No : P.02 : 1 / 7 : : 0

Benzer belgeler
T. C. KAMU İHALE KURUMU

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği

ÇELİKEL A.Ş. Bilgi Güvenliği Politikası

T. C. KAMU İHALE KURUMU

UE.18 Rev.Tar/No: /03 SAYFA 1 / 5

Bu dokümanla BGYS rollerinin ve sorumluluklarının tanımlanarak BGYS sürecinin efektif şekilde yönetilmesi hedeflenmektedir.

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

DOK-004 BGYS Politikası

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

POL.01 Rev.Tar/No: /1.0 HĠZMETE ÖZEL

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI

STRATEJİK YÖNETİM VE YÖNETİMİN GÖZDEN GEÇİRMESİ PROSEDÜRÜ

Bilgi Güvenliği Yönetim Sistemi

BGYS-PL-01 BİLGİ GÜVENLİĞİ POLİTİKASI

YÖNETİMİN SORUMLULUĞU PROSEDÜRÜ

T. C. KAMU İHALE KURUMU

STRATEJİK YÖNETİM VE YÖNETİMİN GÖZDEN GEÇİRİLMESİ PROSEDÜRÜ Doküman No: Yürürlük Tarihi: Revizyon Tarih/No:

STRATEJİK YÖNETİM VE YÖNETİMİN GÖZDEN GEÇİRMESİ PROSEDÜRÜ

GAZİANTEP ÜNİVERSİTESİ KALİTE YÖNETİM SİSTEMİ İŞLEYİŞ YÖNERGESİ

BİLGİ GÜVENLİĞİ POLİTİKASI

BİLGİ GÜVENLİĞİ POLİTİKASI

Prosedür. Kalite Yönetim Sisteminde Neden gerçekleştirilecek?

AHİ EVRAN ÜNİVERSİTESİ KALİTE YÖNETİM SİSTEMİ 2018 YILI UYGULAMA REHBERİ

Kontrol: Gökhan BİRBİL

KALİTE EL KİTABI PERSONEL BELGELENDİRME

BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ

STRATEJİK YÖNETİM VE YÖNETİMİN GÖZDEN GEÇİRMESİ PROSEDÜRÜ

YÖNETİM SİSTEMLERİ. Yönetim Sistemi Modelleri: Deming tarafından geliştirilen, Planla Uygula Kontrol Et Önlem Al

BİLGİ GÜVENLİĞİ POLİTİKASI

ISO 13485:2016 TIBBİ CİHAZLAR KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

YÖNETİMİN GÖZDEN GEÇİRMESİ PROSEDÜRÜ

GEÇİŞ İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ

ANET Bilgi Güvenliği Yönetimi ve ISO Ertuğrul AKBAS [ANET YAZILIM]

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001

Bilgi Güvenliği Politikası. Arvato Bertelsmann İstanbul, Türkiye. Versiyon 2016_1. Arvato Türkiye. Yayınlayan

YÖNETİM GÖZDEN GEÇİRME PROSEDÜRÜ

SPK Bilgi Sistemleri Tebliğleri Uyum Yol Haritası

BAŞ DENETÇİ PROGRAMLARI

TÜRK AKREDİTASYON KURUMU R20.08

TARİH :06/08/2007 REVİZYON NO: 3. KALİTE EL KİTABI : YÖNETİM TEMSİLCİSİ. Sayfa 1 / 6

PERSONEL BELGELENDİRME PROSEDÜRÜ (GENEL ŞARTLAR)

İç Tetkik Soru Listesi

RGN İLETİŞİM HİZMETLERİ A.Ş BİLGİ GÜVENLİĞİ POLİTİKASI

Laboratuvar Akreditasyonu

GÖREV TANIM FORMU A.POZİSYONUN KISA TANIMI KALİTE YÖNETİM SİSTEMLERİ MÜDÜRÜ KALİTE KONTROL BÖLÜMÜ B.POZİSYONUN GEREKTİRDİĞİ BİLGİ BECERİ DÜZEYİ

Notice Belgelendirme Muayene ve Denetim Hiz. A.Ş Onaylanmış Kuruluş 2764

KKTC MERKEZ BANKASI. BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ

T e t k i k R a p o r u O H S A S ( T S O H S A S )

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kapsam - Terimler

Revizyon Tarihi :

Bilgi Sistemleri Risk Yönetim Politikası

ÖN TETKİK PROSEDÜRÜ. İlk Yayın Tarihi: Doküman Kodu: PR 09. Revizyon No-Tarihi: Sayfa No: 1 / 6 REVİZYON BİLGİSİ. Hazırlayan : Onaylayan :

ISO 27001:2013 BGYS BAŞTETKİKÇİ EĞİTİMİ

T.C. UŞAK ÜNİVERSİTESİ

bt-pota Bilgi Teknolojileri Hizmetleri Belgelendirme Standartları Merve Saraç Nisan 2008

Bilişim Teknolojileri Test ve Belgelendirme Hizmetleri. Mustafa YILMAZ

Prosedür El Kitabı. İtiraz ve Şikayetleri Değerlendirme Prosedürü A - TS EN ISO / IEC Kapsamındaki İtiraz ve Şikayetler

BİLGİ GÜVENLİĞİ POLİTİKASI OLUŞTURMA KILAVUZU

GÖREV TANIM FORMU A.POZİSYONUN KISA TANIMI KALİTE YÖNETİM SİSTEMLERİ UZMANI KALİTE KONTROL BÖLÜMÜ B.POZİSYONUN GEREKTİRDİĞİ BİLGİ BECERİ DÜZEYİ

PROSEDÜR Organizasyon ve Personel Kriterleri Prosedürü

PROSÜDÜR EL KİTABI. İtiraz ve Şikayetleri Değerlendirme Prosedürü TS EN ISO / IEC ve TS EN ISO/IEC Kapsamındaki İtiraz ve Şikayetler

T.C. ANKARA SOSYAL BİLİMLER ÜNİVERSİTESİ İÇ DENETİM BİRİMİ KALİTE GÜVENCE VE GELİŞTİRME PROGRAMI

INFORMATION SECURITY POLICY

DOĞAN GRUBU İŞ SAĞLIĞI VE GÜVENLİĞİ POLİTİKASI

ISO-BGYS-PL-02 Bilgi Güvenliği Politikası

İç Tetkik Prosedürü Dok.No: KYS PR 02

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

Mikro Bilgi Kayıt ve Dağıtım A.Ş Kalite Yönetim Temsilcisi. Şenay KURT

İç Kontrol Uzmanı Pozisyonu İçin Doğru Kriterlere Sahip Olduğunuzdan Emin misiniz?

Doküman No.: P501 Revizyon No: 06 Yürürlük Tarihi:

T.C. DİYANET İŞLERİ BAŞKANLIĞI Strateji Geliştirme Başkanlığı

İTİRAZ VE ŞİKAYETLERİ DEĞERLENDİRME PROSEDÜRÜ

1- Neden İç Kontrol? 2- İç Kontrol Nedir?

(2. AŞAMA) SAHA TETKİKİ PROSEDÜRÜ

PROSES_ÜRÜN BELGELENDİRME AKIŞ ŞEMASI

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

HATAY KHB BILGI İŞLEM BİRİMİ

Enerji Yönetimi 11 Aralık Ömer KEDİCİ

10 SORUDA İÇ KONTROL

HAYAT. KURTARICI.. PRENSIPLERIMIZ

MYB İŞLEYİŞ PROSEDÜRÜ

Kalite Yönetim Sistemi El Kitabı Dok.No: AU KYS EK Bölüm 9 Performans değerlendirme

AKDENİZ ÜNİVERSİTESİ KALİTE YÖNETİM SİSTEMİ UYGULAMA YÖNERGESİ

Gerçekler. Sanayileşme ve çevre sorunları Küreselleşme ve Pazarın büyümesi Rekabetin artması

T.C. GÜMRÜK VE TİCARET BAKANLIĞI İç Denetim Birimi Başkanlığı KALİTE GÜVENCE VE GELİŞTİRME PROGRAMI

Hazırlayan: S. DOĞAN Onaylayan: C.PERGEL

ISO Nedir? denir. ISO 16001, Enerji yönetimi standardı, maliyetlerinizi ve sera gazı emisyonlarınızı indirgeme temelli, etkili bir enerji yöneti

YÖNETİM SİSTEMLERİ. TS EN ISO Kalite Yönetim Sistemi TS EN ISO Çevre Yönetim Sistemi TS (OHSAS) İSG Yönetim Sistemi

ISO :2018 İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ

KOMİTELER VE ÇALIŞMA ESASLARI

Üzerinde kontrollü kopya kaşesi bulunmayan dokümanlar kontrolsüz dokümandır. İÇ TETKİK PROSEDÜRÜ

ISO/IEC 27001:2013 REVİZYONU GEÇİŞ KILAVUZU

Türk Akreditasyon Kurumu EĞİTİM ORGANİZASYONU VE DEĞERLENDİRMESİ TALİMATI. Doküman Adı: Doküman No.: T Revizyon No: 03. Kontrol Onay. İsim.

İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ

ÖLÇME ANALİZ VE İYİLEŞTİRME PROSEDÜRÜ

İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ

KAYISI ARAŞTIRMA İSTASYONU MÜDÜRLÜĞÜ EK 3.4 KALİTE YÖNETİM / İÇ KONTROL BİRİMİ

1. Validasyon ve Verifikasyon Kavramları

DEMİRYOLU EMNİYET YÖNETİM SİSTEMİ EMNİYET ÇALIŞTAYI 2016

İ.Ü. AÇIK VE UZAKTAN EĞİTİM FAKÜLTESİ Kayıt ve Kayıtlı Öğrenci Takibi ve Analiz Standardı

Transkript:

: 1 / 7 1. BİLGİ GÜVENLİĞİ TANIMI Bilgi güvenliği politikası, şirketin bilgi varlıklarının, lokasyonlarının, süreçlerinin kurulması ve/veya işletilmesi aşamasında, bilginin aşağıda tanımları bulunan gizlilik, bütünlük ve erişilebilirliğine ilişkin kontrol yaklaşımlarını ele alır: a) Gizlilik: Bilginin sadece yetkili kişiler tarafından erişilebilir olması, b)bütünlük: Bilginin yetkisiz değiştirmelerden korunması ve değiştirildiğinde farkına varılması, c)kullanılabilirlik: Bilginin yetkili kullanıcılar tarafından gerek duyulduğu an kullanılabilir olması. Bilgi güvenliği yönetimi için izlenen uluslararası standart TS ISO/IEC 27001:2013 dür ve sistem dokümantasyonunda bundan böyle kısaca ISO/IEC 27001 olarak adlandırılacaktır. ARFESAN, ISO/IEC 27001 sertifikasyonu almaya karar vermiştir, bu sayede kurumun bilgi güvenliği yönetimiyle ilgili yürüttüğü pratikler bağımsız bir kuruluş tarafından da doğrulanmış olacaktır. 2. KAPSAM ARFESAN bünyesinde kurulan ISO/IEC 27001 BGYS sisteminin kapsamı aşağıdaki gibidir: Arfesan Bilgi Güvenliği Yönetim Sistemi, ithalat, ihracat, transit, gümrükleme gibi gümrük ve dış ticaret işlemlerini ve bu işlemlere ilişkin lojistik, depolama, muhasebe, finans ve bilgi işlem gibi faaliyetlerinin bilgi varlıkları (İnsan, doküman, elektronik veri, süreç, lokasyon, sistem v.b) ile bu varlıkları korumak amacıyla kullandığı bilişim güvenliğini kapsamaktadır. Daha ayrıntılı kapsam bilgisi, ARFESAN ISO/IEC 27001 BGYS Organizasyon içeriği, Hedefler ve Kapsam Dokümanı içerisinde bulunmaktadır. 3. BİLGİ GÜVENLİĞİ GEREKSİNİMLERİ Bilgi güvenliği gereksinimlerinin iş fonksiyonlarıyla mutabakata varılması gereklidir, BGYS bu şekilde bu gereksinimlerin karşılayabilir. Kanun, yönetmelik ve kontrat gereksinimleri de belirlenip dokümante edilmeli ve planlama aşamasında girdi olarak kullanılmalıdır. Yeni veya değişmiş sistem ve servislerin bilgi güvenliği gereksinimleri tasarım ve planlama aşamasında belirlenmelidir. BGYS nin kontrollerinin iş ihtiyaçlarına göre belirlenmesi ve uygulanması, bu kontrollerin düzenli olarak tüm ilgili personele takım toplantıları gibi araçlarla duyurulması temel prensiplerdendir.

: 2 / 7 4. BİLGİ GÜVENLİĞİ HEDEFLERİ ARFESAN yönetimi: BGYS Kalitesini arttırmak, BGYS süreçlerine ilişkin yeterlilik ve yetkinliği arttırmak, BGYS Maliyetleri belirlemek ve gerekli bütçeyi oluşturmak için yatırım sağlamak, BGYS risklerini düşürmek amacıyla kurum bilişim hizmetlerinin gerçekleştirilmesinde kullanılan tüm fiziksel ve elektronik bilgi varlıklarının, süreçlerin, lokasyonların bilgi güvenliğini sağlamayı hedefler. Bilgi Güvenliği Yönetim Sistemi nin yukarıda belirtilen başlıklara istinaden detaylı hedefleri, BGYS Organizasyon İçeriği, Hedefler ve Kapsam dokümanı içerisinde yer almaktadır. 5. YÖNETİM TAAHHÜDÜ Kurum yönetimi olarak, Bilgi Güvenliği Politikası nın uygulanmasının sağlanması ve kontrolünün yapılması, güvenlik ihlallerinde de gerekli yaptırımın icra edilmesinin yönetim tarafından desteklendiğini beyan ederim. İcra Kurulu Üyesi Fuat Burtan ARKAN

: 3 / 7 6. YÖNETİM TEMSİLCİSİ BGYS yönetim temsilcisi, BGYS nin uygulanması ve yönetilmesi için yetki ve sorumluluk almalıdır. Aşağıda belirtilenler BGYS yönetim temsilcisinin görevlerindendir: ISO/IEC 27001: 2013 Bilgi Güvenliği Yönetim Sistemi ne uygun bir sistemin kurulması, uygulanması ve sürekliliğinin sağlanması, Bilgi güvenliği yönetim sisteminin performansının izlenmesi; sonuçların, yönetimin gözden geçirmesi ve Bilgi Güvenliği Yönetim Sisteminin iyileştirilmesi faaliyetlerine esas olmak üzere raporlanması, Belgelendirme firmalarıyla ilişkiler, Belgelendirme sürecinde tasarrufu bulunan diğer dış kuruluşlarla ilişkiler, Bilgi Güvenliği Komitesi içinde güvenlik politikasının tüm mekanizmalarıyla işler halde olduğunun denetimi, Bilgi Teknolojileri süreçlerinde bilgi güvenliği politikalarının uygulanmasını sağlamak, Bilgi güvenliği ürünleri ve sistemlerinin konfigürasyon standartlarını geliştirmek, işleyişlerini kontrol etmek, iyileştirme alanlarını belirlemek ve gerekli aksiyonların gerçekleştirilmesini sağlamak, ISO27001 Standardı çerçevesinde bilgi teknolojileri süreçlerinin denetimlerini gerçekleştirmek, düzeltici faaliyetlerin takibini sağlamak, Fiziksel ve bilgi güvenliği sistemlerinin etkinliğini değerlendirmek, periyodik olarak iç/dış güvenlik taramalarını koordine etmek, risk değerlendirmesi yapmak ve bunu üst yönetime raporlamak, Mevcut sistemlerin birbiriyle entegrasyonunun etkin şekilde devamını sağlamak/güncellemek, 7. AMAÇ VE POLİTİKALARI OLUŞTURURKEN KULLANILAN ÇEVRE Bilgi güvenliği hedefleri yıllık olarak, bütçe planlarıyla paralel olarak planlanır. Bu sayede iyileşme aktiviteleri için gerekli fonların ayrılması sağlanmış olur. Bilgi güvenliği hedefleri iş hedefleri doğrultusunda, ilgili paydaşların katılımıyla belirlenir. BGYS hedefleri bir sonraki finansal yıl için, hedeflere nasıl ulaşılacağının ayrıntılarıyla birlikte dokümante edilir. Bu hedefler periyodik olarak gözden geçirilir, bu sayede güncelliği sağlanır. Değişikliklerin gerekmesi durumunda değişiklik yönetim süreciyle bu değişiklikler sağlanır. ISO/IEC 27001 standardına uygun olarak aşağıda belirtilen kontrol hedefleri ve politikalar ARFESAN tarafından benimsenmiştir. Bunlar BGYS risk değerlendirme ve BGYS risk iyileştirme planı çerçevesinde düzenli aralıklarla gözden geçirilecektir. Aşağıdaki politika ifadelerine karşılık gelen kontrollerin ayrıntısı Uygulanabilirlik Bildirgesi dokümanında belirtilmiştir.

: 4 / 7 8. ROLLER VE SORUMLULUKLAR Bilgi güvenliği alanında, yukarıda sayılan alanlar için bir dizi yönetim rolleri bulunmaktadır. Büyük bir organizasyonda bu roller her alan için ayrı kişiler tarafından yürütülebilir, küçük bir organizasyonda ise bu roller bir takım içinde paylaştırılmalıdır. Bu rollerin nasıl paylaştırıldığı, BGYS Rol ve Sorumluluklar Prosedürü dokümanında belirtilmiştir. Ekibin rollerini anlamalarının ve gerekli beceri ve yetkinliğe sahip olmalarının sağlanması bilgi güvenliği yöneticisi sorumluluğundadır. Bilgi Güvenliği İlkeleri Tüm çalışanlar ve BGYS Organizasyon İçeriği, Hedefler ve Kapsam dokümanında tanımlanan dış taraflar, bu politikaya ve bu politikayı uygulayan BGYS politika, prosedür, talimat ve aşağıda yazılı ilkelere uymak ile yükümlüdür. Kurumsal bilgi güvenliği politika, standart ve prosedürlerine uyumlu hareket etmek, Bilgi Güvenliğiyle ilgili eğitim eksikliği duyduğu durumlarda bunu Bilgi Güvenliği Yöneticisi ne bildirmek, Güvenlik prosedür ve politikalarına ilişkin değişiklik önerilerini Birim Güvenliği Yöneticisi kanalıyla Üst Yönetim Temsilcisi ne iletmek, Sorumlu oldukları bilgi varlıklarının en uygun şekilde korunmasını sağlamak, Şüphelendikleri / gözlemledikleri tüm güvenlik ihlallerini bölüm yöneticilerine veya Bilgi Güvenliği Yöneticisi' ne bildirmek, Gerektiğinde BGYS komitesi toplantılarına katılarak, sorumlu oldukları konulara ilişkin bilgi ve ihtiyaç aktarımlarında bulunmak. Kişisel ve elektronik iletişimde ve üçüncü taraflarla yapılan bilgi alışverişlerinde kuruma ait bilginin gizliliğini sağlamak Kritiklik düzeylerine göre işlediği bilgiyi yedeklemek Kurum içi bilgi kaynakları (duyuru, doküman vb.) yetkisiz olarak 3.kişilere iletmemek, alt yüklenicilere iletimi gerektiği durumlarda bilgi güvenliği politikasına uyumun alt yüklenici tarafından da kabulünü sağlamak Kurum bilişim kaynakları, T.C. yasalarına ve bunlara bağlı yönetmeliklere aykırı faaliyetler amacıyla kullanmamak

: 5 / 7 9. SÜREKLİ İYİLEŞTİRME POLİTİKASI ARFESAN ın sürekli iyileşmeye ilişkin politikası aşağıda belirtildiği gibidir: BGYS nin etkinliğini sürekli iyileştir Var olan süreçleri, ISO/IEC 27001 in gerekliliklerine göre iyileştir ISO/IEC 27001 sertifikası edin ve sertifikanın gereklerini yerine getirerek sertifikayı devam ettir Bilgi güvenliği ile ilgili etkin davran Bilgi güvenliği süreç ve kontrollerini ölçülebilir olarak tasarla, bu sayede daha sağlam kararlar al İlgili metrikleri düzenli olarak gözden geçir ve toplanmış veriler ışığında bunları değiştirip değiştirmeyeceğine karar ver Paydaşlarla yapılacak toplantılarda, iyileşme için fikir topla ve bunları sürekli iyileştirme planında dokümante et Sürekli iyileştirme planını yönetim toplantılarında gözden geçir, zaman planı ve faydaları analiz et, ve faaliyetleri önceliklendir. Geliştirme için öneriler ve fikirler herhangi bir kaynaktan gelebilir. Bu kaynaklar arasında müşteriler, tedarikçiler, Bilgi İşlem çalışanları ve risk değerlendirmeler olabilir. Geliştirme faaliyeti tanımlandığında, faaliyet Gereksinim Listesi dokümanına eklenir, ve ilgili kişiler tarafından aksiyon alınır. Değerlendirmede aşağıdaki kıstaslar kullanılır: Maliyet İş faydası Risk İyileştirmenin ne kadar zamanda tamamlanabileceği Kaynak ihtiyacı Kabul edilmesi durumunda, iyileştirme önerisi önceliklendirilir.

: 6 / 7 10. BGYS RİSK YÖNETİM YAKLAŞIMI Kurumun risk yönetim çerçevesi, bilgi güvenliği risklerinin tanımlanmasını, değerlendirilmesini, işlenmesini kapsar. Risk değerlendirmesi, uygulanabilirlik bildirgesi ve risk işleme planı, bilgi güvenliği risklerinin nasıl kontrol edildiğini tanımlar. Bu planın yönetiminden ve gerçekleştirilmesinden Bilgi Güvenliği Komitesi sorumludur. BGYS de risk yönetimi çeşitli seviyelerde gerçekleşir: Yönetim planlaması hedeflerin gerçekleşmesine yönelik riskler Bilgi güvenliği ve BT servis devamlılığı risk değerlendirmesi Değişiklik yönetimi sürecindeki risklerin değerlendirilmesi Yeni ve değişmiş servislerin tasarım ve geçişinin bir parçası olarak BGYS Risk değerlendirmeler senelik ya da önemli süreç değişiklikleri olduğunda yeniden gerçekleştirilir. Bu süreç, BGYS Risk Değerlendirme Prosedürü dokümanında ayrıntılandırılmıştır. 11. İNSAN KAYNAKLARI ARFESAN, bilgi güvenliği faaliyetlerine dahil olan tüm personelin uygun eğitim, bilgi, beceri ve tecrübe düzeyinde bulunmasını sağlar. Gerekli olan beceriler ve var olan becerilerin durumu sürekli olarak gözden geçirilir. Eğitim ihtiyaçları belirlenir, ve gerekli yeterliklerin sağlanması için bir plan oluşturulur. Eğitim durumu, alınmış eğitimler, ve diğer ilgili kayıtlar İnsan Kaynakları Müdürlüğü tarafından tutulur. 12. DENETLEME VE GÖZDEN GEÇİRME Bilgi güvenliği süreç, politika ve prosedürleri kurulduktan sonra, bunların düzenli olarak gözden geçirilmesi; sistemin işlerliğini ölçebilmek adına önemlidir. Bu gözden geçirme ve denetleme üç seviyede gerçekleşir: 1. Politikalara ve prosedürlere uygunluğun üst yönetim tarafından ihtiyaç duyulduğunda olağan dışı toplantılar ile ya da düzenli olarak her sene Yönetim Gözden Geçirme toplantıları ile 2. ISO/IEC 27001 standardına uygunluğun iç denetim sonuçlarının incelenmesi ile 3. ISO/IEC 27001 standardının dış denetimlerinin gerçekleşmesi, bu sayede sertifikanın devamının sağlanması

: 7 / 7 Gözden geçirilen ve güncellenen politika, üst yönetim tarafından onaylanır ve yayınlanır. 13. DÖKÜMANTASYON YAPISI VE POLİTİKASI Tüm bilgi güvenliği politika ve planları dokümante edilmelidir. Bu kısımda her bir alanda bulunması gereken ana dokümanlar ve kayıtlar belirtilmiştir. Dokümantasyonla ilgili kabul ve standartlar BGYS Doküman ve Kayıt Kontrolü Prosedürü nde verilmiştir. BGYS kapsamında oluşturulan doküman ve kayıtlar, BGYS dokümantasyon listesinde bulunmaktadır. Dokümantasyon yapısı bir sonraki sayfada şematik olarak gösterilmiştir. 14. POLİTİKANIN İHLALİ VE YAPTIRIMLAR Bilgi güvenliği politika, prosedür ve talimatlarına uyulmaması halinde, aşağıdaki yaptırımlardan bir ya da birden fazla maddesini uygulayabilir: Disiplin Hükümleri; Şirket te verimli ve huzurlu çalışmayı temin amacıyla; Personelden Şirket in kabul ettiği prensip, uygulama, duyuru, talimat, yönetmelikler ve İş yeri kuralları ile yürürlükteki çalışma hayatını düzenleyen mevzuat hükümlerine uygun hareket etmeleri ve güvenli, disiplinli, verimli bir iş ortamı yaratmaları istenir. Bunların aksine gerçekleşen eylem ve davranışlar disiplin süreci içerisinde değerlendirmeye alınır ve sonuçlandırılır. Disiplin sürecinin konusu olabilecek hususlar Disiplin ve İşten Çıkış Prosedüründe belirtilmiştir. İş Akdi Sona Erme; İşten çıkış işlemleri ile ilgili karar ve onay noktasında sorumlu olan tüm yöneticiler süreci hassasiyetle değerlendirerek sonuçlandırmak ile sorumludur. Personelin işten çıkış işlemleri onay ve süreç gereklilikleri tamamlanmadan hiçbir personelin işten çıkış işlemi yapılmamalıdır. İş Akdi sonlandırılması ile ilgili sürecin hangi sebeple sonlandırıldığına dair tüm belge, bilgi, tutanak ve savunmaların tamamlanması hususu İlgili Müdürlük ve İnsan Kaynaklarının koordineli çalışması ile yürütülmelidir. İş akdi sona eren personel ile ilgili yapılması gerekenler Disiplin ve İşten Çıkış Prosedüründe belirtilmiştir. Üst Yönetim Temsilcisi : Devrim TEZCAN İcra Kurulu Üyesi : F.Burtan ARKAN Approval Approval Rev. No Rev. Tarihi Değişiklik Durumu Rev. yapan Rev. No Rev. Date Matter of Change Rev. by 0 19.02.2016 Yayınlandı. Y.Pişgintaş

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim