Bilgi Güvenliği Politikası

BGYS politikası, Yaşar Dış Ticaret A.Ş. bünyesinde yürütülen bilgi güvenliği yönetim sistemi çalışmalarının kapsamını, içeriğini, yöntemini, mensuplarını, görev ve sorumlulukları, uyulması gereken kuralları içeren bir dokümandır. Bu politikada tüm bölümleri ilgilendiren maddeler olduğu gibi sadece bazı bölümleri ilgilendiren maddeler de bulunmaktadır.

1. AMAÇ

Bilgi güvenliği yönetim sisteminin amacı tüm bilgi varlıklarımızın gizliliği, bütünlüğü ve gerektiğinde erişilebilirliğini sağlamaktır. Bilgi diğer kıymetli varlıklarımızın içinde en çok ihmal edilen fakat kurum açısından en önemli varlıklardan biridir. Bilgi güvenliği sadece bilgi teknolojileri çalışanlarının sorumluluğunda değil eksiksiz tüm çalışanların katılımı ile başarılabilecek bir iştir. Ayrıca bilgi güvenliği sadece bilgi teknolojileri ile ilgili teknik önlemlerden oluşmaz. Fiziksel ve çevresel güvenlikten, insan kaynakları güvenliğine, iletişim ve haberleşme güvenliğinden, bilgi teknolojileri güvenliğine birçok konuda çeşitli kontrollerin risk yönetimi metoduyla seçilmesi uygulanması ve sürekli ölçülmesi demek olan bilgi güvenliği yönetim sistemi çalışmalarımızın genel özeti bu politikada verilmektedir. Uygulama detay bilgileri için sistem dokümantasyonuna, ilgili prosedürlere, rehberlere, planlara ve raporlara bakılmalıdır. Bu politika bilgi güvenliği politikası ve detaylı kullanım politikalarını da kapsayan bir üst dokümandır. Yönetim tarafından onaylanmış ve yayınlanmıştır. Yönetim tarafından düzenli olarak gözden geçirilmektedir.

2. KAPSAM

İthalat operasyonları ve ihracat işlemleri, yönetim ve idari organizasyon faaliyetleri ile bu faaliyetlere ilişkin hizmet sunumlarında bilgi güvenliğinin sağlanması.

3. TANIMLAR ve KISALTMALAR

BİGKA: Kalite Yönetim Sistemi & Bilgi Güvenliği  Yönetim Sistemi

a- BGYS: Bilgi Güvenliği Yönetim Sistemi

b- Risk Yönetimi: Bilgi güvenliği risklerinin analizi, değerlendirilmesi, işlenmesi ve sürekli iyileştirilmesi amacıyla yürütülen yönetimsel faaliyetler.

c- Risk Analizi: Tehdit ve iş etkisinin çarpımı olan risk puanının bulunması amacıyla her bir bilgi varlığı için zayıflıkların, tehditlerin, iş etkilerinin bulunması ve hesaplanması çalışması.

d- Risk Değerlendirme: Risk analizi sonucunda bulunan değerlerin yorumlanması ve derecelendirilmesi.

e Risk İşleme: Risk değerlendirme sonuçlarına bağlı olarak kaçınma, kabul, kontrol, transfer seçeneklerinden birinin seçilmesi ve uygulama planı.

f- Artık Risk: Risklerin işlemeden sonra kalan miktarıdır.

g- Risk Derecelendirmesi: Riskin önemini tayin etmek amacıyla tahmin edilen riskin, verilen risk kriterleri ile karşılaştırılması sürecidir.

h- Riskin Kabulü/Kabul edilebilir Risk: Bir riski kabul etme kararı. Bir riskin zararını (negatif sonuçlarını) kabullenme.

ı- Bilgi Güvenliği: Bilginin gizliliği, bütünlüğü ve kullanılabilirliğinin korunmasıdır. Ek olarak, doğruluk, açıklanabilirlik, inkâr edememe ve güvenilirlik gibi diğer özellikleri de kapsar.

j- Bilgi güvenliği ihlal olayı: İş operasyonlarını tehlikeye atma ve bilgi güvenliğini tehdit etme olasılığı yüksek olan tek ya da bir dizi istenmeyen ya da beklenmeyen bilgi güvenliği olayı.

k- Bilgi güvenliği yönetim sistemi (BGYS) : Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden

geçirmek, sürdürmek ve geliştirmek için, iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçasıdır. Yönetim sistemi, kurumsal yapıyı, politikaları, planlama faaliyetlerini, sorumlulukları, uygulamaları, prosedürleri, prosesleri ve kaynakları içerir.

l- Uygulanabilirlik Bildirgesi (SOA-Statement of Applicability): Kuruluşun BGYS’si ile ilgili ve uygulanabilir

kontrol amaçlarını ve kontrolleri açıklayan dokümante edilmiş bildirgedir. Kontrol amaçları ve kontroller, risk değerlendirme ve risk işleme proseslerinin sonuçları ve çıkarımlarını, yasal ve düzenleyici gereksinimleri, anlaşma yükümlülüklerini ve kuruluşun bilgi güvenliği için iş gereksinimlerini temel alır.

m- Etki: İş hedeflerinin başarısını etkileyen değişim.

n- Bilgi Güvenliği Riski: Açıklıklardan fayda sağlamak suretiyle kuruluşa zarar verebilecek varlık ya da varlık

gruplarının potansiyel tehdididir. Bir olayın ve sonucunun olasılığının kombinasyon koşulları olarak ölçülür.

o- Riski belirleme: Riski oluşturan öğelerin ortaya çıkartılması, tasnif edilmesi ve özelliklerinin belirlenmesini

içeren süreçtir.

p- YGG: Yönetimin Gözden Geçirilmesi

4. BİLGİ GÜVENLİĞİ HEDEFLERİ VE PRENSİPLERİ

Yaşar Topluluğunun bir üyesi olan, Yaşar Dış Ticaret A.Ş. olarak uluslararası pazarlarda tabii olduğu yasal gereklilikler, kalite yönetim sistemi  ve bilgi güvenliği yönetim sistemi gereklerini iş süreçleri ile uyumlu bir şekilde yöneterek müşteri istek ve beklentilerini karşılayan dış ticaret hizmeti sunmayı ana hedefi olarak belirlemiştir.

Hizmet verilen şirket ve kuruluşların güvenini temin etmek ve verdiğimiz hizmetler için kullandığımız bilgi ve bilgi teknolojileri varlıklarımızın güvenliğini sağlamamız öncelikli amacımızdır.  

Bu hedef doğrultusunda:

  • Şirket güvenilirliğini ve kurumsal imajını korumayı,
  • Bilgi varlıklarının gereken seviyede güvenilirliğini sağlamak amacıyla çalışanların farkındalık düzeyini ve sistem bilincini oluşturmayı,
  • İç ve dış paylaşımlara yönelik kurumsal sorumluluklardan kaynaklanan, bilgi güvenliği gereksinimlerini sağlamayı, tüm iş süreçlerinin risklerini değerlendirmeyi, olası riskler karşısında etkin iletişim sistemleri geliştirmeyi,
  • Bilginin erişilebilirliğini, bütünlüğünü ve gizliğini korumayı,

Bilgi güvenliği yönetim sisteminin etkinliğini, şirket kültürünün bir parçası olarak görerek, sürekli iyileştirilmesini daimi bir hedef olarak sağlamayı,

taahhüt eder.

5. BİLGİ GÜVENLİĞİ YAPISI VE ORGANİZASYONU

5.1.BGYS TAKIMI VE YETKİLERİ

Yaşar Dış Ticaret A.Ş.bünyesinde bu politika metninde madde-2 de tarif edilen kapsam dahilinde TSE ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi Standardı gerekliliklerini yürütmek üzere, BGYS Lider ve BGYS Yönetim Temsilcisi atanmış, BGYS KOMİTESİ kurulmuştur.

BG Üst Yönetim Görev, Yetki ve Sorumluluklar:

  • Bilgi Güvenliği Politikasını onaylamak.
  • Güvenlik Politikasının kurum içinde uygulanmasına destek vermek.
  • BGYS sorumlusunu atamak.
  • Bilgi Güvenliği konularında geliştirilen politikaları uygulamak amacı ile gerekli altyapıyı oluşturmak üzere hazırlanmış projelere gerekli kaynağı sağlamak
  • Çalışmaların yürütülebilmesi için yatırım kararlarına ve üçüncü taraf hizmet alımlarına onay vermek.
  • Belirli aralıklarla yapılacak olan BGYS YGG (Bilgi Güvenliği Yönetim Sistemi Yönetim Gözden Geçirme) toplantılarına başkanlık etmek.
  • Kurum bünyesinde bilgi işleme olanaklarını kullanarak bilginin üretilmesini, taşınmasını, geliştirilmesini,yönetilmesini ve saklanmasını sağlayan tüm çalışanlarda (Danışmanlar ve yüklenici firma personeli dahil) Bilgi Güvenliği farkındalığının artırılmasına yönelik planlanan çalışmaların etkinliğinin artırılması için teşvik edici faaliyetleri onaylamak.
  • Bilgi Güvenliği konularında yapılacak olan çalışmalarına işlerlik kazandırmak, sürdürmek iyileştirmek ve gözden geçirmek için gerekli iç denetimlerin yapılmasına onay vermek.
  • Risk Kabul Kriterlerini ve kabul edilebilir riskleri onaylamak.
  • BG Temsilcisi Görev, Yetki ve Sorumluluklar:
  • BGYS politikalarını gözden geçirerek uygunluğuna karar vermek, üst yönetimin onayını almak
  • BGYS kurulması ve işletilmesi için gerekli kaynak ve sorumluluk tahsislerini gerçekleştirmek,
  • BGYS Yöneticilerini atamak,
  • BGYS için hazırlamış  dokümanları onaylamak ve uygulanmasını sağlamak,
  • BGYS Kontrollerini gözden geçirerek uygunluğuna karar vermek.
  • Gereken iyileştirmeler ve geliştirmeler konusunda gerekli bilgi akışını sağlamak.
  • Risk Kabul Kriterlerinin uygunluğuna karar vererek üst yönetime sunmak
  • BGYS konularında geliştirilen politikaları uygulamak üzere oluşturulan altyapının uygunluğuna karar vererek üst yönetimin onayını almak.

BGYS Komitesi Görev, Yetki ve Sorumluluklar:

  • BGYS Komisyonu BGYS Yöneticisi ve/veya BGYS Sorumlusu tarafından oluşturulur, kurum yöneticisi tarafından onaylanır. BGYS Yöneticisi bu komisyona başkanlık eder.
  • Bilgi Güvenliği konularının altyapısını oluşturacak projelere katkı sağlamak.
  • Yaşar Dış Ticaret A.Ş.bünyesinde ki birimlerde uygulanması gereken Bilgi Güvenliği politikaların geliştirilmesi için hazırlanan projelere katkı sunmak.
  • BGYS Yöneticisi veya BGYS Sorumlusu tarafından gerekli görüldüğünde toplantılara katılmak.
  • Kapsam kararları, risk değerlendirme metodolojisi, kontrollerin uygulanması konularında onay vermek ve bağlı oldukları birimlerde uygulanmasını sağlamak.
  • BGYS Kapsam ve Politikalarının gerekliliği olan, birim çalışanlarının, danışmanların ve yüklenici firma personellerinin farkındalık düzeylerinin artırılmasına yönelik organize edilen çalışmaların tüm tabana yayılması için gerekli desteği vermek.

5.3 YGG (BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ YÖNETİM GÖZDEN GEÇİRME)TOPLANTILARI

Yaşar Dış Ticaret üst yönetimi, BİGKA yönetim sisteminin etkinliğini, sürekliliğini ve yeterliliğini yılda 2 kere yapılan yönetimin gözden geçirmesi toplantıları ile izler. Üst Yönetim ve  Yönetim Temsilcisi dahil olmak üzere firmanın tüm yönetim kadrosunun ve gerek görülen diğer personelin bir araya gelmesi ile iştirak edilen toplantı, YT tarafından toplantı tutanak formu ile kayıt altına alınır.

Referans Dokümanlar

  • PR007 Yönetimin Gözden Geçirmesi Prosedürü

6. RİSK YÖNETİMİ

  • 6.1.Risk Analizi ve Yönetim Stratejisi

Risk analizi için aşağıdaki metot uygulanmaktadır. Bu faaliyetle ilgili kayıtlar risk değerlendirme raporunda tutulmaktadır. Kapsam dahilinde ki ve bilgi ile ilişkisi olan her varlığın tespiti için varlık keşif çalışması yapılır. Varlık envanteri ile her kullanıcının sahip olduğu (kullandığı ve yönettiği) varlıklar tespit edilir ve varlıkların sorumluları  atanır. Risk analizi çalışması Tehdit Olasılığı ve İşe etkisi boyutlarında değerlendirilecektir. Risk hesaplama formülü kullanılarak her bir varlık için var olan risk değeri hesaplanır. Risk takip tablosunda tanımlanan her bir risk için 6 aylık risk durum değerlendirmeleri yapılarak son durum hesaplanır. Risk değerleri için Risk Değerlerine Göre İşleme Seçeneklerinden uygun olanı seçilir. Kontroller ISO 27001:2013’ün Ek-A maddesinden seçilerek uygun olanlar her bir riske atfedilir. Kontrolün nasıl uygulanacağı, kim tarafından uygulanacağı Risk İşleme Takip Tablosunda izlenir. 6 Aylık periyotlarla risk işleme faaliyetlerinin durumu varlık sahiplerinin de katıldığı BGYS komisyonunda değerlendirilir

  • 6.2.SOA – Uygulanabilirlik Bildirgesi

Risk işleme seçenekleri standardın EK-A bölümünde verilen listeden seçilebilir. Seçilen kontrollerin her birinin seçilme amacı, kontrolün içeriği, kontrolün uygulanma biçimi ve uygulanmıyorsa nedeni kısa adı SOA (Statement of Applicability) olan dokümanda belirtilmektedir. SOA Gizli bilgi sınıfındadır. BGYS Sorumlusu, Yöneticisi ve Komitesinin erişimine açıktır. Bilgi güvenliği amaçları ve uygulamaları SOA’da detaylandırılmıştır. Risk İşleme planı ve SOA paralel dokümanlardır. Risk işleme planında seçilen kontrollerin isimleri veya EK-A’dan seçilmişlerse A.X.X şeklinde kontrol numarasına atıf yapılırken SOA’da kontroller detaylandırılmıştır. Uygulanan ve uygulanacak tüm kontroller SOA’da kaydedilir. Bu doküman risk işleme planı ile bir çapraz kontrol sağlayarak herhangi bir kontrolün atlanmamasını sağlamaktadır.

7. BİLGİ HASSASİYETİ VE RİSKLER

7.1.Bilgi Varlıklarımız

Yaşar Dış Ticaret A.Ş. bünyesinde Madde 2 de belirtilen kapsam dahilinde yer alan tüm fiziki alanlarda bulunan birimlerin yapmış oldukları işlerde üretilen bilgiler bilgi varlıklarımızı oluşturmaktadır. Masaüstü bilgisayarlar, laptoplar, teyp kaset,CD ve DVD ortamındaki veriler, evraklar, klasör ve evrak dolapları, sunucular gibi elektronik veya yazılı-baskılı ortamda bulunan veya iletim ortamında (internet, e mail, telefon vb.) yer alan tüm veriler kurumumuz için bilgi varlığı olarak tanımlanmıştır.

  • 7.2.Varlık Sınıflandırılması

Kurum içinde her çalışan bu sınıflandırma çerçevesinde kendi kullanımında olan veya kendi ürettiği bilgileri sınıflandırmalıdır.

8. BİLGİ GÜVENLİĞİ EĞİTİMLERİ

Bilgi güvenliği eğitimleri periyodik olarak yılda en az bir kez ve yeni işe başlayan personele işe başladığı tarihi takip eden günlerde verilmektedir.

  • 9. DOKÜMAN VE KAYITLARIN KONTROLÜ

BGYS ile ilgili dokümanların hazırlanması, yayınlanmadan önce onaylanması, değişikliklerinin revizyonlarının takibi, gerekli noktalarda doğru versiyonun ulaşılabilir olması amaçlarını yerine getirecek Dökümanların Kayıtların Kontrolü Prosedürü hazırlanmıştır. Dokümanların kontrolü bu prosedüre uygun olarak yapılmaktadır.

10. BİLGİ GÜVENLİĞİ İÇ DENETİMLERİ

Yaşar Dış Ticaret, BİGKA yönetim sisteminin, planlanmış düzenlemelere, TS EN ISO 9001:2008 standardının şartlarına ve kendi oluşturduğu BİGKA yönetim sisteminin şartlarına uyduğunu, etkin olarak uyguladığını ve sürdürdüğünü teyit etmek için yıllık bazda oluşturulan planlar doğrultusunda iç tetkikler gerçekleştirmektedir. İç denetimlerin kontrollü şartlarda ve etkin olarak uygulanmasını sağlamak amacı ile bir İç Tetkik Prosedürü oluşturulmuştur. Denetimlerin planlanması ve yerine getirilmesi, sonuçların rapor edilmesi, kayıtların muhafaza edilmesi için sorumluluklar ve şartlar prosedürde tanımlanmıştır.

Denetim faaliyet sonuçları Yönetimin Gözden Geçirmesi toplantılarında değerlendirilmektedir.

Referans Dokümanlar

  • PR005 İç Tetkik Prosedürü

11. SÜREKLİ İYİLEŞTİRME VE DÜZELTİCİ FAALİYETLER

Sürekli İyileştirme

Yönetimin BİGKA politikasında taahhüt ettiği üzere Yönetim Sisteminin sürekli iyileştirilmesi için toplanan verilerin değerlendirilmesi sonucunda problemlerin tekrarının ve potansiyel problemlerin önlenmesi için iyileştirme amaçlı faaliyetler yapılmaktadır. Yönetimin Gözden Geçirmesi toplantıları,müşteri istek ve şikâyetleri, iç tetkik sonuçları, İzleme ve Ölçme Raporları vb. faaliyetlerin sonuçları iyileştirme süreci için bir girdi teşkil eder.  Düzeltici faaliyetler, önleyici faaliyetler,  BİGKA Yönetim Sistemi süreçleri ve iyileştirme kararları, prosesin çıktısını oluşturur. İyileştirmede öncelikler yönetim tarafından belirlenir ve hedefler doğrultusunda uygulanır. İyileştirme faaliyetleri için kaynak gereksinimleri üst yönetim desteği ile sağlanmaktadır.

Referans Dokümanlar

  • GE004 Ana Süreç Şeması
  • GE005 Süreç Performans Tablosu
  • PR004 Uygunsuzluk ve İyileştirme Prosedürü
  • PR005  İç Tetkik Prosedürü  

Düzeltici Faaliyetler

Yaşar Dış Ticaret’te uygunsuzluğun sebebinin giderilmesi ve tekrarının önlenmesi için izlenecek yöntemler Uygunsuzluk ve İyileştirme Prosedürü ‘ne göre gerçekleştirmektedir. Düzeltici faaliyetlerle ilgili kayıtlar muhafaza edilmektedir. Uygunsuzluklar gözden geçirilmekte, nedenleri belirlenmekte, uygunsuzluğu ortadan kaldıracak tedbirler alınmaktadır.

Referans Dokümanlar

  • PR004  Uygunsuzluk ve İyileştirme Prosedürü

Önleyici Faaliyetler

Yaşar Dış Ticaret, oluşabileceğini öngördüğü potansiyel uygunsuzlukların nedenlerinin belirlenerek ortadan kaldırılması için uygulama esaslarını Uygunsuzluk ve İyileştirme Prosedürü ‘ne göre gerçekleştirmektedir. Önleyici faaliyetlerle ilgili kayıtlar muhafaza edilmektedir.

Referans Dokümanlar

  • PR004  Uygunsuzluk ve İyileştirme Prosedürü

12. DİSİPLİN PROSESİ

Kurum içi veya yasal kurallara aykırı davranmanın yanı sıra bilgi güvenliği politika ve prosedürlerine uyulmaması durumunda da işlenen suçun boyut ve sonuçlarına göre ilgili disiplin sürecinin başlatılması uygulama esaslarındandır. Suçu işleyen personel suçun mahiyetine göre yasal hükümlere aykırı davranış halinde T.C. Anayasasında belirtilen müeyyidelere göre cezalandırılır.