme’nin kurumsal itibarını ve yargı bağımsızlığını dijital dünyada da KKTC yasalarına uygun şekilde koruyacağımızı beyan ederiz.
BİLGİ GÜVENLİĞİ POLİTİKASI
1. AMAÇ
Bilgi Güvenliği Politikamız, kuruluşumuzun sahip olduğu bilgi varlıklarının içeriden veya dışarıdan, bilerek ya da bilmeyerek meydana gelebilecek her türlü tehdide karşı korunmasını sağlamayı amaçlamaktadır. Ayrıca, Bilgi Güvenliği Yönetim Sistemini (BGYS) etkin bir şekilde çalıştırmayı, sürekli iyileştirmeyi ve tüm personelin politika esaslarına uymasını sağlamaktadır.
2. KAPSAM
Bu politika, kuruluşumuzun tüm çalışanlarını, bilgi sistemlerini, ağ altyapılarını, dijital uygulama ve platformlarını kapsamaktadır. Sadece elektronik ortamda tutulan verilerin değil; yazılı, basılı, sözlü ve benzeri ortamda bulunan tüm verilerin güvenliği ile ilgilenilmesini hedefler.
3. SORUMLULAR
Bilgi Güvenliği Yöneticisi / Sorumlusu: Bilgi güvenliği süreçlerinin koordinasyonundan, politika uygulamalarından ve ihlallerin raporlanmasından sorumludur.
Üst Yönetim: Bilgi güvenliği hedeflerini onaylar, kaynak sağlar ve risk kabul kriterlerini belirler.
Departman Yöneticileri: Kendi süreçlerinde bilgi güvenliği kontrollerinin uygulanmasını ve çalışanların uyumunu sağlar.
Tüm Çalışanlar: BGYS politika ve prosedürlerine uymak ve bilgi güvenliği ihlallerini derhal rapor etmekle yükümlüdür.
4. POLİTİKA
4.1. Yönetim Taahhütü
Üst Yönetim; Bilgi Güvenliği Yönetim Sisteminin kurumsal stratejik hedeflerle uyumlu şekilde kurulması, uygulanması ve sürekli iyileştirilmesi için gerekli olan tüm kaynakları sağlamayı taahhüt eder. Kuruluşumuz, başta 89/2007 Sayılı Kişisel Verilerin Korunması Yasası olmak üzere tüm KKTC yasal mevzuatına ve sözleşmeye tabi gerekliliklere tam uyumu esas alır. Yönetim; bilgi güvenliği politika ve hedeflerinin tüm paydaşlar tarafından anlaşılmasını desteklemeyi, ilgili resmi makamlar ve profesyonel ilgi grupları ile etkin iletişimi sürdürmeyi ve siber güvenliği Yüksek Mahkeme’nin kurumsal kültürünün ayrılmaz bir parçası haline getirmeyi liderlik ve hesap verebilirlik ilkeleriyle beyan ve taahhüt eder.
4.2. Bilgi Güvenliği Hedefleri ve İlkeleri
Yürütülen tüm faaliyetlerde Bilgi Güvenliği Yönetim Sisteminin üç temel öğesinin sürekliliğini sağlamak esastır.
- Gizlilik (Confidentiality): Önem taşıyan bilgilere yetkisiz erişimlerin önlenmesi ve kullanıma sunulan bilgi varlıklarının izinsiz veya yetkisiz bir biçimde erişimi, ifşa edilmesi, ortadan kaldırılması, el değiştirmesi ve hasar verilmesinin önlenmesidir.
- Bütünlük (Integrity): Bilginin doğruluk ve bütünlüğünün sağlandığının gösterilmesi; bilginin yetkisiz değiştirilmesinin, hasar verilmesinin veya el değiştirmesinin önlenmesidir.
- Erişilebilirlik (Availability): Yetkisi olanların gerektiği hallerde bilgiye ulaşılabilirliğinin gösterilmesi ve bilgiye erişilebilirliği iş süreçleriyle gerektiği şekilde sağlamaktır.
4.3. Bilgi Güvenliği Politika Çerçevesi
Kuruluşumuz, bilgi güvenliğini sağlamak amacıyla aşağıdaki özel alanlarda detaylı politikalar oluşturmuş ve uygulamaya almıştır:
|
Alan |
İlgili Politikalar |
|
Risk Yönetimi |
Risk Yönetimi Politikası |
|
Varlık ve Veri Yönetimi |
Varlık Yönetimi Politikası, Bilgi Sınıflandırma ve Etiketleme Politikası, Veri Saklama Politikası, Veri İmha Politikası |
|
Erişim ve Kimlik Güvenliği |
Erişim Kontrol Politikası, Parola Yönetimi Politikası |
|
Operasyonel Güvenlik |
Yedekleme Politikası, Log Yönetimi Politikası, Zararlı Yazılım ve Antivirüs Politikası, Ağ Güvenliği Politikası,Uç Nokta Güvenliği Politikası |
|
İş Sürekliliği |
İş Sürekliliği ve Felaket Kurtarma Politikası |
|
Uyum |
Kişisel Verilerin Korunması Politikası |
Ayrıca, Bilgi Güvenliği Yönetim Sistemini destekleyen diğer politikaları şunlardır:
- Değişiklik Yönetimi Politikası
- Temiz Masa Temiz Ekran Politikası
- Güvenli Yazılım Geliştirme Politikası
- Fiziksel ve Çevresel Güvenlik Politikası
- Test Politikası
- Veri İhlal Politikası
- Performans Değerlendirme Politikası
4.4. Proje Yönetimi ve Geliştirme Güvenliği
Kurum bünyesinde yürütülen tüm yazılım geliştirme, altyapı değişikliği veya hizmet alımı gibi projelerde, bilgi güvenliği gereksinimleri en başından itibaren planlama aşamasına entegre edilir. Proje yaşam döngüsü boyunca periyodik risk değerlendirmeleri yapılarak; verinin gizliliği, bütünlüğü ve erişilebilirliği kriterleri tüm proje çıktıları için temel birer gereksinim olarak tanımlanır. Proje aşamalarındaki kritik dönüm noktalarında güvenlik kontrolleri gözden geçirilir ve gerekli güvenlik onayları alınmadan bir sonraki aşamaya geçilmez.
Bu çerçevede, geliştirme süreçleri “Güvenli Yazılım Geliştirme Politikası” ve “Test Politikası” esaslarına uygun olarak yürütülür. Yazılım geliştirme ve test faaliyetleri, üretim ortamından izole edilmiş güvenli ortamlarda gerçekleştirilir. Geliştirilen uygulamaların canlı ortama alınmasından önce güvenlik testleri ve kullanıcı kabul testleri yapılarak sistemin dayanıklılığı ve iş gereksinimlerini karşılama düzeyi doğrulanır. Proje kapsamında kullanılan tüm test verileri, kişisel verilerin korunması mevzuatına uygun şekilde maskelenir veya anonim hale getirilir.
4.5. BGYS Performans Değerlendirme ve İyileştirme
Sistemin etkinliği; belirlenen performans göstergeleri (KPI), risk işleme planlarının başarısı ve ihlal olaylarının analizi yoluyla ölçülmelidir. Bu kapsamda, bilgi işleme sistemlerinin, ağ bileşenlerinin ve fiziksel alanların kaynak kullanımı düzenli olarak izlenir. Mevcut ve beklenen kapasite gereksinimleri analiz edilerek, hizmet kesintilerini önlemek ve sistem performansını optimize etmek amacıyla gerekli kapasite ayarlamaları ve kaynak planlaması önceden yapılır. Tespit edilen tüm uygunsuzluklar, kapasite yetersizlikleri ve gelişim fırsatları, “Düzeltici Faaliyet ve İyileştirme Prosedürü” hükümleri doğrultusunda kayıt altına alınmalı, kök neden analizi yapılarak kalıcı olarak giderilmelidir.
4.6. Denetim ve Gözden Geçirme
Kurumun bilgi güvenliği kontrollerinin ve tüm BGYS politikalarının uygulama düzeyi ile standartlara uyumu, planlanan aralıklarla tarafsız denetçilerce kontrol edilmelidir. Denetim sonuçları, olay raporları ve sistem performans verileri; üst yönetim tarafından “Yönetimin Gözden Geçirme Prosedürü” çerçevesinde değerlendirilerek sistemin sürekliliği ve gerekli kaynak tahsisi garanti altına alınmalıdır.
4.7. Veri İhlal Bildirimi ve Olay Yönetimi
Kişisel verilerin veya gizli bilgilerin yetkisiz kişilerce ele geçirilmesi (veri ihlali) durumunda, olay müdahale planı derhal devreye alınmalıdır. İhlalin niteliğine göre, yasal mevzuatın öngördüğü süreler içerisinde ilgili kurullara ve etkilenen kişilere bildirim yapılması zorunludur. Tüm olaylar kayıt altına alınmalı ve tekrarlanmaması için gerekli düzeltici faaliyetler başlatılmalıdır.
4.8. Risk Yönetimi Yaklaşımı
Kuruluşumuz risk odaklı bir yaklaşım benimser. Bilgi Güvenliği konusunda periyodik olarak değerlendirmeler yaparak mevcut riskleri tespit etmek; değerlendirmeler sonucunda, aksiyon planlarını gözden geçirmek ve takibini yapmak esastır. Risk Yönetimi Politikası kapsamında, riskler düzenli olarak değerlendirilir ve kabul edilebilir seviyeye indirilene kadar önlemler alınır.
4.9. Yasal ve Düzenleyici Uyum
Kuruluşumuz, yürütülen tüm faaliyetlerde Kuzey Kıbrıs Türk Cumhuriyeti (KKTC) yasal mevzuat gereksinimlerini karşılamayı taahhüt eder. Bu kapsamda;
- 89/2007 Sayılı Kişisel Verilerin Korunması Yasası,
- 32/2020 Sayılı Bilişim Suçları Yasası,
- Sektörel düzenlemeler ve sözleşmelerden doğan tüm hukuki yükümlülüklere uyum zorunludur.
4.10. Politikanın Gözden Geçirilmesi
Bu politika, teknolojik değişiklikler, yasal gereklilikler veya güvenlik olayları doğrultusunda yılda en az bir kez gözden geçirilir ve gerektiğinde güncellenir.
TR 
EN