Biyokütle Rüzgar Hidroelektrik Enerji Verimliliği Güneş Hidrojen Jeotermal Ruzgar Su Instagram Twitter Linkedin Youtube Facebook icon-happy icon-close icon-sad icon-download icon-search icon-cloud icon-up icon-down icon-whatsapp icon-right icon-left icon-right-alternative icon-left-alternative icon-arrow-right icon-call icon-loading icon-email icon-close icon-play icon-social-instagram icon-social-facebook icon-social-youtube
Bilgi Güvenliği Politikası

Amaç

Bu politikanın amacı, işyeri bünyesindeki bilgi sistemlerinin ve verilerin gizlilik, bütünlük ve erişilebilirliğini sağlayacak önlemlere ilişkin kontrol altyapısını geliştirmek ve düzenli olarak güncellenmek, üst yönetimin yaklaşımını ve hedeflerini tanımlamak, tüm çalışanlara ve ilgili taraflara bu hedefleri bildirmektir.

Kapsam

Bu politika İzenerji A.Ş. bünyesinde bulunan bilgi sistemleri varlıklarını, bilgi sistemlerine erişim sağlayan personelleri, muhasebe, finans, satın alma, insan kaynakları, hukuk, iç denetim ve şirket bünyesinde tutulan kişisel verilerin kanun kapsamında işlenmesi, saklanması, korunması, gizliliğinin ve bütünlüğünün bozulmaması için kullandığı bilgi güvenliği süreçlerini kapsar.

Bilgi Güvenliği

Bilgi, tüm diğer kurumsal ve ticari varlıklar gibi, bir işletme için değeri olan ve bu nedenle uygun şekilde korunması gereken bir varlıktır. Bilgi varlıklarının güvenliği şirket tarafından tanımlanmış politikalar doğrultusunda sağlanır. Şirket içerisinde, know-how, süreç, teknik ve yöntem, personel bilgileri, ticari, teknolojik bilgiler ve sırlar gizli bilgi olarak kabul edilir. Bilgi güvenliği iş sürekliliğini sağlamak, kayıpları en aza indirmek için tehlike ve tehdit alanlarından korur. Bilgi güvenliği, bu politikada aşağıdaki bilgi niteliklerinin korunması olarak tanımlanır:

Gizlilik: Bilginin sadece izin verilen kişilere erişilebilir olduğunu garanti etmek ve yetkisiz erişime karşı korumasıdır.

Bütünlük: Bilginin yetkisiz kişiler tarafından değiştirilmesinin, silinmesinin veya eklemeler çıkarmalar yapılmasının tespit edilebilmesi ve tespit edilebilirliğin garanti altına alınmasıdır.

Erişilebilirlik: Bilginin yetkili kullanıcılar tarafından gerek duyulduğu an erişilebilir olması. Diğer bir ifadeyle, sistemlerin sürekli hizmet verebilir halde bulunması ve sistemlerdeki bilginin kaybolmaması ve sürekli erişilebilir olmasıdır.

Bilgi Güvenliği Hedefleri ve Amaçları

Bilgi Güvenliği Politikası, İzenerji A.Ş. çalışanlarına şirketin güvenlik gereksinimlerine uygun şekilde hareket etmesi konusunda yol göstermek, bilgi varlıklarının güvenliği için etkin teknik güvenlik kontrollerini uygulamak, riskleri en aza indirerek şirketin güvenliğini, güvenilirliğini ve imajını korumak, üçüncü taraflar ile yapılan sözleşmelere uyumu sağlamak, şirket tarafından üretilen, kullanılan, geliştirilen bilgilerin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak ve korumak amacıyla şirketimiz bilgi güvenliği yönetim sistemi hedeflerini belirlemekte, bu hedeflere yönelik planlamaları yapmakta ve hedeflerin başarımını takip etmektedir. 

Bilgi Güvenliği Organizasyonu

Şirket yönetimi bilgi güvenliği organizasyonunu şirket bünyesinde oluşturur. Bu kapsamda Şirket’te güvenlik politikalarının bütünsel bir yaklaşımla oluşturulması, sürdürülmesi ve yönetilmesine ilişkin çalışmalar Bilgi Güvenliği Yönetim Süreci Yöneticisi kapsamında yürütülür. Şirket’in güvenlik kontrol süreçlerini koordine edecek, yönetecek rol ve sorumluluklar Bilgi Güvenliği Rol ve Sorumluluklar Yönetmeliği kapsamında belirlenir ve ilgili kişilere atanır. Rol ve sorumluluk ataması yapılan kişiler bu yönetmelikte açıklanan sorumluluklara uygun şekilde çalışmaktan sorumludur.

Bilgi Güvenliği Rol ve Sorumlulukları

Şirket üst yönetimi, bu politikayı oluşturur, uygulanmasını sağlar ve gözden geçirir. Ek olarak üst yönetim BGYS’nin kurulmasından, işletilmesinden, altyapısını desteklemekten, işleyişini izlemek ve denetlemekten de sorumludur. Üst yönetim, bu amaçla Bilgi Güvenliği Yöneticisini atamıştır. Bilgi Güvenliği Yöneticisi, BGYS’nin işleyişini izler, sürekliliğini sağlar ve üst yönetim adına yukarıdaki çalışmaları yürütür. Bu Bölümde bilgi güvenliği ile ilgili tüm personeli ilgilendiren sorumluluklar tanımlanmaktadır.

Tüm Şirket ve üçüncü taraf personeli bilgi güvenliği politika ve prosedürlerini bilmek, bu kural ve esaslara uygun davranmak.

BGYS’nin sağlıklı işlemesi için gerekli görülen önerileri ve ihlal olaylarını ilgili kişiye iletmek.

Bilgi güvenliğini sağlamaya yönelik olarak tespit edilen ihtiyaçların karşılanmasını planlamak ve sağlamak.

Bilgi Güvenliği Politikasını belli aralıklarla gözden geçirmek ve BGYS Yönetim Temsilcisi’nin onaylamasını sağlamak.

Taahhüt ettiği Gizlilik Sözleşmelerine riayet etmek,

Tüm personel bilgi güvenliği farkındalığını arttırmak amacıyla yapılan farkındalık eğitimlerine katılmaktır.

Risk Yönetimi

Risk yönetim çerçevesi; Bilgi güvenliği risklerinin tanımlanmasını, değerlendirilmesini ve işlenmesini kapsar. Risk Analizi, uygulanabilirlik bildirgesi ve risk işleme planı, Bilgi Güvenliği ve Hizmet Yönetimi risklerinin nasıl kontrol edildiğini tanımlar. Risk işleme planının yönetiminden ve gerçekleştirilmesinden BGYS Yürütme ve Yönetim Komitesi sorumludur. 

Bilgi Güvenliği Genel Esasları

Bu politika ile çerçevesi çizilen bilgi güvenliği gereksinimleri ve kurallarına ilişkin ayrıntılar, Şirket çalışanları ve 3. taraflar bu politika ve prosedürleri bilmek ve çalışmalarını bu kurallara uygun şekilde yürütmekle yükümlüdür. 

Bu kural ve politikalar, aksi belirtilmedikçe, basılı veya elektronik ortamda depolanan ve işlenen tüm bilgiler ile bütün bilgi sistemlerinin kullanımı için dikkate alınması esastır. 

Bilgi Güvenliği Yönetim Sistemi, TS ISO/IEC 27001 "Bilgi Teknolojisi Güvenlik Teknikleri (Information Technology Security Techniques) ve Bilgi Güvenliği Yönetim Sistemleri Gereksinimler (Information Security Management Systems Requirements)" standardını temel alarak yapılandırılır ve işletilir. 

BGYS’nin hayata geçirilmesi, işletilmesi ve iyileştirilmesi çalışmalarını, ilgili tarafların katkısıyla yürütür. BGYS dokümanlarının gerektiği zamanlarda güncellenmesi BGYS Yönetim Temsilcisi sorumluluğundadır. 

Şirket tarafından çalışanlara veya 3. taraflara sunulan bilgi sistemleri ve altyapısı ile bu sistemler kullanılarak üretilen her türlü bilgi, belge ve ürün aksini gerektiren kanun hükümleri veya sözleşmeler bulunmadıkça şirkete aittir. 

Çalışanlar, danışmanlık, hizmet alımı (Güvenlik, servis, yemek, temizlik firması vb.), Tedarikçi ve Stajyer ile gizlilik anlaşmaları yapılır. 

İşe alım, görev değişikliği ve işten ayrılma süreçlerinde uygulanacak bilgi güvenliği kontrolleri belirlenir ve uygulanır. 

Çalışanların bilgi güvenliği farkındalığını artıracak ve sistemin işleyişine katkıda bulunmasını sağlayacak eğitimler düzenli olarak mevcut şirket çalışanlarına ve yeni işe başlayan çalışanlara verilir. 

Bilgi güvenliğinin gerçek ya da şüpheli tüm ihlalleri rapor edilir; ihlallere sebep olan uygunsuzluklar tespit edilir, ana sebepleri bulunarak tekrar edilmesini engelleyici önlemler alınır. 

Bilgi varlıklarının envanteri bilgi güvenliği yönetim ihtiyaçları doğrultusunda oluşturulur ve varlık sahiplikleri atanır. 

Kurumsal veriler sınıflandırılır ve her sınıftaki verilerin güvenlik ihtiyaçları ve kullanım kuralları belirlenir. 

Güvenli alanlarda saklanan varlıkların ihtiyaçlarına paralel fiziksel güvenlik kontrolleri uygulanır. 

Şirkete ait bilgi varlıkları için şirket içinde ve dışında maruz kalabilecekleri fiziksel tehditlere karşı gerekli kontrol ve politikalar geliştirilir ve uygulanır. 

Kapasite yönetimi, üçüncü taraflarla ilişkiler, yedekleme, sistem kabulü ve diğer güvenlik süreçlerine ilişkin prosedür ve talimatlar geliştirilir ve uygulanır. 

Ağ cihazları, işletim sistemleri, sunucular ve uygulamalar için denetim kaydı üretme konfigürasyonları ilgili sistemlerin güvenlik ihtiyaçlarına paralel biçimde ayarlanır. Denetim kayıtlarının yetkisiz erişime karşı korunması sağlanır. 

Erişim hakları ihtiyaç nispetinde atanır. Erişim kontrolü için mümkün olan en güvenli teknoloji ve teknikler kullanılır. 

Sistem temini ve geliştirilmesinde güvenlik gereksinimleri belirlenir, sistem kabulü veya testlerinde güvenlik gereksinimlerinin karşılanıp karşılanmadığı kontrol edilir. 

Yasalara, iç politika ve prosedürlere, teknik güvenlik standartlarına uyum için gerekli süreçler tasarlanır, sürekli ve periyodik olarak yapılacak gözetim ve denetim faaliyetleri ile uyum güvencesi sağlanır.

Politikanın İhlali ve Yaptırımlar

Bilgi Güvenliği Politikasına ve Standartlarına uyulmadığının tespit edilmesi durumunda, bu ihlalden sorumlu olan çalışanlar için Disiplin Yönergesi ve Prosedürü ’ne göre 3. Taraflar için de geçerli olan sözleşmelerde geçen ilgili maddelerinde belirlenen yaptırımlar uygulanır. 

Bilgi Güvenliği Politika Dokümanı Güncellenmesi ve Gözden Geçirilmesi

Politika dokümanının sürekliliğinin sağlanmasından ve gözden geçirilmesinden BGYS Yönetim Temsilcileri sorumludur. Politika ve prosedürler en az yılda bir kez gözden geçirilmelidir. Bunun dışında sistem yapısını veya risk değerlendirmesini etkileyecek herhangi bir değişiklikten sonra da gözden geçirilmeli ve herhangi bir değişiklik gerekiyorsa üst yönetime onaylatılarak yeni versiyon olarak kayıt altına alınmalıdır. Her revizyon tüm kullanıcıların erişebileceği şekilde yayınlanmalıdır.

Yaptığımız geliştirmeler hakkında detaylı bilgi almak ister misiniz?

E-Posta adresinizi bırakın ve her hafta gelişmelerden haberdar olun.

VEYA HİZMETLERİMİZİ İNCELE

*Kişisel bilgileriniz paylaşılmayacaktır.