1. Amaç
Bu politika, MHT Elektronik’in bilgi varlıklarının gizlilik, bütünlük ve erişilebilirlik ilkeleri doğrultusunda korunmasını sağlamak, ISO/IEC 27001:2022 standardına uygun bir Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulmasını, işletilmesini ve sürekli iyileştirilmesini amaçlar.
2. Kapsam
Bu politika aşağıdaki unsurları kapsar:
• Tüm çalışanlar, taşeronlar, danışmanlar ve üçüncü taraf hizmet sağlayıcılar
• Şirketin sahip olduğu veya işlediği tüm bilgi varlıkları
• Fiziksel ve dijital ortamlar
• Bulut hizmetleri, ağ altyapısı, yazılımlar ve donanımlar
• Tüm iş süreçleri, projeler ve operasyonel faaliyetler
3. Bilgi Güvenliği İlkeleri
3.1 Gizlilik
Bilgi yalnızca yetkili kişiler tarafından erişilebilir olmalıdır.
Kişisel veriler KVKK ve ilgili mevzuata uygun şekilde işlenir.
3.2 Bütünlük
Bilgilerin doğruluğu, tamlığı ve değişmezliği korunur.
Yetkisiz değişikliklere karşı teknik ve idari tedbirler uygulanır.
3.3 Erişilebilirlik
Bilgi varlıklarına ihtiyaç duyulduğunda kesintisiz erişim sağlanır.
İş sürekliliği ve felaket kurtarma planları uygulanır.
4. Bilgi Güvenliği Yönetim Sistemi (BGYS)
4.1 BGYS’nin Kurulması ve Sürdürülmesi
MHT Elektronik, ISO 27001 gerekliliklerine uygun bir BGYS kurar, uygular, izler ve sürekli iyileştirir.
4.2 Risk Yönetimi
• Bilgi güvenliği riskleri düzenli olarak tanımlanır, analiz edilir ve değerlendirilir.
• Riskler için kabul, azaltma, aktarma veya kaçınma stratejileri uygulanır.
• Risk değerlendirmesi yılda en az bir kez güncellenir.
5. Varlık Yönetimi
• Tüm bilgi varlıkları envantere kaydedilir.
• Varlık sahipleri atanır.
• Varlıkların sınıflandırılması (gizli, iç, genel vb.) yapılır.
• Varlıkların kullanım kuralları tanımlanır.
6. Erişim Kontrolü
• Kullanıcı erişimleri “en az ayrıcalık” prensibine göre verilir.
• Rol tabanlı erişim kontrolü uygulanır.
• Çok faktörlü kimlik doğrulama kullanılır.
• Erişim kayıtları düzenli olarak izlenir ve loglanır.
• İşten ayrılan personelin erişimleri derhal kapatılır.
7. İnsan Kaynakları Güvenliği
7.1 İşe Alım Öncesi
• Adaylar gerekli güvenlik kontrollerinden geçirilir.
• Gizlilik sözleşmesi imzalatılır.
7.2 İş Süreci
• Çalışanlara düzenli bilgi güvenliği eğitimi verilir.
• Güvenlik ihlallerinde disiplin süreçleri uygulanır.
7.3 İşten Ayrılma
• Erişimler kapatılır, şirket varlıkları teslim alınır.
8. Fiziksel ve Çevresel Güvenlik
• Yetkisiz kişilerin kritik alanlara erişimi engellenir.
• Kamera, kartlı geçiş ve alarm sistemleri kullanılır.
• Sunucu odaları kontrollü erişimle korunur.
• Yangın, su baskını ve çevresel risklere karşı önlemler alınır.
9. Operasyonel Güvenlik
• Sistemler düzenli olarak güncellenir ve yamalanır.
• Zararlı yazılım koruması uygulanır.
• Yedekleme politikası işletilir ve yedekler test edilir.
• Log yönetimi yapılır ve kritik olaylar izlenir.
10. İletişim ve Ağ Güvenliği
• Güvenlik duvarları, IDS/IPS sistemleri ve VPN teknolojileri kullanılır.
• Ağ segmentasyonu uygulanır.
• Veri iletimi şifreli protokollerle yapılır.
11. Tedarikçi ve Üçüncü Taraf Güvenliği
• Tedarikçiler güvenlik kriterlerine göre değerlendirilir.
• Sözleşmelere bilgi güvenliği maddeleri eklenir.
• Üçüncü taraf erişimleri kontrol edilir ve izlenir.
12. Bilgi Sistemleri Edinimi, Geliştirilmesi ve Bakımı
• Güvenli yazılım geliştirme prensipleri uygulanır.
• Kod incelemeleri ve zafiyet testleri yapılır.
• Değişiklik yönetimi süreçleri işletilir.
13. Bilgi Güvenliği Olay Yönetimi
• Olaylar derhal Bilgi Güvenliği Sorumlusuna bildirilir.
• Olay kayıtları tutulur.
• Etki analizi yapılır ve düzeltici faaliyetler uygulanır.
• Gerekirse ilgili kurumlara bildirim yapılır.
14. İş Sürekliliği ve Felaket Kurtarma
• Kritik süreçler için iş sürekliliği planları hazırlanır.
• Felaket kurtarma senaryoları düzenli olarak test edilir.
• Kesinti durumunda hizmetlerin hızlı şekilde geri dönmesi sağlanır.
15. Uyum
• ISO 27001, KVKK, kişisel veri işleme mevzuatı ve diğer yasal gerekliliklere uyum sağlanır.
• İç ve dış denetimler düzenli olarak gerçekleştirilir.
16. Sürekli İyileştirme
MHT Elektronik, BGYS’nin etkinliğini artırmak için PDCA (Planla–Uygula–Kontrol Et–Önlem Al) döngüsünü uygular.
17. Yürürlük
Bu politika, MHT Elektronik yönetimi tarafından onaylandığı tarihte yürürlüğe girer ve tüm çalışanlar için bağlayıcıdır.