BGYS Politikası – ÖtügenBilişim

Kurumsal

1- AMAÇ
ENS ’nin stratejik yönü ile uyumlu, Bilgi güvenliği politikasının oluşturulması ve temel bilgi güvenliği prensiplerinin tanımlaması amaçlanmaktadır.
2- KAPSAM
Bilgi Güvenliği Politikasının kapsamı; Kapsam ve Sınırlar dokümanında tanımlanmış olan organizasyon ve bilgi değerleridir.
3- SORUMLULUKLAR
Üst Yönetim
Bilgi Güvenliği Politikası ‘nın kurum ihtiyaçlarını karşılar nitelikte bulunmasından, uygulanması için gerekli destek ve gözetimin sağlanmasından, politikanın en az yılda bir kez veya kurum politikasında değişiklik gerektirebilecek durumlarda gözden geçirilmesinden sorumludur. Üst yönetimi temsilen bu görevi BGYS koordinatörü yapar Yönetim Kurulu Başkanına tasdik ettirir.
BGYS Temsilcisi
Bilgi Güvenliği Yönetim sisteminin kurulmasından işletilmesi ve yönetilmesine dek her aşamada üst yönetime karşı sorumluluk üstlenen makam / kişidir.
BGYS Ekibi
ENS’nin Üst yönetimi tarafından görevlendirilen BGYS ekibi, Bilgi Güvenliği Politikasının kurum ihtiyaçlarını karşılar nitelikte bulunmasından, uygulanması için gerekli destek ve gözetimin sağlanmasından, politikanın en az yılda bir kez veya kurum politikasında değişiklik gerektirebilecek durumlarda gözden geçirilmesinden sorumludur.
Tüm Personel
Bilgi Güvenliği Politikasının gereklerinin görev alanlarının gerektirdiği biçimde yerine getirilmesinden sorumludur.
TANIMLAR
BGYS: Bilgi Güvenliği Yönetim Sistemi
BGYS Ekibi: BGYS ekibi yönetimi temsil eden, BGYS ‘nin başarılı biçimde sürdürülebilmesi için sorumluluğu üstlenen ve gözetimini sağlayan organizasyondur.
BGYS İç Denetçisi: BGYS’nin uygulanmasından ve işletiminden bağımsız, BGYS denetimini yerine getirebilecek deneyim, eğitim ve sertifikasyonlara sahip kişi olup BGYS’nin iç denetimini gerçekleştiren kişidir. İç denetçi kurum personeli olabileceği gibi kurum dışından da sağlanabilir
UYGULAMA
Yönetim Desteği
Üst yönetim, BGYS ekibi çatısı altında gerçekleştirdiği faaliyetler, BGYS Temsicisi ve BGYS İç Denetçi personel atamaları, BGYS yatırım, masraf ve eğitim bütçeleri, yönetim gözden geçirme aktiviteleri ile fiili olarak BGYS’yi destekler.
Üst yönetim, BGYS politika ve prosedürlerine uyarak ve uyulmasını teşvik ederek BGYS hedeflerine ulaşmak için liderlik eder.
Üst yönetim, bilgi güvenliği risklerinin yönetiminin kurumun itibarı ve faaliyetlerin sürekliliği açısından önemini yönetsel faaliyetleri uygulayarak ve kurumsal politikalar aracılığı ile ifade eder.
Yılda en az bir kez riskleri değerlendirir ve Bilgi Güvenliği Politikasını gözden geçirerek sistemin sürekliliğini, sürdürülebilirliğini temin eder.

Bilgi Güvenliği Politikası (WEB)
• Risk kabul kriterlerini ve riskleri belirlemek, kontrolleri geliştirmek ve uygulamak.
• BGYS kapsamı ve sınırları içinde hizmet verdiğimiz tüm bilgi teknolojileri sistemlerinde işlenen her türlü gizli / ticari / özel bilginin, hizmet verdiğimiz kurum / kuruluşun müşterisinin mahremiyeti olduğunu kabul ederek, bu bilginin herhangi bir yerde / kişi / kurum / kuruluşta müşterinin bilgisi / onayı olmaksızın Gizlilik / Bütünlük / Erişilebilirlik şartlarına bağlı kalarak elde edilemezliği sağlanacaktır.
• BGYS kapsam ve sınırları içinde kalmak koşulu ile BGYS politikası, yasal ve düzenleyici gereksinimlere uyacak, sözleşmelerden doğan veya üçüncü şahısların yükümlülüklerini veya bağımlılıkları dikkate alacaktır.
• Kurum / kuruluşlarda var olan Saha Hizmetleri, Bakım-Onarım servislerinin sürekli çalışır durumda olması için gerekli işletim ve teknik destek hizmetleri BGYS kapsam ve sınırları içinde verilecektir.
• Bilgi güvenliği yönetim sistemi kapsamı dâhilindeki bilginin gizlilik, bütünlük, erişilebilirlik etkilerini değerlendirmeye yönelik bir çerçeveyi tanımlamak.
• Hizmet verilen kapsam bağlamında teknolojik beklentileri gözden geçirerek riskleri sürekli takip etmek
• Tabi olduğu ulusal veya sektörel düzenlemelerden, yasal ve ilgili mevzuat gereklerini yerine getirmekten, anlaşmalardan doğan yükümlülüklerini karşılamaktan, iç ve dış paydaşlara yönelik kurumsal sorumluluklarından kaynaklanan bilgi güvenliği gereksinimlerini sağlamak.
• Hizmet sürekliliğine yönelik bilgi güvenliği tehditlerinin etkisini azaltmak ve sürekliliğe katkıda bulunmak
• Gerçekleşebilecek bilgi güvenliği olaylarına hızla müdahale edebilecek ve olayın etkisini minimize edecek yetkinliğe sahip olmak
• Maliyet etkin bir kontrol altyapısı ile bilgi güvenliği seviyesini zaman içinde korumak ve iyileştirmek.
• Kurum itibarını geliştirmek, bilgi güvenliği temelli olumsuz etkilerden korumak.
ENS Bilişim Teknolojileri’nin bilgi güvenliği kapsamında gizlilik açısından farklı seviyelerde hassasiyete sahip bilgiler hakkında kurumsal farkındalığı artırmak, farklı hassasiyet seviyelerine sahip bilgiler için uygulanması önerilen mantıksal, fiziksel ve idari kontrolleri belirlemek ve uygulamak; taşınabilir ortamlarda bulunan verilerin saklanma ve imha kurallarını tanımlamak amaçlı bilgi sınıflandırma kılavuzu oluşturulmuştur.
ENS Bilişim Teknolojileri Üst Yönetim, Bilgi Güvenliği ile ilgili uygulamaların gerçekleşmesini, gözden geçirilmesini ve sürekli iyileştirilmesini taahhüt eder.