Kuruluşumuzun yönetim anlayışı ile öncelikli amacımız; hizmet verilen kurum ve kuruluşların güvenini temin etmek ve verdiğimiz hizmetler için kullandığımız bilgi varlıklarımızın güvenliğini sağlamaktır. Bu bağlamda; iç paydaşlarımız ve dış paydaşlarımız ile kurduğumuz ve yürütmekte olduğumuz ilişkilerimiz çok değerlidir. Sunmakta olduğumuz ürün ve hizmetlerin sürekliliği, elimizde tuttuğumuz bilgilerin gizliliği, müşterilerin veya kendi içimizdeki bilgi varlıklarının bütünlüğü en yüksek öneme sahiptir. Bilgi Güvenliği ile ilgili olarak hukuka, yasal, düzenleyici ya da sözleşmeye tabi yükümlülüklere ve her türlü güvenlik gereksinimlerine ilişkin ihlalleri önlemek için, üst yönetimin yaklaşımını tanımlamak, tüm çalışanlara ve ilgili taraara bu yaklaşımı bildirmektir.
Bu politika; Kuruluşumuzun bünyesinde yapılan ticari faaliyetlere ve bu işlemlere ilişkin lojistik, depolama, muhasebe, nans, kalite güvence, satın alma, insan kaynakları, hukuk, satış, pazarlama, iç denetim ve bilgi işlem faaliyetlerinden elde edilen elektronik bilgi varlıkların korunması, şirket bünyesinde tutulan kişisel verilerin kanun kapsamında işlenmesi, saklanması, korunması, gizliliğinin ve bütünlüğünün bozulmaması için kullanılan bilgi güvenliği süreçlerinin tamamını kapsar.
İç Kapsam (İdare, kuruluşa ilişkin yapı, roller ve yükümlülükler;)
Kuruluş Yönetimi bünyesindeki tüm departmanlar ve çalışanlar,
Genel Yönetim Organizasyon Şemasında belirtilmiş roller ve görev tanımlarındaki sorumluluklar,
Kuruluşumuza ait ziksel çalışma alanları,
Kullanılan yazılım ve donanımların yapısı ve ekipmanlar,
Çalışanların risk ve fırsat değerlendirmelerine katılım yöntemleri,
İSG-Ç Hedeeri ve Çalışmaları,
Yerine getirilecek politikalar, prosedürler, hedeer ve stratejiler;
Bilgi Güvenliği Yönetim Sistemi Politikası,
Tüm Bilgi Güvenliği yönetim sistemleri prosedürleri,
Yönetimce belirlenmiş yıllık Bilgi Güvenliği yönetim sistemleri hedeeri,
Kaynaklar ve bilgi birikimi cinsinden anlaşılan yetenekler (örneğin, anapara, zaman, kişiler, süreçler, sistemler ve teknolojiler),
Bilgi Güvenliği Yönetim Sisteminin kurulması, işletilmesi ve sürdürülmesi için yönetim tarafından atanan Yönetim Temsilcileri ve Bilgi Güvenliği Yönetim Sistemi ekibi,
İç paydaşlarla ilişkiler ve onların anlayışları ve değerleri, kuruluşun kültürü, kuruluş tarafından uygulanan standartlar, kılavuzlar ve modeller, sözleşmeye ilişkin ilişkilerin; biçim ve genişliğini kapsamaktadır.
Dış Kapsam
Uluslararası, ulusal, bölgesel veya yerel olmak üzere, sosyal ve kültürel, politik, yasal, mevzuata ilişkin, nansal, teknolojik, ekonomik, doğal ve rekabetçi ortam,
Ulusal ve Uluslararası Rekabet Hukuku, Politikaları ve Prosedürleri,
Tedarikçi ve müşteri verilerinin gizliliği,
Kalite Odaklılık,
Kuruluşun hedeeri üzerinde etkisi bulunan paydaşlarla ilişkiler ve onların anlayışları ve değerleri;
İlgili tüm yasal mevzuat, düzenleyici, sözleşmeden doğan şartlar, standartlar,
TSE ve diğer kuruluşlarla olan ürün belgelendirmeleri,
Teknolojik Yeniliklere Ayak Uydurmak,
Tedarikçiler,
Doğal afetler, enerji kesintileri, siber saldırılar
Bilgi Güvenliği Yönetim Sistemi (BGYS) Politikası ile bu politika ışığında tanımlanan diğer dokümanlarda kişilere verilen sorumlulukların kapsamı aşağıdaki tabloda belirtilmiş olup, yayın tarihinden sonra hazırlanan yeni bir dokümanda yeni bir sorumlu/sorumluluk belirlenmesi durumu
4.1. Genel
Bu politika ile çerçevesi çizilen bilgi güvenliği gereksinimleri ve kurallarına ilişkin ayrıntıları, Tüm çalışanları ve üçüncü taraarı bilmek ve çalışmalarını bunlara uygun şekilde yürütmekle yükümlüdür.
Bu kural ve politikaların, aksi belirtilmedikçe, basılı veya elektronik ortamda depolanan ve işlenen tüm bilgiler ile bütün bilgi sistemlerinin kullanımı için dikkate alınması esastır.
BGYS, TS ISO/IEC 27001 "Bilgi Teknolojisi (Information Technology) Güvenlik Teknikleri (Security Techniques) ve Bilgi Güvenliği Yönetim Sistemleri (Information Security Management Systems) Gereksinimler (Requirements)" standardını temel alarak yapılandırılmalı ve işletilmelidir.
BGYS ’nin hayata geçirilmesi, işletilmesi ve iyileştirilmesi çalışmaları, ilgili taraarın katkısıyla yürütülmelidir.
Kuruluş tarafından tüm çalışanlara veya üçüncü taraara sunulan bilgi sistemleri ve altyapısı ile bu sistemler kullanılarak üretilen her türlü bilgi, belge ve ürün aksini gerektiren kanun hükümleri veya sözleşmeler bulunmadıkça kuruluşa ait sayılacaktır.
Çalışanlar, tüm üçüncü parti şirketler (Kuruluş kaynaklarına iletişimi olan danışmanlar, rmalar vb.) ve Stajyerler ile gizlilik anlaşmaları yapılmalıdır.
İşe alım, görev değişikliği ve işten ayrılma süreçlerinde uygulanacak bilgi güvenliği kontrolleri belirlenir ve uygulamaya alınması esastır.
Tüm Çalışanların bilgi güvenliği farkındalığını artıracak ve sistemin işleyişine katkıda bulunmasını sağlayacak eğitimler düzenli olarak mevcut şirket çalışanlarına ve yeni işe başlayan çalışanlara verilmelidir.
Bilgi güvenliğinin gerçek ya da şüpheli tüm ihlalleri rapor edilmeli; ihlallere sebep olan uygunsuzluklar tespit edilmeli, ana sebepleri bulunarak tekrar edilmesini engelleyici önlemler alınması sağlanmalıdır.
Bilgi varlıklarının envanteri bilgi güvenliği yönetim ihtiyaçları doğrultusunda oluşturulmalı ve varlık sahiplikleri atanmalıdır.
Kurumsal veriler sınıandırılmalı ve her sınıftaki verilerin güvenlik ihtiyaçları ve kullanım kuralları belirlenmelidir.
Güvenli alanlarda saklanan varlıkların ihtiyaçlarına paralel ziksel güvenlik kontrolleri uygulamaya konulmalıdır.
Kuruluşumuza ait bilgi varlıkları kapsamında kuruluş içinde veya dışında maruz kalınabilecek ziksel tehditlere karşı gerekli kontrol ve politikalar ayrıca geliştirilmeli ve uygulamaya alınmalıdır.
Kapasite yönetimi, üçüncü taraar ile ilişkiler, yedekleme, sistem kabulü ve diğer güvenlik süreçlerine ilişkin prosedür ve talimatlar geliştirilmeli ve uygulamaya alınmalıdır.
Ağ cihazları, işletim sistemleri, sunucular ve uygulamalar için denetim kaydı üretme kongürasyonları ile ilgili sistemlerin güvenlik ihtiyaçlarına paralel biçimde ayarlanmalı; denetim kayıtlarının yetkisiz erişime karşı korunması sağlanmalıdır.
Erişim hakları ihtiyaç nispetinde atanmalı; erişim kontrolü için mümkün olan en güvenli teknoloji ve tekniklerin kullanılması sağlanmalıdır.
Sistem temini ve geliştirilmesinde güvenlik gereksinimleri belirlenip, sistem kabulü veya testlerinde güvenlik gereksinimlerinin karşılanıp karşılanmadığı düzenli aralıklarla kontrol edilmelidir.
Kritik altyapı için süreklilik planları hazırlanmalı, altyapının bakımı ve tatbikatı yapılmalıdır.
Yasalara, iç politika ve prosedürlere, teknik güvenlik standartlarına uyum için gerekli süreçler ile sapmalar ve özel durumları işlemek için süreçler tasarlanmalı, sürekli ve periyodik olarak yapılacak gözetim ve denetim faaliyetleri ile uyum güvencesi sağlanmalıdır.
4.2. Hedeer
BGYS Politikası, Kuruluş çalışanlarına güvenlik gereksinimlerine uygun şekilde hareket etmesi konusunda yol göstermek, bilinç ve farkındalık seviyelerini arttırmak ve bu şekilde Kuruluşun temel ve destekleyici iş faaliyetlerinin en az kesinti ile devam etmesini sağlamak, güvenilirliğini ve imajını korumak ve üçüncü taraar ile yapılan sözleşmelerde belirlenmiş uygunlukları sağlamak amacıyla Kuruluşun tüm işleyişini etkileyen ziksel ve elektronik bilgi varlıklarının korunmasını hedeemelidir.
Kuruluşumuzda belirlemiş olduğumuz iş stratejisi kapsamında; BGYS uygulama kültürünü hem iç hem dış paydaşlara entegre ederek; standardize edilmiş bir biçimde bilgi güvenliğini gizlilik, bütünlük ve erişilebilirlik kapsamında kesintisiz korumak ana hedeerden olmalıdır.
Yönetim Tarafından belirlenen hedeer belirli periyotlarda izlenmeli ve Yönetim Gözden Geçirme çalışmalarında gözden geçirilmelidir.
Kuruluş içi organizasyonumuzda; bilgi güvenliği rolleri ve sorumlulukları aşağıdaki başlıklar altında tanımlanır;
Görevlerin Ayrılığı; Çelişen görevler ve sorumluluklar, yetkilendirilmemiş veya kasıtsız değişiklik fırsatlarını veya kuruluş varlıklarının yanlış kullanımını azaltmak amacıyla ayrılma ilkesi ile belirlenmelidir.
Her bir varlık ya da bilgi güvenliği süreci için sorumluluk tahsis edilmeli ve sorumluluk detayları yazılı hale getirilmelidir.
Yetkilendirme seviyeleri belirlenmeli ve kayıt altına alınmalıdır.
Bilgi güvenliği sorumluluklarının tahsisi bilgi güvenliği politikaları ile uyumlu şekilde yapılmalıdır.
Varlıkların korunması ve özel güvenlik süreçlerinin yürütülmesi için yerel sorumluluklar açıkça tanımlanmalıdır.
Kuruluşun risk yönetim çerçevesi; Varlıkların tanımlanması, Bilgi güvenliği risklerinin ve fırsatlarının belirlenmesi, değerlendirilmesini ve işlenmesini;
Bilgi güvenliği risk yönetimi faaliyetleri ve artık risklerin kabulü için sorumlulukları ve;
Risk Analizi, uygulanabilirlik bildirgesi ve risk işleme planı, bilgi güvenliği risklerinin nasıl kontrol edildiğini tanımlamalıdır.
Risk işleme planının yönetiminden ve gerçekleştirilmesinden BGYS Yürütme ve Yönetim Komitesi sorumlu sayılmalıdır.
Tüm bu çalışmalar, ilgili prosedür ve talimatlar ile tanımlanarak kayıt altına alınmalıdır.
Bilgi Güvenliğini tehdit eden unsurlar; iç tehdit ve dış tehdit unsurları olarak; bu politika ve diğer politikalar çerçevesinde ayrıntılı olarak ele alınmalıdır.
BGYS Politikası ve Standartlarına uyulmadığının tespit edilmesi durumunda, bu ihlalden sorumlu olan çalışanlar için uygulanacak yaptırımlar tanımlanmalı ve çalışanlara da bildirilmelidir.
Üçüncü taraar için ise geçerli olan sözleşmelerde geçen ilgili maddelerde uygulanması muhtemel olan yaptırımlar belirlenmelidir.
Yönetim gözden geçirme toplantıları BGYS Üst Yönetim Temsilcisi tarafından organize edilerek, yönetim ve bölüm yöneticileri katılımı ile gerçekleştirilmelidir.
BGYS'nin uygunluğunun ve etkinliğinin değerlendirildiği bu toplantılar en az yılda bir kez organize edilmelidir.
YGG Çalışmalarının şekli ve kuralları prosedürler ile kayıt altına alınmalıdır.
BGYS Politikası’nın sürekliliğinin sağlanmasından ve gözden geçirilmesinden BGYS ekibi sorumludur.
Politika dokümanları; Kuruluşta ciddi bir değişiklik olmadığı sürece en az yılda bir kez gözden geçirilmelidir.
Kuruluşun çevresinde, iş koşullarında, yasal şartlarda veya teknik ortamdaki değişimler ile sistem yapısını veya risk değerlendirmesini etkileyecek herhangi bir değişiklikten sonra da hemen gözden geçirilmeli ve bir değişiklik gerekiyorsa Yönetime onaylatılarak yeni versiyon olarak kayıt altına alınmalıdır.
Her revizyon hem iç hem de dış paydaşların erişebileceği şekilde yayınlanmalıdır.