TR EN
Bilgi Güvenliği Politikası
Bilgi Güvenliği Politikası

Amaç

Bu politikanın amacı, hukuka, yasal, düzenleyici ya da sözleşmeye tabi yükümlülüklere bilgi güvenliği gereksinimlerine ilişkin ihlalleri önlemek için, üst yönetiminin yaklaşımını ve hedeflerini tanımlamak, tüm çalışanlara ve ilgili taraflara bu hedefleri bildirmektir.

Sorumluluklar

Bilgi Güvenliği Politikasının hazırlanması, gözden geçirilmesi ve güncellenmesinden Bilgi Güvenliği Yönetim Sistemi Yöneticisi ve Bilgi Güvenliği Yönetim Sistemi Sorumlusu sorumludur. OLGU LTD. ŞTİ.Firması Bilgi Güvenliği Politikasını onaylar ve duyurulmasını sağlar.

Politika Detayları

  1. Tanımlar
  1. Bilgi Güvenliği Yönetim Sistemi (BGYS)

Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçasıdır.

  1. Bilgi Güvenliği Yöneticisi

Bilgi Güvenliği Yönetim Sistemi’nin operasyonundan ve sürekli iyileştirilmesinden sorumludur.

  1. Bilgi Güvenliği Yönetim Sistemi Sorumlusu

Bilgi Güvenliği Yöneticisi ’ne destek olmak ve tüm bilgi güvenliği süreçlerinde Bilgi Güvenliği Yönetici ile yer almaktan sorumludur.

  1. Bilgi Varlığı

OLGU LTD. ŞTİ.Firması’in sahip olduğu, işlerini aksatmadan yürütebilmesi için önemli olan varlıklardır. Bu politikaya konu olan bilgi varlıkları aşağıdadır:

  • Kağıt, elektronik, görsel veya işitsel ortamda sunulan her türlü bilgi ve veri,
  • Bilgiye erişmek ve bilgiyi değiştirmek için kullanılan her türlü yazılım ve donanım,
  • Bilginin transfer edilmesini sağlayan ağlar,
  • Bölümler, birimler, ekipler ve çalışanlar,
  • Ofis ve Özel alanlar,
  • Çözüm ortakları,
  • Üçüncü taraflardan sağlanan servis ve hizmetler.
  1. Bilgi Varlığının İş Sahibi

Bilgi varlıklarının üretimi, geliştirilmesi, bakımı, kullanımı ve güvenliğini kontrol etmek için onaylanmış yönetim sorumluluğu bulunan kişi veya varlıkları tanımlar. ‘Sahip’ terimi, gerçekten varlık üzerinde mülkiyet hakları olan kişi anlamına gelmez.

  1. Bilgi Varlığının Tek Sahibi

Bilgi varlıklarının kurum içinde kullanılması için gerekli olan teknik operasyonda sorumluluğu bulunan kişi veya ekipleri tanımlar.

Politika

                Bilgi kaynakları, ofis ve cihazlar gibi OLGU LTD. ŞTİ. Firması açısından büyük önem taşıyan varlıklardır. Bilgi varlıklarını ve kaynaklarını kullanan veya bilgi sağlayan herhangi bir kişi, bilgi varlıklarını korumakla yükümlüdür.

Ortak bilgi varlıklarını kullanan tüm çalışanların, gereken duyarlılığı göstermesi ve diğer meslektaşlarını, kurum çalışanlarını ve kurumsal değerleri gözeterek hareket etmesi beklenir.

                Kurumsal değerlerin gereği olarak gizliliğe önem verilir, her türlü kişisel bilgi en yüksek güvenlik standartlarına sahip sistemlerle korunur. Bilginin sahibi istemedikçe, yetki verilmedikçe veya yasal gereklilikler oluşmadıkça bilgi paylaşılmaz.

                OLGU LTD. ŞTİ. Firması için tüm bu bilgi varlıkları ve kaynakları içerisinde en kritik olanı, özenle korunması, gizliliğinin sağlanması, ihtiyaç duyulduğu anda erişilmesi gereken bilgi varlıkları, sunucu sistemi ve ofistir.

                Bilgi varlıkları ve kaynakları farklı konumlarda veya ortamlarda bulunabilir. Hangi konumda veya ortamda olursa olsun müşteri iletişim gereksinimleri ve kurumsal değerler bu varlıkların ve kaynakların kullanımını belirler.

                Bilgi güvenliği, sadece bilginin gizliliğinin değil, bütünlüğünün ve kullanılabilirliğinin de sağlanması ile mümkündür. Bilginin gizlilik gerekliliği, sadece yetkilendirme dâhilinde gereken bilgi varlıklarına erişim verilmesi anlamına gelir. Bilginin bütünlüğü, tüm bilgi varlıklarının tamlığını ve doğruluğunu sağlamayı gerektirir. Bilginin kullanılabilirliği, bilgi varlıklarının ihtiyaç duyulduğu anda ulaşılabilir ve kullanılabilir olması anlamına gelir.

                Bilginin kullanımı, yerleşimi ve korunması ile ilgili ihtiyaçların karmaşıklığı ve çokluğu, kapsamlı ve geniş bilgi güvenliği süreçlerinin ve politikalarının tanımlanmasını zorunlu kılmaktadır. Bu nedenle belirlenen süreçler doğrultusunda bilgi güvenliği riskleri, bilgi varlığından sorumlu olan kişiler tarafından değerlendirilir, risklerin önceliği belirlenir ve gereken önlemler alınır.

                Sistem odası ve sunucularıngüvenliğinin sağlanması öncelikli olarak ele alınır. Varlık envanterinin ve bu envanterin olası risklerinin önceden belirlenerek müşterilerin güven içinde ve kesintisiz hizmet almaları için çalışılır.

                Karar ve eylemlerde, güvenilir nesnel bilgiler ile teknolojinin tüm olanaklarının kullanılmasına önem ve öncelik verilir. Hareketler sezgilere, duygulara ya da doğru görünene göre değil; bilimsel ve teknolojik gerçeklerin ortaya koyduğu objektif esaslara göre düzenlenir. Bunu sağlamak için bilgi dünyadaki en ileri kaynaklardan transfer edilir, benimsenir ve mesleki uygulamalar bu doğrultuda yapılır. Kaynaklar verimli kullanılarak teknolojiye yatırım yapılır, gelişim bu doğrultuda sürdürülür.

Bu nedenle bilgi güvenliği yönetim sisteminin planlama, uygulama, izleme ve iyileştirme adımları ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardına ve bu standardı destekleyen standartlara uygun olarak yürütülür.

Bilgi Varlıklarının ve Kaynaklarının Kullanımı

                OLGU LTD. ŞTİ. Firması ’de yürütülen işlerin sürekliliğinin ve gelişiminin sağlanması nedeniyle, bilginin gizliliğinin korunması öte yandan bilginin ve fikirlerin paylaşılması ve yaygınlaştırılması gerekir. Bilginin hassasiyeti ve güvenliği ile ilgili ihtiyaçlar gözetilirken, aynı zamanda bilgiye ihtiyaç anında hızla ulaşılması büyük önem taşımaktadır. O nedenle, bilgi kaynaklarının değerinin iyi tespit edilmesi, bilginin korunmasını sağlayacak çaba ve maliyetin bilginin hassasiyeti ile orantılı olması gerekir.

                OLGU LTD. ŞTİ. Firması’in bilgi kaynaklarını kullanarak etik dışı veya yasalara karşı faaliyetlerde bulunmak, hiç kimse için kabul edilemez.

Bu politikanın asgari gereği olarak,

  • Verinin kasıtlı olarak değiştirilmesi,
  • Kasıtlı olarak veride hataların oluşmasına veya veri kaybına neden olunması,
  • Bilgi kaynaklarının yasaları ihlal eden bir faaliyet için kullanılması,
  • Bilgi güvenliğinin ihlal edilmesi veya suiistimal edilmesi,
  • Cihazların, yazılımların veya herhangi diğer bir bilgi kaynağının çalınması, tahrip edilmesi,
  • Bilgi kaynaklarının bilişim sistemlerinin performans kaybına sebep olacak şekilde kullanılması,
  • Tesislerin, fiziksel cihazların, ağların tahrip edilmesi kabul edilemez.

 

                Bu ve benzeri faaliyetler ve teşebbüsler disiplin suçu olarak ele alınır, gereken disiplin süreçleri ve yasal süreçler Genel Müdür tarafından uygulanır.

Belirtilen tarzda bilgi güvenliği ihlallerinin, ihlal teşebbüslerinin veya bu tür ihlaller ile sonuçlanabilecek zafiyetlerin, tespit edildiği anda zaman kaybetmeden Bilgi Güvenliği Yöneticisi ve/veya Bilgi Güvenliği Sorumlusuna bildirilmesi gerekir.

Rol ve Sorumluluklar

                Bilgi varlıklarının teknik sahipleri bilginin gizlilik bütünlük ve kullanılabilirliğini sağlamak için;

  1. Bilgi varlıklarına yetkisiz olarak erişilmesini; bilgi varlıklarının yetkisiz olarak değiştirilmesini veya tahribatını önlemek suretiyle, bilgi varlıklarını korurlar.
  2. Operasyonun mümkün olan en kısa hizmet kesintisi ile devam etmesini sağlamak için gerekli süreçlerin tanımlanmasını ve uygulanmasını sağlarlar.
  3. Bilgi güvenliği gerekliliklerini gözetirken, ihtiyaç duyulduğunda bilgiye hızla erişilebilmesi için karmaşıklığı ortadan kaldıracak dengeyi kurarlar.
  4. Çalışanlarını ve birlikte çalıştıkları üçüncü taraf çalışanlarını bilgi güvenliği gereklilikleri, rolleri ve sorumlulukları konusunda bilgilendirirler ve bilinçlendirirler.

 

Bütün bu faaliyetlerin kurumsal ISO/IEC 27001 standardı ile uyumlu bir çerçevede ele alınması için, tüm kuruluşun süreç ve hizmetlerini kapsayan bir Bilgi Güvenliği Yönetim Sistemi kurulmuş ve “Bilgi Güvenliği Kurulu” atanmıştır.

Bilgi Güvenliği Kurulu

Bilgi Güvenliği Kurulu (BGK) aşağıdaki kişilerden oluşur;

BGYS Sorumlusu                  :              Genel Müdür

BGYS Yöneticisi                    :              Eğitim Destek Md.

BGYS Komisyon Üyesi         :              Teknik Destek Md.

                BGK, yılda bir, Bilgi Güvenliği Yöneticisinin oluşturduğu gündem çerçevesinde toplanır. Bu toplantılar aynı zamanda yönetim gözden geçirme toplantılarıdır.

                Toplantılarda görüşülen konular aşağıda belirtilen maddeleri içerir, ancak bunlarla sınırlı kalmayabilir;

  1. Bilgi Güvenliği Politikasının gözden geçirilmesi
  2. Risk Yönetim Metodolojisinin onaylanması
  3. Güncel risk raporunun değerlendirilmesi
  4. Kabul edilebilir risk seviyesinin Genel Müdür tarafından onaylanması
  5. Kabul edilebilir risklerin Genel Müdür tarafından onaylanması
  6. Risk işleme planının Genel Müdür tarafından onaylanması
  7. Güvenlik ihlal olaylarının değerlendirilmesi
  8. İş süreklilik stratejisinin gözden geçirilmesi
  9. İş sürekliliği tatbikat sonuçlarının değerlendirilmesi+
  10. Bilgi güvenliği bilinçlendirme çalışmalarının gözden geçirilmesi
  11. İç denetim raporlarının değerlendirilmesi
  12. Kurumu etkileyebilecek önemli değişiklikler.

Bu politika OLGU LTD. ŞTİ. Firması Genel Müdürü tarafından gözden geçirilmiş ve onaylanmıştır.

 

© 2016 Olgu - All Rights Reserved KVKK Aydınlatma Metni Kişisel Veri Politikası Gizlilik Politikası Bilgi Güvenliği P.