Bilgi Güvenliği Politikamız

1. Amaç

Bu politikanın amacı ZENOS tarafından uygulanan Bilgi Güvenliği Yönetim Sisteminin (BGYS) sınırlarını açık bir şekilde ifade ederek, iş sürekliliğini sağlamak ve potansiyel tehditlerin etkisini azaltmak için bilgi güvenliği olaylarını engellemek veya hasar riskini minimize etmektir.

Bu bağlamda Bilgi Güvenliği Yönetim Sistemi kurularak ISO 27001:2022 standardına uyumlu olması hedef alınmıştır.

2. Kapsam

Herhangi bir Bilgi Güvenliği ihlalinde bu hizmetlerin kabul edilebilir minimum düzeyde tekrar çalışır hale getirilmesi zorunluluktur. BGYS, yönetilen tüm hizmetleri kapsamaktadır. Verilen hizmetler ve yürütülen süreçlerin oluşturulması, yönetilmesi ve güncellenmesinde BGYS göz önünde bulundurulur.

3. Sorumluluk

Bilgi Güvenliği Yönetim Kurulu kapsam çerçevesinde şirket bilgi varlıklarının gizlilik, bütünlük, erişebilirlik değerlerinin korunması ve süreçlere yönelik risklerin üst yönetim tarafından onaylanan kabul edilebilir seviyede tutulmasını sağlayacak, Bilgi Güvenliği Yönetim Sisteminin ISO 27001:2022 standardına uygun olarak kurulum ve işlerliğini sağlamaktan sorumludur. Bilgi Güvenliği Yönetim Sisteminin, Kişisel Verileri Koruma Kanunu (KVKK) gerekliliklerini karşılaması da bu sorumluluklar arasındadır.

4. Uygulama

Bu doğrultuda Bilgi Güvenliği Politikamız aşağıdaki taahhütleri kapsar;

• Bilgi varlıklarını yönetmek, varlıkların güvenlik değerlerini, ihtiyaçlarını ve risklerini belirlemek, güvenlik risklerine yönelik kontrolleri geliştirmek ve uygulamak
• Bilgi varlıkları, değerleri, güvenlik ihtiyaçları, zafiyetleri, varlıklara yönelik tehditlerin, tehditlerin sıklıklarının saptanması için yöntemlerin belirleneceği çerçeveyi tanımlamak
• Tehditlerin varlıklar üzerindeki gizlilik, bütünlük, erişilebilirlik etkilerini değerlendirmeye yönelik bir çerçeveyi tanımlamak
• Risklerin işlenmesi için çalışma esaslarını ortaya koymak
• Hizmet verilen kapsam bağlamında teknolojik beklentileri gözden geçirerek riskleri sürekli takip etmek
• Tabi olduğu ulusal veya uluslararası düzenlemelerden, yasal ve ilgili mevzuat gereklerini yerine getirmekten, anlaşmalardan doğan yükümlülüklerini karşılamaktan, iç ve dış paydaşlara yönelik kurumsal sorumluluklarından kaynaklanan bilgi güvenliği gereksinimlerini sağlamak
• Hizmet sürekliliğine yönelik bilgi güvenliği tehditlerinin etkisini azaltmak ve sürekliliğe katkıda bulunmak
• Gerçekleşebilecek bilgi güvenliği olaylarına hızla müdahale edebilecek ve olayın etkisini minimize edecek yetkinliğe sahip olmak
• Tedarikçilerimizle olan ilişkilerimizde bilgi güvenliği gerekliliklerine uyumu gözetmek