BİLGİ GÜVENLİĞİ POLİTİKASI



Benzer belgeler
Bilgi Sistemleri Risk Yönetim Politikası

ÇELİKEL A.Ş. Bilgi Güvenliği Politikası

RGN İLETİŞİM HİZMETLERİ A.Ş BİLGİ GÜVENLİĞİ POLİTİKASI

UE.18 Rev.Tar/No: /03 SAYFA 1 / 5

POL.01 Rev.Tar/No: /1.0 HĠZMETE ÖZEL

ISO-BGYS-PL-02 Bilgi Güvenliği Politikası

Bilgi Güvenliği Yönetim Sistemi

BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ

BİLGİ GÜVENLİĞİ POLİTİKASI

VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI 3-4 MART 2016

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği

BGYS-PL-01 BİLGİ GÜVENLİĞİ POLİTİKASI

T. C. KAMU İHALE KURUMU

BİLGİ GÜVENLİĞİ POLİTİKASI

COBIT Bilgi Sistemleri Yönetimi. Şubat 2009

DOK-004 BGYS Politikası

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

Bu dokümanla BGYS rollerinin ve sorumluluklarının tanımlanarak BGYS sürecinin efektif şekilde yönetilmesi hedeflenmektedir.

ÇIKAR ÇATIŞMASI POLİTİKALARI v1

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR.

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001

TEBLİĞ. Ulaştırma, Denizcilik ve Haberleşme Bakanlığından: SİBER OLAYLARA MÜDAHALE EKİPLERİNİN KURULUŞ, GÖREV VE

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI

SPK Bilgi Sistemleri Tebliğleri Uyum Yol Haritası

T. C. KAMU İHALE KURUMU

GİRİŞ. A. İç Kontrolün Tanımı, Özellikleri ve Genel Esasları:

T.C. ADANA BİLİM VE TEKNOLOJİ ÜNİVERSİTESİ Strateji Geliştirme Daire Başkanlığı SORU VE CEVAPLARLA KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI

Özel Nitelikli Kişisel Veri İşleme Prosedürü

İSTANBUL ÜNİVERSİTESİ DÖNER SERMAYE İŞLETME MÜDÜRLÜĞÜ HİZMET İÇİ EĞİTİM SUNUMU 02 MAYIS 2014

SPK Bilgi Sistemleri Tebliğleri

BİLGİ GÜVENLİĞİ. Temel Kavramlar

T.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı

SUÇ GELİRLERİNİN AKLANMASININ VE TERÖRÜN FİNANSMANININ ÖNLENMESİ POLİTİKASI

1- Neden İç Kontrol? 2- İç Kontrol Nedir?

ISO 13485:2016 TIBBİ CİHAZLAR KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

İSTANBUL ÜNİVERSİTESİ İç Denetim Birimi Başkanlığı İÇ DENETİM PROSEDÜRÜ

ISO/IEC Özdeğerlendirme Soru Listesi

HATAY KHB BILGI İŞLEM BİRİMİ

KURUMSAL YÖNETİM KOMİTESİ GÖREV VE ÇALIŞMA ESASLARI

STRATEJİK YÖNETİM VE YÖNETİMİN GÖZDEN GEÇİRMESİ PROSEDÜRÜ

BİLGİ GÜVENLİĞİ POLİTİKASI

10 SORUDA İÇ KONTROL

DOKÜMAN KODU YAYINLANMA TARİHİ REVİZYON NO REVİZYON TARİHİ SAYFA NO. BG-RH Sayfa 1 / 6

İÜ İç Denetim Birim Başkanlığı İÇ DENETİM PROSEDÜRÜ

YÖNETİM KURULUNCA BİLGİ İŞLEM, RİSK YÖNETİMİ, İÇ KONTROL ve İÇ DENETİM SİSTEMLERİ İLE İLGİLİ YAPILMASI GEREKEN BEYANDIR

Rüşvet ve Yolsuzlukla Mücadele Politikası nın oluşturulması, uygulanması ve güncellenmesinin sağlanmasından Banka nın Yönetim Kurulu sorumludur.

SÖKTAŞ TEKSTİL SANAYİ VE TİCARET A.Ş. Riskin Erken Saptanması Komitesi Yönetmeliği

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

ANKARA ANONİM TÜRK SİGORTA ŞİRKETİ

SÖKTAŞ TEKSTİL SANAYİ VE TİCARET A.Ş. Kurumsal Yönetim Komitesi Yönetmeliği. (Aday Gösterme ve Ücret Komiteleri Çalışma Esasları dahil)

2015 YILI FAALİYET RAPORU KAYNAKLARI

İç Tetkik Prosedürü Dok.No: KYS PR 02

Doküman No:ITP 16.1 Revizyon No: 01 Tarih: Sayfa No: 1/5 KALİTE SİSTEM PROSEDÜRLERİ PROJE YÖNETİMİ PROSEDÜRÜ

T.C. GÜNEY MARMARA KALKINMA AJANSI İÇ KONTROL İZLEME VE YÖNLENDİRME KOMİTESİNİN GÖREV VE SORUMLULUKLARI HK YÖNERGE BİRİNCİ BÖLÜM

İŞ YATIRIM MENKUL DEĞERLER A.Ş. İŞ SÜREKLİLİĞİ PLANLAMASI A. AMAÇ

T.C. RECEP TAYYİP ERDOĞAN ÜNİVERSİTESİ İdari ve Mali İşler Daire Başkanlığı SORU VE CEVAPLARLA İÇ KONTROL

ÇEMTAŞ ÇELİK MAKİNA SANAYİ VE TİCARET ANONİM ŞİRKETİ KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER

STRATEJİK YÖNETİM VE YÖNETİMİN GÖZDEN GEÇİRMESİ PROSEDÜRÜ

SIRA NO SORUMLU BİRİM FAALİYET SORUMLU DURUM AÇIKLAMA

TS EN & TS EN ISO 3834 BELGELENDİRME PROSEDÜRÜ

MEY İÇKİ SAN. VE TİC. A.Ş. KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

Yapı ve Kredi Bankası A.Ş. Ücretlendirme Politikası

YÖNETİMİN GÖZDEN GEÇİRMESİ PROSEDÜRÜ

İÜ İç Denetim Birimi Başkanlığı İÇ DENETİM PROSEDÜRÜ

BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ (VII-128.9)

626 No.lu Karar ekidir. 1 BSH EV ALETLERİ SANAYİ VE TİCARET A.Ş. D E N E T İ MDEN SORUMLU K O M İ T E GÖREV VE ÇALIŞMA ESASLARI 1.

SPK Bilgi Sistemleri Tebliğleri

STRATEJİK YÖNETİM VE YÖNETİMİN GÖZDEN GEÇİRİLMESİ PROSEDÜRÜ Doküman No: Yürürlük Tarihi: Revizyon Tarih/No:

T.C. GÜMRÜK VE TİCARET BAKANLIĞI İç Denetim Birimi Başkanlığı KALİTE GÜVENCE VE GELİŞTİRME PROGRAMI

DOKÜMANLARIN VE KAYITLARIN KONTROLÜ PROSEDÜRÜ PROSEDÜRÜ

T.C. ANKARA SOSYAL BİLİMLER ÜNİVERSİTESİ İÇ DENETİM BİRİMİ KALİTE GÜVENCE VE GELİŞTİRME PROGRAMI

Bilgi Güvenliği Politikası. Arvato Bertelsmann İstanbul, Türkiye. Versiyon 2016_1. Arvato Türkiye. Yayınlayan

BATMAN ÜNİVERSİTESİ İÇ KONTROL SİSTEMİ İZLEME GÖZDEN GEÇİRME VE DEĞERLENDİRME YÖNERGESİ

SEÇKİN ONUR. Doküman No: Rev.Tarihi Yayın Tarihi Revizyon No 01 OGP 09 SEÇKİN ONUR BİLGİ GÜVENLİĞİ POLİTİKASI

TARİH :06/08/2007 REVİZYON NO: 3. KALİTE EL KİTABI : YÖNETİM TEMSİLCİSİ. Sayfa 1 / 6

STRATEJİK YÖNETİM VE YÖNETİMİN GÖZDEN GEÇİRMESİ PROSEDÜRÜ

Doküman No.: P501 Revizyon No: 06 Yürürlük Tarihi:

YÖNETİM GÖZDEN GEÇİRME PROSEDÜRÜ

DİYANET İŞLERİ BAŞKANLIĞI İÇ KONTROL YÖNERGESİ (*) BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar

2. KAPSAM OMÜ Mühendislik Fakültesi bünyesinde kullanılan Kalite Yönetim Sistemi dökümanlarını kapsar.

Bu doküman, yazılı izin alınmaksızın, hangi amaç için olursa olsun elektronik ortamda ya da başka biçimlerde kısmen veya tamamen ve herhangi bir

Altyapımızı Yeni TTK ile uyumlu hale getirmek...

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

ANET Bilgi Güvenliği Yönetimi ve ISO Ertuğrul AKBAS [ANET YAZILIM]

BAKANLIĞIMIZ İÇ KONTROL SİSTEMİ ÇALIŞMALARININ TAMAMLANMASI STRATEJİ GELİŞTİRME BAŞKANLIĞI

Denetim Komitesi Yönetmeliği. Garanti Faktoring Hizmetleri A.Ş.

Prosedür El Kitabı. İtiraz ve Şikayetleri Değerlendirme Prosedürü A - TS EN ISO / IEC Kapsamındaki İtiraz ve Şikayetler

Sibergüvenlik Faaliyetleri

ACİL VE BEKLENMEDİK DURUM PLANI. Revizyon Tarihi

PROSÜDÜR EL KİTABI. İtiraz ve Şikayetleri Değerlendirme Prosedürü TS EN ISO / IEC ve TS EN ISO/IEC Kapsamındaki İtiraz ve Şikayetler

DOĞAN BURDA DERGİ YAYINCILIK VE PAZARLAMA A.Ş. KURUMSAL YÖNETİM KOMİTESİ GÖREV VE ÇALIŞMA ESASLARI

SARAYÖNÜ MESLEK YÜKSEKOKULU DOKÜMANTE EDİLMİŞ BİLGİNİN KONTROLÜ PROSEDÜRÜ

ÇEVRE BOYUTLARININ DEĞERLENDİRİLMESİ PROSEDÜRÜ

KALİTE GÜVENCE VE GELİŞTİRME PROGRAMI

BİLGİ GÜVENLİK TALİMATI

AHİ EVRAN ÜNİVERSİTESİ KALİTE YÖNETİM SİSTEMİ 2018 YILI UYGULAMA REHBERİ

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

Transkript:

Bilgi Güvenliği Politikası Sayfa : 1/9 BİLGİ GÜVENLİĞİ POLİTİKASI Doküman Bilgileri Adı: Doküman No: Revizyon No: Doküman Tarihi: Referans / Gerekçe Onaylayan Bilgi Güvenliği Politikası İlk yayındır Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ Yönetim Kurulu Değişiklik Tarihçesi Revizyon No Tarih Açıklama Değişikliği Yapan Dağıtım Listesi Doküman No Birim Kişi Ünvan

Bilgi Güvenliği Politikası Sayfa : 2/9 İÇİNDEKİLER İÇİNDEKİLER... 2 1 AMAÇ... 3 2 KAPSAM... 3 3 TANIMLAR... 3 4 BİLGİ GÜVENLİĞİ POLİTİKASI... 3 5 BİLGİ GÜVENLİĞİ POLİTİKASININ ANA BAŞLIKLARI... 6 5.1 BİLGİ GÜVENLİĞİ ORGANİZASYONU... 6 5.2 BİLGİ GÜVENLİĞİ ROL VE SORUMLUKLARI... 6 5.3 BİLGİ VARLIKLARININ YÖNETİMİ... 6 5.4 RİSKLERİN DEĞERLENDİRİLMESİ... 6 5.5 GÜVENLİK FARKINDALIĞI YARATILMASI... 6 5.6 FİZİKSEL VE ÇEVRESEL GÜVENLİK... 7 5.7 HABERLEŞME VE İŞLETİM YÖNETİMİ... 7 5.8 ERİŞİM KONTROLÜ... 7 5.9 AĞ GÜVENLİĞİ... 7 5.10 BİLGİ SİSTEMLERİ EDİNİM, GELİŞTİRME VE BAKIMI... 8 5.11 BİLGİ GÜVENLİĞİ OLAYLARI YÖNETİMİ... 8 5.12 BİLGİ SİSTEMLERİ SÜREKLİLİĞİ YÖNETİMİ... 8 5.13 UYUM... 8 6 BİLGİ GÜVENLİĞİ POLİTİKASININ GÖZDEN GEÇİRİLMESİ... 8 7 BİLGİ GÜVENLİĞİ POLİTİKASININ UYGULAMA SORUMLULUĞU... 8

Bilgi Güvenliği Politikası Sayfa : 3/9 1 AMAÇ Bu politika, Şirket bünyesindeki bilgi sistemlerinin ve verilerin gizlilik, bütünlük ve erişilebilirliğini sağlayacak önlemlere ilişkin kontrol altyapısının geliştirilmesi ve düzenli olarak güncellenmesi çalışmalarını gözetim altında tutmayı amaçlar. 2 KAPSAM Bilgi, işle ilgili diğer önemli varlıklar gibi bir kuruluşun faaliyetleri açısından gerekli olan ve bunun neticesinde de uygun bir şekilde korunması gereken bir varlıktır. Bilgi varlıklarının güvenliği Şirket tarafından tanımlanmış politikalar doğrultusunda sağlanır. Bilgi güvenliğinin amacı; bilgiye yetkisiz erişimin engellenmesi (Gizlilik), bilginin ve bilgi varlıklarının tam ve eksiksiz olması, doğru olması ve uygunsuz biçimde değiştirilmemesi (Bütünlük) ve yetkili kullanıcıların ihtiyaç duydukları veriye ihtiyaç duydukları zaman erişebilmesinin (Erişilebilirlik) sağlanmasıdır. Bilgi Güvenliği Politikası Şirket in tüm birimlerine ve hizmet sağlayıcılarına uygulanır. Şirket in Bilgi Güvenliği Yönetim Süreci nin hedefi Şirket tarafından üretilen, işlenen, saklanan bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak amacıyla bilgi varlıkları envanterini çıkarmak, risk değerlendirmesi yapmak, kontrolleri hayata geçirmek ve uygulanan kontrollerin etkinliklerini gözden geçirmektir. 3 TANIMLAR Şirket: TURK Elektronik Para ve yi ISO 27001: ISO tarafından hazırlanan bilgi güvenliği standardı nı, Hassas ödeme verisi: Kullanıcıların sistemler üzerinde kimliklerini kanıtlamak amacı ile kullandıkları parola, PIN, şifreleme anahtarı, kart numarası, kişisel sertifika, akıllı kart, biometrik bilgi vb. yüksek seviyede gizli sınıfındaki verileri Bilgi Güvenliği ve Risk Komitesi: Bilgi sistemlerinin yönetimine ve bilgi güvenliğinin sağlanmasına ilişkin politikaların, prosedürlerin ve süreçlerin tesis edilmesi, bilgi teknolojilerinin kullanılmasından kaynaklanan risklerin etkin biçimde yönetilmesi amacıyla oluşturulan komiteyi temsil eder. 4 BİLGİ SİSTEMLERİ YÖNETİMİNE İLİŞKİN TEMEL İLKELER Bilgi sistemlerinin yapısının, Şirket in ölçeği, faaliyetlerin ve sunulan ürünlerin niteliği, çeşitliliği ve stratejik hedefleri ile uyumlu olması; bilgi sistemleri ile içerdiği verinin güvenilir, doğru, eksiksiz, izlenebilir, tutarlı, erişilebilir ve ihtiyaçları karşılayacak nitelikte oluşturulması esastır. Bilgi sistemleri asgari olarak; Şirket le ilgili tüm bilgilerin yurt içinde elektronik ortamda güvenli ve istenildiği an erişime imkân sağlayacak şekilde saklanılmasına veya yedeklenmesine ve kullanılmasına, Sızma ve stres testi yapılabilmesine, Muhasebe kayıtlarının Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurulu tarafından belirlenen usul ve esaslara uygun şekilde muhasebeleştirilmesine imkân verecek yapıda tesis edilir.

Bilgi Güvenliği Politikası Sayfa : 4/9 Bilgi sistemlerinin sürekli biçimde işlerliğini sağlamak üzere iş sürekliliği planı oluşturulur. Söz konusu planın işlerliği ve yeterliliği düzenli olarak test edilir; ihtiyaç duyulması halinde gerekli tedbirler alınır. İş sürekliliğinin planlanmasında, kritik bilgi teknolojileri varlıkları ile süreçleri belirlenir; bunlara ilişkin iş etki analizi ile risk değerlendirmesi yapılır. Bilgi sistemleri ile içerdiği verinin güvenli biçimde saklanması esastır. Bu çerçevede, veriler, güvenlik hassasiyet derecelerine göre sınıflandırılır, her bir sınıf için uygun düzeyde güvenlik kontrolleri tesis edilir ve buna göre yedeklenir. Bilgi sistemlerinin güvenliği ve yedekleme sistemlerinin işleyişi düzenli olarak test edilir ve test sonuçlarına göre ihtiyaç duyulması halinde gerekli değişiklikler yapılır. Bilgi güvenliğinin temininde ve Şirket in bilgi sistemlerine erişimde, kimlik doğrulama ve yetkilendirme mekanizmaları ile inkâr edilemezlik ve sorumluluk atama imkânlarını içeren teknikler kullanılır. Bilgi sistemlerinin geliştirilmesi, test edilmesi ve işletilmesi süreçlerinde görevler ayrılığı ilkesi uygulanır. Bilgi sistemleri yönetim sürecinde görev alan bölüm ve çalışanların görev, yetki ve sorumlulukları yazılı olarak belirlenir. Görevler ayrılığı ilkesine uygunluk düzenli olarak test edilir; sonuçları Bilgi Güvenliği ve Risk Komitesi ne raporlanır. Faaliyetlerin yürütülmesi sırasında bilgi sistemleri aracılığıyla edinilen ve saklanan müşteri ve Şirket bilgilerinin gizliliğini sağlamak esastır. Müşteri bilgilerinin, yasalarla yetkili kılınmış merciler dışındaki taraflarla paylaşımına ilişkin uygulama esasları yazılı olarak belirlenir. Bilgi sistemleri kullanılarak gerçekleştirilen ve şirket faaliyetlerine ait kayıtlarda değişikliğe neden olan işlemlere ilişkin olarak yeterli detayda ve açıklıkta denetim izleri oluşturulur. Denetim izlerinin bütünlüğünün bozulmasının önlenmesi ve herhangi bir bozulma durumunda bunun tespit edilebilmesi için gerekli tedbirler alınır. Bilgi sistemleri yönetimi kapsamında alınacak Dış hizmetlerine ilişkin risk analizi yapılır. Uygulamaya konulan bilgi sistemlerinin işleyişi, stratejik hedeflere uygunluğu, kontrollerin etkinliği ve yeterliliği, bilgi teknolojilerindeki gelişmeler de göz önüne alınarak düzenli olarak izlenir. Yeni bilgi sistemlerinin Şirket te uygulanmasının, Şirket in risk profili üzerinde yaratacağı etki değerlendirilir. Bu çerçevede, gerek duyulması halinde, bilgi sistemleri işleyişi revize edilir. 5 BİLGİ GÜVENLİĞİ POLİTİKASI Şirket Bilgi Güvenliği Politikası ile Kişisel bilginin mahremiyetinin korunmasını sağlamak amacıyla müşteri ve personel bilgilerinin gizliliğini korur. Bilginin bütünlüğünü koruyacak ve sürekli erişilebilirliğini garanti altına alacak altyapıyı ve kontrolleri hayata geçirir. Tasarım, geliştirme, test ve uygulama süreçlerinde görevler ayrılığı prensibine uygun yetkilendirmeyi sağlar ve kritik işlemlerde onay mekanizması tesis eder. Geliştirme, Test ve Üretim ortamlarının fiziksel ve mantıksal olarak ayrılmasını sağlar

Bilgi Güvenliği Politikası Sayfa : 5/9 Kullanıcıların yetkilendirilmesinde gerekli olan minimum yetkilendirme prensibinin sağlanması ve yetkilerin düzenli olarak kontrol edilmesini sağlar. Dış ağlardan gelebilecek tehditlere karşı ağ güvenliğini tesis eder. Katmanlı güvenlik mimarisini tesis eder ve sürekli gözetimini sağlar. Mobil uygulama ve internet sayfası aracılığıyla sunduğu hizmetlerde, servisin şirket tarafından sağlandığını doğrulayacak teknikler kullanır. Hassa ödeme verilerinin ve kişisel bilgilerin iletilmesinde ve saklanmasında şifreleme, maskeleme gibi güvenliği sağlayacak tedbirlerin alınmasını sağlar. Kullanılan şifreleme anahtarlarının güvenilirliğini sağlar. Mobil cihazlar üzerinde çalışan uygulamalar tarafından kullanılan hassas ödeme verilerinin güvenliğinin sağlanmasını (hassas ödeme verilerinin diğer uygulamalar tarafından kullanılamaması, kayıp/çalıntı durumunda erişilemez olması) tesis eder. Mobil cihazlar üzerinde çalışan uygulamaların güvenliğini sağlamaya önlemleri alır, gerekli güncellemeleri sağlar. Bilgi güvenliği faaliyetlerinin yönetilmesini ve koordinasyonunu sağlamak amacıyla bir bilgi güvenliği organizasyonu oluşturur. Bilgi varlıkları envanterini çıkarır, sahiplikleri belirler ve bilgi varlıkları üzerindeki riskleri yönetir. Bilgi güvenliği olaylarının tespit edilmesi, raporlanması ve tekrarının önlenmesi adımlarını içeren bilgi güvenliği olay yönetimi faaliyetleri gerçekleştirir. Tüm personele yeterli seviyede farkındalık programı uygular ve bilgi güvenliği gerekliliklerinin karşılanması için tüm çalışanların katılımını sağlar. Bilginin işlendiği alanlarda bilginin güvenliğinin sağlanabilmesi amacıyla gerekli fiziksel ve çevresel güvenlik önlemlerini alır. Bilgi sistemleri edinim, geliştirme ve bakımında güvenlik gerekliliklerinin neler olduğunu belirler ve hayata geçirir. Belirlenen bilgi güvenliği politikalarına, süreçlerine, yasal ve düzenleyici zorunluluklara çalışanların uymalarını yazılı taahhütlerini alarak zorunlu tutar. İş faaliyetlerindeki kesintileri önlemek ve bilgiye sürekli erişimi sağlamak için iş sürekliliği faaliyetleri gerçekleştirir. Bilgiye erişimi kontrol etmek ve yetkisiz erişimleri önlemek için ilgili tüm alanlarda gerekli güvenlik kontrollerini hayata geçirir.

Bilgi Güvenliği Politikası Sayfa : 6/9 Bilgi sistemleri faaliyetlerinin işletilmesinde gerekli güvenlik kontrolleri uygular, buna yönelik rol ve sorumlulukları tanımlar. 6 BİLGİ GÜVENLİĞİ POLİTİKASININ ANA BAŞLIKLARI 5.1 BILGİ GÜVENLİĞİ ORGANİZASYONU Şirket yönetimi bilgi güvenliği organizasyonunu Şirket bünyesinde oluşturur. Bu kapsamda Şirket te güvenlik politikalarının bütünsel bir yaklaşımla oluşturulması, sürdürülmesi ve yönetilmesine ilişkin çalışmalar Bilgi Güvenliği Yönetim Süreci kapsamında yürütülür. Şirket in güvenlik kontrol süreçlerini koordine edecek, yönetecek rol ve sorumluluklar Bilgi Güvenliği Rol ve Sorumluluklar Yönetmeliği kapsamında belirlenir ve ilgili kişilere atanır. 5.2 BİLGİ GÜVENLİĞİ ROL VE SORUMLUKLARI Bilgi Güvenliğinin Şirket te planlanması, uygulanması ve kontrol edilmesi faaliyetlerini gerçekleştirmek amacıyla, Bilgi Güvenliği ve Risk Komitesi, Bilgi Güvenliği Yetkilisi, Fiziksel Güvenlik Sorumlusu, Bilgi Varlıkları Sahipleri ve Şirket çalışanları görev alır. İlgili tarafların bu kapsamdaki görev ve sorumlulukları Bilgi Güvenliği Rol ve Sorumluluklar Yönetmeliği nde açık olarak tanımlanır. Şirket Bilgi Güvenliği Politikası Bilgi Güvenliği Yetkilisi tarafından hazırlanır, Bilgi Güvenliği ve Risk Komitesi tarafından yılda en az bir defa gözden geçirilir ve Yönetim Kurulu tarafından onaylanır. Bilgi Güvenliği Politikası oluşturulurken Şirket in güvenlik stratejisi, güvenlik gereksinimleri, yasal ve düzenleyici zorunluluklar göz önünde bulundurulur. Şirket Üst Yönetimi Bilgi Güvenliği Politikası nın hayata geçirilmesini sağlar. 5.3 BİLGİ VARLIKLARININ YÖNETİMİ Basılı ve dijital ortamda oluşturulan, iletilen, saklanan veya sözlü olarak paylaşılan Şirket e ait tüm veriler Şirket bilgi varlıkları kapsamına girer. Verinin iletilmesinde, işlenmesinde, erişilmesinde, saklanmasında, imhasında kullanılan uygulama, yazılım ve donanımlar da bilgi varlıkları kapsamına girer. Şirket, bilgi varlıklarının ve bu veriyle ilgili tüm varlıkların gizliliğini, bütünlüğünü, erişilebilirliğini sağlayarak kazara veya kasti biçimde hasar görmesini, değişmesini, ifşa olmasını veya kaybolmasını önler. Bunun için varlık değerlendirmelerini yaparak bilgi varlıklarını sınıflandırır. Şirket bilgilerinin bu sınıflandırmaya uygun olarak kullanılmasını sağlar. Her varlığa bir sahip atanır ve varlıklarla ilgili sorumluluklar bu sahipler üzerine verilir. 5.4 RİSKLERİN DEĞERLENDİRİLMESİ Şirket in bilgi güvenliğine ilişkin risk değerlendirme yaklaşımı Bilgi Güvenliği ve Risk Komitesi tarafından belirlenir ve Bilgi Güvenliği Yönetim Süreci kapsamında tanımlanır. Bilgi güvenliği risk değerlendirme yaklaşımı ile Şirket in bilgi güvenliği risklerinin hangi yöntemler ile belirleneceği, risk seviyelerinin nasıl hesaplanacağı ve risklerin nasıl değerlendirileceği belirlenir. Bilgi varlıklarıyla ilgili oluşabilecek risklerin tanımlanması, derecelendirilmesi, işlenmesi ve gözden geçirilmesi çalışmaları belirlenen risk değerlendirme yaklaşımına uygun olarak gerçekleştirilir. Risk değerlendirme çalışması sonucunda, riskleri azaltmaya yönelik aksiyonları içeren Şirket Bilgi Güvenliği Planı oluşturulur. Bilgi Güvenliği Planı yıllık olarak oluşturulur ve güncellenir. 5.5 GÜVENLİK FARKINDALIĞI YARATILMASI Şirket bütün personeli için farkındalık eğitim gerekliliklerini belirler ve personeline buna uygun bir şekilde eğitim sağlar. İşe yeni alınan her çalışanlar bilgi güvenliği konusunda bilgilendirilmelidir.

Bilgi Güvenliği Politikası Sayfa : 7/9 Şirket, kendi çalışanlarına ve tedarikçi şirket çalışanlarına bilgi güvenliği politikalarını bildiklerine ve uyacaklarına dair imzalı onaylarını alır. 5.6 FİZİKSEL VE ÇEVRESEL GÜVENLİK Şirket BS Fiziksel Çevre Yönetim Prosedürü kapsamında bilgi işleme faaliyetlerinin gerçekleştiği binalara, alanlara yetki dışı fiziksel erişimi, müdahale ve hasarı engellemek amacı ile fiziksel güvenlik önlemleri alır. Bilgi işleme faaliyetlerinde kullanılan teçhizatlara yönelik güvenlik kontrolleri uygulanarak bilgi varlıklarının kaybı, hasarı, çalınması, tehlikeye girmesi ve kuruluşun faaliyetlerinin kesintiye uğraması engellenir. 5.7 HABERLEŞME VE İŞLETİM YÖNETİMİ Bilginin işlendiği tesislerin, ortamların ve araçların amacına uygun ve güvenli bir şekilde işletilmesini ve yönetilmesini sağlamak amacıyla süreçler oluşturulur, sorumluluklar tanımlanır. Süreçlere yönelik sorumluluklar tanımlanırken bir işi yapan rol ile yapılan işi denetleyen rol aynı kişiye verilmez. Yazılım ve bilginin bütünlüğünü korumak amacıyla kötü niyetli kodlara ve uygulamalara karşı güvenlik kontrolleri gerçekleştirilir. Bilginin ve bilgi varlıklarının bütünlüğünü ve kullanılabilirliğini sağlamak için yedekleme faaliyetleri gerçekleştirilir. Ağdaki bilginin ve destekleyici altyapının korunmasını sağlanır. Varlıkların yetkisiz ifşa edilmesi, değiştirilmesi, kaldırılması veya yok edilmesini ve iş faaliyetlerinin kesintiye uğramasını önlemek amacıyla bilginin işlenmesine, yönelik standartlar Veri Sınıflandırma prosedürü kapsamında oluşturulur. Dış kurumlarla veya Şirket içerisinde alınıp verilen bilgi ve yazılımın güvenliğini sağlayacak güvenlik kontrolleri uygulanır. İnternet sitesi hizmetlerinin güvenlik gereklilikleri sağlanır. Yetkisiz bilgi işleme faaliyetlerini algılamak amacıyla bilgi sistemleri uygulamalarına yönelik denetim izleri oluşturulur ve izleme faaliyetleri Denetim İzlerinin Oluşturulması ve İzleme Prosedürü kapsamında gerçekleştirilir. Yılda en az bir kere yetkin ve bağımsız bir dış şirket tarafından sızma testleri yapılır. 5.8 ERİŞİM KONTROLÜ Bilgiye erişimi kontrol etmek için kullanıcı erişimleri güvenlik gereksinimlerini temel alacak şekilde yönetilir ve yetkisiz erişimler önlenir. Kabul edilebilir kullanım gereksinimleri Kabul Edilebilir Kullanım Politikası nda belirlenir ve kullanıcılara bildirilir. Erişim yetkileri görevler ayrılığı ilkesine ve gerekli olan minimum yetkilendirme prensibine uygun olarak sağlanır. Yetkiler düzenli olarak gözden geçirilir. Ağ erişimlerine yönelik güvenlik kontrolleri ile ağ bağlantılı hizmetlere yetkisiz erişimler engellenir. İşletim sistemlerine ve uygulamalara yönelik erişim kontrolleri hayata geçirilir. Mobil bilgi işleme ve uzaktan çalışma hizmetlerini kullananlar için bilgi güvenliği gereksinimleri karşılanır. 5.9 AĞ GÜVENLİĞİ Ağ trafiğinde güvenliği sağlamak amacıyla, ağ kontrol güvenlik sistemleri bulunur. Ağ güvenliğinde dış güvenlik duvarı, IPS, iç güvenlik duvarı, SSM gibi katmanlı güvenlik mimarisi (bir güvenlik katmanının aşılması durumunda diğer güvenlik katmanının devreye girdiği) kullanılır. Ağ güvenliğinde kullanılan sistemler, sürekli gözetim altında tutulur. Dış ağ ile kurulan bağlantılarda VPN ve SSL kullanılır.

Bilgi Güvenliği Politikası Sayfa : 8/9 5.10 BİLGİ SİSTEMLERİ EDİNİM, GELİŞTİRME VE BAKIMI Gerçekleştirilen bilgi sistemleri edinim, geliştirme ve bakımı operasyonlarında güvenlik gereksinimleri uygulanır. Uygulamalardaki bilginin bozulmasının, kaybının, yetkisiz değiştirilmesinin ve kötüye kullanımının önlenmesi için kontroller hayata geçirilir. Gerektiği durumlarda bilginin gizliliğini ve bütünlüğünü sağlayacak kriptografik yöntemler Şifreleme Anahtarları Güvenliği Prosedürü kapsamında uygulanır. Sistem dosyalarının ve sistem verilerinin güvenliğini sağlamak amacıyla güvenlik kontrolleri uygulanır. Uygulamalar ve sistemler üzerinde yapılacak değişiklikler ile kontrollü olarak gerçekleştirilir ve güvenlik riskleri azaltılır. Dışarıdan sağlanan yazılım geliştirmelerinin bilgi güvenliği gereksinimlerini sağlaması temin edilir. 5.11 BİLGİ GÜVENLİĞİ OLAYLARI YÖNETİMİ Bilgi sistemleri ile ilişkili bilgi güvenliği olayları, ihlalleri ve zayıflıkları Bilgi Güvenliği Olay Yönetim Süreci kapsamında raporlanır. Raporlama düzeltici önlemlerin zamanında alınabilmesini sağlayacak şekilde gerçekleştirilir. Tüm çalışanların, tedarikçilerin ve üçüncü taraf kullanıcıların bilgi güvenliği olaylarının raporlanmasına katılımı sağlanır. Olayların sonucunda iyileştirici faaliyetler hayata geçirilir tekrar eden olayların önüne geçilir. 5.12 BILGI SISTEMLERI SÜREKLİLİĞİ YÖNETİMİ İş faaliyetlerindeki kesilmeleri önlemek, önemli iş süreçlerini bilgi sistemleri aksaklıklarından korumak için bilgi sürekliliği faaliyetleri Bilgi Sistemleri Süreklilik Planı kapsamında gerçekleştirilir. Bu faaliyetlerin bilgi güvenliği gereksinimlerini karşılaması sağlanır. 5.13 UYUM Tüm Şirket çalışanları, ilgili yasalar, yönetmelikler ve sözleşmelerden doğan güvenlik gereksinimlerine, fikri mülkiyet haklarına, lisans anlaşmalarına ve Şirket tarafından belirlenen güvenlik gereksinimlerine uymakla yükümlüdürler. Yöneticiler sorumluluk alanlarındaki tüm süreçlerin işletilmesinde güvenlik politikalarına ve standartlara uyumu temin eder. Tüm Şirket çalışanları, Şirket verilerinin gizlilik derecelerine uygun şekilde kullanımı konusunda sorumludurlar. Şirket in bilgi güvenliği politikalarına uyumun denetlenmesi için Bilgi Güvenliği Yönetim Süreci kapsamında bilgi güvenliği gözden geçirme faaliyetleri gerçekleştirilir. Bilgi Güvenliği Politikası na uyum durumu yılda en az bir defa yönetim kuruluna raporlanır. 7 BİLGİ GÜVENLİĞİ POLİTİKASININ GÖZDEN GEÇİRİLMESİ Şirket Bilgi Güvenliği Politikası Bilgi Güvenliği Yetkilisi tarafından yılda en az bir kere gözden geçirilir ve gerekli görülmesi durumunda güncellenerek Yönetim Kurulu onayına sunulur. Güvenlik teknolojilerindeki gelişmelere bağlı olarak ortaya çıkan ihtiyaçları içerecek yeni politikalar üretilir. 8 BİLGİ GÜVENLİĞİ POLİTİKASININ UYGULAMA SORUMLULUĞU Tüm çalışanların Bilgi Güvenliği Politikası ndan haberdar olması sağlanır. Politikanın son hali tüm personele duyurulur ve personelin sürekli olarak erişebileceği ortak bir alanda yayımlanır. Personel kendisini ilgilendiren genel hükümlere uymak zorundadır. Personelin kendisini ilgilendiren genel hükümlere uyup uymadığının kontrol edilmesi sorumluluğu personelin idari amirindedir. Bilgi güvenliği politikalarına uyum düzenli olarak izlenir.

Bilgi Güvenliği Politikası Sayfa : 9/9 9 YÜRÜRLÜK Bilgi güvenliğine ilişkin bu düzenleme, üst yönetimin onay tarihi itibariyle yürürlüğe girer. Şirket in bilgi güvenliğine ilişkin tüm uygulama ve iş akışları politika hükümleriyle uyumlu şekilde oluşturulur/güncellenir.

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim