POLİTİKALARIMIZ
BİLGİ GÜVENLİĞİ POLİTİKASI

BİLGİ GÜVENLİĞİ POLİTİKASI

1. AMAÇ ve KAPSAM

Bu politika, tüm DİAS Şirketler Grubu bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini korumak, yasal, düzenleyici gereksinimlere ve ISO 27001 gibi uluslararası standartlara uyum sağlamak ve bilgi güvenliği risklerini yönetmek için bir çerçeve oluşturmak amacıyla hazırlanmıştır.

Bu politika, DİAS Şirketler Grubu nezdinde mevcut tüm bilgi varlıklarını, süreçlerini, lokasyonlarını ve bunlarla ilişkili tarafları kapsar. DİAS Şirketler Grubu bünyesindeki tüm bağlı şirketler, çalışanlar, tedarikçiler, iş ortakları ve üçüncü taraf hizmet sağlayıcılar bu politika kapsamında değerlendirilir.

1.1. Yönetim Taahhüdü

BGYS kapsamında üst yönetim, bilgi güvenliği ve gizlilik konularında aşağıdaki sorumlulukları yerine getirmeyi taahhüt eder:

  • Bilgi güvenliği ve gizlilik konularında yasaların, standartların ve prosedürlerin öngördüğü şartların yerine getirilmesini sağlamak,
  • Bilgi Güvenliği Yönetim Sistemi'ni, TS ISO/IEC 27001:2022 standardı ve ilgili mevzuat çerçevesinde etkin bir şekilde kurmak ve yönetmek,
  • Bilgi güvenliği ve gizlilik ihlallerine ilişkin raporlamaların yapılabilmesi ve en kısa sürede aksiyonların alınması amacıyla, gerekli organizasyonel yapının, kaynakların ve altyapının oluşturulmasını sağlamak,
  • Bilgi varlıklarının saklanması, iletilmesi, değiştirilmesi, erişilmesi ve işlenmesi süreçlerinde gerekli güvenlik önlemlerini alınmasını ve izlenmesini sağlamak,
  • Görevler ayrılığı prensibi ile süreç içi kontrollerin kurulmuş olmasını sağlamak,
  • Bu politikayı tüm çalışanlara duyurmak ve politikanın uygulamaya konmasında gereken kaynağı ve eğitimi sağlamak,
  • Bilgi Güvenliği Yönetim Sistemine uyumu ve sürekli iyileştirmeyi gözetmek için iç kontrollerin gerçekleştirilmesini sağlamak ve bunların sonuçlarını Bilgi Güvenliği Komitesi ve Yönetimin Gözden Geçirme toplantılarında dikkate almak,
  • Tedarikçi ve alt yüklenicilerin Bilgi Güvenliği ve Gizlilik gerekliliklerine uyumunu değerlendirmek için uygun kontrol mekanizmaların kurulmasını sağlamak,
  • Güvenlik ve gizlilik ihlallerinde olay yönetimi süreçlerini yürütmek, inceleme yapılması ve ilgili prosedürlere uygun olarak düzeltici ve iyileştirici tedbirler ve risk tabanlı bir yaklaşım doğrultusunda hayata geçirilmesini sağlamak.
  • Bu politikanın ilgili taraflara erişilebilirliği sağlanır ve çalışanlara uygun iletişim kanalları aracılığıyla duyurulur.
  • Üst yönetim, bu politika doğrultusunda ölçülebilir bilgi güvenliği hedeflerini yıllık olarak belirler ve takip eder.

1.2. Bilgi Güvenliği Kurallarının Uygulanması

  • Bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini temin etmek için uyulması gereken temel kurallar bu dokümanda tanımlanmıştır. Ayrıca BGYS kapsamında oluşturulan diğer alt politikalarda ve prosedürlerde de uyulması gereken kurallara yer verilmiştir.
  • Bu politika ile çerçevesi çizilen bilgi güvenliği gereksinimleri ve kurallarına ilişkin ayrıntılar, BGYS prosedürleri ile düzenlenir. Kurum çalışanları ve 3. taraflar bu prosedürleri bilmek ve çalışmalarını bu kurallara uygun şekilde yürütmekle yükümlüdür.
  • Aksi belirtilmedikçe, bilgi içeren tüm ortamlarda ve tüm bilgi sistemlerinde bilgi güvenliği politika ve prosedürlerine uyulması zorunludur.
  • Bilgi Güvenliği Yönetim Sistemi, TS ISO/IEC 27001:2022 standardını temel alarak yapılandırılır ve işletilir.
  • DİAS Şirketler Grubu tarafından sağlanan bilgi sistemleri ve altyapılar kullanılarak oluşturulan tüm bilgi, belge ve ürünler, aksi belirtilmedikçe veya ilgili mevzuat ve DİAS Şirketler Grubunun taraf olduğu sözleşmeler aksini gerektirmedikçe kurumun mülkiyetindedir.
  • Çalışanlar ve üçüncü taraflarla yapılan sözleşme/iş sözleşmelerinde kurumun bilgi güvenliği ihtiyaçlarını güvence altına almayı amaçlayan sözleşmelere bilgi güvenliği ve gizlilik taahhütleri Bilgi Güvenliği Başkanlığı tarafından eklenir.
  • Dış kaynak kullanım durumlarında oluşabilecek güvenlik gereksinimleri analiz edilerek güvenlik gereklilikleri ve kontrolleri Bilgi Güvenliği Başkanlığı tarafından yapılır ve buna ilişkin hükümler şartname ve sözleşmelerde ifade edilir.
  • Bilgi varlıklarının envanteri bilgi güvenliği yönetim ihtiyaçları doğrultusunda oluşturulur ve varlık sahiplikleri atanır.
  • DİAS Şirketler Grubu kurumsal risk yönetim çerçevesi, bilgi güvenliği ve gizlilik risklerinin de tanımlanmasını, değerlendirilmesini, işlenmesini kapsar. Risk değerlendirmesi, bilgi güvenliği ve gizlilik risklerinin nasıl kontrol edildiğini tanımlar.
  • DİAS Şirketler Grubuna ait veriler sınıflandırılır ve her sınıftaki verilerin güvenlik ihtiyaçları ve kullanım kuralları Bilgi Güvenliği Başkanlığı ve ilgili ekiplerce belirlenir.
  • İşe alım, görev değişikliği ve işten ayrılma süreçlerinde uygulanacak bilgi güvenliği kontrolleri belirlenir ve uygulanır.
  • Güvenli alanlarda saklanan bilgi varlıklarının ihtiyaçlarına paralel fiziksel güvenlik kontrolleri uygulanır.
  • Kuruma ait bilgi varlıkları için Kurum içinde ve dışında maruz kalabilecekleri fiziksel tehditlere karşı gerekli kontrol ve politikalar geliştirilir ve uygulanır.
  • Kapasite yönetimi, üçüncü taraflarla ilişkiler, yedekleme, sistem kabulü ve diğer güvenlik süreçlerine ilişkin prosedür ve talimatlar geliştirilir ve uygulanır.
  • Ağ cihazları, işletim sistemleri, sunucular ve uygulamalar için denetim kaydı üretme konfigürasyonları ilgili sistemlerin güvenlik ihtiyaçlarına paralel biçimde ayarlanır. Denetim kayıtlarının yetkisiz erişime karşı korunması sağlanır.
  • Erişim hakları, iş gereksinimlerine uygun olarak belirlenir ve atanır. Erişim kontrolü sağlanırken en güvenli teknoloji ve teknikler kullanılarak yetkisiz erişim riskleri en aza indirilir.
  • Bilgi güvenliği ihlal olayları ve zayıflıklarının raporlanması için gerekli altyapı oluşturulur. Gerçekleşmiş veya şüphe uyandıran tüm bilgi güvenliği ihlalleri, gecikmeksizin Bilgi Güvenliği Başkanlığına raporlanır.
  • İhlal olayları kayıt altına alınır, gerekli düzeltici faaliyetler uygulanır ve düzenlenen farkındalık eğitimleri vasıtasıyla güvenlik olaylarından öğrenme sağlanır.
  • Kritik altyapı için iş sürekliliği planları hazırlanır, bakımı ve tatbikatı yapılır.
  • Yasalara, iç politika ve prosedürlere, teknik güvenlik standartlarına uyum için gerekli süreçler tasarlanır, sürekli ve periyodik olarak yapılacak gözetim ve denetim faaliyetleri ile uyum güvencesi sağlanır.
  • Yönetimin Gözden Geçirmesi toplantıları kurumun belirlediği sıklığa ve prosedürlere göre yapılır.
  • Uyulması gereken kurallar BGYS Kapsamında hazırlanan politika ve prosedürlerde belirtilmiştir. BGYS kapsamı dâhilinde yer alan tüm çalışanlar ve üçüncü taraflar belirtilen kurallara uymak zorundadır.
  • Bu politika kapsamında tanımlanan gereksinimler için istisna talepleri, yalnızca risk değerlendirmesi yapılması ve Bilgi Güvenliği Başkanlığı ile Üst Yönetimin yazılı onayı alınması şartıyla, süre ve kapsamı belirli olacak şekilde uygulanabilir.