Bilgi Güvenliği Yönetim Sistemi Politikası
Bilgi Güvenliği Yönetim Sistemi (BGYS) Politikası
BGYS politikası, CDMVISION YAZILIM HİZMETLERİ TİCARET A.Ş. bünyesinde yürütülen bilgi güvenliği yönetim sistemi çalışmalarının kapsamını, içeriğini, yöntemini, mensuplarını, görev ve sorumlulukları, uyulması gereken kuralları içeren bir dokümandır.
Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için PUKÖ (Planla – Uygula – Kontrol et – Önlem al) modeli kullanılmaktadır. BGYS iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçasıdır.
Bilgi güvenliği sadece bilgi teknolojileri çalışanlarının sorumluluğunda olmayıp, tüm çalışanların eksiksiz katılımı ile sağlanmaktadır.
1 Amaç
CDMVision tüm hizmetlerinde hukuka, yasal düzenleyici ya da sözleşmeye tabi yükümlülüklere uygun hareket ederek bilgi güvenliğini sağlamayı amaçlamaktadır.
Bilgi güvenliği yönetim sisteminin amacı tüm bilgi varlıklarının gizliliği, bütünlüğü ve gerektiğinde yetkili kişilerce erişilebilirliğini; sürekliliğini ve kontrolünü sağlamaktır.
CDMVision yönetimi:
- CDMVision güvenilirliğini ve imajını korumak,
- Tüm süreçlere ve bilgiye ilişkin riskleri yönetmek,
- CDMVision‘ın ana ve destek süreçlerinin en az kesinti ile devam etmesini sağlamak,
- Bilgi güvenliğine ilişkin tüm yasal mevzuat ve üçüncü taraflarla yapılan sözleşmelere uyumu sağlamak,
- Kişisel verilerin gizliliğini sağlamak,
- Bilgi güvenliği farkındalığını artırmak amacıyla teknik ve davranışsal yetkinlikleri geliştirecek eğitimlerin gerçekleştirilmesini sağlamak,
- Bilgi güvenliğinin sağlanmasına ilişkin sürekli iyileştirme fırsatlarını değerlendirilmek ve çalışmaları gerçekleştirmek
Amacıyla bilişim hizmetlerinin gerçekleştirilmesinde kullanılan tüm fiziksel ve elektronik bilgi varlıklarının bilgi güvenliğini sağlamayı hedefler.
2 Kapsam
Bu politika CDMVision’ın fiziksel ve elektronik bilgi varlıklarını kullanmakta olan tüm birimleri, üçüncü taraf olarak bilgi sistemlerine erişen kullanıcıları ve bilgi sistemlerine teknik destek sağlamakta olan hizmet, yazılım, donanım sağlayıcılarını kapsamaktadır.
3 Tanımlar
Bu politikada Bilgi Güvenliği, CDMVision’ın bilgi varlıklarının aşağıdaki özelliklerinin korunması olarak tanımlanır;
- Gizlilik: Bilginin sadece yetkili kişiler tarafından erişilebilir olması,
- Bütünlük: Bilginin yetkisiz değiştirmelerden korunması ve değiştirildiğinde farkına varılması,
- Kullanılabilirlik: Bilginin yetkili kullanıcılar tarafından gerek duyulduğu an kullanılabilir olması.
4 BGYS İlkeleri
CDMVision Veritabanı ve bilgi işlem altyapısını kullanan ve bilgi kaynaklarına erişen herkes;
- Kişisel ve elektronik iletişimde ve üçüncü taraflarla yapılan bilgi alışverişinde CDMVision’a ait bilginin gizliliğini sağlamalı,
- Kritik düzeylerine göre işlediği bilgileri yedeklemeli,
- Risk düzeylerine göre belirlenen güvenlik önlemlerini almalı,
- Bilgi güvenliği ihlal olaylarını raporlamalı ve İcra Kuruluna bildirmeli, bu ihlalleri engelleyecek önlemleri almalıdır.
CDMVision bilgi kaynakları (duyuru, doküman vb.) yetkisiz olarak 3.kişilere iletilemez.
CDMVision bilişim kaynakları, T.C. yasalarına ve bunlara bağlı yönetmeliklere aykırı faaliyetler amacıyla kullanılamaz.
5 Yetki ve Sorumluluk
BGYS kapsamındaki temel rol ve sorumluluklar aşağıda tanımlanmıştır:
- Kapsam dâhilindeki tüm CDMVision personeli, paydaş ve üçüncü taraflar Bilgi Güvenliği Politikasına ve BGYS'de tanımlanan kural ve süreçlere uyarak çalışırlar.
- Kapsam dâhilindeki tüm personel güvenlik olaylarını, fark edilen güvenlik açıklıklarını ve güvenlik kuralları ihlallerini en kısa sürede Yönetim Temsilcisine raporlamaktan sorumludur.
- BGYS'nin yönetiminden Yönetim Temsilcisi, devamlılığının sağlanmasından ve gözden geçirilmesinden İcra Kurulu sorumludur.
- İcra Kurulu bilgi güvenliği politikasının uygulanmasını sağlar ve gözden geçirir.
- CDMVision Yönetimi çeşitli kurallar ve süreçler ile bu politikanın uygulanmasını destekler.
- Bilgi varlıklarının gizlilik, bütünlük, erişilebilirliğinin korunmasından varlık sahipleri sorumludur.
- Bilgi varlıklarının gizlilik, bütünlük, erişilebilirlik ve sınıflandırma ile ilgili gereksinimleri varlık sahipleri tarafından belirlenir.
- CDMVision bilgi kaynakları izinsiz olarak paydaş ve üçüncü kişiler ile paylaşılamaz.
- Tüm çalışanların bilgi güvenliği bilincini arttırmak için farkındalık eğitimlerinin vb. çalışmaların yapılması sağlanır.
6 Yönetim Desteği
CDMVision yönetimi olarak CDMVision’ın Bilgi Güvenliği Yönetim Sistemi Politikasının uygulanmasının, sağlanmasının, kontrolünün yapılmasının ve güvenlik ihlallerinde gerekli yaptırımlarının yerine getirilmesinin yönetim tarafından desteklendiğini beyan ederim.