Bilgi Güvenliği
1. AMAÇ VE KAPSAM
Bu politikanın amacı, Figopara’nın stratejik yönü ile uyumlu bilgi güvenliği politikasının oluşturulması ve temel bilgi güvenliği prensiplerinin tanımlamasıdır. BGYS’nin kurulması, işletilmesi, sürdürülmesi ve sürekli iyileştirilmesi için yönetimin yönlendirmesi, iç ve dış tarafların her türlü bilgi güvenliği yönetim sistemi gereksinimlerine ilişkin Figopara’nin bilgi güvenliği yaklaşımını ve hedeflerini tanımlamak, tüm çalışanlara ve ilgili taraflara bu hedefleri bildirmektir. Bu politikanın gereklilikleri, elektronik veya basılı formlardaki BGYS ile ilgili tüm politikalara, prosedürlere, formlara, kayıtlara vb. dokümanlara uygulanır. Bu politika tüm Figopara çalışanları ile kurumun bilgi varlıklarını kapsamaktadır ve tüm Figopara çalışanları, bu politikaya uymakla yükümlüdür.
2. TANIMLAR VE KISALTMALAR
BGYS: Bilgi Güvenliği Yönetim Sistemi
EYS Ekibi: EYS ekibi yönetimi temsil eden, Entegre Yönetim sistemi kapsamında yer alan BGYS'nin başarılı biçimde sürdürülebilmesi için sorumluluğu üstlenen ve gözetimini sağlayan organizasyondur.
İç Denetçisi: EYS'nin uygulanmasından ve işletiminden bağımsız, EYS kapsamındaki Yönetim Sistemlerinin denetimini yerine getirebilecek deneyim, eğitim ve sertifikasyonlara sahip kişi olup; iç denetimi gerçekleştiren kişidir. İç denetçi şirket personeli olabileceği gibi şirket dışından da sağlanabilir.
3. ROLLER VE SORUMLULUKLAR
Üst Yönetim
Bilgi Güvenliği Politikasının kurum ihtiyaçlarını karşılar nitelikte bulunmasından, uygulanması için gerekli destek ve gözetimin sağlanmasından, politikanın en az yılda bir kez veya şirket politikasında değişiklik gerektirebilecek durumlarda gözden geçirilmesinden sorumludur. Üst yönetimi temsilen bu görevi Yönetim Temsilcisi yapar ve Genel Müdür’e onaylatır.
Yönetim Temsilcisi
Bilgi Güvenliği Yönetim sisteminin kurulmasından işletilmesi ve yönetilmesine dek her aşamada üst yönetime karşı sorumluluk üstlenen kişidir.
EYS Ekibi
Şirket’in in üst yönetimi tarafından görevlendirilen EYS ekibi, Bilgi Güvenliği Politikasının Şirket ihtiyaçlarını karşılar nitelikte bulunmasından, uygulanması için gerekli destek ve gözetimin sağlanmasından, politikanın en az yılda bir kez veya kurum politikasında değişiklik gerektirebilecek durumlarda gözden geçirilmesinden sorumludur.
Tüm Personel
Bilgi Güvenliği Politikasının gereklerinin görev alanlarının gerektirdiği biçimde yerine getirilmesinden sorumludur.
4. ÜST YÖNETİM TAAHHÜDÜ
Figopara Üst Yönetimi, BGYS sürecinde kurumun hedef ve politikalarını gerçekleştirmek için ISO/IEC 27001’de yer alan tüm gereksinimlerin yerine getirilecek şekilde kurulmasını ve işletilmesini taahhüt eder. Figopara Üst Yönetimi, yayımlanmış ve uygulanmakta olan Bilgi Güvenliği Yönetim Sistemine uyacağını ve sistemin verimli şekilde çalışması için gerekli olan kaynakları ve gerekli altyapı yatırımlarını tahsis edeceğini, sürecin etkinliğini sürekli iyileştireceğini ve bunun tüm çalışanlar tarafından anlaşılmasını sağlayacağını taahhüt eder.
5. POLİTİKA
Figopara, verilerinin ve sistemlerinin yeterince korunması ve bilgi teknolojilerinin işleyişiyle ilişkili her türlü güvenlik riskinin yönetilmesi için yasal ve ticari sorumluluklara sahiptir. Figopara, bilgi ve iletişim sistemlerinin gizliliğini, bütünlüğünü ve erişilebilirliğini garanti altına almak, güvenlik risklerini yönetmek, operasyonel ve finansal verilerini korumak için ISO 27001 Standardına uygun bir Bilgi Güvenliği Yönetim Sistemi (BGYS) uygulamayı hedefler. ISO 27001 Bilgi Güvenliği Yönetim Sistemi gerekliliklerine uygun olarak, risk bazlı düşünme yaklaşımı ile gerçekleştirdiğimiz ve sürekli iyileştirdiğimiz süreçlerimiz sayesinde, sunduğumuz ürün ve hizmetlerin müşterilerimizin ihtiyaç ve beklentilerini karşılanmasını, çalışanlarımız, müşterilerimizin, tedarikçilerimizin ve iş ortaklarımızın bilgilerinin gerekli şekilde korunmasını taahhüt edip güvence altına almaktayız.
Figopara tarafından onaylanmış olan bu Bilgi Güvenliği Politikasının amacı;
- İçeriden veya dışarıdan, bilerek ya da bilmeyerek meydana gelebilecek her türlü tehdide karşı kuruluşun bilgi varlıklarını korumak,
- Bilginin gizliliğini ve bütünlüğünü bozmaya çalışacak yetkisiz kişilerin erişimine karşı korumak,
- Bilgiye erişilebilirliği iş süreçleriyle gerektiği şekilde sağlamak,
- Yasal mevzuat gereksinimlerini karşılamak,
- İş süreklilik planları hazırlamak, sürdürmek ve test etmek,
- Tüm çalışanların bilgi güvenliği eğitimlerine katılımını ve BGYS farkındalığını sağlamak,
- Bilgi Güvenliği Yönetim Sisteminin etkin bir şekilde yönetilmesini sağlamak amacıyla risk analizi çalışmalarını yapmak,
- Bilgi güvenliği risklerini yönetmek için riskleri değerlendirme, risk analizi ve risk işleme çalışmaları gerçekleştirmek, gerekli tedbirleri geliştirmek ve olası riskleri önlemek için çalışmalar yapmak,
- Bilgi güvenliğindeki gerçekte var olan veya şüphe uyandıran tüm açıkları, Bilgi Güvenliği Yöneticisine rapor etmek ve Bilgi Güvenliği Yöneticisi tarafından soruşturulmasını sağlamak,
- Bilgiye erişilebilirlik ve bilgi sistemleri için iş gereksinimlerini karşılamak,
- Kapsamda yer alan süreçleri Bilgi Güvenliği Yönetim Sistemi’ne uygun hale getirmek,
- Bilgi güvenliği yönetim sistemimizin amaçlanan sonuçları yerine getirme başarısını periyodik olarak gözden geçirmek, gerekli iyileştirmelerin zamanında hayata geçirilmesini güvence altına almaktır.
Şirket bünyesindeki BGYS kapsamında yayımlanan tüm dokümanlar, Bilgi Güvenliği Politikasını destekler. Yönetim Temsilcisi bu politikanın sürdürülmesinden ve politikanın gerçekleştirilmesi konusunda tavsiyelerde bulunmaktan, yol göstermekten doğrudan sorumludur ve yetkili otoritedir.
6. İLGİLİ DOKÜMANLAR
6.1 Dahili Dokümanlar
1. Kapsam Analizi Dokümanı
6.2 Harici Dokümanlar
1. ISO / TS ISO/IEC 27001:2022 Bilgi Teknolojisi - Güvenlik Teknikleri - Bilgi Güvenliği Yönetim Sistemleri - Gereksinimler
7. DAĞITIM
Bu dokuman elektronik ortamda tüm çalışanlarla paylaşılmaktadır.
8. YAPTIRIM
Bu dokumana aykırı davranılması durumunda Disiplin Prosedürü dikkate alınarak işlem yapılacaktır.