17.06.2026
Bilgi Güvenliği Politikası
Bilgi varlıklarımızın gizliliğini, bütünlüğünü ve erişilebilirliğini temin etmek için uyulması gereken temel kurallar aşağıda tanımlanmıştır. Ayrıca BGYS kapsamında oluşturulan diğer alt politikalarda ve prosedürlerde de uyulması gereken kurallar tanımlanmıştır.
- Genel Esaslar
a. Bu politika ile çerçevesi çizilen bilgi güvenliği gereksinimleri ve kurallarına ilişkin ayrıntılar, BGYS prosedürleri ile düzenlenir. Kuruluş çalışanları ve 3. taraflar bu prosedürleri bilmek ve çalışmalarını bu kurallara uygun şekilde yürütmekle yükümlüdür.
b. Bu kural ve prosedürlerin, aksi belirtilmedikçe, basılı veya elektronik ortamda depolanan ve işlenen tüm bilgiler ile bütün bilgi sistemlerinin kullanımı için dikkate alınması esastır.
c. Bilgi Güvenliği Yönetim Sistemi, TS ISO/IEC 27001:2022 " Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği Yönetim Sistemleri - Gereksinimler (Information technology - Security techniques - Information Security Management Systems - Requirements) standardını temel alarak yapılandırılır ve işletilir.
d. Kuruluş tarafından çalışanlara veya 3. taraflara sunulan bilgi sistemleri ve altyapısı ile bu sistemler kullanılarak üretilen her türlü bilgi, belge ve ürün aksini gerektiren kanun hükümleri veya sözleşmeler bulunmadıkça Kuruluşa aittir.
- Temel BGYS Prensipleri
a. Çalışanlar ve üçüncü taraflarla yapılan sözleşme/iş sözleşmelerinde Kuruluşun gizlilik ihtiyaçlarını güvence altına almayı amaçlayan sır saklama taahhütleri bulunur.
b. Dış kaynak kullanım durumlarında oluşabilecek güvenlik gereksinimleri analiz edilerek güvenlik şart ve kontrolleri şartname ve sözleşmelerde ifade edilir.
c. Bilgi varlıklarının envanteri bilgi güvenliği yönetim ihtiyaçları doğrultusunda oluşturulur ve varlık sahiplikleri atanır.
d. Kurumsal veriler sınıflandırılır ve her sınıftaki verilerin güvenlik ihtiyaçları ve kullanım kuralları belirlenir.
e. İşe alım, görev değişikliği ve işten ayrılma süreçlerinde uygulanacak bilgi güvenliği kontrolleri belirlenir ve uygulanır.
f. Güvenli alanlarda saklanan varlıkların ihtiyaçlarına paralel fiziksel güvenlik kontrolleri uygulanır.
g. Kuruluşa ait bilgi varlıkları için Kuruluş içinde ve dışında maruz kalabilecekleri fiziksel tehditlere karşı gerekli kontrol ve politikalar geliştirilir ve uygulanır.
h. Kapasite yönetimi, üçüncü taraflarla ilişkiler, yedekleme, sistem kabulü ve diğer güvenlik süreçlerine ilişkin prosedür ve talimatlar geliştirilir ve uygulanır.
i. Ağ cihazları, işletim sistemleri, sunucular ve uygulamalar için denetim kaydı üretme konfigürasyonları ilgili sistemlerin güvenlik ihtiyaçlarına paralel biçimde ayarlanır. Denetim kayıtlarının yetkisiz erişime karşı korunması sağlanır.
j. Erişim hakları ihtiyaç nispetinde atanır. Erişim kontrolü için mümkün olan en güvenli teknoloji ve teknikler kullanılır.
k. Bilgi güvenliği ihlal olayları ve zayıflıklarının raporlanması için gerekli altyapı oluşturulur. İhlal olay kayıtları tutulur, gerekli düzeltici faaliyetler uygulanır ve düzenlenen farkındalık eğitimleri vasıtasıyla güvenlik olaylarından öğrenme sağlanır.
l. Kritik altyapı için süreklilik planları hazırlanır, bakımı ve tatbikatı yapılır.
m. Yasalara, iç politika ve prosedürlere, teknik güvenlik standartlarına uyum için gerekli süreçler tasarlanır, sürekli ve periyodik olarak yapılacak gözetim ve denetim faaliyetleri ile uyum güvencesi sağlanır.
n. Yönetimin Gözden Geçirmesi toplantıları “Yönetimin Gözden Geçirmesi Prosedürü” ne göre yapılır.
- Uyulması Gereken Kabul Edilebilir Kullanım Kuralları
Uyulması gereken kurallar BGYS Kapsamında hazırlanan politika ve prosedürlerde belirtilmiştir. Tüm kurallar esas olarak “Varlıkların Kabul Edilebilir Kullanımı Politikası” dokümanında yer almaktadır. BGYS kapsamı dâhilinde yer alan tüm çalışanlar ve 3. Taraflar belirtilen kurallara uymak zorundadır.