NUH HATTAT YAZILIM SANAYİ VE TİCARET ANONİM ŞİRKETİ
|
BİLGİ GÜVENLİĞİ POLİTİKASI |
Doküman No: PL.15 |
Yayın Tarihi: 12.01.2024 | ||
Revizyon No :00 | ||
Revizyon Tarihi: |
1. AMAÇ VE KAPSAM
Bu politika, Şirket bünyesindeki bilgi sistemlerinin ve verilerin gizlilik, bütünlük ve erişilebilirliğini sağlayacak önlemlere ilişkin kontrol altyapısının geliştirilmesi ve düzenli olarak güncellenmesi çalışmalarını gözetim altında tutmayı amaçlar. Bilgi, işle ilgili diğer önemli varlıklar gibi bir kuruluşun faaliyetleri açısından gerekli olan ve bunun neticesinde de uygun bir şekilde korunması gereken bir varlıktır. Bilgi varlıklarının güvenliği Şirket tarafından tanımlanmış politikalar doğrultusunda sağlanır. Bilgi güvenliğinin amacı; bilgiye yetkisiz erişimin engellenmesi (Gizlilik), bilginin ve bilgi varlıklarının tam ve eksiksiz olması, doğru olması ve uygunsuz biçimde değiştirilmemesi (Bütünlük) ve yetkili kullanıcıların ihtiyaç duydukları veriye ihtiyaç duydukları zaman erişebilmesinin (Erişilebilirlik) sağlanmasıdır. Bilgi Güvenliği Politikası Şirket’in tüm birimlerine ve hizmet sağlayıcılarına uygulanır. Şirket’in Bilgi Güvenliği Yönetim Süreci’nin hedefi Şirket tarafından üretilen, işlenen, saklanan bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak amacıyla bilgi varlıkları envanterini çıkarmak, risk değerlendirmesi yapmak, kontrolleri hayata geçirmek ve uygulanan kontrollerin etkinliklerini gözden geçirmektir.
2. TANIMLAR VE KISALTMALAR
Hassas ödeme verisi: Kullanıcıların sistemler üzerinde kimliklerini kanıtlamak amacı ile kullandıkları parola, PIN, şifreleme anahtarı, kart numarası, kişisel sertifika, akıllı kart, biometrik bilgi vb. yüksek seviyede gizli sınıfındaki verilerini,
Bilgi Güvenliği ve Risk Birimi: Bilgi sistemlerinin yönetimine ve bilgi güvenliğinin sağlanmasına ilişkin politikaların, prosedürlerin ve süreçlerin tesis edilmesi, bilgi teknolojilerinin kullanılmasından kaynaklanan risklerin etkin biçimde yönetilmesi amacıyla oluşturulan komiteyi temsil eder.
BSU: Bilgi Sistemleri Uzmanı.
3. İLGİLİ ÇERÇEVE VE STANDARTLAR
Standart |
Konu Başlığı |
ELEKTRONİK DEFTER GENEL TEBLİĞİ |
Madde 5 – Bilgi güvenliği yönetim süreci |
4. BİLGİ SİSTEMLERİ YÖNETİMİNE İLİŞKİN TEMEL İLKELER
-
Bilgi sistemlerinin yapısının, Şirket’in ölçeği, faaliyetlerin ve sunulan ürünlerin niteliği, çeşitliliği ve stratejik hedefleri ile uyumlu olması; bilgi sistemleri ile içerdiği verinin güvenilir, doğru, eksiksiz, izlenebilir, tutarlı, erişilebilir ve ihtiyaçları karşılayacak nitelikte oluşturulması esastır. Bilgi sistemleri asgari olarak;
-
Şirket’le ilgili tüm bilgilerin yurt içinde elektronik ortamda güvenli ve istenildiği an erişime imkân sağlayacak şekilde saklanılmasına veya yedeklenmesine ve kullanılmasına,
-
Sızma ve stres testi yapılabilmesine,
-
Muhasebe kayıtlarının Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurulu tarafından belirlenen usul ve esaslara uygun şekilde muhasebeleştirilmesine,
İmkân verecek yapıda tesis edilir.
-
Bilgi sistemlerinin sürekli biçimde işlerliğini sağlamak üzere iş sürekliliği planı oluşturulur. Söz konusu planın işlerliği ve yeterliliği düzenli olarak test edilir; ihtiyaç duyulması halinde gerekli tedbirler alınır. İş sürekliliğinin planlanmasında, kritik bilgi teknolojileri varlıkları ile süreçleri belirlenir; bunlara ilişkin iş etki analizi ile risk değerlendirmesi yapılır.
-
Bilgi sistemleri ile içerdiği verinin güvenli biçimde saklanması esastır. Bu çerçevede, veriler, güvenlik hassasiyet derecelerine göre sınıflandırılır, her bir sınıf için uygun düzeyde güvenlik kontrolleri tesis edilir ve buna göre yedeklenir. Bilgi sistemlerinin güvenliği ve yedekleme sistemlerinin işleyişi düzenli olarak test edilir ve test sonuçlarına göre ihtiyaç duyulması halinde gerekli değişiklikler yapılır.
-
Bilgi güvenliğinin temininde ve Şirket’in bilgi sistemlerine erişimde, kimlik doğrulama ve yetkilendirme mekanizmaları ile inkâr edilemezlik ve sorumluluk atama imkânlarını içeren teknikler kullanılır.
-
Bilgi sistemlerinin geliştirilmesi, test edilmesi ve işletilmesi süreçlerinde görevler ayrılığı ilkesi uygulanır. Bilgi sistemleri yönetim sürecinde görev alan bölüm ve çalışanların görev, yetki ve sorumlulukları yazılı olarak belirlenir. Görevler ayrılığı ilkesine uygunluk düzenli olarak test edilir; sonuçları İç Kontrol ve Risk Birimi’ne raporlanır.
-
Faaliyetlerin yürütülmesi sırasında bilgi sistemleri aracılığıyla edinilen ve saklanan müşteri ve Şirket bilgilerinin gizliliğini sağlamak esastır. Müşteri bilgilerinin, yasalarla yetkili kılınmış merciler dışındaki taraflarla paylaşımına ilişkin uygulama esasları yazılı olarak belirlenir.
-
Bilgi sistemleri kullanılarak gerçekleştirilen ve şirket faaliyetlerine ait kayıtlarda değişikliğe neden olan işlemlere ilişkin olarak yeterli detayda ve açıklıkta denetim izleri oluşturulur. Denetim izlerinin bütünlüğünün bozulmasının önlenmesi ve herhangi bir bozulma durumunda bunun tespit edilebilmesi için gerekli tedbirler alınır.
-
Bilgi sistemleri yönetimi kapsamında alınacak Dış hizmetlerine ilişkin risk analizi yapılır.
-
Uygulamaya konulan bilgi sistemlerinin işleyişi, stratejik hedeflere uygunluğu, kontrollerin etkinliği ve yeterliliği, bilgi teknolojilerindeki gelişmeler de göz önüne alınarak düzenli olarak izlenir. Yeni bilgi sistemlerinin Şirket’te uygulanmasının, Şirket’in risk profili üzerinde yaratacağı etki değerlendirilir. Bu çerçevede, gerek duyulması halinde, bilgi sistemleri işleyişi revize edilir.
-
BİLGİ GÜVENLİĞİ POLİTİKASI
Şirket Bilgi Güvenliği Politikası ile
-
Kişisel bilginin mahremiyetinin korunmasını sağlamak amacıyla müşteri ve personel bilgilerinin gizliliğini korur.
-
Bilginin bütünlüğünü koruyacak ve sürekli erişilebilirliğini garanti altına alacak altyapıyı ve kontrolleri hayata geçirir.
-
Tasarım, geliştirme, test ve uygulama süreçlerinde görevler ayrılığı prensibine uygun yetkilendirmeyi sağlar ve kritik işlemlerde onay mekanizması tesis eder.
-
Geliştirme, Test ve Üretim ortamlarının fiziksel ve mantıksal olarak ayrılmasını sağlar.
-
Kullanıcıların yetkilendirilmesinde gerekli olan minimum yetkilendirme prensibinin sağlanması ve yetkilerin düzenli olarak kontrol edilmesini sağlar.
-
Dış ağlardan gelebilecek tehditlere karşı ağ güvenliğini tesis eder.
-
Katmanlı güvenlik mimarisini tesis eder ve sürekli gözetimini sağlar.
-
Mobil uygulama ve internet sayfası aracılığıyla sunduğu hizmetlerde, servisin şirket tarafından sağlandığını doğrulayacak teknikler kullanır.
-
Hassas ödeme verilerinin ve kişisel bilgilerin iletilmesinde ve saklanmasında şifreleme, maskeleme gibi güvenliği sağlayacak tedbirlerin alınmasını sağlar.
-
Kullanılan şifreleme anahtarlarının güvenilirliğini sağlar.
-
Mobil cihazlar üzerinde çalışan uygulamalar tarafından kullanılan hassas ödeme verilerinin güvenliğinin sağlanmasını (hassas ödeme verilerinin diğer uygulamalar tarafından kullanılamaması, kayıp/çalıntı durumunda erişilemez olması) tesis eder.
-
Mobil cihazlar üzerinde çalışan uygulamaların güvenliğini sağlamaya önlemleri alır, gerekli güncellemeleri sağlar.
-
Bilgi güvenliği faaliyetlerinin yönetilmesini ve koordinasyonunu sağlamak amacıyla bir bilgi güvenliği organizasyonu oluşturur.
-
Bilgi varlıkları envanterini çıkarır, sahiplikleri belirler ve bilgi varlıkları üzerindeki riskleri yönetir.
-
Bilgi güvenliği olaylarının tespit edilmesi, raporlanması ve tekrarının önlenmesi adımlarını içeren bilgi güvenliği olay yönetimi faaliyetleri gerçekleştirir.
-
Tüm personele yeterli seviyede farkındalık programı uygular ve bilgi güvenliği gerekliliklerinin karşılanması için tüm çalışanların katılımını sağlar.
-
Bilginin işlendiği alanlarda bilginin güvenliğinin sağlanabilmesi amacıyla gerekli fiziksel ve çevresel güvenlik önlemlerini alır.
-
Bilgi sistemleri edinim, geliştirme ve bakımında güvenlik gerekliliklerinin neler olduğunu belirler ve hayata geçirir.
-
Belirlenen bilgi güvenliği politikalarına, süreçlerine, yasal ve düzenleyici zorunluluklara çalışanların uymalarını yazılı taahhütlerini alarak zorunlu tutar.
-
İş faaliyetlerindeki kesintileri önlemek ve bilgiye sürekli erişimi sağlamak için iş sürekliliği faaliyetleri gerçekleştirir.
-
Bilgiye erişimi kontrol etmek ve yetkisiz erişimleri önlemek için ilgili tüm alanlarda gerekli güvenlik kontrollerini hayata geçirir.
-
Bilgi sistemleri faaliyetlerinin işletilmesinde gerekli güvenlik kontrolleri uygular, buna yönelik rol ve sorumlulukları tanımlar.