Bilgi Güvenliği ve İş Sürekliliği’nin sağlanması; insan kaynaklarının yönetimine ilişkin tüm faaliyetlerimiz olan yazılım geliştirme, yetkinliklerin ve yeteneklerin ölçülmesi ve değerlendirilmesi, yetkinlik modeli oluşturulması hizmetlerimizi kapsar. Bilgi Güvenliği Yönetim Sistemimiz, tüm faaliyetlerimizin ISO 27001:2013 standardına uygun yürütülmesini garanti altına alır.1. AmaçBu doküman, “Assessment BGYS El Kitabı Dokümanı”nda belirtilen birimlerde, bilgi varlıklarının güvenliğinin sağlanması, BGYS’nin kurulması, işletilmesi, sürdürülmesi ve sürekli iyileştirilmesi için yönetimin yönlendirmesi ve desteğinin belirtilmesi amacı ile oluşturulmuştur.2. KapsamBu doküman “Assessment BGYS El Kitabı Dokümanı”nda belirtilen birimlerdeki tüm personeli, bilgi varlıklarını ve ilgili üçüncü tarafları kapsamaktadır.3. Tanımlamalar ve Kısaltmalar
Terim
Tanım/Açıklama
Üst Yönetim
Genel Müdür
BGYS
Bilgi Güvenliği Yönetim Sistemi
Politika
Bir şirket, kurum veya kişinin görüş, felsefe, amaç ve tutumunun belirli şekilde ifadesini, bu görüş, felsefe veya amaç doğrultusunda bir hareket planını içeren doküman tipidir.
Varlık
Şirket için değeri olan ve bu nedenle uygun şekilde korunması gereken bilgi ve bilginin üretilmesi, saklanması, transfer edilmesi, korunması vb. amaçlar ile kullanılan tüm unsurlardır.
Üçüncü Taraflar
Şirket çalışanı olmayıp, Şirket’e ait bilgi varlıklarına erişim sağlayan özel veya tüzel kişidir.
ISO 27001
TS ISO/IEC 27001:2022 Bilgi Teknolojisi - Güvenlik Teknikleri - Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler
4. Bilgi Güvenliği PolitikasıTS EN ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemin ana teması; ASSESSMENT kapsamında kullanılan tüm yazılımları, kurumsal iş süreçleri yönetimi bazında Teknik Destek, Yazılım Geliştirme, Donanım ve Bakım Süreçlerini ve bunlara ait tüm donanım ve yazılımları, tüm sunucu sistem elemanlarını ve son kullanıcı bilgisayarları ve kurum dahilindeki tüm fiziksel ve elektronik bilgi varlıklarını kapsar olarak belirlenmiştir.
Bu doğrultuda BGYS Politikamız;
İçeriden veya dışarıdan, bilerek ya da bilmeyerek meydana gelebilecek her türlü tehdide karşı ASSESSMENT bilgi varlıklarını korumak, bilgiye erişilebilirliği iş prosesleriyle gerektiği şekilde sağlamak, yasal mevzuat gereksinimlerini karşılamak, sürekli iyileştirmeye yönelik çalışmalar yapmak,
Yürütülen tüm faaliyetlerde Bilgi Güvenliği Yönetim Sisteminin üç temel öğesinin sürekliliğini sağlamak:
Gizlilik: Önem taşıyan bilgilere yetkisiz erişimlerin önlenmesi,
Bütünlük: Bilginin doğruluk ve bütünlüğünün sağlandığının gösterilmesi,
Erişilebilirlik: Yetkisi olanların gerektiği hallerde bilgiye ulaşılabilirliğinin gösterilmesi
Sadece elektronik ortamda tutulan verilerin değil; yazılı, basılı, sözlü ve benzeri ortamda bulunan tüm verilerin güvenliği ile ilgilenmek.
Bilgi Güvenliği Yönetimi eğitimlerini tüm personele vererek bilinçlendirmeyi sağlamak,
Bilgi Güvenliğindeki gerçekte var olan veya şüphe uyandıran tüm açıklıkları, BGYS Ekibine rapor etmek ve BGYS Ekibi tarafından soruşturulmasını sağlamak,
İş süreklilik planları hazırlamak, sürdürmek ve test etmek,
Bilgi Güvenliği konusunda periyodik olarak değerlendirmeler yaparak mevcut riskleri tespit etmek; değerlendirmeler sonucunda, aksiyon planlarını gözden geçirmek ve takibini yapmak,
Sözleşmelerden doğabilecek her türlü anlaşmazlık ve çıkar çatışmasını engellemek,
Bilgiye erişilebilirlik ve bilgi sistemleri için iş gereksinimlerini karşılamaktır.
5. İlgili Dokümanlar5.1 İç Kaynaklı Dokümanlar
(1) Assessment BGYS El Kitabı
(2) Görev Tanımları
5.2 Dış Kaynaklı Dokümanlar
(1) TS ISO/IEC 27001:2022 Bilgi Teknolojisi - Güvenlik Teknikleri - Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler