GÜV.02 EK2 — BGYS Politikası (Örnek)
Açıklama
Bu doküman, GÜV.02 Bilgi Güvenliği Politikası standardına ek olarak sunulan örnek bir Bilgi Güvenliği Yönetim Sistemi (BGYS) politikası metnidir. Metindeki "FİRMA ADI" ifadesi, politikayı uyarlayan şirketin adıyla değiştirilmek üzere yer tutucu olarak kullanılmıştır.
BGYS Hedefleri
Organizasyonumuz BGYS işleterek;
- Potansiyel müşterilerin güvenini kazanmayı,
- Mevcut müşterilerinin memnuniyetini sağlamayı,
- Yasalara, mevzuata ve sözleşme hükümlerine uygun hareket ettiğinden emin olmayı hedeflemektedir.
BGYS Kapsamı
FİRMA ADI BGYS'nin kapsamı; BT Müdürlüğü ve bu müdürlük tarafından işletilen yazılım geliştirme, BT yardım masası, sistem ve ağ yönetimi ve güvenlik yönetimi süreçleridir.
Sorumluluklar
BGYS Komitesi: BGYS Komitesi; kapsam dahilindeki tüm müdürler ve birim yöneticileri ile İK Yöneticisi ve Hukuk Danışmanından oluşur. Bu komite, BGYS ile ilgili çalışmaları yönetim adına gözden geçirir ve yönlendirir. İç denetim bulgularını doğrular, düzeltici önleyici faaliyet önerilerini ve artık riskleri onaylar. İç denetim bulgularına istinaden ilgili kişilerden düzeltici ve önleyici faaliyet talep eder. İhtiyaç olduğunda üst yönetimin katılımını ve desteğini talep eder.
BGYS Uygulama ve Denetim Ekibi: BGYS süreçlerini ISO/IEC 27001 standardına uygun olarak tasarlar ve yönetir. BGYS için gerekli faaliyetleri ve dokümantasyonu yapar veya BGYS sorumlularından yapılmasını talep eder. İç denetimleri gerçekleştirir veya dış kaynak firmalarının gerçekleştirmesini sağlar. Komitenin BGYS ile ilgili karar verebilmesi için gerekli girdileri sağlar (iç denetim raporları, bildirilen vakalar, risk analizi raporları, düzeltici önleyici faaliyetler vs.).
Tüm Çalışanlar: BGYS kategorisinde yayınlanmış tüm politika ve prosedürlere uymakla ve BGYS Komitesi tarafından talep edilen tüm faaliyetleri gerçekleştirmekle yükümlüdür. BGYS sorumluları, uygulama ve iç denetim ekiplerine gerekli desteği sağlar.
Yaptırım
Diğer BGYS dokümanları bu politika ile tutarlı olmalıdır. Aksi durumlarda bu politika geçerli olacaktır. Bu el kitabı içerisindeki politikaların ve diğer BGYS dokümanlarının içerisindeki yöntemlerin ihlal edildiği hallerde, Personel Yönetmeliği Disiplin Hükümleri çerçevesinde gerekli işlemler yürütülür.
Politika
- Bilgi; gizliliği, bütünlüğü ve kullanılabilirliğine yönelik çeşitli risklere karşı korunması gereken oldukça değerli ve kritik bir kurumsal varlıktır. FİRMA ADI, uygun korumayı sağladığından emin olmak için Bilgi Güvenliği Yönetim Sistemine (BGYS) sahiptir. BGYS ile FİRMA ADI; bilgi kaynaklarının bilerek veya kazara, yetkisiz kişilerce ifşasını, değiştirilmesini ve yok edilmesini önlemek için güvenli bir ortam hazırlamayı ve bu ortamı korumayı hedefler. FİRMA ADI BGYS'si, endüstride kabul görmüş uluslararası ve denetlenebilir tek BGYS standardı olan ISO/IEC 27001 ile uyumlu olarak yönetilir.
- FİRMA ADI, BGYS'sini bu standardı referans alarak şekillendirirken; yönetim inisiyatifini, müşterilerine, çalışanlarına, iş ortaklarına ve Türkiye Cumhuriyeti'ne karşı yasal ve etik yükümlülüklerini dikkate alır. Bu yükümlülüklerin yerine getirilebilmesi için gereken tüm güvenlik kontrollerini işletir ve yönetir.
- BGYS politikalarına ve prosedürlerine uygun hareket etmek, FİRMA ADI bilgi kaynaklarını korumak demektir. Bu da FİRMA ADI'nın olduğu kadar; çalışanlarının, iş ortaklarının ve müşterilerinin çıkarınadır.
- Tüm FİRMA ADI personeli; kapsam dahilindeki bilgi varlıklarının uygun şekilde korunabilmesi için yayınlanmış politika ve prosedürlere uygun hareket etmekle ve kendileri için tanımlanmış sorumlulukları yerine getirmekle yükümlüdür.