Doküman No: 121.4
Yayın Tarihi: 20.06.2023
LOTUS çalışanları rol ve sorumlulukları kurum içi görev tanımlarında tanımlanmıştır. Bilgi güvenliği kapsamı bu dokümanda tarif edilmiştir. Dolayısıyla aşağıda yazılan politikalar, kapsam bölümünde belirtilen faaliyetler, yerleşimler ve varlıkları kapsar. Kuruluşumuzun tabi olduğu mevzuat, yasal yükümlülükler, müşteri sözleşmeleri Bilgi Güvenliği Yönetim Sistemimizin temel girdilerini oluşturur.
- Tüm bilgi varlıkları ve diğer varlıklar tanımlanmış olmalıdır. Tanımlanmamış bir varlık söz konusu ise hemen Yönetim Sistemleri Temsilcisine haber verilmelidir.
- Kullanılan veya üretilen tüm bilgiler bilgi sınıflandırma kriterlerine göre (Varlık Envanter Yönetim Kılavuzu) sınıflandırılmış olmalıdır. Sınıflandırılmamış bir bilgi söz konusu ise hemen Yönetim Sistemleri Temsilcisine haber verilmelidir.
- Üretilen ve/veya kullanılan bilgilerin gizliliği, bilgi sınıflandırma kriterleri göz önünde (Varlık Envanter Yönetim Kılavuzu) bulundurularak her durumda güvence altına alınmalıdır.
- Bilgi güvenliğini sürdürülebilir hale getirmek amacıyla tüm varlıkları kapsayacak şekilde BG Risk Yönetim Sistemi uygulanmalı ve devamında alınan kararlar (risk izleme, risk azaltma, risk transfer, risk kaçınma, risk kabul) kesin bir şekilde uygulanmalıdır.
- Altyapı, organizasyon veya süreçlerde yaşanan ve Bilgi Güvenliği risklerini etkileyen her türlü değişiklikler izlenmeli ve gerekli risk gözden geçirme faaliyetleri yapılmalıdır.
- Bilgilere erişim ve erişilen bilgilerle ile yapılabilecek faaliyetler erişim yönetimi başlığı altındaki dokümanlarda tarif edilmiştir. Tüm çalışanların burada belirtilen prensiplere uygun olarak çalışması zorunludur.
- Kritik iş süreçlerini büyük felaketlerin ve işletim hatalarının etkilerinden korumak amacıyla iş sürekliliği yönetimi uygulanacaktır. Personelin bilgi güvenliği farkındalığını artıracak ve sistemin işleyişine katkıda bulunmasını teşvik edecek eğitimler düzenli olarak kurum çalışanlarına ve yeni işe giren çalışanlara sağlanacaktır.
- Bilgi güvenliğinin gerçek ya da şüpheli tüm ihlalleri rapor edilmelidir. İhlallere sebep olan uygunsuzluklar tespit edilmeli ve gerekli düzetme ve düzeltici faaliyetler uygulanmalıdır.
- Çalışma alanlarında, “Temiz Ekran/Temiz Masa Politikası” na uygun olarak, tasnif dışı özellikteki bilgiler dışında bilgilerin, başkalarınca görülmesine imkan verilmeyecek şekilde önlemler alınmalıdır.
- LOTUS çalışanları kullandıkları tüm bilgi sistemlerinde şifreleme ile ilgili kurallara uygun hareket etmelidir.
- Ağ ve internet sistemleri Ağ ve Internet sistemleri kullanım dokümanlarına uygun şekilde kullanılmalıdır.
- Üçüncü taraflarla (yüklenici, tedarikçi, müşteri, vb.) çalışılırken ilgili kurallar çerçevesinde bilgi güvenliğine özen gösterilmelidir.
- Proje yönetiminde proje çeşidine bakılmaksızın bilgi güvenliğine özen gösterilmelidir.
- Otoriteler ve özel ilgi grupları ile iletişim kurulurken ilgili kurallar çerçevesinde bilgi güvenliğine özen gösterilmelidir.
- Bilgi işleme varlıkları bilgi güvenliğini en üst seviyede sağlayacak şekilde kullanılmalı ve uygunsuzluk durumunda ilgililer ile temasa geçilmelidir.
- Tüm BGYS Standardın gerekliliklerine uygun olarak oluşturulur, sürdürülür, izlenir ve gerektiğinde tedbirler alınır.
Ceyhun ZİNCİRKIRAN
Yönetim Kurulu Başkanı