ARTI365 stratejik yönü ile uyumlu, Bilgi güvenliği politikasının oluşturulması ve temel bilgi güvenliği prensiplerinin tanımlaması amaçlanmaktadır.

KAPSAM

Bilgi Güvenliği Politikasının kapsamı; ART-DD-01 BGYS Bağlam, İlgili Taraflar ve Beklentileri, Kapsam Ve Sınırlar dokümanında tanımlanmış olan organizasyon ve bilgi değerleridir.

SORUMLULUKLAR

  • Üst Yönetim 
    Bilgi Güvenliği Politikası ‘nın kurum ihtiyaçlarını karşılar nitelikte bulunmasından, uygulanması için gerekli destek ve gözetimin sağlanmasından, politikanın en az yılda bir kez veya kurum politikasında değişiklik gerektirebilecek durumlarda gözden geçirilmesinden sorumludur. Üst yönetimi temsilen bu görevi BGYS temsilcisi yapar Yönetim Kurulu Başkanı’na tasdik ettirir.
  • BGYS Temsilcisi 
    Bilgi Güvenliği Yönetim sisteminin kurulmasından işletilmesi ve yönetilmesine dek her aşamada üst yönetime karşı sorumluluk üstlenen makam / kişidir.
  • BGYS Ekibi 
    ARTI365’in Üst yönetimi tarafından görevlendirilen BGYS ekibi, Bilgi Güvenliği Politikasının kurum ihtiyaçlarını karşılar nitelikte bulunmasından, uygulanması için gerekli destek ve gözetimin sağlanmasından, politikanın en az yılda bir kez veya kurum politikasında değişiklik gerektirebilecek durumlarda gözden geçirilmesinden sorumludur.
  • Tüm Personel
    Bilgi Güvenliği Politikasının gereklerinin görev alanlarının gerektirdiği biçimde yerine getirilmesinden sorumludur.

TANIMLAR

  • BGYS: Bilgi Güvenliği Yönetim Sistemi
  • BGYS Ekibi: BGYS ekibi yönetimi temsil eden, BGYS ‘nin başarılı biçimde sürdürülebilmesi için sorumluluğu üstlenen ve gözetimini sağlayan organizasyondur.
  • BGYS İç Denetçisi: BGYS’nin uygulanmasından ve işletiminden bağımsız, BGYS denetimini yerine getirebilecek deneyim, eğitim ve sertifikasyonlara sahip kişi olup BGYS’nin iç denetimini gerçekleştiren kişidir. İç denetçi kurum personeli olabileceği gibi kurum dışından da sağlanabilir.

UYGULAMA

Yönetim Desteği

Üst yönetim, BGYS ekibi çatısı altında gerçekleştirdiği faaliyetler, BGYS Temsicisi ve BGYS İç Denetçi personel atamaları, BGYS yatırım, masraf ve eğitim bütçeleri, yönetim gözden geçirme aktiviteleri ile fiili olarak BGYS’yi destekler.

Üst yönetim, BGYS politika ve prosedürlerine uyarak ve uyulmasını teşvik ederek BGYS hedeflerine ulaşmak için liderlik eder.

Üst yönetim, bilgi güvenliği risklerinin yönetiminin kurumun itibarı ve faaliyetlerin sürekliliği açısından önemini yönetsel faaliyetleri uygulayarak ve kurumsal politikalar aracılığı ile ifade eder. Yılda en az bir kez riskleri değerlendirir ve Bilgi Güvenliği Politikasını gözden geçirerek sistemin sürekliliğini, sürdürülebilirliğini temin eder.

 

Bilgi Güvenliği Politikası

* Bilgi Güvenliği Yönetim Sistemi (BGYS) ARTI365’in kurumsal süreçlerinin ve genel yönetim yapısının bir parçasıdır. Bilgi güvenliği süreçleri, bilgi sistemlerinin ve kontrollerin tasarımında dikkate alınmış ve ARTI365’in ihtiyaçları doğrultusunda ölçeklenmiştir.

* ARTI365, uygulamakta olduğu BGYS kapsamına uygun olarak ISO 27001:2013 standardını incelemiştir. Bu standart, iç ve dış paydaşlara ARTI365’in kendi bilgi güvenliği gereksinimlerini karşılayabilme kabiliyetini göstermek amacıyla da kullanılabilir.

* Kurumsal Bilgi Güvenliği Politikası, ARTI365’in kurumsal iş hedefleri ile uyumlu ve onları destekler şekilde iş gereksinimlerine dayanan ve ilgili yasalara ve standartlara göre düzenlenen gereksinimler, tanımlar, kurallar, uygulamalar, sorumluluklar ve iş akışlarını ifade eder. Bu politika, ARTI365’de bilgi güvenliği ile ilgili tüm faaliyetlere kılavuzluk etmeyi ve alt belgelerin de desteği ile bilgi güvenliği süreçlerini ve kontrollerini ortaya koymayı amaçlamaktadır.

* Bu amaçla oluşturulan bilgi güvenliği politikası aşağıdaki temel gereksinimleri sağlayacaktır:

* İş stratejisi ve kurumsal hedefleri desteklemek

* Yasalara, standartlara ve sözleşmelere uyum sağlamak

* BGYS’yi ISO 27001:2013 standardının gereklerini yerine getirecek şekilde dokümante etmek, belgelendirmek, kurumsal kültür haline getirmek ve sürekli iyileştirmek

* Müşteri ve iş ortağı bilgilerinin gizlilik, bütünlük ve erişilebilirliğini sağlayarak güvenli bir çalışma yöntemi sağlamak

* Mevcut ve öngörülen bilgi güvenliği süreçlerini, risklerini ve tehdit ortamını yönetmek

* Gerçekleşebilecek bilgi güvenliği olaylarına hızla müdahale edebilecek ve olayın etkisini minimize edecek yetkinliğe sahip olmak

* Bilgi güvenliği yönetim sistemi kapsamı dâhilindeki bilginin gizlilik, bütünlük ve erişilebilirlik kayıpları ile ilgili risklerin tespit edilmesi için bilgi güvenliği risk değerlendirme sürecinin uygulanmasını sağlamak, risk sahiplerinin belirlemek

* Bilgi güvenliği yönetim sistemi kapsamı dâhilindeki bilginin gizlilik, bütünlük, erişilebilirlik etkilerini değerlendirmeye yönelik bir çerçeveyi tanımlamak

* Hizmet verilen kapsam bağlamında teknolojik beklentileri gözden geçirerek riskleri sürekli takip etmek

* Maliyet etkin bir kontrol altyapısı ile bilgi güvenliği seviyesini zaman içinde korumak ve iyileştirmek.

* Kurum itibarını geliştirmek, bilgi güvenliği temelli olumsuz etkilerden korumak.

* Bilgi varlıkları başta olmak üzere ARTI365’e ait BGYS kapsamındaki tüm varlıkların gizlilik, bütünlük ve erişilebilirlik değerlerini kabul edilebilir seviyenin üstünde tutmak

* BGYS ile ARTI365 çalışanlarının ve paydaşlarının bilgi güvenliği farkındalığını yaratmak ve herkesi Bilgi Güvenliği Politikası ve BGYS uygulamaları hakkında bilgilendirmek

* BGYS sayesinde ARTI365 iş süreçlerinde bilgi güvenliğini sağlamak, verilen hizmetlerin kalitesini ve süreçlerin verimliliğini artırmak

ARTI365’in bilgi güvenliği kapsamında gizlilik açısından farklı seviyelerde hassasiyete sahip bilgiler hakkında kurumsal farkındalığı artırmak, farklı hassasiyet seviyelerine sahip bilgiler için uygulanması önerilen mantıksal, fiziksel ve idari kontrolleri belirlemek ve uygulamak; taşınabilir ortamlarda bulunan verilerin saklanma ve imha kurallarını tanımlamak amaçlı bilgi sınıflandırma kılavuzu oluşturulmuştur.

ARTI365 Üst Yönetimi, Bilgi Güvenliği ile ilgili uygulamaların gerçekleşmesini, gözden geçirilmesini ve sürekli iyileştirilmesini taahhüt eder.