BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ POLİTİKASI

Benzer belgeler
UE.18 Rev.Tar/No: /03 SAYFA 1 / 5

T. C. KAMU İHALE KURUMU

BGYS-PL-01 BİLGİ GÜVENLİĞİ POLİTİKASI

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

T. C. KAMU İHALE KURUMU

No : P.02 : 1 / 7 : : 0

POL.01 Rev.Tar/No: /1.0 HĠZMETE ÖZEL

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği

ÇELİKEL A.Ş. Bilgi Güvenliği Politikası

Bu dokümanla BGYS rollerinin ve sorumluluklarının tanımlanarak BGYS sürecinin efektif şekilde yönetilmesi hedeflenmektedir.

GÖREV TANIM FORMU A.POZİSYONUN KISA TANIMI KALİTE YÖNETİM SİSTEMLERİ MÜDÜRÜ KALİTE KONTROL BÖLÜMÜ B.POZİSYONUN GEREKTİRDİĞİ BİLGİ BECERİ DÜZEYİ

TARİH :06/08/2007 REVİZYON NO: 3. KALİTE EL KİTABI : YÖNETİM TEMSİLCİSİ. Sayfa 1 / 6

Bilgi Sistemleri Risk Yönetim Politikası

ISO/IEC Özdeğerlendirme Soru Listesi

T. C. KAMU İHALE KURUMU

RGN İLETİŞİM HİZMETLERİ A.Ş BİLGİ GÜVENLİĞİ POLİTİKASI

ISO 13485:2016 TIBBİ CİHAZLAR KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

GEÇİŞ İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ

MerSis. Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri

BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ

ISO 9001:2015 GEÇİŞ KILAVUZU

DOK-004 BGYS Politikası

Yöneticiler için Bilgi Güvenliği

ISO-BGYS-PL-02 Bilgi Güvenliği Politikası

GÖREV TANIM FORMU A.POZİSYONUN KISA TANIMI KALİTE YÖNETİM SİSTEMLERİ UZMANI KALİTE KONTROL BÖLÜMÜ B.POZİSYONUN GEREKTİRDİĞİ BİLGİ BECERİ DÜZEYİ

BİLGİ GÜVENLİĞİ POLİTİKASI

İŞ SÜREKLİLİĞİ POLİTİKASI

Bilgi Güvenliği Politikası. Arvato Bertelsmann İstanbul, Türkiye. Versiyon 2016_1. Arvato Türkiye. Yayınlayan

STRATEJİK YÖNETİM VE YÖNETİMİN GÖZDEN GEÇİRMESİ PROSEDÜRÜ

AHİ EVRAN ÜNİVERSİTESİ KALİTE YÖNETİM SİSTEMİ 2018 YILI UYGULAMA REHBERİ

STRATEJİK YÖNETİM VE YÖNETİMİN GÖZDEN GEÇİRMESİ PROSEDÜRÜ

Sibergüvenlik Faaliyetleri

BİLGİ GÜVENLİĞİ POLİTİKASI

BATMAN ÜNİVERSİTESİ İÇ KONTROL SİSTEMİ İZLEME GÖZDEN GEÇİRME VE DEĞERLENDİRME YÖNERGESİ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

BİLGİ GÜVENLİĞİ POLİTİKASI

STRATEJİK YÖNETİM VE YÖNETİMİN GÖZDEN GEÇİRMESİ PROSEDÜRÜ

Bilgi Güvenliği Yönetim Sistemi

İç Denetim Kontrol Formu

COBIT Bilgi Sistemleri Yönetimi. Şubat 2009

Yöneticilere Odaklı ISO Bilgilendirme TÜBİTAK BİLGEM Siber Güvenlik Enstitüsü

Prosedür. Kalite Yönetim Sisteminde Neden gerçekleştirilecek?

Analiz ve Kıyaslama Sistemi

STRATEJİK YÖNETİM VE YÖNETİMİN GÖZDEN GEÇİRİLMESİ PROSEDÜRÜ Doküman No: Yürürlük Tarihi: Revizyon Tarih/No:

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri

ĠÜ ONKOLOJĠ ENSTĠTÜSÜ BÜTÜNLEġĠK KALĠTE YÖNETĠM SĠSTEMĠ EL KĠTABI

KURULUŞ AMAÇ BAĞLAM KAPSAM

İŞ YATIRIM MENKUL DEĞERLER A.Ş. İŞ SÜREKLİLİĞİ PLANLAMASI A. AMAÇ

ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞİ İLE İLGİLİ BİLGİLENDİRME

Doküman No:ITP 16.1 Revizyon No: 01 Tarih: Sayfa No: 1/5 KALİTE SİSTEM PROSEDÜRLERİ PROJE YÖNETİMİ PROSEDÜRÜ

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001

AKSEL ENERJİ YATIRIM HOLDİNG A.Ş. KURUMSAL YÖNETİM KOMİTESİ

İş Sürekliliği Yönetimi ve İşe Etki Analizi için bir uygulama örneği

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kapsam - Terimler

KURULUŞ, AMAÇ, BAĞLAM, KAPSAM

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

ISO/IEC 27001:2013 REVİZYONU GEÇİŞ KILAVUZU

ANET Bilgi Güvenliği Yönetimi ve ISO Ertuğrul AKBAS [ANET YAZILIM]

BİLGİ GÜVENLİĞİ POLİTİKASI

Bilgi Teknolojileri Yönetişim ve Denetim Konferansı BTYD 2010

ISO 14001:2015 ÇEVRE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞİ

KALĠTE SĠSTEM DOKÜMANTASYONU

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

İŞ SÜREKLİLİĞİ YÖNETİM POLİTİKASI

AKDENİZ ÜNİVERSİTESİ KALİTE YÖNETİM SİSTEMİ

Notice Belgelendirme Muayene ve Denetim Hiz. A.Ş Onaylanmış Kuruluş 2764

bt-pota Bilgi Teknolojileri Hizmetleri Belgelendirme Standartları Merve Saraç Nisan 2008

BANKALARDA OPERASYONEL RİSK DENETİMİ

KURULUŞ, AMAÇ, BAĞLAM, KAPSAM A. KURUM PROFİLİ. B. Yönetim Sistemi İle İlgili İç ve Dış Hususlar

YÖNETİMİN SORUMLULUĞU PROSEDÜRÜ

KALİTE İÇ DEĞERLENDİRME RAPORU (KİDR) YAZIMI Van Yüzüncü Yıl Üniversitesi Kalite Komisyonu Ocak 2018

TÜRKĠYE BĠLĠMSEL VE TEKNOLOJĠK ARAġTIRMA KURUMU BĠLGĠ ĠġLEM DAĠRE BAġKANLIĞI ÇALIġMA USUL VE ESASLARI

C. Yönetim Sistemi İle İlgili Taraflar ve Bunların Şartları

DOĞAN BURDA DERGİ YAYINCILIK VE PAZARLAMA A.Ş. KURUMSAL YÖNETİM KOMİTESİ GÖREV VE ÇALIŞMA ESASLARI

KURULUŞ AMAÇ BAĞLAM KAPSAM. A. KURUM Profili. B. Yönetim Sistemi İle İlgili İç -Dış Hususlar İç Hususlar

Kurumsal Risk Yönetimi Sürecinde İç Denetimin Rolü ve Katkısı - Enerjisa Uygulaması -

INFORMATION SECURITY POLICY

ŞİKAYET VE İTİRAZ PROSEDÜRÜ

KOMİTELER VE ÇALIŞMA ESASLARI

ISO 9001 Kalite Terimleri

ISO Nedir? denir. ISO 16001, Enerji yönetimi standardı, maliyetlerinizi ve sera gazı emisyonlarınızı indirgeme temelli, etkili bir enerji yöneti

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

ISO Kurumsal Bilgi Güvenliği Standardı. Şenol Şen

AKDENİZ ÜNİVERSİTESİ KALİTE YÖNETİM SİSTEMİ UYGULAMA YÖNERGESİ

Risk Esaslı Denetim Planlaması ve Raporlaması. Kasım 2013 İstanbul

Süreç Danışmanlığı. KPMG Türkiye. kpmg.com.tr

Uyum Risk Yönetimi. KPMG İstanbul. Ekim 2014

Yeni Türk Ticaret Kanunu ile Kurumsallaşma, Denetim ve Risk Yönetimi. Ali Çiçekli, CPA, SMMM TTK İş Geliştirme Lideri 17 Ekim, Swissotel, İstanbul

TÜRK AKREDİTASYON KURUMU R20.08

SPK Bilgi Sistemleri Tebliğleri Uyum Yol Haritası

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

DOĞAN ŞİRKETLER GRUBU HOLDİNG A.Ş. KURUMSAL YÖNETİM KOMİTESİ GÖREV ve ÇALIŞMA ESASLARI

2015 YILI FAALİYET RAPORU KAYNAKLARI

KURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ KURUMSAL RİSK YÖNETİMİ: KAVRAMSAL VE TEORİK ÇERÇEVE

İÇ DENETİM PROSEDÜRÜ

KALİTE BİRİM SORUMLULARI EĞİTİMİ 11/08/2017. Ülkü BİLGİN Mali Hizmetler Uzmanı Stratejik Yönetim ve Planlama Birimi Yöneticisi

Transkript:

İçindekiler 1. AMAÇ... 2 2.KAPSAM... 2 3. SORUMLULUK... 2 4. REFERANSLAR... 2 5. UYGULAMA... 2 5.1 Bilgi Güvenliği Yaklaşımı... 2 5.2 BGYS nin Amaç ve Hedefleri... 2 5.3 BGYS Politikası... 3 5.4. BGYS Performans Göstergeleri... 4 5.5 Bilgi Güvenliği Organizasyonu... 6 5.5.1 Bilgi Güvenliği Yönlendirme Komitesi (Güvenlik Kurulu)... 6 5.5.2 Genel Müdür... 6 5.5.3 Bilgi Güvenliği Yöneticisi... 6 5.5.4 İş Birimi Yöneticileri... 6 5.6 İÇ ve DIŞ TARAFLARIN BEKLENTİLERİ... 6 6. DOKÜMAN KONTROLU... 7 6.1 Gözden Geçirme, Onay... 7 6.2 Versiyon Tarihçesi... 7 DK.BG.POL.01 Kurum İçi Sayfa 1 / 7

1. AMAÇ Bilgi Güvenliği Yönetim Sistemi (BGYS) Politikası nın amacı, DUKASİM in DK.BG.D.01 Kapsam Dokümanı nda belirtilen kapsamdaki şirketler, lokasyonlar, varlıklar, süreçler ve personel için şirket stratejileri doğrultusunda BGYS ye yönelik anlayışını aktarmak, BGYS amaç ve hedeflerini kayıt altına almak ve bu anlayışın uygulanması için yapılması gerekenleri tanımlamaktır. 2.KAPSAM Bilgi Güvenliği Yönetim Sistemi Politikası, DUKASİM in bilgi güvenliği yaklaşımını, Bilgi Güvenliği Yönetim Sisteminin amaçlarını, BGYS politikasını, BGYS organizasyon yapısını ve BGYS performansının nasıl ölçüleceğini tanımlar. Bu dokümanın ve tanımladığı yönetim sisteminin kapsamı, DK.BG.D.01 belirtilen birimler, süreçler ve varlıkları içermektedir. Kapsam Dokümanı nda 3. SORUMLULUK Bu dokümanın sahibi Bilgi Güvenliği Yöneticisidir. Yılda en az bir kez gözden geçirilmesi ve günün şartlarına göre güncellenmesinden Bilgi Güvenliği Yöneticisi sorumludur. 4. REFERANSLAR ISO 27001 5. UYGULAMA 5.1 Bilgi Güvenliği Yaklaşımı DUKASiM HABERLEŞME ve ELEKTRONİK SİSTEMLER SAN. TİC. LTD. ŞTİ. 15 yılı aşkın bir süredir kesintisiz olarak Ege ve Akdeniz Bölgesi başta olmak üzere Türkiye genelinde ve yurt dışında Haberleşme Sistemleri ve Network alanında satış, servis, montaj öncesi, montaj ve montaj sonrası bakım-onarım hizmetleri vermektedir. Zayıf akım alanında dünyanın önde gelen markalarının bayilikleriyle birlikte Turkcell Partnerlığı bulunmaktadır. Değerlerimize bağlılığımız sürecinde özellikle güvenilirlik ve operasyonel mükemmellik ilkelerimizle bağlantılı olarak, kurumumuz bünyesinde bir Bilgi Güvenliği Yönetim Sistemi (BGYS) kurmuş bulunuyoruz. Müşterilerimizle, iş ortaklarımızla, çalışanlarımızla, kamu kurumları, kanun koyucular ve düzenleyiciler ile karşılıklı güvene dayanan ilişkimizin temelini BGYS ile daha da güçlendiriyoruz. Bu amaçla, bilgi güvenliğinin sağlanması, güvenlik süreçlerinin iyileştirilmesi ile en üst seviyede verimliliğe en güvenli şekilde ulaşmayı hedefliyoruz. 5.2 BGYS nin Amaç ve Hedefleri DUKASİM bünyesinde uygulanmakta olan bilgi güvenliği yaklaşımının temel amaçları, kurumsal bilişim sistemlerinde herhangi bir aksama olmadan faaliyet göstermesi ve ihtiyaçlar doğrultusunda; DK.BG.POL.01 Kurum İçi Sayfa 2 / 7

DUKASİM bilişim sistemlerinde saklanan ve işlenen bilginin, yetkisiz ifşasının engellenmesi, bir başka deyişle bilgi güvenliğinin GİZLİLİK unsurunun tesis edilmesi, Bilginin kazara ya da yetkisiz kişiler tarafından kasıtlı olarak değiştirilmeye veya silinmeye karşı korunması, bir başka deyişle bilgi güvenliğinin BÜTÜNLÜK unsurunun tesis edilmesi, Bilginin gerek duyulduğunda yetkili kişiler tarafından erişilebilir olmasının sağlanması, bir başka deyişle bilgi güvenliğinin ERİŞİLEBİLİRLİK unsurunun tesis edilmesi olarak ifade edilmiştir. Bu doğrultuda kurulmuş olan BGYS nin hedefleri şu şekilde belirlenmiştir: Bilgi güvenliğine ilişkin hedefleri iş hedefleri ile uyumlu hale getirerek aynı zamanda iş stratejisinin bir parçası olmalarını sağlamak, Tüm kritik şirket bilgilerinin ihtiyaçlara uygun ve yönetilebilir bir şekilde korunmasını sağlamak, Kurumun bilgi iletişiminde bulunduğu iç ve dış tarafların beklentilerinin anlaşılması ve karşılanması ve bu süreçte doğan bilgi güvenliği ile ilgili risklerin tespit edilerek kabul edilebilir seviyeye indirilmesini sağlamak, Tüm şirketi, paydaşları ve iş ortaklarını da içeren bir bilgi güvenliği anlayışını yerleştirmek, Sürekli değişen ve gelişen teknolojileri takip ederek, ISO 27001:2013 standardının gereklilikleri ile uyumlu, ölçülebilir, raporlanabilir ve denetlenebilir bir bilgi güvenliği yönetim sistemi kurmak, Kritik süreçlerin ve sistemlerin sürekliliğini sağlamak üzere uygun iş sürekliliği planlarını ve sistemlerini geliştirmek ve bu kapsamda bilgi güvenliği unsurlarının sürekliliğini sağlamak, Bilgi güvenliği ihlal ve zafiyetlerini etkin bir şekilde yönetmek, tekrarlamalarını engellemek adına gerekli aksiyonları almak, DUKASİM nin tabi olduğu tüm kanun, mevzuat, yönetmelik, tebliğ, vb. düzenlemelerden kaynaklanan bilgi güvenliğine dair beklentileri karşılamak, bunların düzenli takibi ve iyileştirilmesi için takip mekanizmalarını kurmak. 5.3 BGYS Politikası DUKASİM yukarıda tanımlanan BGYS hedeflerine ulaşılıp ulaşılmadığını izleyebilmek adına aşağıda belirtilen şekilde bir model uygulanmaktadır. BGYS Yönetim Modeli DK.BG.POL.01 Kurum İçi Sayfa 3 / 7

Yukarıda belirtilen BGYS hedeflerinin karşılanıp karşılanmadığı bu yönetim modeli gereğince ve aşağıda belirtilen unsurlarla değerlendirmeye tabi tutulur: Süreç bazlı hazırlanmış olan ve Ek-1 Bilgi Güvenliği Yönetim Sistemi Performans Ölçüm Listesi içerisinde tanımlanan performans ölçütleri yılda en az bir kere değerlendirilir. Yılda en az bir kere yapılan BGYS iç denetimleri ile tespit edilen aksaklıklara ilişkin düzeltici faaliyetlerin tespit edilmesi ve planlanması sağlanır. Gerekli durumlarda yapılan güvenlik ve sızma testleri ile kapsam dahilindeki süreçler, varlıklar, organizasyon ve bilgi sistemleri ile ilgili zafiyetlerin tespit edilmesi ve bunlara ilişkin iyileştirme çalışmalarının planlanması sağlanır. Tüm bu çalışmaların sonuçları Yönetim Gözden Geçirme Toplantısı nda üst yönetime sunulur ve üst yönetimin BGYS performansı hakkında durum değerlendirmesi yapması sağlanır. BGYS Politikası ve buna paralel olarak hazırlanmış olan Bilgi Güvenliği Politikaları, DUKASİM kurumsal bilgi sistemlerinin yönetimi faaliyetlerinin, bilgi güvenliği ile ilgili olan yasa ve yönetmelikler, kabul edilmiş iyi uygulamalar ve ISO 27001 gibi uluslararası standartlar ile uyumlu olmasını sağlamak için kılavuz niteliğini taşımaktadır. BGYS ve Bilgi Güvenliği Politikaları kapsamında, bu politikalarda belirtilmiş olan yaklaşımların ve kontrollerin nasıl uygulanması gerektiğini anlatan bir Uygulanabilirlik Beyanı oluşturulmuştur. DUKASİM çalışanlarının mahremiyetine saygı göstermeyi amaçlar. Bununla birlikte, çalışanların gerçekleştirdiği işlemleri ve DUKASİM in bilişim sistemlerini kullanarak çalışanlar tarafından saklanan, işlenen, iletilen veya üzerinde çalışılan bilgiyi denetleme hakkını saklı tutmaktadır. 5.4. BGYS Performans Göstergeleri BGYS amaçlarının ve hedeflerinin karşılanması ve karşılanma seviyelerinin ölçülmesi için aşağıdaki performans göstergeleri oluşturulmuş ve bunlar BGYS Performans Ölçütleri Listesi nde dokümante edilerek değerlendirilmektedir. BGYS Hedef ve Performans Metrikleri BGYS Hedefi 1) Bilgi güvenliğini iş hedefleri ile uyumlu hale getirerek aynı zamanda iş stratejisinin bir parçası olmasını sağlamak 2) Tüm kritik şirket bilgilerinin ihtiyaçlara uygun ve yönetilebilir bir şekilde korunmasını sağlamak Performans Metrikleri Bilgi güvenliği politikalarına ve standartlarına yönelik düzenli aralıklar ile gözden geçirmelerin yapılması. (KPI.1) Bilgi güvenliği süreçlerinin, Üst Yönetim seviyesinde görünür durumda olması, anlaşılması ve desteklenmesi. (KPI.2) Tüm laptop bilgisayarların harddiskleri şifrelenmelidir. (KPI.6) Konfigürasyon ve yama yönetimi yapılmalıdır. (KPI.5) Tüm kullanıcı bilgisayarlarında en güncel güvenlik uygulamaları (antivirüs) kullanılmalıdır. (KPI.7) DK.BG.POL.01 Kurum İçi Sayfa 4 / 7

3) Kurumun bilgi iletişiminde bulunduğu iç ve dış tarafların beklentilerinin anlaşılması ve karşılanması ve bu süreçte doğan bilgi güvenliği ile ilgili risklerin tespit edilerek kabul edilebilir seviyeye indirilmesini sağlamak 4) Tüm şirketi, paydaşları ve iş ortaklarını da içeren bir bilgi güvenliği anlayışını yerleştirmek 5) Sürekli değişen ve gelişen teknolojileri takip ederek, ISO 27001:2013 standardının gereklilikleri ile uyumlu, ölçülebilir, raporlanabilir ve denetlenebilir bir bilgi güvenliği yönetim sistemi kurmak 6) Kritik süreçlerin ve sistemlerin sürekliliğini sağlamak üzere uygun iş sürekliliği planlarını ve sistemlerini geliştirmek ve bu kapsamda bilgi güvenliği unsurlarının sürekliliğini sağlamak 7) Bilgi güvenliği ihlal ve zafiyetlerini etkin bir şekilde yönetmek, tekrarlamalarını engellemek adına gerekli aksiyonları almak Kurumun bilgi iletişiminde bulunduğu iç ve dış taraflar ve bu tarafların beklentilerinin anlaşılması ile beklentiler ile ilgili bilgi güvenliği risklerinin analiz edilerek kontrol altında tutulması sağlanır. Tüm risklerin bir sahibi olmalıdır. (KPI.10) Bilgi güvenliği farkındalık eğitimlerinin kurum bünyesinde bulunan personele verilmesi.(kpi.3) Tüm personel tarafından, geçici personel de dahil olmak üzere kabul edilebilir kullanım politikalarını imzalanması.(kpi.4) Tedarikçiler ile yapılan sözleşmelerde, bilgi güvenliği ve gizlilik hükümlerine ilişkin değerlendirmelerin yapılması. (KPI.9) Bilgi güvenliği metriklerinin Yönetim Kurulu na ve Üst Yönetim e yılda en az bir defa sunulması.(kpi.1) Açık riskler ile ilgili bir sahiplenme olması. Kurumda kritik risklerin %100'ünün sahibi olmalıdır. (KPI.10) Bilgi güvenliğine ilişkin oluşturulmuş aksiyon planlarının takibinin yapılması. Düzeltici faaliyetlerin tümünün belirtilen tarih itibariyle uygulamaya konması. Kurum çalışanlarının kullanmakta olduğu son kullanıcı sistemlerinde bulunan bilgi güvenliği uygulamalarının etkinliğinin değerlendirilmesi.(kpi.7) Her yıl en az bir kere kurum çapında felaket kurtarma testi düzenlenmesi. Yedeği alınan sistemler için senede en az bir kere olmak üzere yedekten geri dönme testlerinin düzenlenmesi. Güvenlik zafiyeti kaynaklı sistem kesintilerinin sayısının minimumda tutulmasının hedeflenmesi. İç ya da dış nedenler ile gerçekleşen bilgi güvenliği olaylarının değerlendirilmesi ve süreçte iyileştirme ihtiyaçlarının belirlenmesi. Sistemlerde bulunabilecek olası güvenlik zafiyetlerinin durumlarının belirlenmesi ve süreçlerin iyileştirilmesinin hedeflenmesi. (KPI.8) DK.BG.POL.01 Kurum İçi Sayfa 5 / 7

İş akdi sonlandırılan kurum çalışanlarının kullanıcı hesaplarının kapatılmasının değerlendirilmesi.(kpi.11) 5.5 Bilgi Güvenliği Organizasyonu DUKASİM bünyesinde bir bilgi güvenliği organizasyon yapısı tanımlanmıştır. Bu yapı düzenli olarak gözden geçirilir ve gerekli hallerde güncellenir. Organizasyon yapısındaki rol ve sorumluluklar tanımlanırken, mümkün olan her durum için görevler ayrılığı ilkesi benimsenir. Bu yapı ile birlikte, birbiriyle uyuşmayan roller aynı kişiye atanmaz. 5.5.1 Bilgi Güvenliği Komitesi Raporlama Yaptığı Merci: Genel Müdür Rolü: DUKASİM nezdinde tüm birimlerin bilgi güvenliği ile ilişkili konularını tartışan ve çözen merkezi bir birim olarak görev alır. Kuruluş bünyesinde bilgi güvenliği ile ilgili politika ve prosedürlerin uygulanmasından sorumludur. Bilgi güvenliği ile ilişkili konularının tartışılması ve genel bilgi güvenliği stratejisinin kuruluş bazında koordineli ilerlemesinden de yükümlüdür. 5.5.2 Genel Müdür Rolü: İş stratejileri ve güvenlik politikaları doğrultusunda Bilgi Güvenliği Yönetim Sistemi ne yön verilmesi ve gerekli kaynakların tahsis edilmesinden sorumludur. 5.5.3 Bilgi Güvenliği Yöneticisi Raporlama Yaptığı Merci: Genel Müdür Destek Veren: İş Birimi (departman)yöneticileri Rolü: Bir bütün olarak kuruluşun bilgi güvenliğine uyumunu koordine etmek ve sağlamaktan, güvenlik konularını ve bunların durumunu (uygulanmalarının izlenmesi) Bilgi Güvenliği Yönlendirme Kurulu na (Güvenlik Kurulu) raporlamaktan sorumludur. 5.5.4 İş Birimi Yöneticileri Raporlama Yaptığı Merci: Bilgi Güvenliği Yöneticisi Rolü: Birim çalışanlarının, bilgi güvenliği politika ve prosedürlerine bağlı kalmalarını sağlamaktan ve ilgili oldukları bölüm içerisinde bilgi güvenliği politika ve prosedürlerinin uygulanmasından sorumludur. 5.6 İç ve Dış Tarafların Beklentileri BGYS ile ilgili olabilecek tüm iç ve dış tarafları ve bu ilgili tarafların bilgi güvenliği ile ilgili, yasal, düzenleyici ve sözleşmesel tüm gereksinimlerinin farkında olup, bu gereksinimleri BGYS doğrultusunda karşılamaktadır. DUKASİM aşağıdaki iç ve dış taraflar ile belirtilen konular hakkında iletişim halindedir. Bu konular ile ilgili var olan tüm riskler Risk Değerlendirme Çalışması nda tanımlanıp, ilgili taraflara bağlanarak değerlendirilmiştir. Yukarıda bahsedilen gereksinimler ve bağımlılıklar İç ve Dış Tarafların Beklentileri DK.BG.D.01 kapsam dökümanında yer almaktadır. DK.BG.POL.01 Kurum İçi Sayfa 6 / 7

6. DOKÜMAN KONTROLU 6.1 Gözden Geçirme, Onay Hazırlayan Gözden Geçiren Onaylayan Esin YAZICIOĞLU Deniz KAVCI Halil DURAN Tarih: Tarih: Tarih: 6.2 Versiyon Tarihçesi Versiyon Revizyon Nedeni 1.0 İlk Yayın DK.BG.POL.01 Kurum İçi Sayfa 7 / 7

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim