Bilgi Güvenliği Politikası
KAPSAM
Bilgi
Güvenliği Politikasının kapsamı e-dönüşüm süreçleridir. İnsan Kaynakları,
Muhasebe Finans, Sistem Altyapı ve Destek hizmetleri, Güvenlik ve Risk Yönetim,
Sözleşme Yönetimi, Yasal Uyum, Kalite Yönetimi, Satış ve Pazarlama, Çağrı
Yönetimi süreçleri ve bunlar için kullanılan bütün varlıklar kapsam
dahilindedir.
İnsan, altyapı,
donanım, yazılım varlıkları, müşteri bilgileri, müşteri sözleşmeleri ile
belirlenen servis seviyelerine bağlı olarak Efatura süreçlerinin devamlılığı,
şirket bilgileri, 3.şahıslara ait bilgiler ve finansal kaynaklar ile ilgili her
türlü ortamda saklanan fiziksel ve sanal bilgiler ve bu ortamlar BGYS
kuralları, BT Servis Yönetim Sistemi ve İş Sürekliliği Yönetim Sistemi
dahilinde korunur ve kuralları dahilinde sistem sürekliliği takip edilir.
SORUMLULUKLAR
Üst Yönetim
Bilgi Güvenliği Politikası'nın kurum ihtiyaçlarını karşılar nitelikte bulunmasından, uygulanması için gerekli destek ve gözetimin sağlanmasından, politikanın en az yılda bir kez veya kurum politikasında değişiklik gerektirebilecek durumlarda gözden geçirilmesinden sorumludur.
BGYS Yönetim Temsilcisi
Bilgi Güvenliği Yönetim sisteminin kurulmasından işletilmesi ve yönetilmesine dek her aşamada üst yönetime karşı sorumluluk üstlenen kişidir.
BGYS Koordinasyon Ekibi
Üst yönetim tarafından görevlendirilen BGYS Koordinasyon Ekibi, Bilgi Güvenliği Politikasının kurum ihtiyaçlarını karşılar nitelikte bulunmasından, uygulanması için gerekli destek ve gözetimin sağlanmasından, politikanın en az yılda bir kez veya kurum politikasında değişiklik gerektirebilecek durumlarda gözden geçirilmesinden sorumludur.
Çalışanlar
Bilgi
Güvenliği Politikasının gereklerinin görev alanlarının gerektirdiği biçimde
yerine getirilmesinden sorumludur.
TANIMLAR
· BGYS: Bilgi Güvenliği Yönetim Sistemi
· BGYT: Bilgi Güvenliği Yönetim Temsilcisi
· BGYS Koordinasyon Ekibi: BGYS Koordinasyon Ekibi, yönetimi temsil eden, BGYS'nin başarılı biçimde sürdürülebilmesi için sorumluluğu üstlenen ve gözetimini sağlayan organizasyondur.
· BGYS İç Denetçisi: BGYS'nin uygulanmasından ve işletiminden bağımsız, BGYS denetimini yerine getirebilecek deneyim, eğitim ve sertifikasyonlara sahip kişi olup BGYS'nin iç denetimini gerçekleştiren kişidir. İç denetçi kurum personeli olabileceği gibi kurum dışından da sağlanabilir.
YÖNTEM
Yönetim Desteği
· • Üst yönetim, BGYS Koordinasyon Ekibi çatısı altında gerçekleştirdiği faaliyetler, BGYS İç Denetçi atamaları, BGYS yatırım, masraf ve eğitim bütçeleri, yönetim gözden geçirme aktiviteleri ile fiili olarak BGYS'yi destekler.
· • Üst yönetim, BGYS politika ve prosedürlerine uyarak ve uyulmasını teşvik ederek BGYS hedeflerine ulaşmak için liderlik eder.
· • Üst yönetim, bilgi güvenliği risklerinin yönetiminin kurumun itibarı ve faaliyetlerin sürekliliği açısından önemini yönetsel faaliyetleri uygulayarak ve kurumsal politikalar aracılığı ile ifade eder.
· • Üst yönetim, yılda en az bir kez riskleri değerlendirir ve Bilgi Güvenliği Politikasını gözden geçirerek sistemin sürekliliğini, sürdürülebilirliğini temin eder.
Bilgi Güvenliği Politikası
· • Risk kabul kriterlerini ve riskleri belirlemek, kontrolleri geliştirmek ve uygulamak.
· • Bilgi güvenliği yönetim sistemi kapsamı dâhilindeki bilginin gizlilik, bütünlük ve erişilebilirlik kayıpları ile ilgili risklerin tespit edilmesi için bilgi güvenliği risk değerlendirme sürecinin uygulanmasını sağlamak, risk sahiplerini belirlemek.
· • Bilgi güvenliği yönetim sistemi kapsamı dâhilindeki bilginin gizlilik, bütünlük, erişilebilirlik etkilerini değerlendirmeye yönelik bir çerçeveyi tanımlamak.
· • Hizmet verilen kapsam bağlamında teknolojik beklentileri gözden geçirerek riskleri sürekli takip etmek
· • Tabi olduğu ulusal veya sektörel düzenlemelerden, yasal ve ilgili mevzuat gereklerini yerine getirmekten, anlaşmalardan doğan yükümlülüklerini karşılamaktan, iç ve dış paydaşlara yönelik kurumsal sorumluluklardan kaynaklanan bilgi güvenliği gereksinimlerini sağlamak.
· • Hizmet sürekliliğine yönelik bilgi güvenliği tehditlerinin etkisini azaltmak ve sürekliliğe katkıda bulunmak
· • Gerçekleşebilecek bilgi güvenliği olaylarına hızla müdahale edebilecek ve olayın etkisini minimize edecek yetkinliğe sahip olmak
· • Maliyet etkin bir kontrol altyapısı ile bilgi güvenliği seviyesini zaman içinde korumak ve iyileştirmek.
· • Kurum itibarını geliştirmek, bilgi güvenliği temelli olumsuz etkilerden korumak.
· • Bu politikalar GİB tarafından yayınlanan E-fatura Entegratör ve Özel Entegratör Kılavuzuna dayanılarak hazırlanmıştır.