1 AMAÇ
Bilgi Güvenliği Politikasının (bundan sonra “Politika” olarak anılacaktır) amacı, Boyçelik Metal Sanayi ve Ticaret A.Ş.’nin (bundan sonra “Şirket” olarak anılacaktır) yapacağı bilgi yönetimi ilke ve kuralların bilgilendirme, raporlama ve sorumlulukların belirlenmesidir.
2 TANIMLAR
Bu bölümde politikada geçen özel terim ve kavramlar aşağıdaki şekilde kısaca açıklanmaktadır.
Şirket: Boyçelik Metal Sanayi ve Ticaret A.Ş.
Çalışan: Şirket yöneticilerini ve çalışanlarını ifade eder.
Bilgi Güvenliği: Bilgilerin yetkisiz erişime, değişime veya yok olmaya karşı korunmasıyla ilgili süreçleri içerir.
Bilgi Erişimi: Belirli kullanıcıların, sistemlerin veya süreçlerin bilgilere ulaşma yetkisi.
Bilgi Gizliliği: Hassas veya özel bilgilerin yetkisiz kişilerden korunması ve gizli tutulması.
Bilgi Bütünlüğü: Bilgilerin doğruluğu, eksiksizliği ve değişmemiş olma konusunda güvenilir olması.
Bilgi Güvenliği Yönetim Sistemi: Şirketin bilgi güvenliği süreçlerini yönetmek ve iyileştirmek amacıyla kurduğu sistem.
3 KAPSAM
Bu politika;
- Şirket Yönetim Kurulu üyelerini ve Çalışanlarını,
kapsar.
4 GÖREV VE SORUMLULUKLAR
4.1.1 Politikanın oluşturulması, uygulanması ve güncellenmesinin sağlanmasından BT Departmanı sorumludur.
4.1.2 Politikada yer alan ilke ve esaslara IT Departmanı’nın etkin bir şekilde faaliyet göstermesinin üst gözetiminden Yönetim Kurulu sorumludur.
4.2 Çalışanlar
.4.2.1 Şirket çalışanları politikada yer alan ilkelere uygun hareket etmekle yükümlüdürler ve hiçbir durumda Politikaya aykırı davranmakla zorlanamazlar. Çalışanlar bu politikaya aykırı tüm davranış ve uygulamaları yöneticilerine bildirmekle yükümlüdür.
4.2.2 Yöneticiler, politikadaki ilkelerin sorumlu oldukları çalışanlar, alt yükleniciler ve çalışanları ile iş ortakları tarafından doğru bir şekilde uygulanmasından sorumludur.
5 UYGULAMA ESASLARI
- 1. Şirket, bilgi yönetiminde Bilgi Güvenliği Yönetim Sistemi ISO 27001 uygunluklarını sağlar.
- 2. Şirket, bilgiye sadece yetki dâhilinde erişim vererek gizlilik sağlar.
- 3. Şirket, bilgileri yetkisiz değişikliklere karşı korur ve yapılan değişiklikleri kayıt altına alarak bütünlüğü sağlar.
- 4. Şirket, bilgiye gereksinim duyulduğunda yetkili kullanıcıların erişimine hazır bulundurularak erişilebilirliği sağlar.
- 5. Şirket, yasal tüm gereklilikleri yerine getirerek her birim tarafından uygulanmasını sağlar.
- 6. Şirket, tüm çalışanlar için Bilgi Güvenliği hakkında sürekli eğitimler vererek bilinçlendirme sağlar.
- 7. Şirket içinde, tüm Bilgi Güvenliği açıkları ve tespit edilen şüpheli durumlar ilgililere rapor edilir. İlgililerce sürekli iyileştirme ve kontroller sağlanır.
- 8. Şirket, müşteri ve paydaşlara sunulan ürün ve hizmetlerin güvenliğini sağlamaya büyük önem verir.
- 9. Şirket, tüm iş süreçlerinin birbirleriyle entegre, uyumlu ve dengeli olmasını hedefler. Entegre ve dinamik iş stratejisi ile, bilgi varlıklarının güvenliği, gizliliği, bütünlüğü, erişilebilirliği ve sürekliliğini korur.
- 10. Şirket, müşteri ve paydaşlara değer sağlayan ürün ve hizmetlerin güvenlik, gizlilik, bütünlük ve erişilebilirliğini tehdit edebilecek risklere karşı tedbirler alır ve sistematik risk yönetimini benimsemeyi esas alır.
- 11. Şirket, bilgi güvenliğini, ilgili tüm yasal mevzuata uyumlu bir şekilde yönetir.
- 12. Şirket, Bilgi Güvenliği Politikası'na bağlı olarak alt prosedürler ve iç kontrol mekanizmaları oluşturur, yayınlar ve uygulamaları denetler.
- 13.Şirket, bu politika ve organizasyon hedefleri doğrultusunda uyumlu bilgi güvenliği hedeflerini belirler, düzenli olarak uyumluluk ölçümü yapar ve böylece sürekli iyileştirme fırsatlarını değerlendirir.
- 14. Şirket, tüm birim ve çalışanları, bu politika ve Bilgi Güvenliği Yönetim Sistemi standartları ile uyumlu olarak tüm yasal düzenlemeler, şirket taahhütleri ve sözleşmelere uygun olarak faaliyetlerini sürdürür.
- 15. Şirket, Kurumsal Bilgi Güvenliği Yönetim Sistemini sürekli iyileştirmek ve geliştirmek için gereken mekanizmaları kurar; yenilikler ve teknolojik gelişmeleri takip ederek, sistemde gerekli güncellemeleri ve geliştirmeleri yapar.
- 16. Şirket, kurumsal bilgi güvenliği politika ve prosedürlerinin ihlali kapsamında disiplin cezası ve ilgili mevzuat kapsamında cezai yaptırımları vermeyi değerlendirir.
6 YÜRÜRLÜK
İşbu Bilgi Güvenliği Politikası 01.10.2024 tarihli Yönetim Kurulu Kararıyla yürürlüğe konmuştur. İşbu Bilgi Güvenliği Politikası yeni bir duyuru yapılana kadar geçerli ve yürürlükte kalacaktır.
7 DESTEKLEYEN DOKÜMANLAR
EN-PR-038 İşletim Prosedürü
EN-PL-009 İNSAN KAYNAKLARI POLİTİKASI
EN-PL-011 KALİTE POLİTİKASI
ISO 27001
Belgeyi incelemek için tıklayınız