Bilgi Güvenliği Politikamız

BMBSOFT BİLGİ GÜVENLİĞİ POLİTİKASI

Amaç
MADDE 1-
(1) BMBSOFT’ın bilgi güvenliğini yönetmekteki amacı; kurumsal bilgilerin uygun sınıflandırma düzeyinde gizlilik, bütünlük ve erişilebilirlik özelliklerinin temin edilmesi, içeriden ve/veya dışarıdan gelebilecek, kasıtlı veya kazayla oluşabilecek tüm tehditlerden korunması ve bu amaçla yürütülen faaliyetlerin etkin, doğru ve güvenli bir şekilde gerçekleştirilmesini temin etmektir.
(2) Bilgi güvenliği politikasının amacı ise, BMBSOFT bünyesinde bilgi güvenliği kurallarının yazı halde belirlenmesi ve tüm ilgili taraflara BMBSOFT bilgi güvenliği gereksinimlerinin bildirilmesi ve yazılı kuralların temel dayanağının oluşturulmasıdır.

Kapsam
MADDE 2-

(1) Bu politika tüm BMBSOFT ’ı kapsamakta ve BMBSOFT genelinde Bilgi Güvenliği Yönetim Sistemi kurulmuş ve uygulanmaktadır.
(2) BMBSOFT tarafından sağlanan sağlık bilişim hizmetleri ve bu hizmetler ile ilgili tüm faaliyetler (yazılım geliştirme, bakım ve destek vb.) ve birimler kapsam dâhilindedir.
(3) BMBSOFT BGYS’si kapsamında aşağıdaki çalışma ortamları bulunur:
a) Maltepe Mahallesi Şehit Danış Tunalıgil Sokak No:11/2 06570 Çankaya /Ankara/Türkiye
(4) BMBSOFT Bilgi Güvenliği Yönetim Sistemi aşağıdaki varlık kategorilerini kapsamaktadır:
a) BMBSOFT bünyesinde üretilen, işlenen ve iletilen tüm bilgi varlıkları (Kağıt ve elektronik ortamdaki dosyalar, dokümanlar, veri tabanları vb.),
b) BMBSOFT bünyesinde geliştirilen veya tedarik edilen uygulama veya sistem yazılımlarından oluşan yazılım varlıkları,
c) BMBSOFT bünyesinde barındırılan ve işletilen tüm fiziksel varlıklar (ağ cihazları, güvenlik cihazları, sunucu sistemleri, uydu sistemleri, bilgisayarlar, iletişim donanımı, veri depolama ortamlar vb.),
d) Tüm işlevlerin yerine getirilmesi ile ilgili aydınlatma, iklimlendirme, kablolama gibi unsurlardan oluşan hizmet varlıkları,
e) BMBSOFT ta faaliyetlerin yürütülmesini sağlayan insan kaynakları varlıkları.

Sorumluluk
MADDE 3-

(1) BMBSOFT üst yönetimi, Bilgi Güvenliği Politikasına uyulması, Yönetim Gözden Geçirmesi faaliyetinin yürütülmesi, BGYS’nin kaynak tahsisi ile desteklenmesi ve sürdürülmesinden birinci derecede sorumludur.
(2) Birim yöneticileri, çalışanların Bilgi Güvenliği Politikasını özümsemesi ve politikaya uygun hareket etmelerinin sağlanmasından sorumludur.
(3) BMBSOFT çalışanları;
1) Bilgi Güvenliği Politikası ve kurallarını bilmek; bu kural ve esaslara uygun davranmaktan,
2) Güvenlik ihlallerini bildirmekten,
3) Sistemin geliştirilmesi için uygun gördüğü öneri ve geliştirmeleri iletmekten sorumludur.
(4) Sözleşmeli tedarikçiler ve/veya iş ortakları, bu esasa ve bu esas ile yürürlüğe konularak uygulanan BGYS politika, prosedür ve talimatlarına uymaktan sorumludurlar. Tanımlar
MADDE 4-
(1) Bu politikada geçen;
a) BMBSOFT: BMBSOFT Bilgisayar Yazılım İletişim Sistemleri Sanayi ve Tic. Ltd. Şti.’yi,
b) Genel Müdür: BMBSOFT Genel Müdürü’nü,
c) Üst Yönetim: BMBSOFT A.Ş. Genel Müdür ve BGYS Yönetim temsilcisini,
d) BGYS: ISO/IEC 27001: 2013 standardında tanımlanan Bilgi Güvenliği Yönetim Sistemi’ni,
e) Bilgi Güvenliği: BMBSOFT bilgi varlıklarının gizlilik, bütünlük ve erişilebilirlik özelliklerinin korunmasını,
f) Bilgi Güvenliği Komitesi: BMBSOFT bünyesinde bilgi güvenliğinin uygulanması ve iyileştirilmesine ilişkin kararlari alan komiteyi,
g) Bilgi Güvenliği Yönetim Temsilcisi: BMBSOFT bünyesinde bilgi güvenliğinin uygulanması ve iyileştirilmesine ilişkin koordinasyonunu sağlayan ve BMBSOFT Genel Müdürü tarafından atanan personel’i,
h) Bilgi İşleme Altyapısı: Bilgi işlenmesi sırasında kullanılan bilgisayar donanım, yazılım, bilgisayar ağları ve insan kaynaklarını,
i) Bütünlük: Bilginin yetkisiz değiştirmelerden korunması ve değiştirildiğinde farkına varılması özelliğini,
j) Erişilebilirlik: Bilginin ihtiyaç duyulduğu an erişilebilir olması özelliğini,
k) Gizlilik: Bilginin sadece yetkilendirilmiş kişiler tarafından görülebilir olması özelliğini,
l) İlgili taraflar: BMBSOFT’ın iş yaptığı ve yasal olarak sorumlu olduğu tarafları,
m) Kullanıcı: Bilişim altyapısını ve hizmetlerini kullanan çalışanları, ifade eder.

Bilgi Güvenliği
MADDE 5-

(1) Bilgi, diğer önemli kurumsal varlıklar gibi, bir işletme ve kurum için değeri olan ve bu nedenle uygun şekilde korunması gereken bir varlıktır. Bilgi güvenliği, bilginin uygun şekilde korunması amacıyla çeşitli kontrolleri uygular.
(2) Bilgi güvenliği, bilginin aşağıdaki temel niteliklerinin korunmasını hedefler:
1) Gizlilik: Bilginin sadece erişim yetkisi verilmiş kişilere erişilebilir olduğunu garanti etmek,
2) Bütünlük: Bilginin ve işleme yöntemlerinin doğruluğunu ve yetkisiz değiştirilememesini temin etmek,
3) Erişilebilirlik: Yetkili kullanıcıların, gerek duyulduğunda bilgiye ve ilişkili kaynaklara en hızlı şekilde erişebileceklerini garanti etmek.
(3) Bilgi güvenliği politikası dokümanı, yukarıdaki gereksinimleri sağlayabilmek için oluşturulmuş kontrollerin uygulanması sırasında kullanılacak en üst seviyedeki esasların belirtildiği dokümandır.

Bilgi Güvenliği Amaçları
MADDE 6-

(1) Bilgi güvenliğini sağlamada temel amaç; Bilgi Güvenliği Yönetim Sistemi şartlarını yerine getirerek, çalışanların bilgi güvenliği farkındalıklarını arttırmak, teknik güvenlik kontrollerini uygulamak, kurumun temel ve destekleyici iş faaliyetlerinin en az kesinti ile devam etmesini sağlamak, kurumsal riskleri en alt seviyeye indirerek kurumun güvenliği ile güvenilirliğini ve temsil ettiği makamın imajını korumaktır. Bilgi Güvenliği Altyapısı ve Organizasyonu
MADDE 7-
(1) Bilgi Güvenliği ile ilgili faaliyetler Bilgi Güvenliği Yönetim Temsilcisi tarafından koordine edilir. Bilgi Güvenliği Yönetim Temsilcisi Genel Müdür tarafından atanmıştır. Bilgi Güvenliği Yönetim Temsilcisi, BMBSOFT bünyesinde bilgi güvenliğinin uygulanmasına ve iyileştirilmesine ilişkin koordinasyonunu sağlar. Tüm birimlerde Sistem Temsilcileri, Bilgi Güvenliği Yönetim Sistemi çalışmalarını koordine etmek ve takip etmekle yükümlüdürler.
(2) BMBSOFT, bilgi güvenliğini yönetmek için gerekli alt yapıyı oluşturmuştur. Bu kapsamda BMBSOFT bünyesinde Bilgi Güvenliği Komitesi kurulmuş, roller ve sorumluluklar tanımlanmıştır. Ayrıca çalışanların rol ve sorumlulukları kurum içi görev tanımlarında tanımlanmıştır.

Esaslar
MADDE 8-

(1) BMBSOFT bünyesinde üretilen, işlenen, depolanan ve dağıtılan tüm bilgilerin gizlilik sınıflandırması yapılacak ve bu sınıflandırmaya göre gizli ve hassas bilgilerin gizliliği, bütünlüğü ve erişilebilirliğinin uygun şekilde sağlanması için gerekli kontroller uygulanacaktır.
(2) Kurumsal varlıklar ve bilgiler sahiplendirilecek ve bu varlık ve bilgilerin korunmasında sorumluluk öncelikli olarak varlık ve bilgi sahiplerinde olacaktır.
(3) Kurumsal bilgi güvenliği riskleri sahiplendirilecek ve bu risklerin azaltılmasında sorumluluk öncelikli olarak risk sahiplerinde olacaktır.
(4) Kurumsal bilgilere erişim yetkilendirme dâhilinde uygun şekilde kontrol edilecek, BMBSOFT tarafından belirlenmiş esaslara göre sağlanacak ve kurumsal bilgiler yetkisiz erişim girişimlerine karşı korunacaktır.
(5) Bilgi Güvenliği Yönetim Sistemi içerisinde bilginin gizlilik sınıflandırmasına uygun şekilde korunabilmesi için riskler belirlenerek analiz edilecek ve kabul edilebilir seviye üzerinde kalan riskler güvenlik kontrolleri uygulanarak bu seviyenin altına indirilmeye çalışılacaktır.
(6) Yasal düzenlemeler (Kanunlar, yönetmelikler, genelgeler, tebliğler vb.) ve sözleşmelerden doğan gereksinimler karşılanacak, bunlarla uyumlu çalışma konusunda gerekli tedbirler alınacak ve çalışmalar yapılacaktır.
(7) Kritik iş süreçlerini doğal felaketler ve işletim hatalarının etkilerinden korumak amacıyla bilgi güvenliğine yönelik olarak iş sürekliliği yönetimi uygulanacaktır.
(8) Personelin bilgi güvenliği farkındalığını artıracak ve sistemin işleyişine katkıda bulunmasını teşvik edecek eğitimler düzenli olarak kurum çalışanlarına ve işe yeni başlayan çalışanlara sağlanacaktır.
(9) Bilgi güvenliğine yönelik gerçek ya da şüpheli tüm ihlaller rapor edilecek; ihlallere sebep olan uygunsuzluklar ve bunların kök sebepleri tespit edilecek, bunların tekrar etmesini engelleyici önlemler alınacaktır.
(10) Çalışma alanlarında, gizlilik dereceli ve hassas bilgiler açıkta bırakılmayacak ve bu bilgilerin başkalarınca görülmesine imkân verilmeyecek şekilde önlemler alınacaktır.
(11) BMBSOFT çalışanları kullandıkları tüm bilgi sistemlerinde, BMBSOFT tarafından belirlenmiş olan kriterlere uygun parola kullanmakla sorumludur.
(12) BMBSOFT çalışanları kurum ağ ve internet sistemlerini kullanırken, BMBSOFT tarafından belirlenmiş olan kurallara uygun hareket edeceklerdir.
(13) Bilgi güvenliği açısından kritik görevde bulunan personellerin güvenlik soruşturmaları detaylı bir şekilde yapılacaktır.
(14) Tüm BMBSOFT birimlerinin ilgili taraflarla (yüklenici, tedarikçi, müşteri, vb.) yaptıkları çalışmalarda gizlilik hususlarına dikkat edilecek ve kurumsal bilgilerin korunması amacıyla kurumsal gizlilik sözleşmesi imzalanacaktır.
(15) BMBSOFT çalışanları ve ilgili taraflar bütün faaliyetlerde, ‘bilmesi gereken’ prensibine göre bilgilendirilecektir.
(16) BMBSOFT bünyesindeki bilgi işleme varlıklarının kabul edilebilir kullanımları, BMBSOFT tarafından belirlenen esaslara uygun şekilde yapılacaktır.
(17) BMBSOFT bünyesinde geliştirilen yazılımlar güvenli yazılım geliştirme uygulamalarına uygun şekilde geliştirilecek ve gerek hazır temin edilen yazılımlar gerekse geliştirilen yazılımlar güvenlik testlerinden geçirildikten ve tespit edilen açıklıkları kapatıldıktan sonra kullanılmaya başlanacaktır.
(18) BMBSOFT çalışanları e-posta hizmetlerinin kullanımında BMBSOFT tarafından belirlenen esaslara uygun şekilde hareket edeceklerdir.
(19) BMBSOFT genelinde yürütülmekte olan tüm projelerde, proje riskleri belirlenerek, analiz edilecek ve risklerin azaltılması amacıyla bilgi güvenliği kontrolleri uygulanacaktır.
(20) Tüm birim yöneticileri, birim çalışanlarınca bu esaslara uyulması konusunda birinci derecede sorumlu olup, personelinin esaslara uygun olarak çalışmasını sağlamakla sorumludur.
(21) Bu politikada belirtilen esasların konuya özgü detayları BMBSOFT bilgi güvenliği alt politikaları ve bilgi güvenliği prosedürlerinde verilmiştir. Tüm BMBSOFT çalışanları bilgi güvenliği alt politikalarını, prosedürlerini ve talimatlarını okuyarak buradaki esaslara uygun hareket etmekle yükümlüdür.
(22) Bu politikada ve bilgi güvenliği alt politikalarında belirtilen esasların çalışanlar tarafından kasıtlı veya kasıtsız şekilde ihlali durumunda ilgili personel hakkında disiplin kovuşturması açılabilir.

Gözden Geçirme ve Sürekli İyileştirme
MADDE 9-

(1) Bilgi Güvenliği Politikası organizasyonel değişiklikler, iş şartları, yasal ve teknik düzenlemeler ile ilgili gereksinimlerin değişmesi durumunda, bunlara uyum sağlamak amacıyla gözden geçirilir.
(2) Bu esaslar düzenli olarak, yılda en az bir (1) kez gözden geçirilir.
(3) BMBSOFT Genel Müdürü ve Üst Yönetimi, BGYS’nin sürekli olarak iyileştirilmesi destekler ve bu yönde gerekli kararları alır.

İlgili Dokümanlar
MADDE 10-

(1) BMBSOFT çalışanları bu politikaya bağlı Bilgi Güvenliği Alt Politikalarında belirtilen esaslara uymak ile sorumludur. Bu alt politikalar aşağıdakilerden ibarettir:
a) Temiz Ekran/ Temiz Masa Politikası
b) E-posta Hizmetleri Politikası
c) Internet ve Ağ Kullanım Politikası
d) Parola Politikası
e) Taşınabilir Medya ve Cihaz Kullanımı Politikası

Yürürlük
MADDE 11-

(1) Bu Politika Genel Müdürün onay tarihinden itibaren yürürlüğe girer.

Yürütme
MADDE 12-

(1) Bu Politika hükümlerini Genel Müdür yürütür