Avşa Danışmanlık Kurumsal Bilgi Güvenliği Politikası


A. Amaç Bu politika, Avşa Danışmanlık bilgilerinin Gizlilik, Bütünlük ve Erişilebilirlik unsurları açısından korunmasını sağlamak amacı ile hazırlanmıştır.
B. Kapsam Bu politika, tüm Avşa Danışmanlık bilişim ve buna bağlı bilgi varlıklarını kapsamaktadır.
C. Politika Metni

1. Avşa Danışmanlık ’ in bilgi güvenliğini oluşturan tüm politikalar, ISO27001 standardına uymalıdır.

2. Bilgi güvenliğinden bütün Avşa Danışmanlık personeli sorumludur.

3. Şirket kaynak ve bilgilerine erişimde, erişilen kaynak ve bilgi hakkında daha önceden bilgi sahibi olunmalıdır. Hakkında bilgi sahibi olunmayan verilere erişilmemelidir. Bilgisi hakkında tereddüte düşülen konularda bilgi sahiplerine danışılmalıdır.

4. Güvenliği yönetmek ve yönlendirmek için Avşa Danışmanlık Bilgi Güvenlik Kurulu oluşturulmuştur. BGYS kurulu düzenli olarak en geç her altı yılda bir toplanacak olup, grupları temsil eden birim yöneticileri ile BGYS Yöneticisinden oluşur.

5. Şirket içinde “ Bilgi Güvenlik Portalı” tesis edilecektir. Bu portalın amacı, Bilişim güvenliği konusunda problem, bilgi ve soruları olan çalışanların elektronik olarak erişebilecekleri kurumsal bilgi kaynaklarının oluşturulmasıdır.

6. Bilgi Güvenliğinde; bilgi işlenirken, iletilirken ve muhafaza edilirken Gizlilik, Bütünlük ve Erişilebilirlik esas alınacaktır.

7. Şirketin tüm kritik bilgi varlıkları (donanım, yazılım, cihaz, veri) tanımlanacak ve uygun şekilde koruma altına alınacaktır. .

8. Şirketin tüm bilgi varlıklarının envanteri çıkarılacaktır. Tüm bilgi varlıkları uygun şekilde sınıflanıp şirketin iş ihtiyaçları göz önüne alınarak kayıtları tutulacak, fiziksel varlıklar kategorilerine göre etiketlendirilecektir.

9. Personelin, yetkisinin olmadığı bilgi varlıklarına erişimi yasaktır.

10. Bilgi varlıkları, iletilirken ve taşınırken güvenliği için gerekli tüm önlemler alınacaktır.

11. Şirket içinde kullanılacak tüm yazılımlar, gerçek ortama taşınmadan önce uygun güvenlik denetimine tabi tutulacaktır.

12. Şirketin üst yönetimi, kullanılan ortama bakılmaksızın tüm bilgi trafiğini izlemeye yetkilidir.

13. Bilişim ağının sınırları (Avşa Danışmanlık ) uygun donanım ve yazılım kullanılarak koruma altına alınıp, periyodik olarak izlenecektir.

14. Bilişim ağına karşı yapılacak saldırılardan korunmak için uygun güvenlik önlemleri alınacaktır.

15. Elektronik ortamda oluşan tüm güvenlik ihlalleri, “Avşa Danışmanlık ” BGYS Yöneticisine bildirilmek zorundadır. Bilgi Güvenlik Yöneticisi, bu güvenlik ihlallerinin gelecekte tekrar oluşmaması ve kısa zamanda çözümlenmesi için gerekli tedbirleri alacaktır.

16. İş Sürekliliğinin sağlanması için gerekli önlemler alınacaktır.

17. Bilgi Güvenlik Kurulu tarafından şirket çalışanları için uygun Güvenlik Bilinçlendirme eğitimleri planlanacak ve uygulatılacaktır.

18. Şirket bilgileri, sadece yönetimin onayladığı amaç için kullanılacaktır.

19. İş kritik bölgeler için uygun ve detaylı prosedürler uygulamaya konulacaktır.

20. Fiziksel Güvenliğe önem verilecektir. Bu nedenle, giriş çıkış kapıları, ofis odaları ve ürün teslim alma/verme alanları (depolar, giriş kapıları vb) güvenli konuma getirilecek ve ilgili prosedürler oluşturulacaktır.

21. Bilgi Güvenlik Politika ve Prosedürleri, özel durumlar haricinde her yıl gözden geçirilecektir.

22. Şirket içinde beklenmedik güvenlik olaylarını yönetmek için BGYS Kurulu gerektiğinde “Güvenlik Kriz Masası” oluşturacaktır.

23. Şirket çalışanları, güvenlik giriş kartlarını görünecek şekilde üzerlerinde taşıyacaklardır.

24. Şirkete ait gizli bilgilerin umuma açık mekanlarda tartışılması, kimliği doğrulanamayan şüpheli kişilere verilmesi ve aktarılması yasaktır.

25. Toplantılar sona erdiğinde kullanılan yazı tahtası temizlenecek, ilgili belge ve not kağıtları masadan kaldırılacaktır. Toplantı odalarına Avşa Danışmanlık personeli harici kişilerin Avşa Danışmanlık personeli refakati olmaksızın girmemesi sağlanacaktır. Kurallar açıkça görünür şekilde yayınlanacaktır.

26. Çalışanların gizli bilgi, dosya ve kağıtları açıkta bırakmaları yasaktır.

27. Bilgisayar sistemlerinin Güvenlik Denetimi her yıl ISO27001 standartlarına uygun olarak yapılacaktır.

28. Tüm Bilgi Kritik sistemler için, Avşa Danışmanlık Bilgi Güvenlik Yöneticisinin tayin ettiği ekip veya şirket dışı kaynaklar tarafından uygun İş Etki Analizi ve Risk Değerlendirmesi gerçekleştirilecektir.

29. Avşa Danışmanlık Bilgi Güvenlik Kurulu, Risk Değerlendirmesi yapılan varlıklara ait gerçekleştirilecek gerekli güvenlik önlemlerini seçerek, bunların planlanmasını ve uygulanmasını sağlayacaktır.

30. Hiçbir Avşa Danışmanlık çalışanı, T.C. Devletinin kabul ettiği bilgi güvenliği ile ilgili ulusal ve uluslararası kanunların dışındaki bir aktivitede bulunamaz.



D. Yaptırım

Kurumsal Bilgi Güvenlik Politikalarının ihlali durumunda, Bilgi Güvenlik Kurulu ve ilgili yöneticinin onaylarıyla Bilgi Güvenlik Politika Yaptırımları Dokümanında belirtilen kanunlar ve ilgili maddeleri esas alınarak işlem yapılır.