Bilgi Güvenliği Politikası

advertisement
Bilgi Güvenliği Politikası
Arvato Bertelsmann İstanbul, Türkiye
1
Versiyon
2016_1
Yayınlayan
Arvato
Türkiye
Durum
Onaylı
Sınıfı
Genel
Tarih
01.08.2016
Bilgi Güvenliği Politikası
İçindekiler
1. Giriş................................................................................................................................ 4
2. Uygulama Kapsamı ...................................................................................................... 5
3. Motivasyon .................................................................................................................... 6
4. Arvato CRM Çözüm Grubu Bilgi Güvenliği Yapısı ve Prensipleri .......................... 7
4.1 Arvato CRM Çözüm Grubu Bilgi Varlıklar .............................................................. 7
4.2 Bilgi Güvenliği Yönetim Sistemi (BGYS) ................................................................. 7
4.3 Güvenlik Seviyesi ..................................................................................................... 8
4.4 Bilgi Güvenliği Yönetim Sistemi Dokümanlarının Yapısı ve Hiyerarşisi .................. 9
4.5 Organizasyonel Uyum ............................................................................................ 10
4.6 Güvenlik Farkındalığı.............................................................................................. 10
4.7 Üçüncü Taraflar ...................................................................................................... 11
5. Sorumluluklar ve Yükümlülükler .................................................................................. 12
6. Nihai Onay ....................................................................................................................... 13
7. İlgili Dokümanlar ............................................................................................................. 14
2
Bilgi Güvenliği Politikası
Doküman Kontrolü
Sınıflandırma:
Doküman Sahibi:
İletişim:
Yayınlanma Tarihi:
Değerlendirme Zamanı:
Lokasyon:
Versiyon Özeti
Versiyon
1.0
3
Genel
CRM Çözüm Grubu Üst Yönetim
Altuğ Eker
01.08.2016
Her 3 yılda 1, ya da değişiklik olduğu zaman
CRM Çözüm Grubu BGYS SharePoint
Tarih
01.08.2016
Revizyonu Yapan
Kişi
Nida Seçilmiş
Değişiklikler/Notlar
İlk Yayın
Bilgi Güvenliği Politikası
1. Giriş
Bilgi Güvenliği Politikası, Arvato CRM Çözüm Grubu (ÇG) Üst Yönetimi, Bilgi Güvenliği
Yönetim Sistemi’nin (BGYS) kurulma anlayışını ve amacını yansıtır.
Bu dokümanda açıklanan Bilgi Güvenliği Politikası, bilgi güvenliğinin sağlanması için
Çözüm Grubu genelinde temel motivasyon, hedef ve stratejileri tanımlar.
Bu politika için hedef gruplar aşağıdaki gibidir:



Çalışanlar,
Hissedarlar ve
Müşteriler ve CRM Çözüm Grubu’ndaki bilgi güvenliği yönetimi hakkında daha fazla
bilgi sahibi olmak isteyen ilgili dış taraflar.
CRM Çözüm Grubu BGYS politikasını tamamlayan Bilgi Güvenliği Politikası, BGYS’nin
oluşmasına Çözüm Grubu genelinde zemin hazırlar.
Bu BGYS, Çözüm Grubu ailesinin güvenlik gereksinimlerine dayanır ve ISO 27001:2013
standardını dikkate almaktadır.
4
Bilgi Güvenliği Politikası
2. Uygulama Kapsamı
Bilgi Güvenliği Politikası ve bağlı olduğu yönetmelikler, Çözüm Grubu hisselerinin
çoğuna sahip olan Çözüm Grubu’nun kurumsal birimlerinin tümü için geçerlidir.
(Doğrudan veya dolaylı olarak Bertelsmann ailesi ve Arvato)Bu politika, tüm Çözüm
Grubu Üst Yönetim çalışanları, kadrolu personel, sözleşmeli ve geçici çalışanlar, erişim
sağlayan, süreç ve depolama bilgisine sahip, Çözüm Grubu’na ait bilgileri ya da müşteri
bilgilerini ileten ya da bertaraf eden, diğer Çözüm Grup’larının bilgi işlem sistemlerine
veya cihazlarından herhangi birine bağlanabilen ya da herhangi birini kullanan kişiler,
Çözüm Grubu alanları ve lokasyonlar için geçerli ve bağlayıcıdır.
Bu politika; etik, yasal ve sözleşme yükümlülükleriyle uyumlu olarak Bertelsmann ve
Arvato Üst Yönetim kuralları ve politikalarına bağlıdır.
5
Bilgi Güvenliği Politikası
3. Motivasyon
Arvato CRM Çözüm Grubu, global olarak iş süreçlerinin dış kaynak sağlayıcısı bir
şirkettir ve hizmeti;kendisine ait verileri korumayı, bunun yanı sıra müşterinin sahip
olduğu verileri, fikri mülkiyet hakkını, ticari sırları, ve diğer bilgileri güvenli tutmaya
dayanır. Ayrıca, müşterilere en iyi hizmeti sunmak için, güvenilir ve güvenli bilgiyi
kullanmak kaçınılmazdır.
İnsanlar ve sistemler kendi çalışmalarını yürütmek için, ihtiyaç duyduğu bilgilere erişim
sağladığı zaman Çözüm Grubu bilgi güvenliği konusundaki rolünü kabul eder. Bilgisayar
ve bilgi sistemleri, Çözüm Grubu aktivitelerinin çoğunu destekler ve bunlar Çözüm
Grubu’nun iş, destek ve idari fonksiyonları için gereklidir. Bilginin gizliliği, bütünlüğü,
uygunluğu ve güvenilirliği içerisinde, herhangi birinin azalması durumu, Çözüm Grubu iş
süreçlerinin etkin ve verimli çalışmasını engelleyebilir.
Ayrıca bilgi kayıpları veya bilginin yetkisiz ifşası ile Çözüm Grubu itibarının zarar görmesi
ve bu sebeple ciddi kayıpların oluşması muhtelmeldir. Bu riskleri azaltmak için, bilgi
güvenliği, Bilgi Güvenliği Yönetimi’nin ayrılmaz bir parçası olmalıdır. Bilgi Güvenliği
Yönetimi, aşağıdaki maddeleri sağlamak üzere, bilgi ve bilgi sistemlerinin güvenliğini
korumayı amaçlar.




Gizlilik ihlal edilemez ve bilgiye sadece erişim yapmaya yetkilendirilmiş sistemler veya
kişiler tarafından erişilir.
Bilginin bütünlüğünün korunması, verilerin doğruluğunu sağlar.
Bilginin kullanılabilirliği muhafaza edilir ve iş, destek, idari fonksiyonlarında hiçbir
bozulma olmaz ve
Bilginin güvenilirliği garanti edilmekte olup böylece sağlanan iş, sürekli olarak bilginin
özelliklerine göre yapılandırılır.
Bu nedenle, tüm iç ve harici kurumsal, kural, sözleşme ve yasal gereklilikler ve diğer
hususlar dikkate alınarak, Bilgi Güvenliği Yönetim Sistemi, bilgi güvenliğini etkin ve
verimli bir şekilde uygulamak ve yönetmek için temel yapıyı oluşturur.
Çözüm Grubu, ISO / IEC 27001:2013 standardı tarafından belirlenen şekilde bir BGYS
işletmek için, bilgi yönetimi yaşam döngüsü içerisinde, bilgi güvenliği faaliyetlerinin geniş
bir yelpazede belirlenmesi amacı ile yapılandırılmış bir yaklaşım kullanımı sağlar.
6
Bilgi Güvenliği Politikası
4. Arvato CRM Çözüm Grubu Bilgi Güvenliği Yapısı ve Prensipleri
4.1 Arvato CRM Çözüm Grubu Bilgi Varlıkları
Çözüm Grubu’nun bilgi varlıkları – fikri mülkiyet, telif hakları, ticari markalar, kayıtlı
tasarım, patent ve ticari sırlar dahil olmak üzere herhangi bir bilgi olarak tanımlanır. İş ve
işin devamlılığını sağlamak için, etik, yasal veya sözleşme gerekliliklerini yerine getirmek
amacıyla Çözüm Grubu veya bağlı ortakları ‘nın üretilen, kendisine ait, bilgi, süreç,
kayıtları iletir veya bertaraf eder.
Bilgi varlıkları özel bir koruma gerektirir. Bu nedenle, bilgi varlıklarının gizliliği, bütünlüğü,
kullanılabilirliği ve güvenilirliği; herhangi bir hasar ve kayıp durumuna karşı korunmalıdır.
Sonuç olarak, bilgi güvenliğini yeterli düzeyde sağlamak ve Bilgi Güvenliği Yönetim
Sistemi ‘ni verimli ve etkili bir şekilde işletmek gereklidir.
4.2 Bilgi Güvenliği Yönetim Sistemi
Bu politika, Bilgi Güvenliği Yönetim Sistemi’ni oluşturma, izleme, koruma ve sürekli
geliştirmek için temel yapıyı tanımlar. Mevcuttaki BGYS, ilgili riskleri ele almak amacıyla,
bilgi güvenliğini yönetmek ve arttırmak için gerekli organizasyonları ve tüm kontrolleri,
süreçleri ve prosedürleri kapsar.
Sürekli Bilgi Güvenliği Yönetim Sistemi’ni geliştirmek ve değişen iş ortamına uyum
sağlamak amacıyla, BGYS, tüm organizasyonel düzeylerde ayrılmaz bir parçası olan
PUKÖ Döngüsünü (planla - uygula - kontrol et - önlem al) içerir.
Çözüm Grubu Seviyesi
Ülke Seviyesi
7
Bilgi Güvenliği Politikası
Hukuki Varlık / Raporlama
Birimi Düzeyinde
PUKÖ döngüsü içerisinde, BGYS politikasının ve ilgili mevzuatlarının uygulanması ve
bağlılığı rutin bir şekilde değerlendirilecek ve denetlenecektir. Sonuçlar güvenlik
kuruluşu tarafından incelenmek üzere ilgili Üst Yönetim seviyesine rapor edilmelidir. Bu
denetim faaliyetlerine ve süreçlerin değerlendirilmesine dayanarak, BGYS’yi sürekli
geliştirmek için düzeltici önleyici faaliyet oluşturulacaktır. Böylece Çözüm Grubu’nun
güvenlik düzeyi korunacaktır.
4.3 Güvenlik Seviyesi
BGYS politikası ve ilgili yönetmelikleri tüm Çözüm Grubu bilgi varlıkları için asgari
güvenlik sınırlarını tanımlar ve uygulama kapsamındaki tüm Çözüm Grubu kurumsal
varlıkları ve bireyleri için zorunludur.
Asgari güvenlik seviyesinde belirtildiği şekilde verimlilik, etkililik ve güvenlik kontrollerinin
ve önlemlerin yeterliliği BGYS prosedürlerinin bir parçası olan PUKÖ döngüsünü
kullanarak sağlanmaktadır. Asgari güvenlik sınırını aşan, artan bilgi güvenliği
gereksinimleri, tekrarlayan İş Etki Analizi (İEA) ve Risk Etki Analizi (REA) ile
tanımlanacaktır.
Gerektiğinde ve uygun olduğunda, BGYS içerisinde ve ilgili mevzuatlarda ya da ayrılan
BGYS özellikleri ve prosedürleri içerisinde karşılık gelen düzeltmeler/ayarlamalar
sürekli iyileştirme süreci boyunca dahil edilecektir.
8
Bilgi Güvenliği Politikası
4.4 BGYS Dökümanlarının Yapısı ve Hiyerarşisi
Çözüm Grubu ‘nun iş ve güvenlik şartlarına uygun olarak, bilgi güvenliğini oluşturmak,
uygulamak, sürdürmek, izlemek ve sürekli gelişimi için, temel yapı ve standartlar BGYS
dokümanı’nın hiyerarşisi ve yapısı içerisinde ortaya konmaktadır.
Bu temel yapı ve standartlar aşağıdaki maddelerden oluşmaktadır.



Bilgi Güvenliği Politikası
Bilgi Güvenliği Yönetim Sistemi Politikası
Bilgi Güvenliği Yönetmelikleri
Bilgi Güvenliği Politikası(mevcuttaki), bilgi güvenliğinin stratejik önemini Çözüm Grubu
Üst Yönetimi’ne ve onun Çözüm Grubu iş süreçleri içerisindeki sistematik
entegrasyonunu anlatan resmi bir belgedir.
BGYS politikası, BGYS’nin ilkelerini ve hedeflerini tanımlayan ve bilgi güvenliği için risk
yönetimi ve kontrol hedeflerinin belirten dahili bir belgedir. Uygulama kapsamında tüm
kuruluş birimleri ve kişilerin uyması gereken asgari güvenlik seviyesini oluşturur.
Bilgi Güvenliği Yönetmelikleri, risk yönetimi ve bilgi güvenliği için uygulanması gereken
detaylı kontrolleri, yöntemleri ve sorumlulukları tanımlar ve detaylandırır,dahası bilgi
güvenliği kapsamında aşağıdaki maddelerle ilişkilidir:












ISREG 1: Bilgi Güvenliğinin Organizasyonu
ISREG 2: Varlık ve Risk Yönetimi
ISREG 3: İzleme, Gözden Geçirme ve Sürekli Gelişim
ISREG 4: Üçüncü Tarafların Yönetimi
ISREG 5: İnsan Kaynakları Güvenliği
ISREG 6: Fiziksel ve Çevresel Güvenlik
ISREG 7: İletişim ve Operasyon Yönetimi
ISREG 8: Erişim Kontrolü
ISREG 9: Bilgi Sistemlerini Sağlama, Gelişim ve Koruma
ISREG 10: Bilgi Güvenliği Vaka Yönetimi
ISREG 11: İş Sürekliliği Yönetimi
ISREG 12: Uyum
Bilgi güvenliği ve Bilgi Güvenliği Yönetim Sistemi Politikası, her ikiside ÇG Üst Yönetimi
tarafından onaylanmıştır. Böylece, ÇG Üst Yönetimi, ayrıntılı ve bağlayıcı Bilgi Güvenliği
mevzuatlarını ve ilgili kullanım talimatlarını tanımlamak ve hayata geçirmek için Çözüm
Grubu güvenlik organizasyonlarını yetkilendirir.
9
Bilgi Güvenliği Politikası
Gerekirse, tamamlayıcı yerel BGYS özellikleri ve prosedürleri, BGYS politikasının asgari
güvenlik seviyesini arttırmalıdır, ancak bunlar BGYS politikasında ve ilgili
yönetmeliklerinde belirtilen standartlara dahil edilmeli ve uyulmalıdır. Ayrıca yerel kurallar
yasal şartlara uygun olmalıdır.
4.5 Organizasyonel Uyum
BGYS politikası ve ilgili mevzuatlar, uygulama kapsamında Çözüm Grubu kuruluş
birimlerinin tümü için geçerlidir.
ÇG Üst Yönetimi, Arvato Bilgi Güvenliği Yönetim Sistemi PUKÖ Döngüsü ile entegre
edilerek verimli ve etkin bir uyum amaçlayan Arvato ailesi ile Çözüm Grubu BGYS ‘yi
yasallaştırır.
İş süreçlerinde herhangi bir sertifika sağlamak için, Çözüm Grubu BGYS uygulamalarının
kapsamı içerisinde bir veya daha fazla sertifika kapsamı tanımlanabilmektedir. ÇG
BGYS’den yararlanarak, iş süreçleri için, kapsam içerisindeki ifadelerde ve bireysel
uygulanabilirliğin ifadeleri de dahil olmak üzere, bireysel gereksinimler sertifikasyonun
her bir kapsamı için tanımlanacaktır.
4.6 Güvenlik Farkındalığı
ÇG’nin bilgi varlıkları ile ilgili herkesin dahil olduğu, bilgi güvenliğinin önemi ve etkinliği
açısından farkındalık çok önemlidir. Sonuç olarak, bu BGYS politikasına ve ilgili
mevzuata bağlılık, hem bilgi güvenliğini sağlamak için hem de tüm çalışanların bunların
farkında olmasını gerektirdiği şekilde tasarlanmıştır. Bu sebeple, ÇG’nin kuruluş
birimlerinin Üst Yönetimi, ÇG bilgi varlıkları ile ilgili herkesi bilgi güvenliğinin önemi için
desteklemek zorundadır.
Tüm çalışanlar için hedeflenen farkındalık eğitimi, BGYS’nin içerik ve güncellemelerinin
ÇG çalışanlarına iletilmesine bağlı olarak sağlanacaktır.
10
Bilgi Güvenliği Politikası
4.7 Üçüncü Taraflar
Üçüncü taraflar ve BGYS’nin kapsamı içindeki insanlar, sistemler ve süreçler arasındaki
ara yüzlerde bilgi güvenliğini sağlamak için, üçüncü taraflarla anlaşma sağlayan Çözüm
Grubu varlıklarına daha fazla önem verilmektedir.
ÇG, herhangi bir üçüncü taraf ve üçüncü taraflar tarafından sağlanan hizmet türü
arasındaki ara bağlantı derecesine bağlı olarak, ÇG’nin BGYS tarafından belirlenen bazı
şartlarla birlikte kendi süreçlerinin ve sistemlerinin uygun olduğunu göstermek için üçüncü
taraflar gerekli olacaktır.
11
Bilgi Güvenliği Politikası
5. Sorumluluklar ve Yükümlülükler
BGYS’nin korunması ve sürekli gelişimi için, tüm çalışanlar tarafından aşağıdaki ilkelerin
anlaşılması ve bu ilkelere bağlı kalınması esastır.





12
Bilgi ile uğraşan herkes bilgi güvenliğinden sorumludur.
Bilgi, başlangıçta oluşturulduğunda ya da ilk defa bilgiye erişilebildiği zaman, bilginin
gerekli koruma seviyesine ilişkin olarak sınıflandırılmalıdır. Ayrıca bilgi sahibi
tanımlanmalıdır.
Hasar, kayıp ve bilginin kötüye kullanılmasını önlemek için, tüm çalışanlar tarafından
bilgi güvenliği kontrollerine uyulmalıdır.
Bilgiye erişim izni, sadece gerekli olduğunda ve ilgili faaliyetler veya fonksiyonlar için
ilgili yere verilecektir.Sistemin her program ve kullanıcısı, işini tamamlamak için,
gerekli yetkileri minumum seviyede kullanarak çalışmalıdır.
Çözüm Grubu’nun her çalışanı, güvenlik vakalarının tanınmasını ve önlenmesini
desteklemek ve doğru, gerçek, dürüst ifade ve delil sağlamak amacıyla yükümlüdür
ve her çalışan bu yönde teşvik edilmektedir.
Bilgi Güvenliği Politikası
6. Nihai Provizyon
Bu Bilgi Güvenliği Politikası Yönetim Kurulu kararı ile yürürlüğe girer ve yayınlanır; ayrıca
tüm çalışanlara ve ilgili üçüncü taraflara bildirilir.
13
Bilgi Güvenliği Politikası
7. İlişkili dökümanlar
Arvato CRM Çözüm Grubu Bilgi Güvenliği Yönetim Sistemi Politikası
Arvato Bilgi Güvenliği Yönetim Sistemi Politikası
Bertelsmann Bilgi Güvenliği Yönetim Sistemi Politikası
Bilgi Teknolojisi – Güvenlik Teknikleri – Bilgi Güvenliği Yönetim Sistemleri – Şartlar,
ISO/IEC 27001:2013
14
Bilgi Güvenliği Politikası
Download