Bilgi Güvenliği Yönetim Politikamız



Giriş


Bu belge, bilgi güvenliğine yönelik yaklaşımımızı ve ulaşmayı hedeflediğimiz amaçları açıklamaktadır. Teknik detaylara ve spesifik prosedürlere girmeksizin genel bir bakış sunmayı amaçlamaktadır. Ayrıntılı bilgiler ilgili yönergelerde bulunabilir.

Şirkette Bilgi Güvenliğinin Önemi
Şirketimiz, BT destekli süreçlere bağlıdır; bu nedenle bilgi güvenliğinin sağlanması, günlük iş akışlarında güvenilirliğin korunması açısından kritik öneme sahiptir.
Bilgi güvenliğini, bilgilerin gizliliğini koruyan ve süreçlerimizin sürekliliğini sağlayan temel bir unsur olarak görmekteyiz.

Tüm çalışanlarımızı bu sürece dahil ediyor ve farkındalıklarını artırıyoruz.

Koruma Hedefleri
Şirketimizdeki en yüksek koruma hedefleri, erişilebilirlik, bütünlük ve gizliliktir.

  • Erişilebilirlik
Erişilebilirlik, bilgilerin ve sistemlerin her zaman yetkili kullanıcılar tarafından erişilebilir olmasını ifade eder. Bu hedef, kullanıcıların ihtiyaç duydukları bilgi ve kaynaklara zamanında erişim sağlamalarını güvence altına alır.
Erişilebilirliği sağlamak için:
  • Sistem Sürekliliği: Altyapının düzenli bakım ve güncellemelerinin yapılması.
  • Acil Durum Planları: Olası kesintilere karşı yedekleme ve kurtarma süreçlerinin oluşturulması.
  • Erişim Kontrolü: Yetkisiz erişimlerin önlenmesi ve yalnızca yetkili kullanıcıların kaynaklara erişiminin sağlanması.
  • Bütünlük
Bütünlük, bilgilerin doğruluğunu, tutarlılığını ve güvenilirliğini koruma ilkesidir. Bu hedef, bilgilerin yetkisiz değişikliklerden korunmasını ve verilerin yalnızca yetkili kişiler tarafından değiştirilmesini sağlar.
Bütünlüğü sağlamak için:
  • Veri Doğrulama: Veri girişi ve işleme sırasında hataları önlemek için kontrollerin uygulanması.
  • Değişiklik İzleme: Bilgiler üzerinde yapılan değişikliklerin kaydedilmesi ve takip edilmesi.
  • Erişim Kontrolü: Bilgilere kimin erişip değiştirebileceği konusunda sıkı kontrollerin uygulanması.
  • Gizlilik
Gizlilik, bilgilerin yalnızca yetkili kişiler tarafından erişilebilmesini sağlama ilkesidir. Bu hedef, hassas bilgilerin izinsiz erişim ve ifşaya karşı korunmasını sağlar.
Gizliliği sağlamak için:
  • Veri Şifreleme: Verilerin yetkisiz kişiler tarafından okunmasını engellemek için şifreleme tekniklerinin kullanılması.
  • Erişim Sınırlamaları: Bilgilere yalnızca gerekli olan yetkili kişilerin erişebilmesi için erişim seviyelerinin belirlenmesi.
  • Gizlilik Anlaşmaları: Çalışanlar ve iş ortaklarıyla gizlilik anlaşmaları yaparak, bilgi paylaşımının sınırlarını belirlemek.


Önlemler


Önlemler, ilgili yönergelerde detaylı olarak açıklanmıştır; aşağıdaki açıklamalar, bu önlemlerin kısa bir özetini sunmaktadır.

Çalışanlar İçin Geçerlidir

  • Hassas Bilgilerin İşlenmesi
  • Hassas Bilgilerin Sınıflandırılması
    Hassas bilgiler, dört farklı sınıfa ayrılır: halka açık, dahili, gizli ve son derece gizli. Bu sınıfların her biri, farklı kurallar ve şartlar gerektirir.
  • Veri Taşıyıcıları ve Belgelerin İmhası
    Dahili veya gizli bilgi içeren veri taşıyıcıları ve belgeler, imha edilmeden önce okunamaz hale getirilmelidir ve sonrasında yok edilmelidir.
  • Hassas Bilgi İçeren Belgelerin Güvenliği
    Hassas bilgi içeren belgeler, yazıcılarda ve fotokopi makinelerinde yalnız bırakılmamalıdır.
  • Mobil Çalışma
  • Cihazın Yalnız Bırakılması Durumunda
    Eğer cihaz yalnız bırakılacaksa, cihaz kilitlenmelidir. Gizli veya son derece gizli bilgi işleniyorsa, üçüncü şahısların bu bilgilere erişmemesi sağlanmalıdır.
  • Erişim ve Şifreler
  • Şifreler yalnızca onaylı bir şifre yöneticisinde saklanabilir. Kullanılan şifreler gizli tutulmalı ve kişisel amaçlarla kullanılmamalıdır.
  • Tesis Güvenliği
  • Ekipman ve bilgilerin işlenmesi, ilgili alandaki geçerli güvenlik kurallarına tabidir.
  • Tedarikçiler
  • Tedarikçilerin bilgi işleme sürecine katılımı, Bilgi Güvenliği Sorumlusu tarafından izlenir.

Bilgi güvenliği olayları, şüpheli bir durum veya kimlik bilgisi kaybı durumunda, derhal Bilgi Güvenliği Sorumlusu ile iletişime geçilmelidir.
Bilgi güvenliği veya yönergelere kasıtlı veya büyük bir ihmal nedeniyle aykırılık durumunda yaptırımlar uygulanacaktır.

Personel Yönetimi
Aşağıdaki ek önlemler uygulanmaktadır:
  • Personel Kontrol Listesi: Yeni çalışanların oryantasyonunda personel kontrol listesi kullanılmaktadır.
  • Şirket Varlıkları: Tüm şirket varlıkları belgelenir ve güncel tutulur.

BT Departmanı
BT sistemleri dikkatlice korunmalıdır. Bu konuda BT departmanımıza en iyi şekilde destek sağlanmaktadır. BT departmanımız, bilgi güvenliğinin sağlanmasında kritik bir sorumluluk alanıdır.
BT departmanı çalışanlarına ek olarak şu önlemler uygulanmaktadır:
  • BT Sistemleri
  • Log kayıtları bütünlüğün korunması amacıyla özel olarak korunmalıdır. Şirketteki tüm cihazlar senkronize saatlere sahip olmalıdır.
  • Kullanıcı hakları, her zaman minimum gereksinime göre ayarlanır. Özel izinler yalnızca ayrıcalıklı görevler için kullanılabilir.
  • Yedeklemeler
  • Yedeklemeler, bütünlüğün korunmasında özellikle önemlidir. Yedekleme günlükleri her gün kontrol edilmelidir.
  • Zararlı Yazılımlar
  • Anti-virüs yazılımı her zaman kullanılmalı ve güncel tutulmalıdır. Olay günlükleri periyodik olarak incelenmelidir.
  • Sistem Odası
  • Sunucu odası, özel koruma gerektiren ve her zaman kilitli olan bir odadır. Ziyaretçiler ve servis personeli, sunucu odasında asla yalnız bırakılmamalıdır.
  • Cihazların Kullanımı
  • Mobil cihazlar, yalnızca çalışanların geçerli kurallara uyma taahhüdü vermesinin ardından verilebilir.
  • İmha edilmek üzere bekleyen cihazlar ve veri taşıyıcılarına yetkisiz kişilerin erişimi engellenmelidir. Atıklar, standartlara uygun şekilde imha edilmelidir.


Bilgi Güvenliği Yönetimi


BGYS (Bilgi Güvenliği Yönetim Sistemi)
Şirket, belirlediği güvenlik hedeflerine ulaşmak için bir Bilgi Güvenliği Yönetim Sistemi (BGYS) işletmektedir.
Tüm BGYS yönergeleri dahili olarak saklanmaktadır. Bilgi güvenliği politikası yayımlandığında, BGYS yürürlüğe girmiş ve onaylanmış sayılmaktadır.
BGYS için tüm gereksinimler, uygulanan standart tarafından belirlenir ve düzenli olarak denetimler ile kontrol edilir.

Sürekli İyileştirme
BGYS'nin sürekli iyileştirilmesini sağlamak ve bilgi güvenliğini sürekli olarak güçlendirmek amacıyla, şirket bilgi güvenliği hedefleri belirler.

  • BGYS Düzenli Olarak Gözden Geçirilir
    BGYS, güncelliği ve etkinliği açısından düzenli olarak gözden geçirilir, bu da düzenli denetimler ve alınan önlemlerin etkinliğinin değerlendirilmesi ile sağlanır.
  • Tüm Çalışanlar Sorumludur
    Tüm çalışanlar, bu konuda ISO standartlarının desteklenmesinden sorumludur.
  • Teknik Önlemler Önemlidir
    Şirketimiz, güncel teknik önlemlerin kullanılmasına büyük önem verir.
  • Yönetim Desteği
    Şirket yönetimi, BGYS'yi tüm organizasyona yaymakta ve teşvik etmektedir.
  • Sapmaların Analizi
    Tüm sapmalar, iyileştirme fırsatlarını belirlemek amacıyla titizlikle analiz edilir.
  • Tüm Çalışanlar BGYS'ye Dahildir
    Tüm çalışanlar, hataları veya iyileştirme önlemlerini bildirme sorumluluğuna sahiptir ve bu davranış teşvik edilir.

Risk Yönetimi
ISO, BGYS kapsamındaki riskleri tanımlamak için bir risk yönetim sistemi işletmektedir. Risk yönetimi, risklerin tanımlanması ve değerlendirilmesi süreçlerini kapsar. ISO, daha önce tanımlanmış riskler için önleyici önlemleri başlatmaktan sorumludur.

Kaynaklar
Acil durumlarda, ISO yönetimle görüşmeden 5.000 €'ya kadar harcama yapabilir. Ayrıca, yukarıda belirtilen şekilde, tüm personel üyeleri ISO'nun faaliyetlerine destek verme sorumluluğuna sahiptir.

Duyuru
İletişim kişileri, organizasyon içinde e-posta yoluyla duyurulur.

Görev Ayrılığı
Şirkette görev ayrılığının korunmasına özen gösterilir. Operasyonel sorumluluklar, kontrol fonksiyonlarından ayrı tutulmalıdır. Örneğin, iç denetimler yalnızca BGYS ile doğrudan ilişkili olmayan çalışanlar tarafından yapılır.

Bilgi Güvenliği Yapısı
Bilgi güvenliği yapısı, şirket içindeki rehber ilkeler ve yönergelerle şekillenir ve belirli önlemlerle uygulanır. Bu yapı, süreçlerin detaylandırılması, çalışanlara eğitim verilmesi, protokoller oluşturulması, kontrol listeleri hazırlanması, kapsamlı risk analizlerinin yapılması ve tüm çalışanlar, tedarikçiler ve müşteriler arasında bir bilgi güvenliği kültürünün teşvik edilmesiyle güçlendirilir. Bu önlemler, bilgi güvenliğinin sürdürülebilir ve etkili bir şekilde uygulanmasına katkıda bulunurken, aynı zamanda kurumsal güvenliğin artırılması için sistematik bir yaklaşımı destekler.

Kontrol ve Yönetim Araçları
Yönetim, BGYS'nin etkinliğini kontrol edebilmek ve yeni önlemler almak veya daha fazla kaynak ayırmak gibi düzenlemeler yapmak amacıyla yılda en az bir kez yönetim gözden geçirmesi yapar. Ayrıca, özel durumlar ortaya çıkarsa, gözden geçirme yapılabilir.

Sorumluluklar
İş ilanları, ilgili çalışanların yeterli niteliklere sahip olmalarını sağlar.

ISMS'yi Profesyonel Olarak Kurmak ve Sürdürmek İçin Oluşturulan Pozisyonlar

Aşağıdaki şartlar ve sorumluluklarla pozisyonlar oluşturulmuştur:

Bilgi Güvenliği Sorumlusu (ISO)

Gereksinimler
  • ISO, doğrudan yönetime raporlama yapan önemli bir organizasyonel role sahiptir.
  • ISO, bilgi güvenliği alanında yeterli bilgi ve yetkinliğe sahiptir.
  • ISO yazılı olarak atanır.
  • Dış bir ISO durumunda, iç işler için iletişime geçilebilecek bir temsilci belirlenir.

Sorumluluklar
  • Kullanılan Standarda Göre Yönetim Sistemi Kurulumu
    Bilgi güvenliği yönetim sisteminin, geçerli olan standarda uygun şekilde kurulması.
  • Yönetime Düzenli Raporlama
    ISO'nun, bilgi güvenliği durumu hakkında yönetime düzenli olarak raporlama yapması.
  • Bilgi Güvenliği Hedeflerinin Şirket Yönetimi ile Koordinasyonu
    Bilgi güvenliği hedeflerinin belirlenmesi ve bunların şirket yönetimiyle uyumlu hale getirilmesi.
  • Güvenlik Olaylarının Analizi
    Güvenlik olaylarının tespiti ve analiz edilmesi, ardından gerekli önlemlerin alınması.
  • Çalışanları Olaylar veya Güncel Konular Hakkında Bilgilendirme Sorumluluğu
    ISO'nun, çalışanları bilgi güvenliği ile ilgili olaylar veya güncel konular hakkında bilgilendirmesi.

Tüm Çalışanların ISO'yu Desteklemesi Gerekmektedir. Bu, Şunları İçermektedir:
  • Yönetim
  • ISMS İçin Gerekli Kaynakların Sağlanması
    ISMS'nin etkin bir şekilde çalışabilmesi için gerekli kaynakların sağlanması.
  • ISO'ya Diğer Çalışanlarla İletişim Konusunda Destek Verilmesi
    ISO'nun, diğer çalışanlarla etkili iletişim kurmasına yardımcı olunması.
  • Sürekli İyileştirmenin Teşvik Edilmesi
    Bilgi güvenliğinde sürekli iyileştirme kültürünün teşvik edilmesi.
  • Bilgi Güvenliği Hedeflerinin Tanımlanması ve İletilmesi
    ISO ile birlikte bilgi güvenliği hedeflerinin belirlenmesi ve çalışanlara iletilmesi.
  • Risklerin Değerlendirilmesi ve Tedavi Edilmesinde ISO'ya Destek Verilmesi
    ISO'ya, risklerin doğru bir şekilde değerlendirilmesi ve tedavi edilmesinde destek olunması.
  • Çalışanlara Bilgi Güvenliğini Etkili Bir Şekilde İletmede Rol Modeli Olunması
    Yönetimin, çalışanlara bilgi güvenliğini doğru bir şekilde iletmek için rol model olarak davranması.
  • İyileştirme Önerilerinin ISO'ya İletilmesi
    Çalışanlardan gelen iyileştirme önerilerinin ISO'ya iletilmesi.
  • Bilgi Güvenliğini Etkileyen Operasyonel Prosedür Değişikliklerinde ISO'nun Dahil Edilmesi
    Operasyonel prosedürlerde yapılacak değişikliklerin bilgi güvenliğine etkisi göz önünde bulundurularak ISO'nun sürece dahil edilmesi.
  • Varlık Sahibi Olarak ISO'ya Risklerin Değerlendirilmesinde ve Ele Alınmasında Yardımcı Olunması
    Varlık sahibi olarak, varlıklarla ilgili risklerin değerlendirilmesi ve ele alınmasında ISO'ya yardımcı olunması.
  • IT Yöneticisi
  • Güvenlik Hedeflerine Ulaşmak İçin ISO ile Özellikle Yakın İşbirliği:
    Güvenlik hedeflerinin belirlenmesi ve başarıyla uygulanması için ISO ile sürekli ve yakın işbirliği yapmak.
  • Güvenlik Hedeflerinin Uygulanması İçin ISO'ya Kaynak Desteği Sağlamak:
    ISO'nun güvenlik hedeflerini yerine getirebilmesi için gerekli olan kaynakları sağlamak ve desteklemek.
  • Veri Koruma Görevlisi (DPO)
  • Bilgi Güvenliğini Etkileyen Herhangi Bir Değişiklikte ISO'yu Dahil Etmek:
    İş süreçlerinde veya sistemlerde yapılacak değişikliklerin bilgi güvenliği üzerindeki etkilerini değerlendirmek için ISO'yu sürece dahil etmek.
  • Mümkün Olduğunda, ISO ile Güvenlik Önlemleri Üzerinde Anlaşmak:
    Bilgi güvenliği ile ilgili alınacak önlemler konusunda ISO ile işbirliği yapmak ve güvenlik önlemlerini ortaklaşa belirlemek.
  • Tüm Çalışanlar
  • Bilgi Güvenliği Olayları ve Anormalliklerini Bildirme:
    Çalışanlar, bilgi güvenliği ihlalleri veya anormal durumları zamanında ISO'ya bildirmelidir.
  • Belirlenen Yönergelere Uyum:
    Çalışanlar, şirketin belirlediği bilgi güvenliği yönergelerine ve prosedürlerine tamamen uymalıdır.



Yayınlama Tarihi: 20-11-2024      Rev:1