+90 850 888 07 08
qua.com.tr
Yatırımcı İlişkileri

BİLGİ GÜVENLİĞİ POLİTİKASI

  1. AMAÇ VE KAPSAM

Bu politika QUA GRANİTE AŞ çalışanlar tarafından uyulması gereken bilgi kuralları ve standartlarını açıklamak amacıyla hazırlanmıştır.

  1. SORUMLULUK

Bilgi güvenliği temelde aşağıdaki amaçlar hedefler: Şirketimizde her departman kullanıcı ekranları farklıdır. Her kullanıcı diğer departman ekranlarını göremez. Sistemin yetkilendirmesini Genel Müdür tarafından yapılır. Bilgi Güvenliği politikasının günlük operasyonlara ve sistemlere uygulamasından gözetilmesinden ve gerekli önlemlerin alınmasından dan Bilgi işlem sorumludur.

  1. SİSTEM TANIMLARI
  • Hayat Döngüsü: Faktoring işlemleri için kullanılan sistemdir.
  • Facto 2000: Risk Merkezi veri alma ve iletim için kullanılan sistemdir.
  • BGA: Bilgi Güvenliği
  1. BİLGİ GÜVENLİĞİ İLKELERİ

Şirketimize ait Bilgi Güvenliği Politikası oluşturulmuş olup bu politika kapsamında hazırlanmış olan talimatlar aşağıda gösterilmiştir. Kurumsal Bilişim sistemlerinin güvenliğinde herhangi bir aksamaya mahal verilmemesi için genel sistem seviyesinde alınmış olan güvenlik tedbirleri yanında çalışanlarımızın da bu hususta titizlikle uyması gereken bu kurallara bütün şirketimiz çalışanları uymak zorundadır.

  1. Veri Sınıflandırması

QUA GRANİTE AŞ bünyesinde veriler Çok Gizli, Dahili Kullanıma ilişkin Bilgi ve Kamuya Açık Bilgi seklinde 3 sınıfta ele alınmıştır.

GİZLİ BİLGİ: Bu bilgi varlıklarına erişim belirli güvenlik standartları ve kuralları ile korunur. Belirli bir iş ihtiyacı için yenmesi gerekenler tanımlı kontroller dâhilinde gizli bilgilere erişir. Bilgi varlığının paylaşılması bilgi varlığı sahibinin onayına bağlıdır. Risk Merkezi verilerine erişen taraflar dışındakiler ile yapılan paylaşımlarda yasal kurallara uyumluluk ve bir gizlilik sözleşmesi imzalanmasına ihtiyaç duyulur. Bu sınıftaki bilgi varlıklarının uygun biçimde etiketlenmesi esastır. Risk Merkezi Verileri, müşteri dosyalar, istihbarat raporu olan, çalışan özlük dosyaları vb. gibi Üst düzey bilgiler bu sınıfta ele alınabilir.

ŞİRKETE AÇIK BİLGİ: Bu bilgi varlığının paylaşımı, bilgi güvenliğine ilişkin hükümleri içeren bir sözleşme yapılmasına bağlı olur. Bu sınıftaki bilgiler, sızdırıldığı durumlarda çok ciddi zarar vermeyen, tüm çalışanların erişim ve kullanıma açık bilgilerdir. Telefon defteri, Çalışanların iş takvimleri bu kapsamda değerlendirilebilir. Bu sınıftaki bilgi varlıkları etiketlenmez.

KAMUYA AÇIK BİLGİ: Bu bilgi varlığı, dahili veya harici olarak genel kullanıma açıktır. Örneğin; web-sitesi, broşürler, basın açıklamaları bu kapsamda değerlendirilir. Bu sınıftaki bilgi varlıkları etiketlenmez.

 

 

 

Gizli

Şirkete Açık

Kamuya Açık
Etiketleme

Çıktı alındığı durumlarda “GİZLİ” kaşesi ile etiketlenir

Etiketlenmez

Etiketlenmez
Çoğaltma

Sadece özel yetkili personel gerçekleştirebilir. Tarayıcıda taranan belgeler yalnızca yetkilendirilmiş kişilerin erişebildiği klasörde aktarılır

Tüm şirket çalışanları bu sınıftaki bilgiyi çoğaltabilir.

Kısıtlama yok
Depolama

Sadece yetkili personel PC/Laptopta ya da server ortamında erişim yetkisi verilmiş bir şekilde depolanır. PC/Laptoplara erişimde güçlü şifreleme kullanılır. Çıktı halindeki gizli veriler kilitli dolap/odalarda saklanır

Şirketteki tüm çalışanların erişebileceği yerlerde saklanırlar

Kısıtlama yok
Silme

Yalnızca erişim yetkisi olan personel tarafından sistemden silinebilir.

Yalnızca erişim yetkisi olan personel tarafından sistemden silinebilir

Kısıtlama yok
İmha

Parçalama (CD, Harddisk), 
Kağıt Kırpma Makinası

Parçalama (CD, Harddisk), Kağıt Kırpma Makinası

Kısıtlama yok

 

  1. Şifreleme Kullanımı Politikası
  • Facto 2000 sisteminden şifre tanımlanması, yetkilendirme, işten ayrılırken şifrenin iptal edilmesi Bilgi İşlem Bölümü tarafından yapılır. 
  • Geçici başlangıç şifresi ilk oturum açılmadan değiştirilir.
  • QUA GRANİTE AŞ tarafından 1 aylık aralıklarla şifre değiştirilmesi için sistem otomatik olarak şifre değişikliği için uyarı verir.
  • Şifreler e-posta iletilerine veya herhangi bir elektronik forma eklenmemelidir.
  • Şifreler başkası ile paylaşılmamalı, kağıtlara ya da elektronik ortamlara yazılmamalıdır.
  • Şifrelemede, küçük veya büyük karakterlerde harflerle ve sayılara sahip olmalıdır 
    (Ör: ABC12D).
  • En az altı adet alfa nümerik karaktere sahip olmalıdır.
  • Herhangi bir kişiye telefonda şifre verilmemelidir.
  • E-posta mesajlarında şifre yazılmamalıdır.
  • Şifreler, işten uzakta olduğunuz zamanlarda iş arkadaşlarına verilmemelidir.
  • Bir kullanıcı adı ve şifresi birden çok bilgisayarda kullanılmamalıdır.
  • İşletim sistemi üzerinde “Oturum Aşma Süresi”, 15 dakikadır.
    1. Veri Bütünlüğü ve Kayıtların Korunması

Risk Merkezi verisi bulunan ve iletim amacıyla kullanılan tüm sistemlerde veri doğruluğunun ve tamlığının sağlanması amacıyla sistemsel kontrol ortamı oluşturulmalıdır.

  • Risk Merkezi verilerinin bulunduğu ve iletiminin gerçekleştirildiği sistemler üzerinde, verilerin doğruluğunu ve tamlığını sağlamak amacıyla uygun sistemsel kontrol ortamları oluşturulmuştur.
  • Verilerin bulunduğu ve iletiminin sağlandığı sistemler üzerinde oluşturulan kontrollerin bozulması ya da verilerin bütünlüğünün bozulmasına ilişkin şüphe oluştuğunda Genel Müdür/ Genel Müdür Yardımcısı tarafından Risk Merkezi Yönetimine bilgi verilir.
  • Şirket bünyesinde Loglar zaman damgalı bir şekilde tutulmaktadır. Her ayın sonunda periyodik olarak Bilgi İşlem Müdürü tarafından gözden geçirilmelidir.
    1. Veri Güvenliği ve Erişim Politikası

Risk Merkezi verisi bulunan tüm bilgi sistemlerinde tutulan veriler uygun veri güvenliği politikalarında sınıflandırılmalı ve farklı seviyelerde erişim kontrollerine tabi tutulmalıdır.

  • Yönetilen Bilgi Sistemlerine erişim sadece geçerli ve yetkili kullanıcılar tarafından gerçekleştirilmiştir.
  • Yönetilen Bilgi Sistemleri üzerinde yetkili kullanıcı erişimleri görev tanımlarında belirtilen sorumlulukları gerçekleştirebilecek düzeyde ve mümkün olan en alt seviyede olmalıdır.
  • Kullanıcıların yönetilen Bilgi Sistemlerine erişimi, kişiye özel kimlik doğrulama bileşenleri ile sağlanmalıdır.
  • Yönetilen Bilgi Sistemlerine erişim mümkün olduğu ölçüde aşağıda belirtilen şekilde sınırlandırılmalıdır.
  • Fiziksel Ağ Erişimi: Sadece bilinen ve kayıtlı cihazlar ve/veya kartlar yerel ağ omurgasına bağlanmalıdır. Ağ ekipmanı, ağa bağlanmaya çalışan yabancı ağ aygıtlarını tanımlayabilecek şekilde düzenlenir.
  • Mantıksal Ağ Erişimi: Bilgi Sistemleri üzerindeki tanımlı tüm kullanıcılar ağda bulunan kaynaklara erişim izni kazanmadan önce ağ seviyesinde doğrulanır.
  • İşletim Sistemi Erişimi: Sadece etkileşimli sistem erişimine ihtiyacı olan kullanıcıların direkt olarak ağ sunucularına bağlanmalarına izin verilir.
  • Uygulama Erişimi: Tüm kullanıcılar kendilerine tanımlı işleri yapabilmesi için gerekli uygulamaları kullanmadan önce doğrulanır. Risk Merkezi Verilerine erişecek personel ile Risk Merkezi için Kredi Kayıt Bürosu üzerinden kullanıcı/yetki talebinde bulunulur.
    1. Verinin Erişilebilirliği

Kullanılmakta olan faktoring yazılımı ile ilgili yetki kontrolleri, İç Kontrol Müdürü tarafından çeyrek dönemlerde [Mart/Haziran/Eylül/Aralık] periyodik olarak gözden geçirilmektedir.

QUA GRANİTE AŞ bünyesinde kritik olan, Risk Merkezi verisi bulunan veya iletim amacıyla kullanılan tüm sistemlerin erişilebilir olmasını sağlamak amacıyla uygun sistemsel altyapı kurulmuştur.

Risk Merkezi verisi bulunan sistemlerin erişilebilirliğini sağlamak amacıyla sistem altyapısına ilişkin risk ve kesinti etki değerlendirmeleri iş sürekliliği planında ele alınmaktadır. Sistem erişilebilirliğine ilişkin hizmet seviyeleri plan içerisinde belirlenmiştir. Testlerle kayıt altına alınmaktadır.

  1. E-Posta Kullanma Kuralları
  • Şirketin e-posta sistemi, taciz, suistimal veya herhangi bir şekilde alının haklarına zarar vermeye yönelik öğeleri içeren mesajların gönderilmesi için kesinlikle kullanılamaz.
  • Zincir mesajlar ve mesajlara iliştirilmiş her türlü çalıştırılabilir dosya içeren e-postalar alındığında hemen silinmeli ve kesinlikle başkalarına iletilmemelidir.
  • Kişisel kullanım için internetteki listelere üye olunması durumunda şirketin e-posta adresleri kullanılmamalıdır.
  • Spam, zincir e-posta, sahte e-posta vb. zararlı e-postalara yanıt yazılmamalıdır.
  • Kullanıcıların Kullanıcı Kodu/ Şifresini girmesini isteyen e-postaların sahte e-posta olabileceği dikkate alınarak, herhangi bir işlem yapılmaksızın derhal silinmelidir.
  • Çalışanlar e-posta ile uygun olmayan içerikler (pornografi, ırkçılık, siyasi propaganda, fikri mülkiyet içeren malzeme vb.) göndermezler.
  • Şirket çalışanları kurumsal e-postaların kurum dışındaki şahıslar ve yetkisizi şahıslar tarafından görünmesi ve okunmasını engellemekten sorumludur.
  • Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve derhal silinmelidir. Bu ekli dosyalar virüs, e-mail bombaları ve truva atı gibi zararlı kodlar içerebilirler.
  • Güvenliğinden emin olunmayan bir bilgisayardan web posta sistemi kullanılmamalıdır.
  • Elektronik postalar sık sık gözden geçirilmeli, gelen mesajlar uzun süreli olarak genel elektronik posta sunucusunda bırakılmamalı ve bilgisayardaki bir kişisel klasöre çekilmelidir.
  • Şirketimiz çalışanları gönderdikleri, aldıkları veya sakladıkları e-postalarda kişisellik aramamalıdır. Yasadışı ve hakaret edici e-posta haberleşmesi yapılması durumunda, yetkili kişiler önceden haber vermeksizin e-posta mesajlarını denetleyebilir ve kullanıcı hakkında yasal ve idari işlemler başlatabilir.
  • Kullanıcılar kendilerine ait e-posta adresinin şifresinin güvenliğinden ve gönderilen e-postalardan doğacak hukuki işlemlerden sorumludurlar. Şifrelerin kırıldığını fark ettikleri andan itibaren yetkililerle temasa geçip durumu haber vermekle yükümlüdürler.
  • Altı ay süre ile kullanılmayan e-posta kutuları Bilgi İşlem Bölümü tarafından kaldırılabilir. Kurumdan ayrılan personel kurumsal e-posta sistemini kullanamaz. Elektronik posta adresine sahip kullanıcı herhangi bir sebepten birim değiştirir, emekli olur veya işten ayrılırsa kurumdaki değişikliğin yetkililer tarafından Bilgi İşlem Bölümüne en kısa zamanda bildirilmesi gerekmektedir. 
    1. Antivirüs Politikası
  • Bütün bilgisayarda kurumun lisanslı Antivirüs yazılımı yüklü olmalıdır ve çalışmasına engel olunmamalıdır.
  • Antivirüs yazılımı yüklü olmayan bilgisayar ağa bağlanmamalı ve Bilgi İşlem Bölümüne haber verilmelidir.
  • Zararlı programları (Ör: virüsler, solucanlar, truva atı, e-posta bombaları vb.) kurum bünyesinde oluşturmak ve dağıtmak yasaktır.
  • Hiçbir kullanıcı herhangi bir sebepten dolayı Antivirüs programını sistemden kaldıramaz ve başka bir Antivirüs yazılımını sisteme kuramaz.
    1. İnternet Kullanım Politikası
  • Hiçbir kullanıcı peer-to-peer bağlantı yoluyla internetteki servisleri kullanamayacaktır. (Torrent vb.)
  • Bilgisayarlar arası ağ üzerinden resmi görüşmeler haricinde Messenger, Facebook, Twitter vb. mesajlaşma ve sohbet programları kullanılmamalı, bu sohbet programları üzerinden dosya alışverişinde bulunulmamalıdır.
  • Hiçbir kullanıcı internet üzerinden Multimedya Streaming (Video, mp3 yayımı ve izlemesi) yapamayacaktır. Bu internet erişiminde bant genişliği harcadığı için diğer kullanıcıların veriye erişiminde sorunlar yaratmaktadır.
  • Çalışma saatleri içerisinde aşırı bir şekilde iş ile ilgili olmayan sitelerde gezinmek yasaktır.
  • İş ile ilgili olmayan yüksek hacimli dosyalar göndermek ve indirmek yasaktır.
  • İnternet üzerinden kurum tarafından onaylanmamış yazılımlar indirilemez ve kurum sistemleri üzerine bu yazılımlar kurulamaz ve kullanılamaz.
  • Bilgisayar üzerinden genel ahlak anlayışına aykırı internet sitelerine girilmemeli ve dosya indirimi yapılmamalıdır.
  • Bilgisayar işletim sistemlerine zarar verdiği için, internet üzerinden ekran koruyucu, yamalar, masaüstü resimleri, yardımcı, tamir edici program olduğu belirtilen araçlar gibi her türlü dosya ve programların indirilmesi ve/veya kurulması yasaktır.
  • Bilgi İşlem Birimi, iş kaybının önlenmesi için çalışanların internet kullanımı hakkında gözlemleme ve istatistik yapabilir. Gerekli durumlarda internet üzerinde kısıtlamalar yapılabilir.
  1. Genel Kullanım Politikası
  • Bilgisayar başından uzun süreli uzak kalınması durumunda bilgisayar kilitlenmeli ve 3. Şahısların bilgilere erişimi engellenmelidir.
  • Domain’e bağlı olmayan bilgisayarların yerel ağdan çıkarılmalı, yerel ağdaki cihazlar ile bu tür cihazlar arasında bilgi alışverişi yapılmamalıdır.
  • Laptop bilgisayarın çalınması/kaybolması durumunda en kısa sürede Bilgi İşlem Bölümü’ne haber verilmelidir.
  • Bütün kullanıcılar kendi bilgisayar sisteminin güvenliğinden sorumludur. Bu bilgisayarlardan kaynaklanabilecek, kuruma veya kişiye yönelik saldırılardan sistemin sahibi sorumludur (Ör: elektronik bankacılık, hakaret-siyasi içerikli mail, kullanıcı bilgileri vb.).
  • Port veya ağ taraması yapılmamalıdır.
  • Ağ güvenliğini tehdit edici faaliyetlerde bulunulmamalıdır. Port-network taraması vb. yapılmamalıdır.
  • Şirket bilgileri kurum dışından üçüncü kişilere iletilmemelidir.
  • Kullanıcıların kişisel bilgisayarları üzerinde Bilgi İşlem Bölümü’nün onayı alınmaksızın herhangi bir çevre birimi bağlantısı yapılmamalıdır.
  • Cihaz, yazılım ve veri izinsiz olarak şirket dışına çıkarılmamalıdır.
  • Şirketin kullanmakta olduğu yazılımlar hariç kaynağı belirsiz olan programları (Dergi, CD’leri veya internetten indirilen programlar vb.) kurmak ve kullanmak yasaktır.
  • Yetkisi olmayan personelin, şirketteki gizli ve hassas bilgileri görmesi veya elde etmesi yasaktır.
  • Kurumsal veya kişisel verilerin gizliliğine ve mahremiyetine özel önem gösterilmelidir. Bu veriler, şirketin bu konudaki ilgili mevzuat hükümleri saklı kalmak suretiyle elektronik veya kağıt ortamında üçüncü kişi ve kurumlara verilemez.
  • Personel kendilerine tahsis edilen ve kurum çalışmalarında kullanılan masaüstü ve dizüstü bilgisayarlarındaki kurumsal bilgilerin güvenliği ile sorumludur.
  • Bilgi İşlem Bölümü tarafından yetkili kişiler kullanıcıya haber vermeksizin yerinde veya uzaktan çalışanın bilgisayarına erişip güvenlik, bakım ve onarım işlemleri yapabilir. Bu durumda uzaktan bakım ve destek hizmeti veren yetkili personel kişisel bilgisayardaki kişisel veya kurumsal bilgileri görüntüleyemez, kopyalayamaz ve değiştiremez.
  • Bilgisayarlarda oyun ve eğlence amaçlı programlar çalıştırılmamalı ve kopyalanmamalıdır.
  • Bilgisayarlar üzerinde resmi belgeler, programlar ve eğitim belgeleri haricinde dosya alışverişinde bulunulmamalıdır.
  • Kurumda Bilgi İşlem Bölümünün bilgisi olmadan ağ sisteminde (web hosting, e-posta servisi vb.) sunucu niteliğinde bilgisayar ve cihaz bulundurulmamalıdır.
  • Birimlerde sorumlu Bilgi İşlem personeli ve ilgili teknik personel bilgisi dışında bilgisayarlar üzerindeki ağ ayarları, kullanıcı tanımları, kaynak profilleri vb.) üzerinde mevcut yapılmış ayarlar hiçbir surette değiştirilmemelidir.
  • Bilgisayarlara herhangi bir şekilde lisanssız program yüklenmemelidir. Lisansız yazılımı bilgisayarında barındıran personel ilgili kanunlar karşısında kendisi sorumludur.
  • Gerekmedikçe bilgisayar kaynakları paylaşıma açılmamalıdır, kaynakların paylaşıma açılması halinde de mutlaka şifre kullanma kurallarına göre hareket edilmelidir.
  • Bilgisayar üzerinde bir problem oluştuğunda, yetkisiz kişiler tarafından müdahale edilmemeli, ivedilikle Bilgi İşlem Bölümü’ne haber verilmelidir.
  1. Bilgi Güvenliği Farkındalığı ve Eğitimi

Risk Merkezi verisine erişen tarafların ihtiyacına bağlı olmak üzere, bilgi güvenliği farkındalığı eğitim programları/bildirileri düzenlenir. Kullanıcılar, güvenlik yöntemlerinde ve bilgi işlem araçlarının doğru kullanımı konusunda olası güvenlik risklerini azaltmak için eğitilir. 

Bilgi Güvenliğinin sağlanabilmesi için tüm çalışanlara Bilgi Güvenliği Farkındalık Eğitimi verilir. Eğitim katılım listesi ile kayıt altına alınır.

  1. Bilgi Güvenliği Olaylarının Yönetimi

Bir Bilgi Güvenliği olayı, QUA GRANİTE AŞ’de maddi ve manevi, itibari vb. zararlar doğuran ya da doğabilecek bilgi gizliliği, bütünlüğü ve erişilebilirliği ile ilgili hata veya olaylardır.

Önemli bir Bilgi Güvenlik Olayı/Hatası durumunda aşağıdakiler yapılmalıdır:

  • Olayı gören personel Hata ile ilgili Bilgi Güvenliği Olayı Bildirim Formu doldurarak Bilgi İşlem personeline bildirir.
  • Bilgi İşlem Personeli sorumluluğundaki olay ile ilgili tüm kanıtları kaydetmeli ve dokümante etmelidir.
  • Olaya müdahale sırasında geçekleştirilen tüm aksiyonlar ayrıntılı bir şekilde kayıt (kamera kaydı, ekran görüntüsü, denetim logu, fotoğraf, çıktı vb.) olarak tutulmalıdır.
  • Hatanın tekrar meydana gelmesini önlemek için, bilgi ve bilgi teknolojileri güvenlik kontrollerini hemen gözden geçirmeli ve Düzeltici/Önleyici Faaliyet formu ile kayıt altına almalıdır.
  • Şirket dahili problem analizi, dışarıdaki taraflarla tazminat müzakereleri veya yasal işlemler için gereken ilgili denetim izlerini ve diğer belgeleri sağlamalıdır.
  • Gerekli olduğunda, alınacak önlemleri üst yönetime bırakmalı ve kuruluşa olabilecek etkilerini en alt düzeye indirgemek için iş sürekliliği planlarını harekete geçirmelidir.
  • Risk Merkezi verileri ile ilgili gerçekleşen olaylarda Risk Merkezi Yönetimi en kısa sürede konuyla ilgili bilgilendirilmeli ve gerekli detaylar iletilmelidir.
  • Eğer olay acil bir müdahale gerektiriyorsa yazılı herhangi bir onay alınmadan olaya müdahale edilir. Müdahale gerçekleştirildikten sonra 5 iş günü içinde gerçekleşen olayla ilgili Üst Yönetime bilgilendirici rapor hazırlanır.
  1. Bilgi Güvenliği Risklerinin Yönetimi

Risk değerlendirmesinin hedefleri; QUA GRANİTE AŞ perspektifindeki bilgi güvenliği risklerini tanımlamak, önceliklendirmek ve bunları Şirket Yönetimi için kabul edilebilir bir düzeye indirmek için gereken eylemleri planlamaktır.

Şirket içerisinde kritik sistemler ve Risk Merkezi verisine erişen tüm taraflarca,

  • Kritik sistemler ve Risk Merkezi verilerinin barındığı sistemler üzerindeki bilgi teknolojileri güvenlik kontrol gerekliliklerini ve yönetim önceliklerini belirlemek amacıyla risk değerlendirmesi uygulanır.
  • Bilgi Teknolojileri güvenlik kontrolleri için harcanacak kaynak aşağıdakilerle dengeli ve uyumlu olmalıdır:
    • Önemli bir bilgi teknolojileri güvenlik ihlalinden doğabilecek muhtemel zarar ve yaptırımlar, tehditler ve tehdidin gerçekleşme olasılığına ilişkin değerlendirmeler,
    • Risk ve güvenlik kontrolleri, değişen düzenleme, ihtiyaç ve önceliklerine göre gerektiğinde gözden geçirilir.

Ayrıca uygun ve yararlı olduğu durumlarda risk yönetim teknikleri, bir bütün olarak tüm bilgi sistemlerine ya da tek tek sistem bileşenlerine ya da hizmetlerine uygulanabilir.

Risk Değerlendirme İşlemi aşağıdaki hususlar dikkate alınarak gerçekleştirilir;

  • Söz konusu bilginin, teçhizat, yazılım ve bilgi sistemi varlıklarının şirket için önemi,
  • Bilgi Sistemleri ile desteklenen tüm şirket faaliyetleri, ürün ve hizmetleri
  • Kuruluş bilgileri ile ilgili olarak meydana gelebilecek önemli bir ihlalin şirket paydaşlarına ve müşterilerine yol açacağı muhtemel zararlar, mevcut sözleşme, mevzuat ve yasa ihlalleri ile maddi kayıplar ve itibar kaybı,
  • Mevcut kontroller ve ortaya çıkacak tehditler göz önüne alınarak böyle bir ihlalin yaşanabilmesine yönelik gerçekçi olasılık, sistemin kullanıldığı ve işletildiği ortam ve bilgilerin etkili bir şekilde kullanılabileceği ömrü,
  • Söz konusu riskleri kabul edilebilir bir düzeye indirmek için gereken ek kontroller,
  • Uygun ek kontrollerin tesis edilebilmesi ve işletilebilmesi için gereken eylemlerdir.

Bu değerlendirme sonucu tanımlanan risklerin kabul edilemez olduğuna ve risklerin daha yöntemler yoluyla yeterli düzeyde önlenemeyeceğine ya da düşürülemeyeceğine karar verilirse, bilgi teknolojileri güvenlik iyileştirme planları hazırlanır ve uygulanır.

  1. Politika İhlali ve Yaptırımlar

Şirket çalışanları Bilgi Güvenliği Politikasını okumalı, uygulamalı ve gerekli uyumu sağlamalıdır. Bilgi Güvenliği politikasında tanımlanan hususlar hakkında bilgi sahibi olunması ve uyum sağlanması amacıyla ilgili tüm taraflardan bilgilenme ve uyuma ilişkin yazılı taahhüt alınır.

Bu Politikasının ihlal edilmesi, uygulama bölümünde yer alan kurallara tam olarak uyulmaması veya bu kuralların uygulanmaması durumunda uyarma, kınama, para cezası veya sözleşme feshi cezaları uygulanır. Bu cezaların uygulanması ile ilgili karar Üst Yönetim tarafından verilir.

  1. Politika Güncellemeleri

Şirket Bilgi Güvenliği Politikasının güncelliği esastır. Güncelliğin sağlanması için yılda en az 1 kez olarak gözden geçirme ve güncelleme çalışması yapılır. Şirket Yönetimi tarafından gerekli görülen durumlarda periyodik gözden geçirme çalışması beklenmeden de güncelleme yapılabilir.

 

Bilgi Güvenliği Politikasını okudum, anladım ve kabul ediyorum.

 

İSİM SOYİSİM:

T.C. KİMLİK NUMARASI:

TARİH:

İMZA:

 

 

 

Üstün desen ve renk teknolojisiyle Qua Granite, doğanın tüm canlılığını mekanlarınıza taşıyor.

Faydalı Linkler

Gizlilik ve Güvenlik

Bu sitenin tüm hakları Qua Granite markasına aittir.
Copyright © 2021