WHATSAPP HATTI İLETİŞİM
ENGLISH TÜRKÇE AZƏRBAYCAN ქართული ROMÂNĂ O‘ZBEK РУССКИЙ
İLETİŞİM

BİLGİ GÜVENLİĞİ POLİTİKASI

Amaç

Bu politika, kuruluşumuzun bilgi varlıklarının korunmasını sağlamak ve kuruluşun güvenlik, gizlilik, bütünlük ve erişilebilirlik standartlarını belirlemek amacıyla hazırlanmış olup, bilgi güvenliği politikamız hem müşteri verilerini hem de şirket içi verileri korumak, bu verilere yetkisiz erişimi önlemek ve ilgili yasal ve düzenleyici gereksinimlere uymayı güvence altına almak için gerekli prosedürlerin belirlenmesini sağlar.

Kapsam

Bu politika, kuruluşun dijital ve fiziksel ortamlarda yer alan tüm bilgi varlıklarını, bu varlıklara erişim sağlayan bilgi sistemlerini, süreçleri, hizmetleri ve teknolojik altyapıyı kapsar. Politika kapsamında ayrıca, bu sistem ve varlıklarla doğrudan veya dolaylı şekilde etkileşimde bulunan tüm iç ve dış paydaşlar; çalışanlar, temsilciler, iş ortakları, üçüncü taraf hizmet sağlayıcıları, danışmanlar ve kuruluşla etkileşime giren diğer tüm kişi ve kuruluşlar yer almaktadır.

Sorumluluklar

  • Yönetim Kurulu: Bilgi güvenliği stratejilerinin ve politikalarının onaylanmasından sorumludur.

  • Bilgi Güvenliği Ekibi: Politikaların uygulanmasını sağlar, bilgi güvenliği risklerini yönetir ve düzenli olarak güvenlik kontrollerini gerçekleştirir.

  • Çalışanlar: Bilgi güvenliği politikalarına uymaktan, kişisel ve kurumsal sorumluluklarını yerine getirmekten sorumludur.

Bilgi Güvenliği İlkeleri

  • Gizlilik: Müşteri ve kurum bilgilerinin gizliliği korunmalı, yetkisiz erişime karşı korunmalıdır.

  • Bütünlük: Bilgilerin doğruluğu ve tamlığı sağlanmalı, yetkisiz değişiklikler engellenmelidir.

  • Erişilebilirlik: Bilgiler, ihtiyaç duyulduğunda yetkili kişiler tarafından erişilebilir olmalıdır.

Genel Esaslar

Bilgi güvenliğinin sağlanması, bilgi varlıklarının korunması ve sürdürülebilir şekilde yönetilmesi açısından bilgi sistemleri yönetiminin en temel ve stratejik unsurlarından biridir. İş süreçlerinin giderek bilgi sistemlerine daha da bağlı hale gelmesi, bu alandaki tehditlerin de artmasını beraberinde getirmiştir. Kuruluş olarak, bu tehditleri en iyi şekilde ele alan bir bilgi güvenliği yönetimi süreci geliştirmek ve bilgi güvenliği olaylarından kaynaklı kayıpları en aza indirmek, temel değerlerimiz arasında yer almaktadır. Bilgi güvenliği süreci, kurumumuzda üretilen ve işlenen tüm bilgilerin gizliliğini, bütünlüğünü ve erişilebilirliğini korumayı amaçlar. Bunun için, risk seviyesine uygun teknik ve idari kontroller ile önlemler belirlenir ve bilgi güvenliğinin bir kurum kültürü haline gelmesi için gereken önlemler alınır. Bilgi güvenliği açısından yasal uyumu sağlanmak amacıyla gerekli çalışmalar yürütülür. Bilgi güvenliğini sağlamaya yönelik politika ve prosedürler oluşturulur, bunların tüm çalışanlara ve ilgili üçüncü taraflara yaygınlaştırılması sağlanır. Bilgi güvenliği süreci düzenli olarak gözden geçirilerek sürekli iyileştirilmesine yönelik aksiyonlar alınır. Personele güvenlik konusunda farkındalık kazanmaları amacıyla, her sene periyodik olarak Bilgi Güvenliği Farkındalık Eğitimleri düzenlenir. Bilgi Güvenliği Farkındalık eğitimlerine katılım tüm personel için zorunlu olup gerekli görülen durumlarda, üçüncü taraf firma personelinden de eğitime katılmaları istenebilir. Eğitim içeriği her sene gözden geçirilerek değişiklik ihtiyacı tespit edilen durumlarda güncellenir. Bilgi sistemleri ve bilgi sistemleri üzerinde işlenen, iletilen, depolanan ve yedek olarak tutulan veriler güvenlik hassasiyet derecelerine göre sınıflanır, her bir sınıf için uygun düzeyde güvenlik kontrolleri tesis edilir. Bu konu ile ilgili işleyiş ve sorumluluklar “Bilgi Varlıkları Sınıflandırma Prosedürü” doğrultusunda düzenlenmektedir. Tüm personel ve ilgili verilere erişen üçüncü parti firma çalışanları “Bilgi Varlıkları Sınıflandırma Prosedürü” doğrultusunda varlık ve varlık sınıfları için belirlenen güvenlik, gizlilik, erişim, iletim ve ilgili diğer kontrollerine uymakla yükümlüdürler.

Bilgi sistemlerine ilişkin sistem, veri tabanı ve uygulamaların geliştirilmesinde, test edilmesinde ve işletilmesinde görevler ayrılığı prensibi uygulanır, atanan görevler ve sorumluluklar görevler ayrılığı prensibine göre periyodik olarak gözden geçirilir ve gerekiyorsa güncellenir. Süreçler ve sistemler, kritik işlemlerin tek bir personel veya tedarikçi tarafından başlatılması, onaylanması ve tamamlanmasına olanak tanımayacak şekilde tasarlanır. Bilgi sistemlerinin zarar görmemesi ve diğer tüm kritik bilgi varlıklarının fiziksel ve çevresel tehditlerden korunması amacıyla sistem odasına ait fiziksel ve çevresel güvenlik önlemleri ile fiziksel ortam erişim yönetimi süreci “Fiziksel ve Çevresel Güvenlik Yönetimi Prosedürü” kapsamında tanımlanmıştır. Tüm personelin bu prosedür hükümlerine uygun hareket etmesini sağlamak amacıyla gerekli kontroller ilgili birimler tarafından gerçekleştirilir. Bilgi sistemleri üzerinden gerçekleşen işlemler için kimlik doğrulama mekanizmaları kullanılır. Hangi kimlik doğrulama tekniklerinin uygulanacağına, yapılacak risk değerlendirmesi sonucuna göre karar verilir. Risk değerlendirmesi, bilgi sistemleri üzerinden gerçekleştirilmesi planlanan işlemlerin türü (tipi, niteliği, varsa doğuracağı finansal ve finansal olmayan etkilerinin büyüklüğü gibi), işleme konu verinin hassaslık derecesi ve kimlik doğrulama tekniğinin uygulanabilirliği ve kullanım kolaylığı da göz önünde bulundurularak gerçekleştirilir. Kurum bünyesindeki yetkili ve standart kullanıcı hesaplarının yönetimi, bilgi sistemlerine ve uygulamalarına erişim ve kullanıcı hesapları şifrelerinin standartlara uygun şekilde oluşturulması, kullanılması, korunması, değiştirilmesi ve tanımlanan şifrelerle ilgili kullanıcıların bilgilendirme süreci “Kullanıcı Kimlik ve Hesap Yönetimi Prosedürü” doğrultusunda gerçekleştirilir. Yetkilendirme düzeyi ve erişim haklarının atanmasında ilgili unsurun görev ve sorumlulukları göz önünde bulundurularak, gerekli olacak en düşük yetkinin atanması ve en kısıtlı erişim hakkının verilmesi yaklaşımı esas alınır. Bilgi sistemlerinde ve ağlarında oluşabilecek güvenlik olaylarının en kısa sürede algılanması, sebeplerinin analiz edilmesi için yeterli verinin toplanması, olası sistem aksaklıklarının en kısa sürede çözümlenmesi, ihlallere ve saldırılara karşı alınacak aksiyonların belirlenmesi, ilgili yerlere raporlanması ve bilgi güvenliği ihlalleriyle ilgili risklerin minimize edilmesine ilişkin sorumluluklar ve aktiviteler “Olay Yönetimi Prosedürü” dahilinde tanımlanmaktadır. Tüm personelin prosedür doğrultusunda belirlenen sürece uyumu ve güvenlik ihlallerini Bilgi Teknolojileri Yöneticisine/Bilgi Güvenliği Sorumlusuna bildirmesi esastır. Bilgi sistemlerinin, gerçekleşebilecek iç ve dış tehditleri kapsayan senaryolar doğrultusunda yılda en az bir defa düzenli olarak sızma testine tabi tutulması sağlanır. Zafiyet taraması ve sızma testleri sonucunda tespit edilen öncelikli bulgular, raporlarında yer alan öneriler dikkate alınarak mümkün olan en kısa süre içerisinde giderilir. Bulgular giderilinceye kadar uygun koruyucu tedbirlerin alınması sağlanır. Zafiyet taraması ve sızma testleri sonucunda tespit edilen bulguların makul bir süre içerisinde giderilmesi, bu amaçlar oluşturulan ve kuruluş yönetim kurullarınca onaylanan bir eylem planı çerçevesinde takip edilir. Kurum bünyesinde kullanıcı bilgisayarlarının ve verilerin yetkisiz kullanımını engellemek amacıyla çalışanların günlük iş akışları sırasında dikkat etmesi gereken standartlar aşağıda belirtilmiştir:

a. Önemli bilgi içeren dokümanlar ve veri depolama cihazları (CD, DVD, Flash Disk vb.) kullanılmadığı zamanlarda veya mesai saatleri dışında güvenli alanlarda saklanmalıdır. Eğer bu doküman ve cihazların saklanabileceği güvenli kasa veya dolaplar mevcut değilse, bulundukları odanın kapısı kilitli tutulmalıdır. Eğer mümkünse önemli bilgiler sadece yetkisiz erişimlerden değil, bilgilerin yok olmasına neden olabilecek dış etkenlerden (yangın, sel vb.) de korunmalıdır.

b. Taşınabilir belleklerle transfer edilen tüm dosyalar ve veriler kullanıldıktan sonra silinir, transfer haricinde bellekler üzerinde hiçbir veri tutulmamalıdır. Aynı şekilde ortak alanlarda paylaşılan tüm dosyalar, transfer gerçekleştikten sonra hemen silinmelidir.

c. Tüm taşınabilir cihazlar (dizüstü ve tablet bilgisayarlar, akıllı telefonlar, taşınabilir bellekler vb.) için şifreli ekran-koruyucular belirlenmelidir. Taşınabilir cihazlar gözetimsiz şekilde bırakılmamalıdır.

d. Bilgisayar ekranları, yetkisiz kişilerin göremeyeceği şekilde tutulmalıdır.

e. Kullanıcılar çalışma alanlarını terk ederken bilgisayar ekranlarını kilitlemelidir.

f. Şifreler, fiziksel ortamlarda (kâğıt, post-it vb.) yazılı şekilde bulundurulmamalıdır.

g. Mesai saatleri dışında, çalışma ortamları temiz ve düzenli bırakılmalıdır.

h. Eğer kullanılıyorsa Flipchart ve beyaz tahta gibi sunum ekipmanları üzerindeki yazılı bilgiler silinmelidir.

i. Veri depolama cihazlarının saklandığı alanlar, her zaman kapalı ve kilitli tutulmalıdır.

j. Gizli dokümanlar çöp kovasına atılmamalıdır, iş bittiğinde dokümanlar parçalanarak atılmalıdır.

k. Çekmeceler kilitli tutulmalı ve anahtarlar göz önünden kaldırılarak saklanmalıdır.

l. Kritik bilgi içeren dokümanların çıktısı alındıktan sonra ortalıkta bırakılmamalıdır.

Uyumluluk

Kuruluşumuz, yürürlükteki yerel ve uluslararası bilgi güvenliği ve veri koruma yasalarına ve düzenlemelerine uygun hareket etmeyi taahhüt eder. Tüm çalışanlar ve ilgili taraflar bu uyumluluğu sağlamakla yükümlüdür.

Politika Revizyonu

Bilgi güvenliği politikası, değişen teknoloji ve mevzuata uygun olarak yılda en az bir kez gözden geçirilmeli ve gerektiğinde güncellenmelidir. Güncellenen politika, Yönetim Kurulu tarafından onaylandığı takdirde, yayınlanarak tüm kullanıcılara haberleşme kanalları vasıtasıyla duyurulur (örneğin; e-posta, intranet portalı, kurum içi panolar aracılığıyla).

Bilgi Güvenliği Politikası

whatsapp-footer

Whatsapp Numarası

0850 252 22 22
İLETİŞİME GEÇ
whatsapp-icon