Bilgi Güvenliği Politikası



Alan Adı (Field Name)

İçerik (Content)

Kod (Code)

FR-BGYS-1

Versiyon (Version)

1.0

Yayım Tarihi (Date of version)

02.01.2024

Hazırlayan (Created by)

Fatma Nur ALPTEKİN (ISO27001 & ISO27701 Baş Denetçi)



Uğur GERİDE (IT Manager / BT Müdürü) ( (ISO/IEC 27001:2022 ISMS Certificate Num: TR.IS.200223.010 )

Onaylayan (Approved by)

(Boş)

Gizlilik Seviyesi (Confidentiality Level)

AÇIK

Dil (Language)

Türkçe

  

 

 

Tarih (Date)

Versiyon (Version)

Hazırlayan (Created by)

Değişim Tanımı (Description of change)

02.01.2024

1.0

Fatma Nur ALPTEKİN



Uğur GERİDE

1. Yayım

 

 

 

 

 

BİLGİ GÜVENLIĞI POLİTİKASI

1.Bilgi Güvenliğinin Amacı, Kapsamı ve Konunun Yönetim Tarafından Benimsenmesi

İstanbul Akvaryum Turizm Ticaret Anonim Şirketi kurumsal bilgiyi son derece değerli bir varlık olarak kabul etmektedir. Bilgi; iş faaliyetlerimizin sürdürülebilmesi açısından kritik önem taşır ve uygun bir şekilde korunması gerekir İstanbul Akvaryum Turizm Ticaret Anonim Şirketi , Bilgi Güvenliği Yönetim Sistemi (BGYS) ISO 27001 standardını uygulayarak kurumsal bilginin gizliliği, bütünlüğü ve kullanılabilirliği ile ilgili ortaya çıkabilecek riskleri ve bu risklerin etkilerini en aza indirmeyi amaçlar.

Bu politika İstanbul Akvaryum Turizm Ticaret Anonim Şirketi  Yönetimi tarafından onaylanmıştır.

İstanbul Akvaryum Turizm Ticaret Anonim Şirketi  yönetimi özellikle aşağıda belirtilen konuların yerine getirilmesini benimsemiştir:

  • İstanbul Akvaryum Turizm Ticaret Anonim Şirketi  bilgilerinin ve bilgi sistemlerinin gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamak,
  • Bilgi varlıklarına yönelik riskleri tespit etmek ve sistematik bir şekilde riskleri yönetmek,
  • Bilgi Güvenliği Standartlarının gerekliliklerini yerine getirmek,
  • Bilgi güvenliği ile ilgili tüm yasal mevzuata uyum sağlamak,
  • Bilgi Güvenliği Yönetim Sistemi’nin yaşatılması için sürekli iyileştirme fırsatlarını değerlendirmek ve çalışmalarını gerçekleştirmek,
  • Bilgi güvenliği farkındalığını artırmak için teknik ve davranışsal yetkinlikleri geliştirecek şekilde eğitimler gerçekleştirmek,
  • Bu politikaya bağlı diğer alt prosedürlerin Bilgi ve İletişim Teknolojileri sorumluları tarafından hazırlanmasını ve yayınlanmasını sağlamak.

 

İstanbul Akvaryum Turizm Ticaret Anonim Şirketi , Bilgi Güvenliği Politikaları ister tam zamanlı ister yarı zamanlı ister sürekli ister sözleşmeli olsun, kurum bilgilerini veya iş sistemlerini kullanan tüm personel için, coğrafi konumdan veya iş biriminden bağımsız olarak geçerli ve zorunludur. Bu sınıflandırmalara girmeyen ve kurum bilgilerine erişim gereği olan üçüncü şahıs hizmet sağlayıcıları ve bunların bağlı destek personeli gibi tüm kişilerin, bu politikanın genel ilkelerine, uymak zorunda oldukları diğer güvenlik sorumluluklarına ve yükümlülüklerine bağlı kalması şarttır.

2.Tüm Çalışanların Sorumlulukları

Bilgi Güvenliğinin ve bu politikanın amacı, bilgilerin ve tüm destek iş sistemlerinin, süreçlerinin ve uygulamalarının gizliliğini, bütünlüğünü ve kullanılabilirliğini korumak, sürdürmek ve yönetmektir. Bunun anlamı; İstanbul Akvaryum Turizm Ticaret Anonim Şirketi  ait bilgilerin yetkili ellerde kalması; bilgilerin ve sistemlerin eksiksiz, doğru ve gerektiğinde kullanıma hazır olmasının sağlanmasıdır. Bu nedenle tüm kurum personeli ve dış kaynaklı personel ile stajyerleri, konumları veya görevleri ne olursa olsun işlerini, bilgilerin kurum bünyesinde korunmasını gözetecek biçimde yapmaktan sorumludur.

İstanbul Akvaryum Turizm Ticaret Anonim Şirketi  ‘ne ait bilgilerin eksiksiz, doğru ve kullanılabilir durumda hazır olmasının sağlanmasının yanı sıra tüm personel, personel sözleşmelerinde belirtilen gizli bilgilerin korunması ve kurum iş ahlakı ilkelerine de uymak zorundadır.

İstanbul Akvaryum Turizm Ticaret Anonim Şirketi ; Kişisel Verilerin Korunması Yasasında belirtilen önlemleri almayı ve Kişisel Verilerin Korunması Politikasına tam uyumlu çalışmayı taahhüt eder.

3.Politika Sahipliği ve Bilgi Güvenliğinde Rehberlik Sağlanması

Bu politikanın, tüm standartların, diğer destekleyici belgelerin ve eğitim faaliyetlerinin işlevsel sahipliği Bilgi Güvenliği Yönetim Temsilcisi tarafından yürütülecek ve politikanın tüm kurum bünyesinde uygulanmasıyla ilgili olarak tavsiye kaynağı ve rehber olacaktır.

Bilgi Güvenliği Yöneticisi tüm çalışanların, bilgi güvenliği konularıyla ilgili uygun bilinçlenme düzeyinin oluşmasını sağlayacak eğitimleri almalarını temin edecek ve genel olarak bilgi güvenliği olaylarının ele alınmasında rehberlik edecektir. Gerekli olduğunda bu politikanın ayrıntılı standartlar, prosedürler ve süreçlerle desteklenmesini ve bunların ihtiyaç duyuldukça kullanıma hazır olmasını sağlayacaktır. Ayrıca bu politika gereklerinin tüm sürekli veya dönemsel çalışanlara ve tüm yüklenici personele aktarılmasını sağlamaktan sorumlu olacaktır.

Bilgi Güvenliği Yönetim Temsilcisi, bilgi güvenliği ile ilgili genel yönetim çerçevesinin oluşturulmasından ve sürekliliğinin sağlanmasından ve bu politikanın, güncel olarak yaşamasını ve kurum birimlerinin işle ilgili gerekliliklerini veya bilgilerinin ve bilgi sistemlerinin karşı karşıya olduğu risk ortamındaki ya da tehditlerdeki değişimleri yansıtmaya devam etmesini temin edecek şekilde devamlı gözden geçirilmesinden sorumlu olacaktır.

Bilgi Güvenliği politikaları, İstanbul Akvaryum Turizm Ticaret Anonim Şirketi  bilgi varlıklarının karşı karşıya olduğu güncel riskleri yansıtması amacıyla yapılan varlık ve risk güncellemelerine paralel olarak yılda en az bir defa gözden geçirilir. Yeni riskleri ve risklerde meydana gelen değişiklikleri kontrol altında tutmak için Bilgi Güvenliği Politikaları gerekli durumlarda eklemeler yapılarak güncellenir. Ayrıca herhangi bir kurum çalışanı Bilgi Güvenliği Politikalarının gelişmesi ve kurumun ihtiyaç duyduğu kontrolleri daha iyi yansıtması amacıyla politikaların değiştirilmesi konusunda Bilgi Güvenliği Yönetim Temsilcisine talepte bulunabilir. Yapılan talepler Bilgi Güvenliği Yönetim Temsilcisi tarafından ele alınır ve değerlendirilir.

Bilgi Güvenliği Politikası ilkeleri, İstanbul Akvaryum Turizm Ticaret Anonim Şirketi  İnsan Kaynakları Personel Kuralları ile paralel uygulanmalıdır. Çalışanlar ayrıca Bilgi Güvenliği Politikasının farkındalığından ve bu ilkelere uymaktan sorumludur.

4.Denetleme ve Politikalara Uyulması ve Politikalara Uyulmama Durumlarının Çözümlenmesi

Her birim yöneticisi Bilgi Güvenliği Politikasına uyumun sağlanması için gerekli tedbirleri almak ve sistemi gözetlemekten birinci derece sorumludur.

Bilgi Güvenliği Yönetim Temsilcisi, başta Bilgi Güvenliği Ana Politikası olmak üzere, yayınlanmış olan tüm politika ve prosedürler ile ilgili standartlara uyumun periyodik olarak denetiminden ve ilgililere raporlanmasından sorumludur.

Bilgi Güvenliği Politikası ihlalleri, İstanbul Akvaryum Turizm Ticaret Anonim Şirketi  risklere karşı ihtiyaç duyulan kontrollerin uygulanmaması neticesinde zarar görmesine, ayrıca Türk Ceza Kanuna göre cezai sorumluluk doğmasına ve maddi zararların tazmini sorumluluğuna sebep olabilecektir. Dolayısıyla söz konusu ihlal aynı zamanda kurum Personel Yönetmeliği ihlali olup disiplin cezası sonucunu doğurabilir. Gerek gözetim gerek denetim gerek ihbar sonucu tespit edilen Bilgi Güvenliği Politikası ihlalleri, istihdamın son verilmesine, adli ve cezai yasal işlemler başlatılmasına varıncaya kadar gidebilecek kurum içi disiplin cezaları ile sonuçlanabilecektir.

Bu politikanın uygulanması konusunda hep birlikte çalışılması, bilgilerimizin ve itibarımızın sürekli olarak korunmasına ve işimizin başarısının devamlılığının sağlanmasına yardımcı olacaktır.

5.Bilgi Güvenliği Politikası

İstanbul Akvaryum Turizm Ticaret Anonim Şirketi  Bilgi Güvenliği, kurum itibarı ve güvenilirliğinin korunması, bilgi varlıklarının muhafaza edilmesi, temel ve destekleyici iş faaliyetlerinin mümkün olan en az kesinti ile devam etmesi amacıyla,

  • Kurumun, işlediği, muhafaza ettiği ve diğer kuruluşlar ile paylaştığı bilgi varlıklarını gizlilik, bütünlük ve erişebilirlik ilkelerine göre korumak,
  • Bilgi varlıklarını yönetmek, varlıkların güvenlik değerlerini, ihtiyaçlarını ve risklerini belirlemek, güvenlik risklerine yönelik kontrolleri uygulamak için kurulmuş yönetim sistemini geliştirmek ve sürekli iyileştirmeyi sağlamak,
  • Kurum vizyon ve misyonuna uygun olarak faaliyetlerden kaynaklanan risklerin değerlendirilmesi ile sürekli iyileşme ihtiyaçlarını ve fırsatları tayin etmek,
  • Hizmet verilen kapsam bağlamında teknolojik gelişim ve değişimlere ayak uydurarak takip etmek,
  • Bilgi güvenliği risklerinin etkisini azaltarak iş sürekliliğini sağlamak,
  • Uyulması zorunlu olan ulusal ve uluslararası düzenlemelere, yasal ve ilgili mevzuat gereklerine, anlaşmalardan doğan yükümlülüklere, iç ve dış paydaşlara yönelik kurumsal sorumluluklara uyum sağlamak,
  • Gerçekleşebilecek bilgi güvenliği olaylarına hızla müdahale edebilecek ve olayın etkisini minimize edecek yetkinliğe sahip olmak,
  • Bilgi güvenliği seviyesini zaman içinde korumak ve iyileştirmek,
  • Kurum itibarını geliştirmek, bilgi güvenliği temelli olumsuz etkilerden korumak,
  • Kişisel Verilerin Korunması Kanunu kapsamında kişi bilgilerini muhafaza etmek,
  • Çalışanların bilgi güvenliği farkındalığı ve yetkinliklerini geliştirecek eğitimleri gerçekleştirmek, gerekli desteği sağlayarak diğer yönetim sistemleriyle bütünleşik olarak sektörde örnek bir kuruluş olmak,

 

Konularında her bir İstanbul Akvaryum Turizm Ticaret Anonim Şirketi  çalışanı Bilgi Güvenliği Politikasında belirtilen hedeflere katkı sağlamaktan sorumludur.