Bilgi Güvenliği Politikası
1. Amaç
Bu politika Kordsa ve paydaşlarının Teknolojisini, Bilgi birikimini ve itibarını koruyabilmek için Bilgi ve Bilgi Kaynaklarının, risklerini azaltarak gizliliğinin, erişilebilirliğinin ve bütünlüğünün sağlanmasını hedefler. Bünyemizde gerek yazılım gerekse tüm ticari faaliyetlerimize ait bilgiyi koruyarak, kuruluşumuzu maddi ve dışarıya karşı güvensizlik oluşturabilecek olaylardan korumak. Hizmet verdiğimiz firmalardaki bilgiyi koruyarak hem kuruluşumuzu hem de müşterilerimizi maddi ve dışarıya karşı güvensizlik oluşturabilecek olaylardan korumaktır.
2. Kapsam
Bu politika, Kordsa Bilgisini ve İş sistemlerini kullanmakta olan tüm çalışanlar ve şirket adına çalışan danışmanları kapsamaktadır.
3. Tanımlar
Bilgi: Şirket için bir değer ifade eden ve şirket kaynakları kullanılarak oluşturulan, satın alınan lisans ve sair yasal yollarla bulundurulmasına veya kullanımına belirli bir süre için veya süre kısıtlaması olmaksızın hak kazanılan ve her türlü fikri mülkiyet hakkına sahip olunan, farklı ortamlarda saklanan, paylaşılan ve kullanılan, şirketin stratejisini ve hedeflerini etkileyebilecek her türlü varlık Bilgidir.
Bilgi Güvenliği: Şirket Bilgi varlıklarının Gizlilik, Bütünlük, Erişilebilirlik özelliklerinin korunmasıdır.
Gizlilik: Bilginin yetkisiz kişiler, varlıklar ya da proseslere kullanılabilir yapılmama ya da açıklanmama özelliği.[ISO/IEC 13335-1:2004]
Bütünlük: Varlıkların doğruluğunu ve tamlığını koruma özelliği. [ISO/IEC 13335-1:2004]
Erişilebilirlik: Yetkili bir varlık tarafından talep edildiğinde erişilebilir ve kullanılabilir olma özelliği. [ISO/IEC 13335-1:2004]
4. Politika
Hızlı ve sürekli değişen teknolojik gelişmeler ile küresel rekabet Kordsa’in Bilgiye olan bağlılığını arttırmıştır. Kordsa Bilginin iş süreçleri ve fonksiyonları için çok önemli olduğunun farkındadır. Bu kapsamda şirket Bilgi İşlem altyapısını kullanan ve Bilgi kaynaklarına erişenler:
- Kişisel ve elektronik iletişimde şirkete ait Bilginin gizliliğini sağlamalı,
- İş değerlerine göre şirket Bilgisinin yedeklenmesini sağlamalı,
- Risk düzeylerine göre belirlenen güvenlik önlemlerini almalı,
- Bilgi güvenliği ihlal olaylarını Bilgi Güvenliği Olay Yöneticisi’ne bildirerek raporlamalı, bu ihlalleri engelleyecek önlemleri almalı,
- Şirket içi Bilgi kaynaklarını (duyuru, doküman vb.) yetkisiz olarak 3. kişilere iletmemeli,
- Şirket bilişim kaynaklarını, yasalara ve bunlara bağlı yönetmeliklere aykırı faaliyetler amacıyla kullanmamalıdır.
- Müşterileri, iş ortakları, tedarikçileri veya diğer üçüncü kişilere ait Bilgilerin gizliliğini, bütünlüğünü ve erişilebilirliğini korumalıdır.
Ülkelerin kendi içerisinde belirledikleri, ilgili IT personel/personellerinin, güvenlik konusunda yetkinlik kazanması amacıyla, ihtiyaç halinde aşağıdaki eğitimleri alması önerilir.
a- Network Güvenlik Eğitimleri
b- Siber Güvenlik Eğitimleri
c- Son Kullanıcı Güvenlik Eğitimleri
5. Sahiplik ve Uygunluk
Kordsa Yönetimi ve iştirakleri IT Liderleri/Müdürleri aracılığı ile politikanın gerekliliklerini yerine getirmek için kendi lokal programlarını oluşturmaktan ve tüm çalışanlara verilecek gereken Bilgi Güvenliği farkındalık eğitimlerini desteklemekten ve bu politikanın etkili kullanımından sorumludur.
Bu politikanın, standartların, destekleyici dokümanların ve eğitimlerin sahipliği Kordsa adına Global Bilgi Teknolojileri Yönetimi’ne verilmiştir.
Tüm çalışanlar Bilgi Güvenliği Politikası ve prensiplerini desteklemekten sorumlu olup, bu politikaya atıfta bulunan BGYS politika, prosedür ve düzenlenmelerine uymakla yükümlüdür. Bilgi güvenliği politika, prosedür ve düzenlemelerine uyulmaması halinde, şirket politikalarına göre disiplinle ilgili hükümler geçerlidir.
Bu politika Kordsa İş Etiği prensipleri ve Sabancı Holding Bilgi Güvenliği politikasıyla uyumludur. Bu politika CEO ve BGYS Yönlendirme komitesi tarafından onaylanmıştır.
6. Gözden Geçirme
Bu politika Global Bilgi Teknolojileri tarafından gözden geçirilir.