(1) Alle Maßnahmen, die die Informationssicherheit von Avşa Consultancy ausmachen, müssen der Norm ISO27001 entsprechen.
(2) Alle Mitarbeiter von Avşa Consultancy sind für die Informationssicherheit verantwortlich.
(3) Beim Zugriff auf Unternehmensressourcen und -informationen müssen Vorkenntnisse über die Ressourcen und Informationen vorhanden sein, auf die zugegriffen wird. Auf Daten, über die es keine Informationen gibt, sollte nicht zugegriffen werden. In Angelegenheiten, bei denen Zweifel an den Informationen bestehen, sollten die Informationsinhaber konsultiert werden.
(4) Zur Verwaltung und Lenkung der Sicherheit wurde ein Gremium für Informationssicherheit bei Avşa Consultancy eingerichtet. Das ISMS-Gremium tritt regelmäßig, mindestens alle sechs Jahre, zusammen und besteht aus Referatsleitern, die die Gruppen vertreten, und dem ISMS-Manager.
(5) Es wird ein "Informationssicherheitsportal" innerhalb des Unternehmens eingerichtet. Der Zweck dieses Portals ist die Schaffung von Informationsressourcen im Unternehmen, auf die Mitarbeiter bei Problemen, Informationen und Fragen zur Informationssicherheit elektronisch zugreifen können.
(6) Die Informationssicherheit beruht auf den Grundsätzen der Vertraulichkeit, Integrität und Zugänglichkeit bei der Verarbeitung, Übermittlung und Speicherung von Informationen.
(7) Alle kritischen Informationsgüter (Hardware, Software, Geräte, Daten) des Unternehmens werden identifiziert und angemessen geschützt.
(8) Alle Informationsgüter des Unternehmens werden inventarisiert. Alle Informationswerte werden angemessen klassifiziert und die Aufzeichnungen werden unter Berücksichtigung der geschäftlichen Bedürfnisse des Unternehmens aufbewahrt, und die Sachwerte werden entsprechend ihrer Kategorien gekennzeichnet.
(9) Dem Personal ist es untersagt, auf Informationsbestände zuzugreifen, zu denen es nicht befugt ist.
(10) Es sind alle erforderlichen Vorkehrungen für die Sicherheit von Informationsgütern bei ihrer Übermittlung und Beförderung zu treffen.
(11) Alle Software, die innerhalb des Unternehmens verwendet werden soll, wird vor ihrer Überführung in die reale Umgebung angemessenen Sicherheitsprüfungen unterzogen.
(12) Die Geschäftsleitung des Unternehmens ist befugt, den gesamten Informationsverkehr unabhängig vom verwendeten Medium zu überwachen.
(13) Die Grenzen des Informationsnetzes (Avşa Consultancy) werden durch den Einsatz geeigneter Hard- und Software geschützt und in regelmäßigen Abständen überwacht.
(14) Es werden geeignete Sicherheitsmaßnahmen zum Schutz vor Angriffen auf das Informationsnetz getroffen.
(15) Alle Sicherheitsverletzungen, die in elektronischen Medien auftreten, müssen dem ISMS-Manager von "Avşa Consultancy" gemeldet werden. Der Informationssicherheitsmanager wird die erforderlichen Maßnahmen ergreifen, um zu verhindern, dass diese Sicherheitsverletzungen in Zukunft erneut auftreten, und um sie in kurzer Zeit zu beheben.
(16) Es werden die erforderlichen Maßnahmen zur Gewährleistung der Geschäftskontinuität getroffen.
(17) Der Beirat für Informationssicherheit wird für die Mitarbeiter des Unternehmens geeignete Schulungen zur Sensibilisierung für Sicherheitsfragen planen und durchführen.
(18) Unternehmensinformationen werden nur für den von der Geschäftsleitung genehmigten Zweck verwendet.
(19) Für geschäftskritische Bereiche werden geeignete und detaillierte Verfahren eingeführt.
(20) Der physischen Sicherheit wird besondere Bedeutung beigemessen. Daher werden Eingangs- und Ausgangstüren, Büroräume und Bereiche, in denen Produkte angenommen und umgeschlagen werden (Lager, Eingangstüren usw.), gesichert und entsprechende Verfahren festgelegt.
(21) Die Grundsätze und Verfahren für die Informationssicherheit werden jedes Jahr überprüft, es sei denn, es liegen besondere Umstände vor.
(22) Zur Bewältigung unerwarteter Sicherheitsvorfälle im Unternehmen richtet der ISMS-Vorstand bei Bedarf einen "Security Crisis Desk" ein.
(23) Die Mitarbeiter des Unternehmens tragen ihre Sicherheitseintrittskarten sichtbar bei sich.
(24) Es ist verboten, vertrauliche Informationen, die dem Unternehmen gehören, an öffentlichen Orten zu erörtern und sie an verdächtige Personen weiterzugeben, deren Identität nicht überprüft werden kann.
(25) Am Ende der Sitzungen wird die verwendete Tafel gesäubert und die entsprechenden Dokumente und Notizen werden vom Tisch entfernt. Es wird sichergestellt, dass andere Personen als die Mitarbeiter von Avşa Consultancy die Sitzungsräume nicht ohne Begleitung von Avşa Consultancy-Mitarbeitern betreten. Die Regeln werden deutlich sichtbar veröffentlicht
(26) Den Mitarbeitern ist es untersagt, vertrauliche Informationen, Akten und Unterlagen offen herumliegen zu lassen.
(27) Die Sicherheitsprüfung der Computersysteme wird jedes Jahr gemäß den ISO27001-Normen durchgeführt.
(28) Für alle informationskritischen Systeme werden von dem vom Avşa Consultancy Information Security Manager ernannten Team oder von externen Ressourcen eine angemessene Analyse der Auswirkungen auf das Geschäft und eine Risikobewertung durchgeführt.
(29) Das Gremium für Informationssicherheit von Avşa Consultancy wählt die erforderlichen Sicherheitsmaßnahmen aus, die für die Vermögenswerte, für die eine Risikobewertung vorgenommen wurde, zu ergreifen sind, und sorgt dafür, dass sie geplant und umgesetzt werden.
(30) Kein Mitarbeiter von Avşa Consultancy darf eine Tätigkeit ausüben, die über die von der Republik Türkei verabschiedeten nationalen und internationalen Gesetze zur Informationssicherheit hinausgeht.
Bei Verstößen gegen die Informationssicherheitsrichtlinien des Unternehmens werden Maßnahmen auf der Grundlage der Gesetze und der einschlägigen Artikel ergriffen, die in dem Dokument über die Sanktionen im Bereich der Informationssicherheitsrichtlinien mit Genehmigung des Informationssicherheitsausschusses und des zuständigen Managers aufgeführt sind.