1. AMAÇ VE KAPSAM
Bu politikanın amacı; hukuka, yasalara, düzenleyici ya da sözleşmeye tabi yükümlülüklere, iç ve dış tarafların her türlü Bilgi Güvenliği Yönetim Sistemi gereksinimlerine ilişkin Üst Yönetimin bilgi güvenliği yaklaşımını ve hedeflerini tanımlamak, tüm çalışanlara ve ilgili taraflara bu hedefleri duyurmaktır.
Bilgi Güvenliği Politikası kurumsal bilgi güvenliği ilkelerini ana hatlarıyla belirler, kurumda bilginin ve işlenme yöntemlerinin güvenli olarak gerçekleştirilmesi amacıyla düzenlemeler yapar.
Bu politika Bilgi Güvenliği Yönetim Sistemi (BGYS) kapsamında bulunan tüm çalışanları ve bilgi varlıklarını kapsamaktadır.
2. SORUMLULUKLAR
İŞMER Üst Yönetimi, Bilgi Güvenliği Politikasının tüm çalışanlara ve ilgili üçüncü taraflara duyurulmasını sağlar.
Bu politika periyodik olarak senede bir defa veya gerekli görülen hallerde Bilgi Sistemleri Yönetimi Komitesi tarafından gözden geçirilir.
3. İLGİLİ DOKÜMANLAR
- Performans Değerlendirme ve Sürekli İyileştirme Talimatı
- Üçüncü Taraf Bilgi Güvenliği ve Bilgi Değişim Talimatı
- BGYS Fiziksel ve Çevresel Güvenlik Talimatı
- İnsan Kaynakları Yönetmeliği
- Bilgi Güvenliği Roller ve Sorumluluklar Talimatı
4. TANIMLAR
Bilgi Güvenliği Yönetim Sistemi (BGYS): Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçasıdır.
Bilgi Varlığı: Kuruluşun sahip olduğu, işlerini aksatmadan yürütebilmesi için gerekli olan dolayısıyla korumakla yükümlü olduğu varlıklardır.
5. UYGULAMA
5.1 Üst Yönetim Taahhüdü
İŞMER Üst Yönetimi bilgi güvenliğinin gerçekleştirilmesi, işletimi, izlenmesi, gözden geçirilmesi, bakımı ve iyileştirilmesi için gerekenin yapılacağını taahhüt eder.
İŞMER bilgi güvenliği yönetimi ile ilgili olarak aşağıdaki ilkeleri benimsemektedir;
- Müşterilerine ve paydaşlarına sunduğu ürün ve hizmetlere ilişkin faaliyetlerinin güvenliğinin, Siber Güvenlik ve Kişisel Verilerinin sağlanmasına önem vermektedir.
- Tüm iş süreçlerinin birbiri ile entegre, uyumlu ve dengeli olması hedeflenmektedir. Entegre ve dinamik iş stratejisi bilgi varlıklarının güvenliğini ve sürekliliğini gerekli kılmaktadır.
- Müşteri ve paydaşlarına değer sağlayan ürün ve hizmetlerinin gizlilik, bütünlük ve erişilebilirliğini tehdit edebilecek risklere karşı tedbir almayı ilke edinir.
- Bu politika ve organizasyonun amacı ile uyumlu bilgi güvenliği hedefleri belirlenir ve düzenli aralıklarla uyumluluk ölçülerek, sürekli iyileştirme fırsatları değerlendirilir.
5.2 Bilgi Güvenliği Politikası
İŞMER bilgi güvenliğini faaliyetlerinin temel ilkelerinden biri haline getirmiştir. Bu kapsamda; Şirkete, personeline, müşterilerine ve tedarikçilerine ait bilgi varlıklarının ve tüm faaliyetlerine ilişkin bilgilerin sistemli bir şekilde korunması ve yönetilmesi gerektiğinin bilincinde olarak;
- İŞMER’in ve müşterilerinin güvenilirliği ve itibarını korumayı,
- İŞMER’in korumakla yükümlü olduğu tüm bilgilerin gizliliğinin temin edilmesini,
- Bilgilerin gizliliğinin yanı sıra bütünlüğünün ve erişilebilirliğinin sağlanmasını,
- İŞMER ilgili taraflarının Kişisel Verilerinin GİZLİLİK-ERİŞİLEBİRLİK ve BÜTÜNLÜĞÜNÜN sağlanmasını,
- İŞMER Bilgi Varlıklarının Siber Saldırılara karşı GİZLİLİK-ERİŞİLEBİRLİK ve BÜTÜNLÜĞÜNÜN sağlanmasını,
- İŞMER ve müşterilerinin işleyişini etkileyen fiziksel ve elektronik ortamdaki bilgilerin korunmasını,
- Şirket, personel, müşteriler ve tedarikçi bilgilerine ilişkin risk değerlendirme ve risk izleme çalışmalarının gerçekleştirilmesi suretiyle bilgi güvenliği ile ilgili riskleri azaltmayı,
- Müşteri ve tedarikçilerimiz ile yapılmış olan sözleşmelere uygun Bilgi Güvenliği Yönetim süreçleri oluşturmayı,
- Çalışanlarımızın bilgi güvenliğine ilişkin bilinç ve farkındalık seviyelerini artırmayı hedefliyoruz.
Bu çerçevede;
- Çalışanlarımızın Bilgi Güvenliği Yönetim Sistemi standartının yanı sıra yasal uygulamalardan ve sözleşmelerden doğan/doğabilecek şartlara uygun hareket etmesini,
- Bu doğrultuda belirlenen amaç ve hedefleri periyodik olarak gözden geçirmeyi, amaç ve hedeflere ulaşmak için gerekli kaynakların sağlanmasını,
- Bilgi Güvenliği Yönetim Sistemi konusunda sürekli iyileştirme ve geliştirmeyi destekleyerek, bu sistem çerçevesinde tüm yenilikler, değişimler ve gelişmeler hakkında tüm personelin, müşterilerin ve tedarikçilerin farkındalıklarının artırılması için gerekli çalışmaları yapmayı beyan ve taahhüt ederiz.
5.3 Bilgi Güvenliği Amaçları
İŞMER yukarıda belirtilen ilkelerden taviz vermeden bilgi güvenliği çalışmalarını aşağıda belirtilen amaçlarla gerçekleştirmeyi hedefler;
- Bilgi Güvenliği Yönetim Sistemi (BGYS), uluslararası olarak kabul edilmiş olan ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı şartları doğrultusunda planlanır, gerçekleştirilir ve geliştirilir,
- İlgili kanun ve yönetmeliklere uyumlu hale gelinmesi için gereken çalışmalar yapılır,
- BGYS’nin sürekli iyileştirilmesi için gerekli iç denetim, yönetimin gözden geçirmesi, düzeltici faaliyetler ile risklerin ve fırsatların belirlenmesi için gerekli aksiyonlar yönetim ve yönetimin bilgi güvenliği sorumluluğu verdiği ekipler tarafından sağlanır,
- Bilgi güvenliği ile ilgili tüm rol ve sorumluluklar belirlenir ve yönetim tarafından yetkilendirmeler yapılır,
- Bilgi güvenliği yönetim sistemi çerçevesinde gerekli çalışmaların gerçekleştirilmesi için kaynaklar yönetim tarafından sağlanır,
- Paydaşları ile birlikte kuruluşun rekabet avantajını olumsuz yönde etkileyebilecek maddi ve manevi kayıplar engellenir,
- Bilgi varlıklarının sınıflandırılması ve bu varlıkların gizlilik, bütünlük ve erişilebilirlik değerlendirmesinin yapılabilmesi için varlık envanteri oluşturulur,
- Bilgi güvenliği risklerini yönetmek için risklerini değerlendirme, risk analizi ve risk işleme çalışmaları gerçekleştirilerek, gerekli tedbirler geliştirilir ve olası riskleri önlemek için çalışmalar yapılır,
- Bu politika ve organizasyonun amacı ile uyumlu bilgi güvenliği hedefleri belirlenir ve düzenli aralıklarla uyumluluk ölçülerek, sürekli iyileştirme fırsatları değerlendirilir,
- Çalışan özlük bilgilerinin mahremiyeti sağlanır,
- Müşteri bilgilerinin yetkisiz kişilerin eline geçmesi engellenir,
- Veri bütünlüğü sağlanır,
- Erişim kayıtlarını tutarak suç niteliğinde olabilecek erişimlerin delilleri yasal otoritelere sağlanır,
- Tedarikçi nezdinde bilgi güvenliği sağlanır,
- Operasyonel bilgi birikiminin sürekli geliştirilmesi ve korunması sağlanır,
- Son kullanıcı bilgi güvenliği farkındalığını ve bu farkındalığın sürekli arttırılması sağlanır,
- Bilgi güvenliğini etkin biçimde yöneterek bilgi güvenliği kaynaklı yaşanabilecek zararlar asgariye indirilir,
- Bilgi güvenliği ihlal olayı yaşama ihtimalini düşürmek için gerekli çalışmalar yapılır, yaşanması durumunda koordineli şekilde yanıt verilir,
- Kritik iş süreçlerinde yaşanabilecek kesintilerin önüne geçilmesi için gerekli düzenlemeler yapılır, geçilemediği durumda hedeflenen kurtarma süresi içerisinde tekrar çalışabilir hale gelmesi sağlanır,
- Bilgi Güvenliği Yönetim Sistemi kapsamında müşterilerimizin bilgi varlıklarının gizliliği, bütünlüğü ve erişebilirliği sağlanır. Müşteri ile ilgili kritik iş süreçlerinin devamlılığı sağlanır,
- Bilgi Güvenliği Yönetim Sistemi’nin sürekli iyileştirilmesi sağlanır,
- İnsan kaynakları yönetiminde istihdam öncesi, sırası ve sonrasında güvenliği sağlama açısından kuralların belirlendiği süreçler oluşturulur.
- Güvenli çalışma alanları, arşiv odaları, sistem odaları gibi şirket içi çalışma bölgelerinde ve şirket çevresinde güvenliğin sağlanması için gerekli önlemlerin alınması sağlanır.
- Tedarikçi ilişkilerinin güvenli bir şekilde yürütülmesi amacıyla; tedarik hizmetlerinin gözden geçirilmesi, meydana gelen değişikliklerin yönetilmesi için politikalar oluşturulur, özellikle bilgi teknolojileri tedarikçileri ile yapılan/yapılacak olan ve bilgi güvenliği risklerinin ifade edildiği anlaşmalarda güvenlik gereksinimleri belirlenir.
5.4 Bilgi Güvenliği Hedeflerinin İzlenmesi ve Güncellenmesi
BGYS amaçları kapsamında belirlenen ölçülebilir hedefler, Bilgi Güvenliği Performans Değerlendirme Formu aracılığı ile belirlenir, Performans Değerlendirme ve Sürekli İyileştirme Talimatında anlatıldığı gibi değerlendirilir ve izlenir.
İş Merkezleri Yönetim ve İşletim A.Ş.