Bilgi Sistemleri Risk Yönetim Politikası



Benzer belgeler
BİLGİ GÜVENLİĞİ POLİTİKASI

BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ

BORSA İSTANBUL A.Ş. ÇEVRE YÖNETİM SİSTEMİ YÖNERGESİ

SÖKTAŞ TEKSTİL SANAYİ VE TİCARET A.Ş. Denetimden Sorumlu Komite Yönetmeliği

KURUMSAL YÖNETĐM KOMĐTESĐ ÇALIŞMA ESASLARI

ISO-BGYS-PL-02 Bilgi Güvenliği Politikası

SÖKTAŞ TEKSTİL SANAYİ VE TİCARET A.Ş. Riskin Erken Saptanması Komitesi Yönetmeliği

NUROL GAYRİMENKUL YATIRIM ORTAKLIĞI A.Ş.

T.C. ORTA ANADOLU KALKINMA AJANSI İÇ DENETÇİLİĞİ T.C. ORTA ANADOLU KALKINMA AJANSI 2015 YILI İÇ DENETİM PROGRAMI. İÇ DENETÇİ Mustafa KARAKAYA KAYSERİ

KIRSAL KALKINMA PROGRAMI YÖNETİM OTORİTESİNİN GÖREVLERİ VE ÇALIŞMA ESASLARI HAKKINDA YÖNETMELİK

T.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı

T.C. ADANA BİLİM VE TEKNOLOJİ ÜNİVERSİTESİ Strateji Geliştirme Daire Başkanlığı SORU VE CEVAPLARLA KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI

T.C. GÜNEY MARMARA KALKINMA AJANSI İÇ KONTROL İZLEME VE YÖNLENDİRME KOMİTESİNİN GÖREV VE SORUMLULUKLARI HK YÖNERGE BİRİNCİ BÖLÜM

ÇELİKEL A.Ş. Bilgi Güvenliği Politikası

SASA POLYESTER SANAYİ A.Ş. YÖNETİM KURULU KOMİTELERİ İÇ TÜZÜKLERİ DENETİMDEN SORUMLU KOMİTE

SÖKTAŞ TEKSTİL SANAYİ VE TİCARET A.Ş. Kurumsal Yönetim Komitesi Yönetmeliği. (Aday Gösterme ve Ücret Komiteleri Çalışma Esasları dahil)

Bu dokümanla BGYS rollerinin ve sorumluluklarının tanımlanarak BGYS sürecinin efektif şekilde yönetilmesi hedeflenmektedir.

GİRİŞ. A. İç Kontrolün Tanımı, Özellikleri ve Genel Esasları:

YATIRIM FİNANSMAN MENKUL DEĞERLER A.Ş. YATIRIM DANIŞMANLIĞI FAALİYETİ ÇIKAR ÇATIŞMASI POLİTİKASI

626 No.lu Karar ekidir. 1 BSH EV ALETLERİ SANAYİ VE TİCARET A.Ş. D E N E T İ MDEN SORUMLU K O M İ T E GÖREV VE ÇALIŞMA ESASLARI 1.

SAF GAYRİMENKUL YATIRIM ORTAKLIĞI A.Ş. RÜŞVET VE YOLSUZLUKLA MÜCADELE POLİTİKASI

Rüşvet ve Yolsuzlukla Mücadele Politikası nın oluşturulması, uygulanması ve güncellenmesinin sağlanmasından Banka nın Yönetim Kurulu sorumludur.

İSTANBUL ÜNİVERSİTESİ DÖNER SERMAYE İŞLETME MÜDÜRLÜĞÜ HİZMET İÇİ EĞİTİM SUNUMU 02 MAYIS 2014

1- Neden İç Kontrol? 2- İç Kontrol Nedir?

DENETİMDEN SORUMLU KOMİTE DENETİMDEN SORUMLU KOMİTE GÖREV VE ÇALIŞMA ESASLARI

RİSKİN ERKEN SAPTANMASI ve RİSK YÖNETİM KOMİTESİ GÖREV VE ÇALIŞMA ESASLARI

TÜRKİYE DENETİM STANDARTLARI RİSKİN ERKEN SAPTANMASI SİSTEMİ VE KOMİTESİ HAKKINDA DENETÇİ RAPORUNA İLİŞKİN ESASLARA YÖNELİK İLKE KARARI

BATMAN ÜNİVERSİTESİ İÇ KONTROL SİSTEMİ İZLEME GÖZDEN GEÇİRME VE DEĞERLENDİRME YÖNERGESİ

KURUMSAL YÖNETİM KOMİTESİ ÇALIŞMA ESASLARI

RÜŞVET VE YOLSUZLUKLA MÜCADELE POLİTİKASI AKBANK T.A.Ş.

ANKARA ANONİM TÜRK SİGORTA ŞİRKETİ

AYEN ENERJİ A.Ş. DENETİM KOMİTESİ TOPLANTI TUTANAĞI. Toplantı Yeri: Hülya Sokak No.37 GOP Çankaya/ANKARA

T.C. RECEP TAYYİP ERDOĞAN ÜNİVERSİTESİ İdari ve Mali İşler Daire Başkanlığı SORU VE CEVAPLARLA İÇ KONTROL

SÖKTAŞ TEKSTİL SANAYİ VE TİCARET A.Ş. Riskin Erken Saptanması Komitesi Yönetmeliği

TÜRK TELEKOMÜNİKASYON A.Ş. DENETİM KOMİTESİ ÇALIŞMA ESASLARI

ADEL KALEMCİLİK TİCARET VE SANAYİ A.Ş.

10 SORUDA İÇ KONTROL

DARÜŞŞAFAKA CEMİYETİ DENETİM KOMİSYONU OLUŞUM, GÖREV, ÇALIŞMA USUL VE ESASLARINA DAİR YÖNETMELİK 1

w w w. t e g e p. o r g. t r

YÖNETİM KURULUNCA BİLGİ İŞLEM, RİSK YÖNETİMİ, İÇ KONTROL ve İÇ DENETİM SİSTEMLERİ İLE İLGİLİ YAPILMASI GEREKEN BEYANDIR

ÜCRETLENDİRME POLİTİKASI

SÖKTAŞ TEKSTİL SANAYİ VE TİCARET A.Ş. Kurumsal Yönetim Komitesi Yönetmeliği. (Aday Gösterme ve Ücret Komiteleri Çalışma Esasları dahil)

Denetim Komitesi Yönetmeliği BİRİNCİ BÖLÜM: GENEL ESASLAR

a) Komite, şirket Ana Sözleşmesine uygun olarak Yönetim Kurulu tarafından oluşturulur ve yetkilendirilir.

VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI 3-4 MART 2016

ÇANKIRI KARATEKĐN ÜNĐVERSĐTESĐ STRATEJĐ GELĐŞTĐRME KURULUNUN KURULUŞ VE ĐŞLEYĐŞĐ HAKKINDAKĐ YÖNERGE. BĐRĐNCĐ BÖLÜM Genel Hükümler

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

KALİTE YÖNETİM SİSTEMLERİ YAZILIMI

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri

İç kontrol; idarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak faaliyetlerin etkili, ekonomik ve verimli bir şekilde

KURUM İÇ DEĞERLENDİRME RAPORU HAZIRLAMA KILAVUZU

5018 Sayılı Kamu Mali Yönetimi ve Kontrol Kanunu

Yükseköğretim Kalite Kurulu. 13 Nisan ANKARA

Uyum Risk Yönetimi. KPMG İstanbul. Ekim 2014

ANADOLU EFES BİRACILIK VE MALT SANAYİ A.Ş. Riskin Erken Saptanması Komitesi Yönetmeliği

TURCAS PETROL A.Ş. DENETİM KOMİTESİ GÖREV ALANLARI VE ÇALIŞMA ESASLARI

DEVLET OPERA ve BALESİ GENEL MÜDÜRLÜĞÜ Ön Mali Kontrol İşlemleri Yönergesi. BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR.

ENTEGRE YÖNETİM SİSTEMİ YAZILIMI

İÇ-YÖN-001 İÇİNDEKİLER : 1. GENEL HÜKÜMLER 2. ORGANİZASYON 3. ÇALIŞMA YÖNTEM VE ESASLARI 4. DİĞER KONULAR

Tanımlar ve Kısaltmalar Madde 3- Bu Yönetmelikte geçen;

PEGASUS HAVA TAŞIMACILIĞI A.Ş. YÖNETİM KURULU DENETİM KOMİTESİ GÖREV VE ÇALIŞMA ESASLARI 1. AMAÇ

ISO UYGULAMA PROSEDÜRÜ

Coca-Cola İçecek A.Ş. Yönetim Kurulu. Kurumsal Yönetim Komitesi ÇALIŞMA ESASLARI

KAMU İÇ KONTROL STANDARTLARI UYUM EYLEM PLANI REHBERİ. Ramazan ŞENER Mali Hizmetler Uzmanı. 1.Giriş

BORSA İSTANBUL A.Ş. SÜRDÜRÜLEBİLİRLİK KOMİTESİ UUE UYGULAMA USULÜ VE ESASLARI

KAMU BORÇ İDARESİNDE OPERASYONEL RİSK VE İŞ SÜREKLİLİĞİ YÖNETİMİ

İŞ FİNANSAL KİRALAMA A.Ş. KURUMSAL YÖNETİM KOMİTESİ GÖREV VE ÇALIŞMA ESASLARI

2013 YILI İÇ DENETİM PROGRAMI

DENETİM KOMİTESİ ÇALIŞMA ESASLARI Madde 1: Kapsam ve Yasal Dayanak Bu çalışma esasları ( Çalışma Esasları ) Mavi Giyim Sanayi ve Ticaret A.Ş.

bt-pota Bilgi Teknolojileri Hizmetleri Belgelendirme Standartları Merve Saraç Nisan 2008

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001

RGN İLETİŞİM HİZMETLERİ A.Ş BİLGİ GÜVENLİĞİ POLİTİKASI

T.C. GAZİ ÜNİVERSİTESİ

T.C. Ankara Sosyal Bilimler Üniversitesi İÇ KONTROL. Strateji Geliştirme Daire Başkanlığı Mart, 2017

UÜ-SK HASTA GÜVENLİK PLANI

AG ANADOLU GRUBU HOLDİNG A.Ş. DENETİM KOMİTESİ YÖNETMELİĞİ

TÜRKİYE SAGLIK ENSTİTÜLERİ BAŞKANLIĞI STRATEJİ GELİŞTİRME DAİRE BAŞKANLIĞI ÇALIŞMA USUL VE ESASLARI. BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar

SİGORTA VE REASÜRANS İLE EMEKLİLİK ŞİRKETLERİNİN İÇ SİSTEMLERİNE İLİŞKİN YÖNETMELİK BİRİNCİ BÖLÜM. Amaç, Kapsam, Dayanak, Tanımlar ve

T.C. MALİYE BAKANLIĞI Bütçe ve Mali Kontrol Genel Müdürlüğü SAYI: B.07.0.BMK / /02/2009 KONU: Kamu İç Kontrol Standartları

KAMU İÇ DENETİMİ STRATEJİ BELGESİ ( )

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

SPK Bilgi Sistemleri Tebliğleri

KURUMSAL YÖNETİM KOMİTESİ

BİLİŞİM EĞİTİM KÜLTÜR ve ARAŞTIRMA DERNEĞİ

SİGORTA ŞİRKETİ VE REASÜRANS ŞİRKETİ İLE EMEKLİLİK ŞİRKETLERİNDE KURUMSAL YÖNETİM İLKELERİNE İLİŞKİN GENELGE (2011/8)

ÖZEL DURUM AÇIKLAMA FORMU

HACCP Sistem Tetkikine Ait Resmi Form Resmi Kontrol Rapor No:

UÜ-SK KLİNİKTE HASTA BAKIMI PROSEDÜRÜ

ÖĞRETİM ÜYESİ YETİŞTİRME PROGRAMINA İLİŞKİN ESAS VE USULLER. BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar

SAYIŞTAY REHBERLERİ

TEBLİĞ. Ulaştırma, Denizcilik ve Haberleşme Bakanlığından: SİBER OLAYLARA MÜDAHALE EKİPLERİNİN KURULUŞ, GÖREV VE

NUROL GAYRİMENKUL YATIRIM ORTAKLIĞI A.Ş.

SAMSUN İLİ KAMU HASTANELERİ BİRLİĞİ GENEL SEKRETERLİĞİ GAZİ DEVLET HASTANESİ BİRLİK

KOMİTELER VE ÇALIŞMA ESASLARI

TÜRK TELEKOMÜNİKASYON A.Ş. Risklerin Erken Saptanması ve Yönetimi Komitesi Görev ve. Çalışma Esasları

KURUMSAL RİSK YÖNETİMİ RİSK YÖNETİM MODELLERİ

KURUL KARARLARI. Maliye Bakanlığı İç Denetim Koordinasyon Kurulundan: İÇ DENETİM KALİTE GÜVENCE VE GELİŞTİRME PROGRAMI 1

KURUMSAL YÖNETİM KOMİTESİ GÖREV VE ÇALIŞMA ESASLARI

Transkript:

POLİTİKASI Sayfa :1/7 Bilgi Sistemleri Risk Yönetim Politikası Doküman Bilgileri Adı: Bilgi Sistemleri Risk Yönetim Politikası Doküman No: 01 Revizyon No: İlk yayındır Doküman Tarihi: 01.10.2014 Referans / Gerekçe Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ Onaylayan Yönetim Kurulu Değişiklik Tarihçesi Revizyon No Tarih Açıklama Değişikliği Yapan Dağıtım Listesi Doküman No Birim Kişi Ünvan

POLİTİKASI Sayfa :2/7 İÇİNDEKİLER 1. AMAÇ... 3 2. KAPSAM... 3 3. TANIMLAR... 3 4. BİLGİ SİSTEMLERİ YÖNETİMİ RİSKİNE İLİŞKİN TEMEL İLKELER... 3 5. BİLGİ SİSTEMLERİ RİSKİNİN YÖNETİLMESİNE İLİŞKİN SORUMLULUKLAR... 5 6. BİLGİ GÜVENLİĞİ ve RİSK KOMİTESİ ÇALIŞMA ESASLARI... 5 7. YÜRÜRLÜK... 7

POLİTİKASI Sayfa :3/7 1. AMAÇ Bu politikanın amacı; Şirket in faaliyetlerinin ifasında kullandığı bilgi sistemlerinin yönetiminde esas alınacak ilkeler ile bilgi teknolojilerinin kullanımından kaynaklanan risklerin tanımlanması, ölçülmesi, izlenmesi, kontrol edilmesi, raporlanması ve yönetilmesine ilişkin esasları belirlemektir. Bu politika ile bilgi sistemleri yönetiminin kurumsal yönetim uygulamalarının bir parçası olarak ele alınarak Şirket faaliyetlerinin sürdürülmesinde kritik bir bağımlılık unsuru olan bilgi teknolojilerinin etkin biçimde yönetilmesi amaçlanmaktadır. 2. KAPSAM Şirket in hizmetlerini sunmak için kullandığı teknoloji altyapısı, uygulama mimarisi,programlama teknikleri, dış hizmet sağlayıcılardan kaynaklanabilecek riskleri ve teknolojik gelişmeler de dikkate alınarak uygulanacak risk analiz tekniklere karar verilir.şirket in bilgi sistemleri ile bu sistemleri içeren tüm unsurların yönetiminde bu politika hükümleri uygulanır. 3. TANIMLAR Şirket:TURK Elektronik Para ve yi, Bilgi Sistemleri:Elektronik ortamda bilgilerin işlenmesi ve depolanması için kullanılan giriş, işleme, depolama,yedekleme,kopyalama ve yazdırma fonksiyonlarını kapsayan yazılım ve donanımlarını, BS/BT: Bilgi Sistemleri ni, Bilgi Teknolojileri ni Bilgi Güvenliği:Bilgi sistemleri üzerinde işlenen, depolanan bilgilerin erişilebilirliğinin, bütünlüğünün ve gizliliğininsağlanmasını Bilgi Güvenliği ve Risk Komitesi: Bilgi sistemlerinin yönetimine ve bilgi güvenliğinin sağlanmasına ilişkin politikaların, prosedürlerin ve süreçlerin tesis edilmesi, bilgi teknolojilerinin kullanılmasından kaynaklanan risklerin etkin biçimde yönetilmesi amacıyla oluşturulan komitedir. ifade eder. 4. BİLGİ SİSTEMLERİ YÖNETİMİ RİSKİNE İLİŞKİN TEMEL İLKELER Bilgi sistemlerinin yapısının, Şirket in ölçeği, faaliyetlerin ve sunulan ürünlerin niteliği, çeşitliliği ve stratejik hedefleri ile uyumlu olması; bilgi sistemleri ile içerdiği verinin güvenilir, doğru, eksiksiz, izlenebilir, tutarlı, erişilebilir ve ihtiyaçları karşılayacak nitelikte oluşturulması esastır. Bilgi sistemleri asgari olarak; Şirket le ilgili tüm bilgilerin yurt içinde elektronik ortamda güvenli ve istenildiği an erişime imkân sağlayacak şekilde saklanılmasına veya yedeklenmesine ve kullanılmasına, Risk ölçüm yöntem veya modelleri kullanılarak risklerin ölçülebilmesine ve zamanında ve etkin bir şekilde raporlanabilmesine, Önceden belirlenen risk limitlerine yaklaşılması halinde uyarıcı bilgiler üretilebilmesine,

POLİTİKASI Sayfa :4/7 Belirlenen azami risk düzeylerine ilişkin aşımların ve istisnaların zamanında raporlanabilmesine, Sunulan hizmet ve faaliyetlere ilişkin sermaye tahsisinin Şirket in risk alma düzeyine göre belirlenmesine, Sızma ve stres testi yapılabilmesine, Muhasebe kayıtlarının Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurulu tarafından belirlenen usul ve esaslara uygun şekilde muhasebeleştirilmesine imkân verecek yapıda tesis edilir. Bilgi sistemlerinin sürekli biçimde işlerliğini sağlamak üzere iş sürekliliği planı oluşturulur. Söz konusu planın işlerliği ve yeterliliği düzenli olarak test edilir; ihtiyaç duyulması halinde gerekli tedbirler alınır. İş sürekliliğinin planlanmasında, kritik bilgi teknolojileri varlıkları ile süreçleri belirlenir; bunlara ilişkin iş etki analizi ile risk değerlendirmesi yapılır. Bilgi sistemleri ile içerdiği verinin güvenli biçimde saklanması esastır. Bu çerçevede, veriler, güvenlik hassasiyet derecelerine göre sınıflandırılır, her bir sınıf için uygun düzeyde güvenlik kontrolleri tesis edilir ve buna göre yedeklenir. Bilgi sistemlerinin güvenliği ve yedekleme sistemlerinin işleyişi düzenli olarak test edilir ve test sonuçlarına göre ihtiyaç duyulması halinde gerekli değişiklikler yapılır. Bilgi güvenliğinin temininde ve Şirket in bilgi sistemlerine erişimde, kimlik doğrulama ve yetkilendirme mekanizmaları ile inkâr edilemezlik ve sorumluluk atama imkânlarını içeren teknikler kullanılır. Bilgi sistemlerinin geliştirilmesi, test edilmesi ve işletilmesi süreçlerinde görevler ayrılığı ilkesi uygulanır. Bilgi sistemleri yönetim sürecinde görev alan bölüm ve çalışanların görev, yetki ve sorumlulukları yazılı olarak belirlenir. Görevler ayrılığı ilkesine uygunluk düzenli olarak test edilir; sonuçları Bilgi Güvenliği ve Risk Komitesi ne raporlanır. Faaliyetlerin yürütülmesi sırasında bilgi sistemleri aracılığıyla edinilen ve saklanan müşteri ve Şirket bilgilerinin gizliliğini sağlamak esastır. Müşteri bilgilerinin, yasalarla yetkili kılınmış merciler dışındaki taraflarla paylaşımına ilişkin uygulama esasları yazılı olarak belirlenir. Bilgi sistemleri kullanılarak gerçekleştirilen ve şirket faaliyetlerine ait kayıtlarda değişikliğe neden olan işlemlere ilişkin olarak yeterli detayda ve açıklıkta denetim izleri oluşturulur. Denetim izlerinin bütünlüğünün bozulmasının önlenmesi ve herhangi bir bozulma durumunda bunun tespit edilebilmesi için gerekli tedbirler alınır. Bilgi sistemleri yönetimi kapsamında alınacak Dış hizmetlerine ilişkin risk analizi yapılır. Dış hizmetinin alımı süresince Şirket in maruz kalabileceği riskler ve bunların düzeyi ile Dış hizmeti kuruluşunun sağladığı hizmetin yeterliliği değerlendirilir. Söz konusu değerlendirme sonuçları belirli dönemlerdebilgi Güvenliği ve Risk Komitesiaracılığıyla üst yönetime sunulur. Uygulamaya konulan bilgi sistemlerinin işleyişi, stratejik hedeflere uygunluğu, kontrollerin etkinliği ve yeterliliği, bilgi teknolojilerindeki gelişmeler de göz önüne alınarak düzenli olarak izlenir. Yeni bilgi sistemlerinin Şirket te uygulanmasının, Şirket in risk profili

POLİTİKASI Sayfa :5/7 üzerinde yaratacağı etki değerlendirilir. Bu çerçevede, gerek duyulması halinde, bilgi sistemleri işleyişi revize edilir. 5. BİLGİ SİSTEMLERİ RİSKİNİN YÖNETİLMESİNE İLİŞKİN SORUMLULUKLAR Bilgi sistemlerinin yönetimine ve bilgi güvenliğine ilişkin politikalar üst yönetimin onayı ile yürürlüğe girer; söz konusu politikaların işleyişi düzenli olarak gözden geçirilir ve gereksinimler doğrultusunda güncellenir. Üst yönetim, bilgi teknolojilerinden kaynaklanan risklerin etkin biçimde ve yeterli kaynaklarla yönetildiğini takip etmek; gerekli aksiyonların alınmasını ve kaynakların tahsis edilmesini sağlamakla yükümlüdür. Şirket, bilgi sistemlerinde meydana gelecek önemli değişikliklerden önce olası riskleri değerlendirir ve bilgi sistemlerineilişkin risk analizini tekrarlar. Bilgi sistemlerinin; Şirket in ölçeği, faaliyetleri ve sunulan ürünlerin niteliği, çeşitliliği ve stratejik hedefleri ile uyumunun sağlanmasından, yönetimine, sürekliliğine, bilgi güvenliği ile gizliliğinin sağlanmasına ilişkin politikaların, prosedürlerin ve süreçlerin oluşturulmasından, kullanımı nedeniyle maruz kalınabilecek risklerin yönetilmesinden Bilgi Güvenliği ve Risk Komitesi sorumludur. Komite, faaliyetlerini düzenli olaraküst yönetime raporlar. Şirket in maruz kalabileceği bilgi teknolojilerine ilişkin risklerin ölçülmesi, ölçüm sonuçlarının raporlanması ve risk düzeyinin izlenmesi Risk İzleme Birimi ninsorumluluğundadır. Şirket in bilgi sistemlerinden kaynaklanan riskler, Bilgi Güvenliği ve Risk Komitesi aracılığıyla üst yönetime raporlanır. Üst yönetimin belirlediği strateji ve politikalar ile bu çerçevede Risk İzleme Birimi tarafından alınan kararlar doğrultusunda bilgi sistemlerinin risk yönetimi süreçleri Bilgi Güvenliği ve Risk Komitesitarafından yürütülür. Yeni bilgi teknolojileri uygulamaya konulmadan önce, risk analizleri yapılmak üzere Risk İzleme Birimi ne iletilir. Anılan bölüm tarafından yapılan risk analizi, yeni bilgi teknolojisinin kullanılacağı yeni ürün ve hizmete ilişkin nihaî risk değerlendirmesi yapılmak üzerebilgi Güvenliği ve Risk Komitesi ne iletilir. Bilgi teknolojileri varlıklarının ve süreçlerinin süreklilik, kullanılabilirlik ve kurtarma yeteneklerini değerlendirmek ve güncel tutmak Bilgi Güvenliği ve Risk Komitesi nin görevidir. 6. BİLGİ GÜVENLİĞİ VE RİSK KOMİTESİ ÇALIŞMA ESASLARI Bilgi Güvenliği ve Risk Komitesi; bilgi sistemlerinin Şirket in stratejik amaçları doğrultusunda yönetimine ve bilgi güvenliğinin sağlanmasına ilişkin politikaların,

POLİTİKASI Sayfa :6/7 prosedürlerin ve süreçlerin tesis edilmesi, bilgi teknolojilerinin kullanılmasından kaynaklanan risklerin etkin biçimde yönetilmesi amacıyla oluşturulan bir Komitedir. Bilgi Güvenliği ve Risk Komitesi nin Başkan ve üyeleri Yönetim Kurulunun önerisi üzerine üst yönetim tarafından belirlenir. Komite, kendisine bağlı özel maksatlı alt komiteler kurabilir Komite, toplantı esasıyla çalışır. Toplanma sıklığını ve koşullarını Komite Başkanı belirler. Komitenin sekreterliğini Bilgi Güvenliği Yetkilisi yürütür. Komite temel olarak; Şirket faaliyetlerinin sürdürülmesinde kritik bir bağımlılık unsuru olan bilgi teknolojilerinin etkin biçimde yönetilmesi ve bu doğrultuda oluşan kaynak gereksinimlerinin stratejik hedefler çerçevesinde önceliklendirilmesi, Şirket in faaliyetlerinde bilgi sistemlerinin kullanımına ve güvenliğinin sağlanmasına, ayrıca, faaliyetlerin yürütülmesi sırasında bilgi sistemleri aracılığıyla edinilen veya saklanan Şirket ve müşteri bilgilerinin gizliliğini temin etmeye yönelik politikalarının oluşturulması ve Üst yönetimin onayına sunulması; söz konusu politikaların düzenli olarak gözden geçirilmesi ve gerek duyulması halinde güncellenmesinin sağlanması, Bilgi sistemlerinin kullanımından kaynaklanan risklerin tanımlanması, değerlendirilmesi ve raporlanması, söz konusu risklerin yönetilmesine yönelik kuralların oluşturulması, kontrollerin tesis edilmesi ve izlenmesi, Bilgi sistemlerine ilişkin olarak iş sürekliliği planlamasının yapılması ve söz konusu planının işlerliğinin sağlanması, Mevcut bilgi sistemlerinin yeterliliği ile yeni teknolojilerin kullanımına yönelik değerlendirmenin yapılması; bunun için gereken kaynağın belirlenmesi, Bilgi sistemleri ile içerdiği verilerin gizliliğini, güvenliğini, bütünlüğünü ve doğruluğunu sağlamaya yönelik sistem ve süreçlerin oluşturulması; söz konusu sistem ve süreçlerin işlerliğinin ve yeterliliğinin test edilmesi, test sonuçlarının izlenmesi, raporlanması ve gerekli tedbirlerin alınması; Şirket çalışanlarının bilgi güvenliği ve gizliliği konusundaki farkındalık düzeylerinin artırılması, Bilgi sistemlerinin kullanımına ilişkin yetkilendirme ve kimlik doğrulama sistem ve süreçlerinin oluşturulması ve izlenmesi, konularında görev yapar. Komitenin toplantı gündeminde, Bilgi teknolojilerinden kaynaklanan risk düzeyine ilişkin değerlendirmelere ve risk düzeyinin asgari seviyeye indirilmesine yönelik aksiyon planlarının oluşturulmasına, bu kapsamda, faaliyetlerin yürütülmesinde uygulanacak kimlik doğrulama ve yetkilendirme süreçleri ile veri gizliliğinin sağlanmasına ilişkin mevcut kontrollerin etkinliğinin ve yeterliliğinin değerlendirmesine, Bağımsız denetim çalışmaları sonucu tespit edilen bulguların değerlendirilmesine ve gerekli aksiyonların planlanmasına,

POLİTİKASI Sayfa :7/7 Bilgi sistemlerine ilişkin olarak alınan Dış hizmetlerinin riskleri ile Dış hizmet kuruluşunun yeterliliği konusundaki değerlendirmelere, Bilgi güvenliği ihlâline ilişkin olaylar hakkındaki değerlendirmelere ve uygulanacak tedbirlere, Bilgi kaynaklarına yönelik tehditler ile denetim izlerinin takip edilmesiyle ilgili bulguların değerlendirmesine, Yeni bilgi teknolojilerinin kullanımının Şirket in risk profili üzerinde yaratacağı etki ile yaratacağı kaynak gereksinimine ilişkin değerlendirmelere, İş sürekliliğini ve bilgi güvenliğini sağlamaya yönelik olarak gerçekleştirilen test sonuçları hakkındaki değerlendirmelere, Bilgi teknolojileri ve bilgi güvenliği alanlarındaki güncel gelişmeler ile bunların Şirket te uygulanabilirlikleri ile ilgili değerlendirmelere, Bilgi sistemleri ile bunlara dayalı olarak verilen hizmetlere ilişkin müşteri şikayetleri ve bunların giderilmesine yönelik olarak alınabilecek aksiyonların belirlenmesine yer verilir. Bilgi Güvenliği ve Risk Komitesi toplantılarında görüşülen konular, öne sürülen görüşler ve alınan kararları içeren toplantı tutanağı düzenlenir. 7. YÜRÜRLÜK Bilgi sistemleri yönetimi riskine ilişkin bu düzenleme, üst yönetimin onay tarihi itibariyle yürürlüğe girer. Şirket in bilgi sistemleri yönetimine ilişkin tüm uygulama ve iş akışları politika hükümleriyle uyumlu şekilde oluşturulur/güncellenir.

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim