BGYS Politikası
AMAÇ
Bu politikanın amacı, hukuka, yasal, düzenleyici ya da sözleşmeye tabi yükümlülüklere, iç ve dış tarafların her türlü Bilgi Güvenliği Yönetim Sistemi gereksinimlerine ilişkin, Üst Yönetim’in bilgi güvenliği yaklaşımını ve hedeflerini tanımlamak, tüm çalışanlara ve ilgili taraflara bu hedefleri bildirmektir.
Bilgi Güvenliği Politikası kurumsal bilgi güvenliği ilkelerini ana hatlarıyla belirler. Bilgi Güvenliği Politikası, kurumda bilginin ve işlenme yöntemlerinin güvenli olarak gerçekleştirilmesi amacıyla düzenlemeler yapar.
Bu politika Bilgi Güvenliği Yönetim Sistemi (BGYS) kapsamında bulunan tüm çalışanları ve bilgi varlıklarını kapsamaktadır.
SORUMLULAR
- Bilgi Güvenliği Kurulu Bilgi Güvenliği Politikasının tüm çalışanlara ve ilgili üçüncü taraflara duyrulmasını sağlar.
- Bu politika periyodik olarak senede bir defa veya gerekli görülen hallerde Bilgi Güvenliği Kurulu tarafından gözden geçirilir.
- Bu politika, [ISO/IEC 27001:2013] BGYS kapsamında bulunan tüm çalışanları, bilgi varlıklarını ve ilgili üçüncü tarafları kapsamaktadır.
TANIMLAR VE KISALTMALAR
Bilgi Güvenliği Yönetim Sistemi (BGYS):
Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için iş riski yaklaşımına dayalı yönetim sistemi.
Bilgi Varlığı: Kuruluşun sahip olduğu, işlerini aksatmadan yürütebilmesi için gerekli olan dolayısıyla korumakla yükümlü olduğu bilgi içeren varlıklardır.
Gizlilik: Bilgiye sadece yetkili kişilerin erişmesinin sağlanmasıdır.
Bütünlük: Varlıkların; doğruluk ve tamlığının korunmasının sağlanmasıdır.
Erişilebilirlik: Yetkili bir varlık tarafından talep edildiğinde erişilebilir ve kullanılabilir olmasıdır.
BİLGİ GÜVENLİĞİ POLİTİKASI
Üst Yönetim Taahhüdü
Erik Medya Üst Yönetimi bilgi güvenliğinin gerçekleştirilmesi, işletimi, izlenmesi, gözden geçirilmesi, bakımı ve iyileştirilmesi için gerekenin yapılacağını taahhüt eder.
Erik Medya, bilgi güvenliği yönetimi ile ilgili olarak aşağıdaki ilkeleri benimsemektedir;
- Müşterilerine ve paydaşlarına sunduğu ürün ve hizmetlere ilişkin faaliyetlerinin güvenliğinin sağlanmasına önem vermektedir.
- Tüm iş süreçlerinin birbiri ile entegre, uyumlu ve dengeli olması hedeflenmektedir. Entegre ve dinamik iş stratejisi bilgi varlıklarının güvenliğini ve
sürekliliğini gerekli kılmaktadır. - Müşteri ve paydaşlarına değer sağlayan ürün ve hizmetlerinin gizlilik, bütünlük ve erişilebilirliğini tehdit edebilecek risklere karşı tedbir almayı ilke edinir.
- Bu politika ve organizasyonun amacı ile uyumlu bilgi güvenliği hedefleri belirlenir ve düzenli aralıklarla uyumluluk ölçülerek, sürekli iyileştirme fırsatları değerlendirilir.
Bilgi Güvenliği Politikası
Bilgi güvenliği, bilgi varlıklarının gizliliğinin, bütünlüğünün ve erişilebilirliğinin sağlanması ile mümkündür.
Bilginin;
- Gizlilik gerekliliği, bilginin sadece yetkili kişiler tarafından erişilebilir olmasını,
- Bütünlük gerekliliği, bilgi varlıklarının tam ve doğruluğunun sağlanmasını, yetkisiz değişimlerden korunmasını,
- Erişilebilirlik gerekliliği, bilgi varlıklarının ihtiyaç duyulduğu anda yetkili kullanıcılar tarafından kullanılabilir olmasını ifade eder.
- Erik Medya bilgi güvenliğini sağlamak amacıyla kendi kurumsal işleyişini düzenleyici prensipler oluşturur. Bilgi Güvenliği Politikasının belirlenmesi, güvenlik rollerinin tanımlanması ve ilgili tüm güncellemelerin yapılması Üst Yönetim’in desteği ve tüm birimlerin koordinasyonuyla gerçekleştirilir. Kuruluş gerekli durumlarda iç ve dış uzmanların görüşüne başvurabilir.
- Kuruluşta bilgi varlıkları uygun şekilde sınıflandırılır. Varlıkların değerlemesi yapılır ve uygun seviyede kontrol geliştirmek için varlıkların değeri hesaplanır.
Talimatlar: Sistemin uygun şekilde işletilebilmesi, işletmenin genel kurallara bağlı, denetlenebilir, tekrar edilebilir ve iyileştirilebilir olması amacıyla gerekli talimatlar hazırlanır.
Risk Değerleme ve Risk İşleme: Risklerinin değerleme işlemi ve uygun risk işleme planının hazırlanıp uygulamaya geçirilmesi devamlı bir süreçtir.
Fikri Mülkiyet Hakları: Erik Medya çalışanları fikri mülkiyet hakkı taşıyan ürün, yazılım, hizmet veya sistemler sahibinden izin alınmadan veya kullanım lisansı olmadan kullanılamaz.
Eğitim: Tüm personele ve uygun durumlarda üçüncü taraf personellere, ilgili politika, talimat ve süreçler hakkında gerekli eğitimler ve bilgi güvenliği farkındalık eğitimler verilir. Eğitim kapsamına giren kurallar bütününde muhtemel değişiklik ve güncellemeler gerçekleştikten sonra eğitimleri tekrarlanır.
Yasal Uyumluluk: Erik Medya, faaliyet alanı ile ilgili yayınlanmış kanun, yönetmelik ve tebliğlere uygun olarak hizmet vermek için gerekli tüm çalışmaları yapar.
İş Sürekliliği: BGYS Komitesi iş süreklilik ilkelerini belirler ve iş süreklilik ilkelerinin hayata geçirilmesi için bir İş Süreklilik Planı oluşturulmasını ve değişen koşullara göre güncel tutulmasını sağlar. Güncel İş Sürekliliği Planı ile ilgili roller ve sorumluluklar İş Sürekliliği Planı’nda belirtilir. İş sürekliliğine ilişkin genel prensipler İş Sürekliliği Politikasında yer almaktadır.
Sürekli İyileştirme: Erik Medya, bilgi güvenlik politikasını, denetim sonuçlarını, izlenen bilgi güvenliği olaylarının analizini, düzeltici ve önleyici faaliyetleri ve yönetim gözden geçirmelerini kullanarak Bilgi Güvenliği Yönetim Sistemini sürekli olarak iyileştirir.
Bilgi Güvenliği Organizasyonu: Bilgi güvenliği organizasyonu Üst Yönetim tarafından belirlenir ve uygulaması takip edilir. Bilgi güvenliği ile ilgili ekipler, roller ve sorumluluklar, Roller ve Sorumluluklar dokümanında belirtilir. Kapsam dahilindeki tüm personel bu dokümanda açıklanan sorumluluklara uygun şekilde çalışmaktan sorumludur.
- Bilgi güvenliği ile ilgili kritik kararların alınması, onaylanması ve gözden geçirilmesi Bilgi Güvenliği Kurulu tarafından yerine getirilir.
- Varlıkların korunması ve politikanın gerçekleştirilmesiyle ilgili güvenlik rollerinin kurum personeline atanması gerçekleştirilir. Hassas sistemlere erişim yetkisi olan yeni ve deneyimsiz kullanıcılar için gerekli gözetimlere dikkat edilir. Çalışanların sorumluluklarından haberdar olmaları sağlanır.
- Tüm personel sahibi olduğu varlıkların değerlerini atamaktan sorumludur.
- Tüm personel, kuruluş varlıklarının güvenliğini gözetmekle sorumludur.
- Varlıklarda gerçekleşmesi muhtemel ekleme ve çıkarma işlemleri sonrası gerekli durumlarda risk değerlemesi ve risk işleme yapılmalıdır. Bu işlem için Bilgi Güvenliği Kurulu haberdar edilir.
- Güvenlik sorunları ve bozulmaları Bilgi Güvenliği Kuruluna acilen raporlanır. Raporlanmış bir güvenlik sorunu öncelikli olarak ele alınır. Yazılım problemlerinden kaynaklanan sorunlar da aynı şekilde ele alınır. Geçmişte raporlanmış güvenlik sorunlarından ders alınarak aynı sorunların tekrar yaşanmaması sağlanır.
- Tüm personel, bilgi bulunan ortamların (doküman, manyetik ortam, elektronik ortam vb.) oluşturulması, işlenmesi, saklanması ve imha edilmesi konusundaki esaslara uymakla yükümlüdür.
- Tüm personel, erişim kontrolü gerektiren kaynak ve bilgilere erişirken, BGYS tarafından tanımlanan esaslara uymakla yükümlüdür.
Üçüncü Taraf Erişimi: Üçüncü şahıs ve kurumların bilgi sistemlerine erişimlerinin güvenli olarak gerçekleştirilmesi amacıyla gerekli düzenlemeler yapılır. Bu çerçevede, riskler analiz edilir, erişim gereksinimleri belirlenir ve sınıflandırılır. Anlaşmalı kurumların personeli ve diğer üçüncü taraflar için ilkeler belirlenir ve uygulanır. Üçüncü taraf erişimleri için uygun risk analizi yapılır. Güvenlik sorumluluklarını da içeren Gizlilik Sözleşmeleri hazırlanır.
Fiziksel ve Çevresel Güvenlik: Fiziksel ve çevresel güvenliğin eksiksiz olarak sağlanması amacıyla düzenlemeler ve denetimler yapılır. Hassas varlıkların bulunduğu ve hassas süreçlerin yapıldığı yerler güvenlikli olmak zorundadır. Güvenli bölgeler bu amaçla hazırlanır ve bu bölgelerin güvenliği sağlanır. İhtiyaca göre farklı güvenlik seviyeleri tanımlanarak her bir seviye için farklı güvenlik mekanizmaları devreye sokulabilir. Fiziki güvenlik çevresi oluşturulur ve fiziki giriş denetimleri yapılır. Bürolar, odalar ve araçlar güvenlik altına alınır. Güvenli alanlarda çalışmanın usul ve esasları belirlenir. Donanım güvenliği düşünülerek bu cihazların yetkisiz fiziksel erişim, yangın, su baskını gibi tehdit ve tehlikelere karşı korunması sağlanır. Donanımların yerleştirilmesi, güç kaynaklarının kurulumu ve kablolamanın gerçekleştirilmesi güvenlik düşünülerek yapılır. Donanımların düzenli bakımı gerçekleştirilir. Donanımların yapılandırılması esnasında güvenlik ilkelerine dikkat edilir.
Denetimler: Erik Medya Bilgi Güvenliği Yönetim Sistemi, yılda bir defa denetlenir. Ayrıca Bilgi Güvenliği Kurulunun gerek görmesi halinde üçüncü taraf bağımsız denetim uzmanlarından bağımsız denetim hizmeti veya iç denetimlere danışmanlık hizmeti alınabilir.
Disiplin Süreci ve Yasal Yükümlülükler: Çalışanlar, bu politikaya uymakla yükümlüdür. Çalışanlar, çalışma saatleri dışında veya çalışma alanı dışında da bilgi güvenliği ile ilgili yükümlülüklere sahiptir. Bilgi Güvenliği Politikası ve talimatlara uyulmaması durumunda ilgili disiplin süreci uygulanır.
Bilgi Güvenliği Amaçları
Kuruluş yukarıda belirtilen ilkelerden taviz vermeden bilgi güvenliği çalışmalarını aşağıda belirtilen amaçlarla gerçekleştirmeyi hedefler;
- Bilgi Güvenliği Yönetim Sistemi (BGYS), uluslararası olarak kabul edilmiş olan [ISO27001:2017 Bilgi Güvenliği Yönetim Sistemi] standardı şartları doğrultusunda planlanır, gerçekleştirilir ve geliştirilir.
- İlgili kanun ve yönetmeliklere uyumlu hale gelinmesi için gereken çalışmalar yapılır.
- BGYS’nin sürekli iyileştirilmesi için gerekli iç denetim, yönetimin gözden geçirmesi, düzeltici faaliyetler ile risklerin ve fırsatların belirlenmesi için gerekli aksiyonlar yönetim ve yönetimin bilgi güvenliği sorumluluğu verdiği ekipler tarafından sağlanır.
- Bilgi güvenliği ile ilgili tüm rol ve sorumluluklar belirlenir ve yönetim tarafından yetkilendirmeler yapılır.
- Bilgi Güvenliği Yönetim Sistemi çerçevesinde gerekli çalışmaların gerçekleştirilmesi için kaynaklar yönetim tarafından sağlanır.
- Paydaşları ile birlikte Erik Medya’nın rekabet avantajını olumsuz yönde etkileyebilecek maddi ve manevi kayıplar engellenir.
- Bilgi Güvenliği Yönetim Sistemi kapsamı bilgi varlıkları belirlenerek, müşteriler, tedarikçiler ve iş ortakları gibi ilgili tarafların bilgi güvenliği beklentileri değerlendirilerek, varsa yasal sözleşmeler ve yükümlülükler analiz edilerek yönetim tarafından iş stratejileri doğrultusunda belirlenir.
- Bilgi varlıklarının sınıflandırılması ve bu varlıkların gizlilik, bütünlük ve erişilebilirlik değerlendirmesinin yapılabilmesi için varlık envanteri oluşturulur.
- Bilgi güvenliği risklerini yönetmek için risklerini değerlendirme, risk analizi ve risk işleme çalışmaları gerçekleştirilerek, gerekli tedbirler geliştirilir ve olası riskleri önlemek için çalışmalar gerçekleştirilir.
- Bu politika ve organizasyonun amacı ile uyumlu bilgi güvenliği hedefleri belirlenir ve düzenli aralıklarla uyumluluk ölçülerek, sürekli iyileştirme fırsatları değerlendirilir.
- Çalışan özlük bilgilerinin mahremiyeti sağlanır.
- Müşteri bilgilerinin yetkisiz kişilerin eline geçmesi engellenir.
- Veri bütünlüğü sağlanır.
- Erişim kayıtlarını tutarak suç niteliğinde olabilecek erişimlerin delilleri yasal otoritelere sağlanır.
- Tedarikçi nezdinde bilgi güvenliği sağlanır.
- Operasyonel Know-How’ın sürekli geliştirilmesi ve korunması sağlanır.
- Son kullanıcı bilgi güvenliği farkındalığını ve bu farkındalığın sürekli arttırılması sağlanır.
- Bilgi güvenliğini etkin biçimde yöneterek bilgi güvenliği kaynaklı yaşanabilecek zararlar asgariye indirilir.
- Bilgi güvenliği ihlal olayı yaşama ihtimalini düşürmek için gerekli çalışmalar yapılır, yaşanması durumunda koordineli biçimde yanıt verilir.
- Kritik iş süreçlerinde yaşanabilecek kesintilerin önüne geçilmesi için gerekli düzenlemeler yapılır, geçilemediği durumda hedeflenen kurtarma süresi içerisinde tekrar çalışabilir hale gelmesi sağlanır.
- Bilgi Güvenliği Yönetim Sistemi kapsamında müşterilerimizin bilgi varlıklarının gizliliği, bütünlüğü ve erişebilirliği sağlanır. Müşteri ile ilgili kritik iş süreçlerinin devamlılığı sağlanır.
- Bilgi Güvenliği Yönetim Sistemi’nin sürekli iyileştirilmesi sağlanır.
- İnsan kaynakları yönetiminde istihdam öncesi, sırası ve sonrasında güvenliği sağlama açısından kuralların belirlendiği süreçler oluşturulur.
- Güvenli çalışma alanları, arşiv odaları, sistem odaları gibi kurum içi çalışma bölgelerinde ve kurum çevresinde güvenliğin sağlanması için gerekli önlemlerin alınması sağlanır.
- Tedarikçi ilişkilerinin güvenli bir şekilde yürütülmesi amacıyla; tedarik hizmetlerinin gözden geçirilmesi, meydana gelen değişikliklerin yönetilmesi için politikalar oluşturulur, özellikle bilgi teknolojileri tedarikçileri ile yapılan/yapılacak olan ve bilgi güvenliği risklerinin ifade edildiği anlaşmalarda güvenlik gereksinimleri belirlenir.