WHATSAPP HATTI İLETİŞİM
ENGLISH TÜRKÇE AZƏRBAYCAN ქართული ROMÂNĂ O‘ZBEK РУССКИЙ
İLETİŞİM

BİLGİ GÜVENLİĞİ POLİTİKASI

Amaç

Bu politika, kuruluşumuzun bilgi varlıklarının korunmasını sağlamak ve kuruluşun güvenlik, gizlilik, bütünlük ve
erişilebilirlik standartlarını belirlemek amacıyla hazırlanmış olup, bilgi güvenliği politikamız hem müşteri
verilerini hem de şirket içi verileri korumak, bu verilere yetkisiz erişimi önlemek ve ilgili yasal ve düzenleyici
gereksinimlere uymayı güvence altına almak için gerekli prosedürlerin belirlenmesini sağlar.

Kapsam

Bu politika, kuruluşun dijital ve fiziksel ortamlarda yer alan tüm bilgi varlıklarını, bu varlıklara erişim sağlayan
bilgi sistemlerini, süreçleri, hizmetleri ve teknolojik altyapıyı kapsar.
Politika kapsamında ayrıca, bu sistem ve varlıklarla doğrudan veya dolaylı şekilde etkileşimde bulunan tüm iç ve
dış paydaşlar; çalışanlar, temsilciler, iş ortakları, üçüncü taraf hizmet sağlayıcıları, danışmanlar ve kuruluşla
etkileşime giren diğer tüm kişi ve kuruluşlar yer almaktadır.

Sorumluluklar

  • Yönetim Kurulu: Bilgi güvenliği stratejilerinin ve politikalarının onaylanmasından sorumludur.

  • Bilgi Güvenliği Ekibi: Politikaların uygulanmasını sağlar, bilgi güvenliği risklerini yönetir ve düzenli
    olarak güvenlik kontrollerini gerçekleştirir.

  • Çalışanlar: Bilgi güvenliği politikalarına uymaktan, kişisel ve kurumsal sorumluluklarını yerine
    getirmekten sorumludur.

Bilgi Güvenliği İlkeleri

  • Gizlilik: Müşteri ve kurum bilgilerinin gizliliği korunmalı, yetkisiz erişime karşı korunmalıdır.

  • Bütünlük: Bilgilerin doğruluğu ve tamlığı sağlanmalı, yetkisiz değişiklikler engellenmelidir.

  • Erişilebilirlik: Bilgiler, ihtiyaç duyulduğunda yetkili kişiler tarafından erişilebilir olmalıdır.

Genel Esaslar

Bilgi güvenliğinin sağlanması, bilgi varlıklarının korunması ve sürdürülebilir şekilde yönetilmesi açısından bilgi
sistemleri yönetiminin en temel ve stratejik unsurlarından biridir. İş süreçlerinin giderek bilgi sistemlerine daha da
bağlı hale gelmesi, bu alandaki tehditlerin de artmasını beraberinde getirmiştir. Kuruluş olarak, bu tehditleri en iyi
şekilde ele alan bir bilgi güvenliği yönetimi süreci geliştirmek ve bilgi güvenliği olaylarından kaynaklı kayıpları
en aza indirmek, temel değerlerimiz arasında yer almaktadır.
Bilgi güvenliği süreci, kurumumuzda üretilen ve işlenen tüm bilgilerin gizliliğini, bütünlüğünü ve erişilebilirliğini
korumayı amaçlar. Bunun için, risk seviyesine uygun teknik ve idari kontroller ile önlemler belirlenir ve bilgi
güvenliğinin bir kurum kültürü haline gelmesi için gereken önlemler alınır. Bilgi güvenliği açısından yasal uyumu
sağlanmak amacıyla gerekli çalışmalar yürütülür. Bilgi güvenliğini sağlamaya yönelik politika ve prosedürler
oluşturulur, bunların tüm çalışanlara ve ilgili üçüncü taraflara yaygınlaştırılması sağlanır. Bilgi güvenliği süreci
düzenli olarak gözden geçirilerek sürekli iyileştirilmesine yönelik aksiyonlar alınır.
Personele güvenlik konusunda farkındalık kazanmaları amacıyla, her sene periyodik olarak Bilgi Güvenliği
Farkındalık Eğitimleri düzenlenir. Bilgi Güvenliği Farkındalık eğitimlerine katılım tüm personel için zorunlu olup
gerekli görülen durumlarda, üçüncü taraf firma personelinden de eğitime katılmaları istenebilir. Eğitim içeriği her
sene gözden geçirilerek değişiklik ihtiyacı tespit edilen durumlarda güncellenir.
Bilgi sistemleri ve bilgi sistemleri üzerinde işlenen, iletilen, depolanan ve yedek olarak tutulan veriler güvenlik
hassasiyet derecelerine göre sınıflanır, her bir sınıf için uygun düzeyde güvenlik kontrolleri tesis edilir. Bu konu
ile ilgili işleyiş ve sorumluluklar “Bilgi Varlıkları Sınıflandırma Prosedürü” doğrultusunda düzenlenmektedir.
Tüm personel ve ilgili verilere erişen üçüncü parti firma çalışanları “Bilgi Varlıkları Sınıflandırma Prosedürü”
doğrultusunda varlık ve varlık sınıfları için belirlenen güvenlik, gizlilik, erişim, iletim ve ilgili diğer kontrollerine
uymakla yükümlüdürler.

Bilgi sistemlerine ilişkin sistem, veri tabanı ve uygulamaların geliştirilmesinde, test edilmesinde ve işletilmesinde
görevler ayrılığı prensibi uygulanır, atanan görevler ve sorumluluklar görevler ayrılığı prensibine göre periyodik
olarak gözden geçirilir ve gerekiyorsa güncellenir. Süreçler ve sistemler, kritik işlemlerin tek bir personel veya
tedarikçi tarafından başlatılması, onaylanması ve tamamlanmasına olanak tanımayacak şekilde tasarlanır.
Bilgi sistemlerinin zarar görmemesi ve diğer tüm kritik bilgi varlıklarının fiziksel ve çevresel tehditlerden
korunması amacıyla sistem odasına ait fiziksel ve çevresel güvenlik önlemleri ile fiziksel ortam erişim yönetimi
süreci “Fiziksel ve Çevresel Güvenlik Yönetimi Prosedürü” kapsamında tanımlanmıştır. Tüm personelin bu
prosedür hükümlerine uygun hareket etmesini sağlamak amacıyla gerekli kontroller ilgili birimler tarafından
gerçekleştirilir.
Bilgi sistemleri üzerinden gerçekleşen işlemler için kimlik doğrulama mekanizmaları kullanılır. Hangi kimlik
doğrulama tekniklerinin uygulanacağına, yapılacak risk değerlendirmesi sonucuna göre karar verilir. Risk
değerlendirmesi, bilgi sistemleri üzerinden gerçekleştirilmesi planlanan işlemlerin türü (tipi, niteliği, varsa
doğuracağı finansal ve finansal olmayan etkilerinin büyüklüğü gibi), işleme konu verinin hassaslık derecesi ve
kimlik doğrulama tekniğinin uygulanabilirliği ve kullanım kolaylığı da göz önünde bulundurularak gerçekleştirilir.
Kurum bünyesindeki yetkili ve standart kullanıcı hesaplarının yönetimi, bilgi sistemlerine ve uygulamalarına
erişim ve kullanıcı hesapları şifrelerinin standartlara uygun şekilde oluşturulması, kullanılması, korunması,
değiştirilmesi ve tanımlanan şifrelerle ilgili kullanıcıların bilgilendirme süreci “Kullanıcı Kimlik ve Hesap
Yönetimi Prosedürü” doğrultusunda gerçekleştirilir. Yetkilendirme düzeyi ve erişim haklarının atanmasında ilgili
unsurun görev ve sorumlulukları göz önünde bulundurularak, gerekli olacak en düşük yetkinin atanması ve en
kısıtlı erişim hakkının verilmesi yaklaşımı esas alınır.
Bilgi sistemlerinde ve ağlarında oluşabilecek güvenlik olaylarının en kısa sürede algılanması, sebeplerinin analiz
edilmesi için yeterli verinin toplanması, olası sistem aksaklıklarının en kısa sürede çözümlenmesi, ihlallere ve
saldırılara karşı alınacak aksiyonların belirlenmesi, ilgili yerlere raporlanması ve bilgi güvenliği ihlalleriyle ilgili
risklerin minimize edilmesine ilişkin sorumluluklar ve aktiviteler “Olay Yönetimi Prosedürü” dahilinde
tanımlanmaktadır. Tüm personelin prosedür doğrultusunda belirlenen sürece uyumu ve güvenlik ihlallerini Bilgi
Teknolojileri Yöneticisine/Bilgi Güvenliği Sorumlusuna bildirmesi esastır.
Bilgi sistemlerinin, gerçekleşebilecek iç ve dış tehditleri kapsayan senaryolar doğrultusunda yılda en az bir defa
düzenli olarak sızma testine tabi tutulması sağlanır. Zafiyet taraması ve sızma testleri sonucunda tespit edilen
öncelikli bulgular, raporlarında yer alan öneriler dikkate alınarak mümkün olan en kısa süre içerisinde giderilir.
Bulgular giderilinceye kadar uygun koruyucu tedbirlerin alınması sağlanır. Zafiyet taraması ve sızma testleri
sonucunda tespit edilen bulguların makul bir süre içerisinde giderilmesi, bu amaçlar oluşturulan ve kuruluş
yönetim kurullarınca onaylanan bir eylem planı çerçevesinde takip edilir.
Kurum bünyesinde kullanıcı bilgisayarlarının ve verilerin yetkisiz kullanımını engellemek amacıyla çalışanların
günlük iş akışları sırasında dikkat etmesi gereken standartlar aşağıda belirtilmiştir:

a. Önemli bilgi içeren dokümanlar ve veri depolama cihazları (CD, DVD, Flash Disk vb.) kullanılmadığı
zamanlarda veya mesai saatleri dışında güvenli alanlarda saklanmalıdır. Eğer bu doküman ve cihazların
saklanabileceği güvenli kasa veya dolaplar mevcut değilse, bulundukları odanın kapısı kilitli tutulmalıdır. Eğer
mümkünse önemli bilgiler sadece yetkisiz erişimlerden değil, bilgilerin yok olmasına neden olabilecek dış
etkenlerden (yangın, sel vb.) de korunmalıdır.

b. Taşınabilir belleklerle transfer edilen tüm dosyalar ve veriler kullanıldıktan sonra silinir, transfer haricinde
bellekler üzerinde hiçbir veri tutulmamalıdır. Aynı şekilde ortak alanlarda paylaşılan tüm dosyalar, transfer
gerçekleştikten sonra hemen silinmelidir.

c. Tüm taşınabilir cihazlar (dizüstü ve tablet bilgisayarlar, akıllı telefonlar, taşınabilir bellekler vb.) için şifreli
ekran-koruyucular belirlenmelidir. Taşınabilir cihazlar gözetimsiz şekilde bırakılmamalıdır.

d. Bilgisayar ekranları, yetkisiz kişilerin göremeyeceği şekilde tutulmalıdır.

e. Kullanıcılar çalışma alanlarını terk ederken bilgisayar ekranlarını kilitlemelidir.

f. Şifreler, fiziksel ortamlarda (kâğıt, post-it vb.) yazılı şekilde bulundurulmamalıdır.

g. Mesai saatleri dışında, çalışma ortamları temiz ve düzenli bırakılmalıdır.

h. Eğer kullanılıyorsa Flipchart ve beyaz tahta gibi sunum ekipmanları üzerindeki yazılı bilgiler silinmelidir.

i. Veri depolama cihazlarının saklandığı alanlar, her zaman kapalı ve kilitli tutulmalıdır.

j. Gizli dokümanlar çöp kovasına atılmamalıdır, iş bittiğinde dokümanlar parçalanarak atılmalıdır.

k. Çekmeceler kilitli tutulmalı ve anahtarlar göz önünden kaldırılarak saklanmalıdır.

l. Kritik bilgi içeren dokümanların çıktısı alındıktan sonra ortalıkta bırakılmamalıdır.

Uyumluluk

Kuruluşumuz, yürürlükteki yerel ve uluslararası bilgi güvenliği ve veri koruma yasalarına ve düzenlemelerine
uygun hareket etmeyi taahhüt eder. Tüm çalışanlar ve ilgili taraflar bu uyumluluğu sağlamakla yükümlüdür.

Politika Revizyonu

Bilgi güvenliği politikası, değişen teknoloji ve mevzuata uygun olarak yılda en az bir kez gözden geçirilmeli ve
gerektiğinde güncellenmelidir. Güncellenen politika, Yönetim Kurulu tarafından onaylandığı takdirde,
yayınlanarak tüm kullanıcılara haberleşme kanalları vasıtasıyla duyurulur (örneğin; e-posta, intranet portalı, kurum
içi panolar aracılığıyla).

Bilgi Güvenliği Politikası

whatsapp-footer

Whatsapp Numarası

0850 252 22 22
İLETİŞİME GEÇ
whatsapp-icon