Arvato Bertelsmann İstanbul, Türkiye Versiyon 2016_1 Yayınlayan Durum Sınıfı Arvato Türkiye Onaylı Genel Tarih 01.08.2016 1
İçindekiler 1. Giriş... 4 2. Uygulama Kapsamı... 5 3. Motivasyon... 6 4. Arvato CRM Çözüm Grubu Bilgi Güvenliği Yapısı ve Prensipleri... 7 4.1 Arvato CRM Çözüm Grubu Bilgi Varlıklar... 7 4.2 Bilgi Güvenliği Yönetim Sistemi (BGYS)... 7 4.3 Güvenlik Seviyesi... 8 4.4 Bilgi Güvenliği Yönetim Sistemi Dokümanlarının Yapısı ve Hiyerarşisi... 9 4.5 Organizasyonel Uyum... 10 4.6 Güvenlik Farkındalığı... 10 4.7 Üçüncü Taraflar... 11 5. Sorumluluklar ve Yükümlülükler... 12 6. Nihai Onay... 13 7. İlgili Dokümanlar... 14 2
Doküman Kontrolü Sınıflandırma: Genel Doküman Sahibi: CRM Çözüm Grubu Üst Yönetim İletişim: Altuğ Eker Yayınlanma Tarihi: 01.08.2016 Değerlendirme Zamanı: Her 3 yılda 1, ya da değişiklik olduğu zaman Lokasyon: CRM Çözüm Grubu BGYS SharePoint Versiyon Özeti Versiyon Tarih Revizyonu Yapan Değişiklikler/Notlar Kişi 1.0 01.08.2016 Nida Seçilmiş İlk Yayın 3
1. Giriş, Arvato CRM Çözüm Grubu (ÇG) Üst Yönetimi, Bilgi Güvenliği Yönetim Sistemi nin (BGYS) kurulma anlayışını ve amacını yansıtır. Bu dokümanda açıklanan, bilgi güvenliğinin sağlanması için Çözüm Grubu genelinde temel motivasyon, hedef ve stratejileri tanımlar. Bu politika için hedef gruplar aşağıdaki gibidir: Çalışanlar, Hissedarlar ve Müşteriler ve CRM Çözüm Grubu ndaki bilgi güvenliği yönetimi hakkında daha fazla bilgi sahibi olmak isteyen ilgili dış taraflar. CRM Çözüm Grubu BGYS politikasını tamamlayan, BGYS nin oluşmasına Çözüm Grubu genelinde zemin hazırlar. Bu BGYS, Çözüm Grubu ailesinin güvenlik gereksinimlerine dayanır ve ISO 27001:2013 standardını dikkate almaktadır. 4
2. Uygulama Kapsamı ve bağlı olduğu yönetmelikler, Çözüm Grubu hisselerinin çoğuna sahip olan Çözüm Grubu nun kurumsal birimlerinin tümü için geçerlidir. (Doğrudan veya dolaylı olarak Bertelsmann ailesi ve Arvato)Bu politika, tüm Çözüm Grubu Üst Yönetim çalışanları, kadrolu personel, sözleşmeli ve geçici çalışanlar, erişim sağlayan, süreç ve depolama bilgisine sahip, Çözüm Grubu na ait bilgileri ya da müşteri bilgilerini ileten ya da bertaraf eden, diğer Çözüm Grup larının bilgi işlem sistemlerine veya cihazlarından herhangi birine bağlanabilen ya da herhangi birini kullanan kişiler, Çözüm Grubu alanları ve lokasyonlar için geçerli ve bağlayıcıdır. Bu politika; etik, yasal ve sözleşme yükümlülükleriyle uyumlu olarak Bertelsmann ve Arvato Üst Yönetim kuralları ve politikalarına bağlıdır. 5
3. Motivasyon Arvato CRM Çözüm Grubu, global olarak iş süreçlerinin dış kaynak sağlayıcısı bir şirkettir ve hizmeti;kendisine ait verileri korumayı, bunun yanı sıra müşterinin sahip olduğu verileri, fikri mülkiyet hakkını, ticari sırları, ve diğer bilgileri güvenli tutmaya dayanır. Ayrıca, müşterilere en iyi hizmeti sunmak için, güvenilir ve güvenli bilgiyi kullanmak kaçınılmazdır. İnsanlar ve sistemler kendi çalışmalarını yürütmek için, ihtiyaç duyduğu bilgilere erişim sağladığı zaman Çözüm Grubu bilgi güvenliği konusundaki rolünü kabul eder. Bilgisayar ve bilgi sistemleri, Çözüm Grubu aktivitelerinin çoğunu destekler ve bunlar Çözüm Grubu nun iş, destek ve idari fonksiyonları için gereklidir. Bilginin gizliliği, bütünlüğü, uygunluğu ve güvenilirliği içerisinde, herhangi birinin azalması durumu, Çözüm Grubu iş süreçlerinin etkin ve verimli çalışmasını engelleyebilir. Ayrıca bilgi kayıpları veya bilginin yetkisiz ifşası ile Çözüm Grubu itibarının zarar görmesi ve bu sebeple ciddi kayıpların oluşması muhtelmeldir. Bu riskleri azaltmak için, bilgi güvenliği, Bilgi Güvenliği Yönetimi nin ayrılmaz bir parçası olmalıdır. Bilgi Güvenliği Yönetimi, aşağıdaki maddeleri sağlamak üzere, bilgi ve bilgi sistemlerinin güvenliğini korumayı amaçlar. Gizlilik ihlal edilemez ve bilgiye sadece erişim yapmaya yetkilendirilmiş sistemler veya kişiler tarafından erişilir. Bilginin bütünlüğünün korunması, verilerin doğruluğunu sağlar. Bilginin kullanılabilirliği muhafaza edilir ve iş, destek, idari fonksiyonlarında hiçbir bozulma olmaz ve Bilginin güvenilirliği garanti edilmekte olup böylece sağlanan iş, sürekli olarak bilginin özelliklerine göre yapılandırılır. Bu nedenle, tüm iç ve harici kurumsal, kural, sözleşme ve yasal gereklilikler ve diğer hususlar dikkate alınarak, Bilgi Güvenliği Yönetim Sistemi, bilgi güvenliğini etkin ve verimli bir şekilde uygulamak ve yönetmek için temel yapıyı oluşturur. Çözüm Grubu, ISO / IEC 27001:2013 standardı tarafından belirlenen şekilde bir BGYS işletmek için, bilgi yönetimi yaşam döngüsü içerisinde, bilgi güvenliği faaliyetlerinin geniş bir yelpazede belirlenmesi amacı ile yapılandırılmış bir yaklaşım kullanımı sağlar. 6
4. Arvato CRM Çözüm Grubu Bilgi Güvenliği Yapısı ve Prensipleri 4.1 Arvato CRM Çözüm Grubu Bilgi Varlıkları Çözüm Grubu nun bilgi varlıkları fikri mülkiyet, telif hakları, ticari markalar, kayıtlı tasarım, patent ve ticari sırlar dahil olmak üzere herhangi bir bilgi olarak tanımlanır. İş ve işin devamlılığını sağlamak için, etik, yasal veya sözleşme gerekliliklerini yerine getirmek amacıyla Çözüm Grubu veya bağlı ortakları nın üretilen, kendisine ait, bilgi, süreç, kayıtları iletir veya bertaraf eder. Bilgi varlıkları özel bir koruma gerektirir. Bu nedenle, bilgi varlıklarının gizliliği, bütünlüğü, kullanılabilirliği ve güvenilirliği; herhangi bir hasar ve kayıp durumuna karşı korunmalıdır. Sonuç olarak, bilgi güvenliğini yeterli düzeyde sağlamak ve Bilgi Güvenliği Yönetim Sistemi ni verimli ve etkili bir şekilde işletmek gereklidir. 4.2 Bilgi Güvenliği Yönetim Sistemi Bu politika, Bilgi Güvenliği Yönetim Sistemi ni oluşturma, izleme, koruma ve sürekli geliştirmek için temel yapıyı tanımlar. Mevcuttaki BGYS, ilgili riskleri ele almak amacıyla, bilgi güvenliğini yönetmek ve arttırmak için gerekli organizasyonları ve tüm kontrolleri, süreçleri ve prosedürleri kapsar. Sürekli Bilgi Güvenliği Yönetim Sistemi ni geliştirmek ve değişen iş ortamına uyum sağlamak amacıyla, BGYS, tüm organizasyonel düzeylerde ayrılmaz bir parçası olan PUKÖ Döngüsünü (planla - uygula - kontrol et - önlem al) içerir. Çözüm Grubu Seviyesi Ülke Seviyesi 7
Hukuki Varlık / Raporlama Birimi Düzeyinde PUKÖ döngüsü içerisinde, BGYS politikasının ve ilgili mevzuatlarının uygulanması ve bağlılığı rutin bir şekilde değerlendirilecek ve denetlenecektir. Sonuçlar güvenlik kuruluşu tarafından incelenmek üzere ilgili Üst Yönetim seviyesine rapor edilmelidir. Bu denetim faaliyetlerine ve süreçlerin değerlendirilmesine dayanarak, BGYS yi sürekli geliştirmek için düzeltici önleyici faaliyet oluşturulacaktır. Böylece Çözüm Grubu nun güvenlik düzeyi korunacaktır. 4.3 Güvenlik Seviyesi BGYS politikası ve ilgili yönetmelikleri tüm Çözüm Grubu bilgi varlıkları için asgari güvenlik sınırlarını tanımlar ve uygulama kapsamındaki tüm Çözüm Grubu kurumsal varlıkları ve bireyleri için zorunludur. Asgari güvenlik seviyesinde belirtildiği şekilde verimlilik, etkililik ve güvenlik kontrollerinin ve önlemlerin yeterliliği BGYS prosedürlerinin bir parçası olan PUKÖ döngüsünü kullanarak sağlanmaktadır. Asgari güvenlik sınırını aşan, artan bilgi güvenliği gereksinimleri, tekrarlayan İş Etki Analizi (İEA) ve Risk Etki Analizi (REA) ile tanımlanacaktır. 8 Gerektiğinde ve uygun olduğunda, BGYS içerisinde ve ilgili mevzuatlarda ya da ayrılan BGYS özellikleri ve prosedürleri içerisinde karşılık gelen düzeltmeler/ayarlamalar sürekli iyileştirme süreci boyunca dahil edilecektir.
4.4 BGYS Dökümanlarının Yapısı ve Hiyerarşisi Çözüm Grubu nun iş ve güvenlik şartlarına uygun olarak, bilgi güvenliğini oluşturmak, uygulamak, sürdürmek, izlemek ve sürekli gelişimi için, temel yapı ve standartlar BGYS dokümanı nın hiyerarşisi ve yapısı içerisinde ortaya konmaktadır. Bu temel yapı ve standartlar aşağıdaki maddelerden oluşmaktadır. Bilgi Güvenliği Yönetim Sistemi Politikası Bilgi Güvenliği Yönetmelikleri (mevcuttaki), bilgi güvenliğinin stratejik önemini Çözüm Grubu Üst Yönetimi ne ve onun Çözüm Grubu iş süreçleri içerisindeki sistematik entegrasyonunu anlatan resmi bir belgedir. BGYS politikası, BGYS nin ilkelerini ve hedeflerini tanımlayan ve bilgi güvenliği için risk yönetimi ve kontrol hedeflerinin belirten dahili bir belgedir. Uygulama kapsamında tüm kuruluş birimleri ve kişilerin uyması gereken asgari güvenlik seviyesini oluşturur. Bilgi Güvenliği Yönetmelikleri, risk yönetimi ve bilgi güvenliği için uygulanması gereken detaylı kontrolleri, yöntemleri ve sorumlulukları tanımlar ve detaylandırır,dahası bilgi güvenliği kapsamında aşağıdaki maddelerle ilişkilidir: ISREG 1: Bilgi Güvenliğinin Organizasyonu ISREG 2: Varlık ve Risk Yönetimi ISREG 3: İzleme, Gözden Geçirme ve Sürekli Gelişim ISREG 4: Üçüncü Tarafların Yönetimi ISREG 5: İnsan Kaynakları Güvenliği ISREG 6: Fiziksel ve Çevresel Güvenlik ISREG 7: İletişim ve Operasyon Yönetimi ISREG 8: Erişim Kontrolü ISREG 9: Bilgi Sistemlerini Sağlama, Gelişim ve Koruma ISREG 10: Bilgi Güvenliği Vaka Yönetimi ISREG 11: İş Sürekliliği Yönetimi ISREG 12: Uyum Bilgi güvenliği ve Bilgi Güvenliği Yönetim Sistemi Politikası, her ikiside ÇG Üst Yönetimi tarafından onaylanmıştır. Böylece, ÇG Üst Yönetimi, ayrıntılı ve bağlayıcı Bilgi Güvenliği mevzuatlarını ve ilgili kullanım talimatlarını tanımlamak ve hayata geçirmek için Çözüm Grubu güvenlik organizasyonlarını yetkilendirir. 9
Gerekirse, tamamlayıcı yerel BGYS özellikleri ve prosedürleri, BGYS politikasının asgari güvenlik seviyesini arttırmalıdır, ancak bunlar BGYS politikasında ve ilgili yönetmeliklerinde belirtilen standartlara dahil edilmeli ve uyulmalıdır. Ayrıca yerel kurallar yasal şartlara uygun olmalıdır. 4.5 Organizasyonel Uyum BGYS politikası ve ilgili mevzuatlar, uygulama kapsamında Çözüm Grubu kuruluş birimlerinin tümü için geçerlidir. ÇG Üst Yönetimi, Arvato Bilgi Güvenliği Yönetim Sistemi PUKÖ Döngüsü ile entegre edilerek verimli ve etkin bir uyum amaçlayan Arvato ailesi ile Çözüm Grubu BGYS yi yasallaştırır. İş süreçlerinde herhangi bir sertifika sağlamak için, Çözüm Grubu BGYS uygulamalarının kapsamı içerisinde bir veya daha fazla sertifika kapsamı tanımlanabilmektedir. ÇG BGYS den yararlanarak, iş süreçleri için, kapsam içerisindeki ifadelerde ve bireysel uygulanabilirliğin ifadeleri de dahil olmak üzere, bireysel gereksinimler sertifikasyonun her bir kapsamı için tanımlanacaktır. 4.6 Güvenlik Farkındalığı ÇG nin bilgi varlıkları ile ilgili herkesin dahil olduğu, bilgi güvenliğinin önemi ve etkinliği açısından farkındalık çok önemlidir. Sonuç olarak, bu BGYS politikasına ve ilgili mevzuata bağlılık, hem bilgi güvenliğini sağlamak için hem de tüm çalışanların bunların farkında olmasını gerektirdiği şekilde tasarlanmıştır. Bu sebeple, ÇG nin kuruluş birimlerinin Üst Yönetimi, ÇG bilgi varlıkları ile ilgili herkesi bilgi güvenliğinin önemi için desteklemek zorundadır. 10 Tüm çalışanlar için hedeflenen farkındalık eğitimi, BGYS nin içerik ve güncellemelerinin ÇG çalışanlarına iletilmesine bağlı olarak sağlanacaktır.
4.7 Üçüncü Taraflar Üçüncü taraflar ve BGYS nin kapsamı içindeki insanlar, sistemler ve süreçler arasındaki ara yüzlerde bilgi güvenliğini sağlamak için, üçüncü taraflarla anlaşma sağlayan Çözüm Grubu varlıklarına daha fazla önem verilmektedir. ÇG, herhangi bir üçüncü taraf ve üçüncü taraflar tarafından sağlanan hizmet türü arasındaki ara bağlantı derecesine bağlı olarak, ÇG nin BGYS tarafından belirlenen bazı şartlarla birlikte kendi süreçlerinin ve sistemlerinin uygun olduğunu göstermek için üçüncü taraflar gerekli olacaktır. 11
5. Sorumluluklar ve Yükümlülükler BGYS nin korunması ve sürekli gelişimi için, tüm çalışanlar tarafından aşağıdaki ilkelerin anlaşılması ve bu ilkelere bağlı kalınması esastır. Bilgi ile uğraşan herkes bilgi güvenliğinden sorumludur. Bilgi, başlangıçta oluşturulduğunda ya da ilk defa bilgiye erişilebildiği zaman, bilginin gerekli koruma seviyesine ilişkin olarak sınıflandırılmalıdır. Ayrıca bilgi sahibi tanımlanmalıdır. Hasar, kayıp ve bilginin kötüye kullanılmasını önlemek için, tüm çalışanlar tarafından bilgi güvenliği kontrollerine uyulmalıdır. Bilgiye erişim izni, sadece gerekli olduğunda ve ilgili faaliyetler veya fonksiyonlar için ilgili yere verilecektir.sistemin her program ve kullanıcısı, işini tamamlamak için, gerekli yetkileri minumum seviyede kullanarak çalışmalıdır. Çözüm Grubu nun her çalışanı, güvenlik vakalarının tanınmasını ve önlenmesini desteklemek ve doğru, gerçek, dürüst ifade ve delil sağlamak amacıyla yükümlüdür ve her çalışan bu yönde teşvik edilmektedir. 12
6. Nihai Provizyon Bu Yönetim Kurulu kararı ile yürürlüğe girer ve yayınlanır; ayrıca tüm çalışanlara ve ilgili üçüncü taraflara bildirilir. 13
7. İlişkili dökümanlar Arvato CRM Çözüm Grubu Bilgi Güvenliği Yönetim Sistemi Politikası Arvato Bilgi Güvenliği Yönetim Sistemi Politikası Bertelsmann Bilgi Güvenliği Yönetim Sistemi Politikası Bilgi Teknolojisi Güvenlik Teknikleri Bilgi Güvenliği Yönetim Sistemleri Şartlar, ISO/IEC 27001:2013 14