Information Security Policy - Enda

BİLGİ GÜVENLİĞİ POLİTİKASI

Sisel Mühendislik Elektronik Sanayi ve Ticaret Anonim Şirketi ("Şirket") açısından, bilgi varlıkları (her türlü veri, doküman, yazılım, donanım, sistem, altyapı bileşeni ve bunlarla ilişkili hizmetler) kurumsal faaliyetlerin yürütülmesi ve sürekliliğinin sağlanması bakımından kritik nitelikte olup; Şirket'in bilgi varlıklarını kullanan, yöneten, işleyen veya bu varlıklara erişimi bulunan tüm çalışanlar ile Şirket adına hareket eden üçüncü taraflar (hizmet sağlayıcılar/tedarikçiler/iş ortakları) bilgi varlıklarının korunmasına ilişkin yükümlülüklere uymakla sorumludur.

İşbu Politika'nın amacı; Şirket'in temel ve destekleyici iş süreçlerinin kesintisiz şekilde sürdürülebilirliğini teminen, iç ve dış kaynaklı, kasıtlı veya kazara ortaya çıkabilecek tüm tehditlere karşı Şirket'in bilgi varlıklarını korumak, bilgi güvenliğinin gizlilik, bütünlük ve erişilebilirlik unsurlarını güvence altına almak ve bu çerçevede kurumsal kontrol yaklaşımını tanımlamaktır. Şirket, bilgi güvenliği kültürünün yalnızca teknik tedbirlerle değil; süreç yönetimi, yetkilendirme, farkındalık, denetim ve süreklilik prensipleriyle birlikte bütüncül bir yapı içerisinde işletilmesini esas alır.

Şirket bünyesinde ortak bilgi varlıklarına erişen ve bu varlıkları kullanan tüm çalışanlardan, görev ve sorumlulukları kapsamında gereken özeni göstermeleri; kurumsal itibarı, ticari sırları, müşteri/çalışan/ziyaretçi verileri ile operasyonel bilgileri koruyacak şekilde hareket etmeleri beklenir.

Kurumsal değerler gereği gizlilik ilkesi esastır. Buna göre; bilginin sahibi tarafından açıkça paylaşım onayı verilmediği, ilgili birim tarafından yetkilendirme yapılmadığı veya yürürlükteki mevzuat kapsamında açık bir zorunluluk bulunmadığı sürece, bilgi üçüncü kişilerle paylaşılamaz; yetkisiz erişim, ifşa, çoğaltma veya kurum dışına çıkarma fiilleri kabul edilemez niteliktedir.

Şirket, bilgi güvenliği yönetimini uluslararası standartlara dayalı olarak kurgulama ve sürdürme iradesi doğrultusunda; ISO 27001 Bilgi Güvenliği Yönetim Sistemi yaklaşımı ile hizmet yönetimi alanındaki iyi uygulamalarla uyumlu bir kontrol çerçevesi benimsemeyi hedefler. Bu kapsamda Şirket;

  • Şirketin ve paydaşlarının bilgi varlıklarına güvenli biçimde erişimi sağlamak, erişimlerin rol/ihtiyaç/yetki prensiplerine göre yönetilmesi ve izlenebilirliğin tesis edilmesi için gerekli idari ve teknik mekanizmaları kurmak,
  • Bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini korumak; yetkisiz erişim, veri kaybı, veri sızıntısı, değişiklik, bozulma ve hizmet kesintisi risklerini makul seviyeye indirmek,
  • Şirketin ve paydaşlarının bilgi varlıkları üzerinde oluşabilecek riskleri belirlemek, değerlendirmek ve yönetmek; risk iştahı doğrultusunda risk kabulü, riskten kaçınma, risk azaltma, riski kontrol etme ve risk transferi yöntemlerini uygulamak,
  • Kurumsal güvenilirliği, hizmet kalitesini, operasyonel bütünlüğü ve marka itibarını korumak; bilgi güvenliği olaylarının etkisini azaltacak önleyici ve düzeltici tedbirleri sistematik şekilde işletmek,
  • Bilgi güvenliği ihlali, zafiyet veya politika ihlali tespiti halinde; olayın niteliğine göre gerekli inceleme, raporlama, düzeltici faaliyet ve disiplin/yaptırım süreçlerini yürürlükteki iç düzenlemeler ve mevzuat çerçevesinde uygulamak,
  • Tabi olduğu ulusal/uluslararası/sektörel düzenlemeler ile sözleşmesel yükümlülükler ve standart gerekleri kapsamında ortaya çıkan bilgi güvenliği gereksinimlerini karşılamak; iç ve dış paydaşlara karşı kurumsal sorumluluklar çerçevesinde güvenli işlem tesis etmek,
  • İş sürekliliği yaklaşımı kapsamında bilgi güvenliği tehditlerinin iş/hizmet sürekliliğine etkisini azaltmak; kritik süreçler için uygun iş sürekliliği ve yedeklilik prensiplerini işletmek, olaylara müdahale ve geri dönüş kabiliyetini geliştirmek,
  • Kurulan kontrol altyapısı ile bilgi güvenliği seviyesini korumak ve sürekli iyileştirmek; denetim, gözden geçirme ve performans ölçüm mekanizmalarıyla politika ve kontrolleri güncel tutmak,
  • Bilgi güvenliği farkındalığını artırmak amacıyla çalışanların yetkinliklerini geliştirecek eğitimleri sağlamak; gizlilik, veri güvenliği, parola güvenliği, sosyal mühendislik, e-posta güvenliği, taşınabilir medya kullanımı gibi alanlarda düzenli bilgilendirme yapmak,
  • 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ikincil düzenlemeleri ile uygulanabilir olması halinde Genel Veri Koruma Tüzüğü (GDPR) gibi veri koruma rejimleri kapsamında, kişisel verilerin güvenliğinin sağlanması için gerekli organizasyonel ve teknik tedbirleri almak; kişisel veri işleme faaliyetlerinde hukuka uygunluk ve güvenlik prensiplerini gözetmek,
  • Kişisel veri güvenliği özelinde; erişim yetkilerinin sınırlandırılması, kayıtların izlenebilirliği, güvenli saklama ve imha prensipleri ile veri sızıntısını önleyici kontrol ve süreçleri güçlendirmek amacıyla gerekli yönetişim yapısını tesis etmek,
  • Şirketin bilgi güvenliği ve hizmet yönetimi süreçlerine ilişkin yürürlükteki mevzuat, standartlar ve iç düzenlemelere uygunluğu sürdürmek; politika hükümlerini operasyonel gerekliliklerle uyumlu biçimde hayata geçirmek,

taahhüt eder.

İşbu Politika; Şirket çalışanları, Şirket adına bilgi varlıklarına erişen veya hizmet sunan üçüncü taraflar ve Şirket bilgi varlıkları üzerinde işlem yapan tüm paydaşlar bakımından bağlayıcıdır. Politika hükümlerine aykırılık teşkil eden durumlarda, olayın niteliğine göre gerekli idari/teknik aksiyonlar alınır; Şirket'in sözleşmesel ve yasal hakları saklı kalmak kaydıyla ilgili süreçler işletilir.

ENDA Asistanı
💬
Ürün Seçim Asistanı

Size uygun ürünü bulmak için tıklayın!

Please choose your preferred language.