BİLGİ GÜVENLİĞİ TANIMI
Bilgi güvenliği, bilginin bir varlık olarak hasarlardan korunması, doğru teknolojinin, doğru amaçla ve doğru şekilde kullanılarak bilginin her türlü ortamda, istenmeyen kişiler tarafından elde edilmesini önlenmesi anlamına gelmektedir.
Gelişen teknoloji ile beraber bilginin korunması gereken tehditlerin çokluğu ve bunlara karşı güvenlik çözümleri oluşturma gerekliliği firmaları yeni arayışlara itmiş ve bilgi güvenliği sürecinin işletilmesi için kendi bünyesinde ya da dış kaynaklı yetkin personel yardımı ile bilgi güvenliği yazılı ve sözlü olarak şirket personeline iletilmesi ve bilinçlendirilmesi sürecini başlatmıştır.
Bu süreç sonucunda dünya genelinde diğer güvenlik sistemlerinde olduğu bilgi güvenliğinin de bir standarda oturtulması istenmiş ve bugünkü adı ile ISO 27001 ortaya çıkmıştır. Bilgi güvenliği politikamızda bu standarda uygun olarak aşağıdakilerin korunması amaçlanmıştır.
Gizlilik: Bilginin sadece erişim yetkisi verilmiş kişilere erişilebilir olduğunu garanti etmek;
Bütünlük: Bilginin ve işleme yöntemlerinin doğruluğunu ve yetkisiz değiştirilememesini temin etmek;
Erişilebilirlik: Yetkili kullanıcıların, gerek duyulduğunda bilgiye ve ilişkili kaynaklara en hızlı şekilde erişebileceklerini garanti etmek.
BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ OLUŞTURULMA AMACI
Kuruluş, kurumun güvenilirliğini ve kurumsal imajını korumak, kurumun bilgi varlıklarına ilişkin risk değerlendirme ve risk işleme faaliyetleriyle bilgi güvenliğine ilişkin var olan ya da oluşabilecek olan riskleri azaltmak, yasal zorunluluklara ve mevzuatlara uymak, çalışanlarının bilgi güvenliğine ilişkin farkındalığını arttırmak ve bilgi seviyesini yükseltmek amacı ile kendi bünyesinde BGYS kurulmasına ve uygulanmasına karar vermiştir.
BİLGİ GÜVENLİĞİ POLİTİKASI DOKÜMANININ GÜNCELLENMESİ VE GÖZDEN GEÇİRİLMESİ
Politika dokümanının sürekliliğinin sağlanmasından ve gözden geçirilmesinden BGYS
Yöneticisi sorumludur.
Bilgi Güvenliği Politikası Dokümanı, yılda bir kez periyodik olarak ya da sistem yapısını veya risk değerlendirmesini etkileyecek organizasyona ait değişiklikler, iş şartları, değişen yasal zorunluluklar, kurumsal teknik altyapıda köklü değişiklikler gibi herhangi bir değişiklikten sonra da periyodik süreç beklenmeksizin gözden geçirilmeli ve herhangi bir değişiklik gerekiyorsa versiyon değişimi olarak kayıt altına alınmalı ve her versiyon üst yönetime onaylatılmalıdır. Bilgi Güvenliği Yönetim Sistemi sürecini etkileyecek yapısal bir değişiklik olduğunda gözden geçirilmelidir. Sistem üzerindeki herhangi bir yapıyı ve ya risk değerlendirmesini etkileyecek önemli bir değişiklikten sonra değişiklik kayıt altına alınmalı ve her değişim BGYS Sorumlusu ve Üst Yönetimine onaylatılmalıdır.