1. Giriş ve Politikanın Amacı
ITHINKA Bilişim Yazılım Danışmanlık Hizmetleri A.Ş. Firması,bilgi güvenliği yönetimini etkin bir şekilde sağlayarak iş sürekliliğini korumayı,müşterilerimizin,çalışanlarımızın ve iş ortaklarımızın güvenini kazanmayı hedeflemektedir. Bu politika,bilgi varlıklarının gizliliğini,bütünlüğünü ve erişilebilirliğini korumak için gerekli olan yönetimsel ve teknik önlemleri tanımlar. Amaç,ISO 27001:2022 standardına uygun olarak bilgi güvenliği sisteminin kurulması,sürdürülmesi ve sürekli iyileştirilmesidir.
2. Kapsam
Bu politika,şirketimizin tüm birimlerini,bilgi varlıklarını,süreçlerini ve bilgi teknolojileri altyapısını kapsar. Firmamızın sunduğu yazılım geliştirme,veri tabanı yönetimi,Windows ve Unix tabanlı sistemlerin yönetimi yedekleme,ağ ve ağ güvenliği,SAP erp ve veri analitiği danışmanlık hizmetleri gibi tüm bilişim danışmanlık hizmetleri bu kapsamda değerlendirilir.
3. Politika İlkeleri ve Temel Yaklaşım
- Gizlilik:Bilgiye yalnızca yetkili kişiler erişebilir.
- Bütünlük:Bilgi doğruluğu ve eksiksizliği sağlanır.
- Erişilebilirlik:Bilgiye ihtiyaç duyan yetkili kişiler gerektiği zamanda ve ortamda erişebilir.
- Yasal ve Uyum Gereksinimleri:Tüm bilgi güvenliği faaliyetleri,ilgili yasa,yönetmelik,sözleşme ve standartlara uyum sağlar.
- Sürekli İyileştirme:Firma,bilgi güvenliği yönetim sistemini sürekli iyileştirerek riskleri asgari düzeye indirir.
4. Sorumluluklar ve Yetkiler
- Bilgi Güvenliği Komitesi:Politikanın uygulanmasını gözetir,gerekli düzenlemeleri yapar ve iyileştirme süreçlerini denetler.
- Bilgi Güvenliği Yöneticisi:BGYS’yi yönetir,bilgi güvenliği risklerini belirler ve gerekli önlemleri alır.
- Çalışanlar:Bilgi güvenliği politikasına uygun hareket etmekle sorumludur.
- Tedarikçiler ve İş Ortakları:Şirketle yaptıkları anlaşmalarda belirlenen güvenlik kurallarına uygun hareket etmelidir.
5. Bilgi Güvenliği Hedefleri
Bilgi güvenliği hedeflerimiz şunlardır:
- Bilgi güvenliği farkındalığını artırmak,
- Bilgi güvenliği risklerini etkin bir şekilde yönetmek,
- Veri kaybı ve yetkisiz erişimi önlemek,
- Müşteri verilerinin gizliliğini ve güvenliğini sağlamak,
- Yasal ve düzenleyici gereksinimlere uygunluk sağlamak,
- Olağanüstü durumlarda iş sürekliliğini sağlamak.
6. Risk Yönetimi ve Kontroller
Firmamız,bilgi güvenliği risklerini tespit etmek ve değerlendirmek için ISO 27001:2022 gerekliliklerine uygun bir risk yönetimi süreci benimser. Bu süreç,bilgi varlıklarının ve iş süreçlerinin güvenlik gereksinimlerini analiz eder,risklerin değerlendirilmesi ve sınıflandırılmasını sağlar. Riskler belirlenip sınıflandırıldıktan sonra uygun kontrol önlemleri uygulanır:
- Fiziksel Güvenlik Önlemleri:Giriş çıkış kontrolü,kameralar,yangın ve alarm sistemleri.
- Erişim Kontrol Önlemleri:Yetkilendirme,kimlik doğrulama,çok faktörlü kimlik doğrulama.
- Ağ Güvenliği:Güvenlik duvarları,ağ izleme,zararlı yazılım taramaları.
- Veri Güvenliği:Verilerin şifrelenmesi,veri yedekleme.
- Olay Yönetimi:Güvenlik olaylarının tanımlanması,raporlanması ve müdahale süreci.
- İzleme ve Denetim:BGYS performansını izlemek için düzenli iç denetim yapılır.
7. Bilgi Güvenliği Farkındalığı ve Eğitim
Firmamız,bilgi güvenliği farkındalığını artırmak için tüm çalışanlarına düzenli bilgi güvenliği eğitimleri sağlar. Eğitimler,bilgi güvenliği politikaları,prosedürler ve iş süreçleri hakkında bilgi sahibi olunmasını amaçlar. Eğitim programları,çalışanların güvenlik farkındalıklarını sürekli güncel tutar.
8. Varlık Yönetimi ve Sınıflandırma
Bilgi varlıkları;donanım,yazılım,veri tabanları,ağlar ve dokümantasyon olarak sınıflandırılır ve her varlığın sahibi belirlenir. Varlık sahipleri,bilgi güvenliği kontrollerinin uygulanmasından sorumludur. Ayrıca varlıklar,gizlilik,bütünlük ve erişilebilirlik açısından sınıflandırılır ve uygun güvenlik önlemleri alınır.
9. Güvenlik İhlali ve Olay Yönetimi
Güvenlik ihlallerinin en aza indirilmesi için etkili bir güvenlik olay yönetim sistemi uygulanır. Güvenlik ihlalleri,yetkisiz erişim,veri kaybı veya sistem arızası gibi olaylar tespit edilip raporlanır. Güvenlik olaylarına müdahale ekibi hızlıca harekete geçerek olayın nedenini araştırır,düzeltici ve önleyici önlemler alır.
10. İş Sürekliliği ve Olağanüstü Durum Yönetimi
Firmamız,bilgi güvenliğini sağlamak için iş sürekliliği planları hazırlar ve düzenli olarak test eder. Olağanüstü durumlar (doğal afetler,yangın,veri ihlalleri) sırasında iş süreçlerinin devamını sağlamak için iş sürekliliği planları ve veri kurtarma prosedürleri uygulanır. İş sürekliliği planları,en kısa sürede iş faaliyetlerinin normale dönmesini amaçlar.
11. Yasal Uyum ve Denetim
Şirketimiz,yerel ve uluslararası yasalara ve sektörel düzenlemelere uyumu sağlamak için gerekli önlemleri alır. Yasal gerekliliklerin yerine getirilmesi,bilgi güvenliği risk değerlendirme sürecine entegre edilir. Firma,düzenli iç denetimler ve harici denetimler ile uyum düzeyini sürekli olarak kontrol eder.
12. Politikayı Gözden Geçirme ve Güncelleme
Bilgi güvenliği politikası,yılda en az bir kez veya gerekli durumlarda gözden geçirilir ve güncellenir. Bu gözden geçirme süreci,bilgi güvenliği yönetim sisteminin etkinliğini değerlendirir ve iyileştirme alanlarını belirler. Politikanın güncellenmesi,yönetimin onayı ile gerçekleştirilir.
13. Politikanın İletişimi ve Yayılımı
Bilgi güvenliği politikası,tüm çalışanlarımıza,tedarikçilerimize ve iş ortaklarımıza duyurulur. Ayrıca politika,çalışanların kolayca ulaşabileceği intranet üzerinden yayımlanır. Politikaya uyumun sağlanması,bilgi güvenliği farkındalık eğitimleri ve iletişim stratejileri ile desteklenir.
14. Politika İhlalleri
Bilgi güvenliği politikasının ihlali,firmamız için önemli bir tehdit oluşturur. Bu nedenle politika ihlalleri,disiplin prosedürleri çerçevesinde değerlendirilir. Çalışanlar,bilgi güvenliği ihlalleri hakkında bilgi sahibi olduklarında derhal raporlama yapmakla yükümlüdür.
15. Sonuç
Bilgi Güvenliği Politikası,tüm çalışanların ve iş ortaklarının rehberliğinde işlenen bilgi varlıklarının korunmasını amaçlar. ISO 27001:2022 standartlarına uygun olarak tasarlanan bu politika,bilgi güvenliği yönetim sistemimizin başarısı için kritik öneme sahiptir. Bu politika kapsamında alınan önlemler,bilgi güvenliği risklerini azaltmayı ve firmanın güvenliğini sürekli olarak iyileştirmeyi hedefler.