BİLGİ GÜVENLİĞİ POLİTİKASI
  1. Amaç: Bu politikanın amacı, hukuka, yasal, düzenleyici ya da sözleşmeye tabi yükümlülüklere ve her türlü güvenlik gereksinimlerine ilişkin ihlalleri önlemek için, üst yönetimin yaklaşımını ve hedeflerini tanımlamak, tüm çalışanlara ve ilgili taraflara bu hedefleri bildirmektir.
  2. Kapsam: Bu politika Şirket bünyesinde yapılan ticari faaliyetlere  ve bu işlemlere ilişkin lojistik, depolama, muhasebe, finans, kalite güvence, satın alma, insan kaynakları, hukuk, satış, pazarlama, iç denetim ve bilgi işlem faaliyetlerinden elde edilen elektronik bilgi varlıkların korunması, şirket bünyesinde tutulan kişisel verilerin   kanun   kapsamında   işlenmesi,   saklanması,   korunması,   gizliliğinin   ve bütünlüğünün    bozulmaması için  kullandığı bilgi güvenliği  süreçlerini kapsar.

    2.1. İç Kapsam
           
    İdare, kuruluşa ilişkin yapı, roller ve yükümlülükler;
          2.1.1. Şirket  Üst   Yönetimi   bünyesinde   bulunan   kapsam   dahilindeki departmanlar;, Mali ve İdari İşler, Satınalma, Finans, Bilgi İşlem,Kurumsal                   İletişim ve İş Geliştirme, İnsan Kaynakları, Kalite, İhracat, İthalat, Lojistik, Hukuk, İç Denetim, Satış, Pazarlama
           2.1.2. Genel Yönetim Organizasyon Şemasında belirtilmiş roller ve görev tanımlarındaki sorumluluklar.
           2.1.3. Yerine getirilecek politikalar, prosedürler, hedefler ve stratejiler;
                     2.1.3.1. Bilgi Güvenliği Yönetim Sistemi Politikası,
                     2.1.3.2. Tüm Bilgi Güvenliği yönetim sistemleri prosedürleri,
                     2.1.3.3. Yönetimce   belirlenmiş   yıllık  Bilgi   Güvenliği   yönetim sistemleri hedefleri,
                      2.1.3.4. Kaynaklar ve bilgi   birikimi   cinsinden   anlaşılan   yetenekler(örneğin,   anapara,   zaman,   kişiler,   süreçler,   sistemler   ve teknolojiler),
                  2.1.3.5. Bilgi Güvenliği Yönetim Sisteminin kurulması, işletilmesi ve sürdürülmesi   için   yönetim   tarafından   atanan   Yönetim Temsilcileri ve                               Bilgi  Güvenliği Yönetim Sistemi ekibi,
            2.1.3.6. İç paydaşlarla ilişkiler ve onların algılamaları ve değerleri, kuruluşun kültürü, kuruluş tarafından uyarlanan standartlar, kılavuzlar ve                              modeller, sözleşmeye ilişkin ilişkilerin; biçim ve genişliğini kapsamaktadır. 
    2.2. Dış Kapsam
           2.2.1. Uluslararası,   ulusal,   bölgesel   veya   yerel   olmak   üzere,   sosyal   ve kültürel,   politik,   yasal,   mevzuata   ilişkin,   finansal,   teknolojik,                    ekonomik, doğal ve rekabetçi ortam,
             2.2.2. Küresel Rekabet Hukuku, Politikaları ve Prosedürleri,
             2.2.3. Tedarikçi ve müşteri verilerinin gizliliği,
             2.2.4. Kalite Odaklılık,
             2.2.5. Kuruluşun hedefleri üzerinde etkisi bulunan paydaşlarla ilişkiler ve onların algılamaları ve değerleri;
             2.2.6. Müşteri   memnuniyetin   sağlanması   için   Üst   Yönetim   dahil   tüm Şirket çalışanları,
             2.2.7. İlgili tüm yasal mevzuat, düzenleyici, sözleşmeden doğan şartlar, standartlar,
            2.2.8. TSE   ve   diğer   kuruluşlarla   olan   ürün   belgelendirmeleri   dış kapsamdır. 
  3. Tanımlar
    3.1.  BGYS: Bilgi Güvenliği Yönetim Sistemi.
    3.2.  Envanter: Bilgi Güvenliği Yönetim Sistemi.
    3.3.  Üst Yönetim:: Bilgi Güvenliği Yönetim Sistemi.
    3.4.  Know-How: : Bilgi Güvenliği Yönetim Sistemi.
    3.5.  Bilgi Güvenliği: Bilgi Güvenliği Yönetim Sistemi.
    3.6.  Gizlilik: Bilgi Güvenliği Yönetim Sistemi.
    3.6. Bütünlük: Bilginin yetkisiz veya yanlışlıkla değiştirilmesinin, silinmesinin veya   eklemeler  çıkarmalar   yapılmasının   tespit   edilebilmesi   ve   tespit.      edilebilirliğin garanti altına alınmasıdır. (Örnek:  Veri tabanında saklanan verilerin özet bilgileri ile birlikte saklanması - elektronik imza - mobil         imza)
    3.8. Erişilebilirlik/Kullanılabilirlik: Varlığın ihtiyaç duyulduğu her an kullanıma hazır olmasıdır. Diğer bir ifadeyle, sistemlerin sürekli hizmet verebilir           halde bulunmasI ve sistemlerdeki bilginin  kaybolmaması ve sürekli erişilebilir olmasıdır. (Örnek::Sunucuların güç  hattı   dalgalanmalarından ve             güç kesintilerinden etkilenmemesi için kesintisiz güç kaynağı ve  şaselerinde yedekli güç kaynağı kullanımı         - UPS). Bu politikada “Erişilebilirlik”           olarak kullanılacaktır.
    3.9. Bilgi Varlığı: Şirket’in  sahip   olduğu,  faaliyetlerini  aksatmadan yürütebilmesi için önemli olan varlıklardır. Bu politikaya konu olan süreçler         kapsamında bilgi varlıkları şunlardır:
             3.9.1. Kağıt, elektronik, görsel veya işitsel ortamda sunulan her türlü bilgi ve veri,
             3.9.2. Bilgiye erişmek ve bilgiyi değiştirmek için kullanılan her türlü yazılım ve donanım,
             3.9.3. Bilginin transfer edilmesini sağlayan ağlar,
             3.9.4. Tesisler ve özel alanlar,
             3.9.5. Bölümler, birimler, ekipler ve çalışanlar,
             3.9.6. Çözüm ortakları,
             3.9.7. Üçüncü taraflardan sağlanan servis, hizmet veya ürünlerdir.
  4. Sorumluluklar: Sorumluluk ve yetkileri   belirlenmiş görevlerin niteli ve yeterlilikleri görev tanımlarında   tanımlanmıştır.   Bilgi   güvenliği   ile   ilgili faaliyetlerin sürdürülmesinden ve geliştirilmesinden Bilgi İşlem Ekibi ve YönetimTemsilcisi   sorumludur.   BGYS   Ekibi   ve   Yönetim   Temsilcileri   Üst   Yönetim tarafından   atanmıştır.   Kapsam   içindeki   departmanlardan   BGYS temsilcileri belirlenmiştir. BGYS ekip üyesi olarak isim bazında atamaları yapılmıştır.

    4.1. Yönetim Sorumluluğu
           4.1.1. Şirket Yönetimi, tanımlanmış, yürürlüğe konmuş ve uygulanmakta olan Bilgi Güvenliği Sistemine uyacağını ve sistemin verimli şekilde çalışması                  için gerekli kaynakları tahsis edeceğini, sistemin tüm çalışanlar tarafından anlaşılmasının sağlayacağını taahhüt eder..
         4.1.2. BGYS kurulumu sırasında BGYS Yönetim Temsilcisi atama yazısı ile atanır. Gerekli olduğu durumlarda üst yönetim tarafından doküman revize                  edilerek atama tekrar yapılır.
         4.1.3. Yönetim   kademesindeki yöneticiler güvenlik konusunda kademelerde bulunan personele sorumluluk verme ve örnek olma açısından                    yardımcı olurlar. Üst kademelerden başlayan ve uygulanan anlayış, firmanın en alt kademe personeline kadar inilmesi zorunludur. Bu yüzden              tüm yöneticiler yazılı yada sözlü olarak güvenlik talimatlarına uymaları, güvenlik konularındaki çalışmalara katılmaları yönünde çalışanlarına                   destek olurlar.
            4.1.4. Üst Yönetim, Bilgi güvenliği kapsamlı çalışmalar için gerek duyulan bütçeyi oluşturur.

    4.2. Yönetim Temsilcisi Sorumluluğu
        4.2.1. BGYS (Bilgi Güvenliği Yönetim Sistemi)'nin planlanması, kabul edilebilir risk seviyesinin belirlenmesi, risk değerlendirme metodolojisinin                     belirlenmesini,
       4.2.2. BGYS kurulumunda destekleyici ve tamamlayıcı faaliyetler için gerekli kaynakların sağlanması, kullanıcı kabiliyetlerinin                     sağlanması/iyileştirilmesi  ve   farkındalığın   oluşması,   eğitimlerin yapılması, iletişimin sağlanması, dokümantasyon gereksinimlerinin                     sağlanması,
       4.2.3. BGYS uygulamalarının yürütülmesi ve yönetilmesi, değerlendirmelerin, iyileştirmelerin ve risk değerlendirmelerinin sürekliliğinin                     sağlanması,
             4.2.4. İç denetimler, hedeflerin ve yönetim gözden geçirme toplantıları ile BGYS ve kontrollerin değerlendirilmesi,
             4.2.5. BGYS'de mevcut yapının sürdürülmesi ve sürekli iyileştirmelerin sağlanmasından sorumludur.

    4.3. BGYS Ekip Üyeleri Sorumluluğu
            4.3.1. Bölümleri   ile   ilgili   varlık   envanteri   ve   risk   analiz   çalışmalarının yapılması,
          4.3.2. Sorumluluğu   altında   bulunan   bilgi varlıklarında bilgi güvenliği risklerini etkileyecek bir değişiklik olduğunda, risk değerlendirmesi yapılması                  için Yönetim Temsilcisini bilgilendirmesi,
      4.3.3.BGYS uygulamalarının yürütülmesi ve yönetilmesi, değerlendirmelerin, iyileştirmelerin ve risk değerlendirmelerinin sürekliliğinin                     sağlanması,
           4.3.4. İç denetimler, hedeflerin ve yönetim gözden geçirme toplantıları ile BGYS ve kontrollerin değerlendirilmesi,
           4.3.5. BGYS'de mevcut yapının sürdürülmesi ve sürekli iyileştirmelerin sağlanmasından sorumludur.

    4.4. İç Denetçi Sorumluluğu:İç denetim planı doğrultusunda, görev verilen iç denetimlerde denetim faaliyetlerinin yapılmasından ve raporlanmasından         sorumludur.

    4.5. Bölüm Yöneticileri Sorumluluğu: Bilgi Güvenliği Politikasının uygulanması ve  çalışanların esaslara   uymasının   sağlanmasından,  3. tarafların        politikadan haberdar olmasının sağlanmasından ve fark ettiği bilgi sistemleri   ile ilgili   güvenlik   ihlal olaylarının  bildirilmesinden sorumludurlar.

    4.6. Tüm Çalışanların Sorumluluğu
            4.6.1. Çalışmalarını bilgi güvenliği  hedeflerine,   politikalarına   ve   bilgi güvenliği   yönetim   sistemi   dokümanlarına uygun  olarak yürütmekten,
          4.6.2. Kendi birimi ile ilgili bilgi güvenliği hedeflerinin takibini yapar ve hedeflere ulaşılmasını sağlar.
           4.6.3.Sistemler veya hizmetlerde gözlenen veya şüphelenilen herhangi bir bilgi güvenliği açıklığına dikkat etmek ve raporlamaktan,
          4.6.4. Üçüncü taraflar ile yapılan ve Satın alma sorumluluğunda olmayan hizmet  sözleşmelerine   (danışmanlık   vb.)   ilave  olarak gizlilik sözleşmesi                  yapmak ve bilgi güvenliği gereksinimlerini sağlamaktan sorumludur.
           4.6.5. BGYS'de mevcut yapının sürdürülmesi ve sürekli iyileştirmelerin sağlanmasından sorumludur.

    4.7. Üçüncü Tarafların Sorumluluğu: Bilgi güvenliği politikasının bilinmesi ve uygulanması ile BGYS kapsamında belirlenen davranışlara uyulmasından        sorumludur.

  5. Bilgi Güvenliği Hedefleri: Bilgi Güvenliği Politikası, Şirket çalışanlarına firmanın güvenlik gereksinimlerine   uygun   şekilde   hareket   etmesi   konusunda   yol göstermek, bilinç ve farkındalık seviyelerini arttırmak ve bu şekilde şirketin temel ve destekleyici iş faaliyetlerinin en az kesinti ile devam etmesini sağlamak, güvenilirliğini ve imajını korumak ve üçüncü taraflarla yapılan sözleşmelerde belirlenmiş uygunlukları sağlamak amacıyla firmanın tüm işleyişini etkileyen fiziksel ve elektronik bilgi varlıklarının korunmasını hedefler. Yönetim Tarafından belirlenen hedefler belirlenmiş periyotlarda izlenir ve Yönetim Gözden Geçirme toplantılarında gözden geçirilir.
  6. Risk   Yönetim   Çerçevesi: Firmanın   risk   yönetim   çerçevesi;   Bilgi   güvenliği risklerinin   tanımlanmasını,   değerlendirilmesini   ve   işlenmesini   kapsar.   RiskAnalizi, uygulanabilirlik bildirgesi ve risk işleme planı, bilgi güvenliği risklerinin nasıl   kontrol   edildiğini   tanımlar.   Risk   işleme   planının   yönetiminden ve gerçekleştirilmesinden BGYS Yürütme ve Yönetim Komitesi sorumludur. Tüm bu çalışmalar, varlık envanteri  ve   risk   değerlendirme   talimatında   detaylı   olarak açıklanır.
  7. Bilgi Güvenliği Genel Esasları
     7.1.
    Bu politika ile çerçevesi çizilen bilgi güvenliği gereksinimleri ve kurallarına ilişkin ayrıntılar,  Şirket çalışanları ve 3. taraflar bu politika ve prosedürleri         bilmek   ve   çalışmalarını   bu   kurallara   uygun   şekilde   yürütmekle yükümlüdür.
     7.2. Bu kural ve politikalar, aksi belirtilmedikçe, basılı veya elektronik ortamda depolanan ve işlenen tüm bilgiler ile bütün bilgi sistemlerinin kullanımı         için dikkate alınması esastır.
    7.3.
    BGYS’nin hayata geçirilmesi, işletilmesi ve iyileştirilmesi çalışmalarını, ilgili tarafların katkısıyla yürütür. BGYS dokümanlarının gerektiği          zamanlarda güncellenmesi BGYS Yönetim Temsilcisi sorumluluğundadır.
    7.4.
    Şirket  tarafından çalışanlara veya 3. taraflara sunulan bilgi sistemleri ve alt yapısı ile bu sistemler kullanılarak üretilen her türlü bilgi, belge ve         ürün aksini gerektiren kanun hükümleri veya sözleşmeler  bulunmadıkça şirkete aittir.
    7.5.
    Çalışanlar, danışmanlık, hizmet alımı (Güvenlik, servis, yemek, temizlik firması vb.), Tedarikçi ve Stajyer ile gizlilik anlaşmaları yapılır.
    7.6.
    İşe
    alım, görev değişikliği ve işten ayrılma süreçlerinde uygulanacak bilgi güvenliği kontrolleri belirlenir ve uygulanır.
    7.7.
    Çalışanların bilgi güvenliği farkındalığını artıracak ve sistemin işleyişine katkıda bulunmasını sağlayacak eğitimler düzenli olarak mevcut şirket         çalışanlarına ve yeni işe başlayan çalışanlara verilir.
    7.8. Bilgi güvenliğinin gerçek ya da şüpheli tüm ihlalleri rapor edilir; ihlallere sebep olan uygunsuzluklar tespit edilir, ana sebepleri bulunarak tekrar        edilmesini engelleyici önlemler alınır.
    7.9. Bilgi   varlıklarının   envanteri   bilgi   güvenliği   yönetim   ihtiyaçları doğrultusunda oluşturulur ve varlık sahiplikleri atanır.
    7.10. Kurumsal veriler sınıflandırılır ve her sınıftaki verilerin güvenlik ihtiyaçları ve kullanım kuralları belirlenir.
    7.11. Güvenli alanlarda saklanan varlıkların ihtiyaçlarına paralel fiziksel güvenlik kontrolleri uygulanır.
    7.12. Firmaya ait bilgi varlıkları için firma içinde ve dışında maruz kalabilecekleri fiziksel tehditlere karşı gerekli kontrol ve politikalar geliştirilir ve           uygulanır.
    7.13. Kapasite yönetimi, üçüncü taraflarla ilişkiler, yedekleme, sistem kabulü ve diğer   güvenlik   süreçlerine   ilişkin   prosedür   ve   talimatlar   geliştirilir          ve uygulanır.
    7.14. Ağ cihazları, işletim sistemleri, sunucular ve uygulamalar için denetim kaydı   üretme   konfigürasyonları   ilgili   sistemlerin   güvenlik   ihtiyaçlarına          paralel   biçimde   ayarlanır.   Denetim   kayıtlarının   yetkisiz   erişime   karşı korunması sağlanır.
    7.15. Erişim hakları ihtiyaç nispetinde atanır. Erişim kontrolü için mümkün olan en güvenli teknoloji ve teknikler kullanılır.
    7.16. Sistem   temini   ve   geliştirilmesinde   güvenlik   gereksinimleri   belirlenir, sistem   kabulü   veya   testlerinde   güvenlik   gereksinimlerinin            karşılanıp karşılanmadığı kontrol edilir.
    7.17. Kritik altyapı için süreklilik planları hazırlanır, bakımı ve tatbikatı yapılır.
    7.18. Yasalara, iç politika ve prosedürlere, teknik güvenlik standartlarına uyum için gerekli süreçler tasarlanır, sürekli ve periyodik   olarak    yapılacak gözetim ve denetim faaliyetleri ile uyum güvencesi sağlanır.

  8. Politikanın   İhlali   ve   Yaptırımlar Bilgi Güvenliği Politikasına ve Standartlarına uyulmadığının tespit edilmesi durumunda, bu ihlalden sorumlu olan çalışanlar için  Disiplin   Yönergesi ve Prosedürü ’ne  göre 3. Taraflar için de geçerli olan sözleşmelerde geçen ilgili maddelerinde belirlenen yaptırımlar uygulanır.

  9. Yönetimin Gözden Geçirmesi Yönetim gözden geçirme toplantıları BGYS KaliteYönetim Temsilcisi Organize edilerek, Üst Yönetim ve Bölüm yöneticileri katılımı ile   gerçekleştirilir.   Bilgi   Güvenliği   Yönetim   Sisteminin   uygunluğunun   ve etkinliğinin   değerlendirildiği   bu   toplantılar   en   az   yılda   bir   kez gerçekleştirilmektedir.
  10. Bilgi Güvenliği Politika Dokümanı Güncellenmesi ve Gözden Geçirilmesi Politika dokümanının sürekliliğinin sağlanmasından ve gözden geçirilmesindenBGYS Yönetim Temsilcileri sorumludur.  Politika ve prosedürler en az yılda bir kez gözden geçirilmelidir. Bunun dışında sistem yapısını veya risk değerlendirmesini etkileyecek herhangi bir değişiklikten sonra da gözden geçirilmeli ve herhangi bir değişiklik gerekiyorsa üst yönetime onaylatılarak yeni versiyon olarak kayıt altına   alınmalıdır.   Her   revizyon   tüm   kullanıcıların   erişebileceği   şekilde yayınlanmalıdır.