BİLGİ GÜVENLİĞİ POLİTİKASI
1. AMAÇ
İNİNAL Bilgi Güvenliği Politikası, tüm çalışanlara, tedarikçilere, şubelere, temsilcilere, iş ortaklarına ve paydaşlara İNİNAL’ın bilgi güvenliği kapsamını, amaçlarını, hedeflerini, ilkelerini ve esaslarını ve bilgi güvenliği ile ilgili rol ve sorumlulukları bildirmek amacıyla hazırlanmıştır.
2. KAPSAM
Bu politika, İNİNAL bünyesindeki veri ve bilgilerin; bilgi güvenliğinin kapsamını, hedeflerini, ilkelerini, yönetim desteğini, risk yönetimi çerçevesini, sürekliliğini, görev ve sorumlulukları, uyum gereksinimlerini ve ihlali durumunda uygulanacak yaptırımları kapsamaktadır.
3. ROLLER VE SORUMLULUKLAR
Bilgi Güvenliği Politikasının güncelliğinin ve sürekliliğinin sağlanmasından Bilgi Güvenliği Komitesi sorumludur. Bilgi Güvenliği politikasında yapılacak güncellemeler Bilgi Güvenliği Komite toplantılarında belirlenir ve Bilgi Güvenliği Yöneticisi tarafından dokümana yansıtılır. Her güncellemede doküman Yönetim Kurulu tarafından onaylanır.
İlgili tarafların bu kapsamdaki görev ve sorumlulukları Bilgi Güvenliği Rol ve Sorumluluklar Prosedürü’nde açıklanmıştır.
Tüm birim yöneticileri kendi sorumluluk alanlarına giren sistemlerin sürekli gözden geçirilmesi ve iyileştirmesinden, tüm çalışanlar güncel olan dokümanları kullanmak ve uygulamaktan sorumludur. Bu politika ile çerçevesi belirlenen bilgi güvenliği gereksinimleri ve kurallarına ilişkin ayrıntılar, bilgi güvenliği prosedürleri ile düzenlenir. Şirket çalışanları ve üçüncü taraflar bu prosedürleri bilmek ve çalışmalarını bu kurallara uygun şekilde yürütmekle yükümlüdür.
4. TANIMLAR VE KISALTMALAR
Bilgi Güvenliği Komitesi | : Bilgi sistemlerinin yönetimine ve bilgi güvenliğinin sağlanmasına ilişkin politikaların, prosedürlerin ve süreçlerin tesis edilmesi, bilgi teknolojilerinin kullanılmasından kaynaklanan risklerin etkin biçimde yönetilmesi amacıyla oluşturulan komiteyi temsil eder. | Hassas ödeme verisi | : Kullanıcıların sistemler üzerinde kimliklerini kanıtlamak amacıyla kullandıkları parola, şifre, kart numarası, kart son kullanma tarihi vb. gizli olarak tanımlanan verilerdir. |
BGYS | : Bilgi Güvenliği Yönetim Sistemi |
Şirket | : İninal Ödeme ve Elektronik Para Hizmetleri A.Ş. |
YS | : Yönetim sistem |
5. REFERANS VE DÖKÜMANLAR
6. BİLGİ GÜVENLİĞİ POLİTİKASI
İNİNAL; tabi olduğu ulusal, uluslararası veya sektörel düzenlemelerden, ilgili mevzuat ve standart gereklerini yerine getirmekten, anlaşmalardan doğan yükümlülüklerini karşılamaktan, iç ve dış paydaşlara yönelik kurumsal sorumluluklardan kaynaklanan bilgi güvenliği gereksinimlerini sağlamak amacı ile:
7. BİLGİ GÜVENLİĞİ HEDEFLERİ VE AMAÇLARI
Bilgi Güvenliği Politikası, şirket çalışanlarına, tedarikçilerine, temsilcilerine, iş ortaklarına ve paydaşlarına şirketin güvenlik gereksinimlerine uygun şekilde hareket etmesi konusunda yol göstermek, bilinç ve farkındalık seviyelerini artırmak ve bu şekilde şirkette oluşabilecek riskleri minimuma indirmek, şirketin güvenilirliğini ve imajını korumak, üçüncü taraflarla yapılan sözleşmelerde belirlenmiş uygunluğu sağlamak, teknik güvenlik kontrollerini uygulamak, şirketin temel ve destekleyici iş faaliyetlerinin minimum kesinti ile devam etmesini sağlamak amacıyla şirketin tüm işleyişini etkileyen fiziksel ve elektronik bilgi varlıklarını iç ve dış kasıtlı veya kasıtsız tehditlere karşı korumayı hedefler.
8. BİLGİ GÜVENLİĞİ ORGANİZASYONU
Şirket yönetimi bilgi güvenliği organizasyonunu şirket bünyesinde oluşturur. Bu kapsamda şirkette güvenlik politikalarının bütünsel bir yaklaşım oluşturulması, sürdürülmesi ve yönetilmesine ilişkin çalışmalar Bilgi Güvenliği Yönetim Süreci kapsamında yürütülür. Şirketin güvenlik kontrol süreçlerini koordine edecek, yönetecek rol ve sorumluluklar Bilgi Güvenliği Rol ve Sorumluluklar Prosedürü kapsamında belirlenir ve ilgili kişilere atanır. Güvenlik teknolojilerindeki gelişmelere bağlı olarak ortaya çıkan ihtiyaçları içerecek yeni politikalar üretilir.
9. RİSK YÖNETİM ÇERÇEVESİ
Şirketin bilgi güvenliğine ilişkin risk değerlendirme yaklaşımı Bilgi Güvenliği Komitesi tarafından belirlenir ve Bilgi Güvenliği Yönetim Süreci kapsamında tanımlanır. Bilgi güvenliği risk değerlendirme yaklaşımı ile şirketin bilgi güvenliği risklerinin hangi yöntemler ile belirleneceği, risk seviyelerinin nasıl hesaplanacağı ve risklerin nasıl değerlendirileceği belirlenir. Bilgi varlıklarıyla ilgili oluşabilecek risklerin tanımlanması, derecelendirilmesi, işlenmesi ve gözden geçirilmesi çalışmaları belirlenen risk değerlendirme yaklaşımına uygun olarak gerçekleştirilir
Risk değerlendirme çalışması sonucunda, riskleri azaltmaya yönelik aksiyonları da içeren “Bilgi Sistemleri Risk Değerlendirme Raporu” oluşturulur. Bilgi Güvenliği Planı, yıllık olarak oluşturulur ve güncellenir.
10. EKLER VE KULLANILAN STANDART FORMLAR
Bilgi Güvenliği Rol ve Sorumluluklar Prosedürü
Bilgi Sistemleri Risk Değerlendirme Raporu
11. POLİTİKA İHLALİ VE YAPTIRIMLAR
Tüm şirket çalışanları, tedarikçileri, temsilcileri, iş ortakları ve paydaşları ilgili yasalar, yönetmelikler ve sözleşmelerden doğan güvenlik gereksinimlerine, fikri mülkiyet haklarına, lisans anlaşmalarına ve şirket tarafından belirlenen güvenlik gereksinimlerine uymakla yükümlüdürler. Yöneticiler sorumluluk alanlarındaki tüm süreçlerin işletilmesinde güvenlik politikalarına ve standartlara uyumu temin eder. Tüm şirket çalışanları, şirket verilerinin gizlilik derecelerine uygun şekilde kullanımı konusunda sorumludurlar.
Şirketin bilgi güvenliği politikalarına uyumun denetlenmesi için Bilgi Güvenliği Yönetim Süreci kapsamında bilgi güvenliği gözden geçirme faaliyetleri gerçekleştirilir. Bilgi Güvenliği Politikası’na uyum durumu yılda en az bir defa yönetim kuruluna raporlanır.
12. GÖZDEN GEÇİRME,YAYIMLAMA VE İÇ KONTROL,DENETİM,RAPORLAMA
Mevzuatta veya bilgi güvenliği uygulama süreçlerindeki değişiklikler politikanın gözden geçirilmesini gerektirir. Gözden geçirilen ve güncellenen politika Yönetim Kurulu tarafından onaylanır. Onaylanan politika kurumun tüm çalışanlarının eriştiği ortak dosya sunucusu üzerinde ve İNİNAL web sitesinde tasnif dışı olarak yayınlanır.
Bu politika, güvenlik anlayışı ile hizmet sunulması ve faaliyetleri kapsamında Bilgi Güvenliği Yöneticisi sorumluğunda yılda en az (1) bir defa gözden geçirilir ve denetlenir.
13. DOKÜMAN REVİZYON KONTROLLERİ
Doküman Revizyon Bilgileri | ||
---|---|---|
Revizyon Açıklaması | Tarih | Revizyon No. |
Bilgi Güvenliği Politikasının Oluşturulması | Mart 2015 | 01.0 |
Yıllık Gözden Geçirme | Nisan 2016 | 01.1 |
Yıllık Gözden Geçirme | Ağustos 2017 | 01.2 |
Yıllık Gözden Geçirme | Mayıs 2018 | 01.3 |
Yıllık Gözden Geçirme | Mayıs 2019 | 01.4 |
Yıllık Gözden Geçirme | Kasım 2020 | 01.5 |
Yıllık Gözden Geçirme | Aralık 2021 | 01.6 |
BGYS kapsamında revizyon ve güncelleme | 28.07.2022 | 02.0 |
Yıllık gözden geçirme | 11.07.2023 | 02.1 |
POL_001_Bilgi_Güvenliği_Politikası
Yayın Tarihi: 10.03.2015
Revizyon: 02.1
Bütünlük: Düşük
Erişilebilirlik: Düşük
Gizlilik: Tasnif Dışı