Corporate
SUPREME COURT INFORMATION SECURITY CONTEXT
The Supreme Court has adopted the ISO 27001 Information Security Management System (ISMS) in order to ensure the reliability and continuity of the judicial services it carries out within the framework of the Constitution of the TRNC and the relevant legislation.
Our institution analyses the following in alignment with the strategic objectives of the ISMS:
External Context: Changes in TRNC legislation, regulations of the Information Technologies and Communications Authority, regional cyber threats, and technological developments.
Internal Context: The institutional structure, judicial information and data assets, personnel competence, and IT infrastructure.
Our primary objective is to protect the confidentiality, integrity, and availability of information, in accordance with legal requirements, while delivering justice services throughout the TRNC.
NEEDS AND EXPECTATIONS OF INTERESTED PARTIES
The relevant parties within the scope of the Supreme Court ISMS and their legal expectations are defined below:
Citizens and Individuals Involved in Judicial Proceedings: Protection of the confidentiality of personal information and data relating to judicial processes, and uninterrupted access to systems such as the Lawyer Portal.
Employees: Protection of personal data in accordance with the Personal Data Protection Law No. 89/2007 and the provision of a secure working environment.
Supervisory Authorities and the Information Technologies and Communications Authority: Compliance with the TRNC Cybercrime Law, the Personal Data Protection Law, and ISO 27001 standards.
Suppliers: Compliance with contractual confidentiality requirements and local information security standards.
SENIOR MANAGEMENT ISMS DECLARATION
As the Senior Management of the Supreme Court, we declare the following in order to protect our institution’s information assets and to enhance the effectiveness of the ISMS:
We will allocate all necessary resources required for the operation of the ISMS.
We will integrate information security objectives with the principles of judicial independence and confidentiality.
We will ensure compliance with TRNC legislation, including the Personal Data Protection Law No. 89/2007, the Cybercrime Law, and ISO 27001 standards.
We will periodically review the performance of the system through "Management Review" processes.
We will promote cyber security awareness at all levels of personnel and protect the institutional reputation and judicial independence of the Supreme Court in the digital environment in accordance with TRNC laws.
BİLGİ GÜVENLİĞİ POLİTİKASI
1. AMAÇ
Bilgi Güvenliği Politikamız, kuruluşumuzun sahip olduğu bilgi varlıklarının içeriden veya dışarıdan, bilerek ya da bilmeyerek meydana gelebilecek her türlü tehdide karşı korunmasını sağlamayı amaçlamaktadır. Ayrıca, Bilgi Güvenliği Yönetim Sistemini (BGYS) etkin bir şekilde çalıştırmayı, sürekli iyileştirmeyi ve tüm personelin politika esaslarına uymasını sağlamaktadır.
2. KAPSAM
Bu politika, kuruluşumuzun tüm çalışanlarını, bilgi sistemlerini, ağ altyapılarını, dijital uygulama ve platformlarını kapsamaktadır. Sadece elektronik ortamda tutulan verilerin değil; yazılı, basılı, sözlü ve benzeri ortamda bulunan tüm verilerin güvenliği ile ilgilenilmesini hedefler.
3. SORUMLULAR
Bilgi Güvenliği Yöneticisi / Sorumlusu: Bilgi güvenliği süreçlerinin koordinasyonundan, politika uygulamalarından ve ihlallerin raporlanmasından sorumludur.
Üst Yönetim: Bilgi güvenliği hedeflerini onaylar, kaynak sağlar ve risk kabul kriterlerini belirler.
Departman Yöneticileri: Kendi süreçlerinde bilgi güvenliği kontrollerinin uygulanmasını ve çalışanların uyumunu sağlar.
Tüm Çalışanlar: BGYS politika ve prosedürlerine uymak ve bilgi güvenliği ihlallerini derhal rapor etmekle yükümlüdür.
4. POLİTİKA
4.1. Yönetim Taahhütü
Üst Yönetim; Bilgi Güvenliği Yönetim Sisteminin kurumsal stratejik hedeflerle uyumlu şekilde kurulması, uygulanması ve sürekli iyileştirilmesi için gerekli olan tüm kaynakları sağlamayı taahhüt eder. Kuruluşumuz, başta 89/2007 Sayılı Kişisel Verilerin Korunması Yasası olmak üzere tüm KKTC yasal mevzuatına ve sözleşmeye tabi gerekliliklere tam uyumu esas alır. Yönetim; bilgi güvenliği politika ve hedeflerinin tüm paydaşlar tarafından anlaşılmasını desteklemeyi, ilgili resmi makamlar ve profesyonel ilgi grupları ile etkin iletişimi sürdürmeyi ve siber güvenliği Yüksek Mahkeme’nin kurumsal kültürünün ayrılmaz bir parçası haline getirmeyi liderlik ve hesap verebilirlik ilkeleriyle beyan ve taahhüt eder.
4.2. Bilgi Güvenliği Hedefleri ve İlkeleri
Yürütülen tüm faaliyetlerde Bilgi Güvenliği Yönetim Sisteminin üç temel öğesinin sürekliliğini sağlamak esastır.
- Gizlilik (Confidentiality): Önem taşıyan bilgilere yetkisiz erişimlerin önlenmesi ve kullanıma sunulan bilgi varlıklarının izinsiz veya yetkisiz bir biçimde erişimi, ifşa edilmesi, ortadan kaldırılması, el değiştirmesi ve hasar verilmesinin önlenmesidir.
- Bütünlük (Integrity): Bilginin doğruluk ve bütünlüğünün sağlandığının gösterilmesi; bilginin yetkisiz değiştirilmesinin, hasar verilmesinin veya el değiştirmesinin önlenmesidir.
- Erişilebilirlik (Availability): Yetkisi olanların gerektiği hallerde bilgiye ulaşılabilirliğinin gösterilmesi ve bilgiye erişilebilirliği iş süreçleriyle gerektiği şekilde sağlamaktır.
4.3. Bilgi Güvenliği Politika Çerçevesi
Kuruluşumuz, bilgi güvenliğini sağlamak amacıyla aşağıdaki özel alanlarda detaylı politikalar oluşturmuş ve uygulamaya almıştır:
|
Alan |
İlgili Politikalar |
|
Risk Yönetimi |
Risk Yönetimi Politikası |
|
Varlık ve Veri Yönetimi |
Varlık Yönetimi Politikası, Bilgi Sınıflandırma ve Etiketleme Politikası, Veri Saklama Politikası, Veri İmha Politikası |
|
Erişim ve Kimlik Güvenliği |
Erişim Kontrol Politikası, Parola Yönetimi Politikası |
|
Operasyonel Güvenlik |
Yedekleme Politikası, Log Yönetimi Politikası, Zararlı Yazılım ve Antivirüs Politikası, Ağ Güvenliği Politikası,Uç Nokta Güvenliği Politikası |
|
İş Sürekliliği |
İş Sürekliliği ve Felaket Kurtarma Politikası |
|
Uyum |
Kişisel Verilerin Korunması Politikası |
Ayrıca, Bilgi Güvenliği Yönetim Sistemini destekleyen diğer politikaları şunlardır:
- Değişiklik Yönetimi Politikası
- Temiz Masa Temiz Ekran Politikası
- Güvenli Yazılım Geliştirme Politikası
- Fiziksel ve Çevresel Güvenlik Politikası
- Test Politikası
- Veri İhlal Politikası
- Performans Değerlendirme Politikası
4.4. Proje Yönetimi ve Geliştirme Güvenliği
Kurum bünyesinde yürütülen tüm yazılım geliştirme, altyapı değişikliği veya hizmet alımı gibi projelerde, bilgi güvenliği gereksinimleri en başından itibaren planlama aşamasına entegre edilir. Proje yaşam döngüsü boyunca periyodik risk değerlendirmeleri yapılarak; verinin gizliliği, bütünlüğü ve erişilebilirliği kriterleri tüm proje çıktıları için temel birer gereksinim olarak tanımlanır. Proje aşamalarındaki kritik dönüm noktalarında güvenlik kontrolleri gözden geçirilir ve gerekli güvenlik onayları alınmadan bir sonraki aşamaya geçilmez.
Bu çerçevede, geliştirme süreçleri “Güvenli Yazılım Geliştirme Politikası” ve “Test Politikası” esaslarına uygun olarak yürütülür. Yazılım geliştirme ve test faaliyetleri, üretim ortamından izole edilmiş güvenli ortamlarda gerçekleştirilir. Geliştirilen uygulamaların canlı ortama alınmasından önce güvenlik testleri ve kullanıcı kabul testleri yapılarak sistemin dayanıklılığı ve iş gereksinimlerini karşılama düzeyi doğrulanır. Proje kapsamında kullanılan tüm test verileri, kişisel verilerin korunması mevzuatına uygun şekilde maskelenir veya anonim hale getirilir.
4.5. BGYS Performans Değerlendirme ve İyileştirme
Sistemin etkinliği; belirlenen performans göstergeleri (KPI), risk işleme planlarının başarısı ve ihlal olaylarının analizi yoluyla ölçülmelidir. Bu kapsamda, bilgi işleme sistemlerinin, ağ bileşenlerinin ve fiziksel alanların kaynak kullanımı düzenli olarak izlenir. Mevcut ve beklenen kapasite gereksinimleri analiz edilerek, hizmet kesintilerini önlemek ve sistem performansını optimize etmek amacıyla gerekli kapasite ayarlamaları ve kaynak planlaması önceden yapılır. Tespit edilen tüm uygunsuzluklar, kapasite yetersizlikleri ve gelişim fırsatları, “Düzeltici Faaliyet ve İyileştirme Prosedürü” hükümleri doğrultusunda kayıt altına alınmalı, kök neden analizi yapılarak kalıcı olarak giderilmelidir.
4.6. Denetim ve Gözden Geçirme
Kurumun bilgi güvenliği kontrollerinin ve tüm BGYS politikalarının uygulama düzeyi ile standartlara uyumu, planlanan aralıklarla tarafsız denetçilerce kontrol edilmelidir. Denetim sonuçları, olay raporları ve sistem performans verileri; üst yönetim tarafından “Yönetimin Gözden Geçirme Prosedürü” çerçevesinde değerlendirilerek sistemin sürekliliği ve gerekli kaynak tahsisi garanti altına alınmalıdır.
4.7. Veri İhlal Bildirimi ve Olay Yönetimi
Kişisel verilerin veya gizli bilgilerin yetkisiz kişilerce ele geçirilmesi (veri ihlali) durumunda, olay müdahale planı derhal devreye alınmalıdır. İhlalin niteliğine göre, yasal mevzuatın öngördüğü süreler içerisinde ilgili kurullara ve etkilenen kişilere bildirim yapılması zorunludur. Tüm olaylar kayıt altına alınmalı ve tekrarlanmaması için gerekli düzeltici faaliyetler başlatılmalıdır.
4.8. Risk Yönetimi Yaklaşımı
Kuruluşumuz risk odaklı bir yaklaşım benimser. Bilgi Güvenliği konusunda periyodik olarak değerlendirmeler yaparak mevcut riskleri tespit etmek; değerlendirmeler sonucunda, aksiyon planlarını gözden geçirmek ve takibini yapmak esastır. Risk Yönetimi Politikası kapsamında, riskler düzenli olarak değerlendirilir ve kabul edilebilir seviyeye indirilene kadar önlemler alınır.
4.9. Yasal ve Düzenleyici Uyum
Kuruluşumuz, yürütülen tüm faaliyetlerde Kuzey Kıbrıs Türk Cumhuriyeti (KKTC) yasal mevzuat gereksinimlerini karşılamayı taahhüt eder. Bu kapsamda;
- 89/2007 Sayılı Kişisel Verilerin Korunması Yasası,
- 32/2020 Sayılı Bilişim Suçları Yasası,
- Sektörel düzenlemeler ve sözleşmelerden doğan tüm hukuki yükümlülüklere uyum zorunludur.
4.10. Politikanın Gözden Geçirilmesi
Bu politika, teknolojik değişiklikler, yasal gereklilikler veya güvenlik olayları doğrultusunda yılda en az bir kez gözden geçirilir ve gerektiğinde güncellenir.
EN 
TR